محرمانگی اطلاعات و آیین نامههای تدوین شده در جهان

اگر چه صنعت بهداشت و درمان (سلامت) این روزها به دلیل شیوع و همه گیری بیماری کرونا، یکی از اهداف سطح بالا برای مجرمان سایبری به شمار می رود اما تنها این صنعت مهم هدف حملات مجرمانه نیست. شرکتهای بیمه، بانک ها و مؤسسههای مالی – اعتباری، دانشگاهها و مدارس، رسانههای اجتماعی و شرکتهای تجارت آنلاین همگی در معرض خطر قرار داشته و از این رو آیین نامههایی دارند که باید به آنها پایبند باشند.
در واقع، اگر شرکت یا سازمانی به اطلاعات شناسایی اشخاص یا به اختصار PII دسترسی داشته باشد، مطمئن باشید دستورالعمل یا آیین نامه استانداردی در خصوص کار با این اطلاعات دارد که میبایست از آن پیروی کامل کند. در ادامه این مطلب، به چند مورد از مهمترین آییننامههای تدوین شده برای حفظ امنیت داده های کاربران در سراسر جهان اشاره شده است.
HIPAA (ایالات متحده آمریکا)
محتوای این لایحه که در سال 1375 به صورت قانون درآمده، بدین صورت است که: قانون قابلیت انتقال و پاسخگویی بیمه سلامت، ایجاد شده است تا مطمئن شوید اطلاعات پزشکی، محرمانه و مخفی نگهداشته میشوند و تنها برای مقاصد مشخص و تعیین شده مورد استفاده قرار خواهند گرفت. این قانون به این معنا است که اطلاعات پزشکی که HIPAA آن را با عنوان اطلاعات سلامت محافظت شده (PHI) نامگذاری کرده است تنها میتوانند جمعآوری و به اشتراک گذاشته شده، ذخیره شوند و تنها در صورت داشتن دلایل معتبر و قانونی، مورد استفاده قرار گیرند. بنابراین محافظت از آنها باید به بهترین شکل ممکن صورت پذیرد.
FERPA (ایالات متحده آمریکا)
این آیین نامه که گاهی آن را به اختصار بیانیه حریم خصوصی یا «اصلاح باکلی» نیز میخوانند از خانواده بیانیه حقوق تحصیلی و حریم خصوصی محسوب می شود. این آیین نامه، مربوط به حفظ حریم خصوصی و امنیت دادههای آموزشی مشخصی بوده و مشخصاً برای دانش آموزان، دانش آموزان سابق، دانش آموزان مستمع آزاد و سایرین در خصوص دادههای شناسایی تحصیلی شخصی، حق حفظ حریم خصوصی را قائل میشود.
GDPR (اروپا)
اجرای رسمی مقررات و آیین نامه حفاظت از دادههای عمومی، در 4 خرداد 1397 (25 می 2018 میلادی) انجام شد و جایگزینی برای دستورالعمل حفاظت از داده اتحادیه اروپا به شمار می آید. هدف این آیین نامه، گسترش مقررات حریم خصوصی دادههای مربوط به شهرواندن اروپا به کشورهای خارجی و تحت قانون درآوردن محافظت داده در کل اتحادیه اروپا بوده است. این آیین نامه به تمامی سازمانهایی که به نوعی با پردازش یا کنترل دادههای شهروندان اتحادیه اروپا سروکار دارند اعمال میشود فارغ از آنکه آن سازمان، در کجای کره زمین هم واقع شده باشد.
PIPEDA (کانادا)
لایحه محافظت از اطلاعات شخصی و اسناد الکترونیک، در اردیبهشت ماه 1379 در کانادا به صورت قانون در آمد. PIPEDA مانند GDPR برای افزایش اعتماد مشتریان نسبت به تجارت های آنلاین و همچنین کسب رضایت اتحادیه اروپا در خصوص حفظ دادههای شهروندان اروپایی مقیم کانادا وضع شده است.
قانون امنیت سایبری (چین)
قانون امنیت سایبری چین در آذرماه 1395 توسط کنگره ملی خلق این کشور ایجاد و در تیرماه 1396 جهت اجرا ابلاغ شد. این قانون، امنیت داده را در دومین کشور قطب اقتصادی جهان به شکل چشمگیری ارتقا داده است.
