Infosec-Standards und -Vorschriften – eine Einführung in die Sortierkonformität

Die Kategorisierung von InfoSec-Standards und -Vorschriften in verschiedene Gruppen mag zunächst albern klingen, da es nicht wirklich etwas ist, was ernsthafte Menschen tun, um einen schriftlichen Satz von Richtlinien und Regeln zum Leben zu erwecken. Jede Kategorie weist jedoch eine Reihe von Merkmalen auf, die bei der Definition der Persönlichkeit von Schülern helfen. Tatsächlich haben mehrere verschiedene Online-Websites bereits Prominente, Game of Thrones-Charaktere und Politiker in ihre eigenen Gruppen eingeteilt. Obwohl den InfoSec-Standards und -Vorschriften Persönlichkeiten fehlen, tun dies die Organisationen, die sie entwickeln.

Die Infosec-Compliance hat nicht die strenge Hierarchie, die zu anderen Compliance-Bereichen gehört. In einigen Fällen dienen die Standards und Vorschriften von Infosec sowohl als Vorschläge als auch als Anleitung. Trotzdem hat die wachsende Aufmerksamkeit der Kunden einen erheblichen Teil dieses Themas dahingehend verdreht, dass Compliance ein wichtiger Verkaufsaspekt für den Umsatz ist. Dennoch kann die Organisation solcher InfoSec-Standards und -Vorschriften in einem umfassenderen Leitfaden dabei helfen, den sich ständig ändernden Compliance-Raum zu verhandeln.

Sich auf Organisationen zu konzentrieren, die in der Welt der InfoSec-Standards und -Vorschriften Entschlossenheit, Tapferkeit und Mut ausstrahlen, bedeutet, dass man sich Unternehmen ansieht, die die Verantwortung für die Sicherheit anzuführen scheinen, um die Cybersicherheit in der Welt zu verbessern. Sie beinhalten:

• OWASP: Das Open Web Application Security Project wurde bereits 2001 gegründet, um als offene globale Community zu fungieren, die es Organisationen ermöglicht, vertrauenswürdige Anwendungen zu betreiben, zu erwerben, zu entwickeln, zu konzipieren und aufrechtzuerhalten. Obwohl es mehr Ressourcen und weniger Compliance projiziert, verdient OWASP dank seiner heldenhaften Bemühungen um Brancheninnovation, die den Mitgliedern Orientierung bietet, einen Platz auf dieser Liste. Darüber hinaus scheint es sich um eine Organisation zu handeln, deren Hauptziele sich hauptsächlich mit traditionellen Compliance-Zielen überschneiden, die von stärker formalisierten Organisationen eingeführt werden.
• NIST : NIST ist auch als National Institute of Standards and Technology bekannt und veröffentlicht sein angesehenes Cybersecurity Framework kostenlos. Sowohl NIST 800-53 als auch das Cybersecurity Framework helfen dabei, Organisationen eine Technik an die Hand zu geben, mit der sie ihre Best Practices organisieren können, ohne automatisch Geld ausgeben zu müssen. Die Website des National Institute of Standards and Technology wurde zum Schutz der Cybersicherheit entwickelt und bietet ein kostenloses Referenztool, das den Framework Core darstellt, eine Gruppe von Branchenpraktiken, Richtlinien und Standards.
• Security Policy Framework UK : Der Government Security Profession, National Security and Intelligence und das UK Cabinet Office haben dieses elfseitige Dokument veröffentlicht, um den Schutz von Regierungsvermögen zu unterstützen. Es umfasst zwanzig obligatorische Anforderungen, die in die sieben Schlüsselbereiche persönliche Sicherheit, Schutzkennzeichnung und Vermögenskontrolle, Geschäftskontinuität, Terrorismusbekämpfung, Informationssicherheit und -sicherung, physische Sicherheit sowie Governance, Risikomanagement und Compliance eingeteilt sind.
• COBIT : Die Information Systems Audit and Control Association steht hinter der Schaffung des COBIT-Frameworks (Control Objectives for Information Related Technology). Die Struktur fungiert als Werkzeug, das dabei hilft, die Lücken zu schließen, die zwischen technischen Problemen und Geschäftsanforderungen bestehen, um sicherzustellen, dass Kontrollen angemessen abgebildet werden. Wichtig ist, dass COBIT als Werkzeug für die prozessbasierte Modellierung fungiert.

Darüber hinaus bietet das Framework Reifegradmodelle zur Bewertung von Änderungen, die erforderlich sind, wenn Unternehmen wachsen. Dies geschieht durch die Untergliederung von 34 Prozessen in die vier besonderen Domänen Überwachung und Bewertung, Beschaffung und Implementierung, Organisation sowie Bereitstellung und Unterstützung.

