Come si può facilmente determinare quali regolamenti relativi alla sicurezza IT si applicano?

Naviga le tue risposte
8

Joe Tech ottiene un lavoro nella gestione dei servizi IT di Acme Startup. Acme Startup gestisce le informazioni dei tipi di dati X, Y e Z e offre i servizi A, B e C. Joe Tech è consapevole che alcuni di questi tipi di dati e / o servizi potrebbero essere soggetti alle normative governative, ma non è sicuro quali. Sa anche che il CEO e / oi fondatori di Acme Startup probabilmente non saranno molto più competenti sull'argomento di quanto lo sia lui.

Senza entrare in un team legale, c'è un modo in cui Joe Tech può facilmente determinare quali leggi e / o regolamenti si applicano ai dati e ai servizi gestiti da Acme Startup?

(Nota: il particolare scenario di vita reale a cui questo si riferisce è in Florida, Stati Uniti, ma le risposte applicabili a livello globale - se ce ne possono essere - sono benvenute.)

    
posta Iszi 23.05.2011 - 19:50
fonte

2 risposte

14

Domande fondamentali che devi porre - e queste sono coperte da alcune delle risposte nelle domande che @AviD ha collegato e ad alto livello da @Beth:

  • Gestisci i dati delle carte di pagamento? In tal caso, PCI-DSS
  • Stai gestendo informazioni mediche? Se è così HIPAA negli Stati Uniti, DPA nel Regno Unito
  • Stai gestendo informazioni personali? Se è così DPA nel Regno Unito
  • Stai gestendo i dati personali di soggetti europei? In tal caso, GDPR dal 25 maggio 2018
  • Sei un'organizzazione finanziaria? GLBA negli Stati Uniti, FSA regs nel Regno Unito
  • Fai trading su NYSE? SOX negli Stati Uniti, JSOX in Giappone - ma requisiti simili a livello globale
  • Sei una banca al dettaglio? BASEL II (presto BASILE III )
  • Sei un assicuratore europeo? Solvency II

Ci sono equivalenti per questi in molte giurisdizioni

    
risposta data 23.05.2011 - 22:31
fonte
6

Conoscere tutti i paesi in cui si troveranno i tuoi dati è un buon inizio. Non ci sono molte leggi applicate a livello globale in questo settore, quindi finirai per voler conoscere tutte le leggi nazionali pertinenti. Il libro " Chi controlla Internet? " è stato una lettura davvero interessante su questo argomento (per me, era un ottimo audiolibro).

Da lì, è utile essere in grado di classificare il tipo di dati che hai tra le mani. Leggi e amp; i regolamenti possono generalmente essere suddivisi in gruppi in base all'industria e al tipo di dati. Un buon modo per iniziare è guardare prima quali sono i processi della tua azienda - cosa vendono, cosa compra, quali tipi di informazioni devono muoversi per farlo accadere. Assicurati di tenere traccia di entrambi i dati esterni necessari per realizzare i tuoi prodotti o servizi e dati interni tipici di qualsiasi azienda, ad esempio i record del personale.

In generale (e molto proveniente dalla guida d'esame CISSP di Shon Harris - non è la migliore di soggetto singolo, ma una buona presa tutto) - ci sono i seguenti tipi di legge di base:

  • Leggi sulla proprietà intellettuale - proteggendo i segreti commerciali, i copyright, i marchi, i brevetti e altre proprietà intellettuali della tua azienda. Sicuramente se la tua azienda è di dimensioni maggiori, hai già almeno un avvocato a disposizione che è un po 'esperto in questo.

  • Legge sulla privacy - una raccolta di leggi che proteggono le persone, le aziende, i dipendenti e altri dalla divulgazione di informazioni che non dovrebbero essere rese pubbliche. Tutto da informazioni personali, informazioni relative alla salute, segnalazione corretta della contabilità, protezione da hacking e spionaggio aziendale e problemi di privacy dei dipendenti. Alcuni si applicano a quasi tutte le aziende negli Stati Uniti e alcuni sono specifici per un determinato settore o tipo di informazioni.

  • Legge sui procedimenti giudiziari - non qualcosa in cui generalmente vieni coinvolto fino a quando non devi perseguire, ma se sei appassionato di questo, conoscere almeno un po 'di catene di prove e cosa fare per proteggerti può aiutare tu con l'istituzione di procedure di recupero che non causano corruzione nella tua capacità di rintracciare e perseguire qualcuno che ha attaccato la tua azienda.

  • Etica specifica per il tuo settore specifico

  • Ci sono anche alcune aree speciali del diritto se la tua azienda riceve fondi federali per qualsiasi cosa e ancora più aree di diritto se sviluppi o sei coinvolto in qualcosa che riguarda la sicurezza nazionale. Questi sono abbastanza facili: se non hai firmato alcun tipo di contratto con il governo federale, statale o locale, queste leggi non sono probabilmente applicabili a te.

Per quanto ne so, non esiste un ottimo Q & online un sito in cui è possibile rispondere, ad esempio, a una serie di domande e ottenere informazioni su OGNI legge negli Stati Uniti applicabile alla propria situazione. Generalmente devi prenderlo come viene e capire quali sono i tuoi dati e quali sono le leggi applicabili a te. In generale, inizierei con il tuo settore, perché probabilmente troverai altre persone preoccupate delle stesse cose di cui dovresti preoccuparti nei forum di settore. Ad esempio, gli appaltatori della difesa sono gli uccelli di una piuma - non sappiamo quasi nulla delle leggi sull'assistenza sanitaria come l'HIPPA, ma sappiamo troppo delle leggi che circondano i sistemi classificati. :)

    
risposta data 23.05.2011 - 22:16
fonte

Leggi altre domande sui tag

Utilizzo di RSA con 3DES anziché 3DES normale. Ha senso? Perché la funzione scrypt node.js usa HMAC in questo modo?