Стандарти відповідності – посібник

Сьогодні бізнес дуже регулюється. Він повинен відповідати галузевим, урядовим, регіональним і національним вимогам у всіх регіонах, які він обслуговують.

Відповідати вимогам дотримання стає все складніше, а ставки високі. Численні лідери ринку отримали негативну увагу ЗМІ через порушення даних і сплатили значні штрафи. Компанія Device42 підготувала детальний посібник « Стандарти відповідності: докладний посібник із кількох розділів», щоб допомогти командам зрозуміти, що їм потрібно робити, щоб відповідати основним нормам.

Зазначимо, що стандарти відповідності не існують самі по собі. Подібно до того, як закони дають суспільству правильний напрямок функціонування, більшість стандартів відповідності допомагають підприємствам безпечно вести свій бізнес у межах загальноприйнятих правил і принципів.

Тож забезпечення дотримання стандартів відповідності — це більше, ніж проста вправа: невизначення пріоритетів засобів контролю безпеки та конфіденційності, які надають ці стандарти, може зруйнувати будь-який бізнес. Окрім сумнозвісної високої вартості витоку даних, ймовірно, найбільшим потенційним ударом для більшості організацій є втрата довіри.

Але давайте далі ознайомимся з цими стандартами.

Огляд основних стандартів відповідності

Забагато стандартів?

Хороша новина полягає в тому, що стандарти та правила, спрямовані на безпеку та конфіденційність, мають багато відповідностей. Обидві сторони звертаються до конфіденційної інформації: безпека зосереджується на цілісності, конфіденційності та доступності інформації, тоді як конфіденційність вказує на відповідальність за обробку персональних даних.

Однак, незважаючи на те, що вони мають спільні риси, кожен стандарт має власну сферу застосування, глибину та застосовність. Найкращою відправною точкою для їх розуміння є ознайомлення з обов’язковими нормативними документами для регіону та галузі, в якій працює ваша організація. Потім створіть свою структуру ІТ та безпеки, використовуючи додаткові рекомендовані стандарти та найкращі практики.

Розглянемо стандарти докладніше.

Загальний регламент захисту даних (GDPR)

Ймовірно, це найсуворіший нормативний акт у світі щодо персональних даних, дотримання GDPR не слід сприймати легковажно, враховуючи, що середня вартість витоку даних досягла історичного максимуму в 4,45 мільйона доларів у 2023 році.

Будь-яка компанія, яка присутня або взаємодіє в одній із держав або країн, де діють закони про конфіденційність, повинна ознайомитися з ними та переконатися, що будь-яка обробка персональних даних відповідає вимогам.

Принципи:

• Законність, справедливість і прозорість
• Обмеження за призначенням
• Мінімізація даних
• Точність
• Обмеження зберігання
• Цілісність і конфіденційність (безпека)
• Відповідальність

Закон про захист конфіденційності дітей в Інтернеті (COPPA) – це ще один нормативний акт США, якого повинні дотримуватися оператори веб-сайтів і онлайн-сервісів, призначених для дітей віком до 13 років.

Закон про перенесення та підзвітність медичного страхування (HIPAA)

Продовжуючи закони про конфіденційність, HIPAA має суттєву відмінність: він зосереджений на інформації про особисте здоров’я (PHI). HIPAA посилюється Законом про медичну інформаційну технологію для економічного та клінічного здоров’я (HITECH), що спонукає постачальників медичних послуг до впровадження електронних медичних записів і застосування заходів безпеки та конфіденційності до цих записів.

Мета: HIPAA — це всеосяжне законодавство, широко визнане завдяки вимогам щодо захисту приватного життя пацієнтів.

Принципи:

• Правило конфіденційності
• Правило безпеки
• Правило транзакції
• Правило ідентифікаторів
• Правило виконання
• Правило звітування про порушення

Індустріальний стандарт захисту даних платіжних карток (PCI-DSS)

Далі ми розглядаємо глобальний стандарт інформаційної безпеки для захисту даних власників карток і зменшення шахрайства з кредитними картками. Залежно від обсягу транзакцій компанії повторну оцінку потрібно проводити щороку чи щокварталу, внутрішньо або сертифікованим кваліфікованим оцінювачем безпеки (QSA).

