США: «Аккредитованный комитет по стандартизации X9» подготовит новый американский стандарт по вопросам защиты персональных данных и оповещения об утечках

США: «Аккредитованный комитет по стандартизации X9» подготовит новый американский стандарт по вопросам защиты персональных данных и оповещения об утечках

Данная заметка Амбрии Фрезьер (Ambria Frazier – на фото) была опубликована 6 февраля 2018 года на сайте «Аккредитованного комитета по стандартизации X9»

Для справки: Организация «Аккредитованный комитет по стандартизации X9 «Стандарты финансовой отрасли» (Financial Industry Standards)»» - известная также как «комитет X9» – является лидером в разработке национальных и международных стандартов для отрасли финансовых услуг. Комитет X9 также организует работу технического комитета ИСО TC68, публикующего стандарты для глобальной индустрии финансовых услуг.

Приглашаются желающие принять участие в этом проекте.

6 февраля 2018 года «Аккредитованный комитет по стандартизации X9» (Accredited Standards Committee X9 Inc., X9) объявил о начале новой инициативы по созданию стандарта защиты персональных и финансовых данных. Документ X9.141 «Стандарт по защите финансовых и персональных данных и извещения об утечках» (Financial and Personal Data Protection and Breach Notification Standard) будет включать требования к управлению и безопасности в рамках общей структуры, предназначенной для защиты этих данных и для обнаружения, реагирования и смягчения последствий утечек.

Утечки продолжают подвергать риску миллионы потребителей. Ответственность за защиту данных клиентов разделяют все вовлечённые стороны, однако порой этим усилиям мешает нынешние несогласованное «лоскутное одеяло» из законов и нормативных актов, принимаемых на уровне штатов, на федеральном и международном уровнях. Многие финансовые организации выступают за всеобъемлющее единое законодательство по вопросам защиты данных и уведомления потребителей об утечках; и данная инициатива комитета X9 будет поддерживать эти усилия.

 «Существование стандарта, который, не будучи обязательным, позволял бы компаниям обеспечить определенный уровень защиты и, кроме того, давал бы другим компаниям и регуляторам возможность понимать и быть в состоянии доверять этому уровню защиты на основе оценки, данной доверенной третьей стороной (или с использованием иных механизмов), - способствовало бы укреплению общей безопасности данных, одновременно сокращая затраты по всей отрасли», - отметил редактор проекта X9.141 и директор по вопросам защиты персональных данных в компании White and Williams LLP Ричард Борден (Richard Borden).

Данный новый стандарт будет разработан таким образом, что от всех организаций, которые передают, обрабатывают или хранят финансовые данные (включая персональные данные клиентов), будет требоваться следующее:
  • Идентифицировать, классифицировать и защищать эти чувствительные данные, обеспечивая сохранение их конфиденциальности, доступность и целостности на основе, использования согласованных стандартных требований к безопасности, разработанных в открытой консенсусной среде;
  • Внедрить стандартные меры для обнаружения, реагирования и смягчения последствий утечек данных;
  • Сформулировать единые требования к уведомлению, применяемые в случае утечек.
Основное внимание в стандарте будет обращено на вопросы информационной безопасности в отрасли финансовых услуг, но может оказаться возможным использовать его в любой отрасли, в которой требуется защищать конфиденциальные данные. Комитет X9 также изучит возможности для аккредитации и сертификации. К участию в данной инициативе приглашаются специалисты соответствующих организаций, таких, как финансовые учреждения, кредитные бюро, производители продуктов, государственные органы и учреждения, исследовательские отделы университетов и разработчики программных приложений.

«Комитет X9 собрал отличную команду, но мы всегда ищем дополнительных экспертов», - подчеркнул Джефф Стэплтон (Jeff Stapleton), председатель рабочей группы X9F4 в подкомитете X9F «Данные и безопасность» (Data and Security).

Для получения дополнительной информации об участии заинтересованным лицам предлагается связаться с ASC X9 на сайте https://x9.org/contact-x9/ , а также обращаться к Джудит Вандеркей (Judith Vanderkay) по адресу jvanderkay@gmail.com .

Источник: сайт комитета X9
https://x9.org/x9news/asc-x9-developing-u-s-standard-data-protection-security-breach-notifications/  
информационная безопасность персональные данные стандарты США финансовая отрасль X9
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.