Infosec 표준 및 규정 – 기본 분류 규정 준수

InfoSec 표준과 규정을 여러 그룹으로 분류하는 것은 처음에는 어리석게 들릴 수 있습니다. 서면 지침과 규칙을 현실로 만드는 것은 진지한 사람들이 실제로 하는 일이 아니기 때문입니다. 그러나 각 범주에는 학생의 성격을 정의하는 데 도움이 되는 일련의 특성이 있습니다. 사실, 여러 온라인 웹사이트에서 이미 유명인, 왕좌의 게임 캐릭터 및 정치인을 자체 그룹으로 그룹화했습니다. InfoSec 표준 및 규정에는 개성이 없지만 이를 개발하는 조직은 개성이 없습니다.

Infosec 규정 준수에는 다른 규정 준수 필드에 속하는 엄격한 계층 구조가 없습니다. 어떤 경우에는 Infosec 표준 및 규정이 동료 제안 및 지침 역할을 합니다. 그럼에도 불구하고 증가하는 고객 관심은 이 주제의 상당 부분을 수익의 주요 판매 측면인 규정 준수로 왜곡했습니다. 그럼에도 불구하고 이러한 InfoSec 표준 및 규정을 보다 광범위한 가이드로 구성하면 끊임없이 변화하는 규정 준수 공간을 협상하는 데 도움이 될 수 있습니다.

InfoSec 표준 및 규정 세계에서 결단력, 용기 및 용기를 발산한 조직에 초점을 맞추려면 세계의 사이버 보안을 강화하기 위해 보안 책임을 주도하는 것으로 보이는 조직을 살펴봐야 합니다. 여기에는 다음이 포함됩니다.

• OWASP: 개방형 웹 응용 프로그램 보안 프로젝트는 조직이 신뢰할 수 있는 응용 프로그램을 운영, 획득, 개발, 구상 및 유지할 수 있는 개방형 글로벌 커뮤니티로 운영하기 위해 2001년에 설립되었습니다. OWASP는 더 많은 리소스와 더 적은 규정 준수를 예상하지만 회원들에게 지침을 제공하는 업계 혁신의 영웅적인 노력 덕분에 이 목록에 들어갈 자격이 있습니다. 또한, 보다 공식화된 조직에서 설정한 기존 규정 준수 목표와 주로 주요 목표가 겹치는 조직인 것으로 보입니다.
• NIST : NIST는 NIST(National Institute of Standards and Technology)로 잘 알려져 있는 사이버 보안 프레임워크를 무료로 게시합니다. NIST 800-53과 사이버 보안 프레임워크는 조직에 자동으로 비용을 지출하지 않고도 모범 사례를 구성할 수 있는 기술을 제공하는 데 도움이 됩니다. 사이버 보안을 보호하기 위해 설계된 NIST(National Institute of Standards and Technology)의 웹 사이트는 업계 관행, 지침 및 표준 그룹인 Framework Core를 나타내는 참조 도구를 무료로 제공합니다.
• 영국 보안 정책 프레임워크 : 정부 보안 전문직, 국가 안보 및 정보, 영국 내각부는 정부 자산 보호 지침을 지원하기 위해 이 11페이지 분량의 문서를 발행했습니다. 여기에는 개인 보안, 보호 표시 및 자산 제어, 비즈니스 연속성, 대테러, 정보 보안 및 보증, 물리적 보안, 거버넌스, 위험 관리 및 규정 준수의 핵심 7개 영역으로 분류되는 20개의 필수 요구 사항이 포함됩니다.
• COBIT : 정보 시스템 감사 및 통제 협회는 정보 관련 기술(COBIT) 프레임워크에 대한 통제 목표 생성의 배후에 있습니다. 이 구조는 컨트롤이 적절하게 매핑되도록 하기 위해 기술 문제와 비즈니스 요구 사항 사이에 존재하는 격차를 해소하는 데 도움이 되는 도구 역할을 합니다. 중요하게도 COBIT은 프로세스 기반 모델링을 위한 도구 역할을 합니다.

뿐만 아니라 이 프레임워크는 기업이 성장함에 따라 필요한 변경 사항을 평가하기 위한 성숙도 모델을 제공합니다. 이것은 34개의 프로세스를 모니터링 및 평가, 획득 및 구현, 조직, 전달 및 지원의 4가지 특정 영역으로 구분하여 수행합니다.

