Киберкрепость: всестороннее руководство по компьютерной безопасности - Пётр Юрьевич Левашов
Нормативные требования к сетевой безопасности, такие как HIPAA, PCI DSS и др., предписывают использование шифрования для защиты конфиденциальных данных. В этих нормативных актах изложены конкретные требования к шифрованию, такие как применение надежных алгоритмов шифрования, длина ключей и методы управления ключами.
В сфере здравоохранения закон о переносимости и подотчетности медицинского страхования требует использования шифрования для обеспечения неприкосновенности защищенной электронной медицинской информации, когда она передается по сети либо хранится на компьютере или другом электронном устройстве. Это касается как данных в пути, так и данных в состоянии покоя.
В финансовой отрасли стандарт безопасности данных индустрии платежных карт требует шифрования для защиты данных держателей карт при их передаче по сети общего пользования или хранении на компьютере либо другом электронном устройстве. Это касается как данных в пути, так и данных в состоянии покоя.
Шифрование играет важную роль в обеспечении соответствия нормативным требованиям к сетевой безопасности. Организации должны использовать подходящую длину ключей, надежные алгоритмы шифрования и методы управления ключами для защиты конфиденциальных данных. Это относится как к данным в пути, так и к данным в состоянии покоя. В облачных и мультиоблачных средах организации также должны внедрять средства контроля для управления безопасностью своих сред и его мониторинга.
Для того чтобы соответствовать различным нормативным требованиям, организации должны хорошо понимать требования нормативных актов, которые к ним относятся, и обеспечить средства контроля, необходимые для выполнения этих требований. В частности, это могут быть регулярная оценка безопасности, тестирование на проникновение и планы реагирования на инциденты.
Правила сетевой безопасности и конфиденциальности данных
Положения о сетевой безопасности и конфиденциальности данных, такие как Общий регламент по защите данных (GDPR) и Калифорнийский закон о конфиденциальности потребителей (CCPA), в последние годы приобретают все большее значение, поскольку организациям приходится обеспечивать защиту персональных данных и конфиденциальность частных лиц.
GDPR, вступивший в силу в мае 2018 года, применяется к организациям, действующим на территории Европейского союза, а также к тем, которые предлагают товары или услуги жителям ЕС. Он устанавливает конкретные требования к защите персональных данных и права физических лиц в отношении своих персональных данных. Организации должны применять технические и организационные меры для обеспечения безопасности персональных данных, включая шифрование.
CCPA, вступивший в силу в январе 2020 года, применяется к организациям, ведущим бизнес в Калифорнии и собирающим личную информацию о жителях штата. Он предоставляет калифорнийцам определенные права в отношении сведений о себе: право знать, какая личная информация о них собирается, право требовать удаления такой информации и право запретить продажу сведений о себе. Организации должны применять и поддерживать разумные меры безопасности для защиты личной информации, включая шифрование.
Эти правила требуют от организаций не только внедрения мер безопасности для защиты персональных данных, но и способности продемонстрировать соответствие этим правилам. Это подразумевает регулярную оценку рисков, наличие планов реагирования на инциденты и регулярное тестирование средств контроля безопасности. Организации также должны назначить ответственного за защиту данных (data protection officer, DPO), если они обрабатывают большие объемы персональных данных или особо секретные персональные данные.
Для организаций важно быть в курсе последних изменений в области сетевой безопасности и правил конфиденциальности данных. Эти нормы необходимы для защиты частной жизни и личных данных людей, а их несоблюдение может иметь значительные финансовые и репутационные последствия.
Нормативные требования к безопасности устройств IoT и соответствие им
Нормативные требования к безопасности устройств IoT и соответствие им зависят от отрасли и местоположения, но есть несколько ключевых нормативных актов, о которых организации должны знать при внедрении и поддержании мер безопасности IoT.
Одним из важных нормативных актов для обеспечения безопасности устройств IoT является Общий регламент по защите данных (GDPR), который применяется к любой организации, обрабатывающей персональные данные физических лиц в Европейском союзе. GDPR требует от компаний принятия технических и организационных мер для обеспечения безопасности персональных данных, включая защиту данных от несанкционированного доступа, изменения или уничтожения. Это означает, что организации должны обеспечить безопасность устройств IoT и данных, которые они собирают, обрабатывают и передают, и быть в состоянии продемонстрировать эффективность этих мер.
Еще одним важным нормативным актом является Калифорнийский закон о конфиденциальности потребителей (CCPA), который применяется к предприятиям, собирающим персональные данные жителей Калифорнии. CCPA требует от организаций разумных мер безопасности для защиты персональных данных и раскрытия информации о любых нарушениях данных. Организации также должны предоставлять жителям штата право знать, какая личная информация собирается, право требовать ее удаления и право запретить продажу личной информации.
Помимо GDPR и CCPA существуют и другие нормативные акты, такие как HIPAA, PCI DSS и SOX, которые относятся к определенным отраслям — здравоохранению, финансам и деятельности публичных компаний соответственно. Организации, работающие в данных отраслях, должны соблюдать особые требования, установленные в этих нормативных актах.
Чтобы соответствовать нормам и защитить персональные данные, организации должны внедрить надежные меры безопасности для своих устройств и сетей IoT, включая шифрование, защищенные протоколы связи, а также регулярный мониторинг и тестирование. Они также должны иметь планы реагирования на инциденты в случае нарушения безопасности и утечки данных и быть в состоянии продемонстрировать, что они способны сделать это.
Передовые методы достижения и поддержания соответствия требованиям сетевой безопасности
Достижение и поддержание соответствия требованиям сетевой безопасности — это непрерывный процесс, требующий внимания к деталям и применения лучших практик. Перечислю ключевые передовые методы достижения и поддержания соответствия.
• Регулярный пересмотр и обновление политик и процедур для обеспечения их соответствия действующим нормативным актам и отраслевым стандартам.
• Регулярная оценка рисков для выявления потенциальных уязвимостей и областей, в которых можно улучшить сетевую безопасность.
• Внедрение надежного шифрования и контроля доступа для защиты конфиденциальных данных и обеспечения соответствия нормам конфиденциальности данных, таким как GDPR и CCPA.
• Обеспечение регулярного обучения и тренингов для сотрудников, чтобы они понимали важность сетевой безопасности и свою роль в поддержании соответствия требованиям.
• Проведение регулярного аудита и тестирования на проникновение для выявления