خرید vpn خوب

قانون حفظ حریم خصوصی مصرف کننده کالیفرنیا (CCPA) و آینده استانداردهای امنیت داده ها

اگر وبلاگ را دنبال کرده اید ، می دانید که قانون حفظ حریم شخصی مصرف کننده کالیفرنیا ، یا CCPA ، از اول ژانویه سال 2020 به اجرا در می آید. این یک نوار جدید برای حقوق خصوصی مصرف کنندگان در سطح ایالت ایالات متحده ایجاد خواهد کرد. . قانون کالیفرنیا می تواند بسیاری از نوآوری های خود تعریف گسترده ای از داده های شخصی را پوشش دهد که شامل ایمیل ، تاریخچه مرور ، بیومتریک ، جغرافیایی و موارد دیگر است. حق مصرف کننده برای دسترسی و حذف داده ها؛ و یک حق محدود برای شکایت از طریق دادستان کل امور خارجه.

CCPA همچنین به مصرف کنندگان یک حق قدرتمند داده است که در هر زمان از فروش اطلاعات خود به اشخاص ثالث خودداری کنند. شرکت ها باید با استفاده از "پیوند اطلاعات شخصی من" در وب سایت ها نمایش داده نشوند. حتی نیاز به انتخاب سختگیرانه تر برای فروش اطلاعات کودکان (زیر شانزده سالگی) در صورت رضایت صریح وجود دارد.

یک نگاه دقیق تر به امنیت داده ها در CCPA و NIST CIS Framework

آشکار است. موازی بین CCPA و GDPR اتحادیه اروپا. یک موسسه حقوقی با رحمت این نمودار را با یکدیگر مقایسه کرده است. یکی از تفاوت های مهم CCPA و GDPR این است که قانون اتحادیه اروپا الزامات امنیتی بسیار قوی ای در مورد داده ها دارد. GDPR شامل هر دو حریم خصوصی و قوانین امنیتی است. در مورد CCPA ، که به حفظ حریم خصوصی مصرف کنندگان متمرکز است ، این مورد صحیح نیست. یکی از مواردی که مورد توجه من قرار گرفت ، AB-1035 ، زبان کاملاً خاصی راجع به… امنیت داده می افزاید.

چارچوب NIST CIS در CCPA ظاهر می شود.

AB-1035 این چالش را برای تعریف جمله معروف بویلر "امنیت معقول" در نظر می گیرد ، که اغلب در قوانین نقض داده های ایالتی یافت می شود اما به طور معمول بدون توضیحی به آن معنا می یابد. این اصلاحیه به طرز جسورانه چارچوب NIST را برای بهبود امنیت سایبری زیرساختهای بحرانی (CIS) و استاندارد دیگر NIST 800-171 پیشنهاد می کند ، که یک نسخه بریده شده از دائرyclالمعارف 800-53 ، به عنوان یک استاندارد امنیتی اولیه برای دولت است.

این یک معامله بزرگ است: حتی GDPR اتحادیه اروپا به صراحت به استانداردهای داده خارجی نمی پردازد. متأسفانه این اصلاحات برای كالیفرنیا بسیار رادیكال بود: CCPA در 13 سپتامبر نهایی شد و این لایحه شامل این اصلاحیه خاص نیست. آه ، خوب.

بیایید برای بررسی چارچوب CIS به کالیفرنیا اعتبار بدهیم. اگر فراموش کرده باشید ، یک چارچوب برابر با یک استاندارد امنیتی نیست. در عوض ، این نوعی متا استاندارد است ، که لیستی از کنترلهای امنیتی متا را فراهم می کند که در کنترل های امنیتی واقعی در استانداردهای داده موجود قرار می گیرند. مظنونین ، از جمله COBIT 5 ، SANS CCS ، ISO 270001 و ISA 62443. بخشی از نقشه را در زیر می بینید:

شگفت انگیز! چارچوب NIST CIS کنترل های امنیتی خود را در بسیاری از استانداردهای مختلف نقشه برداری می کند. شما ممکن است قبلاً سازگار با NIST باشید!

ایده اصلی در چارچوب NIST CIS این است که شرکت هایی که از قبل استانداردهای امنیتی موجود داده ها را رعایت می کنند می توانند ادامه دهند. آنها به سادگی قسمت های CIS را که پوشش داده اند بررسی کرده و در صورت لزوم کاستی ها را پر می کنند. چارچوب CIS به عنوان یک مبنای قانونی برای انطباق ، منطقی است زیرا شرکت ها را به دلیل داشتن برنامه های امنیت داده در حال حاضر مجازات نمی کند!

در همین حال در اوهایو: قانون حمایت از داده های نوآورانه آنها سزاوار توجه است

CCPA هنوز هم بسیار است ابتکاری و به عنوان یکی از قانون گذاران کالیفرنیا ، آن را "اولین اقدام برای حفظ حریم خصوصی مصرف کنندگان در کشور" عنوان کرد. هیچ استدلالی از من نیست. این بدان معنا نیست که همه اخبار جالب امنیت امنیت داده ها از سواحل به دست می آیند. در اواخر سال 2018 ، اوهایو قانون حمایت از داده های خود را تصویب کرد ، که یک "گنگ" جالب برای تعهد شرکت ها را فراهم می کند.

