Informationssicherheitsgesetzgebung
Mit dem steigenden Wert von Informationen nimmt auch die Anzahl der Cyberkriminalität zu. Je mehr Cyberkriminalität begangen wird, desto mehr versuchen Regulierungsbehörden, diese durch die Schaffung neuer Gesetze und Vorschriften zu verhindern, an die Unternehmen, die sensible Daten speichern, gebunden sind. Hier finden Sie die wichtigsten US-amerikanischen Regulierungsakte zur Informationssicherheit.
Sarbanes-Oxley Act (SOX)
Für wen es ist: Börsennotierte Unternehmensvorstände, öffentliche Rechnungslegung und Managementfirmen.
Was es abdeckt: Nach Bilanzskandalen bei den Unternehmen Enron, Tyco und Worldcom, die zu einem Börsenkollaps führten, wurde der Sarbanes-Oxley Act (SOX) geschaffen. Er soll Investoren vor Bilanzbetrug schützen, indem er sicherstellt, dass alle Berichte über finanzielle Aktivitäten zuverlässige Informationen enthalten, die von unabhängigen Prüfern überprüft werden können. Der Act setzt Standards und Regeln für Prüfungsberichte und impliziert größere finanzielle Offenlegungen. Ein Sonderbeauftragter inspiziert, untersucht und erzwingt die Einhaltung der Anforderungen. Nicht-Einhaltung wird mit erheblichen Strafen geahndet.
Payment Card Industry Data Security Standard (PCI DSS)
Für wen es ist: Jedes Unternehmen, das Kreditkartendaten verarbeitet, der Standard gilt nicht nur in den USA, sondern in den meisten Ländern.
Was es abdeckt: PCI DSS wurde von den großen Zahlungskartenmarken (Visa, MasterCard, American Express, JCB und Discover) eingeführt. Es handelt sich um eine Reihe von Anforderungen zur Reduzierung von Betrug und zum Schutz von Kreditkarteninformationen der Kunden.
Hauptanforderungen:- Installieren Sie eine Firewall und Router-Konfiguration, um Karteninhaberdaten zu schützen.
- Standardmäßige Systempasswörter, die vom Anbieter bereitgestellt werden, müssen geändert werden.
- Geschützte Karteninhaberdaten speichern. Im Allgemeinen sollten keine Karteninhaberdaten gespeichert werden, es sei denn, es ist für Geschäftszwecke unerlässlich.
- Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke. Verschlüsselung ist eine Technologie, die Daten so codiert, dass nur autorisierte Personen sie lesen können.
- Antivirensoftware muss installiert und regelmäßig aktualisiert werden.
- Lizenzierte Sicherheitssoftware muss installiert werden.
- Beschränken Sie den Zugriff auf Karteninhaberdaten auf basis eines bedarfsorientierten Zugriffs.
- Weisen Sie jeder Person, die den Computer benutzt, eine eindeutige ID zu.
- Beschränken Sie den physischen Zugriff auf Karteninhaberdaten.
- Verfolgen und überwachen Sie jeden Zugriff auf Netzwerkressourcen und Karteninhaberdaten.
- Testen Sie regelmäßig Sicherheitssysteme und -prozesse.
- Erstellen Sie ein Sicherheitssystem, das die Informationssicherheit für alle Mitarbeiter umfasst.
Health Insurance Portability and Accountability Act (HIPAA)
Für wen es ist: Krankenversicherungsunternehmen, Gesundheitsdienstleister und medizinische Clearingstellen.
Was es abdeckt: HIPAA ist eine US-amerikanische Gesetzgebung, die Datenschutz- und Sicherheitsbestimmungen für medizinische Informationen vorschreibt. Laut dem Gesetz müssen betroffene Parteien Gesundheitsinformationen (ePHI) vor Missbrauch oder Zugriff durch unbefugte Personen schützen.
Hauptanforderungen und -bestimmungen:- Anbieter, die elektronisch Geschäft betreiben, müssen die gleichen Gesundheitsübertragungen, Codesätze und Identifikatoren verwenden.
- Bundesschutz für persönliche Gesundheitsinformationen wird bereitgestellt. Die Offenlegung persönlicher Gesundheitsinformationen ist nur dann gestattet, wenn sie für die Patientenversorgung oder andere wichtige Zwecke erforderlich ist.
- Das Gesetz legt administrative, physische und technische Sicherheitsvorkehrungen für betroffene Parteien fest, um die Integrität, Verfügbarkeit und Vertraulichkeit elektronischer geschützter Gesundheitsinformationen zu gewährleisten.
- Gesundheitsdienstleister, Gesundheitspläne und Arbeitgeber müssen standardmäßige nationale Nummern haben, die sie bei standardmäßigen Transaktionen identifizieren.
