شهادة Security Plus الدرس 16 : شرح مفاهيم خصوصية البيانات والحماية (Explaining Data Privacy & Protection Concepts)

sparrow
0

 

 

 

 

 

الفصل : 16


العنوان :  شرح مفاهيم خصوصية البيانات والحماية (Explaining Data Privacy & Protection Concepts)





Prvacy & Sensitive Data Concepts 

في اول lesson قمنا بالتكلم عن الحماية وامن المعلومات , وحتى نتطبق الامان على البيانات لابد من تطبيق ال CIA وانه ايضا يتوفر لي التشفير للاجهزة وللبينات الل يتم نقلها 


Privacy VS Security :


Privacy :

الخصوصية ,يعني وهو من له الحق او السماح للقرائة او الدخول في شئ معين مثل الشبكة , او قرائة ملفات , لذلك نقول عندما يحدث شئ يخالف الامر انه "انتهاك الخصوصية"


Security:

وهو بكل بساطة تطبيق نظام ال CIA في البيانات , اللي تقوم بحماية البيانات من التلف والضياع او التعديل 



Data Routes & Responsibilities 

اللي بيقوم بتطبيق ال privacy هي ال  data governance policy , حيث ال policy هي اللي تقوم بالتحديد من اللي لديه الصلاحيات للوصل الى البيانات هذه او غيرها , لان ال policy هي الوثيقة اللي يكون فيها كل شئ في الشركة من باسوردات خاصة باجهزة ومن اماكن الافراد ومن كل شئ , وتكون مع شخص معين , ويوجد انواع مهام للبيانات وهي : 


Data Owner : 

وهو صاحب البيانات نفسها , وهي اللي بيكون له جميع الصلاحيات الوصول لها 


Data Steword : 

هذا الدور مسؤول بشكل أساسي عن جودة البيانات ، وهذا يتضمن مهام مثل

ضمان تسمية البيانات وتعريفها بالبيانات الوصفية المناسبة وجمعها

ويتم تخزينها بتنسيق وقيم تتوافق مع القوانين واللوائح المعمول بها.


Data custodian:

يتضمن ذلك مسؤولية فرض التحكم في الوصول والتشفير والنسخ الاحتياطي / الاسترداد

الإجراءات , وهو المختص يعني في الامان ,هو يعد مثل ال ACL الخاص بها 


Data Privacy Officer (DPO) :

هذا الدور مسؤول عن الإشراف على أي تعريف نوع البيانات , لان البيانات لها اكثر من نوع




Data Classifications : تصنيفات البيانات

بحيث يتم تصنيف البيانات على حسب معلوماتها خصوصيتها وسريتها  :


Public (unclassified) :

لا توجد قيود على عرض البيانات والمعلومات العامة 

لا يمثل أي خطر على المنظمة إذا تم الكشف عنه ولكنه يمثل خطرا إذا تم تعديله أو اصبحت غير متوفر


Confidential (secret) :

المعلومات حساسة للغاية ، للعرض فقط من قبل المعتمدين 

الأشخاص داخل المنظمة المالكة فقط ، ومن اطراف موثوق بها جدا  بموجب اتفاقية عدم الإفشاء اللي تكلمنا عنها سابقا وهي ال NDA 


Critical (top secret):

المعلومات قيمة للغاية بحيث لا تسمح بأي خطر من التقاطها ، والمشاهدة مقيدة بشدة 


هذا التصنيف كان الخاص بالامان , ولكن يوجد تصنيف اخر من ناحية اصل المعلومات وهو : 


Proprietary :

معلومات الملكية هي المعلومات التي تنشئها وتملكها الشركة لنفسها فقط ، عادة حول المنتجات أو الخدمات التي تصنعها أو تؤديها , مثل شركة APPLE لديها نظام ال IOS ولا يمكن لاي شركة استخدامه مثل اللي بيحدث لل Android 



Private/personal data : 

المعلومات التي تتعلق بالهوية الفردية.


Sensitive :

عادة ما تستخدم هذه التسمية في سياق البيانات الشخصية ، وقد تضر المعلومات الحساسة للخصوصية عن شخص ما إذا تم نشرها على الملأ , حيث تكون مثل ال Top Secret ولكن بالنسبة للاشخاص



Data Types : 


  Personally Identifiable Information (PII) :

ال PII هي البيانات التي يمكن استخدامها لتحديد هوية الفرد أو الاتصال به أو تحديد مكانه 

ال Social Security Number (SSN)  هو مثال جيد لمعلومات تحديد الهوية الشخصية. 

