محرمانگی اطلاعات و آیین نامه‌های تدوین شده در جهان

اگر چه صنعت بهداشت و درمان (سلامت) این روزها به دلیل شیوع و همه گیری بیماری کرونا، یکی از اهداف سطح بالا برای مجرمان سایبری به شمار می رود اما تنها این صنعت مهم هدف حملات مجرمانه نیست. شرکت‌های بیمه، بانک ها و مؤسسه‌های مالی – اعتباری، دانشگاه‌ها و مدارس، رسانه‌های اجتماعی و شرکت‌های تجارت آنلاین همگی در معرض خطر قرار داشته و از این رو آیین نامه‌هایی دارند که باید به آنها پایبند باشند.

در واقع، اگر شرکت یا سازمانی به اطلاعات شناسایی اشخاص یا به اختصار PII دسترسی داشته باشد، مطمئن باشید دستورالعمل یا آیین نامه استانداردی در خصوص کار با این اطلاعات دارد که می‌بایست از آن پیروی کامل کند. در ادامه این مطلب، به چند مورد از مهمترین آیین‌نامه‌های تدوین شده برای حفظ امنیت داده های کاربران در سراسر جهان اشاره شده است.

HIPAA (ایالات متحده آمریکا)

محتوای این لایحه که در سال 1375 به صورت قانون درآمده، بدین صورت است که: قانون قابلیت انتقال و پاسخگویی بیمه سلامت، ایجاد شده است تا مطمئن شوید اطلاعات پزشکی، محرمانه و مخفی نگهداشته می‌شوند و تنها برای مقاصد مشخص و تعیین شده مورد استفاده قرار خواهند گرفت. این قانون به این معنا است که اطلاعات پزشکی‌ که HIPAA آن را با عنوان اطلاعات سلامت محافظت شده (PHI) نامگذاری کرده است تنها می‌توانند جمع‌آوری و به اشتراک گذاشته شده، ذخیره شوند و تنها در صورت داشتن دلایل معتبر و قانونی، مورد استفاده قرار گیرند. بنابراین محافظت از آنها باید به بهترین شکل ممکن صورت پذیرد.

FERPA (ایالات متحده آمریکا)

این آیین نامه که گاهی آن را به اختصار بیانیه حریم خصوصی یا «اصلاح باکلی» نیز می‌خوانند از خانواده بیانیه حقوق تحصیلی و حریم خصوصی محسوب می شود. این آیین نامه، مربوط به حفظ حریم خصوصی و امنیت داده‌های آموزشی مشخصی بوده و مشخصاً برای دانش آموزان، دانش آموزان سابق، دانش آموزان مستمع آزاد و سایرین در خصوص داده‌های شناسایی تحصیلی شخصی، حق حفظ حریم خصوصی را قائل می‌شود.

GDPR (اروپا)

اجرای رسمی مقررات و آیین نامه حفاظت از داده‌های عمومی، در 4 خرداد 1397 (25 می 2018 میلادی) انجام شد و جایگزینی برای دستورالعمل حفاظت از داده اتحادیه اروپا به شمار می آید. هدف این آیین نامه، گسترش مقررات حریم خصوصی داد‌ه‌های مربوط به شهرواندن اروپا به کشورهای خارجی و تحت قانون درآوردن محافظت داده در کل اتحادیه اروپا بوده است. این آیین نامه به تمامی سازمان‌هایی که به نوعی با پردازش یا کنترل داده‌های شهروندان اتحادیه اروپا سروکار دارند اعمال می‌شود فارغ از آنکه آن سازمان، در کجای کره زمین هم واقع شده باشد.

PIPEDA ‌(کانادا)

لایحه محافظت از اطلاعات شخصی و اسناد الکترونیک، در اردیبهشت ماه 1379 در کانادا به صورت قانون در آمد. PIPEDA ‌مانند GDPR برای افزایش اعتماد مشتریان نسبت به تجارت های آنلاین و همچنین کسب رضایت اتحادیه اروپا در خصوص حفظ داده‌های شهروندان اروپایی مقیم کانادا وضع شده است.

قانون امنیت سایبری (چین)

قانون امنیت سایبری چین در آذرماه 1395 توسط کنگره ملی خلق این کشور ایجاد و در تیرماه 1396 جهت اجرا ابلاغ شد. این قانون، امنیت داده را در دومین کشور قطب اقتصادی جهان به شکل چشمگیری ارتقا داده است.

چین تا پیش از ابلاغ این قانون، قوانین و آیین‌نامه‌های مختلفی داشت. قانون امنیت سایبری، نحوه جمع‌آوری داده‌های شخصی، ذخیره‌سازی و انتقال آنها را مشخص کرده و حقوق اشخاصی که داده‌های شان را در معرض دسترسی قرار داده‌اند، گسترش می‌دهد. این قانون همچنین فرایند‌های محکم‌تری را برای محافظت از زیرساخت اطلاعات حیاتی نظیر انرژی، اطلاعات مالی، اطلاعات حمل‌ونقلی و حفاظت از منابع آبی ایجاد می‌کند.

