Table of Contents

Home

Zasady i procedury cyberbezpieczeństwa: Jak je opracować

Wprowadzenie

W dzisiejszym cyfrowym krajobrazie cyberbezpieczeństwo ma ogromne znaczenie dla organizacji z różnych branż. Opracowanie kompleksowej polityki cyberbezpieczeństwa jest niezbędne do ochrony wrażliwych informacji, ograniczenia ryzyka i zachowania zgodności z przepisami. W tym artykule przeanalizujemy kluczowe kroki związane z opracowaniem solidnej polityki cyberbezpieczeństwa, która jest zgodna z najlepszymi praktykami branżowymi i wymogami regulacyjnymi. Podkreślimy również znaczenie standardów branżowych, takich jak Risk Management Framework (RMF), National Institute of Standards and Technology (NIST) Standards, Payment Card Industry Data Security Standard (PCI-DSS), Health Insurance Portability and Accountability Act (HIPAA) i Federal Information Security Modernization Act (FISMA) w kształtowaniu polityki cyberbezpieczeństwa.

Znaczenie polityk i procedur cyberbezpieczeństwa

Polityki i procedury cyberbezpieczeństwa stanowią ramy dla organizacji do ustanawiania wytycznych, protokołów i kontroli w celu ochrony ich zasobów cyfrowych przed zagrożeniami cybernetycznymi. Polityki te pomagają w:

  1. Mitygacji ryzyka: Identyfikując słabe punkty i wdrażając odpowiednie mechanizmy kontroli, organizacje mogą ograniczyć ryzyko cyberataków, naruszeń danych i nieautoryzowanego dostępu.

  2. Zgodność z przepisami: Przestrzeganie przepisów i standardów branżowych zapewnia, że organizacje spełniają wymogi prawne i unikają potencjalnych kar i szkód dla reputacji. Przykładowo, Payment Card Industry Data Security Standard (PCI-DSS) to zestaw wymogów bezpieczeństwa, których muszą przestrzegać organizacje obsługujące dane kart płatniczych, aby zapewnić ochronę informacji o posiadaczach kart. Podobnie, Health Insurance Portability and Accountability Act (HIPAA) określa wytyczne dotyczące ochrony prywatności i bezpieczeństwa informacji zdrowotnych osób fizycznych.

  3. Ochrona wrażliwych danych: Zasady i procedury cyberbezpieczeństwa pomagają chronić wrażliwe informacje, takie jak dane osobowe (PII) i dane finansowe, przed nieautoryzowanym dostępem i ujawnieniem. Wdrożenie mechanizmów szyfrowania, kontroli dostępu i zasad klasyfikacji danych ma kluczowe znaczenie dla ochrony danych wrażliwych.

  4. Zachowanie ciągłości działania: Dobrze zdefiniowana polityka cyberbezpieczeństwa zapewnia, że systemy i dane są odporne na incydenty cybernetyczne, minimalizując przestoje i zakłócenia w działalności biznesowej. Plany reagowania na incydenty, strategie tworzenia kopii zapasowych danych i procedury odzyskiwania danych po awarii są niezbędnymi elementami utrzymania ciągłości biznesowej.

Opracowując i wdrażając skuteczne polityki i procedury cyberbezpieczeństwa, organizacje mogą poprawić swoją postawę w zakresie bezpieczeństwa, wzbudzić zaufanie wśród klientów i partnerów oraz złagodzić potencjalne ryzyko finansowe i reputacyjne.

Kluczowe elementy polityki cyberbezpieczeństwa

Kompleksowa polityka cyberbezpieczeństwa powinna obejmować kilka kluczowych elementów, aby uwzględnić różne aspekty zarządzania bezpieczeństwem. Przeanalizujmy te elementy szczegółowo:

1. Zarządzanie bezpieczeństwem informacji

Zarządzanie bezpieczeństwem informacji jest kluczowym elementem kompleksowej polityki cyberbezpieczeństwa. Stanowi podstawę skutecznego zarządzania ryzykiem i zapewnia, że obowiązki w zakresie cyberbezpieczeństwa są jasno określone i przypisane w organizacji.

Aby ustanowić solidne zarządzanie bezpieczeństwem informacji, organizacje powinny:

  • Zdefiniować role i obowiązki: Jasno zdefiniować role i obowiązki osób zaangażowanych w zarządzanie ryzykiem cyberbezpieczeństwa. Obejmuje to identyfikację kluczowych interesariuszy, takich jak Chief Information Security Officer (CISO) lub zespół ds. bezpieczeństwa, oraz określenie ich konkretnych obowiązków.

