- label Dodržování norem
- remove_red_eye 197 zobrazení
Programy školení v oblasti povědomí o bezpečnosti jsou zásadní pro pomoc dnešním podnikům v boji proti kybernetickému riziku a omezování porušení zabezpečení údajů souvisejících s uživateli, ale jsou také nutností pro mnoho předpisů a kontrol, které vaše firma možná bude muset dodržovat.
Problém je v tom, že obrovské množství předpisů na celém světě z něj činí obtížnou oblast pro pochopení a navigaci.
Zde vás provedeme některými z nejběžnějších standardů a právních předpisů, které mohou vyžadovat, aby vaše firma zavedla školící program pro zvyšování povědomí o bezpečnosti (tento seznam není vyčerpávající a mohou existovat normy, které zde nejsou zmíněny).
Standardy a rámce
- ISO/IEC 27001 a 27002
- Rámec kybernetického hodnocení NCSC (CAF)
- NIST 800-53
- COBIT
- NERC CIP
Průmyslové kódy
- PCI DSS
Federální zákony a předpisy USA
- HIPAA (zákon o přenositelnosti a odpovědnosti zdravotního pojištění)
- Gramm-Leach-Bliley Act (GLBA)
- FACTA - pravidlo červených vlajek FTC
- Federální zákon o řízení bezpečnosti informací (FISMA)
- Sarbanes-Oxley (SOX)
Mezinárodní zákony a předpisy
- Obecné nařízení o ochraně osobních údajů (GDPR)
Státní zákony USA o ochraně soukromí
- Zákon o ochraně osobních údajů v Texasu
- Massachusetts zákon o zabezpečení dat
- Kalifornský zákon o ochraně soukromí spotřebitelů z roku 2018 (CCPA)
Standardy a rámce
ISO/IEC 27001 a 27002
V článku o ISO 27001/2 je uvedeno, že „všichni zaměstnanci organizace a případně dodavatelé a uživatelé třetích stran by měli absolvovat odpovídající školení o informovanosti a pravidelné aktualizace organizačních zásad a postupů, které jsou relevantní pro jejich pracovní funkci“.
Rámec kybernetického hodnocení NCSC (CAF)
Rámec Národního centra pro kybernetickou bezpečnost (NCSC) nabízí návod, jak zavést program školení o zvyšování povědomí o bezpečnosti, který „vhodně podpoří zaměstnance, aby zajistili, že budou kladně přispívat ke kybernetické bezpečnosti základních funkcí“.
NCSC také vydalo několik bezplatných školení o zvyšování povědomí o bezpečnosti, které najdete integrované na platformě usecure uLearn.
NIST 800-53
Jako jeden z nejkomplexnějších bezpečnostních standardů NIST 800-53 vyžaduje, aby federální agentury vyvinuly, implementovaly a aktualizovaly kompletní bezpečnostní školení a strategii zvyšování povědomí, aby zajistily, že personál rozumí odpovědnosti a postupům v oblasti ochrany osobních údajů.
COBIT
COBIT (Control Objectives for Information and Related Technology) byl vyvinut IT Governance Institute (ITGI) a Information Systems Audit and Control Association (ISACA).
Ačkoli tento standard nemá vyhrazenou sekci školení o povědomí o zabezpečení, odkazuje na následující:
- PO6 Komunikujte o cílech a směru řízení.
- PO7 Spravujte lidské zdroje IT.
- DS7 Vzdělávejte a školejte uživatele.
NERC CIP
North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection Standard (CIP) uvádí, že „Odpovědná osoba zřídí, dokumentuje, implementuje a udržuje program zvyšování povědomí o bezpečnosti, aby zajistila personál s autorizovaným kybernetickým nebo autorizovaným fyzickým přístupem bez doprovodu ke kritickým kybernetickým aktivům, přijímat a průběžné posilovat řádné bezpečnostní postupy. Program bude zahrnovat posilování povědomí o bezpečnosti nejméně na čtvrtletní bázi“.
Průmyslové kódy
PCI DSS
Podle požadavku 12.6.1 PCI DSS (Payment Card Industry Data Security Standard) je každá organizace v odvětví platebních karet povinna implementovat formální program zvyšování povědomí o bezpečnosti, aby si všichni zaměstnanci uvědomili důležitost zabezpečení dat držitelů karet.
Zaměstnanci musí být při nástupu vzděláváni a poté alespoň jednou ročně, aby měli zaměstnanci aktuální informace o nových, změněných nebo aktualizovaných zásadách.
