آموزش رایگان سکیوریتی‌ پلاس: محافظت از داده‌های شخصی کاربران

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

مفاهیم حریم خصوصی و داده‌های حساس

درک مخاطرات امنیتی و چالش‌هایی که هنگام کار با داده‌ها متوجه شرکت‌ها است یکی از مهم‌ترین اصولی است که باید به عنوان کارشناس امنیتی در مورد آن آشنا باشید و به شرکت‌ها در این زمینه هشدار دهید. در این بخش با چالش‌هایی که شرکت‌ها در صورت عدم رعایت امنیت با آن روبرو می‌شوند و ابزارهایی که برای محافظت از داده‌ها در اختیار دارند آشنا خواهید شد.

پیامدهای سازمانی نقض حریم خصوصی و داده‌ها

اگر یک شرکت متوجه شود که حریم خصوصی و داده‌ها نقض شده است باید خود را با عواقب مختلف این مشکل آماده کند. در آزمون سکیوریتی پلاس در ارتباط با مفاهیم زیر از داوطلبان سوال می‌شود:

■   خدشه‌دار شدن نام برند: یکی از بزرگ‌ترین عواقب نقض‌های داده‌ای برای یک شرکت آسیب به اعتبار شرکت است. اگر مشتریان متوجه شوند که کسب و کار شما از داده‌های حساس محافظت نمی‌کند، ممکن است به سراغ شرکت دیگری بروند. این امر بر وضعیت مالی شرکت تأثیر می‌گذارد و می‌تواند باعث تعطیلی کسب‌وکار شود.

■   سرقت هویت: اگر دسترسی غیرمجاز به داده‌های حساس اتفاق افتد، ممکن است شما یا مشتریان‌تان سرقت هویت را تجربه کنید.

■   جریمه‌ها: ممکن است به دلیل محافظت نکردن صحیح از داده‌های حساس، با جریمه‌هایی روبرو شوید. این جریمه‌ها می‌تواند فشار مالی بر شرکت شما وارد کند.

■   سرقت IP: اگر نقض داده‌ای در زیرساخت وجود داشته باشد که منجر به دسترسی غیرمجاز به داده‌های حساس شرکت شود، می‌تواند منجر به سرقت مالکیت معنوی توسط مهاجم شود.

بیانیه‌های نقض

اگر نقض داده‌ای در کسب و کار شما رخ دهد، باید به افراد مربوطه اطلاع دهید. چه کسی را مطلع می کنید به نوع کسب و کار شما و نوع حادثه امنیتی که رخ داده بستگی دارد. دو شکل مختلف اعلان ها به شرح زیر است:

■   تشدید: پس از این‌که متوجه شدید یک حادثه امنیتی رخ داده، باید این موضوع را با تیم واکنش به حادثه در میان بگذارید. پس از بررسی حادثه، بسته به شدت، تیم واکنش به حادثه باید اقدامات فوری انجام دهد. به‌طور مثال، اگر یک حادثه در زیرساخت‌های ابری به وقوع افتاده، ممکن است نیاز باشد که به ارائه‌دهنده خدمات ابری این موضوع را اطلاع دهید.

■   اعلان‌ها و اطلاع‌رسانی عمومی: بسته به مقررات و قوانین حاکم بر سازمان ممکن است لازم باشد در مورد حادثه امنیتی بیانیه عمومی ارائه دهید و اطلاعاتی در ارتباط با حمله و در صورت لزوم جزییات فنی در اختیار افکار عمومی قرار دهید. ممکن است قانون الزام کند که شرکت به طور جداگانه به کاربران و مشتریان آسیب دیده اطلاع دهد.

انواع داده‌ها

هنگام طراحی خط‌مشی‌های امنیتی، هدف محافظت از حریم خصوصی و داده‌های حساس سازمانی است. درک انواع داده‌های موجود در سازمان به شما کمک می‌کند تا نوع کنترل‌های امنیتی مورد نیاز را درک کنید. برای مثال، دانستن طبقه‌بندی‌های مختلف اطلاعاتی که قبلاً مورد بررسی قرار گرفتند مثل داده‌های خصوصی و عمومی برای ایمن کردن داده‌ها مهم است. انواع دیگر داده‌های موجود در کسب‌وکارها که نیاز به حفاظت دارند به شرح زیر هستند:

■   اطلاعات شناسایی شخصی (Personally identifiable information): اطلاعاتی است که برای شناسایی یک فرد استفاده می‌شوند و منحصر به فرد هستند. به عنوان مثال، شماره گواهینامه رانندگی یک داده PII در نظر گرفته می‌شود.