• ISO : ISO 또는 국제표준화기구(International Organization for Standardization)는 가장 자주 준수되고 인정되는 표준 중 일부를 제공합니다. 관련 표준과 함께 ISO/IEC/27000 준수는 특히 InfoSec 표준 및 규정을 시작하는 사람들에게 비용을 부과합니다. 정보 보안과 관련하여 최고의 전문가인 ISO는 이러한 속성을 활용하여 인상적인 야망을 가진 지속적인 기업으로 자리매김했습니다.
• HITRUST : 2007년에 설립된 HITRUST(Health Information Trust Alliance)는 환자 정보 보호를 지원합니다. 이 모델은 건강 부문 전반에 걸쳐 기준을 구축하는 것을 목표로 하며, 이는 성숙도와 위험 모두를 기반으로 기업에 적용될 수 있습니다. HITRUST는 의료 산업을 평가하고 위험에서 시작하여 그러한 위험에 대한 대응으로 통제를 구축하는 것과는 대조적으로 구성원에게 특정 위험만 발생할 가능성이 있다는 결론을 내렸습니다. 이를 통해 해당 모델은 HIPAA가 적용되는 엔터티가 Common Security Framework 모델을 통해 프로그램을 사용자 지정할 수 있도록 합니다.
• HIPAA : 1996년의 HIPAA(Health Insurance Portability and Accountability)는 보건 복지부 장관에게 개별적으로 식별 가능한 건강 정보를 보호하기 위한 개인 정보 보호 규정을 시행할 것을 촉구했습니다. 또한 HIPAA 보안 표준은 해당 범위 내의 기업이 데이터 보호, 정보에 대한 액세스를 검토하는 기술 보안 서비스, 무단 정보 전송을 방지하는 기술 보안 메커니즘을 보호 및 관리하기 위한 관리 절차를 구축하는 규제 요구 사항을 가져옵니다. 컴퓨터 시스템에 대한 물리적 보호 장치.
• GDPR : GDPR 또는 EU의 일반 데이터 보호 규정은 거버넌스와 책임을 주요 지침 중 하나로 만드는 것으로 알려져 있습니다. 모든 구성원에게 적용되는 단일 규칙 모음을 만듭니다. 그럼에도 불구하고 EU 거주자로부터 가져온 EU 거주자로부터 정보를 수집하는 데 관련된 데이터 컨트롤러로 범위를 확장합니다. 이것이 의미하는 바는 EU에 속하지 않더라도 이러한 방식으로 EU 거주 정보를 처리하는 조직이 규정을 준수해야 한다는 것입니다. GDPR은 관련된 데이터의 양을 줄이고 정보 사용 목적을 제한하며 프라이버시의 공정성, 합법성 및 투명성을 결정하고 정보의 무결성과 기밀성을 강화하고 조직이 개인에게 보관하는 스토리지의 양을 제한하려고 합니다.
• SOX : SOX(Sarbanes-Oxley Act)는 광범위한 기업 사기 보고에 대한 대응으로 2002년에 제정되었습니다. SEC가 SOX의 우려 사항 대부분을 해결하는 데 있어 훌륭한 일을 했음에도 불구하고 기업의 탐욕으로 인해 여러 기업이 법을 어기게 되었습니다. SOX는 잘못 보고한 사람들에 대한 처벌을 통해 그러한 회사에 윤리를 시행하는 것을 목표로 합니다. 또한 SOX 섹션 404는 기업이 재무 보고 위험(내부 또는 외부)이 있는지 여부와 이를 해결하는 조치를 결정하기 위해 IT 환경을 평가할 것을 요구합니다.
• PCI-DSS : PCI 또는 지불 카드 산업 보안 표준 위원회는 Visa, Mastercard, JCB International, Discover Financial Services 및 American Express를 포함한 다양한 금융 기관에 의해 조직되었습니다. 특히 전자 시스템에서 정보 보안을 촉진하는 데 중요한 역할을 합니다. 실제로 PCI 데이터 보안 표준(PCI-DSS)은 일부 결제 프로세서뿐만 아니라 모든 결제 프로세서에 대한 준수 표준으로 부상했습니다. 또한 공급업체는 위험 범위를 결정하기 위해 환경을 평가해야 하므로 PCI-DSS를 준수할 수 있습니다.
• COSO : 미국 증권거래위원회(SEC) 또는 널리 알려진 SEC는 사기 보고를 조사하기 위해 1980년대에 위원회를 구성했습니다. 이 과정에서 회계사와 감사로 구성된 5개의 지원 조직이 검토에 참여하여 Treadway Commission(COSO) 후원 조직 위원회가 만들어졌습니다. 2013년 후반에 주요 개정이 초기 프레임워크에 포함되었습니다.

COSO의 내부통제는 통제활동, 통제환경, 모니터링, 정보통신, 통제활동의 5가지 상관관계 요소를 인식하고 있습니다. 또한 PricewaterhouseCoopers가 만든 Enterprise Risk Management – ​​통합 프레임워크에는 이벤트 식별, 모니터링, 정보 및 관리, 제어 활동, 위험 대응, 목표 설정, 내부의 8가지 프레임워크 요소와 함께 전략, 보고, 운영 및 규정 준수 비즈니스 목표가 포함되었습니다. 환경 및 위험 평가.

Ken Lynch는 기업 소프트웨어 스타트업 베테랑으로, 직원을 일하게 하는 요소와 작업을 보다 매력적으로 만드는 방법에 대해 항상 관심을 갖고 있습니다. Ken은 바로 그것을 추구하기 위해 Reciprocity를 설립했습니다. 그는 보다 사회적으로 생각하는 기업 시민을 만들기 위해 회사의 거버넌스, 위험 및 규정 준수 목표에 직원을 참여시키는 이 미션 기반 목표로 Reciprocity의 성공을 추진했습니다. Ken은 MIT에서 컴퓨터 과학 및 전기 공학 학사 학위를 받았습니다.