Соблюдение этих рекомендаций и стандартов дает организациям основу для обеспечения безопасности их облачных сред, а также гарантирует выполнение нормативных требований по защите данных.
Организациям важно быть в курсе последних событий CSA и регулярно пересматривать и обновлять свои методы обеспечения безопасности в облаке в соответствии с последними стандартами и рекомендациями. Они могут рассмотреть возможность привлечения стороннего аудитора для оценки их соответствия стандартам CSA и выявления областей, в которых необходимо улучшить контроль безопасности.
Закон Грамма — Лича — Блайли (GLBA) — это федеральный закон, который требует от финансовых учреждений защиты личной финансовой информации своих клиентов. Соблюдение требований GLBA подразумевает внедрение административных, технических и физических мер безопасности для защиты непубличной личной информации (nonpublic personal information, NPI). К ним относятся разработка и внедрение комплексной программы информационной безопасности, а также предоставление клиентам ежегодных уведомлений о конфиденциальности.
Перечислим основные компоненты соответствия требованиям GLBA.
• Регулярная оценка рисков для выявления и смягчения потенциальных угроз для NPI.
• Внедрение средств контроля безопасности, таких как шифрование, брандмауэры и системы обнаружения вторжений.
• Разрешение доступа к NPI только уполномоченному персоналу.
• Разработка планов реагирования на инциденты и обучение сотрудников тому, как реагировать на инциденты безопасности.
• Регулярное тестирование и мониторинг эффективности установленных средств контроля безопасности.
• Необходимость убедиться, что все сторонние поставщики услуг, которые работают с NPI, соответствуют требованиям GLBA.
Нарушения GLBA могут привести к значительным штрафам и взысканиям, а также нанести ущерб репутации компании. Для организаций финансовой отрасли крайне важно понимать и соблюдать требования GLBA, чтобы защитить конфиденциальную финансовую информацию своих клиентов.
Закон о правах и конфиденциальности семейного образования (FERPA) — это федеральный закон, который защищает конфиденциальность сведений о студентах. Он распространяется на все учебные заведения, финансируемые министерством образования США. Правила FERPA регулируют сбор, использование и выдачу персонально идентифицируемой информации (PII) о студентах.
Соблюдение требований FERPA предписывает учебным заведениям принимать меры по защите PII учащихся от несанкционированного доступа, использования и раскрытия. Это предусматривает внедрение политик и процедур работы с документами учащихся, ежегодное уведомление учащихся и их родителей об их правах согласно FERPA, а также получение письменного согласия перед раскрытием PII учащегося третьим лицам.
Для обеспечения соответствия требованиям FERPA учебные заведения должны внедрить административные, технические и физические меры безопасности для защиты PII учащегося от несанкционированного доступа и раскрытия. Это предусматривает внедрение средств контроля доступа, таких как аутентификация и авторизация пользователей, для предоставления доступа к PII учащихся только уполномоченному персоналу.
Для защиты PII учащихся от несанкционированного доступа и раскрытия учебные заведения должны принимать меры безопасности, такие как брандмауэры, системы обнаружения и предотвращения вторжений и шифрование данных. Кроме того, они должны иметь планы реагирования на инциденты для быстрого обнаружения утечек данных и реагирования на них.
В дополнение к этим техническим мерам защиты учебные заведения должны обеспечить подготовку и обучение всех сотрудников, работающих с PII учащихся, чтобы убедиться, что они понимают, каковы их обязанности согласно FERPA и как правильно обращаться с PII учащихся и защищать ее.
Соблюдение FERPA требует также регулярного мониторинга и аудита соблюдения учреждением данного положения и принятия мер для устранения выявленных недостатков. Несоблюдение FERPA может привести к штрафным санкциям, включая отмену федерального финансирования.
Стандарт SOC 2 — это набор стандартов и рекомендаций, установленных Американским институтом сертифицированных общественных бухгалтеров (AICPA) для сервисных организаций, таких как центры обработки данных, поставщики программного обеспечения как услуги и другие предприятия, обрабатывающие конфиденциальные данные. Основное внимание в нем уделяется безопасности, доступности, целостности обработки, конфиденциальности и неприкосновенности данных клиентов.
