ဒေတာကိုလုံခြုံရေး

ဘဏ္ဍာရေးပညာရှင်များများအတွက်တစ်ဦးကလျင်မြန်စွာ primer

ဒေတာလုံခြုံရေးအတွက်စိုးရိမ်ပူပန်မှု၏အဓိကပြဿနာဖြစ်ပါတယ် ဘဏ္ဍာရေးဝန်ဆောင်မှုလုပ်ငန်းနယ်ပယ် ကကြီးမားအလားအလာဘဏ္ဍာရေးနှင့်ဂုဏ်သတင်းကုန်ကျစရိတ်နှင့်ဆက်စပ်သည်ဖြစ်သောကြောင့်။ ဘဏ္ဍာရေးကုမ္ပဏီတွေပစ်မှတ်ထားဆိုက်ဘာပြစ်မှုမြင့်တက်ဖြစ်ပါတယ်။

ထို့ကြောင့်ဒေတာလုံခြုံရေးကိစ္စရပ်များမှအာရုံစူးစိုက်မှုအဖွဲ့ဝင်များကိုသာပါဝင်သင့်ပါတယ် သတင်းအချက်အလက်နည်းပညာ န်ထမ်းများ, ဒါပေမယ့်လည်း စီမံခန့်ခွဲမှုအန္တာရာယ် နှင့် လိုက်နာမှု ပုဂ္ဂိုလ်များအဖြစ်အင်္ဂါ controller ကို အဖွဲ့အစည်းများနှင့်ကာကွယ်ရေးဦးစီးချုပ်ဘဏ္ဍာရေးအရာရှိများ။

ထို့အပြင်အခြားစက်မှုလုပ်ငန်းများအတွက်ဘဏ္ဍာရေးစီမံခန့်ခွဲမှုပညာရှင်များဘဏ္ဍာရေးထိတွေ့မှုပေးသော, ဒေတာလုံခြုံရေးအတွက်အတွက်အကြောင်းအရာများနှင့်အတူအခြေခံအားဖြင့်စကားပြောဆိုဖြစ်ဖို့လိုအပ်ပါတယ်။

ဘဏ်များအပေါ်သက်ရောက်မှုပေးသောအဓိကဒေတာလုံခြုံရေးချိုးဖောက်မှု, ရင်းနှီးမြှုပ်နှံမှုကုမ္ပဏီများ, အီလက်ထရောနစ်ငွေပေးချေမှုပရိုဆက်ဆာ, ခရက်ဒစ်ကဒ်ကွန်ယက်များ, လက်လီကုန်သည်နှင့်အခြားသူများ၏တိုးပွားလာအကြိမ်ရေများနှင့်ကုန်ကျစရိတ်အဘယ်သူ၏အရေးပါမှုဒီရက်လျှော့မတွက်ဖို့မဖြစ်နိုင်သလောက်ပင်ဖြစ်သည်ဒီဧရိယာကိုမှန်ကန်စေသည်။

ဒေတာကိုလုံခြုံရေးကိစ္စများ:

အကြွေးဝယ်ကတ်များနှင့်ဒက်ဘစ်ကဒ်မှတဆင့်ငွေပေးချေမှုလက်ခံသောကုမ္ပဏီများအတွက်ဒေတာလုံခြုံရေးအီလက်ထရောနစ်ငွေပေးချေမှုပရိုဆက်ဆာများ၏ရွေးချယ်မှုနှင့် ပတ်သက်. စောင့်ရှောက်မှု၏အလွန်ကြီးစွာသောသဘောတူညီချက်ယူပြီးပါဝငျသညျ။ အဲဒီမှာစီးပွားရေးလုပ်ငန်း၏ဤလိုင်းအတွက်ကုမ္ပဏီများသည်ရာနှင့်ချီရှိပါတယ်, ဒါပေမယ့်တစ်ခုသာအပိုင်းတစ်ပိုင်းကိုသာလျှင်ငွေပေးချေကတ်စက်မှုလက်မှုလုပ်ငန်းရှင်များလုံခြုံရေးနျ Standard ကောင်စီက compliant PCI rated နေကြသည်။ အဓိကကရက်ဒစ်ကတ်ထုတ်ပေးသူကုမ္ပဏီများ (ဗီဇာ, မာစတာကတ်, etc) ပုံမှန်အားဖြင့်သာ PCI-compliant ပေးချေမှုပရိုဆက်ဆာကို အသုံးပြု. ဆီသို့ဦးတည်သည့်ကုမ္ပဏီများခုတ်မောင်းဖို့ကြိုးစား။

