Правила соответствия ИТ для отраслей в США: обеспечение соответствия вашего бизнеса требованиям ИТ

Опубликовано: 2024-02-01

Безопасность данных повсеместно признана одним из основополагающих элементов успеха в бизнесе. Под влиянием цифровизации и глобальной связи, достигшей своего апогея, для компаний стало критически важно обеспечить максимальную безопасность своих данных и данных пользователей. Чтобы гарантировать, что предприятия не потерпят неудачу в этом процессе, несколько регулирующих органов вышли на передний план со своими отраслевыми требованиями.

Эти требования, которые когда-то ограничивались секторами с большим объемом данных, такими как финансовые технологии, здравоохранение, электронная коммерция и т. д., постепенно начали проявляться и в сфере внедрения технологий. В свете этого готовность к соблюдению требований стала обязательной для любого бизнеса, работающего с акцентом на высокотехнологичные цифровые предложения – требование, которое сопряжено с соответствующими преимуществами и финансовыми последствиями. Для справки, средние затраты на поддержание соответствия требованиям для организаций во всех отраслях по всему миру составляют 5,47 миллиона долларов США, а несоблюдение требований может стоить им в среднем 4 005 116 долларов потери доходов.

В этой статье мы собираемся углубиться в сферу регулирования соответствия ИТ, рассмотрев причины, по которым соблюдение требований необходимо, соблюдение отраслевых нормативных требований и, в конечном итоге, побочные эффекты несоблюдения стандартов соответствия.

Partner with us to mitigate non-compliance inducing challenges in software development

Почему соблюдение требований в ИТ-индустрии так важно?

Соответствие требованиям и безопасность ИТ необходимы для защиты клиентов, заказчиков, сотрудников и конфиденциальности компаний, а также для повышения доверия клиентов к бизнесу. Когда компании соблюдают высокие стандарты конфиденциальности и цифровой безопасности посредством соответствия стандартам, их клиенты в конечном итоге чувствуют себя в безопасности при использовании их услуг.

Даже если вы не учитываете клиентов, важность соблюдения нормативных требований в сфере ИТ в США все равно может рассматриваться как оказывающее долгосрочное влияние на вашу деловую репутацию и доходы. Например, стоимость несоблюдения может составить в среднем 5 107 206 долларов США, тяжелые юридические штрафы и упущенные возможности для бизнеса, связанные с неспособностью сотрудничать с компанией, которая работает в географическом регионе с высокими требованиями к соблюдению требований.

Поскольку соблюдение отраслевых требований и нормативных требований становится настолько распространенным в цифровом пространстве, почему предприятия все еще испытывают трудности с их соблюдением? Вот некоторые причины, которые мы выявили, приняв участие в цифровом путешествии более чем 300 компаний.

  1. BYOD: Разрешение сотрудникам использовать свои устройства для работы экономит огромную сумму денег. Но в отсутствие надлежащей политики BYOD компании также теряют концентрацию, необходимую для соблюдения требований.
  2. Управление сторонними поставщиками. Поставщики чрезвычайно важны, когда речь идет о помощи бизнесу в работе. Однако, передавая данные стороннему поставщику, вы подвергаете себя уязвимостям и утечкам данных.
  3. Обновления программного обеспечения. Современное технологическое пространство постоянно обновляется. Чтобы не отставать от этого, компании-разработчики программного обеспечения часто выпускают новые обновления. Однако временные ограничения не позволяют предприятиям обновлять свое программное обеспечение в режиме реального времени, что приводит к невозможности оставаться в безопасности и соответствовать современным требованиям.
  4. Интернет вещей: Интернет вещей объединяет интеллектуальные устройства. Но безопасность в сетях IoT по-прежнему находится на низком уровне, поэтому вам необходимо убедиться, что устройства часто проверяются на наличие нарушений или что устройства подключены к сети, которая не имеет доступа к конфиденциальным данным.

Теперь, когда мы рассмотрели причины, по которым крайне важно соблюдать отраслевые стандарты соответствия, давайте перейдем к отраслевым нормам и способам обеспечения соответствия вашего продукта/бизнеса им.