چین تا پیش از ابلاغ این قانون، قوانین و آییننامههای مختلفی داشت. قانون امنیت سایبری، نحوه جمعآوری دادههای شخصی، ذخیرهسازی و انتقال آنها را مشخص کرده و حقوق اشخاصی که دادههای شان را در معرض دسترسی قرار دادهاند، گسترش میدهد. این قانون همچنین فرایندهای محکمتری را برای محافظت از زیرساخت اطلاعات حیاتی نظیر انرژی، اطلاعات مالی، اطلاعات حملونقلی و حفاظت از منابع آبی ایجاد میکند.
APPI (ژاپن)
لایحه محافظت از اطلاعات شخصی ژاپن یا APPI، یکی از باسابقهترین قوانین در قاره آسیا محسوب میشود که پیدایش آن به سال 1382 برمیگردد. در سال 1395، ژاپن کمیتهای را برای محافظت از اطلاعات شخصی تعیین کرد تا بر روی APPI نظارت داشته و اصلاحاتی را در آن به وجود آورند. هدف از تشکیل این کمیته، تطبیق قانون حفاظت از داده ژاپن بر اساس نیازهای روز بود.
یکی از بزرگترین تغییرات ایجاد شده در این قانون، معرفی محدودیتهای انتقال داده به آن سوی مرزهای این کشور است. بر اساس این قانون، اپراتورهای تجاری اجازه ندارند اطلاعات شخصی مشترکان شان را به کشورهای خارجی ارسال کنند مگر آن که خود شخص، در ابتدا رضایتش را اعلام کرده باشد و کشور دریافتکننده داده نیز باید حفاظت کافی را در این خصوص اعمال کرده باشد.
سایر کشورهای جهان چه کرده اند؟
برخی کشورها نسبت به سایرین، قوانین سختگیرانهتری دارند. برای مثال ونزوئلا قوانین محدودتری برای محافظت از PII دارد در حالی که آرژانتین و استرالیا آییننامههای سخت و محکمی را در این خصوص وضع کردهاند.
NIST (مؤسسه ملی استاندارد و فناوری آمریکا) را فراموش نکنید.
مؤسسه ملی استاندارد و فناوری آمریکا که در ابتدا برای حفاظت از زیرساختهای حیاتی ایجاد شده بود، چارچوبی را برای بهبود امنیت سایبری ایجاد کرده است که اکنون با عنوان “NIST CSF” شناخته میشود.
در بخش اصلی NIST CSF، پنج عملکرد و در هر عملکرد، 22 دستهبندی وجود دارد که یک نقشه راه کلی برای سازمانها محسوب میشود تا بتوانند از کنترل های امنیتی آن پیروی کرده و سطح حفاظتی شان را در برابر تهدیدهای سایبری مستحکم تر کنند. NIST CSF را می توان به عنوان یک زبان مشترک در نظر گرفت که فارغ از اندازه؛ هر سازمانی از بالاترین سطح گرفته تا پایین ترین سطوح، قادر به درک آن است. به جای آن که مجبور باشید خودتان را با آن انطباق دهید، این استراتژی در واقع راهبردی است که شما میتوانید آن را بر اساس نیازهای سازمانی خودتان تغییر داده و آن را به برنامههای جاری امنیتی تان اعمال کنید؛ یا از آن حتی برای ایجاد یک برنامه امنیتی از پایه نیز استفاده کنید.
با وجود اینکه این آییننامه، یک آییننامه رسمی یا انطباق الزامی نیست (در واقع کاملاً اختیاری و داوطلبانه است)، استفاده از آن مزایای شگرفی را برای کلیه سازمانها با هر ساختار و اندازهای به وجود خواهد آورد.
چرا بهروز رسانی دانش و افزایش آگاهی امنیتی برای سازمان شما اهمیت دارد؟
سازمانها با هر اندازه ای و در هر صنعتی که باشند، همواره مورد هدف حملات سایبری قرار دارند. در نتیجه دارای مسئولیتهای دو وجهی هستند که عبارتند از: این که بدانند کدام آییننامه را باید اجرا کنند و نیز مطمئن شوند که کاربران نهایی، از مفاد این آییننامهها آگاه بوده و آنها را به خوبی اجرا می کنند. با این حال، بررسی انطباق به تنهایی کافی نیست. سازمانها باید به کارکنانشان آموزش دهند که چرا امنیت یک موضوع مهم است و چگونه میتواند بر جنبههای شخصی و حرفهای آنها تأثیرگذار باشد. با ایجاد برنامه آموزش آگاهبخشی امنیت سایبری (فراست)، احتمال این که کارمندانتان اهمیت محافظت از داده ها را درک کنند، بیشتر شده و احتمال رخ دادن هر گونه رخنه امنیتی در دادهها هم کمتر خواهد شد.