ထိုကဲ့သို့သောငွေသားမှတ်ပုံတင်, သဘာဝဓာတ်ငွေ့ပန့်များနှင့် ATM စက်များမှာအဖြစ်ရောင်းချခရက်ဒစ်ကဒ်နဲ့ငွေထုတ်ကဒ်အပြောင်းအလဲနဲ့၏အချက်နှင့် ပတ်သက်. ဒေတာလုံခြုံရေး, ပို. ပို. ကတ်နံပါတ်များနှင့်ပင်နံပါတ်များကိုခိုးယူရန်အစီအစဉ်များအားဖြင့်စိတ်မချရသောနှင့်ရှုပ်ထွေးလျက်ရှိသည်။ ဤအအစီအစဉ်များထဲကအတော်များများထိုကဲ့သို့သောဒေတာ "ယူသွား" ဤဆိပ်ကမ်းမှာဒေတာသူခိုးများက RFID ချစ်ပ် (ရေဒီယိုကြိမ်နှုန်းဖော်ထုတ်ခြင်းချစ်ပ်) ၏လျှို့ဝှက်ချက်ကိုနေရာချထားအသုံးချရန်။

လုံခြုံရေးကုမ္ပဏီ ADT ဒီမျိုး data တွေကိုပြိုပျက်ရာတို့ကိုတွေ့ရှိကြသောအခါသတိပေးချက်များကိုအစပျိုးလိုက်ခြင်းထားတဲ့ anti-အကြမ်းဖျဉ်းဖတ်ဆော့ဖ်ဝဲ, ကမ်းလှမ်းတဲ့ရောင်းချသူဖြစ်ပါတယ်။ ထို့အပြင်တစ်ဦးအရည်အချင်းပြည့်မီသောလုံခြုံရေးအကဲဖြတ်သူ (QSA) ဒေတာလုံခြုံရေးချိုးဖောက်မှုဤအမျိုးမျိုးမှကုမ္ပဏီရဲ့လွယ်ကူစွာထိခိုက်၏စစ်တမ်းတစ်ခုလုပ်ဆောင်သွားရန်စေ့စပ်နိုင်ပါသည်။

ဒေတာလုံခြုံရေးမကြာခဏဒေတာစင်တာများမှာရုပ်ပိုင်းဆိုင်ရာလုံခြုံရေးပေါ်တွင်မူတည်သည်။ ဒီအခွင့်ပြုချက်မရှိဘဲပုဂ္ဂိုလ်များထွက်ထားရှိမည်ဖြစ်ကြောင်းသေချာပါဝငျသညျ။ ထို့အပြင်အခွင့်အာဏာပုဂ္ဂိုလ်များကုမ္ပဏီတည်နေရာကနေအထိခိုက်မခံသတင်းအချက်အလက််, ဆာဗာများ, Laptop, flash drive ကို, disk တွေ, တိပ်ခွေ, printouts, etc ဖယ်ရှားပစ်ရန်ခွင့်ပြုရနိုင်မှာမဟုတ်ဘူး။ အလားတူပင်ထိန်းချုပ်မှုမိမိတို့၏လုပ်ငန်းတာဝန်များ၏ဥတုအတွက်မလိုအပ်ကြောင်းအထိခိုက်မခံအချက်အလက်များ၏ခွင့်ပြုချက်မရှိဘဲပုဂ္ဂိုလ်များရဲ့အကြည့်ရှုဆန့်ကျင်စောငျ့ရှောကျဖို့ရာအရပျ၌ဖြစ်သင့်ပါတယ်။

