Gesetze und Vorschriften
Gesetze und Vorschriften
Nachfolgend finden Sie eine unvollständige Auflistung staatlicher Gesetze und Vorschriften in verschiedenen Teilen der Welt, die sich erheblich auf die Datenverarbeitung und die Informationssicherheit auswirken, ausgewirkt haben oder auswirken werden.
Wichtige branchenspezifische Vorschriften sind ebenfalls aufgeführt, wenn sie sich erheblich auf die Informationssicherheit auswirken.
- Das britische Data Protection Act 1998 enthält neue Bestimmungen zur Regelung der Verarbeitung personenbezogener Daten, einschließlich der Erlangung, des Besitzes, der Verwendung und der Offenlegung solcher Daten.
Die Datenschutzrichtlinie der Europäischen Union (EUDPD) verlangt, dass alle EU-Mitglieder nationale Vorschriften erlassen, um den Schutz des Datenschutzes für die Bürger in der gesamten EU zu vereinheitlichen.
- Das Computermissbrauchsgesetz 1990 ist ein Gesetz des U.K.-Parlaments, das Computerkriminalität (z.B.
- Hacking) unter Strafe stellt.
Das Gesetz wurde zum Vorbild für mehrere andere Länder, Kanada]] und die Republik Irland, haben sich bei der Ausarbeitung ihrer eigenen Gesetze zur Informationssicherheit davon inspirieren lassen.
- Die Richtlinie über die Vorratsdatenspeicherung der EU (aufgehoben) verpflichtet Internetanbieter und Telefongesellschaften, Daten über jede gesendete elektronische Nachricht und jeden getätigten Anruf zwischen sechs Monaten und zwei Jahren zu speichern.
- Das Family Educational Rights and Privacy Act (FERPA) (g; 34 CFR Part 99) ist ein US-amerikanisches Bundesgesetz, das die Privatsphäre von Schülerunterlagen schützt.
Das Gesetz gilt für alle Schulen, die im Rahmen eines entsprechenden Programms des US-Bildungsministeriums Mittel erhalten. Im Allgemeinen müssen die Schulen die schriftliche Erlaubnis der Eltern oder des berechtigten Schülers haben um Informationen aus den Bildungsunterlagen eines Schülers freizugeben.
- Die Sicherheitsrichtlinien für Prüfer des Federal Financial Institutions Examination Council (FFIEC) enthalten Anforderungen an die Sicherheit im Online-Banking.
- Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 schreibt die Einführung nationaler Standards für elektronische Transaktionen im Gesundheitswesen und nationaler Kennungen für Leistungserbringer, Krankenversicherungspläne und Arbeitgeber vor.
Darüber hinaus verpflichtet es Gesundheitsdienstleister, Versicherungsanbieter und Arbeitgeber, die Sicherheit und den Datenschutz von Gesundheitsdaten zu gewährleisten.
- Der Gramm-Leach-Bliley Act von 1999 (GLBA), auch bekannt als Financial Services Modernization Act von 1999, schützt die Privatsphäre und die Sicherheit privater Finanzdaten, die von Finanzinstituten gesammelt, gespeichert und verarbeitet werden.
- Abschnitt 404 des Sarbanes-Oxley Act of 2002 (SOX) verpflichtet börsennotierte Unternehmen, die Wirksamkeit ihrer internen Kontrollen für die Finanzberichterstattung in den Jahresberichten zu bewerten, die sie am Ende eines jeden Geschäftsjahres vorlegen.
Die Chief Information Officers sind für die Sicherheit, Genauigkeit und Zuverlässigkeit der Systeme verantwortlich, die die Finanzdaten verwalten und ausweisen. Das Gesetz verpflichtet börsennotierte Unternehmen außerdem, unabhängige Prüfer zu beauftragen, die die Gültigkeit ihrer Bewertungen bestätigen und darüber berichten müssen.
- Der Payment Card Industry Data Security Standard (PCI DSS) legt umfassende Anforderungen zur Verbesserung der Sicherheit von Zahlungskontodaten fest.
Er wurde von den Gründungsmitgliedern des PCI Security Standards Council entwickelt - darunter American Express, Discover Financial Services, JCB, MasterCard Worldwide, und Visa International - entwickelt, um die breite Einführung einheitlicher Datensicherheitsmaßnahmen auf globaler Basis zu erleichtern. Der PCI DSS ist ein vielschichtiger Sicherheitsstandard, der Anforderungen an Sicherheitsmanagement, Richtlinien, Verfahren, Netzwerkarchitektur, Softwaredesign und andere wichtige Schutzmaßnahmen enthält.
- Staatliche Gesetze zur Meldung von Sicherheitsverletzungen (Kalifornien und viele andere) verpflichten Unternehmen, gemeinnützige Organisationen und staatliche Einrichtungen, Verbraucher zu benachrichtigen, wenn unverschlüsselte "personenbezogene Daten" möglicherweise kompromittiert wurden, verloren gegangen oder gestohlen worden sind.
- Das kanadische Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA) unterstützt und fördert den elektronischen Handel durch den Schutz persönlicher Daten, die unter bestimmten Umständen erhoben, verwendet oder weitergegeben werden,
indem es die Verwendung elektronischer Mittel zur Übermittlung oder Aufzeichnung von Informationen oder Transaktionen vorsieht und den Canada Evidence Act, den Statutory Instruments Act und den Statute Revision Act ändert.
- Die griechische Behörde für Kommunikationssicherheit und Datenschutz (ADAE) (Gesetz 165/2011) legt die Mindestkontrollen für die Informationssicherheit fest, die jedes Unternehmen, das elektronische Kommunikationsnetze und/oder -dienste in Griechenland anbietet, zum Schutz der Vertraulichkeit der Kunden einsetzen sollte.
Dazu gehören sowohl verwaltungstechnische als auch technische Kontrollen (z.B.
- sollten Protokollaufzeichnungen zwei Jahre lang aufbewahrt werden).
- Griechenlands griechische Behörde für Kommunikationssicherheit und Datenschutz (ADAE) (Gesetz 205/2013) konzentriert sich auf den Schutz der Integrität und Verfügbarkeit der von griechischen Telekommunikationsunternehmen angebotenen Dienste und Daten.
Das Gesetz zwingt diese und andere damit verbundene Unternehmen dazu, geeignete Pläne für die Geschäftskontinuität und redundante Infrastrukturen zu entwickeln, einzusetzen und zu testen.
Das US-Verteidigungsministerium (DoD) erließ im Jahr 2004 die DoD-Richtlinie 8570, ergänzt durch die DoD-Richtlinie 8140, die vorschreibt, dass alle DoD-Mitarbeiter und alle DoD-Vertragspersonen, die in der Informationssicherung tätig sind, verschiedene IT-Zertifizierungen erwerben und aufrechterhalten müssen, um sicherzustellen, dass alle DoD-Mitarbeiter, die an der Verteidigung der Netzwerkinfrastruktur beteiligt sind, über ein Mindestmaß an in der IT-Branche anerkannten Kenntnissen, Fähigkeiten und Fertigkeiten (KSA) verfügen.
- Andersson und Reimers (2019) berichten, dass diese Zertifizierungen von CompTIAs A+ und Security+ bis hin zu ICS2.orgs CISSP usw. reichen.