Organisaatioiden on liittovaltion hallituksen mukaan tunnistettava henkilötiedot (Personally Identifiable Information, PII) ja suojattu terveystieto (Protected Health Information, PHI) eri syistä ja käsiteltävä niitä turvallisesti. Näiden tietojen luvaton käyttö tai luovuttaminen voi johtaa vakaviin seurauksiin henkilöille, joiden tiedot ovat vaarantuneet. Koska hallituksella on lisäksi vastuu näiden tärkeiden tietojen suojaamisesta, se säätää ja panee täytäntöön lainsäädäntöä, jolla säännellään PII:n ja PHI:n käyttöä.
Tietojen merkityksen ja arvon ymmärtämistä voidaan pitää ensimmäisenä askeleena niiden suojaamisessa. PII:n tai PHI:n luvaton käyttö voi olla haitallista sekä yksilöille että organisaatioille. CISSP-ammattilaisten velvollisuus on ryhtyä tarvittaviin toimenpiteisiin PII:n ja PHI:n pitämiseksi turvassa ulkoisilta tai sisäisiltä uhkilta.
Personally Identifiable Information (PII)
Personally Identifiable Information (PII)
Personally Identifiable Information (PII) on mitä tahansa tietoa, jota voidaan käyttää tietyn yksilön yksilöimiseen, paikantamiseen tai yhteydenottoon, joko yhdistettynä muihin helposti saatavissa oleviin tietolähteisiin tai itsessään.
PII:iin voi kuulua tietoa, joka on yhdistetty mihin tahansa yksilöön lääketieteellisten, työ-, taloudellisten- tai opintosuoritus- ja koulutustietojen kautta. Useat näistä tietokokonaisuuksista, joita voidaan käyttää tietyn henkilön tunnistamiseen, voivat koostua nimestä, sähköpostiosoitteesta, biometrisistä tiedoista, puhelinnumerosta, sormenjäljistä tai sosiaaliturvatunnuksesta.
Liittovaltion virastojen vastuulla on suojata kaikki arkaluonteiset tiedot, mukaan lukien yksilön PII. CISSP-ammattilaisten tulisikin antaa keskeinen merkitys näiden tietojen suojaamisessa.
Suojattu terveystieto (PHI)
Suojattu terveystieto on mikä tahansa tieto, joka liittyy terveydentilaan, terveydenhuollon tarjoamiseen tai terveydenhuollon maksamiseen ja joka voidaan edelleen yhdistää tiettyyn henkilöön. PHI tulkitaan kuitenkin melko laajasti, ja se sisältää kaikenlaisen potilaan lääketieteellisen maksuhistorian tai potilastiedot.
Viime aikoina PII:n suojaamisesta on tullut yhä tärkeämpää, vaikka yhteiskunta on luottanut siihen niin pitkään ilman suurempia turvallisuusongelmia. Tämä nykyinen PII:n suojaamiseen liittyvä ongelma syntyi pääasiassa siksi, että hakkerointihyökkäykset ovat lisääntyneet. Teknologisen kehityksen ja tietokoneiden käytön myötä PII:n suojaamisesta on tullut välttämätöntä jokaiselle organisaatiolle. PII:n suojaamiseksi on pantu täytäntöön monia tärkeitä lakeja eri muodoissa, kuten FCRA, HIPAA, GLBA, Privacy Act, COPPA ja FERPA.
Näitä lakeja käytetään elintärkeänä keinona pyrkiä varmistamaan, että organisaatiot rajoittavat arkaluonteisten henkilötietojen jakamista kolmansien osapuolten kanssa. Lisäksi niiden on annettava tarvittavat vaatimukset PHI:n suojaamiseksi tarkoituksenmukaisimmalla tavalla. CISSP-ammattilaisten on ymmärrettävä ja suojattava yksityishenkilöiden PHI-tiedot tietoverkkohyökkäyksiltä niihin liittyvissä organisaatioissa, joissa yksityishenkilöt saattavat tallentaa näitä tietoja omien etujensa vuoksi.
