Вопросы конфиденциальности личной информации

Вопрос конфиденциальности личной информации в интернете на сегодняшний день превратился в центральную проблему. Мы уже сталкивались с подобной ситуацией при обсуждении личных прав служащих. Оказывается, это не единственная проблема, которая требует исследования и решения. В последние годы Федеральное правительство приняло соответствующие законы о конфиденциальности данных банковских и финансовых институтов.

Информация о клиенте

Информация о клиенте не является собственностью организации - она принадлежит клиенту. Таким образом, организация должна предпринимать надлежащие меры, чтобы защитить эту информацию от несанкционированного доступа. Это значит, что вы можете использовать эту информацию, но при этом должны соблюдать все меры предосторожности и употреблять ее только по назначению. Вот одна из причин, почему многие сайты в интернете помещают на своих страницах уведомление о том, что некоторые данные о клиенте могут использоваться в списках рассылки. В этой ситуации клиенты должны иметь возможность отказаться от использования их личной информации подобным образом.

Проблема, на которой я хочу заострить ваше внимание, - это доступ к личной информации клиента при взломе системы защиты. Какое решение примет организация, если она соблюдала все возможные меры предосторожности для предотвращения этого взлома? В этой ситуации сотрудникам отдела информационной безопасности нужно работать вместе с генеральным юрисконсультом организации, чтобы рассмотреть все стороны этой проблемы и определить соответствующие меры.

Закон о переносимости и подотчетности документации о страховании здоровья

  • 21 августа 1996 г. вышел в свет Закон о переносимости и подотчетности документации о страховании здоровья (Health Insurance Portability and Accountability Act, HIPAA). В этом законе сказано, что ответственность за создание и претворение в жизнь стандартов для защиты информации, касающейся здоровья, несет Министерство здравоохранения и социальных служб. Закон вводит стандартизацию информации о здоровье, уникальные идентификаторы пациентов и, что наиболее важно, стандарты безопасности для защиты конфиденциальности и целостности этой информации.
  • 20 февраля 2003 г. Министерство здравоохранения и социальных служб США опубликовало правила техники безопасности HIPAA. Правила вступили в действие через 60 дней после опубликования (20 апреля 2003 г.). Установлены следующие даты ввода этих правил в различных организациях:
    • • организации планирования здравоохранения - 20 апреля 2005 г.;
  • • небольшие организации планирования здравоохранения (с годовым доходом в 5 млн. долларов и меньше) - 20 апреля 2006 г.;
  • • информационные центры - 20 апреля 2005 г.;
  • • службы здравоохранения - 20 апреля 2005 г.

Адресуемые и обязательные компоненты

В окончательно принятых правилах безопасности вводится понятие адресуемых компонентов. Многие положения правил являются обязательными для организации (они должны быть реализованы в обязательном порядке), а некоторые относятся к категории "применительно к организации"

Если в положение включен такой пункт, то организация должна оценить, является ли это положение для нее резонной и надлежащей мерой предосторожности. При положительной оценке необходимо обеспечить выполнение этого положения. В противном случае следует изложить в документальной форме, почему организация приняла такое решение, и разработать альтернативный механизм.

Требования правил безопасности

Правила безопасности включают общие положения и детальные требования в пяти специфических областях.

  • • Административные меры безопасности.
  • • Физические меры безопасности.
  • • Технические меры безопасности.
  • • Организационные требования.
  • • Политики, процедуры и требования к документации.

Основная цель этих положений состоит в том, чтобы гарантировать поддержку конфиденциальности, целостности и доступности защищенной информации о здоровье (Protected Health Information, PHI). Они позволяют использовать правильный подход к управлению риском при выполнении требований применительно к конкретной организации.

Любая организация, которая обрабатывает информацию о здоровье человека, должна изучить эти положения очень подробно и определить, что необходимо сделать. Организациям здравоохранения, конечно, потребуются существенные средства на обеспечение работы своих систем и выполнение процедур. Сотрудники отдела информационной безопасности в этом случае должны работать в тесном сотрудничестве с консультантом по вопросам соблюдения HIPAA и главным юрисконсультом организации.

Административные меры безопасности

HIPAA предписывает для каждой организации выполнение следующих требований.

