Atitiktis teisiniams reikalavimas ir „NordPass“

Kas yra atitiktis teisiniams reikalavimams?

Atitiktis teisiniams reikalavimams apima įvairius procesus ir procedūras, vykdomus siekiant laikytis įvairių valdžios institucijų nustatytų įstatymų, reglamentų ir standartų. Taisykles nustato įvairios institucijos, įskaitant vietos, valstybines, federalines ar net tarptautines agentūras, pramonės grupes ar profesines asociacijas. Iš esmės, atitiktis teisiniams reikalavimams užtikrinama siekiant apsaugoti vartotojus ir kitus suinteresuotuosius subjektus.

Atitikties teisiniams reikalavimams svarba

Atitikties teisiniams reikalavimams tikslas – užtikrinti, kad įmonės ir organizacijos veiktų saugiai, atsakingai ir etiškai. Atitiktį teisiniams reikalavimams užtikrinančios įmonės ir organizacijos taip pat pasižymi konkurenciniu pranašumu, nes padeda kurti skaidrumo ir patikimumo kultūrą klientų, darbuotojų ir kitų susijusių šalių atžvilgiu. Be to, užtikrinant atitiktį teisiniams reikalavimams tobulinami vidaus procesai, rizikos valdymo procedūros ir sumažinama galimų teisinių problemų tikimybė, todėl klojamas tvirtas pagrindas tvarumui.

Tačiau svarbu nepamiršti, kad daugumos teisinių reikalavimų laikytis privaloma. Nesilaikant privalomų reikalavimų gresia didžiulės baudos. Pavyzdžiui, „LinkedIn Ireland“ buvo skirta daugiau nei 300 mln. USD bauda. Ją skyrė Airijos duomenų apsaugos komisija (DPC) už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimą. „Meta“ – įmonė, kuri anksčiau buvo vadinama „Facebook“, taip pat neseniai gavo daugiau nei 250 mln. USD baudą, kurią skyrė Airijos DPC už saugos pažeidimą, kurio metu buvo atskleisti daugiau nei 28 mln. viso pasaulio naudotojų konfidencialūs duomenys.

Be finansinių nuostolių, reikalavimų nesilaikanti organizacija gali prarasti reputaciją ir klientų pasitikėjimą. Dėl to gali kilti rimtų teisinių problemų.

Toliau pateiksime dažniausiai pasitaikančius atitikties teisiniams reikalavimams standartus.

Nacionalinis technologijų ir standartų institutas (NIST)

Nacionalinis technologijų ir standartų institutas (NIST) yra JAV federalinė agentūra, rengianti technologijas, rodiklius ir standartus, skatinančius inovacijas ir užtikrinančius veiklos saugumą verslo aplinkoje. NIST reikalavimus turi atitikti visos JAV įsteigtos informacinės sistemos, išskyrus tas sistemas, kurios yra susijusios su nacionaliniu saugumu. Tačiau šį standartą gali taikyti bet kuri organizacija.

Norėdama atitikti NIST reikalavimus, organizacija turi nustatyti prieigos kontrolės mechanizmus, užkertančius kelią neteisėtai prieigai, parengti išsamų saugumo incidentų valdymo planą ir vykdyti audito procedūras pagal grafiką.

Bendrasis duomenų apsaugos reglamentas (BDAR)

Bendrasis duomenų apsaugos reglamentas (BDAR) yra duomenų apsaugos įstatymas, taikomas Europos Sąjungoje (ES) ir Europos ekonominėje erdvėje (EEE) veikiančioms įmonėms ir organizacijoms. Juo nustatomos taisyklės, kurių turi laikytis organizacijos rinkdamos, naudodamos ir saugodamos asmens duomenis. Taip pat šiuo reglamentu asmenims suteikiamos teisės susipažinti su savo asmens duomenimis ir juos valdyti.

Siekdamos atitikti BDAR reikalavimus, organizacijos ir įmonės turi įgyvendinti tam tikras priemones. Pavyzdžiui, prieš rinkdamos asmens duomenis, jos turi gauti asmenų sutikimą, pateikdamos aiškią ir glaustą informaciją apie duomenų rinkimo praktiką, ir įdiegti tinkamas duomenų apsaugos priemones.

