Организациям и правительствам важно рассмотреть этические и социальные последствия использования технологий реагирования на инциденты и восстановления после катастроф, а также разработать руководящие принципы и политику, обеспечивающие ответственное и этичное их применение. Это может включать такие меры, как регулярный аудит, привлечение к процессу заинтересованных сторон и прозрачность сбора и использования данных.
Глава 7СОБЛЮДЕНИЕ НОРМАТИВНЫХ ТРЕБОВАНИЙ И ЮРИДИЧЕСКИЕ ВОПРОСЫ
Обзор правовых и нормативных требований к компьютерной безопасности
Далее представлен общий обзор правовых и нормативных требований к компьютерной безопасности. Здесь рассматриваются такие темы, как цель и сфера соответствия, типы законов и нормативных актов, которые применяются к компьютерной безопасности, и последствия несоблюдения их требований. Сюда входит также краткое обсуждение основных систем обеспечения соответствия, таких как HIPAA, PCI DSS и Общий регламент по защите данных, и их применения к компьютерной безопасности. Цель — дать читателям базовое понимание правового и нормативного ландшафта компьютерной безопасности и важности соблюдения нормативных требований для защиты конфиденциальной информации и поддержания целостности компьютерных систем.
Закон о переносимости и подотчетности медицинского страхования (HIPAA) — это федеральный закон США, который был принят в 1996 году для защиты конфиденциальности и безопасности личной медицинской информации (PHI). Он распространяется на все субъекты, которые работают с PHI, включая поставщиков медицинских услуг, программы медицинского страхования и медицинские клиринговые центры. Правило безопасности HIPAA устанавливает национальные стандарты защиты конфиденциальности, целостности и доступности электронной PHI (ePHI) и требует от организаций, на которые распространяется действие закона, внедрения административных, физических и технических мер безопасности для защиты ePHI от несанкционированного доступа, использования, раскрытия, изменения или уничтожения. Соблюдение HIPAA обеспечивается управлением по гражданским правам министерства здравоохранения и социального обеспечения, а несоблюдение может привести к значительным штрафам и взысканиям.
Стандарт безопасности данных индустрии платежных карт — это набор стандартов безопасности, разработанных для обеспечения того, чтобы все компании, которые принимают, обрабатывают, хранят или передают информацию о кредитных картах, поддерживали безопасную среду. PCI DSS применяется ко всем организациям (независимо от размера или количества транзакций), которые принимают или обрабатывают платежные карты с логотипами любого из пяти основных карточных брендов: Visa, MasterCard, American Express, Discover и JCB. Стандарт включает требования к управлению безопасностью, политике, процедурам, архитектуре сети, разработке программного обеспечения и другим важным мерам защиты.
Организации должны ежегодно подтверждать соответствие стандарту, заполняя анкету самооценки (Self-Assessment Questionnaire, SAQ) или проходя оценку на месте квалифицированным оценщиком безопасности (Qualified Security Assessor, QSA). Несоблюдение требований стандарта может привести к штрафам, пеням и даже потере возможности принимать платежи по кредитным картам.
Общий регламент по защите данных (GDPR) — это всеобъемлющий закон о защите данных, который вступил в силу в Европейском союзе 25 мая 2018 года. Он заменяет Директиву ЕС о защите данных 1995 года и применяется ко всем организациям, обрабатывающим персональные данные граждан ЕС, независимо от местонахождения организации.
GDPR усиливает и гармонизирует защиту данных граждан ЕС, предоставляя им больший контроль над их личными данными и тем, как они используются. Он также налагает строгие ограничения на организации, обрабатывающие персональные данные, включая контролеров и обработчиков данных.
GDPR распространяется на широкий спектр персональных данных, включая имена, адреса, адреса электронной почты и IP-адреса, а также особо секретные сведения, такие как информация о здоровье и генетические данные. Организации несут ответственность за обеспечение справедливой, законной и прозрачной обработки персональных данных, а также принятие соответствующих мер по их защите от несанкционированного доступа, потери или уничтожения.
Передовые методы обеспечения соответствия — это набор рекомендаций и процедур, которым могут следовать организации для обеспечения соблюдения правовых и нормативных требований к компьютерной безопасности. Эти передовые методы могут включать регулярную оценку рисков, внедрение надежных средств контроля безопасности, а также регулярный пересмотр и обновление политик и процедур. Вот некоторые передовые методы, которые организации могут внедрить для соблюдения GDPR:
• Назначение сотрудника по защите данных для надзора за соблюдением нормативных требований.