PII-esimerkkejä ja miksi CISSP-ammattilaisilla on oma roolinsa
PII-tietojen kerääminen ja myyminen laillisin perustein on kannattava vaihtoehto, mutta valitettavasti PII-tietoja hyväksikäyttävät usein rikolliset tai pahansuopaiset tahot, jotka pyrkivät anastamaan henkilön henkilöllisyyden tai syyllistymään rikoksiin. FBI:n tilastojen mukaan identiteettivarkauksia pidetään kuitenkin yhtenä nopeimmin kasvavista rikoksista Yhdysvalloissa, ja ne voivat aiheuttaa uhreille huomattavaa taloudellista ja henkistä vahinkoa. Monet hallitukset ovatkin luoneet lakeja henkilötietojen jakeluprosessin rajoittamiseksi uhan vuoksi. Esimerkkejä PII:stä ovat:
- PII sisältää minkä tahansa henkilön tunnistenumeron, kuten luottokortin numeron, passin numeron, ajokortin numeron, potilastunnisteen numeron tai sosiaaliturvatunnisteen.
- PII sisältää myös henkilön nimen, mukaan lukien äidin tyttönimen, käytetyn peitenimen tai oman tyttönimen.
- PII:iin luetaan myös omaisuustiedot, kuten IP- tai MAC-osoite, ja muut staattiset tunnisteet, jotka voivat yhdistää tietyn henkilön johdonmukaisesti.
- PII:iin luetaan myös osoitetiedot, kuten puhelinnumerot (ammatilliset tai henkilökohtaiset), katuosoitteet ja sähköpostiosoitteet.
- Henkilökohtaiset tai biologiset ominaisuudet, kuten verkkokalvon skannaus, sormenjäljet, tuntomerkkikuvat, äänimerkit, röntgenkuvat tai kasvojen geometria kuuluvat PII:n piiriin.
- PII:ksi luetaan myös henkilökohtaiset tiedot, kuten maantieteelliset tunnusluvut, syntymäaika, syntymäpaikka, aktiviteetit, uskonto, taloudelliset, lääketieteelliset tai koulutukseen liittyvät tiedot.
Yksilön identiteetti muuttuu tietyissä olosuhteissa haavoittuvaksi, kun yksi tai useampi edellä mainituista helposti saatavilla olevista tiedoista yhdistetään, vaikka ne saattavat vaikuttaa vaarattomilta, jos ne jäävät yksinään. Tässä kohtaa CISSP:ien on astuttava esiin näiden arkaluonteisten tietojen suojaamisessa.
Suojattuja terveystietoja (PHI) koskevia esimerkkejä ja CISSP:ien rooli
Sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskeva laki (Health Insurance Portability and Accountability Act, HIPAA) edellyttää tiettyjen turvallisuussäännösten hyväksymistä henkilökohtaisten terveystietojen suojaamiseksi. Yleensä PHI:ksi katsotaan kaikki terveyteen liittyvät tiedot, jotka voidaan yksilöidä ja joita terveydenhuollon tarjoajat, mukaan lukien terveydenhuoltosuunnitelmien ylläpitäjät ja terveydenhuollon selvitysyhteisöt, tuottavat tai vastaanottavat.
PHI voi liittyä yksilön nykyiseen, menneeseen tai tulevaan terveyteen joko fyysisesti tai henkisesti. PHI voi sisältää myös yksilön tämänhetkisen terveydentilan. Yleisesti ottaen PHI:tä voidaan käyttää minkä tahansa yksilön tunnistamiseen. Lisäksi sillä viitataan tietoihin, joita ylläpidetään ja välitetään missä tahansa muodossa, kuten elektroniikassa, paperilla tai puheessa.