  • Ustanowienie ram zarządzania**: Opracowanie ram zarządzania, które określają zasady, procedury i wytyczne dotyczące zarządzania ryzykiem cyberbezpieczeństwa. Ramy te powinny być zgodne z najlepszymi praktykami branżowymi i odpowiednimi przepisami.

  • Zdefiniowanie struktur raportowania: Ustanowienie struktur raportowania, które umożliwią skuteczną komunikację i odpowiedzialność. Obejmuje to zdefiniowanie linii raportowania i mechanizmów zgłaszania incydentów lub obaw związanych z bezpieczeństwem.

  • Zapewnienie poparcia kierownictwa: Uzyskanie poparcia kierownictwa dla polityki cyberbezpieczeństwa. Wiąże się to z zaangażowaniem kierownictwa wyższego szczebla i podkreśleniem znaczenia cyberbezpieczeństwa dla ochrony aktywów, reputacji i interesariuszy organizacji.

Przykład: Narodowy Instytut Standardów i Technologii (NIST) zapewnia wytyczne dotyczące zarządzania bezpieczeństwem informacji w swoim dokumencie pt. Special Publication 800-39

2. Zarządzanie ryzykiem

Zarządzanie ryzykiem jest podstawowym elementem skutecznej polityki cyberbezpieczeństwa. Obejmuje ono systematyczną identyfikację, ocenę i ograniczanie ryzyka, które może mieć wpływ na zasoby informacyjne i operacje organizacji.

Kluczowe etapy zarządzania ryzykiem w kontekście opracowywania polityki cyberbezpieczeństwa to:

  1. Identyfikacja ryzyka: Identyfikacja potencjalnego ryzyka i zagrożeń dla systemów, sieci i danych organizacji. Można to zrobić poprzez ocenę ryzyka, skanowanie podatności i analizę zagrożeń. Przykłady zagrożeń obejmują nieautoryzowany dostęp, naruszenia danych, ataki złośliwego oprogramowania i zagrożenia wewnętrzne.

  2. Ocena ryzyka: Ocena prawdopodobieństwa i potencjalnego wpływu zidentyfikowanych zagrożeń. Pomaga to w ustaleniu priorytetów ryzyka w oparciu o ich znaczenie i kieruje alokacją zasobów w celu ograniczenia ryzyka. Metody oceny ryzyka mogą obejmować podejścia jakościowe lub ilościowe, w zależności od potrzeb i zasobów organizacji.

  3. Łagodzenie ryzyka: Wdrożenie kontroli i środków w celu zmniejszenia prawdopodobieństwa i wpływu zidentyfikowanego ryzyka. Obejmuje to stosowanie najlepszych praktyk branżowych, takich jak wdrażanie zapór ogniowych, systemów wykrywania włamań, szyfrowania i kontroli dostępu. Organizacje powinny również wziąć pod uwagę określone wymogi regulacyjne i standardy istotne dla ich branży.

  4. Monitorowanie i przegląd ryzyka: Regularnie monitoruj i weryfikuj skuteczność wdrożonych mechanizmów kontrolnych. Gwarantuje to, że środki cyberbezpieczeństwa pozostają aktualne i dostosowane do zmieniających się zagrożeń i słabych punktów. Bieżące oceny ryzyka, audyty bezpieczeństwa i ćwiczenia reagowania na incydenty mogą pomóc zidentyfikować luki i obszary wymagające poprawy.

Przestrzeganie ustalonych ram i standardów, takich jak Risk Management Framework (RMF) dostarczony przez National Institute of Standards and Technology (NIST), może zapewnić ustrukturyzowane i systematyczne podejście do zarządzania ryzykiem. RMF oferuje wytyczne i metodologie dla organizacji w celu skutecznego zarządzania ryzykiem.

Przykład: NIST zapewnia szczegółowe wytyczne dotyczące zarządzania ryzykiem w swojej publikacji Special Publication 800-30

3. Kontrola dostępu i zarządzanie użytkownikami

Kontrola dostępu i zarządzanie użytkownikami odgrywają kluczową rolę w zapewnianiu bezpieczeństwa systemów i ochronie wrażliwych danych przed nieautoryzowanym dostępem. Wdrażając solidne środki kontroli dostępu i skuteczne praktyki zarządzania użytkownikami, organizacje mogą zminimalizować ryzyko naruszenia danych i nieautoryzowanych działań.