APPI (ژاپن)

لایحه محافظت از اطلاعات شخصی ژاپن یا APPI،‌ یکی از باسابقه‌ترین قوانین در قاره آسیا محسوب می‌شود که پیدایش آن به سال 1382 برمی‌گردد. در سال 1395، ژاپن کمیته‌ای را برای محافظت از اطلاعات شخصی تعیین کرد تا بر روی APPI ‌نظارت داشته و اصلاحاتی را در آن به وجود آورند. هدف از تشکیل این کمیته، تطبیق قانون حفاظت از داده ژاپن بر اساس نیازهای روز بود.

یکی از بزرگترین تغییرات ایجاد شده در این قانون، معرفی محدودیت‌های انتقال داده به آن سوی مرزهای این کشور است. بر اساس این قانون، اپراتورهای تجاری اجازه ندارند اطلاعات شخصی مشترکان شان را به کشورهای خارجی ارسال کنند مگر آن که خود شخص، در ابتدا رضایتش را اعلام کرده باشد و کشور دریافت‌کننده داده نیز باید حفاظت کافی را در این خصوص اعمال کرده باشد.

سایر کشورهای جهان چه کرده اند؟

برخی کشورها نسبت به سایرین، قوانین سختگیرانه‌تری دارند. برای مثال ونزوئلا قوانین محدودتری برای محافظت از PII ‌ دارد در حالی که آرژانتین و استرالیا آیین‌نامه‌های سخت و محکمی را در این خصوص وضع کرده‌اند.

NIST ‌(مؤسسه ملی استاندارد و فناوری آمریکا) را فراموش نکنید.

مؤسسه ملی استاندارد و فناوری آمریکا که در ابتدا برای حفاظت از زیرساخت‌های حیاتی ایجاد شده بود، چارچوبی را برای بهبود امنیت سایبری ایجاد کرده است که اکنون با عنوان “NIST CSF”‌ شناخته می‌شود.

در بخش اصلی NIST CSF، ‌پنج عملکرد و در هر عملکرد، 22 دسته‌بندی وجود دارد که یک نقشه راه کلی برای سازمان‌ها محسوب می‌شود تا بتوانند از کنترل های امنیتی آن پیروی کرده و سطح حفاظتی شان را در برابر تهدیدهای سایبری مستحکم تر کنند. NIST CSF ‌را می توان به عنوان یک زبان مشترک در نظر گرفت که فارغ از اندازه؛ هر سازمانی از بالاترین سطح گرفته تا پایین ترین سطوح، قادر به درک آن است. به جای آن که مجبور باشید خودتان را با آن انطباق دهید، این استراتژی در واقع راهبردی است که شما می‌توانید آن را بر اساس نیاز‌های سازمانی خودتان تغییر داده و آن را به برنامه‌های جاری امنیتی تان اعمال کنید؛ یا از آن حتی برای ایجاد یک برنامه امنیتی از پایه نیز استفاده کنید.

با وجود اینکه این آیین‌نامه، یک آیین‌نامه رسمی یا انطباق الزامی نیست (در واقع کاملاً اختیاری و داوطلبانه است)، استفاده از آن مزایای شگرفی را برای کلیه سازمان‌ها با هر ساختار و اندازه‌ای به وجود خواهد آورد.

چرا به‌روز رسانی دانش و افزایش آگاهی امنیتی برای سازمان شما اهمیت دارد؟

سازمان‌ها با هر اندازه ای و در هر صنعتی که باشند، همواره مورد هدف حملات سایبری قرار دارند. در نتیجه دارای مسئولیت‌های دو وجهی‌ هستند که عبارتند از: این که بدانند کدام آیین‌نامه را باید اجرا کنند و نیز مطمئن شوند که کاربران نهایی، از مفاد این آیین‌نامه‌ها آگاه بوده و آنها را به خوبی اجرا می کنند. با این حال، بررسی انطباق به تنهایی کافی نیست. سازمان‌ها باید به کارکنان‌شان آموزش دهند که چرا امنیت یک موضوع مهم است و چگونه می‌تواند بر جنبه‌های شخصی و حرفه‌ای آنها تأثیرگذار باشد. با ایجاد برنامه آموزش آگاه‌بخشی امنیت سایبری (فراست)، احتمال این که کارمندان‌تان اهمیت محافظت از داده ها را درک کنند، بیشتر شده و احتمال رخ دادن هر گونه رخنه امنیتی در داده‌ها هم کمتر خواهد شد.