Komptja frajdej #4

Non-PII stands for non-personally identifiable information, which is any data that does not directly identify a specific individual. Non-PII can include information such as job title, business phone number, location, first initial with last name, and race. Non-PII can be used for various purposes, such as statistical analysis, marketing, or research. However, non-PII may still pose some privacy risks if it is combined or linked with other data that can reveal an individual’s identity.

Suwerenność danych odnosi się do koncepcji, że cyfrowe dane podlegają prawom kraju, w którym są przechowywane. Międzynarodowe operacje wpływają na suwerenność danych, ponieważ dane przechowywane, przesyłane lub przetwarzane w różnych krajach mogą podlegać różnym lokalnym prawom i regulacjom, co wpływa na sposób ich obsługi, przechowywania i dostępu. Może to stanowić wyzwanie dla organizacji działających w różnych jurysdykcjach, ponieważ muszą one przestrzegać wymogów prawnych każdej z nich.

Roczne powiadomienie o prywatności to dokument, który organizacje wysyłają do swoich klientów, aby informować ich o praktykach firmy dotyczących prywatności, w tym o sposobach zbierania, używania, dzielenia się i ochrony informacji osobistych, a także o wszelkich prawach, jakie klient może mieć w związku z ich danymi osobowymi. Opis podany pasuje do tego, co zwykle zawarte jest w rocznym powiadomieniu o prywatności, gdzie firma wyjaśnia swoje praktyki dotyczące udostępniania danych osobowych (PII) partnerom, filiom i stowarzyszonym w celu prowadzenia codziennych operacji biznesowych.

Organizacja stosuje strategię akceptacji ryzyka. Oznacza to, że po ocenie kosztów wdrożenia kontroli w porównaniu z kosztem potencjalnej kary, organizacja zdecydowała się zaakceptować ryzyko bez wdrażania dodatkowych środków kontrolnych. Takie podejście jest przyjmowane, gdy koszt łagodzenia przewyższa korzyści płynące z redukcji ryzyka.

Procedura „lessons learned” (wnioski z przeszłości) jest przeprowadzana po incydencie bezpieczeństwa, aby dokładnie przeanalizować i przeglądnąć incydent, w tym jego główną przyczynę, skuteczność reakcji i ogólne zarządzanie sytuacją. Proces ten ma na celu zidentyfikowanie, co zostało zrobione dobrze, a co można poprawić, aby zapobiec przyszłym incydentom lub poprawić reakcję na podobne incydenty w przyszłości.

Zarządzanie łatkami (patch management) jest klasyfikowane jako kontrola korygująca. Kontrole korygujące to środki podjęte w celu naprawienia podatności lub problemów po ich wykryciu. Zarządzanie łatkami obejmuje regularne aktualizowanie i aplikowanie łatek do oprogramowania i systemów w celu korygowania podatności bezpieczeństwa i poprawy funkcjonalności, co pozwala na korygowanie lub łagodzenie zidentyfikowanych słabości bezpieczeństwa.

Raport SOC 2 (Service Organization Control 2) dostarcza szczegółowych informacji na temat sposobu zarządzania danymi przez dostawcę usług w celu ochrony interesów i prywatności jego klientów. Skupia się na bezpieczeństwie, dostępności, integralności przetwarzania, poufności i prywatności systemu. Konsultacja raportu SOC 2 oferuje najlepszy wgląd w aktualną postawę bezpieczeństwa dostawcy, szczególnie takiego, który dostarcza usługi w chmurze, poprzez szczegółowe opisanie kontroli, które dostawca ma na miejscu, aby zabezpieczyć dane i zapewnić zgodność z normami prywatności i bezpieczeństwa. Standardy PCI DSS (Payment Card Industry Data Security Standard) to zestaw wymogów bezpieczeństwa danych przeznaczonych dla wszystkich organizacji, które przetwarzają, przechowują lub przesyłają informacje o kartach płatniczych. Standardy te mają na celu ochronę danych kart płatniczych przed kradzieżą i nieautoryzowanym dostępem. SLA (Service Level Agreement) to kontrakt między dostawcą usług a jego klientem, który określa poziom świadczonych usług, w tym wymagania dotyczące dostępności i wydajności. SLA może zawierać również informacje na temat procedur reagowania na incydenty i gwarancji bezpieczeństwa, ale nie dostarcza bezpośrednio szczegółowego wglądu w aktualną postawę bezpieczeństwa dostawcy. CSF (Cybersecurity Framework) to ramka bezpieczeństwa cybernetycznego, często opierająca się na NIST Cybersecurity Framework, która pomaga organizacjom lepiej zrozumieć, zarządzać i redukować ryzyko cybernetyczne. CSF dostarcza zestaw najlepszych praktyk, wytycznych i standardów mających na celu ochronę systemów i danych przed cyberzagrożeniami.

Ćwiczenia na makiecie to sesje oparte na dyskusji, podczas których członkowie zespołu spotykają się w sali szkoleniowej lub w sali konferencyjnej, aby omówić swoje role podczas sytuacji awaryjnej lub krytycznego zdarzenia. Ćwiczenia te są zaprojektowane w celu zbadania planów reagowania i procedur w sposób nienaruszający, według scenariusza. Pomagają one w testowaniu przygotowania zespołu bezpieczeństwa do incydentów poprzez symulację scenariusza i omówienie działań reagowania bez angażowania rzeczywistych zasobów. Koncepcja ta pasuje do scenariusza testowania reakcji zespołu na incydenty w kontrolowany i zapisany sposób.

Prawidłowe zbieranie wykrytych artefaktów (np. logów, złośliwych plików) i ustanowienie łańcucha dowodowego powinno być przeprowadzone w fazie Zawężenia procesu reagowania na incydenty. Ta faza następuje po Identyfikacji, gdzie incydent jest wykrywany i analizowany. Zawężenie polega na ograniczeniu rozprzestrzeniania się incydentu i izolacji dotkniętych systemów, aby zapobiec dalszym szkodom. Prawidłowe zbieranie dowodów i ustanowienie łańcucha dowodowego w tej fazie są kluczowe dla późniejszej analizy, naprawy oraz potencjalnych działań prawnych.