Oto kluczowe kwestie dotyczące kontroli dostępu i zarządzania użytkownikami w polityce cyberbezpieczeństwa:

  1. Silne mechanizmy uwierzytelniania: Wdrożenie silnych metod uwierzytelniania dodaje dodatkową warstwę bezpieczeństwa do dostępu użytkowników. Uwierzytelnianie wieloskładnikowe (MFA) jest powszechnie zalecanym podejściem, które wymaga od użytkowników zapewnienia wielu form weryfikacji, takich jak hasło i unikalny kod wysyłany na urządzenie mobilne. Znacznie zmniejsza to ryzyko nieautoryzowanego dostępu, nawet jeśli hasło zostanie naruszone.

  2. Zasada najmniejszego przywileju (PoLP): Przestrzeganie zasady najmniejszego przywileju zapewnia, że użytkownicy mają tylko niezbędne uprawnienia dostępu do wykonywania swoich zadań. Ogranicza to potencjalne szkody, które mogą być spowodowane przez zainfekowane konta użytkowników. Przypisując uprawnienia w oparciu o określone role i obowiązki, organizacje mogą zminimalizować ryzyko nieautoryzowanych działań i narażenia danych.

  3. Regularne przeglądy dostępu: Przeprowadzanie regularnych przeglądów praw dostępu użytkowników jest niezbędne do utrzymania integralności kontroli dostępu. Obejmuje to okresowy przegląd i audyt uprawnień użytkowników, aby upewnić się, że są one zgodne z bieżącymi rolami i obowiązkami. Prawa dostępu powinny być niezwłocznie odbierane pracownikom, którzy zmieniają role lub opuszczają organizację, aby zapobiec nieautoryzowanemu dostępowi do systemów i danych.

  4. Technologie kontroli dostępu: Wdrożenie technologii kontroli dostępu, takich jak rozwiązania do zarządzania tożsamością i dostępem (IAM), może usprawnić proces zarządzania prawami dostępu użytkowników. Systemy IAM zapewniają scentralizowaną kontrolę nad przydzielaniem użytkowników, uwierzytelnianiem i uprawnieniami dostępu. Rozwiązania te umożliwiają organizacjom egzekwowanie spójnych zasad dostępu i upraszczają zarządzanie użytkownikami w wielu systemach i aplikacjach.

Przykład: Jedną z popularnych struktur kontroli dostępu jest Role-Based Access Control (RBAC), która przypisuje prawa dostępu w oparciu o wcześniej zdefiniowane role. RBAC zapewnia, że użytkownicy mają dostęp tylko do zasobów niezbędnych do wykonywania swoich obowiązków. Więcej informacji na temat RBAC można znaleźć w dokumencie NIST Special Publication 800-207

4. Reagowanie na incydenty i ciągłość działania

Skuteczny plan reagowania na incydenty jest niezbędny w dzisiejszym środowisku cyberbezpieczeństwa do szybkiego wykrywania, reagowania i odzyskiwania danych po incydentach bezpieczeństwa. Dobrze zaprojektowany plan zapewnia, że organizacje mogą zminimalizować wpływ incydentów, chronić swoje aktywa i utrzymać ciągłość działania.

Oto kluczowe elementy, które należy wziąć pod uwagę podczas opracowywania planu reagowania na incydenty:

  1. Procedury wykrywania incydentów: Zdefiniowanie mechanizmów i narzędzi do szybkiego wykrywania incydentów bezpieczeństwa. Może to obejmować wdrożenie systemów wykrywania włamań (IDS), rozwiązań do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) oraz narzędzi do monitorowania sieci. Zautomatyzowane alerty i monitorowanie w czasie rzeczywistym mogą pomóc w identyfikacji potencjalnych naruszeń bezpieczeństwa.

  2. Procedury reagowania: Ustanowienie jasnych procedur reagowania na incydenty, w tym ról i obowiązków zaangażowanych osób. Obejmuje to kroki w celu oceny powagi incydentu, powstrzymania incydentu, aby zapobiec dalszym szkodom i zainicjowania odpowiednich środków zaradczych. Procedury reagowania na incydenty powinny być szczegółowo udokumentowane i łatwo dostępne dla zespołu reagowania na incydenty.