Организации, желающие продемонстрировать соответствие стандарту SOC 2, должны пройти строгий аудит, включающий проверку политики, процедур и средств контроля. Затем выдается отчет SOC 2, подтверждающий соответствие организации стандарту. Стандарты SOC 2 призваны обеспечить уверенность клиентов и других заинтересованных сторон в том, что организация внедрила эффективные средства контроля для защиты конфиденциальных данных, которые они обрабатывают. Организациям важно регулярно проводить самооценку и тестирование, чтобы убедиться, что их механизмы контроля работают эффективно, а также выявить и устранить любые пробелы в соблюдении требований.
Закон Сарбейнса — Оксли (SOX) — это федеральный закон, который был принят в 2002 году с целью улучшения финансовой отчетности и корпоративного управления для публично торгуемых компаний в США. SOX требует от компаний разработки механизмов внутреннего контроля и процедур финансовой отчетности, а также соблюдения строгих стандартов финансовой отчетности и бухгалтерского учета.
Выполнение требований SOX подразумевает внедрение и поддержание внутреннего контроля и процедур для обеспечения точности и целостности финансовой отчетности. Это предусматривает внедрение политик и процедур для финансовой отчетности, создание механизмов внутреннего контроля для предотвращения мошенничества, а также внедрение процедур для обнаружения мошенничества и информирования о нем.
Один из ключевых аспектов соблюдения требований SOX — необходимость установить в компании внутренний контроль и процедуры для финансовой отчетности. Это подразумевает внедрение политик и процедур для финансовой отчетности, создание механизмов внутреннего контроля для предотвращения мошенничества, а также внедрение процедур для обнаружения мошенничества и информирования о нем.
Еще один ключевой аспект соблюдения SOX — требование к компаниям о проведении независимым аудитором ежегодной оценки внутреннего контроля и процедур финансовой отчетности компании. Эта оценка известна как SOX-аудит, она помогает убедиться в эффективности внутреннего контроля и процедур компании, а также в точности и достоверности финансовой отчетности.
Соблюдение требований SOX может быть непростой задачей, поскольку компаниям нужно создать и поддерживать надежный комплекс мер внутреннего контроля и процедур. Компаниям важно быть в курсе всех изменений в законодательстве и следить за соблюдением требований SOX. Их несоблюдение может привести к значительным штрафам и взысканиям, а также нанести репутационный ущерб.
Кроме того, компаниям необходимо обеспечить надежный план реагирования на инциденты в случае нарушения безопасности или потери данных, поскольку в соответствии с требованиями SOX им нужно сообщать о любых существенных событиях, которые могут повлиять на их финансовую отчетность.
Исполнение и штрафы за несоблюдение требований
Это раздел, в котором рассматриваются юридические последствия несоблюдения нормативных и правовых требований, относящихся к компьютерной безопасности. Здесь будут рассмотрены виды наказаний, которые могут быть применены к организациям за несоблюдение законов и нормативных актов, таких как HIPAA, PCI DSS, GDPR и SOX.
Гражданские штрафы — это штрафы и другие санкции, налагаемые регулирующим органом за несоблюдение законов и нормативных актов. Это могут быть денежные штрафы, судебные запреты и другие формы, например принудительное соблюдение нормативных требований.
Уголовные наказания — это юридические меры, примененные к физическому лицу или организации за нарушение законов и нормативных актов. К ним относятся штрафы, тюремное заключение и др. Уголовные наказания обычно назначаются за серьезные нарушения, например связанные с мошенничеством или умышленным неправомерным использованием конфиденциальной информации. В этом разделе будут рассмотрены также органы, обеспечивающие соблюдение требований, и процесс обеспечения соблюдения требований, включающий расследования, слушания и апелляции. Будут приведены примеры случаев, когда организации были наказаны за несоблюдение требований, и указаны полученные ими штрафы.
Далее речь идет о штрафах, налагаемых государственными органами за несоблюдение нормативных актов и законов. Эти санкции могут быть наложены на организации, которые не соблюдают нормативные требования, например не обеспечивают надлежащую защиту персональных данных или не раскрывают информацию об утечках данных. Примерами административных штрафов и санкций являются штрафы, налагаемые федеральной торговой комиссией (FTC) за нарушение закона о защите конфиденциальности детей в интернете (COPPA), и штрафы, налагаемые управлением по гражданским правам министерства здравоохранения и социального обеспечения (OCR) за нарушение закона о переносимости и подотчетности медицинского страхования.