Перейти до основного матеріалу

Кодекс поведінки Health-ISAC

Щоб захистити та сприяти цінному обміну інформацією в рамках співпраці, необхідної для забезпечення нашого взаємного захисту, Health-ISAC, Inc. (Health-ISAC) створила цей Кодекс поведінки, щоб роз’яснити очікування для всіх членів Health-ISAC, співробітників , керівники, директори, постачальники, підрядники, волонтери, відвідувачі Заходу та їхні гості (разом «Учасники»). Учасники мають унікальну можливість взаємодіяти та брати участь у робочих групах Health-ISAC, семінарах, самітах, зустрічах, заходах, програмах і заходах (разом «Події») та обмінюватися інформацією через безпечний канал чату, HTIP та інші дискусійні форуми. Щоб підтримувати середовище, в якому всі Учасники можуть вільно обмінюватися інформацією, і забезпечити конфіденційність інформації, отриманої через Health-ISAC (через усі засоби комунікації), Health-ISAC створив цей Кодекс поведінки.

Усі Учасники визнають і погоджуються дотримуватися таких принципів:

1. Відповідність протоколу світлофора.
  1. Уся інформація, розкрита або іншим чином подана для звітування, обміну чи аналізу будь-яким Учасником, включаючи будь-яку інформацію, яку обробляє, надає спільний доступ, зберігає, архівує чи розкриває Учасник або Health-ISAC у зв’язку з програмами та послугами, які надає Health-ISAC ( разом іменовані як «Спільна інформація») повинні бути засекречені на момент первинного розкриття стороною, яка розкриває (Учасник або Health-ISAC), і після цього отримується та обробляється іншими Учасниками та Health-ISAC суворо відповідно до його класифікації згідно з Протоколом світлофора Health-ISAC («TLP»). TLP можна переглянути та завантажити за адресою https://www.heath-isac.org/landing-page/tlp/. Будь-яка спільна інформація, надіслана без спеціального позначення TLP, вважається TLP AMBER.
  2. Уся спільна інформація, розкрита Учасником, може використовуватися Health-ISAC анонімно та/або узагальнено на користь Health-ISAC та його членів відповідно до початково визначеної класифікації TLP. Посилання на конкретного Учасника не буде включено, за винятком випадків, коли це спеціально дозволено Учасником, який розкриває інформацію.
  3. Будь-якому Учаснику, який отримує Спільну інформацію, дозволяється використовувати Спільну інформацію лише для цілей власної внутрішньої безпеки, і він несе відповідальність за забезпечення того, щоб Спільна інформація поширювалася лише серед його співробітників на основі необхідності ознайомлення та суворо відповідно до Протокол світлофора («Одержувачі»). У випадку, якщо Учасник залучив Постачальника керованих послуг безпеки (MSSP) або інших постачальників або контрактну підтримку («Підрядники»), які отримуватимуть будь-яку спільну інформацію від імені Учасника, Учасник визнає, що він несе відповідальність за забезпечення розуміння його Підрядниками TLP, дотримуватись TLP і за жодних обставин будь-яка Спільна інформація не повинна розкриватися Підрядникам або використовуватися ними на користь себе чи будь-якого іншого клієнта. Учасники повинні переконатися, що всі Одержувачі та Підрядники знають і розуміють систему класифікації TLP і їм надано копію TLP.
  4. Учасники повинні забезпечувати та підтримувати адекватні та належні фізичні та кіберзаходи, політики та процедури для (i) забезпечення безпеки та конфіденційності та належного поводження зі Спільною інформацією відповідно до її класифікації TLP, (ii) захисту від будь-яких очікуваних загроз або уразливості щодо безпеки або цілісності такої Спільної інформації, (iii) захистити від несанкціонованого доступу до такої Спільної інформації або її використання, що порушує її TLP класифікувати та (iv) за можливості забезпечити повне, безпечне та постійне видалення такої Спільної інформації, за винятком Інформації Учасників, наданої відповідно до Розділу 5(b), відповідно до вказівок Учасника або вимог чинного законодавства.
  5. Учасник має негайно повідомити Health-ISAC та Учасника, що розкриває інформацію (разом іменується як «Сторона, що розголошує»), якщо існує будь-який фактичний або обґрунтовано підозрюваний (a) несанкціонований або незаконний доступ до будь-якої Спільної інформації, розкриття чи розповсюдження її з порушенням її Класифікація TLP, або (b) несанкціонований доступ до будь-якого об’єкта, апаратного забезпечення, комп’ютерної мережі чи системи, що містить будь-які спільні Інформація (разом «Інциденти безпеки»). На додаток до сповіщення, як зазначено вище, якщо стався Інцидент безпеки, Учасник має негайно вжити всіх необхідних заходів для пом’якшення збитків, спричинених Інцидентом безпеки.
  6. Список учасників Health-ISAC, складений у каталозі учасників чи іншим чином, є конфіденційною та службовою інформацією Health-ISAC і завжди розглядається як TLP AMBER. Розголошення членства будь-якої організації в Health-ISAC не дозволяється без попереднього письмового дозволу Health-ISAC і такого члена.
  7. Учасник повинен завжди дотримуватися класифікацій TLP і цього Розділу 1 і визнає, що будь-яка нездатність поводитися зі Спільною інформацією відповідно до класифікацій TLP або цього Розділу 1 може призвести до негайного призупинення, припинення або відкликання облікових даних Учасника під час будь-якої Події та запиту негайно залишити Захід.
2. Чесна та етична поведінка.

Відкритий діалог і обмін інформацією та відповідями мають вирішальне значення для бізнесу Health-ISAC та успіху наших Учасників. Учасники повинні прагнути діяти чесно, етично та справедливо як у внутрішніх, так і в зовнішніх відносинах, включаючи взаємодію з іншими Учасниками, Heath-ISAC та його співробітниками та будь-якими третіми сторонами, з якими Учасники або Health-ISAC можуть вести бізнес. Заяви та інформація, якими обмінюються Учасники, не повинні порушувати антимонопольне законодавство та не повинні бути зневажливими, неправдивими, такими, що вводять в оману, оманливими чи шахрайськими. Учасники не повинні отримувати несправедливу вигоду від будь-кого шляхом маніпуляцій, приховування, зловживання конфіденційною інформацією, спотворення суттєвих фактів або будь-якої іншої недобросовісної практики.

3. Антимонопольна.

Події Health-ISAC за своєю природою об’єднують конкурентів. На всіх Заходах Health-ISAC очікується, що учасники діятимуть відповідно до чинного антимонопольного законодавства та законодавства про конкуренцію та уникатимуть обговорень делікатних тем, які можуть викликати антимонопольні проблеми, наприклад обговорення ціноутворення (включно з елементами ціноутворення, такими як надбавки та умови кредиту). . Обговорення включають як усні, так і письмові, включаючи публікації в соціальних мережах або чатах. Учасники заходів Health-ISAC повинні пам’ятати про важливість уникати не тільки незаконної діяльності, але навіть видимості незаконної діяльності.

4 Інтелектуальна власність
  1. Учасники не мають права використовувати, розголошувати, передавати, зберігати, оприлюднювати або спонукати до розголошення інтелектуальної власності Health-ISAC або будь-якого іншого Учасника, окрім як у зв’язку з Подією Health-ISAC і суворо відповідно до TLP.
  2. Відповідно до Закону про захист авторських прав у цифрову епоху (DMCA) та інших чинних законів, Health-ISAC прийняв політику припинення членства або участі в Заходах Health-ISAC, за відповідних обставин, Учасників, які порушують права інтелектуальної власності інші. Тут можна повідомити про відомі або підозрювані порушення прав інтелектуальної власності:
    УВАГА: порушення DMCA/IPR
    Health-ISAC, Inc.
    12249 Science Drive, Suite 370
    Орландо, штат Флорида, 32826
    або електронною поштою на адресу: support@h-isac.org
    з темою Порушення DMCA/IPR
5. Заборонені дії під час заходів Health-ISAC

Health-ISAC прагне забезпечити безпечне, продуктивне та доброзичливе середовище для всіх Учасників усіх Подій Health-ISAC незалежно від того, відвідують вони віртуально чи особисто. Health-ISAC прагне забезпечити можливість проведення Подій без переслідувань для всіх, незалежно від статі, гендерної ідентичності та самовираження, віку, сексуальної орієнтації, обмежених можливостей, зовнішнього вигляду, розміру тіла, раси, етнічного походження, релігії чи технологічного вибору. Ми не терпимо агресивних дій у будь-якій формі. Учасники Заходу, які порушують цю політику, можуть бути виключені без відшкодування з Заходу та майбутніх Заходів на розсуд Health-ISAC. Учасники не можуть виконувати такі дії під час або у зв’язку з будь-якою подією Health-ISAC:

a. Спільний доступ до облікового запису
Надання або участь в обміні обліковими даними облікового запису Health-ISAC з будь-якою фізичною чи юридичною особою, яка не є власником облікового запису.

b. Жодного маркетингу
Маркетинг продуктів або послуг та/або будь-який вид прохання за межами офіційно схваленої спонсорської діяльності. Презентації, публікації та повідомлення не повинні містити рекламних матеріалів, спеціальних пропозицій, пропозицій про роботу, оголошень про продукти чи прохання про послуги. Health-ISAC залишає за собою право видаляти такі повідомлення та потенційно забороняти джерела таких запитів.

в. ВИКОРИСТАННЯ ОБРАЖЛИВИХ АБО НАКЛЕПНИЦЬКИХ КОМЕНТАРІВ, НЕВІДПОВІДНОЇ чи ОБРАЗЛИВОЇ МОВИ
Пропаганда непристойної, вульгарної або професійно невідповідної лексики або поведінки або участь у ній. Переслідування чи наклепи на будь-яку особу або реклама, поширення чи демонстрація будь-яких матеріалів чи символів, що містять або натякають на расову/етнічну ненависть, містять вміст сексуального, порнографічного чи насильницького характеру, або посилаються на сексуальну орієнтацію чи інвалідність будь-якої іншої особи. людина. Це включає в себе словесні образи будь-якого учасника, спікера, волонтера, експонента, співробітника Health-ISAC, постачальника послуг або іншого гостя зустрічі. Приклади словесних образ включають, але не обмежуються, словесні коментарі щодо статі, сексуальної орієнтації, інвалідності, фізичного вигляду, розміру тіла, раси, релігії, національного походження, неналежного використання зображень оголеного тіла та/або сексуальних зображень у громадських місцях або в презентації, погрози чи переслідування будь-якого учасника, доповідача, волонтера, експонента, співробітника Health-ISAC, постачальника послуг чи іншого гостя зустрічі. Ця політика рівною мірою поширюється на онлайн-діяльність і посилання як зрозумілою, так і прихованою мовою та/або посилання на веб-сайти, що містять таку мову або зображення.

d. ЗАГРОЗИ ТА ЗРУШЕННЯ
Погрози фізичної шкоди будь-якій особі або спонукання інших до цього за допомогою чіткої або замаскованої лексики, включно з діяльністю в Інтернеті та посиланнями або посиланнями на веб-сайти, що містять таку мову чи зображення. Зрив презентацій під час сесій, у виставковому залі, в Інтернеті чи на інших Заходах, організованих Health-ISAC. Усі учасники повинні виконувати вказівки модератора та персоналу заходу Health-ISAC.

д. РОЗМІЩЕННЯ ШКІДЛИВИХ ПРОГРАМ В ІНТЕРНЕТІ
(i) Розміщення зловмисних програм з наміром або без наміру порушити конфіденційність, цілісність або доступність Health-ISAC, будь-якого Учасника чи особи чи інформації, що належить цим особам; або (ii) неодноразове недотримання будь-якого протоколу обміну інформацією Health-ISAC.

f. РОЗПОВСЮДЖЕННЯ ПЕРСОНАЛЬНОЇ ІНФОРМАЦІЇ
Несанкціоноване оприлюднення або пропаганда оприлюднення особистої інформації будь-якого Учасника. Це включає мову та/або посилання на веб-сайти, що містять таку мову, зображення чи вміст.

g. НАРКОТИКИ
Пряме чи опосередковане посилання на особистий продаж, розповсюдження чи споживання незаконних наркотиків чи наркотиків.

ч. НЕПОВНОЛІТНІ
Без прямого дозволу, дозвіл або забезпечення участі в будь-якому форумі, конференції чи іншій пропозиції будь-якої особи молодше 18 років.

i. ІНША НЕЗАКОННА ДІЯЛЬНІСТЬ
Участь в іншій незаконній діяльності, не зазначеній вище, яка, на виключну думку Health-ISAC, вважається шкідливою для неї самої, членства будь-якої іншої ISAC або критичної інфраструктури.

j. ОДЯГ
Правильний одяг — це діловий повсякденний одяг. Очікується, що ведучі заходу мають бути одягнені у відповідний одяг, включаючи діловий повсякденний одяг (сорочка з коміром, штани та сукня), і бути добре доглянутими.

k. ФОТОГРАФІЯ
Учасники не повинні фотографувати, копіювати або робити знімки екрану, презентації, запитання та відповіді чи будь-які дії в чаті, які відбуваються під час Події.

6. Повідомлення про порушення

Якщо будь-який Учасник зазнає переслідувань або стає свідком будь-яких випадків неприйнятної поведінки, Учасник повинен повідомити про це співробітника Health-ISAC або відділ кадрів Health-ISAC за адресою HR@h-isac.org щоб ми могли негайно вжити відповідних заходів. В іншому випадку про порушення цього Кодексу поведінки слід повідомляти support@h-isac.org. Для оперативного усунення порушень будь-яке повідомлення має містити такі відомості:

  1. Дата і час проведення
  2. Усі залучені сторони
  3. Відомий або підозрюваний злочин
  4. Контактна інформація для розпорядження та подальших запитань (анонімні повідомлення все ще розглядатимуться).
7. Засоби захисту

Health-ISAC вважає порушення цього Кодексу поведінки серйозною справою. Будь-яке порушення може призвести до дисциплінарної відповідальності будь-якого Члена. Інциденти будуть оцінюватися в кожному конкретному випадку та можуть призвести до негайного видалення з Заходу без попередження чи відшкодування, призупинення або постійної заборони на будь-які та всі Події Health-ISAC, припинення членства, звітування керівництву компанії на місці порушника. роботодавця та/або звернення до правоохоронних органів. У разі виявлення неприйнятної поведінки під час особистого Заходу співробітники Health-ISAC на місці готові допомогти будь-якому Учаснику зв’язатися з охороною готелю або місцевими правоохоронними органами. Health-ISAC залишає за собою право обмежити участь будь-якого Учасника або інших відвідувачів Заходу, які не повністю підтримують і не дотримуються цього Кодексу поведінки.

8. Обов'язки члена

Учасники несуть відповідальність за те, щоб усі їхні дозволені працівники, агенти та представники, які діють від їх імені, були поінформовані про цей Кодекс поведінки та будь-які його оновлення та мали можливість переглянути їх.

9. Довіра до спільної інформації

Учасники погоджуються, що визначальною функцією Health-ISAC є обмін інформацією та розвідувальними даними про кібернетичні та фізичні загрози для сектору охорони здоров’я для сприяння дедалі ефективнішому стримуванню та контролю загроз, і погоджуються, що Health-ISAC не несе відповідальності за будь-які результати, спричинені застосування інформації, якою обмінюються Учасники, афілійовані особи та/або відвідувачі Події.

10 Модифікація

Health-ISAC може будь-коли змінити цей Кодекс поведінки. Будь-які такі зміни з’являться на веб-сайті, і Health-ISAC сповіщатиме про будь-які істотні зміни членів Health-ISAC.

Останнє оновлення: лютий 2025 р