Отраслевой список требований соответствия ИТ

Хотя все отрасли разные, суть соблюдения нормативных требований в сфере ИТ во всех секторах более или менее одинакова – защита данных пользователей и бизнес-информации от злоумышленников.

Industry-wise List of IT Compliance Requirements

Здравоохранение

Несмотря на то, что в глобальном масштабе существует множество стандартов соответствия ИТ в сфере здравоохранения, HIPAA и HITECH являются двумя наиболее важными стандартами, которым обычно следуют предприятия в этой области. В Appinventiv мы соблюдаем оба этих требования наряду с другими при разработке программного обеспечения. Исход? Наши клиенты — LIVIA, Diabetic U и Shoona были готовы к соблюдению требований в день, когда они покинули наш завод.

HIPAA

Закон о переносимости и подотчетности медицинского страхования (HIPAA) подчеркивает использование и раскрытие медицинской информации для обеспечения конфиденциальности пациентов. Правило соответствия ИТ-безопасности в здравоохранении создано для того, чтобы гарантировать защиту медицинской информации людей, одновременно обеспечивая поток информации, необходимый для продвижения высококачественного здравоохранения.

Чтобы соответствовать требованиям HIPAA в сфере здравоохранения, все организации должны:

  • Убедитесь, что целостность, конфиденциальность и доступность защищенной электронной медицинской информации (e-PHI) соответствуют требованиям HIPAA.
  • Выявлять и защищать от ожидаемых угроз информационной безопасности
  • Защитить от недопустимого использования или раскрытия данных, не разрешенных соответствием

ПЕРЕДОВЫЕ ТЕХНОЛОГИИ

Следующим нормативным актом в сфере информационных технологий в сфере здравоохранения является Закон об информационных технологиях здравоохранения для экономического и клинического здравоохранения (HITECH). Он был создан для содействия осмысленному использованию и внедрению медицинской информации и технологий. Он рассматривает проблемы безопасности и конфиденциальности, связанные с электронной передачей медицинской информации.

Для соблюдения требований HITECH в сфере здравоохранения организациям следует:

  • Защитите электронную медицинскую информацию пациентов
  • Формируйте все рецепты в электронном виде
  • Внедрить систему поддержки принятия клинических решений
  • Используйте компьютеризированный ввод заказов поставщика (CPOE) для заказов на лабораторные исследования, лекарства и диагностические изображения.
  • Обеспечьте своевременный доступ пациентов к электронным файлам.
  • Участвовать в обмене медицинской информацией
  • Будьте частью отчетности общественного здравоохранения
  • Уведомить всех пострадавших лиц в течение 60 дней с момента обнаружения нарушения незащищенной защищенной медицинской информации.

Build your HIPAA-compliant healthcare product with us

Образование

Образовательные учреждения работают с конфиденциальной информацией о сотрудниках и студентах, данными исследований и информацией от государственных органов. Чтобы защитить этот набор данных, организациям необходимо поддерживать соблюдение требований FERPA.

Закон о правах семьи на образование и конфиденциальности (FERPA) — это федеральный закон об управлении ИТ в США, который защищает данные и конфиденциальность учебных записей учащихся. Это дает им и родителям контроль над записями об образовании и запрещает образовательным учреждениям раскрывать личную информацию в записях об образовании.

Вот основные требования регулирования FERPA в сфере ИТ:

  • Провести обязательное обучение FERPA для администраторов, учителей или других должностных лиц школы.
  • Ежегодно напоминайте учащимся об их правах
  • Дайте согласие, которое позволит родителям или имеющим на это право учащимся просматривать записи в любое время.
  • Защитите личные данные учащихся

Финтех и банковское дело

Будучи одной из наиболее целевых отраслей среди хакеров, сфера финансового программного обеспечения предполагает более строгие ограничения по соблюдению нормативных требований по сравнению с тем, что налагается на другие отрасли. Вот список требований в финансовой отрасли, которым должны следовать предприятия этого сектора.