သင့်ကုမ္ပဏီရဲ့ဝုဏ်အပေါ်လုံခြုံရေး protocols များနှင့်လုပ်ထုံးလုပ်နည်းများအပြင်, ဒေတာအပြောင်းအလဲနဲ့နှင့်ဂီယာန်ဆောင်မှုများ၏အပြင်ဘက်တွင်စျေးသည်များ၏အလေ့အကျင့်စိစစ်ရမည်ဖြစ်သည်။ တတိယပါတီကုမ္ပဏီတစ်ခုကသင့်ကုမ္ပဏီရဲ့ website ကိုအိမ်ရှင်အဖြစ်လျှင်ဥပမာ, သငျသညျ၎င်းငျး၏ဒေတာလုံခြုံရေးလုပ်ထုံးလုပ်နည်းများနှင့် ပတ်သက်. စိုးရိမ်ပူပန်ဖြစ်ရပါမည်။ အဆိုပါ SAS-70 လက်မှတ်လူသိရှင်ကြားကျင်းပသတင်းအချက်အလက်နည်းပညာကုမ္ပဏီကြီးများအတွက် Sarbanes-Oxley အက်ဥပဒေအားဖြင့်လိုအပ်သည့်အတွင်းပိုင်းကွန်ရက်နှင့် ပတ်သက်. လုံလောက်သောလုံခြုံရေးအလုပျထုံးလုပျနညျးအဘို့ဘုံစံဖြစ်ပါတယ်။

SSL ကို protocol များ၏အသုံးပြုမှုထိုကဲ့သို့သောအရောင်းအများအတွက်ငွေပေးချေမှုအတွက်အကြွေးဝယ်ကဒ်နံပါတ်များ၏ input ကိုအဖြစ်အွန်လိုင်းလုံလုံခြုံခြုံအထိခိုက်မခံ data တွေကိုကိုင်တွယ်များအတွက်စံဖြစ်ပါတယ်။

Network ကိုလုံခြုံရေးအကောင်းဆုံးအလေ့အကျင့်:

ဒေတာလုံခြုံရေးတခုတခုအပေါ်မှာသက်ရောက်မှုရှိသည်ကွန်ယက်ကိုလုံခြုံရေး Key ကိုရှုထောင့်ဟက်ကာများနှင့်ဝက်ဘ်ဆိုဒ်များသို့မဟုတ်ကွန်ရက်များ၏ရေကြီးမှုဆန့်ကျင်ကာကွယ်မှုများဖြစ်ကြသည်။ သင့်ရဲ့ In-အိမ်သူအိမ်သားသတင်းအချက်အလက်နည်းပညာအုပ်စုတစ်စုနှင့်သင့်ကိုအင်တာနက်ဝန်ဆောင်မှုပေးသူ (ISP) နှစ်ခုလုံးကိုအရပျ၌သင့်လျော်သောတန်ပြန်ရှိရမည်။ ဤသည်ကိုလည်းကို web hosting အတွက်နှင့်ငွေပေးချေမှုအပြောင်းအလဲနဲ့ကုမ္ပဏီများသည်နှင့်စပ်လျဉ်းစိုးရိမ်ပူပန်တဲ့ကိစ္စဖြစ်ပါတယ်။ ဤသူအပေါင်းတို့သည်ပြင်ပတွင်ရောင်းချသူသူတို့ယျကာကွယ်မှုကိုသရုပ်ပြရမည်ဖြစ်သည်။

တဖန်အကောင်းဆုံးသင့်ကိုယ်ပိုင်ကုမ္ပဏီ၏ကိုယ်ပိုင်ဒေတာကွန်ရက်များရဲ့အနှစ်သာရတစ်ခုကိုအလေ့အကျင့်, ဒေတာစင်တာများနှင့်ဒေတာများစီမံခန့်ခွဲမှုသငျသညျအတည်ပြုသင့်ကြောင်းတူညီသူများဖြစ်ကြ၏ဒေတာအပြောင်းအလဲနဲ့, ငွေပေးချေမှုအပြောင်းအလဲနဲ့, ကွန်ယက်များနှင့် website ကို hosting ဝန်ဆောင်မှုအားလုံးပြင်ပရှိစျေးသည်များမှာအရပျ၌ရှိကြ၏။

