Normy i przepisy Infosec – zgodność z zasadami sortowania podkładów

Kategoryzacja standardów i przepisów InfoSec na różne grupy może początkowo wydawać się głupia, ponieważ wprowadzenie w życie spisanego zestawu wytycznych i zasad nie jest czymś, co w rzeczywistości robią poważni ludzie. Jednak każda kategoria zawiera zestaw cech, które pomagają w określeniu osobowości uczniów. W rzeczywistości kilka różnych witryn internetowych już pogrupowało celebrytów, postacie z Gry o Tron i polityków w swoje własne grupy. Chociaż standardom i przepisom InfoSec brakuje osobowości, organizacje, które je opracowują, tak.

Zgodność Infosec nie ma ścisłej hierarchii należącej do innych pól zgodności. W niektórych przypadkach normy i przepisy Infosec służą jako sugestie i wytyczne partnerów. Mimo to rosnąca uwaga klientów przekształciła znaczną część tego tematu w zgodność, która jest kluczowym aspektem sprzedaży dla przychodów. Niemniej jednak organizowanie takich standardów i przepisów InfoSec w szerszy przewodnik może pomóc w negocjowaniu ciągle zmieniającej się przestrzeni zgodności.

Skupienie się na organizacjach, które emanują determinacją, odwagą i odwagą w świecie standardów i przepisów InfoSec, pociąga za sobą przyglądanie się podmiotom, które wydają się przewodzić w dążeniu do zwiększenia cyberbezpieczeństwa na świecie. Zawierają:

• OWASP: Open Web Application Security Project powstał w 2001 roku, aby działać jako otwarta globalna społeczność, która pozwala organizacjom obsługiwać, nabywać, rozwijać, tworzyć i utrzymywać zaufane aplikacje. Mimo że projektuje więcej zasobów i mniej zgodności, OWASP zasługuje na miejsce na tej liście dzięki heroicznemu wysiłkowi innowacji w branży, która dostarcza wskazówek członkom. Co więcej, wydaje się, że jest to organizacja, której kluczowe cele pokrywają się głównie z tradycyjnymi celami w zakresie zgodności realizowanymi przez organizacje bardziej sformalizowane.
• NIST : inaczej znany jako Narodowy Instytut Standardów i Technologii, NIST publikuje swoje szanowane ramy cyberbezpieczeństwa bez żadnych kosztów. Zarówno NIST 800-53, jak i Ramy Cyberbezpieczeństwa pomagają w zapewnieniu organizacjom techniki umożliwiającej rozpoczęcie organizowania najlepszych praktyk bez konieczności automatycznego wydawania pieniędzy. Zaprojektowana w celu ochrony cyberbezpieczeństwa strona internetowa National Institute of Standards and Technology zapewnia bezpłatne narzędzie referencyjne, które reprezentuje Framework Core, grupę praktyk, wytycznych i standardów branżowych.
• Security Policy Framework Wielka Brytania : Rządowa profesja bezpieczeństwa, bezpieczeństwo narodowe i wywiad oraz brytyjskie biuro rządowe opublikowały ten jedenastostronicowy dokument, aby pomóc w ukierunkowaniu ochrony aktywów rządowych. Obejmuje dwadzieścia Obowiązkowych wymagań, które są podzielone na siedem kluczowych obszarów: bezpieczeństwa osobistego, znakowania ochronnego i kontroli zasobów, ciągłości biznesowej, zwalczania terroryzmu, bezpieczeństwa i zapewnienia informacji, bezpieczeństwa fizycznego oraz zarządzania, zarządzania ryzykiem i zgodności.
• COBIT : Stowarzyszenie Audytu i Kontroli Systemów Informacyjnych jest odpowiedzialne za stworzenie ramowych celów kontrolnych dla technologii związanych z informacją (COBIT). Struktura działa jako narzędzie, które pomaga wypełnić luki istniejące między problemami technicznymi a wymaganiami biznesowymi w ofercie, aby upewnić się, że kontrole są odpowiednio odwzorowane. Co ważne, COBIT działa jako narzędzie do modelowania procesowego.

Co więcej, struktura zapewnia modele dojrzałości do oceny zmian wymaganych w miarę rozwoju przedsiębiorstw. Czyni to poprzez rozbicie trzydziestu czterech procesów na cztery poszczególne domeny: monitorowanie i ewaluację, pozyskiwanie i wdrażanie, organizację oraz dostarczanie i wsparcie.

