Киберкрепость: всестороннее руководство по компьютерной безопасности - Пётр Юрьевич Левашов
Шрифт:
Интервал:
Закладка:
Организации должны учитывать эти нормы и стандарты при разработке, внедрении и поддержке своих стратегий безопасности IoT. Это подразумевает оценку безопасности устройств IoT, внедрение средств контроля и мониторинга безопасности, а также поддержание соответствия нормативным требованиям.
Безопасность IoT — это сложная развивающаяся область, и организации должны оставаться в курсе событий и адаптировать свои стратегии по мере появления новых технологий, нормативных актов и угроз. Понимая, каковы нормативно-правовые аспекты безопасности устройств IoT, организации могут предпринять шаги, необходимые для защиты конфиденциальной информации и поддержания соответствия отраслевым стандартам. Это включает в себя оценку безопасности устройств IoT, внедрение средств контроля и мониторинга безопасности, а также поддержание соответствия нормативным требованиям. При правильном подходе организации могут эффективно защитить свои устройства IoT и использовать возможности интернета вещей для стимулирования инноваций и роста.
Сетевая безопасность и соответствие нормативным требованиям и требованиям регуляторов
Введение в тему
Сетевая безопасность — важнейшая составляющая общей стратегии безопасности любой организации. Она необходима для защиты конфиденциальных данных, систем и инфраструктуры от несанкционированного доступа, неправильного использования и нарушения работы. Соблюдение нормативно-правовых требований чрезвычайно важно при обеспечении организациями надлежащего уровня безопасности для защиты от киберугроз.
Нормативные требования и требования по соответствию им устанавливаются различными руководящими органами, такими как государственные учреждения и отраслевые группы. Эти требования зависят от отрасли и местонахождения организации. Компании должны соблюдать их, чтобы избежать штрафов, пеней и юридических последствий.
Вот примеры общих систем обеспечения соответствия и регулирования:
• Стандарт безопасности данных индустрии платежных карт для организаций, обрабатывающих транзакции по кредитным картам;
• Закон о переносимости и подотчетности медицинского страхования для организаций в сфере здравоохранения;
• Общий регламент по защите данных для организаций, обрабатывающих персональные данные граждан ЕС.
В этом разделе рассмотрим важность сетевой безопасности для соблюдения нормативно-правовых требований. Мы обсудим различные рамки и нормативные требования, которым должны соответствовать организации, и то, как сетевая безопасность играет роль в их выполнении. Обсудим также лучшие практики для поддержания соответствия и сохранения актуальности изменений в нормативных требованиях.
Требования к сетевой безопасности в соответствии с отраслевыми нормами
Отрасль здравоохранения регулируется законом о переносимости и подотчетности медицинского страхования, который требует от организаций применения конкретных мер безопасности для защиты конфиденциальности, целостности и доступности защищенной электронной медицинской информации (ePHI). Эти меры включают, в частности, внедрение технических гарантий для контроля доступа, контроля аудита, контроля целостности и безопасности передачи. Организации также должны внедрять административные меры защиты, такие как регулярный процесс управления безопасностью, процедуры инцидентов безопасности и обучение сотрудников.
Финансовая отрасль регулируется стандартом безопасности данных индустрии платежных карт (PCI DSS). Это правило распространяется на любую организацию, которая обрабатывает, хранит или передает информацию о кредитных картах. PCI DSS требует от организаций внедрения ряда средств контроля безопасности, включая брандмауэры, системы обнаружения и предотвращения вторжений и регулярное сканирование уязвимостей. Организации также должны внедрить строгий контроль доступа и регулярно отслеживать свои сети на предмет любой подозрительной активности.
Несоблюдение этих норм может привести к крупным штрафам и взысканиям, а также нанести ущерб репутации организации. Крайне важно, чтобы организации понимали, какие нормы применимы к их деятельности, и принимали необходимые меры безопасности для достижения и поддержания соответствия им.
Соответствие нормативным требованиям и нормативноправовые аспекты для облачных и мультиоблачных сред
Наиболее известными нормативно-правовыми требованиями к облачным и муль-тиоблачным средам являются Общий регламент по защите данных (GDPR) в ЕС и Федеральная программа управления рисками и авторизацией (FedRAMP) правительства США.
GDPR применяется к любой организации, обрабатывающей персональные данные граждан ЕС, и требует от нее принятия технических и организационных мер для защиты персональных данных от несанкционированного доступа, изменения или раскрытия. Это подразумевает внедрение шифрования, контроля доступа и процедур реагирования на инциденты.
FedRAMP — это программа, которая обеспечивает стандартизированный подход к оценке безопасности, авторизации и постоянному мониторингу облачных продуктов и услуг. Организации, которые хотят предоставлять облачные услуги правительству США, должны соответствовать требованиям безопасности, изложенным в FedRAMP.
Существует и ряд других нормативных требований, которые организации должны соблюдать, когда речь идет об облачных и мультиоблачных средах.
• Закон о переносимости и подотчетности медицинского страхования (HIPAA) регулирует обращение с защищенной медицинской информацией (PHI) в США. Организации, хранящие, обрабатывающие или передающие PHI, должны соблюдать требования HIPAA, которые включают внедрение средств контроля безопасности, таких как контроль доступа, шифрование и процедуры реагирования на инциденты.
• Стандарт безопасности данных индустрии платежных карт (PCI DSS) применяется к организациям, которые работают с данными о держателях карт. Компании должны внедрить средства контроля безопасности, такие как брандмауэры, системы обнаружения и предотвращения вторжений и шифрование, чтобы защитить данные держателей карт от несанкционированного доступа, изменения или раскрытия.
• Закон Сарбейнса — Оксли (SOX) применяется к публично торгуемым компаниям в США и требует от них поддержания внутреннего контроля и внедрения процедур финансовой отчетности. Это подразумевает внедрение средств контроля безопасности для защиты конфиденциальных финансовых данных от несанкционированного доступа, изменения или раскрытия.
Соблюдение нормативно-правовых требований играет важную роль в обеспечении сетевой безопасности, особенно когда речь идет об облачных и мультиоблач-ных средах. Для обеспечения защиты конфиденциальных данных организации должны понимать и соблюдать различные нормативно-правовые требования, применимые к конкретной отрасли, такие как GDPR, FedRAMP, HIPAA, PCI DSS и SOX. Это включает в себя внедрение технических и организационных мер, таких как шифрование, контроль доступа и процедуры реагирования на инциденты, для защиты персональных данных от несанкционированного доступа, изменения или раскрытия.
Роль шифрования в обеспечении соответствия нормативным и регулирующим требованиям
Когда речь идет о соблюдении нормативно-правовых требований к сетевой безопасности, шифрование играет важную роль. Шифрование — это процесс преобразования обычного текста в закодированный формат, известный как шифротекст,