معايير ولوائح Infosec - امتثال لفرز التمهيدي

قد يبدو تصنيف معايير ولوائح InfoSec إلى مجموعات مختلفة أمرًا سخيفًا في البداية لأن إحضار مجموعة مكتوبة من الإرشادات والقواعد إلى الحياة ليس شيئًا يفعله الأشخاص الجادون في الواقع. ومع ذلك ، تتميز كل فئة بمجموعة من الخصائص التي تساعد في تحديد شخصيات الطلاب. في الواقع ، قامت العديد من مواقع الويب المختلفة بالفعل بتجميع المشاهير وشخصيات Game of Thrones والسياسيين في مجموعاتهم الخاصة. على الرغم من أن معايير ولوائح InfoSec تفتقر إلى الشخصيات ، إلا أن المنظمات التي تقوم بتطويرها تفعل ذلك.

لا يحتوي توافق Infosec على التسلسل الهرمي الصارم الذي ينتمي إلى حقول الامتثال الأخرى. في بعض الحالات ، تعمل معايير ولوائح Infosec كاقتراحات وإرشادات من الأقران. ومع ذلك ، فقد أدى اهتمام العملاء المتزايد إلى تحريف جزء كبير من هذا الموضوع إلى الامتثال لكونه جانب بيع رئيسي للإيرادات. ومع ذلك ، فإن تنظيم معايير ولوائح InfoSec هذه في دليل أوسع يمكن أن يساعد في التفاوض على مساحة الامتثال المتغيرة باستمرار.

إن التركيز على المنظمات التي أبدت العزيمة والشجاعة والشجاعة في عالم معايير ولوائح InfoSec يستلزم النظر في الكيانات التي يبدو أنها تقود مسئولية الأمن في محاولة لتعزيز الأمن السيبراني في العالم. يشملوا:

• OWASP: تم إنشاء مشروع أمان تطبيق الويب المفتوح في عام 2001 ليعمل كمجتمع عالمي مفتوح يسمح للمؤسسات بتشغيل التطبيقات الموثوقة والحصول عليها وتطويرها وتصورها ودعمها. على الرغم من أنها تقدم موارد أكثر وامتثالًا أقل ، تستحق OWASP مكانًا في هذه القائمة بفضل جهودها البطولية للابتكار الصناعي ، والتي تقدم إرشادات للأعضاء. علاوة على ذلك ، يبدو أنها منظمة تتداخل أهدافها الرئيسية بشكل أساسي مع أهداف الامتثال التقليدية التي وضعتها المنظمات ذات الطابع الرسمي بشكل أكبر.
• NIST : المعروف أيضًا باسم المعهد الوطني للمعايير والتكنولوجيا ، ينشر NIST إطار عمل الأمن السيبراني الذي يحظى باحترام كبير دون أي تكلفة. يساعد كل من NIST 800-53 وإطار عمل الأمن السيبراني في إعطاء المنظمات تقنية لبدء تنظيم أفضل ممارساتها دون الحاجة إلى إنفاق الأموال تلقائيًا. يوفر موقع المعهد الوطني للمعايير والتكنولوجيا ، المصمم لحماية الأمن السيبراني ، أداة مرجعية مجانًا ، والتي تمثل Framework Core ، وهي مجموعة من الممارسات الصناعية والإرشادات والمعايير.
• إطار سياسة الأمن في المملكة المتحدة : قامت مهنة الأمن الحكومي والأمن القومي والاستخبارات ومكتب مجلس الوزراء البريطاني بنشر هذه الوثيقة المكونة من 11 صفحة للمساعدة في توجيه حماية الأصول الحكومية. وهي تشمل عشرين من المتطلبات الإلزامية التي تم تصنيفها إلى سبعة مجالات رئيسية للأمن الشخصي ، وعلامات الحماية ومراقبة الأصول ، واستمرارية الأعمال ، ومكافحة الإرهاب ، وأمن المعلومات وضمانها ، والأمن المادي ، والحوكمة ، وإدارة المخاطر والامتثال.
• COBIT : جمعية تدقيق ومراقبة نظم المعلومات وراء إنشاء إطار عمل أهداف التحكم لتقنية المعلومات ذات الصلة (COBIT). يعمل الهيكل كأداة تساعد في سد الفجوات الموجودة بين المشكلات الفنية ومتطلبات العمل في محاولة للتأكد من تعيين الضوابط بشكل مناسب. الأهم من ذلك ، يعمل COBIT كأداة للنمذجة القائمة على العمليات.

