隱私信息保護(hù)已經(jīng)成為真正的生意,以至于政府和行業(yè)組織已經(jīng)對(duì)數(shù)據(jù)安全規(guī)則以及數(shù)據(jù)泄露的相關(guān)懲處做出了明確規(guī)定。單美國(guó)自己就有許多法律和行業(yè)協(xié)定要求組織制定政策和過(guò)程來(lái)識(shí)別數(shù)據(jù)西樓風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)還必須基于其安全等級(jí)進(jìn)行進(jìn)一步分類,規(guī)則還要求制定特殊的保護(hù)和控制措施來(lái)保護(hù)數(shù)據(jù)。進(jìn)一步還要求公司提供數(shù)據(jù)泄露事件的公開報(bào)告,無(wú)論是意外造成的還是出于惡意意圖的。
不過(guò)盡管有許多這些非常特殊的數(shù)據(jù)保護(hù)合規(guī)性指導(dǎo),挑戰(zhàn)依然。2015年共發(fā)生了781起數(shù)據(jù)泄露事件,受連累的記錄達(dá)到7億份。網(wǎng)絡(luò)犯罪已經(jīng)發(fā)生了根本性的變化,從對(duì)網(wǎng)站造成嚴(yán)重危害的分布式拒絕服務(wù)攻擊或者信用卡盜竊過(guò)渡到更陰險(xiǎn)狡詐的犯罪意圖。知識(shí)產(chǎn)權(quán)盜竊、黑客行為主義(hacktivism)、政府情報(bào)收集、數(shù)據(jù)泄露這些活動(dòng)使得有組織犯罪成為常見(jiàn)的事情。近年來(lái)值得注意的一些泄露包括:
索尼身上發(fā)生的企業(yè)知識(shí)產(chǎn)權(quán)數(shù)據(jù)泄露。
存放在由美國(guó)人事管理局(OPM)管理的數(shù)據(jù)庫(kù)中上百萬(wàn)個(gè)人可識(shí)別信息(PII)的泄露。PII包括了個(gè)人的社會(huì)安全號(hào)碼、生日、地址等信息。
超過(guò)1億的健康保險(xiǎn)會(huì)員記錄被盜,其中健康支付商Anthem泄露規(guī)模最大,被盜記錄達(dá)到了7800萬(wàn)份。
從合規(guī)性角度來(lái)說(shuō)保護(hù)敏感數(shù)據(jù)是重要的,但也會(huì)提供商業(yè)價(jià)值。上述泄露的共同主題是破壞組織安全措施導(dǎo)致的潛在損失與被盜內(nèi)容的價(jià)值是直接相關(guān)的。比防火,泄露的索尼數(shù)據(jù)有可能包含了商業(yè)運(yùn)作和交易的信息,這些信息有可能被用來(lái)操縱股票市場(chǎng)。OPM泄露有可能導(dǎo)致流氓國(guó)家對(duì)所有政府員工和承包商都建立檔案,而盜取健康數(shù)據(jù)可以被用來(lái)進(jìn)行保險(xiǎn)欺詐。
總之,組織已經(jīng)運(yùn)用了網(wǎng)絡(luò)邊界安全方法,為的是防止泄露并在系統(tǒng)受牽連的情況下提供通知。這種辦法仍然存在一定程度的風(fēng)險(xiǎn):針對(duì)未必實(shí)時(shí)發(fā)生的泄露,以及在許多情況下等到影響被注意到泄露早已發(fā)生多時(shí)或者對(duì)哪些數(shù)據(jù)集已被盜取的檢測(cè)能力。網(wǎng)絡(luò)邊界安全當(dāng)然是防止數(shù)據(jù)泄露的必要組件,但是對(duì)于完整的數(shù)據(jù)保護(hù)計(jì)劃來(lái)說(shuō)光有這個(gè)是不夠的,因?yàn)橐坏┓阑饓Ρ还テ疲Wo(hù)就受限了。
美國(guó)數(shù)據(jù)保護(hù)合規(guī)性監(jiān)管
美國(guó)有幾個(gè)行業(yè)相關(guān)的合規(guī)性法則概括了識(shí)別和緩和數(shù)據(jù)安全風(fēng)險(xiǎn)的過(guò)程。下面是美國(guó)數(shù)據(jù)保護(hù)合規(guī)性法則眾多例子當(dāng)中的一些示例:
在線數(shù)據(jù)保護(hù):兒童在線隱私保護(hù)法案(COPPA)要求合理的過(guò)程去“保護(hù)對(duì)兒童個(gè)人信息收集的機(jī)密性、安全以及完整性。”
金融機(jī)構(gòu)數(shù)據(jù)收集:根據(jù)金融服務(wù)現(xiàn)代化法案的安全規(guī)則,“金融機(jī)構(gòu)必須形成書面的描述保護(hù)客戶信息規(guī)程的信息安全計(jì)劃。”該計(jì)劃必須包括“在公司運(yùn)營(yíng)的每一個(gè)相關(guān)領(lǐng)域識(shí)別和評(píng)估客戶信息風(fēng)險(xiǎn),并且評(píng)估當(dāng)前控制這些風(fēng)險(xiǎn)的保護(hù)措施的效能”的流程。
保護(hù)健康信息:健康保險(xiǎn)流通與責(zé)任法案(HIPAA)隱私規(guī)則的目標(biāo)是“確保個(gè)人的健康信息受到適當(dāng)保護(hù)的同時(shí)允許必要的健康信息流動(dòng)來(lái)提供和促進(jìn)高品質(zhì)的醫(yī)療保健……”
