Показать сообщение отдельно
  #3  
Старый 24.09.2009, 16:17
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Требования безопасности в отрасли информационных технологий



Требования безопасности в отрасли информационных технологий

Требования безопасности до недавнего времени были предметом индивидуального беспокойства. Если сведения не относились к государственной или военной информации, то к их защите предъявлялись незначительные юридические нормы. Однако такое положение быстро меняется. Приняты разнообразные законы, обязывающие обеспечивать конфиденциальность и аккуратное ведение личной информации. Среди этих законов есть также такие, которые предъявляют требования к аудиту проводимых мер безопасности.

Юридические акты. Каждый из приведенных здесь законов, предъявляет специфические требования. Данный перечень отражает законы, принятые по всему миру. Без сомнения, имеются отличия в законах безопасности, действующих в разных точках мира.

Закон Сарбэйнса - Оксли (Sarbanes-Oxley Act, SOX) требует укреплять публичные компании и контроль документов внутри них, чтобы не допустить со стороны отдельных личностей мошеннические действия, которые могут подорвать финансовое состояние организаций или скомпрометировать точность их финансовых отчетов. Президенты и финансовые директора компаний должны удостоверять соответствие внутреннего контроля предъявляемым требованиям, а также точность финансового отчета. Эти должностные лица могут быть оштрафованы и заключены в тюрьму за лживые отчеты. Отдельные положения SOX содержат требования по предоставлению данных, используемых для создания отчетов, а также требования к внутреннему контролю, обеспечивающему целостность финансовой информации.

Закон о преемственности страхования и отчетности в области здравоохранения (Health Information Portability and Accountability Act, HIPAA) действует с целью защиты персональной информации о здоровье и недопущения публичного разглашения или злоупотребления сведениями о здоровье отдельной личности. Держатели информации должны предоставлять журналы аудита доступа всех, кто обращался к этим данным.

Закон Великобритании о защите данных (UK Data Protection Act) действует с целью защиты персональной информации. Он включает восемь пунктов, один из которых требует, чтобы данные хранились защищено.

Другие законы:

Закон о правах семьи и конфиденциальности сведений, предоставляемых в учебные заведения (Family Educational Rights and Privacy Act, FERPA)
защищает данные о здоровье и персональные сведения, хранящиеся в школах.

Законодательство Калифорнии (California Breach Law) требует от организаций, хранящих различные персональные сведения (personal identity information, РП), защищать эти данные. К такой информации, например, относятся сведения о кредитных карточках, водительских удостоверениях и идентификационных государственных номерах (government identity numbers). В случае дискредитации такой информации организация обязана уведомить все вовлеченные лица.

Два закона, CA-SB-1386 и СА-АВ-1950, применимы к организациям, хранящим персональные сведения (РП).

Федеральный закон об управлении безопасностью информации (Federal Information Security Management Act, FISMA) предоставляет руководство и стандарты безопасности, основанные на федеральном стандарте обработки информации (Federal Information Processing Standard, FIPS), сопровождаемом национальным институтом стандартов (National Institute of Standards, NIST). Эти стандарты применяются в организациях, обрабатывающих информацию для правительства США.



Аудит. Многие из этих законов включают положения, требующие проверку планов безопасности (внутренних планов) путем периодического аудита. SOX требует, чтобы неясности и вопросы были проинтерпретированы должностными лицами организации. Реализация закона может значительно различаться в зависимости от уровня детализации, который необходим должностным лицам Поскольку положения SOX сформулированы нечетко, а санкции за их нарушение серьезные, важно защитить свою компанию. Стоимость осуществления мер безопасности должна быть сбалансирована с рисками ее нарушения. Никто не может уверить вас в 100% безопасности. Хорошее решение -достижение консенсуса в отрасли. Если достигнуто согласие о минимальных действиях по безопасности, производимых с надлежащей аккуратностью, тогда можно обезопасить себя от наихудших санкций закона. Среди организаций, в которых на хорошем уровне осуществляется деятельность по разработки стандартов отрасли, можно назвать следующие: SysAdmin, Audit, Network, Security (SANS) Institute, CERT/CC (для министерство обороны деятельность этой организации осуществляет Carnegie Mellon University), а также необходимо упомянуть стандарт 1SO-17799. Сведения см. на сайтах:

http://www.sans.org/index.php
http://www.cert.org/nav/index.html
http://www.isol7799software.com/


ISO-17799 certification Standard - это международный стандарт по применению лучших практических приемов обеспечения безопасности, сертификации и оценки рисков. Он охватывает широкий диапазон проблем и включает предварительно созданные политики.
__________________
Телеграм чат

Последний раз редактировалось Marley; 24.09.2009 в 16:21.
Ответить с цитированием