Призначення: Захист даних власника картки

Принципи:

• Побудова та підтримка безпечної мережі та систем
• Захист даних власника картки
• Ведення програми управління вразливістю
• Впровадження суворих заходів контролю доступу
• Регулярний моніторинг і тестування мереж
• Ведення політики інформаційної безпеки

Закон Сарбейнса-Окслі (SOX): залишатися вірним громадськості

Закон SOX був прийнятий у 2002 році, щоб покращити поведінку публічних компаній, деякі з яких були залучені в скандали через шахрайство та неправдиву фінансову звітність. Цей акт передбачає покарання на найвищому рівні в організації (включаючи тюремне ув’язнення) за такі порушення.

Мета: запобігти публічним компаніям брати участь у шахрайстві в бухгалтерському обліку та фінансах

Принципи:

• Рада з нагляду за бухгалтерським обліком публічної компанії
• Незалежність аудитора
• Корпоративна відповідальність
• Покращене розкриття фінансової інформації
• Конфлікт інтересів аналітика
• Ресурси та повноваження комісії
• Дослідження та звіти
• Відповідальність за корпоративне та кримінальне шахрайство
• Посилення покарання для службовців
• Податкові декларації підприємств
• Корпоративне шахрайство та відповідальність

ISO 27001 (Системи управління інформаційною безпекою): єдиний розмір, який підходить усім

Наразі у своїй третій версії (ISO 27001:2022) цей стандарт надає будь-якій компанії елементи, необхідні для встановлення системи управління інформаційною безпекою (СУІБ). Сертифікація ISO демонструє, що всі відповідні засоби контролю інформаційної безпеки були ефективно реалізовані.

Мета: Впровадити ефективну СУІБ для будь-якої організації, незалежно від її типу, галузі чи розміру

Принципи:

• Тріада ЦРУ: конфіденційність, цілісність і доступність
• 10 пунктів для впровадження та підтримки СУІБ
• 93 засоби контролю, згруповані в категорії: організаційні, кадрові, фізичні та технологічні

Контроль організації обслуговування (SOC) 2: який ваш тип?

Звіти SOC 2 запевняють клієнтів у придатності вжитих заходів для забезпечення безпеки та конфіденційності їх інформації. Звіти SOC 2 є найкращим способом продемонструвати довіру до різноманітних послуг, що надаються компанією.

SOC2 має два типи: тип 1, який оцінює момент часу, і тип 2, який розглядає відповідність протягом періоду до 1 року.

Призначення: Звіт про надання впевненості, у якому аудитор видає висновок щодо структури організації та операційної ефективності заявлених засобів контролю в певний момент часу (SOC2 Тип 1) або протягом визначеного періоду часу (SOC2 Тип 2)

Принципи (критерії довірчих послуг):

• Безпека
• Доступність
• Цілісність обробки
• Конфіденційність
• Конфіденційність

Директиви щодо мережевої та інформаційної безпеки (NIS) і NIS2: гармонізація безпеки в державах-членах ЄС

Повертаючись на деякий час до європейського ландшафту відповідності, NIS запропонувала структуру, яку країни-члени повинні використовувати, щоб диктувати вимоги дотримання вимог кібербезпеки для державних і приватних компаній. Хоча країни-члени мають час до жовтня 2024 року, щоб адаптувати вимоги NIS2 до місцевого законодавства, будь-яка компанія вже може підготуватися до ознайомлення із загальними вимогами.

Мета: досягнення спільного підходу до кібербезпеки серед держав-членів ЄС

Принципи:

• Ризик-орієнтований підхід
• Ризик третіх сторін у всьому ланцюжку постачання організації
• Управління інцидентами
• Зобов’язання повідомляти про інциденти

Закон про цифрову операційну стійкість (DORA)

DORA набуде чинності в січні 2025 року, принісши з собою суворі вимоги до фінансових установ ЄС та постачальників ІТ. Чому обидва? Серйозний інцидент, що вплинув на банк, може мати системні наслідки, а системи та мережева інфраструктура будь-якого банку значною мірою залежать від ІТ-провайдерів.

Обидві галузі вже готуються до виконання вимог DORA.