  3. Protokoły komunikacji i eskalacji: Należy określić kanały komunikacji i protokoły zgłaszania i eskalacji incydentów. Gwarantuje to, że incydenty są niezwłocznie zgłaszane odpowiednim zainteresowanym stronom, takim jak zespoły IT, kierownictwo, dział prawny i organy ścigania, jeśli to konieczne. Skuteczna komunikacja pomaga koordynować działania i minimalizować czas reakcji.

  4. Odzyskiwanie i przywracanie: Zdefiniowanie procesów i wytycznych dotyczących przywracania systemów i danych do bezpiecznego stanu po incydencie. Może to obejmować przeprowadzenie badań kryminalistycznych, zastosowanie poprawek lub aktualizacji oraz zapewnienie dostępności kopii zapasowych w celu przywrócenia danych. Ustalenie celów czasu odzyskiwania (RTO) i celów punktu odzyskiwania (RPO) pomaga ustalić priorytety działań związanych z odzyskiwaniem.

  5. Testowanie i aktualizacja: Regularne testowanie planu reagowania na incydenty poprzez symulacje lub ćwiczenia praktyczne w celu zidentyfikowania luk i obszarów wymagających poprawy. Uwzględnianie wniosków wyciągniętych z rzeczywistych incydentów lub najlepszych praktyk branżowych. Aktualizowanie planu z uwzględnieniem ewoluujących zagrożeń, technologii i zmian w środowisku organizacyjnym.

Przykład: United States Computer Emergency Readiness Team (US-CERT) zapewnia zasoby i wytyczne dotyczące planowania reagowania na incydenty, w tym szablony planów reagowania na incydenty. Więcej informacji można znaleźć na stronie US-CERT website

Należy pamiętać, że posiadanie dobrze udokumentowanego i regularnie testowanego planu reagowania na incydenty ma kluczowe znaczenie dla skutecznego zarządzania incydentami i utrzymania ciągłości biznesowej.

5. Ochrona danych i prywatności

W dzisiejszym cyfrowym krajobrazie ochrona danych i prywatność są krytycznymi aspektami każdej solidnej polityki cyberbezpieczeństwa. Organizacje muszą wdrożyć kompleksowe środki w celu ochrony wrażliwych danych i zapewnienia zgodności z odpowiednimi przepisami. Przyjrzyjmy się kluczowym aspektom ochrony danych i prywatności:

  1. Klasyfikacja danych: Organizacje powinny klasyfikować dane na podstawie ich wrażliwości i krytyczności. Pozwala to na zastosowanie odpowiednich środków kontroli bezpieczeństwa i określenie uprawnień dostępu. Typowe klasyfikacje danych obejmują kategorie publiczne, wewnętrzne, poufne i zastrzeżone.

  2. Szyfrowanie: Stosowanie technik szyfrowania, takich jak szyfrowanie symetryczne lub asymetryczne, pomaga chronić dane zarówno w spoczynku, jak i podczas przesyłania. Szyfrowanie poufnych informacji dodaje dodatkową warstwę bezpieczeństwa, zapewniając, że nawet jeśli dane zostaną naruszone, pozostaną nieczytelne i bezużyteczne bez odpowiedniego odszyfrowania.

  3. Bezpieczna obsługa danych: Wdrożenie praktyk bezpiecznego przetwarzania danych obejmuje ustanowienie wytycznych dotyczących przesyłania, przechowywania i usuwania danych. Bezpieczne protokoły transmisji, takie jak bezpieczne protokoły transferu plików (SFTP) lub bezpieczna warstwa gniazd (SSL), powinny być używane do przesyłania wrażliwych danych. Przechowywanie danych powinno być zgodne ze standardami szyfrowania i mechanizmami kontroli dostępu, aby zapobiec nieautoryzowanemu dostępowi.

  4. Zgodność z przepisami: Zgodność z przepisami ma kluczowe znaczenie dla uniknięcia konsekwencji prawnych i finansowych. Organizacje muszą przestrzegać odpowiednich przepisów, takich jak ogólne rozporządzenie o ochronie danych (RODO), które chroni dane osobowe obywateli Unii Europejskiej (UE), ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA), która chroni dane opieki zdrowotnej, oraz federalna ustawa o modernizacji bezpieczeństwa informacji (FISMA), która ustanawia standardy bezpieczeństwa informacji agencji federalnych.