■   اطلاعات بهداشتی (Health information): اطلاعات بهداشتی معمولاً حاوی اطلاعات پزشکی محرمانه درباره یک فرد است که فقط افراد مجاز مانند پزشک بیمار باید به آن دسترسی داشته باشند.

■   اطلاعات مالی ( Financial information): اطلاعات مالی مانند شماره کارت اعتباری و اطلاعات حساب بانکی باید محرمانه بماند و اقدامات لازم برای اطمینان از ذخیره نشدن داده‌ها به صورت متنی در سیستم‌های اطلاعاتی انجام شود.

■   داده‌های دولتی (Government data): اطلاعاتی که در صورت نقض می‌توانند خطر امنیتی برای دولت ایجاد کنند، باید به شدت محافظت شوند تا فقط افراد مجاز به اطلاعات دسترسی داشته باشند.

■   داده‌های مشتری (Customer data): داده‌های حساس مشتری باید همیشه محافظت شوند، مانند جزئیات تماس، اطلاعات آدرس و هرگونه داده مالی مربوط به مشتری.

فناوری‌هایی برای بهبود حریم خصوصی

به عنوان یک کارشناس امنیتی می‌توانید از فناوری‌های مختلفی برای محافظت از اطلاعات حساس مانند شماره کارت اعتباری و اطلاعات سلامتی استفاده کنید. برای آزمون سکیوریتی پلاس باید اطلاعات زیر را که مرتبط با حفظ حریم خصوصی هستند را به خاطر بسپارید:

■   ‌کمینه‌سازی داده‌ها ( Data minimization): اولین گام برای ایمن‌سازی داده‌های حساس به حداقل رساندن مقدار اطلاعاتی است که جمع‌آوری می‌کنید. کمینه‌سازی داده اصطلاحی است که برای توصیف فرآیند جمع‌آوری اطلاعات ضروری به کار می‌رود.

■   داده پوشانی (Data masking): پنهان‌سازی داده تکنیکی است که برای محافظت از داده‌های محرمانه یا خصوصی استفاده می‌شود. این روش در واقع یک ترفند برای ساخت نسخه‌ای جعلی از روی داده‌های اصلی سازمان است که اگرچه جعلی هستند اما واقعی به نظر می‌رسند. از جمله اهداف آن می‌توانیم به محافظت از داده‌های حساس و ایجاد داده‌های کاربردی در شرایطی که به داده‌های اصلی نیاز نداریم (مثلا زمانی که داده‌ها برای آموزش، تست نرم افزار، فروش دمو برنامه و... لازمند)، اشاره کنیم. در واقع فرآیند داده پوشانی به این گونه است که ضمن حفظ فرمت، مقدار و ارزش داده‌ها را تغییر می‌دهد تا نسخه‌ ایجاد شده از داده‌ها، با استفاده از رمزگشایی یا مهندسی معکوس، قابل تشخیص نباشند.

■  ‌نشانه‌گذاری (Tokenization): نشانه‌گذاری داده‌ها هنگامی استفاده می‌شود که اطلاعات حساس یافت شده در داده‌ها با یک رشته داده غیرمرتبط به‌نام رمز (توکن) جایگزین می‌شوند. سپس این رشته در یک نقشه داده در جای دیگری ذخیره می‌شود که می‌توان آن‌را جستجو کرد تا در صورت نیاز، داده‌های رمز را به داده‌های حساس تبدیل کند. نشانه‌گذاری یک تکنیک رایج برای ایمن کردن اطلاعات کارت اعتباری است، به طوری که داده‌های کارت اعتباری با داده‌های مشتری ذخیره نمی‌شود.

■   ناشناس‌سازی (Anonymization): تکنیک دیگری برای حفظ حریم خصوصی داده‌ها است که شامل حذف اطلاعات شناسایی شخصی از داده‌ها می‌شود تا افرادی که در داده‌ها توصیف می‌شوند ناشناس بمانند.

■   ‌شبه ناشناس‌سازی (Pseudo-anonymization): تکنیک فوق زمانی استفاده می‌شود که اطلاعات شناسایی شخصی که در فیلدهای پایگاه داده قرار دارند با نام مستعار جایگزین شوند.

نکته: برای آزمون گواهینامه سکیوریتی پلاس باید در مورد فناوری‌های مختلفی که می‌توان برای افزایش حریم خصوصی داده‌ها از آن‌ها استفاده کرد، آشنا باشید. به‌طور خاص، به یاد داشته باشید که پنهان‌سازی داده‌ها معمولاً در پایگاه‌های داده استفاده می‌شود و نشانه‌گذاری روی داده‌های خصوصی که باید بارها و بارها مورد استفاده مجدد قرار گیرند مثل شماره کارت‌های اعتباری باید انجام شود.

