[[175390]]

信息保護(hù)已經(jīng)成為真正的生意，以至于政府和行業(yè)組織已經(jīng)對數(shù)據(jù)安全規(guī)則以及數(shù)據(jù)泄露的相關(guān)懲處做出了明確規(guī)定。單美國自己就有許多法律和行業(yè)協(xié)定要求組織制定政策和過程來識別數(shù)據(jù)西樓風(fēng)險。這些風(fēng)險還必須基于其安全等級進(jìn)行進(jìn)一步分類，規(guī)則還要求制定特殊的保護(hù)和控制措施來保護(hù)數(shù)據(jù)。進(jìn)一步還要求公司提供數(shù)據(jù)泄露事件的公開報告，無論是意外造成的還是出于惡意意圖的。

不過盡管有許多這些非常特殊的數(shù)據(jù)保護(hù)合規(guī)性指導(dǎo)，挑戰(zhàn)依然。2015年共發(fā)生了781起數(shù)據(jù)泄露事件，受連累的記錄達(dá)到7億份。網(wǎng)絡(luò)犯罪已經(jīng)發(fā)生了根本性的變化，從對網(wǎng)站造成嚴(yán)重危害的分布式拒絕服務(wù)攻擊或者信用卡盜竊過渡到更陰險狡詐的犯罪意圖。知識產(chǎn)權(quán)盜竊、黑客行為主義(hacktivism)、政府情報收集、數(shù)據(jù)泄露這些活動使得有組織犯罪成為常見的事情。近年來值得注意的一些泄露包括：

• 索尼身上發(fā)生的企業(yè)知識產(chǎn)權(quán)數(shù)據(jù)泄露。 存放在由美國人事管理局(OPM)管理的數(shù)據(jù)庫中上百萬個人可識別信息(PII)的泄露。PII包括了個人的社會安全號碼、生日、地址等信息。
• 超過1億的健康保險會員記錄被盜，其中健康支付商Anthem泄露規(guī)模最大，被盜記錄達(dá)到了7800萬份。

從合規(guī)性角度來說保護(hù)敏感數(shù)據(jù)是重要的，但也會提供商業(yè)價值。上述泄露的共同主題是破壞組織安全措施導(dǎo)致的潛在損失與被盜內(nèi)容的價值是直接相關(guān)的。比防火，泄露的索尼數(shù)據(jù)有可能包含了商業(yè)運(yùn)作和交易的信息，這些信息有可能被用來操縱股票市場。OPM泄露有可能導(dǎo)致流氓國家對所有政府員工和承包商都建立檔案，而盜取健康數(shù)據(jù)可以被用來進(jìn)行保險欺詐。

總之，組織已經(jīng)運(yùn)用了網(wǎng)絡(luò)邊界安全方法，為的是防止泄露并在系統(tǒng)受牽連的情況下提供通知。這種辦法仍然存在一定程度的風(fēng)險：針對未必實時發(fā)生的泄露，以及在許多情況下等到影響被注意到泄露早已發(fā)生多時或者對哪些數(shù)據(jù)集已被盜取的檢測能力。網(wǎng)絡(luò)邊界安全當(dāng)然是防止數(shù)據(jù)泄露的必要組件，但是對于完整的數(shù)據(jù)保護(hù)計劃來說光有這個是不夠的，因為一旦防火墻被攻破，保護(hù)就受限了。

美國數(shù)據(jù)保護(hù)合規(guī)性監(jiān)管

美國有幾個行業(yè)相關(guān)的合規(guī)性法則概括了識別和緩和數(shù)據(jù)安全風(fēng)險的過程。下面是美國數(shù)據(jù)保護(hù)合規(guī)性法則眾多例子當(dāng)中的一些示例：

在線數(shù)據(jù)保護(hù)：兒童在線隱私保護(hù)法案(COPPA)要求合理的過程去“保護(hù)對兒童個人信息收集的機(jī)密性、安全以及完整性。”

金融機(jī)構(gòu)數(shù)據(jù)收集：根據(jù)金融服務(wù)現(xiàn)代化法案的安全規(guī)則，“金融機(jī)構(gòu)必須形成書面的描述保護(hù)客戶信息規(guī)程的信息安全計劃。”該計劃必須包括“在公司運(yùn)營的每一個相關(guān)領(lǐng)域識別和評估客戶信息風(fēng)險，并且評估當(dāng)前控制這些風(fēng)險的保護(hù)措施的效能”的流程。