တတိယပါတီပံ့ပိုးပေးနှင့်အတူမည်သည့်စာချုပ်သို့ဝငျမီ, သငျသညျ (အထကျဖျောပွထားသညျ့ကဲ့သို့) ကလွတ်လပ်သောပြင်ပမှာအလောင်းတွေထဲကသင့်တော်တဲ့နိမ့်ဆုံးအောင်လက်မှတ်များထုတ်ပေးရန်ရှိကြောင်းသိရှိနိုင်ရန်နှင့်သင့်ကိုယ်ပိုင်ကြောင့်လုံ့လဝီရိယလုပ်ဆောင်သွားရန်သင့်ကြောင်းသင့်လျော်သောအထောက်အထားများနှင့်အတူသင့်ကုမ္ပဏီ၏ကိုယ်ပိုင်သတင်းအချက်အလက်နည်းပညာပုဂ္ဂိုလ်များအားဖြင့်လည်းကောင်းဦးဆောင် သို့မဟုတ်အရည်အချင်းပြည့်အပြင်ဘက်အတိုင်ပင်ခံဖြင့်ပြုလုပ်နိုင်ပါတယ်။

နောက်ဆုံးထည့်သွင်းစဉ်းစားသကဲ့သို့, ဒေတာလုံခြုံရေးချိုးဖောက်မှုနဲ့ဆက်စပ်ကုန်ကျစရိတ်ဆန့်ကျင်အာမခံဝယ်ယူရန်ဖြစ်နိုင်ပါတယ်။ ထိုကဲ့သို့သောကုန်ကျစရိတ်ကိုသူတို့ကရက်ဒစ်ဒက်ဘစ်ကဒ်တစ်ခုကိုဖျက်ကတ်ထုတ်ပေးသူကုမ္ပဏီများ (အဓိကအားဖြင့်ဘဏ်များ, အကြွေးသမဂ္ဂများနှင့်လုံခြုံရေးကုမ္ပဏီ) အပေါ်စည်းကြပ်သောဒဏ်ငွေနှင့်ပြစ်ဒဏ်များထိုကဲ့သို့သောကျရှုံးမှုအတွက် (ဥပမာဗီဇာနှင့်မာစတာကတ်ကဲ့သို့သော) ခရက်ဒစ်ကဒ်ကွန်ရက်များအားဖြင့်ပေးဆောင်, အဖြစ်ကုန်ကျစရိတ်များပါဝင်သည် အသစ်သူတွေကိုထုတ်ပေးနှင့်ကြောင့်သင့်ကုမ္ပဏီကြောင့်ဖြစ်ရတဲ့ပြိုပျက်ရာတို့ကို, သူတို့က, အရှင်သင့်ကုမ္ပဏီပြန်လည်အားသွင်းဖို့ကြိုးစားလိမ့်မည်ဟုကုန်ကျစရိတ်ဖို့ကဒ်အဖွဲ့ဝင်တပြင်လုံးကိုအောင်။

ထိုသို့သောအာမခံတစ်ခါတစ်ရံတွင်ငွေပေးချေမှုအပြောင်းအလဲနဲ့ကုမ္ပဏီများကကမ်းလှမ်းနိုင်ပါတယ်အဖြစ်တိုက်ရိုက်အာမခံကုမ္ပဏီများအနေရရှိနိုင်တဲ့ဖြစ်ခြင်း။ ထိုကဲ့သို့သောမူဝါဒများအပေါ်ဒဏ်ငွေပုံနှိပ်ဒါထိုကဲ့သို့သောအာမခံဝယ်ယူစောင့်ရှောက်မှု၏အလွန်ကြီးစွာသောသဘောတူညီချက်လိုအပ်သည်, အသေးစိတ်နိုင်ပါသည်။

_{ကျောင်းအုပ်ကြီးအရင်းအမြစ်: "တိမ်းဖို့ဒေတာကိုဖောက်ဖျက်," Forbes မဂ္ဂဇင်း, 7/18/2011 ။}