ملاحظات دیگر

آزمون سکیوریتی پلاس از شما انتظار دارد که چند اصطلاح دیگر را بدانید، زیرا آن‌ها به مفاهیم حفظ حریم خصوصی داده‌ها مرتبط هستند:

■   اطلاعات چرخه عمر: در هر کسب‌وکاری اطلاعاتی که بین کارکنان توزیع شده و توسط آن‌ها استفاده می‌شود دارای یک چرخه عمر هستند و پس از سپری شدن زمان، دور ریخته می‌شوند.

■   ارزیابی اثرات: به تاثیرگذاری یک حادثه امنیتی بر فعالیت‌های تجاری اشاره دارد. به عنوان مثال، تأثیر هک شدن سایت تجارت الکترونیک شرکت و دسترسی هکر به سوابق مشتریان چه پیامدهایی دارد.

■   شرایط توافقنامه: شرایط توافق سندی است که قوانین و شرایط رابطه بین دو طرف را که هر دو طرف با آن موافقت می‌کنند، مشخص می‌کند.

■   اطلاعیه حریم خصوصی: اعلامیه حریم خصوصی که به عنوان خط‌مشی رازداری نیز شناخته می‌شود، بیانیه‌ای است که نحوه جمع‌آوری، استفاده، افشا، مدیریت و حذف داده‌های مشتری را به او اطلاع می‌دهد.

نکته: برای آزمون گواهینامه سکیوریتی پلاس باید درباره مفاهیمی مثل ارزیابی تاثیرات و اطلاعیه حریم خصوصی و اهمیت هر کدام از این مفاهیم بر حریم خصوصی داده‌ها دانش کافی داشته باشید.

مقررات و استانداردها

گواهینامه سکیوریتی پلاس از شما انتظار دارد برخی از مقررات، استانداردها و چارچوب‌های رایج پیرامون امنیت اطلاعات و نحوه استفاده از آن‌ها را برای بهبود وضعیت امنیتی سازمان بدانید.

مقررات، استانداردها و قوانین

سازمان‌ها دلایل مختلفی برای اجرای خط‌مشی‌های امنیتی دارند.  یک سازمان ممکن است خط‌مشی‌ها را به گونه‌ای اجرا کند که با مقررات صنعت خود مطابقت داشته باشد یا از استانداردهای خاصی پیروی کند. برخی از مقررات و استانداردها می‌توانند بر چگونگی و چرایی ایجاد خط‌مشی‌های سازمان شما تأثیر بگذارند، بنابراین حتماً قوانین و استانداردهایی را که مختص صنعت است که مشغول کار در آن هستید را به دقت مطالعه کنید.

در ادامه به چند از مقررات و استانداردهایی را که امروزه رایج هستند، اشاره می‌کنیم.

ISO/IEC 17799

سازمان استاندارد بین المللی (ISO) و کمیسیون بین المللی الکتروتکنیکی (IEC) استاندارد ISO/IEC 17799 را ایجاد کردند که بهترین شیوه‌ها را برای مدیریت امنیت اطلاعات مشخص می‌کند. ISO/IEC 17799 مدیریت امنیت اطلاعات را به دسته‌های مختلف تقسیم می‌کند. به عنوان یک کارشناس امنیتی، ضروری است در ارتباط با هر یک از مفاهیم زیر دانش کافی کسب کنید:

■   Risk Assessment

■   Security Policies

■   Security Organization

■   Asset Protection

■   Personnel Security

■   Physical and Environmental Security

■   Communication and Operation Management

■   Access Control

■   System Maintenance

■   Business Continuity

ISO/IEC 17799 رسماً در سال 2000 تصویب شد، در سال 2005 به روز شد و سپس در سال 2007 به ISO/IEC 27002 تغییر نام پیدا کرد. هدف از شماره‌گذاری مجدد این بود که استاندارد با سایر استانداردهای سری ISO 27000 همسو شود.

PHI و HIPAA

تعدادی از خط‌مشی‌ها و اقدامات طراحی شده برای محافظت از اطلاعات صنعت بهداشت و درمان ایالات متحده است که قابلیت تعمیم به سایر کشورها را دارد. اطلاعات بهداشتی محافظت شده (PHI) سرنام Protected health information اطلاعات بهداشتی در مورد یک بیمار، مراقبت، وضعیت سلامت و سابقه پرداخت را شامل می‌شود که توسط قانون انتقال و پاسخ گويي الکترونيک بيمه سلامت (HIPAA) سرنام Health Insurance Portability and Accountability Act از آن‌ها محافظت می‌شود. به‌طور معمول، سازمان‌ها این مدل اطلاعات از بیماران را برای حفظ هویت و حریم خصوصی به شکل رمزنگاری شده یا نشانه‌گذاری شده ذخیره‌سازی می‌کنند.

