Для справки: Организация «Аккредитованный комитет по стандартизации X9 «Стандарты финансовой отрасли» (Financial Industry Standards)»» - известная также как «комитет X9» – является лидером в разработке национальных и международных стандартов для отрасли финансовых услуг. Комитет X9 также организует работу технического комитета ИСО TC68, публикующего стандарты для глобальной индустрии финансовых услуг.
Новый стандарт - важная веха в усилиях по защите уязвимой информации.
«Аккредитованный комитет по стандартизации X9» (Accredited Standards Committee X9 Inc., X9, https://x9.org/ ) опубликовал новый национальный стандарт США ANSI X9.141-2021 «Защита финансовых и персональных данных и извещения об утечках» (Financial and Personal Data Protection and Breach Notification).
Мой комментарий: о разработке этого документа см. пост на моём блоге здесь: http://rusrim.blogspot.com/2018/02/x9.html
Стандарт X9.141 - это состоящий из двух частей документ, в котором рассматривается как то, что происходит «до» защиты персональных данных, так и «после» уведомления об утечке. Существенно то, что стандарт дополняет и расширяет важные руководства Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) и охватывает все виды чувствительных данных, как финансовых, так и нефинансовых.
Обе части документа можно приобрести (как по отдельности, так и вместе) по адресу https://webstore.ansi.org/Search/Find?in=1&st=x9.141 (цена двух частей составляет 160 долларов – Н.Х.)
Нарушения безопасности данных продолжают подвергать риску как миллионы потребителей, так и коммерческие организации, их сотрудников и другие заинтересованные стороны. Защита внутренней деловой информации и информации о потребителях - это общая ответственность всех вовлечённых сторон, включая поставщиков унаследованных и облачных услуг; организации, которые хранят, передают или обрабатывают чувствительную информацию; финансовые учреждения; сотрудников коммерческих организаций и отдельных потребителей.
Новый стандарт четко определяет требования к защите персональных данных и к уведомлению об утечках для отрасли финансовых услуг. Он применим в любых организациях любой отрасли, которые обрабатывают чувствительную персональную информацию, - и его внедрение станет основательным шагом на пути к созданию надёжной защиты как от изощренных киберпреступников, так и от обычных похитителей данных.
«Ключевой особенностью стандарта X9.141 является то, что он согласуется с мерами и средствами обеспечения информационной безопасности в деловой деятельности, содержащимися в концепциях Национального института стандартов и технологий (NIST) обеспечения кибербезопасности и неприкосновенности частной жизни», - говорит исполнительный директор X9 Стив Стивенс (Steve Stevens). «Это значительно облегчает усилия организации по обеспечению исполнения законодательно-нормативных требований. Вместе с документами NIST, стандарт X9.141 указывает коммерческим организациям чёткий путь, по которому им следует идти при удовлетворении своих потребностей в защите персональных данных».
Первая часть стандарта X9.141-1:2021 «Часть 1: Защита данных» (Data Protection) содержит требования и рекомендации по защите персональных данных в сфере финансовых услуг. Она основана на специальной публикации NIST, выбранной из соображений обеспечения совместимости с преобладающими подходами к оценке безопасности и защиты неприкосновенности частной жизни, используемыми в других отраслях. Документ также ссылается на некоторые другие стандарты NIST, Международной организации по стандартизации (ИСО) и Комитета X9.
Вторая часть стандарта X9.141-2:2021«Часть 2: Уведомления об утечках» (Breach Notification) основывается на части 1 и учитывает федеральные законы США и законы штатов, касающиеся обеспечения неприкосновенности частной жизни. В этом документе предлагается последовательный процесс уведомления об утечках с целью защиты и информирования потребителей и других заинтересованных сторон по всей стране, включая требования и всесторонние рекомендации.
«Основные отраслевые группы уже в течении ряда лет признавали очевидную потребность в стандарте защиты персональных данных и уведомления об утечках. В 2017 году в совместном письме Конгрессу (см. https://www.aba.com/-/media/documents/letters-to-congress-and-regulators/joint-financial-services-trades-supporting-strong-data-security-legislation-110117.pdf?rev=fc2ade466a8b44799525576cbdf3e66d ) семь организаций призвали к созданию единого строгого национального стандарта для всех персональных данных, как финансового, так и нефинансового характера, чтобы устранить текущее противоречивое лоскутное одеяло законов. Стандарт X9.141 - это реализация данной цели», - отмечает Алан Тиманн (Alan Thiemann), адвокат и партнер компании Han Santos, PLLC и главный юрисконсульт компании Conexxus.
Тиманн далее говорит: «Крайне важно, чтобы коммерческие организации, будь то финансовые учреждения или любые другие отраслевые субъекты, имели возможность сконцентрировать свои ресурсы по обеспечению соответствия законодательно-нормативным требованиям на едином унифицированном стандарте защиты всех персональных данных, от данных о потребителях / платежах и до персональных данных сотрудников, претендентов на рабочие места, продавцов или поставщиков».
Источник: сайт комитета X9
https://x9.org/asc-x9-issues-new-data-protection-and-breach-notification-standard/
Комментариев нет:
Отправить комментарий