Sveikatos draudimo mobilumo ir atskaitomybės aktas (HIPAA)

Sveikatos draudimo mobilumo ir atskaitomybės aktas (HIPAA) yra JAV įstatymas, kuriuo nustatomi asmens sveikatos informacijos apsaugos standartai. Įstatymas taikomas sveikatos priežiūros paslaugų teikėjams ir visiems kitiems subjektams, tvarkantiems asmens sveikatos informaciją JAV.

Siekdamos laikytis HIPAA reikalavimų, organizacijos privalo įdiegti saugias sistemas asmens sveikatos duomenims saugoti ir perduoti, tinkamai apmokyti darbuotojus apie HIPAA reikalavimus ir įgyvendinti prieigos kontrolės mechanizmus, kad užkirstų kelią neteisėtai prieigai prie asmens sveikatos informacijos.

Mokėjimo kortelių industrijos duomenų apsaugos standartas (PCI DSS)

Mokėjimo kortelių industrijos duomenų apsaugos standartas (PCI DSS) yra saugumo standartų rinkinys, tarptautiniu mastu taikomas organizacijoms, kurios tvarko kredito kortelių operacijas. Šiuo reguliavimo standartu nustatomi reikalavimai dėl kortelių turėtojų duomenų apsaugos ir neteisėtos prieigos prie tokių duomenų prevencijos.

Pagal PCI DSS taisykles, mokėjimo kortelių informaciją apdorojančios įmonės ir organizacijos privalo turėti saugias sistemas kortelių turėtojų duomenims saugoti ir perduoti, turi reguliariai atlikti saugumo vertinimus ir įgyvendinti kitus saugumo valdymo mechanizmus, kad užkirstų kelią neteisėtai prieigai prie kortelių turėtojų duomenų.

ISO/IEC 27001

ISO/IEC 27001 yra tarptautinis standartas, kuriuo nustatoma informacijos saugumo valdymo sistemų (ISMS) geroji praktika. Šis standartas skirtas padėti organizacijoms apsaugoti informacijos išteklius ir valdyti su informacijos saugumu susijusią riziką. Laikytis ISO/IEC 27001 nėra privaloma.

Siekdamos laikytis ISO/IEC 27001 reikalavimų, organizacijos turi reguliariai atlikti rizikos vertinimus, įdiegti kontrolės mechanizmus, kad apsisaugotų nuo neteisėtos prieigos, ir reguliariai peržiūrėti bei atnaujinti informacijos saugumo valdymo sistemas.

Kalifornijos vartotojų privatumo įstatymas (CCPA)

Kalifornijos vartotojų privatumo įstatymas (CCPA) yra privatumo apsaugos įstatymas, daugeliu aspektų panašus į savo europietišką atitikmenį — BDAR. Tačiau CCPA yra taikomas įmonėms, kurios veikia Kalifornijos valstijoje. Juo Kalifornijos valstijos gyventojams suteikiama teisė susipažinti su savo asmens duomenimis ir juos valdyti bei nustatomi tam tikri reikalavimai įmonėms, kurios renka ir tvarko asmens duomenis.

Tam, kad atitiktų CCPA reikalavimus, organizacija turi taikyti saugumo priemones klientų duomenims apsaugoti. Be to, įmonės taip pat privalo teikti aiškią ir glaustą informaciją apie duomenų rinkimo praktiką bei suteikti Kalifornijos gyventojams teisę susipažinti su asmens duomenimis ir reikalauti juos ištrinti.

Gramm-Leach-Bliley aktas (GLBA)

Gramm-Leach-Bliley aktas (GLBA) yra JAV įstatymas, taikomas JAV finansų institucijoms. Kaip daugelis jau aptartų atitikties teisiniams reikalavimams standartų, GLBA taikomas finansų institucijoms, pagal kurį jos turi įgyvendinti apsaugos priemones, skirtas asmeninei informacijai apsaugoti, bei atskleisti duomenų rinkimo ir perdavimo praktiką klientams.

