55 من اللوائح الفيدرالية ولوائح الولاية التي تتطلب توعية الموظفين وتدريبهم أمنيًا
مقدمة
يوصف البشر مراراً وتكراراً بأنهم الحلقة الأضعف في سلسلة الأمن السيبراني. نحن معرضون بشكل كبير للوقوع في هجمات التصيد الاحتيالي ومخططات الهندسة الاجتماعية وغيرها من المحاولات الخادعة. هذا الإدراك يجعل التدريب على الأمن السيبراني أكثر أهمية.
تبذل الشركات المزيد من الجهود في برامج التدريب على الأمن السيبراني، ولكن هل يتطلب القانون التدريب على الأمن السيبراني؟ أم أنه مجرد شيء جيد يجب القيام به من أجل السلامة؟
بغض النظر عن مجال عملك، تتطلب العديد من القوانين والتفويضات أن يتلقى الموظفون مستوى معيناً من التدريب على الأمن السيبراني. إن أمكن، تفرض هذه القوانين والتفويضات أيضاً متطلبات التتبع. لا يكفي مجرد تنفيذ التدريب؛ فأنت بحاجة إلى تتبع وتوثيق أن جميع الموظفين المعنيين قد تلقوا التدريب. عمليات التدقيق تحدث بالفعل!
من المهم ملاحظة أن متطلبات التدريب قد تختلف بناءً على الأدوار ومستويات المسؤوليات. قد يكون لدى المستخدم المتميز، مثل مسؤول النظام أو المهندس أو المطور، متطلبات مختلفة عن المستخدم العادي، الذي قد يكون لديه متطلبات مختلفة عن المستخدم التنفيذي. سنناقش أدناه قوانين الامتثال المختلفة وكيفية تحديدها للتدريب على الأمن السيبراني.
شاهد SPOTO IQ أثناء العمل
شاهد SPOTO IQ أثناء العمل
اللوائح الفيدرالية
إذا كنت صاحب عمل، أو متعاقداً مستقلاً أو موظفاً، فأنت خاضع للوائح الأمن السيبراني. من من منظور فيدرالي، يحدد مجال عملك الهيئات التنظيمية والتشريعات التي تنطبق عليك. إذا كنت تعمل في مجال الرعاية الصحية، فقد سمعت عن قانون HIPAA. إذا كنت تعمل في وزارة الدفاع أو الحكومة الفيدرالية، فربما تكون قد سمعت عن FISMA.
لا يحدد مجال عملك فقط اللوائح التي يجب عليك الالتزام بها – فالوظائف التي تؤديها تحدد ذلك أيضًا. قد تخضع لقوانين ولوائح وصلاحيات متعددة. إذا كنت من شركات تكنولوجيا المعلومات التي تعالج البيانات المتعلقة بالصحة، فقد تحتاج إلى معرفة متطلبات FISMA بالإضافة إلى متطلبات قانون HIPAA. من المتوقع أن يتم تنفيذ معظم متطلبات التدريب الفيدرالية سنويًا كحد أدنى.
قانون تحديث أمن المعلومات الفيدرالي (FISMA) مكتب الإدارة والميزانية (OMB) مسؤول عن إدارة قانون تحديث أمن المعلومات الفيدرالي لعام 2014. هذا هو التفويض الشامل للوكالات الفيدرالية. يتطلب قانون FISMA من جميع الموظفين والمتعاقدين الفيدراليين المشاركة في تدريب سنوي على الأمن السيبراني
قانون قابلية التأمين الصحي والمساءلة (HIPAA) قانون قابلية التأمين الصحي والمساءلة عن التأمين الصحي (HIPAA) موجود منذ عام 1996. وهو قانون فيدرالي صادر عن وزارة الصحة والخدمات الإنسانية الأمريكية (HHS). وهو يوفر معايير وطنية لحماية المعلومات الصحية ومعلومات الرعاية الصحية. تضمن HHS الامتثال الكامل لمتطلبات التدريب القائم على الأدوار استنادًا إلى متطلبات OMB A-130 FISMA، كما أنها مطلوبة سنويًا.
قانون جرام-ليتش-بليلي (GLBA) تم تنفيذ قانون GLBA لتحديد كيفية حماية المؤسسات المالية للمعلومات غير العامة (NPI). التدريب السنوي مطلوب.
معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) تنظم هذه السياسة الصناعة المصرفية وتستخدمها أي مؤسسة تعالج الدفع عبر بطاقات الائتمان. التدريب السنوي مطلوب.
اللائحة العامة لخصوصية البيانات (GDPR) تم إطلاق اللائحة العامة لخصوصية البيانات (GDPR) لضمان تأمين الشركات لبيانات الخصوصية فيما يتعلق بالمواطنين الأوروبيين. حتى إذا كنت شركة مقرها الولايات المتحدة، فأنت تخضع للامتثال إذا كنت تدير أي بيانات عملاء أوروبيين. تتطلب اللائحة العامة لحماية البيانات (GDPR) تدريبًا سنويًا للتوعية بالخصوصية.
لوائح الدولة
عندما يتعلق الأمر بلوائح الدولة، يبدو أنها لا تزال تتطور وتتكيف. فيما يلي، سنتناول فيما يلي متطلبات كل ولاية.
قانون ولاية ألاباما ألاباما الباب 41، القسم 28، ينص على قوانين تكنولوجيا المعلومات في ولاية ألاباما. يصرح وزير الفرع التنفيذي بشكل غير مباشر بالتدريب السيبراني، ويتم توفير التدريب هنا.
ألاسكا ألاسكا لا تفرض ألاسكا التدريب على الأمن السيبراني. ومع ذلك، فهي توفر التدريب ومؤشرات التهديد. تقوم دائرة الإدارة في ألاسكا، قسم خدمات تكنولوجيا المؤسسات في ألاسكا، بتطوير موقع الأمن السيبراني للولاية.
أريزونا لا تفرض ولاية أريزونا التدريب على الأمن السيبراني. ومع ذلك، يقوم كبير مسؤولي المعلومات بتطوير الخطة الاستراتيجية لتكنولوجيا المعلومات في الولاية، ويتم إدراج التدريب الإلكتروني تحت الهدف 1.4.
أركنساس أركنساس لا تفرض التدريب على الأمن السيبراني. يتم تطوير التدريب الطوعي وتوفيره من قبل إدارة نظم المعلومات في ولاية أركنساس، مكتب الأمن السيبراني.
كاليفورنيا لا تفرض كاليفورنيا التدريب السيبراني. ومع ذلك، هناك العديد من فرص التدريب. تنفذ وكالات الولاية الفردية مثل DMV ومجلس ضرائب الامتياز تدريباً إلكترونياً إلزامياً.
كولورادو كولورادو تتطلب التدريب السيبراني لموظفي الولاية. وهو مطلوب قانوناً بموجب قانون أمن المعلومات في كولورادو، قوانين كولورادو المنقحة 24-37.5-401 وما يليها.
ولاية كونيتيكت ولاية كونيتيكت تفرض التوعية بالأمن السيبراني لموظفي الولاية.
ولاية ديلاوير تفرض ولاية ديلاوير التدريب السيبراني على مستوى الولاية لجميع موظفي السلطة التنفيذية وموظفي الولاية والوكالات المحلية من خلال قانون ولاية ديلاوير الباب 29، الفصل 90 ج.
فلوريدا ولاية فلوريدا تفرض التدريب السيبراني لموظفي الولاية، كما هو مطلوب بموجب الفصل 282 من قوانين فلوريدا الأساسية. المصدر.
جورجيا GA GA E.O.182: يفرض هذا الأمر التنفيذي على جميع وكالات السلطة التنفيذية وموظفيها إكمال التدريب على الأمن السيبراني في غضون تسعين (90) يومًا من إصدار هذا الأمر.
هاواي هاواي لا تفرض التدريب على التوعية بالأمن السيبراني ولكنها توفر برنامجًا للأمن السيبراني.
أيداهو أيداهو لا تفرض ولاية أيداهو التدريب على الأمن السيبراني ولكنها توفر التدريب على صفحة الويب الخاصة بالولاية.
إلينوي في ولاية إلينوي، توفر مقاطعة كوك التدريب.
إنديانا إنديانا أصدرت إنديانا مؤخراً مشروع قانون لإلزام التدريب على الأمن السيبراني: IN H 1240.
ولاية أيوا في ولاية أيوا لديها تدريب طوعي للتوعية الأمنية من إنتاج السلطة التنفيذية.
كانساس تحتوي صفحة الويب الخاصة بمكتب خدمات تكنولوجيا المعلومات في كانساس على أدوات أمنية للتقييم الذاتي.
كنتاكي كنتاكي لا تفرض كنتاكي التدريب الإلزامي على الأمن السيبراني ولكنها تستضيف سنوياً تدريباً لموظفي حكومة الولاية خلال شهر أكتوبر، وهو شهر التوعية بالأمن السيبراني.
لويزيانا لويزيانا لويزيانا لديها تدريب إلزامي على الأمن السيبراني للموظفين الجدد وسنوياً بعد ذلك وفقاً لقسم الإدارة في لويزيانا، مكتب خدمات التكنولوجيا ص 52: LA H 633.
ولاية مين مين لا تفرض التدريب الإلكتروني الإلزامي. فهي توفر التدريب للموظفين الجدد من خلال مكتب تكنولوجيا المعلومات في ولاية مين.
ولاية ماريلاند تتطلب ولاية ماريلاند تدريبًا إلكترونيًا لموظفي الولاية من خلال وزارة الأمن الوطني. يجب على موظفي وكالات الولاية حضور دورة تدريبية إلكترونية كل شهر من أجل الوصول إلى شبكات الولاية. انظر هنا وهنا.
ماساتشوستس لا تفرض ولاية ماساتشوستس التدريب السيبراني.
ميشيغان ميشيغان لا تفرض التدريب على الأمن السيبراني. ومع ذلك، فهي تقدم تدريبًا لموظفي الولاية عبر الإنترنت.
مينيسوتا مينيسوتا لا تفرض مينيسوتا التدريب على الأمن السيبراني. فهي تقدم خدمات أمنية للموظفين والمقيمين.
ميسيسيبي ميسيسيبي ميسيسيبي لا تفرض التدريب على الأمن السيبراني. وهي توفر موارد تدريب عبر الإنترنت لموظفي الولاية من خلال كلية خارجية.
ميسوري
ميسوري لديها صفحة ويب خاصة بنصائح الموظفين. إليك صفحة الأمن السيبراني الخاصة بهم.
شاهد SPOTO IQ أثناء العملبدءاً من الوعي الأمني القائم على الألعاب إلى التدريب الحائز على جوائز، ومحاكاة التصيد الاحتيالي، وتقييمات الثقافة وغير ذلك، نريد أن نوضح لك ما يجعل SPOTO IQ رائدة في هذا المجال.
تفرض ولاية مونتانا مونتانا تدريباً إلكترونياً إلزامياً لموظفي السلطة التنفيذية في الولاية عند التعيين وسنوياً بعد ذلك. لا يُطلب من موظفي السلطة التشريعية تلقي التدريب السيبراني ولكن يتم تشجيعهم على القيام بذلك.
نبراسكا نبراسكا نبراسكا لديها تدريب سنوي إلزامي ودورة تدريبية لتجديد المعلومات لجميع موظفي الولاية في نيفادا.
نيفادا تتطلب ولاية نيفادا تدريبًا سنويًا في مجال الأمن السيبراني لموظفي الولاية لكل وكالة على حدة، ويشترط الحصول على درجة النجاح: معيار أمن الولاية 123 أمن تكنولوجيا المعلومات.
نيو هامبشاير تتطلب نيو هامبشاير تدريباً إلكترونياً سنوياً إلزامياً لموظفي الولاية من خلال أمر تنفيذي.
نيو جيرسي أقرت نيو جيرسي مؤخراً تشريعاً يفرض التدريب السنوي الإلزامي للتوعية بالأمن السيبراني: NJ A 1654
نيو مكسيكو نيو مكسيكو نيو مكسيكو ليس لديها تدريب سيبراني إلزامي.
نيويورك نيويورك لا تفرض نيويورك التدريب السيبراني الإلزامي ولكنها توفر التدريب لعامة الناس.
نورث كارولينا نورث كارولينا نورث كارولينا تفرض على كل وكالة توفير التدريب والتقييمات السنوية للقضايا الأمنية على أساس كل وكالة على حدة.
داكوتا الشمالية داكوتا الشمالية لا تفرض التدريب على الأمن السيبراني. فهي توفر معلومات أمنية لموظفي حكومة الولاية.
أوهايو أوهايو تفرض ولاية أوهايو التدريب على التوعية بالأمن السيبراني من خلال تفويضها IT-15 (التوعية الأمنية والتدريب). يتم توفير التدريب هنا.
أوكلاهوما أوكلاهوما أوكلاهوما لا تفرض التدريب السيبراني. توفر وزارة الأمن الداخلي في أوكلاهوما صفحة ويب تحتوي على نصائح إلكترونية.
ولاية أوريغون أوريغون يتلقى الموظفون والمتطوعون والمستخدمون الخارجيون تدريباً مناسباً للتوعية الإلكترونية وتحديثات منتظمة حول السياسات والإجراءات.
بنسلفانيا بنسلفانيا تفرض بنسلفانيا تدريباً سنوياً للتوعية الأمنية عبر الإنترنت لجميع موظفي حكومة الولاية.
رود آيلاند رود آيلاند لا تفرض ولاية رود آيلاند التدريب السيبراني.
ولاية كارولينا الجنوبية لا تفرض التدريب السيبراني. تقدم الولاية التدريب كبرنامج من خلال وزارة الأمن الوطني لموظفي حكومة الولاية.
داكوتا الجنوبية لا تفرض ولاية داكوتا الجنوبية التدريب على الأمن السيبراني. وهي توفر صفحة موارد التدريب.
ولاية تينيسي يُتوقع من موظفي الولاية، ولكن ليس إلزاميًا، أن يتلقوا تدريبًا أمنيًا وتوعويًا مقدمًا من الولاية عند توظيفهم لأول مرة وسنويًا بعد ذلك.
تكساس تفرض ولاية تكساس التدريب السنوي على الأمن السيبراني لجميع موظفي الولاية. يجب أن تكون جميع برامج التدريب معتمدة من قبل الولاية.
يوتا
يوتا لديها تدريب سيبراني إلزامي لجميع موظفي الدولة على مستوى السلطة التنفيذية. يجب إكمال التدريب سنويًا. فيما يلي السياسات الأمنية
5000-0002 سياسة أمن المعلومات (DTS)
5000-000-0003 سياسة الأجهزة المحمولة المؤسسية 5000-0004 سياسة تصفية الويب المؤسسية
فيرمونت
فيرجينيا فيرجينيا تتطلب تدريب موظفي الولاية من قبل وكالة تلو الأخرى: VA H 852
واشنطن ولاية واشنطن لا تفرض ولاية واشنطن التدريب على الأمن السيبراني.
ولاية فرجينيا الغربية التدريب على الأمن السيبراني في ولاية فرجينيا الغربية إلزامي بموجب القسم 5A-6-4a من قانون ولاية فرجينيا الغربية.
ولاية ويسكونسن ويسكونسن لا تفرض التدريب على الأمن السيبراني. التدريب متاح للموظفين وعامة الناس.
وايومنغ لا تفرض وايومنغ التدريب على الأمن السيبراني. ومع ذلك، هناك صفحة توعية إلكترونية متاحة لعامة الناس.
تفرض ولاية فيرمونت التدريب الإلزامي للتوعية الأمنية لجميع موظفي الولاية الجدد. لا توجد متطلبات حالية لتكرار التدريب. تتضمن معاييرهم وتوجيهاتهم ما يلي:
تحديث معيار الأمن السيبراني 19-01
معايير أمن المعلومات
شاهد سبوتو آي كيو أثناء العمل
المصادر
الأسئلة المتداولة حول التدريب على التوعية الأمنية، TeachPrivacy
قانون HIPAA للمهنيين، HHS.gov
القانون الفيدرالي لتحديث أمن المعلومات الفيدرالي لعام 2014، HHS.gov
تشريعات الأمن السيبراني 2020، NCSL
الأمر التنفيذي :: GA 182 2019, custom.statenet.com
مشروع قانون مجلس النواب رقم 1240، Custom.statenet.com
التدريب على التوعية الأمنية في سياق اللائحة العامة لحماية البيانات، مايندسيت سيكيوريتي
تشريع الأمن السيبراني 2019، NCSL
التدريب السيبراني الحكومي لموظفي الدولة، ncsl.org
55 من اللوائح الفيدرالية ولوائح الولاية التي تتطلب توعية الموظفين وتدريبهم أمنيًا
About the Author
