Защита данных
«Защита данных» и «безопасность данных»: два термина, которые часто путают друг с другом. Несмотря на различия, эти два аспекта тесно связаны. Потому что без достаточной безопасности данных защита данных в компаниях не может быть гарантирована.
Защита данных: что это такое?
Термин «защита данных» в первую очередь относится к защите персональных данных. Требования законодательства призваны защитить граждан от неправомерной обработки данных и сохранить право на информационное самоопределение и защиту частной жизни.
Личные данные
Данные всегда считаются «персональными», если они явно присвоены конкретному физическому лицу или если присвоение возможно косвенно.
Примерами персональных данных являются имя, дата рождения, место жительства, рост, цвет глаз, номерной знак транспортного средства и номер пенсионного страхования физического лица. Особо конфиденциальные персональные данные позволяют сделать выводы о политической ориентации человека, а также о состоянии его здоровья.
Тест на проникновение: стресс-тест для данных
В рамках теста на проникновение, в частности, проверяется контроль доступа. Эксперты по ИТ-безопасности пытаются получить доступ к системам и устройствам, используя распространенные хакерские методы. В отличие от преступного умысла, обнаруженные бреши в безопасности протоколируются и обсуждаются соответствующие меры по закрытию уязвимостей. Сюда входят не только технические уязвимости, но и «человеческая уязвимость».
Безопасность данных: определение
«Безопасность данных» относится ко всем (техническим) мерам, которые служат для защиты личных и других данных. Цели мер заключаются в следующем:
1. Конфиденциальность
Доступ к данным должен осуществляться только лицами, прямо уполномоченными на это.
2. Честность
Целостность означает целостность данных. Это означает: безопасность данных должна гарантировать, что данные не могут быть изменены или потеряны из-за технических дефектов.
3. Доступность
Существующие данные должны храниться таким образом, чтобы они были доступны при необходимости и, следовательно, могли быть использованы в любое время.
Безопасность данных и защита данных: краткий обзор различий
На практике безопасность данных может быть реализована различными способами. По сути, это механизмы контроля, защищающие данные от неправильного использования, манипуляций и удаления.
«Контроль доступа» относится ко всем мерам, которые предотвращают получение посторонними лицами пространственного доступа к системам обработки данных. Контроль доступа реализуется, например, посредством видеонаблюдения, считывателей чип-карт и систем сигнализации.
«Контроль доступа» включает в себя все меры по реализации безопасности данных, которые касаются самих систем обработки данных. Сюда входят надежные пароли (и управление ими), а также хороший корпоративный брандмауэр и разрешения доступа на основе сертификатов.
Целью «контроля передачи» является предотвращение чтения, манипулирования или удаления данных неавторизованными лицами во время передачи или хранения. Помимо шифрования данных и использования VPN (VPN = виртуальная частная сеть), это также включает в себя обширные меры по ведению журналов.
Ведение журнала и идентификация пользователя также важны для реализации контроля ввода. Цель состоит в том, чтобы иметь возможность в любой момент проверить, кто и в какое время ввел, изменил или удалил данные.
Контроль доступности включает в себя все меры, защищающие данные от случайного уничтожения. Соответственно, основное внимание здесь уделяется мерам противопожарной защиты, защите от перенапряжения, продуманной стратегии резервного копирования и защите от краж. Концепции защиты от вирусов также являются частью контроля доступности.
В соответствии с требованием разделения компании должны гарантировать, что данные, собранные для разных целей, также могут оцениваться отдельно. Для этой цели мы рекомендуем, например, отдельные базы данных и структуры папок, а также строгое разделение продуктивных и тестовых систем.