Acasă » Conformitate Regulatorie și Standard

Conformitatea cu reglementările și standardele

ianuarie 27, 2023 - Alessandro Mirani

Inteligența artificială, realitatea virtuală, plățile fără numerar, internetul obiectelor și multe alte ramuri ale tehnologiei informației se dezvoltă zilnic.


Odată cu creșterea și expansiunea lor, apar noi vectori de amenințare și vulnerabilități în peisajul cibernetic. În raportul său despre tendințele în materie de securitate cibernetică din 2022, Forumul Economic Mondial a declarat că „pe măsură ce digitalizarea continuă să se răspândească și noi tehnologii sunt introduse, riscurile cibernetice vor crește inevitabil”. De asemenea, au remarcat prin sondajele lor că „deși actorii din sectorul public și privat […] sunt hotărâți să obțină un nivel mai mare de reziliență cibernetică, eforturile lor sunt adesea împiedicate de diverse […] bariere de reglementare”.

Înțelegerea cerințelor de reglementare poate fi, de fapt, un obstacol major pentru companii, în special pentru cele care doresc să se extindă la nivel internațional. În articolele următoare, vom oferi o imagine de ansamblu asupra modului de abordare a reglementărilor privind securitatea cibernetică, care sunt cele mai frecvente și cum să le abordăm.

II. Regulamente și standarde

În 2005, Uniunea Internațională a Telecomunicațiilor a realizat un studiu privind inițiativele de securitate cibernetică la nivel național în 14 economii mondiale majore și în aproape 30 de industrii. Aceștia au estimat că peste 174 de inițiative, care ar fi putut conduce la viitoare politici, erau active. În prezent, pe baza numărului de reglementări și standarde prezente la nivel mondial, este probabil ca numărul minim de politici de securitate cibernetică aplicate la nivel mondial să fie de ordinul miilor.

Cu toate acestea, este important să se înțeleagă diferența dintre regulamente și standarde, deoarece organizațiile pot fi obligate să respecte unul sau ambele. Un regulament de securitate cibernetică este o regulă (sau un set de reguli) obligatorie din punct de vedere juridic pe care o organizație trebuie să o respecte. Conformarea cu aceste reglementări este obligatorie, iar organizațiile care nu se conformează se pot confrunta cu sancțiuni precum amenzi sau acțiuni în justiție din partea organismelor guvernamentale.

Pe de altă parte, un standard de securitate cibernetică este un set de orientări sau de bune practici pe care o organizație le poate urma pentru a-și îmbunătăți securitatea cibernetică. Conformarea cu aceste standarde este voluntară, dar respectarea lor poate ajuta organizațiile să demonstreze clienților, partenerilor și autorităților de reglementare coerența poziției lor de securitate cibernetică.

Pe scurt, regulamentele sunt obligatorii din punct de vedere juridic și se aplică prin lege, în timp ce standardele nu sunt obligatorii. Cu toate acestea, deoarece standardele sunt actualizate mai frecvent, conformitatea cu un standard poate ajuta o organizație să respecte un regulament. În plus, având în vedere că regulamentele au, de obicei, un domeniu de aplicare mai larg, conformitatea cu standardele specifice sectorului unei organizații o poate ajuta să se distingă de concurenți.

Prin urmare, în funcție de activitatea unei organizații, aceasta poate fi nevoită să respecte un anumit standard sau regulament. Cu toate acestea, este sigur să presupunem că orice întreprindere modernă trebuie să respecte protecția datelor și securitatea cibernetică. Din acest motiv, am rezumat punctele-cheie din două regulamente din Europa și două standarde solicitate în mod frecvent de către companiile din întreaga lume: Regulamentul general privind protecția datelor (GDPR), Directiva privind rețelele și sistemele informatice (NIS), ISO 27k și Institutul Național de Standarde și Tehnologie (NIST).

