ISO 27701 Abordarea preocupărilor legate de „informațiile cu caracter personal identificabil” (PII)

S-a estimat că, în 2018, organizațiile din întreaga lume au pierdut aproximativ 600 de miliarde de dolari în economia globală din cauza crimelor cibernetice. Se estimează că acest număr va depăși 1.000 de miliarde de dolari în pierderi totale în anul 2020. Acest lucru nu este surprinzător, dar este uimitor faptul că jumătate dintre organizații nu au implementat un mecanism de prevenire cibernetică și de răspuns la incidente de la un capăt la altul. Acest lucru este și mai derutant atunci când infracțiunile cibernetice se referă la informații personale.

Cuvântul de ordine în jurul încălcării „informațiilor personale identificabile” (PII) a fost real și periculos. Numai în anul 2020 au avut loc mai mult de zece mari încălcări ale securității datelor, cum ar fi oferirea a peste 267 de milioane de profiluri de Facebook spre vânzare pe site-uri web obscure și forumuri de hackeri, descărcarea a fost oferită pentru 500 de lire sterline (623 de dolari) și nu includea parolele. În octombrie 2020, o încălcare uriașă a securității datelor la furnizorul american de servicii VoiP Broadvoice a expus peste 350 de milioane de înregistrări ale clienților, inclusiv nume, numere de telefon și chiar transcrieri ale apelurilor. Un raport de cercetare realizat de compania de securitate cibernetică Kaspersky Stalkerware este un tip de malware care înregistrează datele introduse într-un dispozitiv și le trimite către
o terță parte care este furnizată programului la instalare. Aceste două exemple demonstrează importanța protejării informațiilor PII în mediul actual și în evoluție al amenințărilor cibernetice.

Definirea informațiilor de identificare personală (PII):

Fiecare organizație ar avea un set de seturi de date care ar putea fi marcate și cartografiate ca fiind sensibile și etichetate drept „date cu caracter personal”. Din perspectiva Uniunii Europene, „informații care pot identifica o persoană prin intermediul unui număr de identificare sau al unor factori specifici identității fizice, fiziologice, mentale, economice, culturale sau sociale”. Conform Institutului Național pentru Standarde și Tehnologie (NIST), următoarele elemente se califică în mod cert drept PII, deoarece pot identifica fără echivoc o ființă umană: numele complet (dacă nu este comun), fața, adresa de domiciliu, adresa de e-mail, numărul de identificare, numărul de pașaport, numărul plăcuței de înmatriculare a vehiculului, permisul de conducere, amprentele digitale sau scrisul de mână, numărul cărții de credit, identitatea digitală, data nașterii, locul nașterii, locul nașterii, informațiile genetice, numărul de telefon, numele de logare sau numele de ecran. Acestea fiind spuse, fiecare țară are o definiție diferențiată pentru informațiile de identificare personală, iar acest lucru reprezintă, în cele din urmă, un factor de risc.

Sistemul de management al securității informațiilor și ISO 27701:

Un sistem de management al securității informațiilor (SMSI) este un set de politici și proceduri pentru gestionarea sistematică a datelor sensibile ale unei organizații. Scopul unui SMSI este de a minimiza riscurile și de a asigura continuitatea activității prin limitarea proactivă a impactului unei breșe de securitate. Un SMSI include o serie de controale ale informațiilor, fără de care informațiile ar rămâne dezorganizate și dezarticulate. Un SMSI este un sistem de procese, documente, tehnologie și oameni care ajută organizațiile să gestioneze, să monitorizeze și să își îmbunătățească securitatea informațiilor într-un singur loc. ISO 27001
este primul standard global de confidențialitate care descrie cele mai bune practici pentru un SMSI și demonstrează importanța și cererea pentru o mai bună protecție a vieții private. Astfel, ISO 27701 ajută la demonstrarea conformității cu reglementările privind confidențialitatea din întreaga lume.