• Регулярная оценка воздействия защиты данных.
• Предоставление частным лицам четких и подробных уведомлений о конфиденциальности.
• Осуществление технических и организационных мер по защите персональных данных.
• Предоставление людям права на доступ к своим персональным данным, их исправление и удаление.
• Наличие процедур на случай утечки данных.
• Регулярное обучение сотрудников по вопросам защиты и безопасности данных.
Организациям важно знать не только об этих передовых методах, но и о любых обновлениях или изменениях в правилах GDPR, а также дополнительных юридических и нормативных требованиях, которые могут применяться к их отрасли или действовать на территории, где они расположены.
Правоприменение и штрафы за несоблюдение законодательных и нормативных требований к компьютерной безопасности, таких как Общий регламент по защите данных (GDPR), могут быть очень серьезными. Организации, не соблюдающие GDPR, могут быть оштрафованы на сумму до 4 % от их годового дохода или 20 млн евро (в зависимости от того, что больше). Эти штрафы призваны стимулировать соблюдение закона и обеспечить принятие организациями мер по защите персональных данных.
В результате несоблюдения требований организации помимо финансовых штрафов могут столкнуться с репутационным ущербом. Это может привести к утрате доверия к ним клиентов и партнеров, а также нанести ущерб бренду. Чтобы избежать принудительного исполнения и штрафных санкций, организациям следует применять проактивный подход к соблюдению требований, регулярно оценивая свою практику защиты данных, внедряя соответствующие средства контроля и процедуры и регулярно обучая сотрудников соблюдению нормативных требований. Они должны назначить сотрудника по защите данных, если это нужно в соответствии с GDPR. Регулярный аудит и сертификация в органах сертификации, одобренных GDPR, тоже помогут продемонстрировать регуляторам соответствие требованиям.
Когда речь идет о соблюдении требований законодательства в области компьютерной безопасности, важную роль играют отраслевые нормативные акты. Они разработаны для конкретных отраслей, таких как здравоохранение или финансы, и могут содержать особые требования или стандарты, которые необходимо соблюдать для обеспечения соответствия.
Например, отрасль здравоохранения подчиняется закону о переносимости и подотчетности медицинского страхования, который устанавливает строгие правила обращения с защищенной медицинской информацией. Сюда входят требования к шифрованию данных, контролю доступа и отчетности об инцидентах.
Аналогично, в финансовой отрасли следует соблюдать стандарты безопасности данных индустрии платежных карт (PCI DSS), которые разработаны для защиты данных держателей карт и предотвращения мошенничества с кредитными картами. PCI DSS включает в себя рекомендации по сетевой безопасности, контролю доступа и шифрованию данных.
Другие примеры отраслевых нормативных актов — это Федеральная программа управления рисками и авторизацией (FedRAMP) для облачных сервисов, Закон об обмене информацией по кибербезопасности для критической инфраструктуры и Закон о защите частной жизни детей в интернете для веб-сайтов и приложений, предназначенных для детей.
Организациям важно быть в курсе отраслевых нормативных актов, которые применяются к ним, и обеспечивать внедрение средств контроля и процедур, необходимых для их соблюдения. Несоблюдение требований может привести к значительным штрафам и санкциям, а также ущербу для репутации организации.
Соображения международного соответствия относятся к правовым и нормативным требованиям, которые организации должны соблюдать, если работают в разных странах или регионах. Эти требования могут включать законы о защите данных, правила кибербезопасности и другие отраслевые нормы. Организации, работающие в глобальном масштабе, должны понимать, какие требования к соответствию применяются к их деятельности в разных странах, и обеспечить соответствие им своих политик и процедур. Это сложная задача, поскольку законы и правила могут существенно различаться в разных странах и меняться со временем.
Организации должны также учитывать потенциальное влияние на их деятельность международных торговых соглашений и других международных законов. Чтобы справиться с этими сложностями, организациям может потребоваться привлечь экспертов по правовым вопросам и соблюдению нормативных требований в конкретных регионах или странах, а также внедрить надежные системы управления соблюдением нормативных требований для обеспечения их выполнения.