PCI DSS

Стандарт безопасности данных индустрии платежных карт (PCI DSS) представляет собой комбинацию стандартов безопасности, созданных для того, чтобы гарантировать, что каждая компания, которая принимает, обрабатывает, хранит и передает информацию о картах пользователей, должна поддерживать безопасную среду. Наши финтех-разработчики хорошо разбираются в тонкостях соблюдения требований – этот опыт отражен в проекте USA MedPremium, который достиг соответствия PCI DSS в день его развертывания.

Вот что влечет за собой соблюдение требований ИТ для финансовых учреждений:

  • Соответствие PCI требует установки и обслуживания конфигурации межсетевого экрана, которая защитит информацию держателей карт.
  • Не используйте для системных паролей значения по умолчанию, предоставленные поставщиком.
  • Защитите данные, хранящиеся локально
  • Шифруйте передачу данных о держателях карт во всех открытых общедоступных сетях.
  • Используйте и регулярно обновляйте антивирусное программное обеспечение.
  • Создавайте и обслуживайте безопасные приложения и системы.
  • Ограничьте доступ к данным держателей карт тем, что предприятиям строго необходимо знать.
  • Отслеживайте и сканируйте каждый доступ к данным держателей карт и сетевым ресурсам
  • Регулярно тестируйте процессы и системы безопасности
  • Поддерживать политику, ориентированную на информационную безопасность.

ГЛБА

Закон Грэмма-Лича-Блайли (GLBA) применяется к каждому финансовому учреждению, которое предлагает своим клиентам финансовые или инвестиционные консультации, страхование или кредиты. Такое соблюдение требований в страховой отрасли обязывает учреждения раскрывать, как они защищают информацию клиентов и какие политики обмена информацией они применяют.

Вот правила, которым должны следовать GLBA IT-соответствия финансовых учреждений:

  • Финансовая конфиденциальность. Правило финансовой конфиденциальности подчеркивает, как финансовые учреждения собирают и распространяют информацию о частных финансах. Они должны предлагать клиентам возможность ежегодно отказываться от политики обмена информацией.
  • Защита: правила, основанные на гарантиях, определяют, как учреждения должны использовать меры безопасности для защиты данных своих клиентов от киберугроз. Эти меры включают использование надлежащего программного обеспечения, обучение сотрудников и тестирование программного обеспечения на наличие уязвимостей.
  • Претекстинг: Предлоговая часть соблюдения требований в финансовой отрасли ограничивает предприятия от сбора информации под предлогом.

Закон Сарбейнса-Оксли

Закон Сарбейнса-Оксли (SOX) является еще одним обязательным нормативным актом в финансовом пространстве банковской отрасли. Он требует прозрачного и полного раскрытия финансовых данных компании. Каждая публичная компания, а также компания, выходящая на IPO, должны соответствовать этому стандарту. Стандарт обязывает компании раскрывать точную и полную финансовую информацию, чтобы заинтересованные стороны могли принимать обоснованные инвестиционные решения.

Вот требования и правила популярного финтех-индустрии в США.

  • Предоставить финансовую отчетность, проверенную третьей стороной, в SEC.
  • Сообщайте общественности о существенных изменениях
  • Разработать, внедрить и протестировать систему внутреннего контроля.
  • Составьте годовой отчет о средствах внутреннего контроля и их диапазоне, подписанный руководством и проверенный сторонним аудитором.

В то время как PCI DSS, GLBA и SOX образуют три наиболее важных соответствия требованиям финансовых технологий в США, некоторые другие правила, которых предприятиям следует опасаться, включают Додда-Франка, EFTA и Положение E, CFPB, SOC 2 и ECOA.

Know more about FinTech compliances through our IT Consulting Service Assistance

Производство

Как и в других отраслях, производственные предприятия также несут ответственность за защиту сотрудников, клиентов, организационных и государственных данных. Вот различные требования, которых они должны придерживаться.