Siekiant atitikti GLBA standartus, finansų institucijoms gali reikėti įgyvendinti saugias sistemas asmeninei finansų informacijai saugoti ir perduoti, suteikti klientams informaciją apie duomenų rinkimą ir perdavimą, nustatyti prieigos kontrolės mechanizmus, kad užkirstų kelią neteisėtai prieigai prie asmeninės finansų informacijos.

Kibernetinio saugumo centras (CIS)

Kibernetinio saugumo centras (CIS) yra ne pelno siekianti organizacija, teikianti kibernetinio saugumo konsultacijas ir gerosios praktikos mokymus bei padedanti organizacijoms apsaugoti savo sistemas ir duomenis. CIS sudaro 18 svarbiausių saugumo kontrolės mechanizmų, kurių paskirtis yra apsaugoti nuo dažniausiai pasitaikančių kibernetinių grėsmių.

Siekdamos atitikti CIS reikalavimus, įmonės ir organizacijos turi taikyti išsamią kibernetinio saugumo sistemą, kad užtikrintų savo duomenų ir informacijos valdymo sistemų apsaugą.

Norėdami išsamiai sužinoti, kaip „NordPass“ gali palengvinti CIS atitikties laikymąsi, skaitykite mūsų išsamų atitikties CIS vadovą.

Nuomonė Nr. 498

Amerikos advokatų asociacijos (ABA) Oficialioje nuomonėje Nr. 498 nustatomos gairės JAV advokatams ir advokatų kontoroms virtualios praktikos klausimais. Pagal ABA pavyzdines profesinio elgesio taisykles leidžiama užsiimti virtualia teisine praktika, o Oficialioje nuomonėje Nr. 498 pateikiamos papildomos virtualios praktikos gairės.

Siekiant laikytis Oficialioje nuomonėje Nr. 498 išdėstytų gairių, organizacijos ir individualūs asmenys skatinami diegti saugias informacijos valdymo sistemas ir jas apsaugoti sudėtingais slaptažodžiais, kad užtikrintų saugią prieigą prie klientų duomenų ir tokių duomenų apsaugą.

Agence nationale de la sécurité des systèmes d'information (ANSSI)

ANSSI reikalavimai yra saugumo standartų rinkinys, kurį sudarė Prancūzijos nacionalinė kibernetinio saugumo agentūra. ANSSI yra Prancūzijoje taikomas standartas, kuriuo nustatytos taisyklės dėl konfidencialios informacijos ir sistemų apsaugos nuo kibernetinių grėsmių, tokių kaip įsilaužimas, kenkimo programinė įranga ir duomenų saugumo pažeidimai. Įmonių, kurios saugo ir tvarko konfidencialią informaciją, gali būti reikalaujama laikytis ANSSI standartų tokios informacijos saugumui užtikrinti.

Atitiktis ANSSI standartams gali apimti reguliarius auditus, skverbties bandymus ir kitas saugumo priemones, skirtas įmonės sistemų saugumo spragoms aptikti ir spręsti.

Peržiūrėta Tinklų ir informacinių sistemų saugumo direktyva (TIS 2)

Peržiūrėta Tinklų ir informacinių sistemų saugumo direktyva (TIS 2) yra atnaujinta kibernetinio saugumo direktyva, kurią išleido Europos Sąjunga, kad ypatingai svarbūs sektoriai, pvz., energetikos, sveikatos priežiūros, finansų, ir skaitmeninė infrastruktūra taptų atsparesni grėsmėms. Atnaujinta direktyva išplečia kibernetinio saugumo įsipareigojimų organizacijoms apimtį patobulindama rizikų valdymo priemones, pranešimo apie incidentus procedūras ir tiekimo grandinės saugumą. Tiksliau tariant, tikimasi, kad TIS 2 besilaikančios organizacijos įgyvendins saugumo priemones, periodiškai vykdys kibernetinio saugumo mokymus ir laikysis griežtesnio pranešimo apie saugumo incidentus termino.