علاوة على ذلك ، يوفر الإطار نماذج نضج لتقييم التغييرات المطلوبة مع نمو الشركات. يقوم بذلك من خلال تقسيم أربع وثلاثين عملية إلى أربعة مجالات خاصة للمراقبة والتقييم ، والحصول على التطبيق والتنفيذ والتنظيم والتسليم والدعم.

• ISO : تقدم ISO أو المنظمة الدولية للتوحيد القياسي بعض المعايير الأكثر امتثالًا والمعترف بها. إن امتثال ISO / IEC / 27000 جنبًا إلى جنب مع المعايير المرتبطة به يقود المسؤولية ، خاصة بالنسبة لأولئك الذين يشرعون في معايير ولوائح InfoSec. نظرًا لكونها متخصصًا في المقام الأول عندما يتعلق الأمر بأمن المعلومات ، فقد سخرت ISO هذه السمة لتقديم نفسها كمؤسسة مستمرة ذات طموح مثير للإعجاب.
• HITRUST : تأسس تحالف اتحاد المعلومات الصحية (HITRUST) في عام 2007 ، ويساعد في حماية معلومات المريض. ويهدف نموذجها إلى بناء خطوط أساسية عبر قطاع الصحة ، والتي يمكن تطبيقها على الشركات بناءً على نضجها ومخاطرها. قام HITRUST بتقييم صناعة الرعاية الصحية وقرر أن هناك مخاطر معينة فقط كانت محتملة لأعضائها بدلاً من البدء بالمخاطر وضوابط البناء كاستجابة لمثل هذه المخاطر. من خلال القيام بذلك ، يمكّن نموذجها الكيانات التي يغطيها HIPAA من تخصيص برامجها عبر نموذج Common Security Framework.
• HIPAA : حث نقل التأمين الصحي والمساءلة (HIPAA) لعام 1996 وزير الصحة والخدمات الإنسانية على تنفيذ لوائح الخصوصية التي تهدف إلى حماية المعلومات الصحية التي يمكن التعرف عليها بشكل فردي. والأكثر من ذلك ، أن معايير الأمان HIPAA تقدم مطلبًا تنظيميًا حيث تقوم الشركات الواقعة في نطاق اختصاصها ببناء إجراءات إدارية تهدف إلى حماية وإدارة حماية البيانات ، وخدمات الأمان الفنية التي تراجع الوصول إلى المعلومات ، وآلية الأمان الفنية التي تمنع النقل غير المصرح به للمعلومات والضمانات المادية على أنظمة الكمبيوتر.
• اللائحة العامة لحماية البيانات: تشتهر اللائحة العامة لحماية البيانات أو اللائحة العامة لحماية البيانات في الاتحاد الأوروبي بجعل الحوكمة والمساءلة أحد توجيهاتها الرئيسية. يقوم بإنشاء مجموعة واحدة من القواعد التي تنطبق على جميع الأعضاء. ومع ذلك ، فإنه يوسع النطاق ليشمل مراقبي البيانات الذين يشاركون في جمع المعلومات من سكان الاتحاد الأوروبي المأخوذة من المقيمين في الاتحاد الأوروبي. ما يعنيه هذا هو أنه حتى بدون التواجد في الاتحاد الأوروبي ، فإن المنظمة التي تتعامل مع معلومات المقيمين في الاتحاد الأوروبي بهذه الطرق تتطلب أن تكون متوافقة. يسعى القانون العام لحماية البيانات (GDPR) إلى تقليل كمية البيانات المتضمنة ، والحد من الهدف من استخدام المعلومات ، وتحديد الإنصاف ، والقانونية ، وشفافية الخصوصية ، وفرض سلامة المعلومات وسريتها ، والحد من مقدار التخزين الذي تحتفظ به المؤسسة للفرد.
• SOX : تم سن قانون Sarbanes-Oxley (SOX) مرة أخرى في عام 2002 كرد فعل لمجموعة واسعة من التقارير الاحتيالية للشركات. على الرغم من أن SEC قد قامت بعمل جدير بالثناء عندما يتعلق الأمر بمعالجة معظم مخاوف SOX ، إلا أن جشع الشركات أدى إلى انتهاك العديد من الشركات للقوانين. تهدف SOX إلى فرض الأخلاق على هذه الشركات من خلال فرض عقوبات على أولئك الذين يخطئون في الإبلاغ. بالإضافة إلى ذلك ، يدعو قسم SOX 404 الشركات إلى تقييم بيئة تكنولوجيا المعلومات الخاصة بها في محاولة لتحديد ما إذا كانت هناك مخاطر إعداد تقارير مالية (داخلية أو خارجية) والتدابير التي تلائمها.
• تم تنظيم PCI-DSS : PCI أو مجلس معايير أمان صناعة بطاقات الدفع من قبل العديد من الكيانات المالية بما في ذلك Visa و Mastercard و JCB International و Discover Financial Services و American Express. يلعب دورًا رئيسيًا في تعزيز أمن المعلومات ، لا سيما الأنظمة الإلكترونية. في الواقع ، ظهر معيار أمان بيانات PCI أو (PCI-DSS) كمعيار امتثال ليس فقط لأي من معالجات الدفع ولكن لجميع معالجات الدفع. علاوة على ذلك ، يتعين على البائعين تقييم المشهد في محاولة لتحديد نطاق مخاطرهم ، مما يسمح لهم بالتوافق مع PCI-DSS.
• COSO : شكلت لجنة الأوراق المالية والبورصات ، أو المعروفة باسم SEC لجنة في الثمانينيات للتدقيق في التقارير الاحتيالية. في هذه العملية ، انضمت خمس منظمات داعمة من المحاسبين والمراجعين إلى المراجعة ، مما أدى إلى إنشاء لجنة المنظمات الراعية التابعة للجنة تريدواي (COSO). في وقت لاحق من عام 2013 ، تم إدراج مراجعة رئيسية في الإطار الأولي.

