Как проблемы соответствия влияют на вашу сеть?

Что такое сетевое соответствие?

Термин соответствие сети является широким и может иметь много значений. Слово «соблюдение» означает «состояние или действие, соответствие или согласие сделать что-либо, часто в соответствии с законодательством, правилами или положениями или постановлением суда». Соблюдение всех правил, законов и распоряжений, действующих в США и других юрисдикциях, может оказаться непростой задачей. В отрасли этот термин обычно используется для обозначения одного из следующего:

• Соблюдение законов об авторском праве в отношении программного обеспечения и другой интеллектуальной собственности.
• Соблюдение правил ИТ-безопасности и конфиденциальности, регулирующих конкретные отрасли.

В этой статье мы сосредоточимся на втором типе проблем соответствия. Если вы работаете в регулируемой отрасли, такой как здравоохранение или финансовые услуги, или если ваша компания публично торгуется и обязана подавать финансовую отчетность в Комиссию по ценным бумагам и биржам (SEC), ваша ИТ-инфраструктура должна соответствовать определенным стандартам, установленным правительством.

Примечание. Важно отметить, что это сложные законы, которые регулируют гораздо больше, чем просто практику ИТ, но в этой статье мы сосредоточимся на частях законодательства, связанных с ИТ.

Закон о переносимости и подотчетности медицинского страхования (HIPAA)

Закон о переносимости и подотчетности медицинского страхования 1996 г. устанавливает национальные стандарты для защиты и поддержания конфиденциальности медицинских данных, связанных с электронными операциями здравоохранения. Закон затрагивает компьютерные сети врачебных кабинетов, больниц, медицинских страховых компаний, организаций общественного здравоохранения, работодателей и практически любых организаций, которые имеют дело с медицинскими записями и медицинской информацией, относящейся к отдельным пациентам, которые хранятся или передаются в электронной форме.

Закон требует, чтобы компании назначали сотрудника по информационной безопасности (ISO), отвечающего за соблюдение требований HIPAA в организации. HIPAA требует, чтобы каждая регулируемая организация документально подтверждала свое соответствие 54 стандартам, регулирующим порядок обращения с электронной защищенной медицинской информацией (ePHI).

Крайний срок для соблюдения правила безопасности HIPAA был 20 апреля 2005 года.

Закон Грэмма-Лича-Блайли (GLB)

Закон о финансовой модернизации 1999 года более известен как Закон Грэмма-Лича-Блайли (GLB) по именам его спонсоров, сенатора Фила Грэмма и представителей Джима Лича и Томаса Блайли. Это относится к финансовым учреждениям и организациям, которые работают с OPM (деньгами других людей), таким как банки, брокерские фирмы, агентства по предоставлению информации о потребительском кредите и службы кредитного консультирования, агентства по взысканию долгов, службы по урегулированию сделок с недвижимостью и даже специалисты по составлению подоходного налога. Если вы работаете в ИТ-отделе любой из этих компаний, вы обязаны соблюдать требования информационной безопасности GLB.

GLB состоит из трех частей. Правила, которые больше всего затрагивают ИТ-специалистов, — это Правила гарантий. Этот раздел регулирует сбор и раскрытие личной финансовой информации клиентов. Вкратце, это требует, чтобы регулируемые компании делали следующее:

• Укажите лицо или группу лиц, которые будут нести ответственность за соблюдение GLB.
• Выявление рисков безопасности, связанных с информацией о клиентах
• Оценить существующие меры защиты конфиденциальности информации о клиентах.
• Реализуйте все необходимые дополнительные меры безопасности.
• Следить за эффективностью защитных мер.
• Убедитесь, что поставщики услуг соответствуют требованиям GLB.
• Обновите программу безопасности организации по мере необходимости в связи с изменением обстоятельств.

Закон также требует, чтобы финансовые учреждения рассылали своим клиентам уведомления о конфиденциальности, разъясняющие политику учреждения в отношении обмена информацией о клиентах. Вы, вероятно, получали такие уведомления от своего банка и других финансовых учреждений, с которыми вы ведете дела.

Закон GLB действует уже несколько лет; крайний срок соблюдения был в 2001 году.

Закон Сарбейнса-Оксли (SOX)

Закон США о реформе бухгалтерского учета и защите инвесторов публичных компаний от 2002 года часто называют Законом Сарбейнса-Оксли по именам сенатора Пола Сарбейнса и представителя Майкла Оксли, которые являются авторами законопроекта. Более неофициально он называется SOX. Закон был предложен и принят в ответ на множество бухгалтерских скандалов с участием крупных корпораций, таких как Enron, WorldCom и Tyco. Цель состоит в том, чтобы обеспечить соблюдение стандартов, обеспечивающих точность финансовой отчетности, подаваемой публичными компаниями.