Przykład: Ogólne rozporządzenie o ochronie danych (RODO) to kompleksowe rozporządzenie o ochronie danych wdrożone przez Unię Europejską (UE). Określa ono surowe wymagania dla organizacji przetwarzających dane osobowe obywateli UE, w tym powiadamianie o naruszeniu danych, zarządzanie zgodą i prawa do prywatności. Więcej informacji na temat zgodności z RODO można znaleźć na stronie official GDPR website

Wdrażając solidne środki ochrony danych i zapewniając zgodność z odpowiednimi przepisami, organizacje mogą ograniczyć ryzyko związane z naruszeniami danych, nieautoryzowanym dostępem i naruszeniami prywatności.

6. Świadomość bezpieczeństwa i szkolenia

**Programy uświadamiania i szkolenia w zakresie bezpieczeństwa są istotnymi elementami kompleksowej polityki cyberbezpieczeństwa. Inicjatywy te mają na celu edukowanie pracowników w zakresie najlepszych praktyk cyberbezpieczeństwa, zwiększenie ich zrozumienia potencjalnych zagrożeń i umożliwienie im skutecznego reagowania na incydenty bezpieczeństwa. Przyjrzyjmy się kluczowym kwestiom związanym z wdrażaniem skutecznych programów uświadamiających i szkoleniowych w zakresie bezpieczeństwa:

  1. Najlepsze praktyki w zakresie cyberbezpieczeństwa: Programy szkoleniowe powinny obejmować podstawowe najlepsze praktyki w zakresie cyberbezpieczeństwa, takie jak tworzenie silnych i unikalnych haseł, rozpoznawanie wiadomości phishingowych i zabezpieczanie urządzeń osobistych. Pracownicy powinni być informowani o tym, jak ważne jest aktualizowanie oprogramowania i systemów oraz unikanie ryzykownych zachowań online.

  2. Świadomość ryzyka: Pracownicy powinni być świadomi różnych zagrożeń cyberbezpieczeństwa, z którymi mogą się spotkać, w tym ataków socjotechnicznych, infekcji złośliwym oprogramowaniem i naruszeń danych. Rzeczywiste przykłady i studia przypadków mogą pomóc zilustrować konsekwencje incydentów bezpieczeństwa i znaczenie przestrzegania protokołów bezpieczeństwa.

  3. Procedury reagowania: Szkolenie powinno zawierać jasne wytyczne dotyczące sposobu zgłaszania incydentów bezpieczeństwa i reagowania na potencjalne zagrożenia. Pracownicy powinni wiedzieć, z kim się kontaktować i jak odpowiednio eskalować incydenty. Procedury reagowania na incydenty, w tym zgłaszanie incydentów, kanały komunikacji i kroki ograniczania incydentów, powinny zostać uwzględnione w szkoleniu.

  4. Symulowane ćwiczenia: Przeprowadzanie symulowanych ćwiczeń phishingowych może pomóc pracownikom w rozpoznawaniu i unikaniu prób phishingu. Ćwiczenia te obejmują wysyłanie symulowanych wiadomości phishingowych do pracowników i śledzenie ich odpowiedzi. Wyniki można wykorzystać do zapewnienia ukierunkowanych szkoleń i poprawy świadomości technik phishingu.

  5. Kampanie uświadamiające: Regularne promowanie świadomości cyberbezpieczeństwa poprzez wewnętrzne kampanie i komunikację może pomóc wzmocnić koncepcje szkoleniowe. Plakaty, biuletyny i przypomnienia e-mail mogą być wykorzystywane do dzielenia się wskazówkami, aktualizacjami na temat pojawiających się zagrożeń i historiami sukcesu związanymi z incydentami bezpieczeństwa, którym udało się zapobiec dzięki czujności pracowników.

Przykład: United States Computer Emergency Readiness Team (US-CERT) zapewnia różnorodne zasoby dotyczące cyberbezpieczeństwa, w tym moduły szkoleniowe online, filmy i plakaty. Ich strona internetowa, us-cert.cisa.gov oferuje cenne informacje, które pomogą organizacjom zwiększyć świadomość bezpieczeństwa i programy szkoleniowe.