يشمل ال PII الآخر الاسم وتاريخ الميلاد وعنوان البريد الإلكتروني ورقم الهاتف وعنوان الشارع والبيانات المختلفة وما إلى ذلك قد تكون بعض أجزاء المعلومات ، مثل SSN ، فريدة (على سبيل المثال ، الاسم الكامل مع تاريخ الميلاد وعنوان الشارع)

بعض أنواع المعلومات قد تكون معلومات تحديد الهوية الشخصية (PII) حسب السياق او الموضوع 

على سبيل المثال ، عندما يتصفح شخص ما الويب باستخدام عنوان IP ثابت ، يكون عنوان IP هو PII.

العنوان الذي يتم تعيينه ديناميكيًا بواسطة مزود خدمة الإنترنت او ما يسمى بال ISP  قد لا يتم اعتباره معلومات تحديد الهوية الشخصية.

غالبًا ما يتم استخدام PII لآليات إعادة تعيين كلمة المرور ولتأكيد الهوية عبر الهاتف


Health Information (PHI) :

تشير المعلومات الصحية الشخصية (PHI) - أو المعلومات الصحية المحمية - إلى السجلات الطبية والتأمينية ، بالإضافة إلى نتائج الاختبارات المعملية والمستشفيات 

يتم تداول PHI بقيم عالية في السوق السوداء ، مما يجعلها هدفًا جذابًا.

يسعى المجرمون إلى استغلال البيانات لأغراض الاحتيال التأميني أو ربما لابتزاز الضحايا ,لان بيانات PHI حساسة للغاية وفقدانها له تأثير "دائم"

بخلاف رقم بطاقة الائتمان أو رقم الحساب المصرفي اللي انت ممكن تغيرها لو تم كشفها , ولكن ال PHI لا يتم تغييره ,لانه يكون مثلا مرض او شئ فيك انت حرفيا 

 ونتيجة لذلك ، فإن الضرر الذي يلحق بالسمعة والذي قد ينجم عن خرق بيانات المعلومات الصحية المحمية يعد ضررًا هائلاً.


Financial Information :

تشير المعلومات المالية إلى البيانات المحفوظة حول الحسابات المصرفية والاستثمارية ، بالإضافة إلى المعلومات مثل كشوف المرتبات والإقرارات الضريبية.

تتضمن معلومات بطاقة الدفع رقم البطاقة وتاريخ انتهاء الصلاحية وقيمة التحقق من البطاقة المكونة من ثلاثة أرقام (CVV) وهو الثلاث ارقام اللي بيكونو خلف بطاقة الائتمان

قد تتطلب إساءة استخدام البطاقة أيضًا اسم صاحبها والعنوان الذي تم تسجيل البطاقة به.


Government Data :

 داخليا ، لدى الوكالات الحكومية متطلبات معقدة لجمع البيانات ومعالجتها.

 في الولايات المتحدة ، تفرض القوانين الفيدرالية متطلبات معينة على المؤسسات التي تجمع البيانات وتعالجها عن المواطنين ودافعي الضرائب.

يمكن مشاركة هذه البيانات مع الشركات لتحليلها بموجب اتفاقيات صارمة للحفاظ على الأمن والخصوصية.



Privacy Breaches :


خرق البيانات هو فقدان أي نوع من البيانات (لا سيما معلومات الشركة والملكية الفكرية)


 Data Breaches : 

يشير خرق الخصوصية على وجه التحديد إلى فقدان البيانات الشخصية والحساسة أو الكشف عنها


Data Protection : حماية البيانات 


يمكن وصف البيانات على أنها في واحدة من ثلاث حالات:


 Data at rest :

تعني هذه الحالة أن البيانات موجودة في نوع من وسائط التخزين الثابتة او ال hard disk 

تشمل الأمثلة على أنواع البيانات التي قد تكون غير مستقرة المعلومات المالية المخزنة في قواعد البيانات والوسائط السمعية البصرية المؤرشفة والسياسات التشغيلية ووثائق الإدارة الأخرى وبيانات تكوين النظام والمزيد

في هذه الحالة ، من الممكن عادةً تشفير البيانات باستخدام تقنيات مثل whole disk 

encryption التشفير ، وتشفير قاعدة البيانات ، والتشفير على مستوى الملف أو المجلد.