The Gramm-Leach-Bliley Act (GLB)
Für wen es ist: Finanzinstitute (Banken, Börsenunternehmen, Versicherungsunternehmen); Unternehmen, die Finanzdienstleistungen wie Darlehen, Maklerdienste, Geldtransfers, Steuererklärungen, Finanzberatung usw. anbieten.
Was es abdeckt: Der GLB Act ist ein Bundesgesetz, das zum Schutz der personenbezogenen Finanzinformationen von Verbrauchern, die von Finanzinstituten gehalten werden, verabschiedet wurde. Laut der Datenschutzkomponente sind Finanzinstitute verpflichtet, ihren Kunden jährlich eine Mitteilung über ihre Datenschutzpraktiken zu geben und die Möglichkeit zu bieten, diese Informationen nicht weiterzugeben. Die Safeguards Rule verlangt, dass Finanzinstitute ein umfassendes Sicherheitssystem zum Schutz der Vertraulichkeit und Integrität privater Finanzdaten in ihren Aufzeichnungen einrichten.
Electronic Fund Transfer Act, Regulation E
Für wen es ist: Finanzinstitute, die Verbraucherkonten führen oder EFT-Dienstleistungen anbieten; Zahlungsempfänger und Händler.
Was es abdeckt: Dieses Gesetz schützt Kunden, die elektronische Überweisungen durchführen, vor Fehlern und Betrug. Es legt grundlegende Rechte, Verantwortlichkeiten und Haftungen der Finanzinstitute fest, die EFT-Dienstleistungen anbieten, sowie ihrer Verbraucher. Zu EFTs gehören Überweisungen an Verkaufsstellen in Geschäften, Geldautomatenüberweisungen, telefonische Rechnungszahlungsdienste und vorab genehmigte Überweisungen von oder zu einem Konto eines Verbrauchers.
Federal Information Security Management Act (FISMA)
Für wen es ist: Bundesbehörden
Was es abdeckt: Dieses Gesetz befasst sich mit Fragen der nationalen Sicherheit und verpflichtet Bundesbehörden zur Entwicklung einer Methode zum Schutz der Informationssysteme.
Hauptanforderungen/Bestimmungen:- Zu schützende Informationen müssen kategorisiert werden
- Regelmäßige Risikobewertungsverfahren
- Kontinuierliche Überwachung der Sicherheitskontrollen und Bewertung ihrer Wirksamkeit
- Auswahl von Mindestbasis-Kontrollen
- Schulung zur Sicherheitsbewusstsein für das Personal
- Maßnahmen zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle
- Untergeordnete Pläne für Netzwerke und Einrichtungen zur Informationssicherheit
North American Electric Reliability Corp. (NERC) Standards
Für wen es ist: Nordamerikanische Stromversorgungsunternehmen.
Was es abdeckt: Der derzeitige Satz von NERC-Standards wurde entwickelt, um Zuverlässigkeitsstandards für das Bulk-Power-System Nordamerikas festzulegen und die kritische Infrastruktur der Branche vor physischen und Cyberbedrohungen zu schützen.
Title 21 of the Code of Federal Regulations (21 CFR Part 11) Electronic Records
Für wen es ist: Alle von der FDA regulierten Branchen, deren regulierte Aktivitäten die Nutzung von Computern vorschreiben, sowohl in den USA als auch außerhalb des Landes.
Was es abdeckt: Part 11, wie es allgemein genannt wird, legt Richtlinien für elektronische Aufzeichnungen und elektronische Signaturen fest, mit dem Ziel, deren Zuverlässigkeit und Vertrauenswürdigkeit sicherzustellen. Es wurde 1997 erlassen und wird von der US-amerikanischen Food and Drug Administration überwacht.
Europäische Union Datenschutzrichtlinie
Für wen es ist: Europäische Organisationen und nicht-europäische Unternehmen, an die Daten exportiert werden.
Was es abdeckt: Die Datenschutzrichtlinie der Europäischen Union setzt strenge Grenzen für die Erhebung und Nutzung personenbezogener Daten und verpflichtet jedes Mitgliedsland zur Einrichtung einer unabhängigen nationalen Behörde, die für den Datenschutz verantwortlich ist.
Safe Harbor Act
Für wen es ist: US-amerikanische Unternehmen, die in Europa Geschäfte tätigen.
Was es abdeckt: Das Safe Harbor-Gesetz verbietet die Übermittlung personenbezogener Daten an nicht-EU-Länder, wenn diese nicht die von der Datenschutzrichtlinie der Europäischen Union festgelegten Datenschutzstandards erfüllen. Es wurde erlassen, um die verschiedenen Datenschutzansätze Europas und der USA zu überbrücken, wodurch US-amerikanische Unternehmen in der Lage sind, transatlantische Operationen durchzuführen, ohne Unterbrechungen oder Strafverfolgungen durch europäische Behörden zu riskieren.
Lesen Sie mehr darüber, wie DataSunrise hilft, Vorschriften einzuhalten.
Nächste