• ISO : ISO lub Międzynarodowa Organizacja Normalizacyjna dostarcza jedne z najczęściej przestrzeganych i uznanych norm. Zgodność z normą ISO/IEC/27000 wraz z powiązanymi normami prowadzi do obciążenia, szczególnie w przypadku osób rozpoczynających stosowanie norm i przepisów InfoSec. Będąc czołowym specjalistą, jeśli chodzi o bezpieczeństwo informacji, ISO wykorzystało ten atrybut, aby zaprezentować się jako działające przedsiębiorstwo z imponującą ambicją.
• HITRUST : Założona w 2007 roku organizacja Health Information Trust Alliance (HITRUST) pomaga w ochronie informacji o pacjentach. Jego model ma na celu budowanie punktów odniesienia w całym sektorze zdrowia, które można zastosować do przedsiębiorstw w oparciu zarówno o ich dojrzałość, jak i ryzyko. HITRUST ocenił branżę opieki zdrowotnej i stwierdził, że tylko niektóre zagrożenia są prawdopodobne dla ich członków, w przeciwieństwie do rozpoczynania od ryzyka i budowania kontroli jako odpowiedzi na takie ryzyko. W ten sposób jego model umożliwia podmiotom, które są objęte HIPAA, dostosowywanie swoich programów za pomocą modelu Common Security Framework.
• HIPAA : The Health Insurance Portability and Accountability (HIPAA) z 1996 r. wezwał Sekretarza Zdrowia i Opieki Społecznej do wdrożenia przepisów dotyczących prywatności mających na celu ochronę informacji zdrowotnych, które można zidentyfikować indywidualnie. Co więcej, standardy bezpieczeństwa HIPAA wprowadzają wymóg regulacyjny, zgodnie z którym przedsiębiorstwa w ramach swoich kompetencji tworzą procedury administracyjne mające na celu ochronę i zarządzanie ochroną danych, usługi bezpieczeństwa technicznego, które sprawdzają dostęp do informacji, oraz mechanizm zabezpieczeń technicznych, który zapobiega nieautoryzowanemu przesyłaniu informacji oraz fizyczne zabezpieczenia systemów komputerowych.
• RODO : RODO lub ogólne rozporządzenie o ochronie danych UE jest znane z tego, że zarządzanie i odpowiedzialność są jedną z kluczowych dyrektyw. Tworzy pojedynczy zbiór reguł, które mają zastosowanie do wszystkich członków. Niemniej jednak rozszerza zakres na administratorów danych, którzy są zaangażowani w zbieranie informacji od mieszkańców Unii Europejskiej pochodzących od mieszkańców UE. Oznacza to, że nawet nie będąc w UE, organizacja, która w taki sposób przetwarza informacje o mieszkańcach UE, musi przestrzegać przepisów. RODO ma na celu zmniejszenie ilości danych, ograniczenie celu wykorzystania informacji, ustalenie uczciwości, zgodności z prawem i przejrzystości prywatności, egzekwowanie integralności i poufności informacji oraz ograniczenie ilości pamięci, jaką organizacja przechowuje dla osoby.
• SOX : Ustawa Sarbanesa-Oxleya (SOX) została uchwalona w 2002 roku jako odpowiedź na szeroki wachlarz oszukańczych raportów korporacyjnych. Mimo że SEC wykonała godną pochwały pracę, jeśli chodzi o rozwiązanie większości obaw SOX, korporacyjna chciwość spowodowała, że ​​kilka firm złamało przepisy. SOX ma na celu egzekwowanie etyki w takich firmach poprzez tworzenie kar dla tych, którzy niewłaściwie zgłaszają. Ponadto sekcja 404 SOX wzywa firmy do oceny ich środowiska IT w celu ustalenia, czy istnieje ryzyko sprawozdawczości finansowej (wewnętrzne lub zewnętrzne) i środki, które je unieszkodliwiają.
• PCI-DSS : PCI lub Payment Card Industry Security Standards Council została zorganizowana przez różne podmioty finansowe, w tym Visa, Mastercard, JCB International, Discover Financial Services i American Express. Odgrywa ważną rolę w promowaniu bezpieczeństwa informacji, zwłaszcza w systemach elektronicznych. W rzeczywistości standard bezpieczeństwa danych PCI (PCI-DSS) stał się standardem zgodności nie tylko dla wszystkich, ale dla wszystkich procesorów płatności. Ponadto dostawcy muszą ocenić krajobraz, próbując określić zakres swojego ryzyka, co pozwala im zachować zgodność z PCI-DSS.
• COSO : Komisja Papierów Wartościowych i Giełd, popularnie znana jako SEC, utworzyła w latach 80. komisję do badania oszukańczych raportów. W tym procesie do przeglądu włączyło się pięć organizacji wspierających księgowych i audytorów, co zaowocowało utworzeniem Komitetu Organizacji Sponsorujących Komisję Treadwaya (COSO). Później, w 2013 r., do pierwotnych ram wprowadzono poważną zmianę.

Kontrola wewnętrzna COSO rozpoznaje pięć skorelowanych elementów czynności kontrolnych, środowiska kontrolnego, monitorowania, informacji i komunikacji oraz czynności kontrolnych. Ponadto opracowane przez PricewaterhouseCoopers zintegrowane ramy zarządzania ryzykiem korporacyjnym obejmują cele strategiczne, raportowanie, operacje i zgodność z ośmioma elementami ramowymi dotyczącymi identyfikacji zdarzeń, monitorowania, informacji i zarządzania, działań kontrolnych, reagowania na ryzyko, ustalania celów, wewnętrznych środowisko i ocena ryzyka.

Ken Lynch to weteran tworzenia oprogramowania dla przedsiębiorstw, który zawsze był zafascynowany tym, co motywuje pracowników do pracy i jak sprawić, by praca była bardziej angażująca. Ken założył Reciprocity, aby to osiągnąć. Napędzał sukces Reciprocity dzięki temu celowi opartemu na misji, jakim jest zaangażowanie pracowników w cele związane z zarządzaniem, ryzykiem i zgodnością ich firmy, aby stworzyć bardziej społecznie nastawionych obywateli korporacyjnych. Ken uzyskał tytuł licencjata w dziedzinie informatyki i elektrotechniki na MIT.