ومن الممكن أيضًا تطبيق الأذونات مثل (ACL) - لضمان أن المستخدمين المصرح لهم فقط يمكنهم قراءة البيانات أو تعديلها.


Data in transit (or data in motion) :

هذه هي الحالة التي يتم فيها نقل البيانات عبر الشبكة.

 تشمل الأمثلة على أنواع البيانات التي قد تكون قيد النقل حركة مرور موقع الويب وحركة الوصول عن بُعد والبيانات التي تتم مزامنتها بين مستودعات التخزين السحابية والمزيد

في هذه الحالة ، يمكن حماية البيانات بواسطة بروتوكول تشفير النقل ، مثل TLS أو IpSec


Data in use (or data in processing):

هذه هي الحالة التي تكون فيها البيانات موجودة في الذاكرة المتغيرة ، مثل ذاكرة الوصول العشوائي RAM للنظام أو سجلات وحدة المعالجة المركزية  CPU وذاكرة التخزين المؤقت

تتضمن أمثلة أنواع البيانات التي قد تكون قيد الاستخدام المستندات المفتوحة في تطبيق معالج وبيانات قاعدة البيانات التي يتم تعديلها حاليًا وسجلات الأحداث التي يتم إنشاؤها أثناء تشغيل نظام التشغيل والمزيد.

لذلك نقوم باستخدام تكنيك trusted execution environment (TEE) , بحيث من الطبيعي عندما تعمل البيانات في الذاكرة او في ال RAM او في ال CPU لا بد من تفكيك التشفير الخاص بها , ولكن هذا التكنيك يقوم بالفعل بجعلها مشفرة اثناء العمل 

مثل ملحقات Intel Software Guard Extensions قادرة على تشفير البيانات كما هي موجودة في الذاكرة


Data Exfiltration : 

 تعد هجمات تسريب البيانات إحدى الوسائل الأساسية للمهاجمين لاسترداد البيانات القيمة ، مثل معلومات التعريف الشخصية (PII) أو معلومات الدفع ، والتي غالبًا ما تكون معدة للبيع لاحقًا في السوق السوداء.

• يمكن استخراج البيانات عبر مجموعة متنوعة من الآليات ، بما في ذلك:

نسخ البيانات إلى وسائط قابلة للإزالة أو جهاز آخر به وحدة تخزين ، مثل محرك USB أو بطاقة الذاكرة في الكاميرا الرقمية أو الهاتف الذكي.

 استخدام بروتوكول شبكة ، مثل HTTP أو FTP أو SSH أو البريد الإلكتروني أو المراسلة الفورية (IM) / الدردشة.

 من خلال توصيلها شفهياً عبر الهاتف أو الهاتف الخلوي أو شبكة نقل الصوت عبر بروتوكول الإنترنت (VoIP). الرسائل النصية عبر الهاتف الخليوي احتمال آخر.

 استخدام صورة أو مقطع فيديو للبيانات - إذا تم تحويل المعلومات النصية إلى تنسيق صورة ، فمن الصعب جدًا على نظام الكشف المعتمد على الكمبيوتر تحديد المعلومات الأصلية من بيانات الصورة

نحل هذه المشكلة من خلال ال DLP


 Data loss prevention (DLP) :

على أتمتة اكتشاف أنواع البيانات وتصنيفها وفرض القواعد بحيث لا يتم عرض البيانات أو نقلها دون إذن مناسب 

تتكون هذه الحلول عادة من المكونات التالية:

Policy server :

لتكوين قواعد وسياسات التصنيف والسرية والخصوصية وتسجيل الحوادث وتجميع التقارير.


Endpoint agents :

لفرض السياسة على أجهزة الكمبيوتر العميلة ، حتى عندما لا تكون متصلة بالشبكة.

Network agents :

لفحص الاتصالات عند حدود الشبكة والتفاعل مع خوادم الويب والرسائل لفرض السياسة

 

■ النهاية 

نكون هنا انتهينا من الفصل 16 من شهادة security plus المقدمة من CompTIA اصبحنا اقرب جدا 

واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا  


او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله 


ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من     هنا 


يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من  

هنا


وفقط كان معكم sparrow مقدم هذه الشهادة من فريق Hidden Lock














إرسال تعليق

0تعليقات

إرسال تعليق (0)

#buttons=(موافق!) #days=(20)

يستخدم موقعنا ملفات تعريف الارتباط لتحسين تجربتك. تاكد الان
Ok, Go it!