  • Управление безопасностью. Сюда входит регулярный анализ рисков; соответствующие меры безопасности для управления рисками; политика санкций, направленная на принудительное соблюдений требований; регулярный просмотр записей в журналах, содержащих информацию о выполняемых действиях.
  • • Назначение лиц, ответственных за безопасность. Должен быть назначен человек, отвечающий за вопросы безопасности.
  • • Меры безопасности, связанные с человеческим фактором. Следующие компоненты рассматриваются применительно к конкретной организации: процедуры авторизации, установление уровня допуска, процедуры увольнения.
  • • Управление доступом к информации. Обязательным компонентом является изоляция работы информационных центров здравоохранения. А эти компоненты рассматриваются применительно к конкретной организации: процедуры авторизации доступа, установления факта доступа и процедуры модификации.
  • • Понимание необходимости мер безопасности и обучение. Эти

компоненты рассматриваются применительно к конкретной организации: периодическое обновление положений

безопасности; защита от вредоносного программного обеспечения; мониторинг входа в систему и управление паролями.

  • • Процедуры, связанные с возникновением инцидентов безопасности. Политики и процедуры, относящиеся к инцидентам безопасности, являются обязательными.
  • • План на случай возникновения непредвиденных обстоятельств.

Эти компоненты являются обязательными: план создания резервных копий информации, план восстановления после стихийных бедствий и план действий в чрезвычайных обстоятельствах. Следующие компоненты рассматриваются применительно к конкретной организации: периодическая проверка и пересмотр планов, оценка относительной важности определенных приложений.

  • • Оценка. Необходимо проводить периодическую оценку защиты на местах в ответ на изменения в окружении.
  • • Контракты, связанные с ведением бизнеса, и другие мероприятия. Необходимо наличие контрактов, определяющих соответствующие меры безопасности, с любой организацией, совместно использующей PHI.

Физические меры безопасности

Правила безопасности HIPAA учитывают влияние общих физических мер безопасности, используемых в организации, на безопасность компьютеров и сетей. Поэтому сюда включены существенные требования для физической защиты.

  • • Управление доступом в помещение. Следующие компоненты рассматриваются применительно к конкретной организации: планы, разработанные на случай возникновения непредвиденных обстоятельств; план безопасности помещений; контроль доступа и подтверждения подлинности, процедуры для регистрации ремонтных работ и модификаций физических средств защиты.
  • • Используемые рабочие станции. Политика для определения физических параметров рабочих станций, с которых можно обращаться к PHI.
  • • Безопасность рабочих станций. Физические меры безопасности для всех рабочих станций, с которых можно обращаться к PHI.
  • • Контроль устройств и носителей информации. Эти компоненты являются обязательными: процедуры для размещения PHI и носителей, на которых она хранится, удаление PHI перед повторным использованием носителей. А эти компоненты рассматриваются применительно к конкретной организации: записи о перемещении аппаратных средств и носителей, создание резервных копий PHI перед этим перемещением.

Технические меры безопасности

Правила безопасности HIPAA содержат требования к техническим мерам безопасности. Определенные механизмы безопасности, которые организация выбирает для выполнения положений, могут отличаться в зависимости от оценки риска, произведенного организацией (и от прочих факторов). Ниже приведены эти требования.

  • • Управление доступом. Эти компоненты являются обязательными: назначение каждому пользователю уникального идентификатора, реализация процедур доступа в чрезвычайных обстоятельствах. Следующие компоненты рассматриваются применительно к конкретной организации: автоматический выход из системы и шифрование/дешифрование PHI.
  • • Управление аудитом. Включает реализацию механизмов для записи и исследования любой деятельности в системе, которая содержит PHI.
  • • Целостность. Разработка механизмов аутентификации электронной PHI.
  • • Аутентификация личности или объекта. Разработка механизмов подтверждения подлинности личности тех, кто пытается получить доступ к PHI.
  • • Безопасность при передаче данных. Следующие компоненты рассматриваются применительно к конкретной организации: механизмы обнаружения неправомочных модификаций PHI в процессе передачи и механизмы шифрования PHI.

Организационные меры безопасности

Правила безопасности HIPAA включают организационные требования, реализация которых ведет к модификации контрактов с партнерами и спонсорами. Любые контракты с организациями, которые будут обращаться к PHI, должны включать меры по обеспечению безопасности в качестве отдельных пунктов. Кроме того, документы, разрабатываемые органами планирования здравоохранения, должны предписывать спонсору выполнение соответствующих требований по защите PHI.

