Školení a dodržování předpisů v oblasti zabezpečení - znáte standardy?

Programy školení v oblasti povědomí o bezpečnosti jsou zásadní pro pomoc dnešním podnikům v boji proti kybernetickému riziku a omezování porušení zabezpečení údajů souvisejících s uživateli, ale jsou také nutností pro mnoho předpisů a kontrol, které vaše firma možná bude muset dodržovat.

Problém je v tom, že obrovské množství předpisů na celém světě z něj činí obtížnou oblast pro pochopení a navigaci.

Zde vás provedeme některými z nejběžnějších standardů a právních předpisů, které mohou vyžadovat, aby vaše firma zavedla školící program pro zvyšování povědomí o bezpečnosti (tento seznam není vyčerpávající a mohou existovat normy, které zde nejsou zmíněny).

Standardy a rámce

• ISO/IEC 27001 a 27002
• Rámec kybernetického hodnocení NCSC (CAF)
• NIST 800-53
• COBIT
• NERC CIP

Průmyslové kódy

• PCI DSS

Federální zákony a předpisy USA

• HIPAA (zákon o přenositelnosti a odpovědnosti zdravotního pojištění)
• Gramm-Leach-Bliley Act (GLBA)
• FACTA - pravidlo červených vlajek FTC
• Federální zákon o řízení bezpečnosti informací (FISMA)
• Sarbanes-Oxley (SOX)

Mezinárodní zákony a předpisy

• Obecné nařízení o ochraně osobních údajů (GDPR)

Státní zákony USA o ochraně soukromí

• Zákon o ochraně osobních údajů v Texasu
• Massachusetts zákon o zabezpečení dat
• Kalifornský zákon o ochraně soukromí spotřebitelů z roku 2018 (CCPA)

Standardy a rámce

ISO/IEC 27001 a 27002

V článku o ISO 27001/2 je uvedeno, že „všichni zaměstnanci organizace a případně dodavatelé a uživatelé třetích stran by měli absolvovat odpovídající školení o informovanosti a pravidelné aktualizace organizačních zásad a postupů, které jsou relevantní pro jejich pracovní funkci“.

Rámec kybernetického hodnocení NCSC (CAF)

Rámec Národního centra pro kybernetickou bezpečnost (NCSC) nabízí návod, jak zavést program školení o zvyšování povědomí o bezpečnosti, který „vhodně podpoří zaměstnance, aby zajistili, že budou kladně přispívat ke kybernetické bezpečnosti základních funkcí“.

NCSC také vydalo několik bezplatných školení o zvyšování povědomí o bezpečnosti, které najdete integrované na platformě usecure uLearn.

NIST 800-53

Jako jeden z nejkomplexnějších bezpečnostních standardů NIST 800-53 vyžaduje, aby federální agentury vyvinuly, implementovaly a aktualizovaly kompletní bezpečnostní školení a strategii zvyšování povědomí, aby zajistily, že personál rozumí odpovědnosti a postupům v oblasti ochrany osobních údajů.

COBIT

COBIT (Control Objectives for Information and Related Technology) byl vyvinut IT Governance Institute (ITGI) a Information Systems Audit and Control Association (ISACA).

Ačkoli tento standard nemá vyhrazenou sekci školení o povědomí o zabezpečení, odkazuje na následující:

• PO6 Komunikujte o cílech a směru řízení.
• PO7 Spravujte lidské zdroje IT.
• DS7 Vzdělávejte a školejte uživatele.

NERC CIP

North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection Standard (CIP) uvádí, že „Odpovědná osoba zřídí, dokumentuje, implementuje a udržuje program zvyšování povědomí o bezpečnosti, aby zajistila personál s autorizovaným kybernetickým nebo autorizovaným fyzickým přístupem bez doprovodu ke kritickým kybernetickým aktivům, přijímat a průběžné posilovat řádné bezpečnostní postupy. Program bude zahrnovat posilování povědomí o bezpečnosti nejméně na čtvrtletní bázi“.

Průmyslové kódy

PCI DSS

Podle požadavku 12.6.1 PCI DSS (Payment Card Industry Data Security Standard) je každá organizace v odvětví platebních karet povinna implementovat formální program zvyšování povědomí o bezpečnosti, aby si všichni zaměstnanci uvědomili důležitost zabezpečení dat držitelů karet.

Zaměstnanci musí být při nástupu vzděláváni a poté alespoň jednou ročně, aby měli zaměstnanci aktuální informace o nových, změněných nebo aktualizovaných zásadách.

