Potrivit guvernului federal, organizațiile trebuie să identifice informațiile personale identificabile (PII), precum și informațiile medicale protejate (PHI) din diferite motive și să le gestioneze într-un mod sigur. Orice acces neautorizat sau divulgare neautorizată a acestor informații ar putea avea consecințe grave pentru persoanele ale căror date au fost compromise. Mai mult decât atât, deoarece guvernul are responsabilitatea de a proteja aceste informații importante, acesta promulgă și pune în aplicare legislația care reglementează utilizarea PII și PHI.
Înțelegerea importanței și valorii acestor date poate fi considerată primul pas în menținerea lor în siguranță. Accesul neautorizat la PII sau PHI poate fi dăunător atât pentru indivizi, cât și pentru organizații. Este de datoria profesioniștilor CISSP să ia măsurile necesare pentru a păstra PII și PHI în siguranță și în siguranță față de orice amenințare externă sau internă.
- Informații de identificare personală (PII)
- Informații medicale protejate (PHI)
- Exemple de ISP și de ce CISSP au un rol de jucat
- Exemple de informații medicale protejate (PHI) și rolul CISSPs
- Diferite moduri în care profesioniștii CISSP pot păstra PII și PHI în siguranță împotriva atacurilor rău intenționate
- Proprietatea datelor
- Remanența datelor
- Limitarea colectării
- Principiile de confidențialitate: What CISSPs Must Know
- Collection Limitation Principle
- Principiul calității datelor
- Principiul specificării scopului
- Principiul limitării utilizării
- Principiul garanțiilor de securitate
- Principiul deschiderii
- Principiul participării individuale
- Principiul responsabilității
Informații de identificare personală (PII)
Informațiile de identificare personală sunt orice informații care pot fi utilizate în scopul identificării, localizării sau contactării unei anumite persoane, fie combinate cu alte surse ușor accesibile, fie de sine stătător.
PII pot include date legate de orice persoană prin dosare medicale, de angajare, financiare sau educaționale. Câteva dintre aceste seturi de informații care ar putea fi utilizate pentru a identifica o anumită persoană ar putea consta în nume, adresă de e-mail, date biometrice, număr de telefon, amprente digitale sau număr de securitate socială.
Agențiile federale au responsabilitatea de a proteja orice informații sensibile, inclusiv PII ale unei persoane. Profesioniștii CISSP ar trebui, prin urmare, să acorde o importanță cheie în păstrarea în siguranță a acestor date.
Informații medicale protejate (PHI)
Informațiile medicale protejate sunt orice informații legate de starea de sănătate, de furnizarea de asistență medicală sau de plata asistenței medicale care pot fi legate ulterior de o anumită persoană. Cu toate acestea, PHI este interpretată mai degrabă în sens larg și include orice fel de istoric al plăților medicale sau înregistrări ale unui pacient.
În ultima vreme, a devenit din ce în ce mai important să se protejeze PII, deși societatea s-a bazat pe ele atât de mult timp fără nicio problemă majoră de siguranță. Această problemă actuală de protecție a PII a apărut în principal din cauza creșterii incidenței atacurilor de hacking. Odată cu progresele tehnologice și utilizarea computerelor, protecția informațiilor PII a devenit esențială pentru fiecare organizație. Multe legi importante au fost puse în aplicare sub diferite forme pentru a proteja PII, cum ar fi FCRA, HIPAA, GLBA, Privacy Act, COPPA și FERPA.
Aceste legi sunt folosite ca un mijloc vital pentru a încerca să se asigure că organizațiile sunt restricționate în ceea ce privește schimbul de informații personale sensibile cu orice terță parte. În plus, acestea trebuie să ofere cerințele necesare pentru a proteja ISP în modul cel mai adecvat. Profesioniștii CISSP trebuie să înțeleagă și să protejeze ISP ale indivizilor împotriva atacurilor cibernetice în organizațiile aferente, unde aceste date pot fi stocate de către indivizi în interes propriu.
Exemple de ISP și de ce CISSP au un rol de jucat
Este o opțiune profitabilă să colectezi și să vinzi ISP în mod legal, dar, din păcate, ISP sunt adesea exploatate de către infractori sau persoane rău intenționate care doresc să fure identitatea unei persoane sau să comită infracțiuni. Cu toate acestea, conform statisticilor FBI, furtul de identitate este considerat ca fiind una dintre infracțiunile cu cea mai rapidă creștere în SUA, având capacitatea de a provoca daune financiare, dar și emoționale, semnificative victimelor. Prin urmare, multe guverne au creat legislații pentru a limita procesul de distribuire a informațiilor personale din cauza amenințării impuse. Câteva exemple de IIP includ:
- IIP includ un număr de identificare al oricărei persoane, inclusiv numărul cardului de credit, numărul pașaportului, numărul permisului de conducere, numărul de identificare al pacientului sau numărul de securitate socială.