HIPAA در سال 1996 با هدف پاسخ‌گویی به دغدغه‌های افکار عمومی در ارتباط با حفظ حریم خصوصی پرونده‌های مراقبت‌های بهداشتی معرفی شد. HIPAA یک استاندارد سخت‌گیر در ایالات متحده است که به وضوح نشان می‌دهد که سازمان‌های فعال در حوزه بهداشت و درمان باید به دقت از اطلاعات بهداشتی افراد که امکان شناسایی آن‌ها را امکان‌پذیر می‌کند مراقبت کنند.

اطلاعات شناسایی قابل شخصی

اطلاعات قابل شناسایی شخصی (PII) سرنام Personally Identifiable Information به اطلاعاتی گفته می‌شود که به‌طور انحصاری برای شناسایی افراد استفاده می‌شود. در زیر دو نمونه از اطلاعات که به عنوان PII در نظر گرفته می‌شوند را بررسی می‌کنیم:

■   شماره شناسایی ملی (National identification number): یک شماره شناسایی ملی چیزی شبیه به شماره تأمین اجتماعی است.

■   شماره گواهینامه رانندگی (Driver’s license number): نمونه خوبی از اطلاعات منحصر به فرد در مورد یک فرد است که باید به دقت محافظت شوند.

برای آزمون گواهینامه سکیوریتی پلاس باید با مفاهیمی مثل اطلاعات شخصی قابل شناسایی (PII) آشنا باشید و بتوانید به نمونه‌هایی در این زمینه اشاره کنید. PII باید همیشه محافظت شده و محرمانه باقی بمانند.

استانداردها و مقررات دیگری نیز وجود دارد که باید هنگام ساخت خط‌مشی امنیتی با آن‌ها آشنا باشید تا مطمئن شوید که کسب و کار شما از قوانین حاکم بر صنعتی که در آن کار می‌کند پیروی می‌کند. در زیر استانداردها و مقررات دیگری وجود دارد که باید هنگام ایجاد خط‌مشی امنیتی خود در نظر داشته باشید:

■   مقررات عمومی حفاظت از داده‌ها: GDPR سرنام General Data Protection Regulation یک استاندارد اروپایی است که برای محافظت از داده‌های خصوصی افراد طراحی شده است. سازمان‌هایی که داده‌های شخصی را پردازش یا مدیریت می‌کنند باید کنترل‌های امنیتی را برای اطمینان از عدم دسترسی غیرمجاز به داده‌های خصوصی داشته باشند. GDPR الزامات امنیتی و مسئولیت‌های پردازش داده (فناوری‌هایی که داده‌های شخصی را پردازش می‌کنند) و کنترل‌کنندگان داده (موسساتی که مسئول حفاظت از داده‌های شخصی هستند) را تشریح می‌کند.

■   قوانین ملی ( National): به مجموعه قوانینی اشاره دارد که رویکرد کشوری دارند و بر سازمان شما در رابطه با ایمن‌سازی دارایی‌ها و به ویژه داده‌های کارکنان و مشتریان تاکید دارند.

■   استاندارد امنیت داده‌های صنعت کارت پرداخت: PCI DSS سرنام Payment Card Industry Data Security Standard  یک استاندارد امنیت اطلاعات است که توسط شرکت‌های کارت اعتباری اجباری شده تا اطمینان حاصل شود که تجار اقدامات لازم را برای ایمن کردن داده‌های کارت اعتباری انجام می‌دهند. PCI DSS دارای تعدادی الزامات امنیتی است که باید توسط شرکت‌هایی که داده‌های کارت اعتباری را جمع‌آوری می‌کنند، رعایت شوند. ارزیابی‌های امنیتی که به طور منظم انجام می‌شوند، بخش‌بندی شبکه و امنیت، حفاظت از اطلاعات دارندگان کارت و اجرای روش‌های کنترل دسترسی مطمئن به داده‌ها از جمله این موارد هستند.

نکته: در ارتباط با آزمون سکیوریتی پلاس حتماً تفاوت بین استانداردهای مختلف مانند ISO، GDPR و PCI DSS را بررسی کنید.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.

معرفی آموزشگاه شبکه و امنیت

• تهران: آموزشگاه عصر رایان شبکه
• مهندس اطلاعات 

تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

استخدام کارشناس شبکه