PHI:llä ei kuitenkaan viitata koulutukseen liittyviin tietoihin, jotka kuuluvat EFRPA:n tai Educational Family Rights and Privacy Actin soveltamisalaan. Sillä ei myöskään viitata minkään työnantajan ylläpitämiin työrekistereihin. PHI-asetuksissa viitataan klassisesti useisiin eri kenttiin, joita voidaan yleensä käyttää yksilön tunnistamiseen. Näitä ovat mm:
- Nimet
- Kaikki suoraan henkilöön liittyvät päivämäärät, kuten syntymäaika, kotiuttamispäivä, kuolinpäivä ja hallinto
- Faksi- ja puhelinnumerot
- Sähköpostiosoitteet ja katuosoitteet (mukaan lukien maantieteelliset alajaottelut, kuten maa- ja postinumerot)
- lääkärinlausunnot, sairausvakuutuksen edunsaajaa koskeva todistus, Tätä käsitellään CISSP-tutkinnon osa-alueen II Asset Security:ssä.
Eerilaisia tapoja, joilla CISSP-ammattilaiset voivat pitää PII- ja PHI-tiedot turvassa pahantahtoisilta hyökkäyksiltä
Turvan peruslinja (Security Baseline) on joukko perusturvaominaisuuksia, jotka minkä tahansa tietyn järjestelmän tai palvelun on täytettävä. Näihin ominaisuuksiin tai tavoitteisiin ei liity teknisiä toimenpiteitä, ja ne valitaan kattaviksi ja käytännöllisiksi. Näin ollen tulisi olla erillinen ”Turvallisuuden toteutusasiakirja”, jossa on yksityiskohtaiset tiedot siitä, miten eri turvallisuustavoitteet voidaan täyttää jonkin tietyn palvelun tai järjestelmän avulla. Nämä yksityiskohdat riippuvat yleensä palvelun tai järjestelmän toimintaympäristöstä, johon se otetaan käyttöön. Lisäksi siinä voidaan käyttää ja soveltaa asiaankuuluvia turvatoimenpiteitä luovasti. Perustasosta poikkeaminen on täysin mahdollista ja odotettavissa. Kaikki poikkeukset tulisi merkitä nimenomaisesti.
”Scoping” on toisaalta minkä tahansa tilanteen jatkuva arviointijärjestelmä, joka toteutetaan yleensä keskustelujen, kuulemisten ja seurannan avulla.
”Räätälöinti” on tarpeiden tai eritelmien mukauttamista nykyisten toiminnallisten vaatimusten mukaisesti täydentämällä, muuttamalla ja/tai poistamalla niitä poikkeamatta normeista.
Tiedon omistusoikeus
Tiedon omistusoikeudeksi kutsutaan sitä, että on olemassa täydellinen määräysvalta ja lailliset oikeudet mihin tahansa yksittäiseen tieto-osaan tai tietoelementtijoukkoon. Se itse asiassa määrittelee ja antaa tietoa minkä tahansa tietyn tietovarannon laillisesta omistajasta ja datan omistajan toteuttamasta datan käyttö-, hankinta- ja jakelupolitiikasta.
Datan remanenssi
Digitaalisen datan asuinpaikkakohtainen esitys tunnetaan nimellä datan remanenssi, joka säilyy myös sen jälkeen, kun se on yritetty poistaa tai pyyhkiä.
Keräysrajoitus
Tietosuojakehysten käyttöä voidaan pitää välineinä, jotka auttavat ajattelemaan tietosuojaa koskevia asioita ja jotka auttavat kehystämään tietosuojaa koskevia keskusteluja sen vaatimusten ymmärtämiseksi.
On olemassa ”demokratiaan ja markkinatalouteen sitoutuneiden maiden” foorumi nimeltä Taloudellisen yhteistyön ja kehityksen järjestö (OECD). Järjestön mottona on tarjota hallituksille puitteet vertailla kokemuksia politiikoista, jotta ne saisivat vastauksia yhteisiin ongelmiin ja tunnistaisivat parhaat käytännöt koordinoimalla erilaisia kansainvälisiä ja kotimaisia politiikkoja.