НКРЭ КИП

Соответствие требованиям Североамериканской корпорации по обеспечению надежности электрооборудования по защите критической инфраструктуры (NERC CIP) в обрабатывающей промышленности призвано защитить целостность всей коммунальной инфраструктуры по всей Северной Америке. Каждый владелец, оператор и пользователь энергосистемы должен соблюдать стандарты надежности, утвержденные NERC.

Предпосылки для соблюдения требований NERC CIP в обрабатывающей промышленности включают в себя:

  • Определить и классифицировать все активы
  • Назначьте должностное лицо для решения вопросов, связанных с безопасностью
  • Создавайте и управляйте политиками защиты активов
  • Предложите сотрудникам обучение по вопросам безопасности
  • Проводить тщательную проверку биографических данных сотрудников
  • Создавайте средства управления доступом по мере необходимости
  • Разработайте периметры электронной безопасности – физические или виртуальные.
  • Управляйте всеми безопасными точками удаленного доступа
  • Создавайте и соблюдайте планы и периметры физической безопасности.
  • Поддерживать контроль безопасности системы с помощью управления портами и службами, управления исправлениями, регистрации событий безопасности, предотвращения вредоносного ПО, управления общими учетными записями и управления учетными данными.
  • Создайте стратегию реагирования на инциденты кибербезопасности, которая также будет включать непрерывность операций, планы восстановления, резервное копирование и восстановление.
  • Поддерживать управление уязвимостями и вносить изменения в управление временными киберактивами.
  • Защитите информацию киберсистемы BES посредством категоризации и защиты информации и удаления носителей.
  • Постройте безопасную связь центра управления
  • Внедрить политику безопасности цепочки поставок

ИТАР

Правила международной торговли оружием (ITAR) изучают разработку, экспорт и импорт всех оборонных товаров, предоставление всех оборонных услуг и посредничество в оборонных товарах. Его основная цель — предотвратить попадание предметов и данных, связанных с обороной, в чужие руки.

Требования к соблюдению ITAR в отрасли следующие:

  • Зарегистрируйтесь в Госдепартаменте
  • Внедрить документированную программу соответствия ITAR, которая будет включать отслеживание и аудит всех технических данных.
  • Примите меры для защиты данных, касающихся предметов из Списка боеприпасов США.

УХО

Положения об экспортном контроле (EAR) регулируют экспорт, реэкспорт и передачу менее важных предметов военного назначения, коммерческих товаров, имеющих военное применение, а также чисто коммерческих товаров без очевидного военного использования.

Вот что включает в себя информационная безопасность в соответствии с требованиями EAR:

  • Классифицируйте свой товар с помощью списка контроля торговли.
  • Установить письменные стандарты соответствия экспорту
  • Разработать непрерывную оценку рисков экспортной программы.
  • Создайте руководство по политикам и процедурам.
  • Обеспечивать постоянное обучение и повышение осведомленности о соблюдении требований
  • Проводить непрерывную проверку подрядчиков, клиентов, продуктов и транзакций.
  • Соблюдение требований законодательства по ведению учета
  • Мониторинг и аудит соответствия
  • Создайте внутреннюю программу для решения проблем с соблюдением требований.
  • Выполнить соответствующие корректирующие действия в ответ на экспортные нарушения.

Дополнительные стандарты, которым следуют все отрасли

Несмотря на то, что перечисленные выше списки представляют собой отраслевые списки стандартов соответствия ИТ, существуют также некоторые дополнительные правила, которым в дополнение к ним следуют предприятия. Давайте посмотрим и на них.

GDPR

Общий регламент по защите данных (GDPR) — самый строгий закон о конфиденциальности и безопасности в мире. Постановление было введено в действие в 2018 году для защиты конфиденциальности и безопасности граждан в ЕС. GDPR применяется к любой организации, которая обрабатывает персональные данные или поставляет товары и услуги гражданам или резидентам ЕС.
Когда мы работали над Slice, в тот момент, когда мы услышали эту идею, мы поняли, что нам придется подготовить его к GDPR – чего мы добились, следуя требованиям t.