Înțelegerea reglementărilor și standardelor

În cazul în care nu sunteți familiarizat cu toate politicile menționate mai sus, vă voi prezenta pe scurt patru dintre ele:

  • GDPR (Regulamentul general privind protecția datelor): Acesta este regulamentul UE care reglementează protecția datelor cu caracter personal și drepturile persoanelor fizice cu privire la datele lor cu caracter personal. Acesta se aplică oricărei persoane care prelucrează datele cu caracter personal ale cetățenilor UE, indiferent de locul în care se află. Aceasta înseamnă că orice persoană care prelucrează date cu caracter personal ale cetățenilor europeni este obligată să respecte GDPR. Articolele din GDPR reglementează, printre altele, măsurile luate pentru a proteja datele cu caracter personal, numirea unui responsabil cu protecția datelor, precum și procesul și raportarea încălcărilor.
  • Directiva NIS (Directiva privind rețelele și sistemele informatice): Aceasta este directiva UE axată pe asigurarea unei baze de securitate pentru infrastructura critică și serviciile esențiale din întreaga Europă. În conformitate cu această directivă, toate companiile care își desfășoară activitatea în industrii critice (cum ar fi energia, transporturile și asistența medicală) și furnizorii lor de servicii digitale (cum ar fi motoarele de căutare și serviciile cloud) trebuie să pună în aplicare măsuri de securitate adecvate. În plus, directiva solicită statelor membre ale UE să dispună de strategii naționale de securitate cibernetică și de planuri de răspuns la incidente care să fie egale sau mai ample decât Directiva NIS. Aceasta înseamnă că toate statele UE trebuie să pună în aplicare reglementări care trebuie să acopere toate subiectele din Directiva NIS ca o bază minimă, dar pot (și ar trebui) să fie mai extinse.
  • Standardul ISO 27000 pentru securitatea cibernetică: Cunoscut și ca ISO 27k, este un standard internațional care prezintă un cadru pentru un sistem de management al securității informațiilor (ISMS). Acesta oferă o abordare sistematică pentru gestionarea informațiilor sensibile ale companiei, astfel încât acestea să rămână în siguranță. Acesta include un set de politici și proceduri pe care organizațiile le pot utiliza pentru a-și proteja datele confidențiale, precum și orientări pentru gestionarea riscurilor și conformitate.
  • Cadrul de securitate cibernetică NIST (National Institute of Standards and Technology): NIST este o agenție guvernamentală americană care publică o gamă largă de standarde, orientări și bune practici în materie de securitate cibernetică. Cadrul de securitate cibernetică al NIST oferă o abordare bazată pe riscuri pentru gestionarea securității cibernetice. Standardul este structurat prin detalierea a cinci direcții principale de acțiune pentru a fi conform: Identificare, protecție, detectare, răspuns și recuperare.

GDPR, Directiva NIS, ISO 27k și NIST abordează toate securitatea cibernetică și protecția datelor. Deși acestea pot diferi în ceea ce privește domeniul de aplicare și cerințele, abordarea uneia dintre ele poate fi un pas esențial în realizarea celorlalte. De exemplu:

  • Dacă luăm ISO 27k și NIST, putem vedea că ambele standarde sunt adoptate pe scară largă și recunoscute ca fiind cele mai bune practici pentru securitatea cibernetică. Cu toate acestea, ISO 27k este un standard bazat pe procese care oferă orientări privind gestionarea informațiilor sensibile ale companiei. Pe de altă parte, NIST este construit pe o abordare bazată pe riscuri și vizează identificarea, gestionarea și reducerea riscurilor generate de vulnerabilitățile de securitate cibernetică.
  • Dacă luăm Directiva NIS și GDPR, putem observa că acestea oferă orientări și cerințe pentru îmbunătățirea posturii de securitate cibernetică. Cele două se suprapun, de fapt, în unele aspecte. Cu toate acestea, trebuie remarcat faptul că GDPR urmărește să protejeze datele cu caracter personal la toate nivelurile, în timp ce Directiva NIS urmărește să ofere orientări cu privire la toate aspectele legate de securitatea informațiilor, dar numai la un nivel specific industriei.

Pe scurt: domeniul de aplicare, aplicabilitatea și scopul politicilor dvs. de securitate cibernetică pot fi definite după regulamente și standarde, dar trebuie să fiți conștienți de diferențele dintre acestea pentru a înțelege care vi se aplică cel mai bine. Odată ce ați înțeles acest lucru, este doar o chestiune de a le implementa corect. În secțiunea următoare, câteva sugestii pe această temă."

