3.11
IG2 IG3

Enkripsi Data Sensitif saat Diam

Kelompok Kontrol: 3. Perlindungan Data
Jenis Aset: Data
Fungsi Keamanan: Lindungi

Deskripsi

Enkripsi data sensitif saat diam pada server, aplikasi, dan basis data yang mengandung data sensitif. Enkripsi lapisan penyimpanan, juga dikenal sebagai enkripsi sisi server, memenuhi persyaratan minimum Pengamanan ini. Metode enkripsi tambahan dapat mencakup enkripsi lapisan aplikasi, juga dikenal sebagai enkripsi sisi klien, dimana enkripsi dan dekripsi data terjadi di dalam aplikasi.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Microsoft Purview Forrester Wave Leader, Data Security Platforms 2023

Platform tata kelola data dan kepatuhan dengan DLP, perlindungan informasi, label sensitivitas, dan manajemen risiko orang dalam

Microsoft · Langganan per pengguna (E5/standalone)
Netskope Data Protection Gartner MQ Leader, SSE 2024; Forrester Wave Leader, Data Security 2023

Platform DLP dan CASB cloud-native yang menyediakan perlindungan data inline untuk SaaS, IaaS, web, dan endpoint

Netskope · Langganan per pengguna
Symantec DLP Forrester Wave Leader, Data Security Platforms 2023

Pencegahan kehilangan data perusahaan yang mencakup endpoint, jaringan, penyimpanan, dan saluran cloud dengan inspeksi konten berbasis kebijakan

Broadcom · Lisensi perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Pelanggaran Basis Data yang Mengekspos Catatan Teks Biasa

Confidentiality

Penyerang yang mengeksploitasi SQL injection atau kredensial basis data yang dikompromikan mengakses data sensitif yang disimpan dalam teks biasa, segera mengeksfiltrasi PII, PHI, atau catatan keuangan yang dapat digunakan.

Pencurian Media Backup dengan Data Tidak Terenkripsi

Confidentiality

Backup server yang berisi data sensitif tidak terenkripsi dicuri atau dibuang secara tidak benar, memberikan penyerang akses lengkap ke catatan sensitif historis.

Kerentanan (Saat Pengamanan Tidak Ada)

Data Sensitif Disimpan dalam Teks Biasa pada Server dan Basis Data

Tanpa enkripsi saat diam, mengkompromikan server, basis data, atau sistem penyimpanan memberikan akses langsung ke semua data sensitif tanpa hambatan tambahan.

Tidak Ada Enkripsi Lapisan Aplikasi untuk Data Bernilai Tinggi

Mengandalkan hanya pada enkripsi lapisan penyimpanan berarti siapa pun dengan akses penyimpanan yang sah (administrator, akun layanan yang dikompromikan) dapat membaca data sensitif.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Enkripsi
Control 3
Standar Enkripsi yang Dapat Diterima
Control 3

Pengamanan Terkait di Kontrol 3

3.1 Tetapkan dan Pelihara Proses Manajemen Data
3.2 Tetapkan dan Pelihara Inventaris Data
3.3 Konfigurasikan Daftar Kontrol Akses Data
3.4 Terapkan Retensi Data
3.5 Buang Data dengan Aman
3.6 Enkripsi Data pada Perangkat Pengguna Akhir
3.7 Tetapkan dan Pelihara Skema Klasifikasi Data
3.8 Dokumentasikan Aliran Data
3.9 Enkripsi Data pada Media yang Dapat Dilepas
3.10 Enkripsi Data Sensitif saat Transit
3.12 Segmentasi Pemrosesan dan Penyimpanan Data Berdasarkan Sensitivitas
3.13 Terapkan Solusi Pencegahan Kehilangan Data
3.14 Catat Akses ke Data Sensitif
3.10 3.12