Вот что включает в себя соблюдение нормативных требований GDPR в сфере ИТ:

  • Провести информационный аудит персональных данных ЕС
  • Сообщите клиентам, почему вы используете и обрабатываете их данные.
  • Оцените действия по обработке данных и улучшите защиту данных с помощью таких стратегий, как организационные меры безопасности и сквозное шифрование.
  • Заключайте соглашения об обработке данных с поставщиками
  • Назначьте ответственного за защиту данных (при необходимости)
  • Выделить представителя в регионе ЕС
  • Знайте, что делать в случае утечки данных
  • Соблюдайте все необходимые законы о трансграничных переводах.

CCPA

Закон Калифорнии о конфиденциальности потребителей (CCPA) дает покровителям Калифорнии контроль над информацией, которую компании получают от них. Правила CCPA применяются к каждому коммерческому предприятию, которое работает в Калифорнии и осуществляет следующее:

  • Иметь валовой годовой доход более 25 миллионов долларов США.
  • Покупайте, продавайте или распространяйте личную информацию 100 000 или более потребителей, устройств или домохозяйств в Калифорнии.
  • Получать 50 % или более годового дохода от продажи информации жителей Калифорнии.

Требования для соответствия требованиям CCPA в отрасли включают в себя:

  • Информируйте потребителей о намерении собрать их данные.
  • Предоставьте пользователям прямой и легкий доступ к политике конфиденциальности.
  • Предоставьте потребителям информацию в течение 45 дней с момента запроса.
  • Удаление персональных данных потребителей по их запросу
  • Разрешить потребителям отменять распродажи и маркетинговые кампании, в которых собирается их личная информация.
  • Обновляйте политику конфиденциальности каждый год

НИСТ

Добровольная структура кибербезопасности Национального института стандартов и технологий (NIST) позволяет предприятиям любого размера понимать, обрабатывать и снижать риски кибербезопасности.

Вот требования для соответствия требованиям ИТ-безопасности NIST:

  • Определите и классифицируйте все данные, которые необходимо защитить.
  • Выполнять своевременную оценку рисков для установления базового контроля.
  • Установите базовый уровень минимального контроля для защиты информации.
  • Запишите базовые меры контроля в письменной форме.
  • Создайте средства контроля безопасности вокруг всех онлайн- и ИТ-систем.
  • Постоянно отслеживайте производительность, чтобы оценить эффективность
  • Постоянно контролируйте все меры безопасности

AML-KYC

Подмножество AML, процесс «Знай своего клиента» (KYC), проводится для проверки личности каждого клиента и предотвращения незаконных действий в программном обеспечении, таких как отмывание денег или мошенничество. Мы помогли ряду наших клиентов, включая Slice, Exchange, Asian Bank и т. д., соблюдать требования KYC-AML в ИТ-индустрии. Как? Полностью следуя основам соблюдения требований.

  • Выполнение программы идентификации клиента – сбор данных по имени, адресу, контактному номеру, гражданству, дате рождения, месту рождения, профессии, имени работодателя, цели транзакции, бенефициарному владельцу и идентификационному номеру.
  • Комплексная проверка клиентов на трех уровнях: упрощенном, базовом и расширенном.
  • Постоянно отслеживайте транзакции ваших клиентов в соответствии с пороговыми значениями, встроенными в ваши профили рисков.

Читайте также: Технология блокчейн для KYC: решение неэффективного процесса KYC

ВКАГ

Рекомендации по обеспечению доступности веб-контента — это набор множества критериев успеха и рекомендаций, согласно которым веб-приложения и веб-сайты считаются доступными для людей с ограниченными возможностями и нарушениями. Принимая во внимание требования и нормы этой отрасли, мы создали Avatus — платформу, которая сегодня с комфортом используется людьми с особыми потребностями.