- IIP includ, de asemenea, numele persoanelor, inclusiv numele de fată al mamei, orice pseudonim folosit sau propriul nume de fată.
- Informațiile despre bunuri, cum ar fi adresa IP sau MAC, precum și alți identificatori statici care ar putea lega în mod constant o anumită persoană sunt, de asemenea, considerate în PII.
- Informațiile despre adrese, cum ar fi numerele de telefon (de afaceri sau personale), adresele stradale și adresele de e-mail se încadrează în PII.
- Caracteristicile personale sau biologice, inclusiv scanarea retinei, amprentele digitale, imaginile trăsăturilor distinctive, semnătura vocală, radiografiile sau geometria feței intră în categoria PII.
- Mai mult, informațiile personale, cum ar fi indicatorii geografici, data nașterii, locul nașterii, activitățile, religia, financiare, medicale sau educaționale, sunt considerate PII.
Identitatea unei persoane devine vulnerabilă în anumite circumstanțe atunci când una sau mai multe părți ale informațiilor ușor accesibile menționate mai sus sunt reunite, chiar dacă acestea pot părea inofensive dacă rămân singure. Acesta este momentul în care CISSPs trebuie să intervină în protejarea acestor date sensibile.
Exemple de informații medicale protejate (PHI) și rolul CISSPs
Legea privind portabilitatea și responsabilitatea în domeniul asigurărilor de sănătate (HIPAA) impune adoptarea anumitor reglementări de securitate pentru protecția informațiilor medicale personale. De obicei, PHI este considerată a fi orice informație legată de sănătate care poate fi identificată individual și care este produsă sau primită de furnizorii de servicii medicale, inclusiv operatorii de planuri de sănătate și casele de compensare în domeniul sănătății.
PHI pot fi legate de sănătatea prezentă, trecută sau viitoare a unei persoane, fie în termeni fizici, fie în termeni mentali. ISP pot include, de asemenea, starea actuală a unei persoane în ceea ce privește sănătatea. În general, PHI pot fi utilizate pentru identificarea oricărei persoane specifice. În plus, se referă la informațiile care sunt păstrate, precum și transmise în orice formă dată, cum ar fi electronice, pe hârtie sau vocale.
Cu toate acestea, ISP nu se referă la înregistrările legate de educație, care sunt acoperite de EFRPA sau de Educational Family Rights and Privacy Act. De asemenea, nu se referă la dosarele de angajare păstrate de orice angajator. Reglementările PHI se referă în mod clasic la o varietate de câmpuri diferite care pot fi utilizate de obicei pentru a identifica o persoană. Printre acestea se numără:
- Numele
- Toate datele legate direct de o persoană, cum ar fi data nașterii, data externării, data decesului și administrarea
- Numerele de fax și de telefon
- Adresele de e-mail și de stradă (inclusiv subdiviziunile geografice, cum ar fi codurile de țară și poștale)
- Înregistrările medicale, beneficiarul planului de sănătate, certificatul, de securitate socială și numere de cont
- Identificatori de vehicule, biometrici, de voce și de amprente
- Imagini fotografice ale trăsăturilor recognoscibile și ale feței complete
- Carecare alt număr, cod sau caracteristică unică care poate fi utilă pentru a recunoaște o persoană
Profesioniștii CISSP ar trebui, prin urmare, să pună accentul pe păstrarea în siguranță a acestor date. Acest aspect este abordat în secțiunea Securitatea activelor din domeniul II al examenului CISSP.
Diferite moduri în care profesioniștii CISSP pot păstra PII și PHI în siguranță împotriva atacurilor rău intenționate
Un „nivel de bază de securitate” este un set de caracteristici de securitate de bază care trebuie să fie completat de orice sistem sau serviciu dat. Aceste caracteristici sau obiective nu implică măsuri tehnice și sunt alese pentru a fi complete și pragmatice. Astfel, ar trebui să existe un „Document de implementare a securității” separat, care să aibă detaliile privind modul în care diferite obiective de securitate pot fi îndeplinite prin orice serviciu sau sistem specific. Aceste detalii depind, de obicei, de mediul de operare al serviciului sau al sistemului în care acesta este implementat. Mai mult, acesta poate utiliza și aplica măsuri de securitate relevante în mod creativ. Derogările de la linia de bază sunt foarte posibile și așteptate. Orice derogare ar trebui să fie marcată în mod explicit.
