Киберкрепость: всестороннее руководство по компьютерной безопасности - Пётр Юрьевич Левашов

Использование новейших технологий при реагировании на инциденты и восстановлении после стихийных бедствий может иметь и социальные последствия. Например, развертывание передовых систем наблюдения способно вызвать обеспокоенность по поводу нарушения гражданских свобод и чрезмерного вмешательства правительства. Кроме того, это может усугубить существующее социальное неравенство, поскольку в некоторых сообществах доступ к современным технологиям и ресурсам может быть ограничен.

Организациям и правительствам важно рассмотреть этические и социальные последствия использования технологий реагирования на инциденты и восстановления после катастроф, а также разработать руководящие принципы и политику, обеспечивающие ответственное и этичное их применение. Это может включать такие меры, как регулярный аудит, привлечение к процессу заинтересованных сторон и прозрачность сбора и использования данных.

Глава 7

СОБЛЮДЕНИЕ НОРМАТИВНЫХ ТРЕБОВАНИЙ И ЮРИДИЧЕСКИЕ ВОПРОСЫ

Обзор правовых и нормативных требований к компьютерной безопасности

Введение в тему

Далее представлен общий обзор правовых и нормативных требований к компьютерной безопасности. Здесь рассматриваются такие темы, как цель и сфера соответствия, типы законов и нормативных актов, которые применяются к компьютерной безопасности, и последствия несоблюдения их требований. Сюда входит также краткое обсуждение основных систем обеспечения соответствия, таких как HIPAA, PCI DSS и Общий регламент по защите данных, и их применения к компьютерной безопасности. Цель — дать читателям базовое понимание правового и нормативного ландшафта компьютерной безопасности и важности соблюдения нормативных требований для защиты конфиденциальной информации и поддержания целостности компьютерных систем.

Общие сведения о HIPAA

Закон о переносимости и подотчетности медицинского страхования (HIPAA) — это федеральный закон США, который был принят в 1996 году для защиты конфиденциальности и безопасности личной медицинской информации (PHI). Он распространяется на все субъекты, которые работают с PHI, включая поставщиков медицинских услуг, программы медицинского страхования и медицинские клиринговые центры. Правило безопасности HIPAA устанавливает национальные стандарты защиты конфиденциальности, целостности и доступности электронной PHI (ePHI) и требует от организаций, на которые распространяется действие закона, внедрения административных, физических и технических мер безопасности для защиты ePHI от несанкционированного доступа, использования, раскрытия, изменения или уничтожения. Соблюдение HIPAA обеспечивается управлением по гражданским правам министерства здравоохранения и социального обеспечения, а несоблюдение может привести к значительным штрафам и взысканиям.

Общие сведения о PCI DSS

Стандарт безопасности данных индустрии платежных карт — это набор стандартов безопасности, разработанных для обеспечения того, чтобы все компании, которые принимают, обрабатывают, хранят или передают информацию о кредитных картах, поддерживали безопасную среду. PCI DSS применяется ко всем организациям (независимо от размера или количества транзакций), которые принимают или обрабатывают платежные карты с логотипами любого из пяти основных карточных брендов: Visa, MasterCard, American Express, Discover и JCB. Стандарт включает требования к управлению безопасностью, политике, процедурам, архитектуре сети, разработке программного обеспечения и другим важным мерам защиты.

Организации должны ежегодно подтверждать соответствие стандарту, заполняя анкету самооценки (Self-Assessment Questionnaire, SAQ) или проходя оценку на месте квалифицированным оценщиком безопасности (Qualified Security Assessor, QSA). Несоблюдение требований стандарта может привести к штрафам, пеням и даже потере возможности принимать платежи по кредитным картам.

Общие сведения о GDPR

Общий регламент по защите данных (GDPR) — это всеобъемлющий закон о защите данных, который вступил в силу в Европейском союзе 25 мая 2018 года. Он заменяет Директиву ЕС о защите данных 1995 года и применяется ко всем организациям, обрабатывающим персональные данные граждан ЕС, независимо от местонахождения организации.

GDPR усиливает и гармонизирует защиту данных граждан ЕС, предоставляя им больший контроль над их личными данными и тем, как они используются. Он также налагает строгие ограничения на организации, обрабатывающие персональные данные, включая контролеров и обработчиков данных.

GDPR распространяется на широкий спектр персональных данных, включая имена, адреса, адреса электронной почты и IP-адреса, а также особо секретные сведения, такие как информация о здоровье и генетические данные. Организации несут ответственность за обеспечение справедливой, законной и прозрачной обработки персональных данных, а также принятие соответствующих мер по их защите от несанкционированного доступа, потери или уничтожения.

Передовой опыт в области обеспечения соответствия

Передовые методы обеспечения соответствия — это набор рекомендаций и процедур, которым могут следовать организации для обеспечения соблюдения правовых и нормативных требований к компьютерной безопасности. Эти передовые методы могут включать регулярную оценку рисков, внедрение надежных средств контроля безопасности, а также регулярный пересмотр и обновление политик и процедур. Вот некоторые передовые методы, которые организации могут внедрить для соблюдения GDPR:

• Назначение сотрудника по защите данных для надзора за соблюдением нормативных требований.

• Регулярная оценка воздействия защиты данных.

• Предоставление частным лицам четких и подробных уведомлений о конфиденциальности.

• Осуществление технических и организационных мер по защите персональных данных.

• Предоставление людям права на доступ к своим персональным данным, их исправление и удаление.

• Наличие процедур на случай утечки данных.

• Регулярное обучение сотрудников по вопросам защиты и безопасности данных.

Организациям важно знать не только об этих передовых методах, но и о любых обновлениях или изменениях в правилах GDPR, а также дополнительных юридических и нормативных требованиях, которые могут применяться к их отрасли или действовать на территории, где они расположены.

Исполнение законов и штрафные санкции