Что такое конфиденциальные данные?

С началом цифровой трансформации, вызванной увеличением количества удаленной работы, связанной с пандемией, компании хранят большинство своих данных в цифровом формате. Хотя переход на цифровое хранение данных является невероятно удобным и способствует повышению сотрудничества и эффективности, он также открыл двери для беспрецедентного количества кибератак и утечек данных.

За последние несколько лет разные страны, регионы и отрасли принимают все более строгие правила защиты данных, направленные на регулирование того, как компании обращаются с конфиденциальными данными.

Определение конфиденциальных данных

В повседневном употреблении конфиденциальные данные – это любая информация, которую человек не желает разглашать. Однако, когда речь идет о юридических обязательствах, определение конфиденциальных данных является более конкретным.

Конфиденциальные данные – это особый класс данных, которые требуют дополнительной защиты из-за последствий их разглашения. Если конфиденциальные данные становятся доступными, существует высокая вероятность финансовых, личных или репутационных убытков, если они попадут в чужие руки. Понимание того, что такое конфиденциальные данные, имеет решающее значение для организаций, чтобы обеспечить надлежащую защиту персональной и конфиденциальной информации от несанкционированного доступа.

Персональные данные vs. конфиденциальные данные

Персональная информация – это любые данные, которые могут быть использованы для идентификации личности. Такая информация, как имена, адреса или номера телефонов, является персональными данными. В некоторых случаях электронный адрес может считаться персональными данными – например, если это yourname@yourcompany.com. Персональные данные также могут включать информацию, которую кто-то может использовать для подтверждения того, что человек находился в определенном месте, например, отпечатки пальцев или запись с камеры наблюдения.

Конфиденциальная информация – это подгруппа персональных данных, которая может быть использована для того, чтобы нанести человеку определенный вред. Например, имя – это личная информация, но номер социального страхования – это конфиденциальная информация, поскольку злоумышленник может использовать ее для кражи идентичности. Не все персональные данные являются конфиденциальными.

Типы конфиденциальных данных

Как правило, конфиденциальные данные не являются общедоступными и относятся к одной из нескольких категорий с повышенным уровнем риска. Некоторые примеры конфиденциальных персональных данных включают:

Финансовые данные

Информация, связанная с финансовым состоянием физического или юридического лица, считается конфиденциальной. К ней относятся:

  • Номера банковских счетов
  • Информация о кредитных и дебетовых картах
  • Кредитная история
  • Налоговые декларации

Предприятия, которые принимают, обрабатывают, передают или хранят информацию о платежных картах, должны соблюдать Стандарт безопасности данных индустрии платежных карт (PCI DSS). Он требует применения надежных методов управления безопасностью для защиты данных держателей карт.

Персональные данные

Персональные данные, также известные как Персональная информация (PII), – это любая информация, которая может быть использована для идентификации конкретного лица. Например, персональные данные защищаются таким нормативно-правовым актом, как Общий регламент ЕС о защите данных (GDPR).

GDPR определяет «персональные данные» как любую информацию, касающуюся идентифицированного или определенного физического лица («субъект данных»). Персональные данные могут быть прямыми, например, имя, идентификационный номер, данные о местонахождении или онлайн-идентификатор. Они также могут быть косвенными, например, физические характеристики, информация о состоянии здоровья, маркеры культурной или социальной идентичности.

Защищенная медицинская информация (PHI)

HIPAA (Health Insurance Portability and Accountability Act, США) – это закон, который регулирует обработку медицинской информации (PHI – Protected Health Information), устанавливая четкие правила для медицинских учреждений, страховых компаний и бизнес-партнеров в сфере здравоохранения.

В Европейском Союзе вместо HIPAA действует GDPR. Особый статус имеют медицинские данные – они входят в категорию «специальных категорий персональных данных», которые получают повышенный уровень защиты. Статья 9 GDPR прямо запрещает обработку таких данных, если нет четких юридических оснований, таких как согласие субъекта, необходимость для медицинского диагностирования или лечения, основания общественного интереса в области здравоохранения.

Конфиденциальные данные в зоне риска

Конфиденциальные данные встречаются в структурированных и неструктурированных типах данных в различных приложениях и системах хранения. Перемещение данных довольно ограничено в структурированных хранилищах данных, таких как база данных SQL-сервера, что дает больше контроля над тем, как они передаются и защищаются. Однако файлы, хранящиеся в неструктурированных хранилищах, таких как файлообменники и сайты SharePoint, имеют тенденцию к более свободному перемещению, что затрудняет определение их точного местонахождения. Эти скрытые данные труднее контролировать и защищать.

Хотя GDPR является наиболее широко обсуждаемым законом о защите данных, более 70% стран приняли правила по защите данных. Большинство из этих нормативных актов имеют общую цель – защитить конфиденциальные персональные данные, но их специфика различается. Эта сеть нормативно-правовых актов заставляет компании брать под контроль свои конфиденциальные данные. Для этого им нужно знать, где они находятся и какие меры безопасности были внедрены для уменьшения риска утечки конфиденциальных данных.

Неспособность защитить конфиденциальные данные может привести к серьезным последствиям для бизнеса. Согласно GDPR, особенно грубое невыполнение требований может привести к штрафам в размере более 20 миллионов долларов или 4% годового мирового оборота, в зависимости от того, какая сумма больше. Сейчас самый большой штраф был наложен на Meta, материнскую компанию Facebook. Ее оштрафовали на 1,3 миллиарда долларов за ненадлежащую защиту данных о гражданах ЕС, которые были переданы в США.

Защита конфиденциальных данных

Чтобы избежать штрафов, связанных с несоблюдением требований, нужно найти и защитить конфиденциальные данные независимо от того, где они хранятся. Инвентаризация классификации данных поможет идентифицировать и классифицировать данные на основе их конфиденциальности и важности. После этого нужно будет вести всесторонний учет всех информационных активов, в частности, где они хранятся, кто имеет к ним доступ и как они используются.

Знание того, где хранятся данные, является первым шагом на пути к соблюдению требований, но также нужно убедиться, что есть надлежащие средства контроля для предотвращения несанкционированного доступа. Компании также должны осознавать и избегать сбора большего количества данных, чем это необходимо, а также ограничивать рост объема данных, удаляя ненужные данные. Не нужно защищать данные, которые не собираются.

Как Netwrix может помочь

Netwrix Auditor поможет уменьшить риск утечки данных и легко пройти аудит на соответствие нормативным требованиям. Он поможет проактивно выявлять пробелы в системе безопасности, такие как чрезмерные разрешения пользователей и отключенные учетные записи, которыми могут воспользоваться злоумышленники. Netwrix Auditor автоматически устранит угрозы, удалив неактивные учетные записи и отозвав чрезмерные разрешения.

Придерживаясь принципа наименьших привилегий, можно контролировать, кто и с какой целью получает доступ к данным.

Подписаться на новости