Przegląd PII i PHI: What CISSPs Need to Know

As per the federal government, organizations need to identify Personally Identifiable Information (PII) as well as Protected Health Information (PHI) for different reasons and handle them in a secure manner. Każdy nieuprawniony dostęp lub ujawnienie takich informacji może spowodować poważne konsekwencje dla osób, których dane zostały naruszone. Ponadto, ponieważ rząd jest odpowiedzialny za ochronę tych ważnych informacji, wprowadza i egzekwuje przepisy, które regulują korzystanie z PII i PHI.

Zrozumienie znaczenia i wartości tych danych można uznać za pierwszy krok w utrzymaniu ich bezpieczeństwa. Nieautoryzowany dostęp do PII lub PHI może być szkodliwy zarówno dla osób indywidualnych, jak i organizacji. Obowiązkiem profesjonalistów CISSP jest podjęcie niezbędnych kroków, aby utrzymać PII i PHI bezpieczne i zabezpieczone przed jakimkolwiek zagrożeniem zewnętrznym lub wewnętrznym.

Personally Identifiable Information (PII)

Personally Identifiable Information (PII) to każda informacja, która może być użyta w celu zidentyfikowania, zlokalizowania lub skontaktowania się z konkretną osobą, w połączeniu z innymi łatwo dostępnymi źródłami lub samodzielnie.

PII może zawierać dane powiązane z dowolną osobą poprzez rejestry medyczne, zatrudnienia, finansowe lub edukacyjne. Kilka z tych zestawów informacji, które mogą być wykorzystane do identyfikacji danej osoby, może składać się z nazwiska, adresu e-mail, danych biometrycznych, numeru telefonu, odcisków palców lub numeru ubezpieczenia społecznego.

Agencje federalne są odpowiedzialne za ochronę wszelkich wrażliwych informacji, w tym PII danej osoby. Specjaliści CISSP powinni zatem przywiązywać kluczową wagę do zachowania bezpieczeństwa tych danych.

Ochronione informacje zdrowotne (PHI)

Ochronione informacje zdrowotne to wszelkie informacje związane ze stanem zdrowia, świadczeniem opieki zdrowotnej lub płatnościami za opiekę zdrowotną, które mogą być powiązane z konkretną osobą. PHI jest jednak dość szeroko interpretowane i obejmuje wszelkiego rodzaju historię płatności medycznych lub zapisy pacjenta.

Ostatnio ochrona PII staje się coraz ważniejsza, chociaż społeczeństwo polegało na niej przez tak długi czas bez większych problemów związanych z bezpieczeństwem. Ten obecny problem ochrony PII pojawił się głównie z powodu zwiększonej liczby ataków hakerskich. Wraz z postępem technologicznym i wykorzystaniem komputerów ochrona informacji osobistych stała się niezbędna dla każdej organizacji. Wiele ważnych praw zostało wdrożonych w różnych formach w celu ochrony PII, takich jak FCRA, HIPAA, GLBA, Privacy Act, COPPA i FERPA.

Te prawa są wykorzystywane jako istotny środek do próby zapewnienia, że organizacje są ograniczone w dzieleniu się wrażliwymi informacjami osobowymi z jakąkolwiek stroną trzecią. Ponadto, muszą one zapewnić niezbędne wymagania w celu ochrony PHI w najbardziej odpowiedni sposób. Specjaliści CISSP muszą zrozumieć i zabezpieczyć PHI osób fizycznych przed cyberatakami w powiązanych organizacjach, gdzie dane te mogą być przechowywane przez osoby fizyczne dla ich własnego interesu.

Przykłady PII i dlaczego CISSP mają rolę do odegrania

Zbieranie i sprzedawanie PII na podstawie prawnej jest opłacalną opcją, ale niestety PII jest często wykorzystywane przez przestępców lub złośliwych ludzi chcących ukraść tożsamość osoby lub popełnić przestępstwa. Zgodnie ze statystykami FBI, kradzież tożsamości jest uważana za jedno z najszybciej rosnących przestępstw w USA, mogące spowodować znaczne szkody finansowe i emocjonalne u ofiar. Dlatego też wiele rządów stworzyło przepisy ograniczające proces rozpowszechniania informacji osobistych ze względu na istniejące zagrożenie. Niektóre przykłady PII obejmują:

  • PII obejmują numer identyfikacyjny dowolnej osoby, w tym numer karty kredytowej, numer paszportu, numer prawa jazdy, numer identyfikacyjny pacjenta lub numer ubezpieczenia społecznego.
  • PII obejmują również nazwiska osób, w tym nazwisko panieńskie matki, wszelkie używane pseudonimy lub własne nazwisko panieńskie.
  • Informacje o majątku, takie jak adres IP lub MAC i inne statyczne identyfikatory, które mogą łączyć konkretną osobę, są również uważane za PII.
  • Informacje o adresie, takie jak numery telefonów (służbowych lub osobistych), adresy ulic i adresy e-mail wchodzą w zakres PII.
  • Cechy osobowe lub biologiczne, w tym skany siatkówki oka, odciski palców, obrazy cech wyróżniających, podpis głosowy, zdjęcia rentgenowskie lub geometria twarzy wchodzą w zakres PII.
  • Ponadto informacje osobiste, takie jak wskaźniki geograficzne, data urodzenia, miejsce urodzenia, działalność, religia, dane finansowe, medyczne lub edukacyjne, są uważane za PII.