Federální zákony a předpisy

HIPAA (zákon o přenositelnosti a odpovědnosti zdravotního pojištění)

Podle pravidel HIPAA (zákon o přenositelnosti a odpovědnosti zdravotního pojištění) o ochraně osobních údajů a zabezpečení musí zahrnuté subjekty a obchodní partneři zavést program pro zvyšování povědomí o bezpečnosti a školení pro všechny členy své pracovní síly, včetně managementu.

Gramm-Leach-Bliley Act (GLBA)

Požadavek školení GLBA na zvyšování povědomí o bezpečnosti podporuje základní kroky k zachování zabezpečení, důvěrnosti a integrity informací o zákaznících.

Tyto kroky zahrnují:

• Zamykání místností a skříněk se spisy, kde se vedou záznamy
• Nesdílení nebo otevřené zveřejňování hesel zaměstnanců
• Identifikování a nahlašování podezřelých pokusů o získání informací o zákaznících určenému personálu

FACTA - pravidlo červených vlajek FTC

Na základě dohody FACTA vytvořil FTC pravidlo nebezpečných signálů/znaků, které vyžaduje, aby finanční instituce a věřitelé školili své zaměstnance o různých znacích útoků, které by měli hledat, a/nebo o jakémkoli jiném relevantním aspektu programu prevence krádeže identity organizace.

Federální zákon o řízení bezpečnosti informací (FISMA)

FISMA vyžaduje, aby federální agentury informovaly veškerý personál, dodavatele a další uživatele informačních systémů o rizicích zabezpečení informací spojených s jejich aktivitami a jejich odpovědnosti za dodržování zásad a postupů agentury určených ke snížení těchto rizik.

Sarbanes-Oxley (SOX)

SOX požaduje, aby veřejné společnosti v USA uchovávaly všechny obchodní záznamy po dobu minimálně pěti let. To znamená, že je nezbytné, aby zaměstnanci byli vyškoleni v bezpečném shromažďování, přístupu a zálohování citlivých podnikových dat, aby byli v souladu s nařízením.

Mezinárodní zákony a předpisy

Obecné nařízení o ochraně osobních údajů (GDPR)

Podle GDPR je povinné zavést vzdělávací program pro zvyšování povědomí o bezpečnosti, který školí zaměstnance o rizicích souvisejících s osobními údaji, které společnosti zpracovávají, uchovávají nebo přenášejí, a také o vlastní odpovědnosti zaměstnanců zajistit ochranu údajů.

Státní zákony USA o ochraně soukromí

Mnoho států v USA má své vlastní individuální zákony o ochraně osobních údajů a potenciálně existují tisíce místních, státních a federálních standardů, které by vaše organizace mohla potřebovat dodržovat. Zde jsou nějaké příklady:

Zákon o ochraně osobních údajů v Texasu - zákon o ochraně soukromí v Texasu vyžaduje, aby zaměstnanci byli proškoleni jak o zákonech státu, tak o HIPAA.

Massachusettský zákon o bezpečnosti dat - Tento zákon nařizuje průběžné školení stálým a dočasným zaměstnancům za účelem udržení komplexního programu informační bezpečnosti. Školení by se mělo zaměřit na přiměřeně předvídatelná vnitřní a vnější rizika pro bezpečnost, důvěrnost a/nebo integritu elektronických, papírových nebo jiných záznamů obsahujících osobní údaje.

Kalifornský zákon o ochraně soukromí spotřebitelů z roku 2018 (CCPA) - S CCPA je třeba zajistit pro jeho zaměstnance školení o zvyšování povědomí o bezpečnosti informací a rizicích. Každá společnost podnikající v Kalifornii musí dodržovat předpisy CCPA související se zpracováním osobních údajů obyvatel Kalifornie, i když se nenacházejí v Kalifornii nebo USA.

Potřebujete školení o povědomí o bezpečnosti k dodržení směrnic?

Dosáhněte standardů školení o dodržování zabezpečení pomocí usecure, přední platformy pro řízení lidských rizik (HRM):

Spouštění s lehkostí: Posuďte stav zabezpečení každého zaměstnance pomocí 10 minutového kvízu Gap Analysis, který na základě jejich odpovědí vytvoří školící programy o povědomí o bezpečnosti přizpůsobené uživatelům na míru.

Šetřete čas: Uchování učení je maximalizováno a produktivita je ponechána bez zábran díky krátkým školicím kurzům, které se automaticky posílají každý měsíc.

Udělejte z dodržování předpisů hračku: Výkonnost, pokrok a osvojení školení jsou sledovány a demonstrovány prostřednictvím podrobného hlášení a průběžného vyhodnocování lidských rizik.

Autor původního článku: Jordan Daly
Přeložil: Ondřej Strachota