Мета: переконатися, що всі учасники фінансової системи мають необхідні засоби захисту для пом’якшення кібератак та інших ризиків

Принципи:

• Розділ I: Загальні положення; принцип пропорційності
• Розділ II: Управління ризиками ІКТ
• Розділ III: Управління інцидентами, пов’язаними з ІКТ, класифікація та звітність
• Розділ IV: Цифрове тестування операційної стійкості
• Розділ V: Управління ризиком третьої сторони в ІКТ
• Розділ VI: Механізми обміну інформацією

Оскільки цей закон стосується всієї ІТ-галузі, давайте коротко поговоримо про висновки з цього закону:

• Зіставте на карті всі ІТ-активи та їх залежності та забезпечте проактивний підхід до будь-яких систем, що закінчили термін служби/закінчили підтримку.
• Використовуйте ІТ-системи, інструменти та протоколи, які належним чином масштабуються, стійкі та мають достатньо можливостей для підтримки операцій.
• Впровадити надійні засоби контролю мережі: ізоляція та сегментація, виявлення вторгнень і реагування.
• Використовуйте ряд системних тестів, включаючи зовнішні тести на проникнення, перевірки фізичної безпеки та тестування процедур резервного копіювання та відновлення.
• Майте надійний план забезпечення безперервності бізнесу (BCP), спеціальну команду управління кризовими ситуаціями (CMT), а також оперативне управління інцидентами та процедури комунікації у кризових ситуаціях.

До речі, рішення CMDB від Device42 надає єдине джерело правди у вашій організації, щоб допомогти вам залишатися сумісними.

NIST Cybersecurity Framework (CSF) і спеціальна публікація 800-53: впровадження найсучасніших стандартів Міністерства оборони

Повертаючись до США, NIST (не плутати з NIS) створює стандарти для федеральних агентств США та приватних компаній. Найпоширенішими стандартами є NIST Cybersecurity Framework і Special Publication (SP) 800-53. Обидва можуть використовуватися будь-якою організацією, яка прагне досягти відповідності всесвітньо визнаним стандартам безпеки.

Мета: надати вичерпний перелік елементів керування безпекою та конфіденційністю, що відповідають потребам будь-якої організації щодо захисту інформації

Принципи:

• Ідентифікувати
• Захищати
• Виявляти
• Відповісти
• Відновити

Центр безпеки в Інтернеті (CIS) Контроль і тести: безпека на всіх рівнях

І, нарешті, CIS Controls є приписними конфігураціями для систем і пристроїв. Конфігурації відіграють важливу роль у досягненні відповідності, і CIS пропонує контрольні показники для систем від багатьох постачальників.

Мета: Надати правила для зміцнення системи та безпечного розгортання систем

Принципи — 18 елементів керування (і підконтрольних елементів), що стосуються:

• Додатки
• Дані
• Пристрої
• Мережа
• Користувачі

Кращі практики

Немає способу обійти стандарти відповідності. Кожна організація, незалежно від її рівня зрілості, місця розташування чи пропонованих послуг, повинна продемонструвати свою відповідність. Ось кілька найкращих практик, які стосуються стандартів відповідності, які ми розглянули вище.

Device42 пропонує кілька функцій, які можна використовувати, щоб допомогти у впровадженні найкращих практик відповідності стандартам:

• Автоматичне виявлення ІТ-активів: спрощує процес відстеження запасів, що є загальною вимогою багатьох стандартів відповідності, таких як ISO 27001.
• Візуалізація центру обробки даних і мережі: надає чіткий огляд фізичних і віртуальних активів, допомагаючи дотримуватися стандартів керування даними та безпеки, як-от GDPR.
• Відображення залежностей : допомагає зрозуміти потік даних і системні залежності, що може бути критично важливим для відповідності вимогам HIPAA, коли потік даних пацієнтів має бути захищеним і задокументованим. Відображення залежностей містить список усіх служб (запущених чи ні), користувачів, протоколів і портів.
• Керування IP-адресами (IPAM) : сприяє безпеці мережі, таким чином узгоджуючи стандарти відповідності, такі як PCI DSS, які вимагають безпечної передачі даних.

Висновок

Стандарти відповідності мають різні цілі та охоплення. Жоден єдиний стандарт не може створити ідеальну програму безпеки.

Незважаючи на те, що такі нормативні акти, як GDPR або HIPAA, невибагливі до витоку даних, вони базуються на принципах високого рівня. Поєднуючи їх із такими стандартами, як ISO27001 або NIST SP 800-53, компанія може краще зрозуміти та застосувати методи захисту свого середовища.

В основі всіх стандартів конфіденційності та безпеки лежить одна концепція: захист. Це починається зі знання ваших інформаційних ресурсів. Сьогодні практично неможливо досягти відповідності без використання автоматизованих інструментів. Device42 може допомогти вам розпочати виявлення та інвентаризацію активів, створити постійне відображення залежностей і переконатися, що ваші зусилля щодо захисту відображають ваше середовище день за днем, щоб підтримувати вашу сумісність. Більше інформації про Device42 можна отримати у постачальника – компанії Ідеалсофт.