1、 数据所有者、系统监管员、安全管理员的关系
代表数据所有者处理个人数据的第三方组织称为数据处理者。
和数据处理者签订合同的组织称为业务所有者(确保系统满足其业务目的)。
数据所有者(通常是CEO或其他高级的工作人员)设置使用和保护数据的规则。
数据管理员根据数据的操作流程和数据分类对数据授予访问权限。
2、数据分类分级
当法律或商业等原因导致数据价值发生变化时,组织应该审查数据分类和重新分配数据分类。
美国政府对数据按照敏感性从低到高的分级依次是:机密(一旦曝光可能造成一定影响的数据)、秘密和绝密。
非政府:敏感、私人、机密/私有
3、 数据残留
重写操作也被称为清理。在清理介质时,将介质全部写上未分类的数据。
擦除/删除:删除数据,很容易被恢复的,移除数据效果差。
清除/消除/重写:消除或重写,要多次反复重写数据,一般的工具是恢复不了数据的,但硬盘的“坏区”、SSD等仍可被恢复。同等密级的系统重用磁盘,只要做clearing就行。
清除也是一种清理的形式,但是其涉及的安全等级较低。
清扫是从系统或介质中移除数据的一系列过程,从而确保数据无法通过任何手段恢复出来。
根除/彻底消除:比消除更强烈,为了让存储设备能再次使用于非密环境,必须消磁、反复格式化填充。要在低等级的系统重写磁盘,必须做Purging才行。
消磁只能在磁性介质上进行。
解除分类/给介质脱密:脱密的成本比买个新盘还高。
净化/给系统脱密:从系统或介质中拿走数据,确保不会以任何形式被恢复。2种方式:解除分类,不破坏介质;将系统硬盘拿走或销毁,破坏介质。
消磁:会破坏电路元件,且不能保证数据彻底没了。
破坏/销毁:清除介质数据最安全的方法。
分解:对SSD进行物理破坏,通过粉碎过程将SSD处理成非常小的碎片。
4、法律法规
A计算机犯罪
计算机欺诈和滥用法案(历史第一个):超过5000美元的行为
计算机安全法案:
[if !supportLists]l [endif]明确由美国国家标准技术研究所(NIST)负责开发联邦计算机系统标准和准则,由美国国家安全局(NSA)提供技术性建议和援助。
[if !supportLists]l [endif]它还指定了NIST负责公开系统的安防,NSA负责机密级系统的安防。
CFSS修正案:适用于所有被用于州间贸易的计算机。
国家信息基础设施保护法案:
[if !supportLists]u [endif]除了用于州间贸易的计算机,还包括了用于国际贸易的计算机系统。
[if !supportLists]u [endif]扩展了对国际基础设施的类似保护
联邦判决指导方针:审慎者规则——谨慎工作,要求高管和其他人员都保持适度关注、谨慎工作
文书精简法案:组织机构被批准后,才能请求使用各类基础公共信息。
联邦信息安全管理法案FISMA:主要适用于政府外包商。
B许可与知识产权
知识产权有版权和工业产权。版权保护的是有资源意义的表达而非资源本身,它保护表达方式,而不是其本身。版权保护时间长,受保护者寿命+70年
专利更对地针对发明本身,三要求(新、有用、难),专利保护期一般是20年(商标也是20年)
数字千禧年版权法案(DMCA):打击盗版;供应商不对其用户的短暂性活动负责。
经济间谍法案:为商业秘密所有者提供知识产权保护。商业秘密是专有的。
这里注意区分,书面内容(如网站内容),通常受版权法保护,网站的内容是在线的,公司外部也可以访问,不属于商业秘密。
C进口/出口控制相关法律
国际武器贸易条例法案和出口管理条例法案。
D跨境数据流
瓦森纳协议(WA),对常规武器和两用货品及技术实施进出口管制的法律,40个国家共同制定了9类端口的出口规范,包括特殊材料、高科技设备、保密机等产品。
E隐私
[if !supportLists]ü [endif]美国有关的
第四修正案:隐私权的基础;搜查检索必须要有许可;
隐私法案(1974):不得向他人泄露隐私信息;
电子通信隐私法案(1986)ECPA:禁止窃听
执法通信协助法案(1994)CALEA:通信运营商允许持有法院命令的执法人员进行合法窃听。
经济和专有信息保护法案(1996)EPPA:将经济信息也视为财产
健康保险的易移植性和可问责性法案/健康保险流通和责任法案(1996)HIPAA:
[if !supportLists]n [endif]要求处理或存储个人医疗隐私信息的组织采取严格的安全措施;
[if !supportLists]n [endif]管理三种类型对象:医疗保健供应商、健康信息交换所和健康保险计划
2009关于经济和临床健康的卫生信息技术法案HITECH:
[if !supportLists]² [endif]对HIPAA进行了修订,主要变化是针对商业伙伴的;
[if !supportLists]² [endif]PHI机构和BA(商业伙伴)之间必须有书面合同管理,合同被称为业务联合协议;
[if !supportLists]² [endif]影响超过500人时,必须通知卫生和人事服务部的部长和媒体;
[if !supportLists]² [endif]它是全国性的法律,每个州颁布了自己的相关法规,加利福尼亚州的SB1386是第一个发布的。涉及的隐私信息有:社会保险号、驾照号码、身份证号码、信用卡或借记卡号码、银行账户与安全代码、病历、医疗保险信息等(美国大多数州的数据泄露法案都是根据加利福尼亚州的法律来制定的)。
儿童联机隐私保护法案(1998)COPPA:取得父母同意后,才能收集13岁以下儿童信息
GLBA(金融现代化法案)-1999:严格限制了银行、保险公司等,包含规范客户财务信息隐私的规定,特别适用于金融机构。对金融机构制定了严格的隐私法规,包括向客户提供隐私书面通知。
萨班斯-奥克斯利法案(SOX-2002):对公司如何跟踪、管理和报告财务信息提出了专门要求;公司管理人员也要遵守。
[if !supportLists]ü [endif]欧盟有关的
美国-欧盟安全港湾项目/安全避难所:
7个安全港原则——通知(告知使用数据目的)、选择(可选择的机会)、向前传输(遵守通知+选择才能向其他组织传输资料)、安全(保护好数据)、数据完整(不挪用且确保数据真实可信)、访问(可查、改或删自己的个人信息)、执行(落实以上各条原则)。
美国商务部负责实施《国际安全港规定》,联邦贸易委员会负责监督《国际安全港规定》。
支付卡行业数据安全标准(PCI DSS)
网友评论