privacy-and-online-law
Giao phó các quy định kinh doanh và sự tương hợp an ninh mạng
Table of Contents
Sự phối hợp giữa các quy luật và sự thỏa thuận về kinh doanh trên mạng
Trong nền kinh tế kỹ thuật số đầu tiên ngày nay, các tổ chức phải đối mặt với áp lực tăng lên để định hướng một mạng lưới các quy định dày đặc và nhanh chóng phát triển mà chi phối an ninh mạng và bảo vệ dữ liệu. những quy tắc này không chỉ là rào cản quan liêu - chúng là những bảo vệ thiết yếu thiết yếu thiết yếu thiết kế để bảo vệ thông tin nhạy cảm, bảo vệ sự tin tưởng tượng của người tiêu dùng, và duy trì tính kiên cường của cơ sở hạ tầng số tối thiểu. mọi doanh nghiệp, bất kể kích cỡ hay bất kể ngành công nghiệp, phải hiểu cách hợp pháp và an ninh mạng liên kết với nhau. thất bại có thể dẫn đến những hình phạt nặng về tài chính, trách nhiệm pháp lý và uy tín lâu dài.
Họ cũng điều khiển các điều khiển an ninh cần thiết để ngăn chặn các lỗ hổng, phát hiện các sự cố, khi các mối đe dọa mạng trở nên phức tạp hơn — từ các tập đoàn cứu trợ đến các tổ chức tình báo địa phương — các nhà quản lý trên khắp thế giới đang thắt chặt các quy định và gia tăng thực thi pháp luật.
Các quy luật an ninh mạng quan trọng
Các tiêu chuẩn này không phải là tùy ý; chúng được xây dựng trên các dữ liệu về sự cố, phân tích rủi ro và công nghiệp tốt nhất. Bằng cách áp dụng các quy định, các quy định nhằm giảm tần số và ảnh hưởng của dữ liệu bị hư hỏng trong nền kinh tế. Những tiêu chuẩn này không phải là tùy ý; chúng được xây dựng trên các thập niên của dữ liệu tường thành, phân tích rủi ro và các công nghệ tốt nhất. Bằng cách áp dụng các quy định, các nhà quản lý nhằm giảm thiểu số lượng dữ liệu bị vi phạm và ảnh hưởng. Việc điều chỉnh có thể tăng thêm hàng triệu — Thông tin bảo vệ không phải chăng: Tổng thống Quân số (GDP), có thể tăng 4 triệu hay 20 triệu, 20 triệu, hơn một năm.
Ngoài nguy cơ về tài chính, việc tuân thủ sự trung thành của các công ty bảo đảm tính hoạt động của mình, các cơ quan theo sát các khuôn khổ quy định không có khả năng bị tổn hại do các yếu tố gây ra, vì thế họ cũng xây dựng lòng tin mạnh mẽ hơn bằng cách chứng tỏ cam kết bảo vệ thông tin cá nhân.
Những quy luật then chốt ảnh hưởng đến các công việc hiện đại
Môi trường điều tiết bị phân tán, với hàng chục luật lệ quốc gia, khu vực và ngành công nghiệp đặc trưng.
Điều luật bảo vệ dữ liệu chung (GDPR)
GDPR, có hiệu lực vào tháng 5 năm 2018, là một luật bảo vệ dữ liệu toàn diện áp dụng cho bất cứ tổ chức nào xử lý dữ liệu cá nhân của những cá nhân trong Liên minh Châu Âu — bất kể tổ chức dựa trên đâu.
Luật chi trả và tài khoản bảo hiểm sức khỏe (HIPAA)
Tại Hoa Kỳ, Luật bảo vệ sức khỏe (PHI) được tổ chức bởi những thực thể có mái che — chủ yếu là nhà cung cấp y tế, kế hoạch y tế, và nhà vệ sinh — cũng như các cộng sự kinh doanh của họ. Luật bảo mật HIPAA đòi hỏi quản trị, vật lý và kỹ thuật bảo vệ để bảo vệ tính bảo mật, tính trung thực, và sự có sẵn của sự bHI. Các biện pháp này phải được báo cáo cho Cục Y tế và Dịch vụ con người.