OECD:n yksityisyyden suojaa koskevat periaatteet antavat kansainvälisesti yksityisyyden suojaa koskevat puitteet, joita käytetään yleisimmin. Yksityisyydensuojaverkostot heijastuvat kehittyvään sekä olemassa olevaan yksityisyyttä ja tietosuojaa koskevaan lainsäädäntöön ja toimivat siten pohjana parhaiden käytäntöjen mukaisten yksityisyydensuojaohjelmien ja muiden lisäperiaatteiden tuottamiselle.
Tietosuojaperiaatteet: What CISSPs Must Know
Suuntaviivojen (Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data) mukaan yksityisyyden suojaa ja henkilötietojen rajat ylittävää liikkuvuutta koskevat yksityisyyden suojaa koskevat periaatteet ovat seuraavat:
Collection Limitation Principle
Henkilökohtaisten tietojen keräämiselle on asetettava rajoituksia, ja tällaiset tiedot on hankittava oikeudenmukaisin ja laillisin keinoin. Lisäksi tiedot olisi tarvittaessa hankittava rekisteröidyn suostumuksella tai hänen tietämyksellään.
Tietojen laatuperiaate
Hankittujen henkilötietojen on oltava asianmukaisia niiden käyttötarkoituksiin nähden ja vain siinä määrin kuin se on näiden tarkoitusten kannalta välttämätöntä. Käytettävien tietojen on oltava täydellisiä, täsmällisiä ja ajan tasalla.
Tarkoituksen määrittelyn periaate
Henkilötietojen keruun tarkoitukset on määriteltävä viimeistään keruun yhteydessä ja jokaisen myöhemmän käytön yhteydessä. Lisäksi ne on rajoitettava niiden tarkoitusten täyttämiseen, joita varten ne on otettu, eivätkä ne saa olla ristiriidassa tarkoitusten kanssa, jos tarkoitukset muuttuvat.
Käytön rajoittamisen periaate
Henkilötietoja ei saa asettaa saataville, luovuttaa tai muutoin käyttää muihin kuin lakien ja rekisteröidyn suostumuksen mukaisiin tarkoituksiin.
Turvatakeiden periaate
Henkilötiedot on suojattava mahdollisilta riskeiltä, kuten luvattomalta pääsyltä, käytöltä, muokkaamiselta, jakamiselta ja luovuttamiselta tai häviämiseltä, toteuttamalla kohtuulliset turvatakeet.
Avallisuuden periaate
Henkilötietoihin liittyviä käytäntöjä ja kehityssuuntia koskevan yleisen avoimuuden periaatteen on oltava olemassa. Olisi oltava helposti saatavilla olevia keinoja selvittää henkilötietojen luonne ja olemassaolo, niiden käytön keskeiset tarkoitukset sekä rekisterinpitäjän henkilöllisyys ja tavanomainen asuinosoite.
Yksilön osallistumisperiaate
Kullakin yksilöllä on oltava seuraavat oikeudet:
- Osaa saada tietoja rekisterinpitäjältä ja vahvistaa, onko rekisterinpitäjällä häntä koskevia tietoja;
- Osaa olla yhteydessä rekisterinpitäjään itseään koskevien tietojen osalta:
- käytännöllisen ajan kuluessa;
- maksua vastaan (ei kohtuuttomasti);
- järkevällä tavalla; ja
- hyvin ymmärrettävässä muodossa;
- Oikeus perustella, jos edellä a ja b alakohdan nojalla tehty pyyntö evätään, ja oikeus riitauttaa tällainen epääminen;
- Oikeus riitauttaa häntä koskevat tiedot ja saada tiedot muutetuksi, täydennettyä, oikaistuksi tai poistetuksi, jos riitauttaminen onnistuu.
Vastuullisuusperiaate
Kunkin rekisterinpitäjän on oltava vastuussa siitä, että hän noudattaa toimenpiteitä, joilla edellä mainitut periaatteet pannaan täytäntöön.