• ISO : ISO oder die Internationale Organisation für Normung liefert einige der am häufigsten eingehaltenen und anerkannten Normen. Die Einhaltung von ISO/IEC/27000 zusammen mit den zugehörigen Standards ist führend, insbesondere für diejenigen, die sich auf InfoSec-Standards und -Vorschriften einlassen. Als führender Spezialist für Informationssicherheit hat sich ISO dieses Attribut zunutze gemacht, um sich als fortwährendes Unternehmen mit beeindruckenden Ambitionen zu präsentieren.
• HITRUST : Die 2007 gegründete Health Information Trust Alliance (HITRUST) hilft beim Schutz von Patientendaten. Sein Modell zielt darauf ab, im gesamten Gesundheitssektor Basislinien zu erstellen, die auf Unternehmen basierend auf ihrer Reife und ihrem Risiko angewendet werden können. HITRUST hat die Gesundheitsbranche bewertet und festgestellt, dass nur bestimmte Risiken für ihre Mitglieder wahrscheinlich sind, anstatt mit Risiken zu beginnen und Kontrollen als Reaktion auf solche Risiken aufzubauen. Auf diese Weise ermöglicht das Modell den von HIPAA abgedeckten Unternehmen, ihre Programme über das Common Security Framework-Modell anzupassen.
• HIPAA : Das Health Insurance Portability and Accountability (HIPAA) von 1996 forderte den Minister für Gesundheit und menschliche Dienste auf, Datenschutzbestimmungen einzuführen, die darauf abzielen, individuell identifizierbare Gesundheitsinformationen zu schützen. Darüber hinaus bringen die HIPAA-Sicherheitsstandards eine regulatorische Anforderung mit sich, wonach die Unternehmen in ihrem Zuständigkeitsbereich Verwaltungsverfahren zum Schutz und zur Verwaltung des Schutzes von Daten, technische Sicherheitsdienste, die den Zugriff auf Informationen überprüfen, und technische Sicherheitsmechanismen entwickeln, die die unbefugte Übertragung von Informationen verhindern und physische Sicherheitsvorkehrungen für Computersysteme.
• GDPR : GDPR oder die Allgemeine Datenschutzverordnung der EU ist dafür bekannt, Governance und Rechenschaftspflicht zu einer ihrer wichtigsten Richtlinien zu machen. Es erstellt eine einzige Sammlung von Regeln, die für alle Mitglieder gelten. Nichtsdestotrotz erweitert es den Geltungsbereich auf Datenverantwortliche, die an der Sammlung von Informationen von EU-Bürgern beteiligt sind, die von EU-Bürgern stammen. Dies bedeutet, dass eine Organisation, die mit Informationen von EU-Bürgern auf diese Weise umgeht, auch ohne in der EU zu sein, konform sein muss. Die DSGVO zielt darauf ab, die Menge der betroffenen Daten zu reduzieren, das Ziel der Verwendung von Informationen einzuschränken, die Fairness, Rechtmäßigkeit und Transparenz des Datenschutzes zu bestimmen, die Integrität und Vertraulichkeit von Informationen durchzusetzen und die Menge an Speicherplatz zu begrenzen, die eine Organisation für eine Person behält.
• SOX : Der Sarbanes-Oxley Act (SOX) wurde bereits 2002 als Reaktion auf die breite Palette betrügerischer Berichterstattung von Unternehmen erlassen. Obwohl die SEC eine lobenswerte Arbeit geleistet hatte, als es darum ging, die meisten Bedenken von SOX auszuräumen, führte die Gier der Unternehmen dazu, dass mehrere Unternehmen gegen die Gesetze verstießen. SOX zielt darauf ab, diesen Unternehmen Ethik aufzuzwingen, indem es Strafen für diejenigen verhängt, die falsche Meldungen machen. Darüber hinaus fordert der SOX-Abschnitt 404 Unternehmen auf, ihre IT-Umgebung zu bewerten, um festzustellen, ob Risiken bei der Finanzberichterstattung (intern oder extern) und Maßnahmen zu deren Bewältigung bestehen.
• PCI-DSS : PCI oder das Payment Card Industry Security Standards Council wurde von verschiedenen Finanzunternehmen organisiert, darunter Visa, Mastercard, JCB International, Discover Financial Services und American Express. Es spielt eine wichtige Rolle bei der Förderung der Informationssicherheit, insbesondere über elektronische Systeme. Tatsächlich hat sich der PCI Data Security Standard oder (PCI-DSS) als Compliance-Standard nicht nur für irgendwelche, sondern alle Zahlungsabwickler herausgestellt. Darüber hinaus müssen Anbieter die Landschaft bewerten, um zu versuchen, den Umfang ihres Risikos zu bestimmen, was es ihnen ermöglicht, PCI-DSS-konform zu sein.
• COSO : Die Securities and Exchange Commission, oder allgemein bekannt als SEC, bildete in den 1980er Jahren ein Komitee, um betrügerische Berichterstattung zu untersuchen. In diesem Prozess schlossen sich fünf unterstützende Organisationen von Buchhaltern und Wirtschaftsprüfern der Überprüfung an, die zur Gründung des Committee of Sponsoring Organizations of the Treadway Commission (COSO) führte. Später im Jahr 2013 wurde eine größere Überarbeitung in das ursprüngliche Framework aufgenommen.

Die interne Kontrolle von COSO erkennt die fünf korrelierten Elemente Kontrollaktivitäten, Kontrollumfeld, Überwachung, Information und Kommunikation sowie Kontrollaktivitäten an. Darüber hinaus umfasste das von PricewaterhouseCoopers erstellte Enterprise Risk Management – ​​Integrated Framework strategische, Berichterstattungs-, Betriebs- und Compliance-Geschäftsziele mit acht Framework-Elementen zur Identifizierung von Ereignissen, Überwachung, Information und Management, Kontrollaktivitäten, Risikoreaktion, Zielsetzung und Internes Umwelt und Risikobewertung.

Ken Lynch ist ein erfahrener Start-up-Experte für Unternehmenssoftware, der sich schon immer dafür interessiert hat, was Mitarbeiter zur Arbeit antreibt und wie man die Arbeit ansprechender gestalten kann. Ken gründete Reciprocity, um genau das zu verfolgen. Er hat den Erfolg von Reciprocity mit diesem missionsbasierten Ziel vorangetrieben, Mitarbeiter mit den Governance-, Risiko- und Compliance-Zielen ihres Unternehmens zu beschäftigen, um sozial denkendere Unternehmensbürger zu schaffen. Ken erwarb seinen BS in Informatik und Elektrotechnik am MIT.