Federální zákony a předpisy
HIPAA (zákon o přenositelnosti a odpovědnosti zdravotního pojištění)
Podle pravidel HIPAA (zákon o přenositelnosti a odpovědnosti zdravotního pojištění) o ochraně osobních údajů a zabezpečení musí zahrnuté subjekty a obchodní partneři zavést program pro zvyšování povědomí o bezpečnosti a školení pro všechny členy své pracovní síly, včetně managementu.
Gramm-Leach-Bliley Act (GLBA)
Požadavek školení GLBA na zvyšování povědomí o bezpečnosti podporuje základní kroky k zachování zabezpečení, důvěrnosti a integrity informací o zákaznících.
Tyto kroky zahrnují:
- Zamykání místností a skříněk se spisy, kde se vedou záznamy
- Nesdílení nebo otevřené zveřejňování hesel zaměstnanců
- Identifikování a nahlašování podezřelých pokusů o získání informací o zákaznících určenému personálu
FACTA - pravidlo červených vlajek FTC
Na základě dohody FACTA vytvořil FTC pravidlo nebezpečných signálů/znaků, které vyžaduje, aby finanční instituce a věřitelé školili své zaměstnance o různých znacích útoků, které by měli hledat, a/nebo o jakémkoli jiném relevantním aspektu programu prevence krádeže identity organizace.
Federální zákon o řízení bezpečnosti informací (FISMA)
FISMA vyžaduje, aby federální agentury informovaly veškerý personál, dodavatele a další uživatele informačních systémů o rizicích zabezpečení informací spojených s jejich aktivitami a jejich odpovědnosti za dodržování zásad a postupů agentury určených ke snížení těchto rizik.
Sarbanes-Oxley (SOX)
SOX požaduje, aby veřejné společnosti v USA uchovávaly všechny obchodní záznamy po dobu minimálně pěti let. To znamená, že je nezbytné, aby zaměstnanci byli vyškoleni v bezpečném shromažďování, přístupu a zálohování citlivých podnikových dat, aby byli v souladu s nařízením.
Mezinárodní zákony a předpisy
Obecné nařízení o ochraně osobních údajů (GDPR)
Podle GDPR je povinné zavést vzdělávací program pro zvyšování povědomí o bezpečnosti, který školí zaměstnance o rizicích souvisejících s osobními údaji, které společnosti zpracovávají, uchovávají nebo přenášejí, a také o vlastní odpovědnosti zaměstnanců zajistit ochranu údajů.
Státní zákony USA o ochraně soukromí
Mnoho států v USA má své vlastní individuální zákony o ochraně osobních údajů a potenciálně existují tisíce místních, státních a federálních standardů, které by vaše organizace mohla potřebovat dodržovat. Zde jsou nějaké příklady:
Zákon o ochraně osobních údajů v Texasu - zákon o ochraně soukromí v Texasu vyžaduje, aby zaměstnanci byli proškoleni jak o zákonech státu, tak o HIPAA.
Massachusettský zákon o bezpečnosti dat - Tento zákon nařizuje průběžné školení stálým a dočasným zaměstnancům za účelem udržení komplexního programu informační bezpečnosti. Školení by se mělo zaměřit na přiměřeně předvídatelná vnitřní a vnější rizika pro bezpečnost, důvěrnost a/nebo integritu elektronických, papírových nebo jiných záznamů obsahujících osobní údaje.
Kalifornský zákon o ochraně soukromí spotřebitelů z roku 2018 (CCPA) - S CCPA je třeba zajistit pro jeho zaměstnance školení o zvyšování povědomí o bezpečnosti informací a rizicích. Každá společnost podnikající v Kalifornii musí dodržovat předpisy CCPA související se zpracováním osobních údajů obyvatel Kalifornie, i když se nenacházejí v Kalifornii nebo USA.
Potřebujete školení o povědomí o bezpečnosti k dodržení směrnic?
Dosáhněte standardů školení o dodržování zabezpečení pomocí usecure, přední platformy pro řízení lidských rizik (HRM):
Spouštění s lehkostí: Posuďte stav zabezpečení každého zaměstnance pomocí 10 minutového kvízu Gap Analysis, který na základě jejich odpovědí vytvoří školící programy o povědomí o bezpečnosti přizpůsobené uživatelům na míru.
Šetřete čas: Uchování učení je maximalizováno a produktivita je ponechána bez zábran díky krátkým školicím kurzům, které se automaticky posílají každý měsíc.
Udělejte z dodržování předpisů hračku: Výkonnost, pokrok a osvojení školení jsou sledovány a demonstrovány prostřednictvím podrobného hlášení a průběžného vyhodnocování lidských rizik.
Autor původního článku: Jordan Daly
Přeložil: Ondřej Strachota