保護(hù)健康信息：健康保險流通與責(zé)任法案(HIPAA)隱私規(guī)則的目標(biāo)是“確保個人的健康信息受到適當(dāng)保護(hù)的同時允許必要的健康信息流動來提供和促進(jìn)高品質(zhì)的醫(yī)療保健……”

相應(yīng)地，HIPAA違反通知規(guī)則要求，HIPAA涉及的實體及其關(guān)聯(lián)企業(yè)在不安全的受保護(hù)健康信息被泄露后要提供通知，這種行為一般是指“在隱私規(guī)則下不被許可的、導(dǎo)致受保護(hù)健康信息的安全或隱私受侵犯的使用或者泄露。”

聯(lián)邦機(jī)構(gòu)數(shù)據(jù)保護(hù)：”2002年的聯(lián)邦信息安全管理法案(FISMA)要求聯(lián)邦機(jī)構(gòu)制定計劃來提供幫助保護(hù)信息資產(chǎn)的信息系統(tǒng)安全。FISMA指導(dǎo)這些機(jī)構(gòu)“提供制定和維護(hù)最低要求所需的控制來保護(hù)聯(lián)邦信息和信息系統(tǒng)。”

信用卡處理：支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)是一個行業(yè)性的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)提出了若干控制措施來保護(hù)存儲的持卡人數(shù)據(jù)并限制對這一數(shù)據(jù)的訪問。

數(shù)據(jù)保護(hù)合規(guī)性的實施

更大的洞察要求進(jìn)行更全面的敏感性分析、風(fēng)險評估以及數(shù)據(jù)保護(hù)合規(guī)性控制的制度。為了強(qiáng)化遵守數(shù)據(jù)保護(hù)法規(guī)和行業(yè)指導(dǎo)意見的手段，需要處理好下面這三個實施信息和內(nèi)容保護(hù)的關(guān)鍵問題：

數(shù)據(jù)感知：在數(shù)據(jù)資產(chǎn)可進(jìn)行保護(hù)之前，我們必須意識到這種數(shù)據(jù)的存在。許多組織缺乏共享、可訪問的主要數(shù)據(jù)集的目錄，更不必說對犯罪分子有可能感興趣的工作組或者桌面的人工產(chǎn)物進(jìn)行詳細(xì)評估了。因此，要在共享的詳細(xì)目錄中建立一個數(shù)據(jù)資產(chǎn)目錄來幫助支持?jǐn)?shù)據(jù)保護(hù)合規(guī)性過程。

敏感性評估：設(shè)計一個流程來分配被標(biāo)識的數(shù)據(jù)資產(chǎn)的敏感度。然而，要意識到盡管不是每一個數(shù)據(jù)集都包含有敏感信息，但是從不同數(shù)據(jù)集調(diào)配出來的數(shù)據(jù)可能會創(chuàng)建出不斷需要保護(hù)的信息集。要制定形成評估數(shù)據(jù)敏感度的辦法，并且用來對數(shù)據(jù)集進(jìn)行敏感度認(rèn)定。

數(shù)據(jù)保護(hù)：對于那些包含敏感信息的數(shù)據(jù)集來首，必須運(yùn)用特定應(yīng)用方法來保護(hù)破壞安全事件的內(nèi)容。要建立訪問控制并且定義數(shù)據(jù)訪問的角色和權(quán)限。這可能包括了加密(靜態(tài)和動態(tài))數(shù)據(jù)的手段，以及基于用戶權(quán)限級別的數(shù)據(jù)掩碼。

因為數(shù)據(jù)安全團(tuán)隊成員未必熟悉這些類型的數(shù)據(jù)管理最佳實踐，在數(shù)據(jù)管理專業(yè)人士與安全管理專業(yè)人士之間建立合作關(guān)系就顯得至關(guān)重要。這里面還需要技術(shù)支持全面的數(shù)據(jù)保護(hù)計劃，擁有數(shù)據(jù)資產(chǎn)識別和管理的評估工具也很重要。這些技術(shù)可以在多個數(shù)據(jù)集組合起來是用來確定受保護(hù)數(shù)據(jù)泄露的風(fēng)險是否會增加。

最后，要考慮利用加密和數(shù)據(jù)掩碼策略的數(shù)據(jù)保護(hù)策略的實現(xiàn)方式。通過彌補(bǔ)網(wǎng)絡(luò)邊界安全與內(nèi)容保護(hù)的鴻溝，你的組織就能擁有一個更加可預(yù)測的計劃來將信息安全風(fēng)險與對數(shù)據(jù)保護(hù)規(guī)則的違規(guī)行為降到最低。