Tożsamość osoby staje się w pewnych okolicznościach zagrożona, gdy jedna lub więcej części wyżej wymienionych łatwo dostępnych informacji zostanie połączona razem, nawet jeśli mogą one wydawać się nieszkodliwe, jeśli pozostaną same. To jest, gdzie CISSP muszą wystąpić w ochronie tych wrażliwych danych.

Przykłady chronionych informacji zdrowotnych (PHI) i rola CISSP

Ustawa o przenoszeniu i odpowiedzialności za ubezpieczenia zdrowotne (HIPAA) wymaga przyjęcia pewnych przepisów bezpieczeństwa w celu ochrony osobistych informacji zdrowotnych. Zazwyczaj, PHI jest uważana za każdą informację związaną ze zdrowiem, która może być zidentyfikowana indywidualnie i wytworzona lub otrzymana przez podmioty świadczące usługi opieki zdrowotnej, w tym operatorów planów zdrowotnych i izb rozliczeniowych.

PHI może być związana z obecnym, przeszłym lub przyszłym zdrowiem osoby, zarówno pod względem fizycznym jak i psychicznym. PHI może również obejmować aktualny stan zdrowia danej osoby. Ogólnie rzecz biorąc, PHI może być wykorzystany do identyfikacji dowolnej konkretnej osoby. Dodatkowo, odnosi się do informacji, które są utrzymywane, jak również przekazywane w każdej formie, takich jak elektronika, papier lub mowy.

Jednakże, PHI nie odnosi się do zapisów związanych z edukacją, które są objęte EFRPA lub Educational Family Rights and Privacy Act. Nie odnosi się również do rejestrów zatrudnienia utrzymywanych przez jakiegokolwiek pracodawcę. Przepisy PHI klasycznie odnoszą się do wielu różnych pól, które zazwyczaj mogą być wykorzystane do identyfikacji osoby fizycznej. Należą do nich:

  • Nazwiska
  • Każda data powiązana bezpośrednio z osobą, taka jak data urodzenia, data wypisu, data śmierci i podania
  • Numery faksów i telefonów
  • Adresy e-mail i adresy ulic (w tym poddziały geograficzne, takie jak kraj i kody pocztowe)
  • Dokumentacja medyczna, beneficjent planu zdrowotnego, certyfikat, numery ubezpieczenia społecznego i kont
  • identyfikatory pojazdów, biometryczne, głosowe i odcisków palców
  • Fotograficzne obrazy rozpoznawalnych cech i całej twarzy
  • Wszelkie inne unikalne numery, kody lub cechy, które mogą być pomocne w rozpoznaniu osoby

Profesjonaliści CISSP powinni zatem kłaść nacisk na zapewnienie bezpieczeństwa tych danych. Jest to objęte Bezpieczeństwem Aktywów w Domenie II na egzaminie CISSP.

Różne sposoby, w jakie CISSP może zapewnić bezpieczeństwo PII i PHI przed złośliwymi atakami

Podstawowy poziom bezpieczeństwa (Security Baseline) to zestaw podstawowych zabezpieczeń, które muszą być spełnione przez każdy dany system lub usługę. Te cechy lub cele nie obejmują środków technicznych i są wybierane jako kompletne i pragmatyczne. W związku z tym, powinien istnieć oddzielny „Dokument Implementacji Bezpieczeństwa” zawierający szczegóły dotyczące tego, w jaki sposób różne cele bezpieczeństwa mogą być spełnione przez konkretną usługę lub system. Szczegóły te zazwyczaj zależą od środowiska operacyjnego usługi lub systemu, w którym jest ona wdrażana. Ponadto, może on wykorzystywać i stosować odpowiednie środki bezpieczeństwa w sposób kreatywny. Odstępstwa od linii podstawowej są całkiem możliwe i oczekiwane. Każde odstępstwo powinno być wyraźnie zaznaczone.

„Scoping” z drugiej strony jest systemem ciągłej oceny każdej sytuacji, który jest zazwyczaj przeprowadzany poprzez dyskusje, konsultacje i monitorowanie.