Политики, процедуры, и требования к документации

Каждой организации необходимо поддерживать надлежащие политики, процедуры и документацию. Вся документация должна храниться в течение шести лет с момента создания. Все политики и процедуры должны быть доступны тем, кто будет реализовывать механизмы безопасности. Политики и процедуры организации нуждаются в обновлении в ответ на изменения в окружении или эксплуатационных требованиях.

Закон о модернизации финансового обслуживания Грэма-Лича-Блайли

Закон о модернизации финансового обслуживания Грэма-Лича-Блайли (The Gram-Leach-ВШеу Financial Services Modernization Act, GLBA) вышел в свет 12 ноября 1999 г. Важнейшие аспекты закона связаны с конфиденциальностью информации о клиентах. В связи с этой проблемой в подразделе А раздела 5 определено обязательство по защите частной информации клиентов. Раздел 502 запрещает финансовым организациям раскрывать частную информацию о клиенте, за исключением случая взлома систем организации, а также предписывает обеспечить для клиента возможность отказа от использования его личной информации.

В дополнение к вопросам конфиденциальности от финансовых институтов также требуется защита записей о клиенте от несанкционированного доступа. Данным вопросом занимались учреждения финансового надзора (Управление по контролю денежного обращения, Федеральная резервная система, Федеральная корпорация страхования депозитов и Управление по надзору за сберегательными учреждениями), которые издали совместное положение, содержащее конкретные требования. Этот документ называется "Межведомственные руководящие указания установленных стандартов по безопасности информации о клиентах" и доступен по адресу ссылка: http://www.ffiec.gov/exam/InfoBase/documents/02-joi- safeguard_customer_info_final_rule-010201 .pdf.

Требования безопасности

Руководящие указания устанавливают требования к программе безопасности финансовых организаций в целом. Они включают следующее.

  • • Программа информационной безопасности. Каждая организация должна ввести в действие всестороннюю программу информационной безопасности, которая включает административные, технические и физические меры безопасности.
  • • Вовлечение руководства. Руководство организации должно одобрить программу и наблюдать за ее развитием, выполнением и непрерывным техническим обслуживанием.
  • • Оценка риска. Каждая организация должна периодически проводить оценки риска, выявляющие угрозы и уязвимые места.

Руководство и управление риском

Используя разработанную программу безопасности, организация руководит и управляет риском через развертывание следующих механизмов защиты.

  • • Управление доступом к информации.
  • Физическое ограничение доступа к системам и записям.
  • • Шифрование секретной информации при ее передаче.
  • • Процедуры изменения и модификации системы не должны отрицательно влиять на безопасность.
  • • Процедуры двустороннего контроля, сегрегация режимов работы и фоновые проверки.
  • • Системы обнаружения вторжений для наблюдения за атаками.
  • • Процедуры ответных действий при возникновении инцидента.
  • • Защита окружающей среды для защиты записей от разрушения.

Руководящие указания требуют обучения сотрудников организации для осуществления программы, а также регулярных проверок на определение эффективности программы.

Примечание

Тестирование программы должно проводиться независимыми сторонами. Однако организация может проводить и свои собственные проверки.

Наблюдение за поставщиками услуг

Закон GLBA учитывает проблемы безопасности при вовлечении внешних сторонних организаций, предоставляющих финансовым институтам различные услуги. Эти организации могут получить доступ к секретной информации, поэтому их надо тщательно проверить. Руководящие указания определяют следующие требования.

  • • Должное усердие при отборе поставщиков услуг. Необходим серьезный подход к отбору сторонних организаций, предоставляющих свои услуги.
  • • Требования к поставщикам услуг о соблюдении безопасности. Организация должна требовать от своих поставщиков услуг соблюдения соответствующих мер безопасности - это оговаривается в контракте.
  • • Наблюдение за поставщиками услуг. Организация должна вести мониторинг сторонних организаций для наблюдения за выполнением обязательств по контракту.
  • • Корректировка программы. Организация должна вносить изменения в свою программу информационной безопасности, чтобы учитывать модификацию в технологиях и процедурах бизнеса, а также появление новых угроз.
  • • Отчет руководству. Организация должна периодические отчитываться перед руководством о выполнении статей своей программы безопасности.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >