The new obligation to notify personal data breaches under Articles 33 and 34 of the General Data Protection Regulation 2016/679 can be seen as a reflection of the US regulatory approach to security breach incidents, which has an established tradition since the enactment of Security Breach Information Act in California in 2002. The contribution presents in two parts the relevant legal frameworks of the US and the EU, in order to provide a discussion on their similarities and differences. The aim is to identify available intellectual stimuli to the respective academic debate regarding interpretation, application and specification of the EU provisions based on inspiration from the US experience. The Part II adds the insight into the respective EU regulatory approach and contains the discussion of the parallels of the US and EU frameworks and available insight to be drawn from this doctrinal research.
2
Dostęp do pełnego tekstu na zewnętrznej witrynie WWW
The new obligation to notify personal data breaches under Articles 33 and 34 of the General Data Protection Regulation 2016/679 can be seen as a reflection of the US regulatory approach to security breach incidents, which has an established tradition since the enactment of Security Breach Information Act in California in 2002. The contribution presents in two parts the relevant legal frameworks of the US and the EU, in order to provide a discussion on their similarities and differences. The aim is to identify available intellectual stimuli to the respective academic debate regarding interpretation, application and specification of the EU provisions based on inspiration from the US experience. The Part I introduces the reader to the concept of personal data breach and its relevance in nowadays digital society and then offers and introduction of the relevant US regulatory frameworks.
Systemy nadzoru stanu technicznego wykorzystują techniki cyfrowe. Z tego powodu mogą z jednej strony być celem ataków hakerskich, natomiast z drugiej mogą być także wykorzystywane jako narzędzia do ataków na powiązane z nimi, bardziej odpowiedzialne systemy. We wstępie wyspecyfikowano główne elementy systemu nadzoru, do których w dalszych częściach odnoszono się, omawiając możliwe zagrożenia hakerskie. Przedstawiono przykłady kilku naruszeń bezpieczeństwa cybernetycznego z obszaru działalności technicznej, które dotyczyły systemów w mniejszym lub większym stopniu pozostających w powiązaniu z systemami nadzoru stanu technicznego. Omówiono kierunki zagrożeń dla wybranych komponentów składowych systemu nadzoru, a także sposoby ich zabezpieczenia oraz certyfikacji, posługując się przykładami systemów najbardziej rozpowszechnionych. Przytoczono wybrane standardy, które mogą być pomocne w realizacji programu podniesienia bezpieczeństwa cybernetycznego w przedsiębiorstwie oraz opisano jego najważniejsze elementy. Zwrócono również uwagę na ważność wprowadzenia wystarczająco precyzyjnych zapisów w tzw. SiWZ-ach, aby uniknąć dostawy przypadkowych rozwiązań systemów wspomagających nadzór stanu technicznego – także ze względu na bezpieczeństwo cybernetyczne.
EN
Technical condition management systems (=CMaS) use digital techniques. For this reason, they can be the target of hacker attacks but also be used as the interface to launch an attack on other systems connected to the same network. This paper introduces the main components of the CMaS, and discusses the possible risks and threats of hacking. It presents examples of a number of breaches of cyber security in the area of technical activity for systems that can be interfaced with CMaS. The paper also discusses threats to chosen components of the CMaS, as well as ways that they can be protected by use of certified cyber-security techniques – using as examples the most popular systems available in the market. A selection of standards is reviewed that can be helpful in the implementation of a program of cyber security improvements, and the most important elements of such program are described. The paper also highlights the importance of introducing some sufficiently precise provisions in tender documents to prevent accidentally delivered CMaS components, and systems which do not assure enough high cyber-security.
This paper focuses on the processes of dealing with security breaches which are becoming one of the most pressing problems in every organization whose systems are connected to the global web. The study presents the most widely used methodologies which were designed in order to detect and react to security violations in a systematic and efficient way. Based on presented methodologies, announced and supported by such credible organizations as SANS, NIST, CERT® or ISO, authors present their own methodology. It takes into account selected aspects of these methodologies, with the purpose of creation a systematic and coherent approach to the process of detecting and reacting to abuses in IT systems.
PL
Niniejsza praca prezentuje aspekty związane z procesem reakcji na incydenty bezpieczeństwa, które stają się jednym z najbardziej dotkliwych problemów każdej organizacji, której systemy informatyczne są połączone z siecią Internet. Autorzy przedstawiają najpopularniejsze metodyki wykrywania i reakcji na incydenty bezpieczeństwa, opracowane i wspierane przez takie uznane i poważane organizacje jak SANS, NIST, CERTŽ czy ISO. Następnie autorzy prezentują swoją własną metodykę, która integruje wybrane elementy przedstawionych rozwiązań w kompletne i spójne podejście do detekcji i reakcji na incydenty bezpieczeństwa.
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.