相應(yīng)地,HIPAA違反通知規(guī)則要求,HIPAA涉及的實(shí)體及其關(guān)聯(lián)企業(yè)在不安全的受保護(hù)健康信息被泄露后要提供通知,這種行為一般是指“在隱私規(guī)則下不被許可的、導(dǎo)致受保護(hù)健康信息的安全或隱私受侵犯的使用或者泄露。”
聯(lián)邦機(jī)構(gòu)數(shù)據(jù)保護(hù):”2002年的聯(lián)邦信息安全管理法案(FISMA)要求聯(lián)邦機(jī)構(gòu)制定計(jì)劃來(lái)提供幫助保護(hù)信息資產(chǎn)的信息系統(tǒng)安全。FISMA指導(dǎo)這些機(jī)構(gòu)“提供制定和維護(hù)最低要求所需的控制來(lái)保護(hù)聯(lián)邦信息和信息系統(tǒng)。”
信用卡處理:支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)是一個(gè)行業(yè)性的標(biāo)準(zhǔn),標(biāo)準(zhǔn)提出了若干控制措施來(lái)保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)并限制對(duì)這一數(shù)據(jù)的訪問(wèn)。
數(shù)據(jù)保護(hù)合規(guī)性的實(shí)施
更大的洞察要求進(jìn)行更全面的敏感性分析、風(fēng)險(xiǎn)評(píng)估以及數(shù)據(jù)保護(hù)合規(guī)性控制的制度。為了強(qiáng)化遵守?cái)?shù)據(jù)保護(hù)法規(guī)和行業(yè)指導(dǎo)意見(jiàn)的手段,需要處理好下面這三個(gè)實(shí)施信息和內(nèi)容保護(hù)的關(guān)鍵問(wèn)題:
數(shù)據(jù)感知:在數(shù)據(jù)資產(chǎn)可進(jìn)行保護(hù)之前,我們必須意識(shí)到這種數(shù)據(jù)的存在。許多組織缺乏共享、可訪問(wèn)的主要數(shù)據(jù)集的目錄,更不必說(shuō)對(duì)犯罪分子有可能感興趣的工作組或者桌面的人工產(chǎn)物進(jìn)行詳細(xì)評(píng)估了。因此,要在共享的詳細(xì)目錄中建立一個(gè)數(shù)據(jù)資產(chǎn)目錄來(lái)幫助支持?jǐn)?shù)據(jù)保護(hù)合規(guī)性過(guò)程。
敏感性評(píng)估:設(shè)計(jì)一個(gè)流程來(lái)分配被標(biāo)識(shí)的數(shù)據(jù)資產(chǎn)的敏感度。然而,要意識(shí)到盡管不是每一個(gè)數(shù)據(jù)集都包含有敏感信息,但是從不同數(shù)據(jù)集調(diào)配出來(lái)的數(shù)據(jù)可能會(huì)創(chuàng)建出不斷需要保護(hù)的信息集。要制定形成評(píng)估數(shù)據(jù)敏感度的辦法,并且用來(lái)對(duì)數(shù)據(jù)集進(jìn)行敏感度認(rèn)定。
數(shù)據(jù)保護(hù):對(duì)于那些包含敏感信息的數(shù)據(jù)集來(lái)首,必須運(yùn)用特定應(yīng)用方法來(lái)保護(hù)破壞安全事件的內(nèi)容。要建立訪問(wèn)控制并且定義數(shù)據(jù)訪問(wèn)的角色和權(quán)限。這可能包括了加密(靜態(tài)和動(dòng)態(tài))數(shù)據(jù)的手段,以及基于用戶權(quán)限級(jí)別的數(shù)據(jù)掩碼。
因?yàn)閿?shù)據(jù)安全團(tuán)隊(duì)成員未必熟悉這些類型的數(shù)據(jù)管理最佳實(shí)踐,在數(shù)據(jù)管理專業(yè)人士與安全管理專業(yè)人士之間建立合作關(guān)系就顯得至關(guān)重要。這里面還需要技術(shù)支持全面的數(shù)據(jù)保護(hù)計(jì)劃,擁有數(shù)據(jù)資產(chǎn)識(shí)別和管理的評(píng)估工具也很重要。這些技術(shù)可以在多個(gè)數(shù)據(jù)集組合起來(lái)是用來(lái)確定受保護(hù)數(shù)據(jù)泄露的風(fēng)險(xiǎn)是否會(huì)增加。
最后,要考慮利用加密和數(shù)據(jù)掩碼策略的數(shù)據(jù)保護(hù)策略的實(shí)現(xiàn)方式。通過(guò)彌補(bǔ)網(wǎng)絡(luò)邊界安全與內(nèi)容保護(hù)的鴻溝,你的組織就能擁有一個(gè)更加可預(yù)測(cè)的計(jì)劃來(lái)將信息安全風(fēng)險(xiǎn)與對(duì)數(shù)據(jù)保護(hù)規(guī)則的違規(guī)行為降到最低。
京公網(wǎng)安備 11010502049343號(hào)