ISO 27701:2019

ISO 27701:2019 este o extensie certificabilă a certificărilor ISO/IEC 27001 și oferă un cadru de conformitate și permite organizațiilor să evalueze, să trateze și să reducă riscurile asociate.
cu privire la colectarea, întreținerea și prelucrarea informațiilor cu caracter personal. Deoarece ISO 27701 face ca organizațiile să fie responsabile și răspunzătoare pentru informațiile de identificare personală (PII) prin furnizarea de cerințe privind gestionarea, prelucrarea și implementarea politicilor de protecție, menținând astfel datele personale în siguranță și securitate.

De ce să implementați ISO 27701:

ISO 27701 este considerat ca fiind un set de standarde de aur pentru conformitatea cu Regulamentul general privind protecția datelor (GDPR). Astfel, orice organizație care implementează ISO 27701 demonstrează în mod natural standardele sale etice de protecție a datelor, pregătite pentru GDPR, clienților, potențialilor clienți, angajaților și nu numai.

Maparea ISO 27701 se poate face și cu alte legi privind confidențialitatea, cum ar fi California Consumer Privacy Act of 2018 (CCPA), Gramm-Leach-Bliley Act (GLBA) și Health Insurance Portability and Accountability Act (HIPAA). Astfel, ISO 27701 poate ajuta organizațiile prin furnizarea unui standard comun pentru demonstrarea conformității cu numeroase regimuri de reglementare.

Organizațiile care doresc să sporească colaborarea între echipele lor de confidențialitate și securitate
beneficiază de implementarea ISO 27701. În mod fundamental, implementarea ISO 27701 în cadrul unei organizații creează încredere, oferă transparență angajaților și părților interesate, prezintă o linie directoare clară a rolurilor și responsabilităților și, prin urmare, sprijină în mod inerent conformitatea și reduce complexitatea operațiunilor.

Beneficiile implementării unui sistem ISO 27701:

Confidențialitatea și protecția datelor ocupă un loc important pe agenda tuturor părților interesate. Certificarea ISO 27701 acordată de un organism de certificare terță parte de renume este o ștampilă independentă și imparțială.
de aprobare care demonstrează conformitatea și care oferă un avantaj competitiv unei organizații și clienților săi în ceea ce privește procesele și controalele adecvate de protejare a informațiilor cu caracter personal. Utilizarea ISO 27701 de către o organizație certificată arată că se acordă o atenție și o importanță deosebită gestionării confidențialității. Aceasta arată părților interesate că au fost luate măsuri pentru a asigura conformitatea cu legile și reglementările aplicabile.

Mandatul GDPR de a integra protecția datelor în proiect este o cerință legală pentru toate organizațiile care gestionează date personale sensibile. ISO 27701 este un cadru bazat pe dovezi care oferă îndrumări și asigură conformitatea cu cerințele GDPR privind protecția datelor. În plus, îmbunătățirea continuă se află în centrul ISO 27701. Sistemele implementate în conformitate cu ISO 27701 pot oferi dovezi că activitățile de prelucrare ale unei organizații sunt conforme cu GDPR. ISO 27701 aduce, de asemenea, o valoare adăugată prin capacitatea sa de a oferi unei organizații o perspectivă asupra modului în care abordează și gestionează confidențialitatea.

Calea de urmat pentru ISO 27701:

Protecția datelor se află în centrul standardului ISO 27701 și, prin urmare, în esență, acesta impune menținerea securității datelor în toate etapele de colectare, prelucrare, diseminare, utilizare, stocare și eliminare a acestora.

în condiții de siguranță și securitate. Astfel, ISO 27701 trebuie implementat în toate etapele ciclului de viață al datelor în cadrul unei organizații, iar legarea cerințelor ISO 27701 de fiecare nivel al ciclului de viață al datelor va ajuta organizațiile să gestioneze mai bine riscurile și să implementeze controale mai bune ale confidențialității în conformitate cu cadrul.

