您当前的位置:   首页 > 新闻中心
每个组织都需要的关键数据安全控制
发布时间:2021-01-12 10:22:04   阅读次数:

无论您经营哪种类型的业务,您拥有或将拥有某种形式的敏感信息的可能性都很大。也许您在线进行信用卡付款或以电子方式存储患者记录,并且必须遵守HIPAA安全和隐私规则。如果您与联邦政府合作,则可能会处理政府想要保护的未分类信息。您可能还会有客户清单,体系结构图和其他您不想让竞争对手获得的工件。  


如今,敏感数据可能要遵守许多安全和隐私法规,例如通用数据保护法规(GDPR)和加利福尼亚消费者保护法(CCPA),以及其他州或行业特定的法律。在当前的安全环境下,仅说您可以保护敏感的客户信息就不会再减少它了。自我评估的日子已经一去不复返了-组织必须提供具体的证据,证明它们具有足够的技术和管理控制措施来保护敏感的客户信息并经过第三方认证流程,然后才能与目标客户开展业务。  


那么,您今天需要在组织内实施哪些关键的数据保护控制措施?本文将讨论需要保护的敏感数据的类型,用于数据保护的五个关键控件系列,以及为信息安全审核记录控件的重要性。


需要保护的不同类型的数据

每个组织都需要的关键数据安全控制(图1)

设计相关控件始于了解您的数据。没错,您需要对所拥有的信息有深入的了解,才能设计适当的防护措施。首先从以下关键问题考虑数据的性质:您正在收集的敏感信息是什么?哪些法规涵盖此类数据?它在哪里?谁在寻找利用它的机会?如果此信息丢失,被盗或被破坏,将会带来什么后果?


以下是一些需要保护的数据类型(所有这些类型的数据均受一项或多项数据隐私法规的约束):

  • 各个标识符,例如姓名、地址、电子邮件和社会安全/驾驶执照/护照号码。

  • 财务和付款持卡人信息,包括信用卡号、银行帐户、个人所有权、交易和信用记录。

  • 就业和专业信息,例如就业历史、推荐信、薪水、职称和纪律处分。

  • 社交网络,包括朋友的姓名、联系、网络和组关联。

  • 与保健和医疗状况有关的医疗和保健信息,包括健康记录、体检结果和处方。

  • 遗传和生物识别信息,例如DNA代码、指纹、虹膜扫描和面部几何形状。

  •  地理位置数据可识别可从智能手机、平板电脑、手表或其他IoT设备收集的设备的物理位置。

  • 与性取向以及宗教或政治信仰有关的个人偏好数据。

  • 教育记录,包括成绩、评估和出勤记录。

  • 互联网网络活动,包括浏览历史记录和网站/应用程序交互。

  • 敏感的联邦信息,包括为美国联邦政府机构工作时在联邦IT系统中生成、处理或存储的数据。

  • 受控的非保密信息(CUI)或涵盖的国防信息(CDI),这是敏感的联邦信息的子类别,目前由CMMC对其进行管理


如果您的组织收集了这些数据类型中的任何一种,则您将需要实施技术和管理控制以确保数据安全性、机密性和完整性。但是,某些数据高度敏感,需要更多的保护,而其他信息敏感度较低,需要的保护措施则少得多。

每个组织都需要的关键数据安全控制(图2)

因此,您如何知道在安全性方面优先考虑哪些数据?


一言以蔽之。您的组织收集和处理的所有数据都应进行分类。通过对数据进行分类,您可以创建敏感性层次结构,以确保您最敏感的信息得到可靠的保护。创建健康的数据分类策略是保护敏感信息的第一步。


五个关键控制,可保护敏感信息

访问控制

谁在访问您的系统?保护用户级别的信息系统访问权限是您的第一道防线,正确的帐户管理和执行至关重要。使用身份验证管理和目录系统,例如Active Directory和轻型目录访问协议(LDAP),来实现对帐户、实施和功能的控制。这些控件扩展到用户目录之外,包括系统帐户、网络设备和数据库。


最低特权和职责分离提供了一种合理且流行的访问控制方法。最低特权访问权限仅允许那些需要并被授权访问系统数据的人员,并且他们只能访问其工作职能所需的信息。职责分离根据个人角色职责授予访问权限,其中管理员具有比接待员或销售代表更高级别的访问权限。管理员可以具有多个帐户,使用管理员登录名执行管理功能,并使用用户登录名执行用户功能。当管理员出于非预期目的使用帐户时,可能会出现问题。例如,当管理员无法仅为非管理活动保留用户级帐户时,就会发生这种情况。


访问控制的另一个重要组成部分是确保您的团队审核正确的事件并为审核员提供正确的信息。它有助于汇编您知道审计人员希望事先了解的信息列表。登录失败,远程登录和快速访问升级是许多审核员可能要求的事件信息的示例。


系统完整性

您的系统没有漏洞吗?通过技术和操作控制来保护系统的完整性应该是当务之急。首先从安装恶意代码阻止和垃圾邮件防护机制开始;这些控件可阻止端点攻击,并与用户意识和培训计划一起发挥最佳作用。


