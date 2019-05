L’obiettivo principale della sicurezza delle informazioni è la protezione equilibrata della riservatezza, dell’integrità e della disponibilità dei dati (nota anche come triade della CIA), pur mantenendo l’attenzione sull’attuazione efficiente delle politiche, il tutto senza ostacolare la produttività dell’organizzazione. Questo è in gran parte raggiunto attraverso un processo di gestione del rischio in più fasi che identifica risorse, fonti di minaccia, vulnerabilità, potenziali impatti e possibili controlli, seguito dalla valutazione dell’efficacia del piano di gestione del rischio.

Per standardizzare questa disciplina, accademici e professionisti collaborano e cercano di impostare orientamenti di base, politiche e standard di settore su password , software antivirus , firewall , software di crittografia , responsabilità legale e standard di formazione utente / amministratore.

Questa standardizzazione può essere ulteriormente guidata da un’ampia varietà di leggi e regolamenti che influenzano il modo in cui i dati sono consultati, elaborati, archiviati e trasferiti. Tuttavia, l’implementazione di qualsiasi standard e guida all’interno di un’entità può avere un effetto limitato se non viene adottata una cultura del miglioramento continuo.

Di seguito è riportato un elenco parziale delle leggi e dei regolamenti governativi in ​​varie parti del mondo che hanno, hanno avuto o avranno un effetto significativo sull’elaborazione dei dati e sulla sicurezza delle informazioni. Importanti normative settoriali sono state incluse anche quando hanno un impatto significativo sulla sicurezza delle informazioni.

La legge britannica sulla protezione dei dati del 1998 contiene nuove disposizioni per la regolamentazione del trattamento delle informazioni relative alle persone fisiche, tra cui l’ottenimento, la detenzione, l’uso o la divulgazione di tali informazioni. La direttiva sulla protezione dei dati dell’Unione europea (EUDPD) richiede che tutti i membri dell’UE adottino regolamenti nazionali per standardizzare la protezione della privacy dei dati per i cittadini in tutta l’UE

The Computer Misuse Act 1990 è un atto del Parlamento del Regno Unito che ha commesso un reato informatico (ad es. Hacking). L’atto è diventato un modello su cui diversi altri paesi, tra cui il Canada e la Repubblica d’Irlanda , hanno tratto ispirazione da quando hanno successivamente redatto le proprie leggi sulla sicurezza delle informazioni.

La direttiva UE sulla conservazione dei dati (annullata) richiedeva ai fornitori di servizi Internet e alle compagnie telefoniche di conservare i dati su tutti i messaggi elettronici inviati e le telefonate effettuate tra sei mesi e due anni.

La legge sui diritti e la privacy per la famiglia (FERPA) ( 20 USC § 1232 g, 34 CFR, parte 99) è una legge federale statunitense che protegge la privacy dei registri scolastici degli studenti. La legge si applica a tutte le scuole che ricevono fondi nell’ambito di un programma applicabile del Dipartimento dell’Istruzione degli Stati Uniti. Generalmente, le scuole devono avere il permesso scritto del genitore o dello studente idoneo al fine di rilasciare qualsiasi informazione dal curriculum scolastico di uno studente.

Le linee guida per la sicurezza degli auditor del Federal Financial Institutions Examination Council (FFIEC) specificano i requisiti per la sicurezza bancaria online.

L’ HIPAA ( Health Insurance Portability and Accountability Act ) del 1996 richiede l’adozione di standard nazionali per le transazioni di assistenza sanitaria elettronica e gli identificatori nazionali per i fornitori, i piani di assicurazione sanitaria ei datori di lavoro. Inoltre, richiede agli operatori sanitari, ai fornitori di assicurazioni e ai datori di lavoro di salvaguardare la sicurezza e la privacy dei dati sanitari.

Il Gramm-Leach-Bliley Act del 1999 (GLBA), noto anche come Financial Services Modernization Act del 1999, protegge la privacy e la sicurezza delle informazioni finanziarie private che le istituzioni finanziarie raccolgono, conservano e trattano.

L’articolo 404 del Sarbanes-Oxley Act del 2002 (SOX) richiede alle società quotate in borsa di valutare l’efficacia dei loro controlli interni per la rendicontazione finanziaria nelle relazioni annuali che presentano alla fine di ogni anno fiscale. I Chief Information Officer sono responsabili della sicurezza, dell’accuratezza e dell’affidabilità dei sistemi che gestiscono e riportano i dati finanziari. L’atto richiede inoltre che le società quotate in borsa intervengano con auditor indipendenti che devono attestare e riferire sulla validità delle loro valutazioni.

Lo standard PCI DSS (Payment Data Industry Data Security Standard) stabilisce requisiti completi per migliorare la sicurezza dei dati dell’account di pagamento. È stato sviluppato dai marchi di pagamento fondatori del PCI Security Standards Council – tra cui American Express , Discover Financial Services , JCB, MasterCard Worldwide e Visa International – per contribuire a facilitare l’ampia adozione di misure coerenti di sicurezza dei dati su base globale. PCI DSS è uno standard di sicurezza multiforme che include i requisiti per la gestione della sicurezza, le politiche, le procedure, l’architettura di rete , la progettazione del software e altre misure di protezione critiche.

Le leggi sulla notifica di violazione della sicurezza dello stato (California e molti altri) richiedono alle imprese, al non profit e alle istituzioni statali di informare i consumatori quando “informazioni personali” non crittografate possono essere state compromesse, perse o rubate.

La legge sulla protezione dei dati personali e sull’elettronica ( PIPEDA ) del Canada sostiene e promuove il commercio elettronico proteggendo le informazioni personali raccolte, utilizzate o divulgate in determinate circostanze, prevedendo l’uso di mezzi elettronici per comunicare o registrare informazioni o transazioni e che modifica la Canada Evidence Act , la legge sugli strumenti statutari e la legge sulla revisione dello statuto.

L’Autorità ellenica per la sicurezza e la privacy delle comunicazioni (ADAE) (legge 165/2011) stabilisce e descrive i controlli minimi sulla sicurezza delle informazioni che dovrebbero essere utilizzati da tutte le società che forniscono reti e / o servizi di comunicazione elettronica in Grecia al fine di tutelare la riservatezza dei clienti . Questi includono controlli sia manageriali sia tecnici (ad esempio, i registri devono essere conservati per due anni).

L’Autorità ellenica per la sicurezza e la privacy delle comunicazioni (ADAE) della Grecia (legge 205/2013) si concentra sulla protezione dell’integrità e della disponibilità dei servizi e dei dati offerti dalle società di telecomunicazioni greche.

La legge costringe queste e altre società collegate a costruire, implementare e testare piani di business continuity appropriati e infrastrutture ridondanti.

