Skip to main content

V8.1.6 General Data Protection

Requirement:#

Verify that backups are stored securely to prevent data from being stolen or corrupted.

Explanation:#

Требование направлено на обеспечение безопасного хранения резервных копий для предотвращения несанкционированного доступа, кражи или повреждения конфиденциальных данных.

1 Data Confidentiality:

  • Резервные копии часто содержат конфиденциальную информацию, и сохранение конфиденциальности этих данных имеет решающее значение. Безопасное хранение резервных копий позволяет предотвратить несанкционированный доступ к конфиденциальной информации.

2 Protection Against Unauthorized Access:

  • Безопасное хранение предполагает использование средств контроля доступа и шифрования для защиты файлов резервных копий. Доступ к резервным копиям должен иметь только авторизованный сотрудник.

3 Encryption of Backup Data:

  • Шифрование данных резервного копирования обеспечивает дополнительный уровень защиты. Если файлы резервных копий хранятся в местах, доступных потенциальным злоумышленникам, шифрование позволяет сохранить конфиденциальность информации даже в случае несанкционированного доступа.

4 Access Controls:

  • Для ограничения доступа к хранилищу резервных копий следует применять строгие средства контроля доступа. В том числе с помощью ролевого управления доступом (RBAC) можно обеспечить доступ и управление файлами резервных копий только лицам с соответствующими полномочиями.

5 Secure Storage Locations:

  • Выбирайте безопасные места хранения файлов резервного копирования. Для этого могут использоваться выделенные серверы резервного копирования, защищенные "облачные" хранилища или другие среды с контролируемым доступом и надежными мерами безопасности.

6 Network Security:

  • Если резервные копии передаются по сети, используйте безопасные протоколы, такие как SFTP или SCP. Шифрование данных при передаче обеспечивает их конфиденциальность и защиту от прослушивания.

7 Monitoring and Auditing:

  • Внедрите механизмы мониторинга и аудита для отслеживания доступа к файлам резервного копирования. Регулярно просматривайте журналы для выявления необычных или несанкционированных действий, связанных с хранением резервных копий.

8 Incident Response Plan:

  • Разработать план реагирования на инциденты, специально предназначенный для инцидентов, связанных с несанкционированным доступом или компрометацией данных резервного копирования. Этот план должен включать процедуры расследования и устранения последствий инцидентов безопасности.

9 Data Integrity Checks:

  •  Реализовать механизмы проверки целостности файлов резервного копирования. Периодически проверяйте файлы резервных копий, чтобы убедиться, что они не были повреждены или подделаны.

10 Documentation:

  • Документируйте меры безопасности, применяемые для хранения резервных копий. Эта документация должна содержать подробные сведения о контроле доступа, методах шифрования и других мерах безопасности.

Remediation:#

Для выполнения требования, в котором особое внимание уделяется защите резервных копий для предотвращения кражи или повреждения данных, необходимо реализовать следующее 

1 Encryption of Backup Data:

  • Шифруйте данные резервного копирования для обеспечения конфиденциальности. Для защиты конфиденциальной информации используйте надежные алгоритмы и ключи шифрования. Убедитесь, что доступ к ключам шифрования имеет только авторизованный сотрудник.

2 Access Controls:

  • Реализуйте надежный контроль доступа к хранилищу резервных копий. Используйте ролевой контроль доступа (RBAC) для ограничения доступа только авторизованного персонала. Регулярно пересматривайте и обновляйте разрешения на доступ.

3 Secure Storage Locations:

  • Выбирайте безопасные места хранения файлов резервного копирования. Это могут быть выделенные серверы резервного копирования, защищенные облачные хранилища или физически защищенные периферийные устройства.

4 Network Security:

  • Используйте безопасные сетевые протоколы для передачи данных резервного копирования. Такие протоколы, как SFTP (Secure File Transfer Protocol) или SCP (Secure Copy Protocol), шифруют данные при передаче, предотвращая их перехват неавторизованными лицами.

5 Monitoring and Auditing:

  • Внедрите механизмы мониторинга и аудита для отслеживания доступа к файлам резервного копирования. Регулярно просматривайте журналы на предмет несанкционированных или подозрительных действий. Устанавливать оповещения о необычных сценариях доступа.

6 Incident Response Plan:

  • Разработайте и задокументируйте план реагирования на инциденты, специально предназначенный для инцидентов, связанных с несанкционированным доступом или компрометацией данных резервного копирования. Определите процедуры расследования, локализации и восстановления.

7 Regular Security Assessments:

  • Проводить регулярные оценки безопасности, включая оценку уязвимостей и тестирование на проникновение, с целью выявления и устранения уязвимостей в инфраструктуре хранения резервных копий.

8 Data Integrity Checks:

  • Реализовать механизмы проверки целостности файлов резервного копирования. Периодически проверяйте файлы резервных копий, чтобы убедиться, что они не были повреждены или подделаны. Для проверки целостности данных используйте контрольные суммы или хэши.

9 Documentation:

  • Документируйте меры безопасности, реализованные для хранения резервных копий. 

10 Employee Training:

  • Проведите обучение сотрудников, ответственных за управление резервным копированием.

11 Regular Review and Update:

  • Регулярно пересматривайте и обновляйте меры безопасности резервного копирования с учетом изменений в среде, технологиях и угрозах безопасности. Убедитесь, что меры безопасности остаются эффективными и соответствуют лучшим практикам.

Additional:#

Edit this page