Inwestując w programy szkoleniowe w zakresie bezpieczeństwa, organizacje mogą stworzyć kulturę świadomości cyberbezpieczeństwa, wzmocnić pozycję pracowników jako pierwszej linii obrony i zmniejszyć prawdopodobieństwo udanych cyberataków.

Wnioski

Podsumowując, opracowanie solidnej polityki cyberbezpieczeństwa ma kluczowe znaczenie dla organizacji w celu zabezpieczenia ich zasobów cyfrowych, ochrony wrażliwych informacji i utrzymania zgodności z przepisami. Postępując zgodnie z najlepszymi praktykami i standardami branżowymi, takimi jak Risk Management Framework (RMF), NIST Standards, PCI-DSS, HIPAA i FISMA, organizacje mogą stworzyć solidne podstawy dla swoich polityk i procedur cyberbezpieczeństwa.

Te polityki i procedury zapewniają ramy dla ograniczania ryzyka, pomagając organizacjom identyfikować słabe punkty, wdrażać kontrole i zmniejszać ryzyko cyberataków, naruszeń danych i nieautoryzowanego dostępu. Zapewniają również zgodność z przepisami, gwarantując, że organizacje spełniają wymogi prawne i unikają kar oraz szkód dla reputacji.

Ochrona wrażliwych danych jest głównym celem polityk cyberbezpieczeństwa. Organizacje muszą ustanowić protokoły klasyfikacji danych, szyfrowania, bezpiecznej obsługi danych i utylizacji. Zgodność z przepisami takimi jak GDPR, HIPAA i FISMA jest niezbędna przy przetwarzaniu wrażliwych danych.

Plan reagowania na incydenty ma kluczowe znaczenie dla skutecznego reagowania na incydenty związane z cyberbezpieczeństwem. Organizacje powinny opracować procedury wykrywania, reagowania i naprawiania incydentów bezpieczeństwa. Regularne testowanie i aktualizowanie planu reagowania na incydenty jest niezbędne do zapewnienia jego skuteczności.

Dodatkowo, kontrola dostępu i zarządzanie użytkownikami odgrywają istotną rolę w zapobieganiu nieautoryzowanemu dostępowi do systemów i wrażliwych danych. Organizacje powinny wdrożyć silne mechanizmy uwierzytelniania i zdefiniować uprawnienia dostępu użytkowników w oparciu o zasadę najmniejszych uprawnień. Kluczowe znaczenie ma regularne sprawdzanie i odbieranie praw dostępu pracownikom, którzy zmieniają role lub odchodzą z organizacji.

Wreszcie, świadomość bezpieczeństwa i programy szkoleniowe mają kluczowe znaczenie dla wzmocnienia cyberbezpieczeństwa organizacji. Programy te edukują pracowników w zakresie najlepszych praktyk cyberbezpieczeństwa i zwiększają ich zrozumienie potencjalnych zagrożeń. Prowadzenie regularnych sesji szkoleniowych, symulowanych ćwiczeń phishingowych i kampanii uświadamiających wzmacnia świadomość bezpieczeństwa w całej organizacji.

Pamiętaj, że cyberbezpieczeństwo to ciągły wysiłek, a regularne aktualizacje, szkolenia i oceny są niezbędne, aby wyprzedzać ewoluujące zagrożenia.

Przykład: National Institute of Standards and Technology (NIST) zapewnia kompleksowe wytyczne dotyczące najlepszych praktyk i ram cyberbezpieczeństwa. Ich strona internetowa, nist.gov oferuje cenne zasoby, które pomogą organizacjom opracować skuteczne polityki cyberbezpieczeństwa.

Wdrażając kompleksową politykę cyberbezpieczeństwa, która obejmuje te kluczowe elementy, organizacje mogą poprawić swój stan bezpieczeństwa, chronić swoje aktywa i ograniczać ryzyko związane z zagrożeniami cybernetycznymi.

Referencje

  1. Ramy zarządzania ryzykiem (RMF) - https://www.nist.gov/cyberframework/risk-management-framework

  2. Standardy Narodowego Instytutu Standardów i Technologii (NIST) - https://www.nist.gov/cyberframework

  3. Standard bezpieczeństwa danych w branży kart płatniczych (PCI-DSS) - https://www.pcisecuritystandards.org/

  4. Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) - https://www.hhs.gov/hipaa/

  5. Federalna ustawa o modernizacji bezpieczeństwa informacji (FISMA) - https://csrc.nist.gov/topics/laws-and-regulations/laws/fisma