Cum gestionați conformitatea cu politicile și reglementările? Provocări și soluții

Punerea în aplicare a politicilor menționate mai sus poate fi necesară din cauza cerințelor legale sau a unui audit viitor. Este posibil să fie necesar să aduceți modificări proceselor și structurii dvs. pentru a vă conforma politicii relevante. Cu toate acestea, înainte de a face acest lucru, există câțiva pași comuni care pot fi făcuți pentru a vă pregăti pentru aceste schimbări:

  • Gestionarea inventarului și a activelor: Organizațiile își vor evalua de obicei sistemele, procesele și procedurile actuale pentru a determina nivelul lor de conformitate. Aceasta include identificarea domeniilor cunoscute de neconformitate și a riscurilor și vulnerabilităților cunoscute în infrastructura lor actuală.
  • Formare și comunicare: Pregătirea resurselor dvs. pentru schimbările viitoare este esențială pentru a vă asigura că toată lumea din organizație înțelege schimbările necesare. Un audit sau o actualizare a infrastructurii poate provoca perturbări și poate necesita ca angajații să dobândească noi competențe. Conștientizarea acestor aspecte vă poate ajuta să economisiți timp în stabilirea priorităților și planificarea posibilelor remedii.
  • Gestionarea terților și a furnizorilor: Acesta este un aspect care este adesea trecut cu vederea. Un inventar detaliat și actualizat al furnizorilor dvs. va fi probabil necesar pentru a asigura conformitatea cu majoritatea standardelor și reglementărilor. Chiar dacă o politică nu se referă în mod direct la un terț, aceasta poate necesita în mod indirect modificări ale termenilor și condițiilor acordurilor cu furnizorii externi de servicii.
  • Analiza lacunelor: Dacă verificați conformitatea cu un regulament sau un standard, este important să fiți pregătiți să efectuați o analiză a lacunelor pentru a identifica domeniile în care sunt necesare modificări esențiale. Acesta este primul pas către conformitate și este cel mai bine să fie efectuat de consultanți externi cu cunoștințe specifice privind conformitatea pe care încercați să o obțineți.

În concluzie, conformitatea cu reglementările și standardele poate fi dificilă și costisitoare. Este posibil să trebuiască să vă bazați pe consultanți externi pentru a obține conformitatea dacă nu dispuneți de competențele interne necesare. Cu toate acestea, înțelegerea diferențelor dintre politici și reglementări și existența unei strategii pot face procesul mai ușor și vă pot ajuta să determinați când merită să vă îmbunătățiți cu un standard și când este necesar să vă conformați reglementărilor.

autor avatar

Alessandro Mirani

Mesaje recomandate

  1. Outlook Data File Corruption: Cauze, Prevenire, și recuperare
  2. Malware 101: Ce este malware-ul, cum să preveniți atacurile și cum să eliminați malware-ul din computer
  3. Importanța securității cibernetice în platformele de jocuri online
  4. Breșă masivă de date la AT&T: Ce trebuie să știe clienții
  5. Dilema TikTok: echilibrarea divertismentului 
  6. Analiza datelor pentru detectarea fraudelor Noutăți
  7. Aplicații Android cu programe malware găsite pe Play Store
  8. Care este un posibil indiciu al programelor malware? Identificarea indicatorilor comuni Care este un posibil semn de malware?
  9. How to Use Secure Crypto Wallets
  10. Explorarea în profunzime a programelor malware sponsorizate de stat
  11. What Makes Cryptocurrency Payments So Secure 
  12. Cât de sigură este tehnologia Blockchain?

Rămâneți la curent cu cele mai recente tendințe cibernetice și tehnologice.

©2025 securitybriefing - Toate drepturile rezervate.
ro_RORomanian
en_USEnglish de_DE_formalGerman da_DKDanish it_ITItalian sv_SESwedish thThai viVietnamese jaJapanese nl_NLDutch ko_KRKorean arArabic ro_RORomanian