„Scoping”, pe de altă parte, este un sistem de evaluare continuă a oricărei situații, care se realizează, în general, prin discuții, consultări și monitorizare.
„Adaptarea” este adaptarea nevoilor sau a specificațiilor în funcție de cerințele operaționale curente prin suplimentarea, modificarea și/sau eliminarea fără a se abate de la norme.
Proprietatea datelor
Acțiunea de a avea control total și drepturi legale asupra oricărei piese unice sau set de elemente de date este cunoscută sub numele de proprietate asupra datelor. Aceasta definește și oferă de fapt informații cu privire la proprietarul de drept al oricărui activ de date specific și la politica de utilizare, achiziție și distribuire a acestuia implementată de proprietarul datelor.
Remanența datelor
Reprezentarea reziduală a datelor digitale este cunoscută sub numele de remanență a datelor, care rămân chiar și după încercările de a le îndepărta sau șterge.
Limitarea colectării
Utilizarea cadrelor de confidențialitate poate fi privită ca un instrument care vă ajută să vă gândiți în ceea ce privește confidențialitatea datelor și ajută la încadrarea discuțiilor privind confidențialitatea pentru a înțelege cerințele acesteia.
Există un forum pentru „țările angajate în democrație și economia de piață” numit Organizația pentru Cooperare și Dezvoltare Economică (OCDE). Deviza organizației este de a oferi un cadru în care guvernele să compare experiențele politicilor pentru a avea răspunsuri la probleme comune și pentru a identifica cele mai bune practici prin coordonarea diferitelor politici internaționale și interne.
Principiile de confidențialitate ale OCDE la nivel internațional oferă cadrul de confidențialitate care este cel mai frecvent utilizat. Rețelele de confidențialitate sunt reflectate în legile emergente, precum și în legile existente privind confidențialitatea și protecția datelor, servind astfel drept bază pentru producerea de programe de confidențialitate cu practici de top și alte principii suplimentare.
Principiile de confidențialitate: What CISSPs Must Know
Principiile de confidențialitate, conform Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, sunt următoarele:
Collection Limitation Principle
Trebuie să existe limite pentru colectarea datelor cu caracter personal și orice astfel de informații trebuie să fie obținute prin mijloace corecte și legale. În plus, atunci când este cazul, datele trebuie obținute cu consimțământul sau cu știința persoanei vizate.
Principiul calității datelor
Toate datele cu caracter personal obținute trebuie să fie pertinente pentru scopurile utilizării lor și numai în măsura în care sunt esențiale pentru aceste scopuri. Datele utilizate trebuie să fie complete, exacte și actualizate.
Principiul specificării scopului
Scopurile de colectare a datelor cu caracter personal trebuie să fie specificate cel târziu în momentul colectării și la fiecare utilizare ulterioară. Mai mult, acestea sunt limitate la îndeplinirea scopurilor pentru care sunt luate și nu sunt incompatibile cu scopurile atunci când există ocazia unei modificări a acestora.
Principiul limitării utilizării
Datele cu caracter personal nu pot fi puse la dispoziție, divulgate sau utilizate în alte scopuri decât cele prevăzute de lege și cu consimțământul persoanei vizate.
Principiul garanțiilor de securitate
Datele cu caracter personal trebuie să fie protejate împotriva riscurilor potențiale, cum ar fi accesul, utilizarea, modificarea, distribuirea și divulgarea sau pierderea neautorizate, prin implementarea unor garanții de securitate rezonabile.
Principiul deschiderii
Trebuie să existe o politică generală de deschidere în ceea ce privește practicile și evoluțiile cu privire la datele cu caracter personal. Trebuie să existe mijloace ușor accesibile pentru a stabili natura și existența informațiilor cu caracter personal, scopurile principale ale utilizării acestora și identitatea cu adresa de reședință obișnuită a operatorului de date.
Principiul participării individuale
Care persoană fizică trebuie să aibă următoarele drepturi:
- Obținerea de informații de la operatorul de date și confirmarea faptului că operatorul de date deține informații care o privesc;
- De a comunica operatorului de date pentru datele care o privesc:
- Într-un termen practic;
- Cu un cost (nu excesiv);
- Într-un mod rezonabil; și
- Într-o formă ușor inteligibilă;
- De a oferi motive în cazul în care cererea formulată în temeiul literelor (a) și (b) menționate mai sus este refuzată și de a avea capacitatea de a contesta acest refuz;
- De a contesta datele care îl privesc și de a obține modificarea, completarea, rectificarea sau ștergerea datelor în cazul în care contestația are succes.
Principiul responsabilității
Care operator de date trebuie să fie responsabil de respectarea măsurilor care dau efect principiilor enunțate mai sus.
.