تدرك الرقابة الداخلية في COSO العناصر الخمسة المترابطة لأنشطة الرقابة ، وبيئة التحكم ، والرصد ، والمعلومات والاتصالات ، وأنشطة الرقابة. بالإضافة إلى ذلك ، تضمنت إدارة المخاطر المؤسسية - الإطار المتكامل ، الذي تم إنشاؤه بواسطة برايس ووترهاوس كوبرز ، هدف الأعمال الاستراتيجي والتقارير والعمليات والامتثال مع ثمانية عناصر إطار عمل لتحديد الأحداث والمراقبة والمعلومات والإدارة وأنشطة الرقابة والاستجابة للمخاطر وتحديد الأهداف والداخلية البيئة وتقييم المخاطر.

كين لينش هو أحد المخضرمين في بدء تشغيل برمجيات المؤسسات ، وكان دائمًا مفتونًا بما يدفع العمال إلى العمل وكيفية جعل العمل أكثر جاذبية. أسس كين مبدأ المعاملة بالمثل لمتابعة ذلك بالضبط. لقد دفع نجاح Reciprocity من خلال هذا الهدف القائم على المهمة المتمثل في إشراك الموظفين في أهداف الحوكمة والمخاطر والامتثال لشركتهم من أجل خلق المزيد من مواطني الشركات ذوي التفكير الاجتماعي. حصل كين على درجة البكالوريوس في علوم الكمبيوتر والهندسة الكهربائية من معهد ماساتشوستس للتكنولوجيا.