Luật bảo vệ quyền riêng tư của người tiêu dùng California (CCPA) và Luật về quyền riêng tư California (CPRA)
Công ty CCPA, tháng 1 năm 2020, cấp quyền cho dân California để biết những gì được thu thập, để yêu cầu xóa bỏ, để loại bỏ việc bán dữ liệu của họ, và để không phân biệt được việc sử dụng những quyền này. Việc này đã ảnh hưởng đáng kể đến luật pháp, việc tạo ra một cơ quan hành pháp (sự bảo vệ tư nhân ở California) và đưa ra những khái niệm mới như thông tin cá nhân nhạy cảm và việc tự động quyết định những điều hành. Những luật này áp dụng cho các doanh nghiệp lợi nhuận của người dân California thu thập dữ liệu và đáp ứng các ngưỡng thu nhập hoặc các nước khác. Nhiều quốc gia (Winia, Colorado, bang ♫ cũng có những luật tương tự như thế, bang Connecticut, Hoa Kỳ, đã đưa ra những quy định chung về các quyền điều hành chính thức [Cli] cho phép công ty: [Cli]
Tiêu chuẩn bảo mật cho thẻ thanh toán (PCI DSS)
Mặc dù không phải là một quy định của chính phủ, PCI DISS là một tiêu chuẩn bắt buộc được áp đặt bởi các thương hiệu thẻ tín dụng chính (Visa, Mastercard, American Express, Xác định JCB) trên bất kỳ thực thể nào mà các cửa hàng, hoặc quá trình lưu trữ dữ liệu thẻ tín dụng. Phiên bản hiện thời (PCSS v4. 0) đòi hỏi phải có quyền truy cập mạnh các dữ liệu giữ thẻ, mã hóa dữ liệu trong lúc nghỉ và lưu thông qua lại, kiểm tra an ninh thường xuyên, và chính sách bảo mật chính thức. Không có khả năng tương ứng với các nhà quản lý, tăng tiền phí giao dịch, và mất khả năng thanh toán thẻ tín dụng. Hãy tìm hiểu thêm [F]: [F] Thông báo an ninh: F.C]
Sarbanes Craxley Act (SOX) cho tính chính trực của dữ liệu tài chính
Các công ty thương mại công cộng tại Hoa Kỳ phải tuân theo điều này đòi hỏi phải kiểm soát nội bộ các thông tin tài chính — kể cả công ty IT điều khiển hệ thống an ninh và toàn vẹn của hệ thống tài chính và dữ liệu. SOX không ủy thác các công nghệ bảo mật mạng cụ thể, nhưng nó đòi hỏi phải được thiết kế, thực hiện và kiểm tra để ngăn chặn việc truy cập trái phép hoặc thao túng dữ liệu tài chính.
Các quy tắc và việc làm khung đáng chú ý khác
- Đạo luật GrammLachBliley [GLBA] ) – Phụ đề cho các tổ chức tài chính tại Hoa Kỳ, yêu cầu bảo vệ thông tin tài chính và thông báo riêng tư hàng năm cho khách hàng.
- Đạo luật Quản lý Thông tin Liên bang (FISMA) ) – Đặt ra các yêu cầu bảo mật cho các cơ quan liên bang và nhà thầu.
- Hệ thống Mạng và Thông tin (NIS) Chỉ thị ) – chỉ thị EU áp dụng cho các nhà điều hành cơ sở hạ tầng và các nhà cung cấp dịch vụ kỹ thuật số.
- Luật bảo vệ thông tin cá nhân củaChina [PIPL] ) – tương tự với GDPR nhưng với dữ liệu địa phương hơn và các sắp đặt của chính phủ.