信息系统监视是正确设置和使用的最关键控件,因为它是煤矿中用于检测网络安全事件的金丝雀。此基本控制由监视检测技术与自动化和端点检测软件配合使用来驱动。 


完整性和故障控制为您的业务提供连续性和紧急保护。这些控件可确保未经授权不会更改系统数据,并提供业务连续性和灾难恢复(BCDR)计划。

每个组织都需要的关键数据安全控制(图3)

配置管理

您的配置更改是否得到授权?配置管理控件涵盖用于授权更改系统配置的策略和过程。它们可防止管理员进行未经授权的调整,并要求将所有更改记录在案。这些控件确保在设计和维护所有配置时都考虑到安全性。


最近有没有盘点数据?配置管理控件控制库存的更新和数据监视。保持对数据的持续了解的重要性不可低估。用CISSP和Fortified Logic的首席执行官Josh Bobbitt的话来说,“了解任何数据本质上是任何可靠安全程序的开始。”


安全评估和授权

你知道你的弱点在哪里吗?漏洞可以定义为信息系统、安全程序、内部控制或实施中的漏洞,可以被威胁源利用。许多人从这里开始乐趣,有人称其为“道德黑客”,其最终目标是确定漏洞并确定环境的整体安全性。


安全评估提供您环境的时间点快照,从漏洞和风险评估开始一直到完成渗透测试为止。在进行这些时间点评估之后,组织应使用行动计划和里程碑(POAM)跟踪所有发现的风险。这些报告列出了所有风险及其安全影响,建议的解决日期以及建议的缓解计划。POAM是联邦政府客户的强制性每月交付产品,可能非常繁琐且需要手动编写。


但是,尽管进行定期安全评估很重要,但这只是更广泛的安全计划中的一步。在当今不断变化的威胁形势下,时间点评估不足,因为它们可能在几个小时内就过时。组织必须持续监视系统以跟上这些变化,从而保持对漏洞和风险的准确了解。系统漏洞扫描应尽可能频繁地运行-最好每天或每周,但至少每月一次。

每个组织都需要的关键数据安全控制(图4)

事件响应

好的,因此您可以使用访问权限、完整性和配置控件,并且可以进行安全评估和系统漏洞扫描。但是,您是否有经过测试的行动计划,用于在安全事件确实发生时做出响应?希望您会这样做-因为如果您没有有效的事件响应计划,其他控制措施将无济于事。


最后要部署的关键数据安全控制域是一个文档化的响应计划,该计划详细说明了基于数据分类和事件严重性的事件处理。事件响应计划通常属于IT和安全性管辖范围,但应包括其他团队的贡献。 


今天,由于多种原因,事件响应计划至关重要。它们有助于保护您的业务并在发生安全事件后帮助恢复。如果您缺乏事件响应计划,那么在不可避免的事件管理失误发生时,除了可能面临罚款和法律诉讼外,您还表示对审计师的安全承诺较弱。请记住,某些行业领先的框架(例如ISO 27001)和法规(例如CCPA)现在需要事件响应计划。


利用安全信息和事件管理(SIEM)系统软件来帮助事件响应,可以使许多组织受益。SIEM软件应通过数据威胁情报等其他工具进行完善和微调,以改善安全事件的检测和管理。


最后,必须对事件响应计划进行例行测试,以确保在实际响应事件中功能正常。


记录控件的重要性

正如我们之前所讨论的那样,如今仅凭自我保证安全信息安全的能力还远远不够。审核员和客户希望看到您的安全控制的有效证据,以验证合规性。 


如今,在将安全控制措施放到适当位置并对其进行测试以确保其有效性时,收集安全控制措施的证据应成为工作流程的常规部分。对于许多组织而言,收集和存储证据仍然是事后的想法。通常,合规经理会在计划的IT合规性审核开始前几天就着手完成此任务。


结论

很可能,您的企业处理敏感信息只是时间问题,如果还没有的话。您的组织必须证明存在技术和行政控制措施以实现合规性认证(例如SOC 2、ISO 27001、CMMC等),并满足监管和合同义务。这不是一个可以偷工减料的领域,因为当您拥有的敏感客户信息遭到破坏时,您的声誉可能会受到重大打击。


不用担心——有了这五个关键控制,您的团队就可以保护敏感数据并证明合规性。首先使用基于最小特权和职责分离的身份验证管理系统来控制网络访问。通过恶意代码和垃圾邮件防护,连续的系统监视以及BCDR计划,确保系统完整性。管理配置,以确保所有更改都得到授权和记录。通过漏洞扫描和风险跟踪不断评估您的安全状况。最后,在紧急情况下创建并维护经过测试的事件响应行动计划。 


您已经掌握了——每个组织今天需要的五个关键数据安全控制。通过实施这些关键控制措施,您可以更加自信地保护敏感数据,同时以知道自己正在尽一切努力使整个世界变得更加安全而自豪。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609