Organizațiile ar putea începe de la bun început să proiecteze mai bine o aplicație sau un set de instrumente care să permită protecția confidențialității și să corespundă liniilor directoare ale GDPR, odată ce vor avea mandatul de a implementa cadrul ISO 27701. ISO 27701 ajută organizațiile să determine elementele esențiale pe care un proiectant sau un programator trebuie să le ia în considerare atunci când utilizează datele sau lucrează cu aplicații care solicită orice formă de date PII. Punerea în aplicare a ISO 27701 ar ajuta organizațiile să demonstreze indivizilor și furnizorilor externi de servicii, cum ar fi furnizorii de cloud computing, cerința de a pune în aplicare standardele în conformitate cu ISO 27701.

Cadrul ISO 27701 oferă un limbaj standard care este ușor de comunicat și prezintă cerințele minime de confidențialitate PII tuturor părților interesate și celor care utilizează setul său de date ca parte a oricărui ecosistem de prelucrare a datelor, ajutând astfel o organizație să efectueze cu ușurință audituri de date, exerciții de securitate a datelor, de gestionare a riscurilor legate de date și de evaluare. Astfel, toate funcțiile și domeniile dintr-o organizație ar trebui să fie în conformitate și să adere la contractul formal de protecție și susținere a „informațiilor personale identificabile” – PII.

Pe măsură ce organizațiile se străduiesc să protejeze și să securizeze datele PII și lucrează agresiv pentru protecția datelor, ISO 27701 oferă un cadru structurat și ajută la reducerea riscurilor și a complexității. ISO 27701 prezintă un cadru de bună guvernanță și de gestionare a informațiilor PII și ajută la verificare în fiecare etapă a oricărui audit. Pe măsură ce mediul și contextul spațiului cibernetic global evoluează, organizațiile trebuie să identifice și să clasifice datele PII, permițând astfel optimizarea evaluărilor de risc, efectuarea de corecții și atenuarea amenințărilor ca urmare a oricărui incident cibernetic.

2023-03-12

OCTACSIRT

Guvernanță, risc și conformitate

CISO ca serviciu

DPO ca serviciu

Audituri și consultanță privind conformitatea securității

Servicii de testare a penetrării

SOC ca serviciu

Servicii de conformitate cu Directiva NIS2

Consultanță în domeniul combaterii mitei și corupției

Securitatea IoT

SIEM, NDR și securitate unificată

Securitate Endpoint

Securitate și protecție cibernetică

Gestionarea vulnerabilităților și a patch-urilor

Securitate mobilă

Soluții de gestionare a accesului și gestionarea parolelor

Criptare

Sistem de detectare a intruziunilor (IDS)

Back-up/ continuitatea activității și recuperarea în caz de dezastru

Clasificarea datelor, audit și DLP

Instruire în domeniul securității informațiilor ISO/IEC 27001

Cursuri de formare și certificare ISO/IEC 27002

Cursuri de formare în domeniul securității cibernetice ISO/IEC 27032

Hacking etic - Cursuri de instruire Certificare

ISO 31000 Managementul riscului - Curs de formare și certificare

ISO 22316 Formări în domeniul rezilienței organizaționale

ISO 37001 Anti-mită - Curs de formare profesională Certificare

Curs de sistem de management al conformității ISO 37301

Cursuri de formare privind sistemul de management al continuității activității ISO 22301

Formări de recuperare în caz de dezastru

Cursuri de formare și certificare ISO/IEC 27701

GDPR - Formare și certificare pentru Regulamentul privind protecția datelor

ISO 9001 Managementul calității Formări în domeniul managementului calității

ISO/IEC 20000 - Cursuri de formare și certificare

INSTRUIRI DE CONȘTIENTIZARE A SECURITĂȚII

TRAININGURI PERSONALIZATE

Consolidarea securității digitale cu ISO/IEC 27032

ISO/IEC 27005 Managementul riscurilor în domeniul securității informațiilor - Training