Читаем Киберкрепость: всестороннее руководство по компьютерной безопасности полностью

В дополнение к этим стандартам CSA предоставляет ряд инструментов и ресурсов, с помощью которых организации могут внедрять передовые методы обеспечения безопасности облачных вычислений. К ним относятся реестр CSA Security, Trust & Assurance Registry (STAR), который представляет собой общедоступную базу данных поставщиков облачных услуг, прошедших оценку безопасности, и руководство CSA Security Guidelines for Critical Areas of Focus in Cloud Computing, содержащее рекомендации по обеспечению безопасности различных аспектов облачных сред.

Соблюдение этих рекомендаций и стандартов дает организациям основу для обеспечения безопасности их облачных сред, а также гарантирует выполнение нормативных требований по защите данных.

Организациям важно быть в курсе последних событий CSA и регулярно пересматривать и обновлять свои методы обеспечения безопасности в облаке в соответствии с последними стандартами и рекомендациями. Они могут рассмотреть возможность привлечения стороннего аудитора для оценки их соответствия стандартам CSA и выявления областей, в которых необходимо улучшить контроль безопасности.

Закон Грамма — Лича — Блайли (GLBA) — это федеральный закон, который требует от финансовых учреждений защиты личной финансовой информации своих клиентов. Соблюдение требований GLBA подразумевает внедрение административных, технических и физических мер безопасности для защиты непубличной личной информации (nonpublic personal information, NPI). К ним относятся разработка и внедрение комплексной программы информационной безопасности, а также предоставление клиентам ежегодных уведомлений о конфиденциальности.

Перечислим основные компоненты соответствия требованиям GLBA.

• Регулярная оценка рисков для выявления и смягчения потенциальных угроз для NPI.

• Внедрение средств контроля безопасности, таких как шифрование, брандмауэры и системы обнаружения вторжений.

• Разрешение доступа к NPI только уполномоченному персоналу.

• Разработка планов реагирования на инциденты и обучение сотрудников тому, как реагировать на инциденты безопасности.

• Регулярное тестирование и мониторинг эффективности установленных средств контроля безопасности.

• Необходимость убедиться, что все сторонние поставщики услуг, которые работают с NPI, соответствуют требованиям GLBA.

Нарушения GLBA могут привести к значительным штрафам и взысканиям, а также нанести ущерб репутации компании. Для организаций финансовой отрасли крайне важно понимать и соблюдать требования GLBA, чтобы защитить конфиденциальную финансовую информацию своих клиентов.

Закон о правах и конфиденциальности семейного образования (FERPA) — это федеральный закон, который защищает конфиденциальность сведений о студентах. Он распространяется на все учебные заведения, финансируемые министерством образования США. Правила FERPA регулируют сбор, использование и выдачу персонально идентифицируемой информации (PII) о студентах.

Соблюдение требований FERPA предписывает учебным заведениям принимать меры по защите PII учащихся от несанкционированного доступа, использования и раскрытия. Это предусматривает внедрение политик и процедур работы с документами учащихся, ежегодное уведомление учащихся и их родителей об их правах согласно FERPA, а также получение письменного согласия перед раскрытием PII учащегося третьим лицам.

Для обеспечения соответствия требованиям FERPA учебные заведения должны внедрить административные, технические и физические меры безопасности для защиты PII учащегося от несанкционированного доступа и раскрытия. Это предусматривает внедрение средств контроля доступа, таких как аутентификация и авторизация пользователей, для предоставления доступа к PII учащихся только уполномоченному персоналу.

Для защиты PII учащихся от несанкционированного доступа и раскрытия учебные заведения должны принимать меры безопасности, такие как брандмауэры, системы обнаружения и предотвращения вторжений и шифрование данных. Кроме того, они должны иметь планы реагирования на инциденты для быстрого обнаружения утечек данных и реагирования на них.

В дополнение к этим техническим мерам защиты учебные заведения должны обеспечить подготовку и обучение всех сотрудников, работающих с PII учащихся, чтобы убедиться, что они понимают, каковы их обязанности согласно FERPA и как правильно обращаться с PII учащихся и защищать ее.

Соблюдение FERPA требует также регулярного мониторинга и аудита соблюдения учреждением данного положения и принятия мер для устранения выявленных недостатков. Несоблюдение FERPA может привести к штрафным санкциям, включая отмену федерального финансирования.