  • Уровень A: это базовый уровень WCAG, который гарантирует наличие всех основных функций специальных возможностей.
  • Уровень AA: Уровень AA решает более широкий спектр проблем доступности. Этот этап состоит из элементов уровня А и других строгих стандартов, направленных на улучшение доступности для широкого спектра людей с ограниченными возможностями, включая выявление ошибок и цветовой контраст.
  • Уровень AAA: Самый исчерпывающий уровень, уровень AAA, включает в себя все критерии уровней A и AA, а также дополнительные, более строгие требования. Стремясь к соблюдению уровня AAA, веб-сайт должен быть максимально доступным, а компаниям не обязательно стремиться к этому.

Как регулирующие органы подходят к интеграции технологий

До этого этапа мы рассмотрели многие отраслевые стандарты соответствия и безопасности ИТ. Теперь осталось посмотреть, как регулирующие органы подходят к интеграции технологий в цифровые продукты. Две технологии, которые мы здесь уделяем внимание, — это искусственный интеллект и блокчейн.

Во всем мире общей темой регулирования, основанного на искусственном интеллекте, является акцент на подотчетности и прозрачности. Правительства выступают за создание механизмов подотчетности, направленных на устранение предвзятости, защиту дискриминации и привлечение разработчиков к ответственности за модель ИИ, которую они создают.

AI regulatory framework in different geographical regions

У блокчейна есть аналогичная история, которой можно поделиться со странами, которые все еще расширяют свои правила, чтобы соответствовать инновациям, происходящим в децентрализованном пространстве. Вот взгляд на национальные правила криптовалюты, действующие по всему миру.

Crypto regulations around the world

Как обеспечить соответствие требованиям при разработке продукта?

Я уверен, что после тщательного изучения списка соответствия требованиям в ИТ-отрасли в различных секторах вам, должно быть, интересно, с чего начать путь обеспечения готовности к соблюдению требований. А краткий и практичный ответ — найти подходящих партнеров, в зависимости от того, на каком этапе жизненного цикла продукта вы находитесь.

Это означает, что если вы создаете продукт, который будет работать в отрасли, требующей соблюдения требований, вам следует сотрудничать с таким поставщиком ИТ-консалтинговых услуг, как мы. Мы не просто консультируем предприятия по вопросам обеспечения соответствия требованиям, но также обладаем специальными знаниями в области создания цифровых продуктов, соответствующих стандартам соответствия программного обеспечения в США и по всему миру.

С другой стороны, если вы находитесь на этапе, когда ваш продукт работает, но не соответствует требованиям, у вас будет два варианта: либо сотрудничать с экспертом по обеспечению соответствия, либо снова обратиться к агентству по разработке программного обеспечения, такому как мы, которое работало с несколькими компаниями, ориентированными на соблюдение требований. .

В любом случае, мы надеемся, что статья предоставит вам всю необходимую информацию о правилах соответствия ИТ, и теперь вы с комфортом перейдете на этап, когда вы будете знать, какие правила подходят для вас и что вам нужно, чтобы быть готовыми к их соблюдению.

Готовы обеспечить соответствие основным нормативным стандартам вашей отрасли? Связаться.

Часто задаваемые вопросы

Вопрос. Что такое соответствие требованиям в ИТ?

A. Соблюдение требований в отраслях, включая ИТ, — это соблюдение политик, разработанных местными и глобальными регулирующими органами. В сфере ИТ политика обычно вращается вокруг безопасности данных при передаче и хранении.

Вопрос. Почему каждому бизнесу необходимо уделять внимание соблюдению требований ИТ?

О. Соответствие требованиям в ИТ-индустрии имеет решающее значение для защиты клиентов, заказчиков, сотрудников и конфиденциальности компаний, а также для повышения доверия клиентов к бизнесу. Более того, обеспечение управления ИТ в США может рассматриваться как оказывающее долгосрочное влияние на вашу деловую репутацию и доходы.

Вопрос. Как узнать, каких правил должен придерживаться мой бизнес?

О. Вы найдете ответ на вопрос о соблюдении правильных нормативных требований в области ИТ, посмотрев на своих конкурентов или посоветовавшись с командой разработчиков программного обеспечения, такой как наша, которая имеет опыт работы с отраслями, где требуется соблюдение требований.