Разделы 302 и 404 — это части Закона, которые больше всего затрагивают ИТ-отделы этих компаний. Все компании, зарегистрированные или ожидающие регистрации в соответствии с Законом о ценных бумагах 1993 года, должны соответствовать требованиям. Сюда входят иностранные компании, зарегистрированные на фондовых биржах США. Эти разделы требуют ежегодной сертификации средств внутреннего контроля, подтвержденной независимым аудитором. Отсутствие защиты финансовых данных, которое может привести к искажению финансовой информации, является нарушением Закона и может повлечь за собой штрафы для компании и, что еще более важно, может привести к тюремному заключению виновных, даже если намерения ввести в заблуждение нет.

Это делает безопасность данных такого типа крайне важной. Компании обязаны создать инфраструктуру, которая защитит данные от любого несанкционированного доступа или изменения, повреждения или потери. На практике это означает установление (и документирование) строгих мер безопасности, подобных тем, которые обсуждались в разделе «Как соблюдать требования».

Крайним сроком соблюдения SOX было 15 ноября 2004 г. для крупных корпораций (рыночная капитализация более 75 миллионов долларов США) и 15 апреля 2005 г. для всех остальных публичных компаний.

Как соблюдать

Каждый закон включает подробные стандарты соответствия, которые необходимо соблюдать. См. раздел «Дополнительная информация» для ссылок на веб-сайты, где вы можете прочитать больше о каждом акте. Однако в целом соблюдение требований ИТ-безопасности для каждого из актов включает в себя несколько общепринятых (и здравомыслящих) шагов, которые необходимо предпринять и задокументировать. Это те же шаги, которые вы предпримете для защиты важных или конфиденциальных электронных данных в любой организации, даже если это не требуется по закону. Например:

• Политики аутентификации и доступа, которые защищают от несанкционированного доступа к хранимым файлам, содержащим регулируемые данные (политики надежных паролей, права доступа к файлам, шифрование файлов, правильно настроенные брандмауэры).
• Политики и внедрение технологий для защиты регулируемых данных при их передаче по сети (IP-безопасность, беспроводная безопасность).
• Политики учетных записей, которые строго определяют, кто имеет доступ к регулируемым данным и контроль над ними (администрирование на основе ролей, делегирование административных обязанностей).
• Политики аудита, которые отслеживают, кто получает доступ к регулируемым данным, и ведут журналы, в которых содержится подробная информация о том, когда, как и кем был получен доступ к таким данным.
• План аварийного восстановления, гарантирующий, что регулируемые данные не будут потеряны.
• План защиты данных, защищающий от вирусов, троянов, червей, шпионского и другого вредоносного ПО.
• План реагирования на инциденты для обнаружения и реагирования на нарушения безопасности, которые могут поставить под угрозу регулируемые данные.
• Меры физической безопасности для защиты регулируемых данных (запирающиеся серверные комнаты, замки на картотеках, где хранятся бумажные копии регулируемой информации, политики, требующие блокировки рабочих станций, когда их оставляют в покое, отключение USB-портов, дисководов и других средств копирования регулируемых данных в съемные медиа).
• Должная осмотрительность при найме сотрудников и подрядчиков, которые будут иметь доступ к регулируемым данным (рекомендательные проверки, биографические расследования, требование о подписании сотрудниками соглашения о конфиденциальности).
• Обучение сотрудников и подрядчиков, имеющих доступ к регулируемым данным.

Некоторые другие общие советы, которые помогут вам соблюдать правила конфиденциальности, включают:

• По возможности храните регулируемые данные на компьютерах, не подключенных к Интернету.
• Если вам необходимо собирать или распространять регулируемые данные через Интернет, используйте защитные механизмы, такие как Secure Sockets Layer (SSL), VPN или другие технологии безопасного соединения.
• По возможности никогда не передавайте регулируемые данные по электронной почте. При необходимости используйте шифрование электронной почты для защиты конфиденциальности информации и обеспечения подлинности и целостности передачи.
• При утилизации жестких дисков или других носителей, содержащих регулируемые данные, физически уничтожайте носители путем измельчения, измельчения, сжигания или другими способами, исключающими возможность восстановления данных. Поддерживайте точную инвентаризацию всех аппаратных компонентов.

Дополнительная информация

Национальный институт стандартов и технологий (NIST): Вводное руководство по реализации правила безопасности Закона о переносимости и подотчетности медицинского страхования (HIPAA): http://csrc.nist.gov/publications/nistpubs/800-66/SP800-66. пдф .

Федеральная торговая комиссия (FTC): Финансовые учреждения и данные клиентов: Соблюдение правила о гарантиях закона GLB: http://www.ftc.gov/bcp/conline/pubs/buspubs/safeguards.htm

Практическое руководство по соблюдению норм Сарбейнса-Оксли: http://www.ecora.com/ecora/whitepapers/register/IDRS_soxCompliance.asp