Những thử thách khi liên hệ đến các quy tắc và an ninh mạng
Việc chuyển động cảnh vật phức tạp này là một thách thức, ngay cả những tổ chức có nguồn lực tốt cũng phải vật lộn để giải thích và thực hiện những đòi hỏi chồng chéo nhau, đôi khi là những điểm đau thông thường nhất.
Sự quá khích và xung đột của các thẩm quyền
Một tập đoàn đa quốc gia phải tuân theo GDPR ở Âu Châu, CCPA ở California, PPL ở Trung Quốc, và các quy tắc đặc trưng như HIPAA hoặc PCI DSS — tất cả cùng một lúc. Những luật này có thể đòi hỏi những hành động mâu thuẫn: quyền GDPR để xóa bỏ (quyền được quên đi) có thể trái ngược với các bổn phận lưu trữ dữ liệu dưới luật SX hoặc chống rửa tiền.
Các phân mảnh và quy tắc nảy sinh
Ở Hoa Kỳ, hầu như mỗi bang đều xem xét hoặc ban hành luật riêng tư của mình, tạo ra gánh nặng cho các doanh nghiệp hoạt động trên các đường dây quốc gia.
Các công ty tài nguyên nhỏ và vừa được huấn luyện cho các tập đoàn Enterprise (SMEs)
Những quy định — bao gồm GDPR — áp dụng bất kể quy tắc của công ty. Chi phí để thực hiện việc mã hóa, quản lý truy cập hệ thống, và khả năng đáp ứng sự kiện có thể bị cấm đoán. Các dịch vụ phục vụ ngoài giờ có thể giúp đỡ, nhưng cũng giới thiệu nguy cơ thứ ba của bên trong và đòi hỏi sự quản lý cẩn thận.
Nguy cơ chuỗi và phân chia thứ ba
Quy định ngày càng đòi hỏi các tổ chức phải chịu trách nhiệm về các hoạt động an ninh của người bán, cộng sự và các nhà cung cấp dịch vụ. GDPR đòi hỏi phải có các thỏa thuận xử lý dữ liệu và sự siêng năng; ủy ban điều hành các hợp đồng kinh doanh; các thỏa thuận kinh doanh của người bán hàng; các nhà cung cấp dịch vụ yêu cầu các nhà cung cấp phải được xác nhận là có tư thế tuân thủ của hàng chục — đôi khi hàng trăm — đôi khi — của ba bên là một cơn ác mộng về mặt ghi chép và kỹ thuật.
Giữ gìn an ninh với sự hiệu quả của chiến dịch
Những người làm việc có thể cưỡng lại những biện pháp bảo mật nghiêm ngặt như sự xác thực đa dạng, phân khúc mạng lưới và liên tục giám sát thương mại có thể làm chậm lại các tiến trình kinh doanh. Những người làm việc có thể không kiểm soát được cảm giác thiếu sót.
Chiến thuật để có sự hợp tác an ninh mạng hiệu quả
Vượt qua những thách thức này đòi hỏi một phương pháp có tổ chức, chủ động, những chiến lược sau đây có thể giúp các tổ chức xây dựng một chương trình tuân thủ vừa hiệu quả vừa bền vững.
Hành động đều đặn đánh giá mối nguy hiểm
Đánh giá rủi ro tạo nền tảng cho bất cứ chương trình nào tuân thủ. Một đánh giá tỉ mỉ cho biết dữ liệu nhạy cảm ở đâu, có quyền truy cập, có những mối đe dọa nào và có những điểm yếu nào đang có. Kết quả là nó được đưa thẳng vào sự lựa chọn của bộ phận an ninh. Nhiều khung — chẳng hạn như bộ phận Quản lý NST (RMF) — đòi hỏi đánh giá định kỳ. Các cuộc thử nghiệm ngoại vi và quét dễ bị tổn thương nên được lên lịch ít nhất hàng năm hoặc sau khi hệ thống thay đổi.