Skaitmeninės veiklos atsparumo aktas (SVAA)

Skaitmeninės veiklos atsparumo aktas (SVAA) yra ES reglamentas, skirtas sustiprinti finansinių institucijų, pvz., bankų, draudimo kompanijų ir investavimo įmonių, kibernetiniam atsparumui. SVAA nurodomas IT rizikų valdymo terminas, pagal kurį organizacijos turi įvesti griežtas saugumo kontrolės priemonės, reguliariai vertinti savo kibernetinio saugumo būseną ir užtikrinti, kad trečiųjų šalių pardavėjai laikytųsi atitikties atsparumo standartams. Be to, reglamente nurodomas išsamus pranešimo apie incidentus ir reagavimo į juos mechanizmas, siekiant sustiprinti finansinio sektoriaus atsparumą kibernetinėms grėsmėms.

Kaip „NordPass“ padeda užtikrinti atitiktį teisiniams reikalavimams?

Įmonėms ir organizacijoms gali būti sudėtinga laikytis taisyklių ir užtikrinti atitiktį, šie procesai ilgai užtrunka. Jos turi laikytis naujausių teisinių reikalavimų ir įgyvendinti atitinkamą politiką, procedūras bei naudoti tinkamus įrankius.

Tačiau turint galimybę naudotis tinkamais įrankiais, užtikrinti atitiktį bus lengviau nei manote. Vienas iš tokių įrankių yra „NordPass“ — saugi ir patogi naudoti įmonėms skirta slaptažodžių tvarkyklė. Pasitelkę šį įrankį, galėsite padėti organizacijai užtikrinti atitiktį saugumo taisyklėms ir reikalavimams, nustatytiems pirmiau aptartuose atitikties teisiniams reikalavimams standartuose. Kaip tiksliai ši tvarkyklė gali padėti?

Stiprūs slaptažodžiai ir saugi slaptažodžių saugykla

Remiantis dauguma atitikties teisiniams reikalavimams standartų, organizacijos turi diegti tam tikras saugumo priemones, skirtas užkirsti kelią neteisėtai prieigai.

Pavyzdžiui, PCI DSS, GLBA, BDAR ir CIS kontrolės priemonėmis nustatytos gairės asmens duomenų tvarkymo ir saugojimo saugumui užtikrinti.

Štai čia atsiranda galimybė išnaudoti „NordPass“ funkcijas. „NordPass“ įrankis yra sukurtas remiantis tik jums žinomos informacijos architektūros principais ir naudoja pažangų šifravimo algoritmą „XChaCha20“, todėl jį naudojant įmonės slaptažodžiai ir kita konfidenciali informacija bus apsaugoti nuo bet kokių galimų pažeidimų laikantis teisinių reikalavimų.

Tokia „NordPass“ funkcija kaip slaptažodžių politika taip pat yra puiki priemonė atitikčiai užtikrinti. Taikydamos slaptažodžių politiką, įmonės gali nustatyti tam tikras organizacijos mastu taikytinas slaptažodžių sudėtingumo specifikacijas, kurios gali žymiai sustiprinti visos organizacijos saugumą.

Norėdami veiksmingai laikytis slaptažodžių politikos taisyklių ir specifikacijų, naudotojai gali naudoti mūsų slaptažodžių generatorių – įrankį, galintį vos keliais spustelėjimais sukurti slaptažodžius, atitiksiančius visas slaptažodžių politika nustatytas specifikacijas.

Be to, pasitelkę „NordPass“, galėsite užtikrinti, kad visi jūsų organizacijos slaptažodžiai būtų laikomi saugiai ir pagal teisinius reikalavimus.

Saugios prieigos valdymas

Pagal kai kuriuos atitikties reikalavimams standartus organizacijos privalo diegti saugios prieigos valdymo sprendimus. Pavyzdžiui, toks reikalavimas nustatytas ANSSI, HIPAA ir NIST.

Šiuo atveju tinkamiausias įrankis yra „NordPass“ administratoriaus langas, nes jis skirtas tam, kad organizacijos veiksmingai ir lengvai valdytų prieigos teises visos organizacijos mastu.