این قانون "بندر ایمن" قانونی را برای شرکتهایی که با طرح دعاوی احتمالی در اختیار دارند قرار می دهد: در صورت پیروی از لیست مشخص شده از استانداردها و چارچوب ها (در زیر) ، سپس آنها می توانند این کار را به عنوان یک دفاع در محاکمات خود استفاده کنند.

راه برای رفتن به اوهایو: چارچوب ها و استانداردهای ذکر شده در قانون.

همانطور که می بینید ، چارچوب NIST CIS آن را تنظیم می کند. گزینه اول لیست بندر ایمن اوهایو ، به همراه همه موارد برگزیده دیگر – 800-53 ، 800-171 ، FedRAMP ، CSC و غیره گزینه های خوب ، اوهایو.

همچنین لازم به ذکر است که قانون اوهایو کاملاً داوطلبانه. اگر شرکتی تصمیم نمی گیرد یکی از استانداردهای امنیتی فوق الذکر را رعایت کند ، فکر می کند که آنها احتمالاً پرونده های خود را گم می کنند که مصرف کنندگان آسیب دیده من را به همراه داشته اند. و بنابراین آنها به سمت اقدامات خوب امنیتی تشویق می شوند. بیایید این را یک آزمایش در اقتصاد بازار آزاد ، نسخه امنیتی- داده ها بنامیم.

تحلیلگران حقوقی قبلاً با قانون محافظت از داده های اوهایو ، مضراتی دارند و بندر ایمن آن را نوعی کارت رهایی از زندان می دانند. این چندان ساده نیست!

مطابق قانون اوهایو ، شرکت ها باید "برنامه های امنیتی مکتوب در فضای مجازی را که شامل حراست های اداری ، فنی و فیزیکی" است ، مطابق با استانداردها و چارچوب های امنیتی فوق الذکر ، ایجاد ، حفظ و مطابقت دهند. این چیزی بیش از گفتن این است که شما الزامات امنیتی را دنبال می کنید – باید نشان دهید که "در حال پیاده روی هستید".

این مسئله این مسئله را مطرح می کند که پیروی از هر نوع معیار امنیتی چیست. قانون نوشته شده است می گویند ، GDPR ، همانطور که یک بار وکیل مینتز لوین سو فاستر به ما گفته بود ، پیروی از فرآیند و "نشان دادن کار شما" است. به طور خلاصه: تنظیم کننده های GDPR به دلیل داشتن یک برنامه امنیتی ، حفظ آن ، و مستند کردن آنچه می خواهید به شما اعتبار می دهند. به نظر می رسد این همان چیزی است که قانون اوهایو نیاز دارد.

اما GDPR همچنین دارای قانون نامه سیاه است که خواستار تدابیر امنیتی خاص – "محافظت از داده ها با طرح و پیش فرض" و یک سیستم اجرای جداگانه از طریق تنظیم کننده های آنها است. [اوایل اوهایو نیست.]

ما باید صبر کنیم و ببینیم که آیا ایده تردید اوهایو و اینکه طرف های خصوصی اختلافات خود را در دادگاه ها حل می کنند ، شرکت ها را برای بهبود امنیت داده های خود مجبور می کنند.

آینده امنیت داده ها: شناسایی ، محافظت ، نظارت ، پاسخگویی و بازیابی

در هر صورت ، به دلیل مراجعه به چارچوب NIST CIS در قانون خود ، به اوهایو مراجعه می کنید. و "A برای تلاش" برای کالیفرنیا نیز هست. وبلاگ IOS طرفداران رویکرد NIST برای امنیت داده ها است. هرکسی که در استانداردهای مختلف امنیت داده ها گنجانده شده است (بعد از اینکه لیوان بزرگ قهوه را تکه تکه کرده اید) ، احتمالاً سرفه ، شباهت های زیادی بین آنها مشاهده کرده است.

با چارچوب CIS خود ، افراد NIST کار سختی در سازماندهی امنیت انجام داده اند. گروههای انتزاعی تر را کنترل می کند ، که آنها را شناسایی ، محافظت ، کشف ، پاسخ و بازیابی تعریف می کنند. به طور خلاصه ، آنها را به یک استاندارد داده محبوب و یک کنترل خاص اختصاص دهید ، آنها می توانند آن را در یکی از این گروه ها قرار دهند.

مزیت این است که شما در کنترل های بسیار خاص گم نمی شوید و در عوض می توانید تصویر بزرگتری را ببینید. . و همانطور که افراد محلی NIST خاطرنشان کردند ، یک جنبه چرخه ای برای مقولات گسترده آنها وجود دارد: به محض اینکه به یک حادثه پاسخ دادید ، می خواهید به ابتدای کار بازگردید و حفره های امنیتی ما را که منجر به آن حادثه آخر شد ، شناسایی و پلمپ کنید.

در واقع ، من فکر کردم چارچوب NIST CIS چنین پیشرفت بزرگی است ، من یک سری وبلاگ نوشتم که ستایش های آن را خواند. در آن ، من توضیح دادم که چگونه Varonis DatAdvantage می تواند از این پنج دسته پشتیبانی کند ، شما را پیگیری کند ، و به شما کمک کند در دعاوی حقوقی یا دادرسی های احتمالی با تنظیم کننده ها ثابت کنید که کار را انجام می دهید.

چه کسی می داند اما NIST CIS ممکن است به قانون حریم خصوصی داده های فدرال راه یابد. آیا می خواهید یاد بگیرید که چگونه وارونیس می تواند در چارچوب NIST CIS کمک کند؟ کاغذ سفید ما را امروز بارگیری کنید!