Phát triển những chính sách và thủ tục đầy đủ
Chính sách viết ra các quy định điều chỉnh vào ngày thứ ba. Tài liệu thiết yếu bao gồm chính sách bảo mật thông tin, chính sách phân loại dữ liệu, kế hoạch phản ứng sự kiện, chính sách sử dụng chấp nhận được và kế hoạch liên tục kinh doanh. Những chính sách này cần phải được xem xét và cập nhật khi nào quy tắc thay đổi hoặc công nghệ mới được chấp nhận. Chúng cũng nên được liên lạc rõ ràng với tất cả các nhân viên, với sự công nhận bắt buộc.
Đầu tư vào việc huấn luyện và ý thức
Lỗi của con người vẫn còn nguyên nhân dẫn đến các lỗ hổng dữ liệu. Các cuộc tấn công bằng mật khẩu yếu, và phơi nhiễm dữ liệu tình cờ thường được ngăn chặn qua các khóa đào tạo thường xuyên. Việc huấn luyện tính toán quy định nên bao gồm mỗi điều luật áp dụng — chẳng hạn, đào tạo nhân viên y tế, đào tạo GDPR cho các đội xử lý dữ liệu, và đào tạo PC DSS cho người dùng hệ thống thanh toán. Việc mô phỏng bài tập tính năng có thể tăng cường bài học mà không bị phá hủy quá mức.
Công nghệ và kiểm soát an ninh được hoàn thiện
- Chương trình này bảo vệ dữ liệu ngay cả khi có sự vi phạm xảy ra.
- Thành công kiểm soát – Thực thi ít nguyên tắc liệt kê với chức năng điều khiển truy cập dựa trên vai trò (RBAC). Hãy dùng xác thực đa chức năng đa chức năng (FLT: 1) để xác thực mọi quyền truy cập từ xa và quản trị.
- Hệ thống phát hiện và phòng chống xâm nhập [IDPS] ) – việc theo dõi giao thông mạng cho hoạt động nguy hiểm và tự động ngăn chặn các mối đe dọa đã biết.
- Thông tin và Ban quản lý sự kiện (SIEM) ) – phân tích và phân tích để phát hiện phản ứng sự cố bất thường và hỗ trợ.
- @ item: 0] Phòng chống mất (DLP) ) – ngăn chặn sự truyền tải dữ liệu nhạy cảm trái phép qua email, USB, hoặc dịch vụ đám mây.
Duy trì tài liệu và những lần thử nghiệm
Bộ điều khiển và thính giả phụ thuộc vào bằng chứng của sự tuân thủ. Tài liệu tất cả các chính sách, đánh giá rủi ro, hồ sơ đào tạo, báo cáo sự cố và hành động chữa bệnh. Dùng khả năng điều khiển phiên bản và nhãn hiệu thời gian để chứng minh hành động đã được thực hiện đúng lúc. Đối với GDPR, hãy duy trì bản ghi chép của tiến hành động (ROPA). Đối với PCIDSS, hãy ghi nhớ các báo cáo quét qua một phần tư các báo cáo và bằng chứng của việc điều khiển. Tài liệu hướng dẫn tốt không chỉ làm tăng cường kiểm tra, mà còn hỗ trợ việc xem xét và cải tiến nội bộ.
Thiết lập một chương trình giám sát liên tục
Sự đồng thuận không phải là một dự án thời gian — đòi hỏi sự cảnh giác liên tục; việc liên tục giám sát đòi hỏi phải kiểm tra kỹ lưỡng hiệu quả của việc điều khiển an ninh, theo dõi những thay đổi trong phong cảnh điều chỉnh và quét tìm những điểm yếu mới.
Phát triển một kế hoạch phản ứng từ máy móc
Ngay cả những biện pháp phòng thủ tốt nhất cũng có thể bị phá vỡ. Kế hoạch phản ứng đáp ứng (IRP) phác thảo các bước để phát hiện, chứa, xóa bỏ và phục hồi sau một vụ bảo mật. Cần phải bao gồm các giao thức liên lạc, vai trò và các thủ tục để ghi nhận các điều hành và ảnh hưởng đến từng cá nhân trong khung thời gian hợp pháp (v. d. 72 giờ dưới GDPR. Các bài tập thường xuyên và tập luyện tập tập tập tập thể dục toàn diện có thể có thể thực hiện kế hoạch dưới áp lực.
Vai trò của các khung an ninh mạng trong việc hòa hợp
Khung làm việc như Công ty Mạng Mạng Mạng Mạng Mạng (CSF), ISO/IEC 27001, và CIS Controls cung cấp hướng dẫn có cấu trúc có thể giúp tổ chức quản lý nhiều điều luật cùng lúc. Chẳng hạn, hệ thống điều hành mạng (NISCSF) tổ chức các hoạt động an ninh mạng thành năm chức: Xác định, bảo vệ, trả lời, trả lời và phục hồi. Nhiều quy định tham khảo và ghi chép các phân loại — sử dụng nó như một đường cơ bản có thể đơn giản hóa với HIPA, GDP, và những người khác. Cert cục bộ ISO01 thường được chấp nhận là bằng chứng của hệ thống an ninh mạnh (hệ thống an ninh), có thể thỏa mãn các yêu cầu kiểm tra các chi tiết trong các chi tiết. Có thể giảm thiểu các khả năng liên quan đến việc truy cập và giảm khả năng liên kết với các thiết lập cơ sở dữ liệu thông tin mật. [FT]
Sự tranh chấp trong tương lai: Những gì sắp xảy ra
Giao nhau giữa các quy định kinh doanh và an ninh mạng sẽ chỉ phức tạp hơn.
- Bộ điều luật Tình báo Nghệ thuật – Đạo luật AI AI, mong muốn có hiệu quả trong 2024–2025, sẽ áp đặt nghĩa vụ tuân thủ trên hệ thống AI nguy cơ cao, bao gồm yêu cầu độ trong suốt, mạnh mẽ, và an ninh mạng. Các doanh nghiệp sử dụng AI để đưa ra quyết định hay xử lý dữ liệu phải chuẩn bị cho quy tắc mới.
- Định luật bảo vệ quyền riêng tư của bang Steve LLLLLLLLLLL ở Mỹ ) – Đến 2025, hơn một chục bang sẽ có luật bảo vệ quyền riêng tư toàn diện. Không có sự ưu tiên của liên bang, các công ty sẽ cần nhiều chiến lược tuân thủ chính phủ, rất có thể điều khiển các nền tảng quản lý sự riêng tư.
- Đe dọa tính toán ) – thuật toán mã hóa hiện thời (RSA, ECC) có thể dễ bị tấn công lượng tử trong vòng một thập kỷ. Những bộ điều khiển như NST đang chuẩn hóa các thuật toán bưu điện mật. Việc thực hiện sớm đòi hỏi cập nhật các thư viện mã hóa và thực hiện quản lý khóa.
- Mở rộng mục lục [FLT: 1] – Một số thẩm quyền là hạn thông báo ngắn hạn (v. d., 24 giờ cho các sự cố cơ sở hạ tầng quan trọng ở Hoa Kỳ dưới những quy tắc được đề nghị. Các doanh nghiệp phải được phát hiện và báo cáo quá trình.
- Tăng cường Quân đội ) – Điều khiển toàn cầu đang bước lên bảng kiểm tra và phạt.
Kết thúc
Sự tuân thủ an ninh mạng không còn là một điều kiện cần thiết để thêm vào sự riêng tư, đó là một điều kiện chính yếu về mặt kinh doanh, liên quan đến các chức năng pháp lý, hoạt động và chiến lược.