„Tailoring” to dostosowanie potrzeb lub specyfikacji zgodnie z bieżącymi wymaganiami operacyjnymi poprzez uzupełnienie, modyfikację i/lub usunięcie bez uzyskania odstępstw od norm.

Własność danych

Działanie polegające na posiadaniu całkowitej kontroli i praw prawnych nad pojedynczym elementem lub zestawem elementów danych jest znane jako własność danych. W rzeczywistości definiuje i daje informacje dotyczące prawowitego właściciela dowolnego konkretnego zasobu danych oraz polityki jego wykorzystania, pozyskiwania i dystrybucji realizowanej przez właściciela danych.

Restrukcja danych

Restrukcyjna reprezentacja danych cyfrowych jest znana jako remanencja danych, które pozostają nawet po próbach ich usunięcia lub wymazania.

Ograniczenie gromadzenia danych

O wykorzystaniu ram prywatności można myśleć jako o narzędziach pomagających myśleć o prywatności danych i pomagających nadać ramy dyskusjom na temat prywatności, aby zrozumieć jej wymagania.

Istnieje forum dla „krajów zaangażowanych w demokrację i gospodarkę rynkową” o nazwie Organizacja Współpracy Gospodarczej i Rozwoju (OECD). Dewizą organizacji jest zapewnienie rządom możliwości porównania doświadczeń w zakresie polityki, aby uzyskać odpowiedzi na wspólne problemy i zidentyfikować najlepsze praktyki poprzez koordynację różnych polityk międzynarodowych i krajowych.

Zasady prywatności OECD na poziomie międzynarodowym dają ramy prywatności, które są najczęściej używane. Sieci prywatności są odzwierciedlone w powstających, jak również istniejących prawach dotyczących prywatności i ochrony danych, służąc w ten sposób jako podstawa do produkcji programów najlepszych praktyk prywatności i innych dodatkowych zasad.

The Privacy Principles: What CISSPs Must Know

Zasady prywatności, zgodnie z Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, są następujące:

Collection Limitation Principle

Muszą istnieć ograniczenia w zbieraniu danych osobowych, a każda taka informacja musi być uzyskana za pomocą uczciwych i zgodnych z prawem środków. Ponadto, w stosownych przypadkach, dane powinny być uzyskiwane za zgodą lub wiedzą osoby, której dane dotyczą.

Zasada jakości danych

Każde uzyskane dane osobowe muszą być adekwatne do celów ich wykorzystania i tylko w zakresie niezbędnym do tych celów. Wykorzystywane dane muszą być kompletne, dokładne i aktualizowane.

Zasada określania celu

Cele zbierania danych osobowych muszą być określone nie później niż w czasie ich zbierania i w czasie każdego kolejnego wykorzystania. Ponadto, są one ograniczone do realizacji celów, dla których zostały zebrane i nie są niezgodne z tymi celami, gdy zachodzi możliwość ich zmiany.

Zasada ograniczenia wykorzystania

Dane osobowe nie mogą być udostępniane, ujawniane lub w inny sposób wykorzystywane do celów innych niż zgodne z prawem i zgodą osoby, której dane dotyczą.

Zasada zabezpieczeń

Dane osobowe muszą być chronione przed potencjalnymi zagrożeniami, takimi jak nieuprawniony dostęp, wykorzystanie, modyfikacja, rozpowszechnianie i ujawnienie lub utrata, poprzez wdrożenie rozsądnych zabezpieczeń bezpieczeństwa.

Zasada otwartości

Musi istnieć ogólna polityka otwartości w odniesieniu do praktyk i rozwoju w zakresie informacji osobowych. Powinny istnieć łatwo dostępne środki pozwalające ustalić charakter i istnienie informacji osobowych, kluczowe cele ich wykorzystania oraz tożsamość i adres zamieszkania administratora danych.

Zasada uczestnictwa indywidualnego

Każda osoba fizyczna musi mieć następujące prawa:

  1. Uzyskanie informacji od administratora danych oraz potwierdzenie, czy administrator danych posiada jakiekolwiek informacje jej dotyczące;
  1. Przekazanie administratorowi danych informacji o danych jej dotyczących:
  1. W praktycznym terminie;
  1. Za opłatą (niewygórowaną);
  1. W rozsądny sposób; oraz
  1. W łatwo zrozumiałej formie;
  1. O podaniu przyczyn odmowy uwzględnienia wniosku złożonego zgodnie z wyżej wymienionymi lit. a) i b) oraz możliwości odwołania się od takiej odmowy;
  1. Podważenia dotyczących go danych oraz ich zmiany, uzupełnienia, sprostowania lub usunięcia, jeżeli odwołanie okaże się skuteczne.

Zasada rozliczalności

Każdy administrator danych musi być odpowiedzialny za przestrzeganie środków wprowadzających w życie wyżej wymienione zasady.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.