Naudodamiesi administratoriaus langu, sprendimų savininkai ir administratoriai gali suteikti prieigą prie sistemų bei stebėti organizacijų narių veiksmus. Administratoriaus langas taip pat yra sritis, kurioje galite nustatyti organizacijos slaptažodžių politiką ir užtikrinti, kad visos įmonės slaptažodžiai atitiktų konkrečias specifikacijas.

Be to, „NordPass“ veikia veiklos žurnalo funkcija, kurią naudodami organizacijos administratoriai gali peržiūrėti naudotojų veiksmus, pvz., prieigą prie sistemos ir dalijimąsi informacija. Siekiant teikti pažangesnę stebėjimo ir saugumo analizę, „NordPass“ tiesiogiai integruojama su „Splunk“. Organizacijos, kuriose naudojami kiti saugumo informacijos ir įvykių valdymo (SIEM) sprendimai, vis tiek gali perkelti žurnalus arba atlikti jų auditą eksportuodamos juos JSON formatu. 

Dalijimosi centras yra dar viena būtina funkcija, organizacijų savininkams teikianti išsamią visos organizacijoje bendrinamos informacijos ir aplankų apžvalgą. Naudodamiesi dalijimosi centro funkcija, savininkai sužino informaciją apie tai, kas, kuo ir su kuo dalijosi, taip pat užtikrina duomenų skaidrumą ir priežiūrą.  

Pažeidimų stebėjimas

Atitikties teisiniams reikalavimams standartuose dažnai nurodoma ir geroji praktika saugumo incidentų, pvz., duomenų saugumo pažeidimų, atveju. Ši praktika išsamiai išdėstyta BDAR 33 straipsnyje, kuriame nurodyta, kad duomenų saugumo pažeidimo atveju, apie jį turi būti pranešama priežiūros institucijai, praėjus ne daugiau kaip 72 valandoms po tokio pažeidimo aptikimo. Nesilaikant šio reikalavimo, gresia 10 milijonų eurų arba 2 proc. metinės apyvartos dydžio bauda.

„NordPass“ įdiegta pažeidimų ataskaita yra įrankis, leidžiantis nuskaityti visos įmonės domenų sąrašą ir aptikti galimus pažeidimus. Pažeidimų ataskaita išsiunčia pranešimą visiems organizacijos nariams, todėl įmonė, kurios duomenų saugumui gresia pavojus, gali reaguoti greitai ir veiksmingai jo išvengti.

„NordPass“ slaptažodžių saugumo įrankis gali padėti aptikti silpnus, pasenusius ar pakartotinai naudotus slaptažodžius organizacijos mastu ir taip žymiai sumažinti neteisėtos prieigos riziką. Be to, „NordPass“ teikia nutekintų slaptažodžių funkciją, kuri nuskaito organizacijoje išsaugotus slaptažodžius ir jų ieško tamsiojo interneto atskleistų prisijungimo duomenų bazėse. Jei slaptažodžiai buvo nutekinti saugumo pažeidimo metu, nutekintų slaptažodžių funkcija apie tai praneš, kad galėtumėte greitai juos atnaujinti ir tinkamai apsaugoti paskyras. 

Apibendrinimas

Atitikties teisiniams reikalavimams standartai yra neatsiejama šiuolaikinio verslo dalis. Nesilaikant reikalavimų organizacijai gresia didžiulės baudos ir žala reputacijai. Kita vertus, užtikrinti atitiktį nelengva. Tačiau naudojantis tinkamais įrankiais šį procesą galima gerokai supaprastinti.

„NordPass“ gali būti puiki priemonė organizacijoms, siekiančioms paprasčiau ir veiksmingiau užtikrinti atitiktį įvairiausiems reikalavimams. Užtikrindamos atitiktį reikalavimams, organizacijos ne tik išvengia didelių baudų ir teisinių problemų, bet ir įgauna konkurencinį pranašumą skatindamos skaidrumo ir patikimumo kultūrą tiek klientų, tiek investuotojų atžvilgiu.