Безопасность IIS

       

Акт Gramm-Leach-Bliley


С лета 2001 г. многие американцы получили большое количество писем с информацией о секретности от банков, компаний кредитных карт и других финансовых институтов. Это стало результатом выхода в свет Акта о модернизации финансового обслуживания в 1999 году, который чаще называют Актом Gramm-Leach-Bliley или G-L-B по фамилиям трех конгрессменов, представивших законопроект. Главной целью G-L-B было выведение из действия регулятивных мер, введенных после депрессии Актом Glass-Steagall в 1933 г. Согласно G-L-B поставщики финансовых услуг, включая банки, охранные агентства и страховые компании, могут взаимодействовать друг с другом и проникать на рынок друг друга (целью является открытая и свободная конкуренция в сфере финансовых услуг). Однако в процессе рассмотрения законопроекта многие высказали свою озабоченность в связи с распространением информации между компаниями различных категорий, например, между страховыми компаниями и банками, которые получат новые возможности для "перекрестных продаж" согласно закону G-L-B.

Непосредственно к веб-сайтам относится раздел закона под названием "Разглашение непубличной частной информации". В данном разделе говорится: "Каждый финансовый институт имеет необходимое и постоянное обязательство защищать секретность своих клиентов… Финансовый институт имеет необходимое и постоянное обязательство обеспечивать безопасность и конфиденциальность непубличной частной информации о своих клиентах". Основное применение закона аналогично применению COPPA: когда тип данных, обрабатываемых сайтом, попадает под категорию, о которой говорится в законопроекте, то защита этих данных обязательна на основании закона. В действительности закон G-L-B стал сводом стандартов безопасности, которым должны отвечать финансовые институты (ссылки на эти стандарты расположены по адресу http://eprivacygroup.com/sources).

Согласно G-L-B финансовым институтам запрещается разглашение непубличной частной информации несвязанным с ними третьим сторонам (либо напрямую, либо через партнера), если данный финансовый институт четко и конкретно:


  • не оповестил клиента о том, что его информация может быть разглашена какой-либо третьей стороне;
  • не предоставил клиенту возможность запретить разглашение информации;
  • не предоставил описание метода, с помощью которого клиент может запретить разглашение.


Отдельная часть законодательного акта ставит вне закона получение непубличной персональной информации посредством жульничества (этот вид незаконной деятельности называется доступом под предлогом, когда злоумышленник выдает себя за авторизованное лицо для доступа к личным данным). Имейте в виду, что закон G-L-B применим не только к банкам и страховым компаниям. Данный законодательный акт говорит о "финансовом институте" в широком смысле, включая любые организации, участвующие в процессах, по определению являющихся финансовыми, а также подразумевается любая другая активность, которая может быть зафиксирована федеральными органами. В число этих организаций входят компании, занимающиеся ипотечным кредитованием, выплатами по чекам, электронной передачей денежных средств, туристические агентства, осуществляющие денежные операции, сборщики налогов, консультанты по кредитам, компании по подготовке данных о налогах и т.д.

Любая организация, попадающая под действие закона G-L-B, в обязательном порядке должна четко определить свою политику и действия по обеспечению секретности, особенно, если речь идет о разглашении непубличных персональных данных партнерам компании и лицам, которые в прошлом были клиентами данного финансового института; также должны четко определяться категории непубличной личной информации, собираемой организацией, меры защиты, обеспечивающие конфиденциальность и безопасность непубличной персональной информации.

G-L-B требует использования полнофункциональной программы по защите информации, включающей в себя административные, технические и физические меры по обеспечению безопасности записей и информации клиента в соответствии с размером и сложностью организации, ее природой и областью деятельности.Совет директоров организации должен одобрить и вести наблюдение за процессом разработки, применения и управления программой по обеспечению безопасности информации. Организация должна уделять особое внимание выбору и отслеживанию работы поставщиков услуг, которые обеспечивают соответствующие меры безопасности, для удовлетворения установленным директивам. Другими словами, если вы отвечаете за веб-сайты, принадлежащие финансовым организациям или компаниям по обслуживанию таких организаций, защита этих сайтов является обязательной по закону.


Содержание раздела