Standarde și reglementări Infosec – o conformitate cu sortarea primerului

Clasificarea standardelor și reglementărilor InfoSec în diferite grupuri poate părea o prostie la început, deoarece aducerea la viață a unui set scris de linii directoare și reguli nu este ceva ce fac oamenii serioși. Cu toate acestea, fiecare categorie prezintă un set de caracteristici care ajută la definirea personalității elevilor. De fapt, mai multe site-uri online diferite au grupat deja celebrități, personaje din Game of Thrones și politicieni în propriile lor grupuri. Deși standardele și reglementările InfoSec lipsesc personalități, organizațiile care le dezvoltă au.

Conformitatea Infosec nu are ierarhia strictă care aparține altor câmpuri de conformitate. În unele cazuri, standardele și reglementările Infosec servesc atât ca sugestii de la egal la egal, cât și ca îndrumări. Chiar și așa, atenția din ce în ce mai mare a clienților a transformat o parte semnificativă a acestui subiect în conformitate cu un aspect cheie de vânzare pentru venituri. Cu toate acestea, organizarea unor astfel de standarde și reglementări InfoSec într-un ghid mai larg poate ajuta la negocierea spațiului de conformitate în continuă schimbare.

Concentrarea asupra organizațiilor care au emanat determinare, curaj și curaj în lumea standardelor și reglementărilor InfoSec implică analizarea entităților care par a fi în fruntea sarcinii de securitate în încercarea de a îmbunătăți securitatea cibernetică în lume. Ei includ:

• OWASP: Proiectul Open Web Application Security a fost înființat în 2001 pentru a funcționa ca o comunitate globală deschisă care permite organizațiilor să opereze, să achiziționeze, să dezvolte, să conceapă și să susțină aplicații de încredere. Chiar dacă proiectează mai multe resurse și mai puțină conformitate, OWASP merită un loc pe această listă datorită efortului său eroic de inovare în industrie, care oferă îndrumări membrilor. Mai mult, pare a fi o organizație ale cărei obiective cheie se suprapun în principal cu obiectivele tradiționale de conformitate instituite de organizații care sunt mai formalizate.
• NIST : Altfel cunoscut sub numele de Institutul Național de Standarde și Tehnologie, NIST își publică gratuit Cadrul de securitate cibernetică bine-respectat. Atât NIST 800-53, cât și Cadrul de securitate cibernetică ajută să ofere organizațiilor o tehnică pentru a începe să-și organizeze cele mai bune practici fără a fi nevoie să cheltuiască automat bani. Conceput pentru a proteja securitatea cibernetică, site-ul web al Institutului Național de Standarde și Tehnologie oferă gratuit un instrument de referință, care reprezintă Framework Core, un grup de practici, linii directoare și standarde din industrie.
• Cadrul politicii de securitate Marea Britanie : Profesia de securitate guvernamentală, Securitatea națională și informațiile și Biroul Cabinetului din Regatul Unit au publicat acest document de unsprezece pagini pentru a ajuta la îndrumarea protecției activelor guvernamentale. Include douăzeci de cerințe obligatorii care sunt clasificate în șapte domenii cheie de securitate personală, marcaj de protecție și control al activelor, continuitatea activității, combaterea terorismului, securitatea și asigurarea informațiilor, securitatea fizică și guvernanța, gestionarea riscurilor și conformitatea.
• COBIT : Asociația de Audit și Control al Sistemelor Informaționale este în spatele creării cadrului Obiectivele de Control pentru Tehnologia Informației (COBIT). Structura funcționează ca un instrument care ajută la eliminarea decalajelor care există între problemele tehnice și cerințele de afaceri, în încercarea de a se asigura că controalele sunt mapate în mod corespunzător. Foarte important, COBIT acționează ca un instrument pentru modelarea bazată pe proces.

În plus, cadrul oferă modele de maturitate pentru evaluarea schimbărilor necesare pe măsură ce întreprinderile se dezvoltă. Face acest lucru prin împărțirea a treizeci și patru de procese în cele patru domenii particulare de monitorizare și evaluare, achiziție și implementare, organizare și livrare și suport.

• ISO : ISO sau Organizația Internațională pentru Standardizare furnizează unele dintre cele mai des respectate și recunoscute standarde. Conformitatea ISO/IEC/27000, împreună cu standardele sale asociate, conduce acuzația, în special pentru cei care se angajează în standardele și reglementările InfoSec. Fiind un specialist de prim rang atunci când vine vorba de securitatea informațiilor, ISO a valorificat acest atribut pentru a se prezenta ca o întreprindere continuă cu o ambiție impresionantă.
• HITRUST : Înființată în 2007, Health Information Trust Alliance (HITRUST) ajută la protejarea informațiilor despre pacienți. Modelul său urmărește să construiască linii de bază în sectorul sănătății, care pot fi aplicate întreprinderilor atât pe baza maturității, cât și a riscului acestora. HITRUST a evaluat industria sănătății și a hotărât că numai anumite riscuri sunt probabile pentru membrii lor, spre deosebire de a începe cu riscul și de a construi controale ca răspuns la astfel de riscuri. Procedând astfel, modelul său permite entităților care sunt acoperite HIPAA să își personalizeze programele prin modelul Common Security Framework.
• HIPAA : Portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) din 1996 a îndemnat Secretarul pentru Sănătate și Servicii Umane să implementeze reglementări privind confidențialitatea menite să protejeze informațiile de sănătate care erau identificabile individual. În plus, standardele de securitate HIPAA creează o cerință de reglementare prin care întreprinderile din sfera sa de activitate construiesc proceduri administrative menite să protejeze și să gestioneze protecția datelor, servicii tehnice de securitate care revizuiesc accesul la informații și mecanism tehnic de securitate care previne transmiterea neautorizată a informațiilor. și garanții fizice asupra sistemelor informatice.
• GDPR : GDPR sau Regulamentul general al UE pentru protecția datelor este cunoscut pentru faptul că face guvernanța și responsabilitatea una dintre directivele sale cheie. Acesta creează o singură colecție de reguli care se aplică tuturor membrilor. Cu toate acestea, extinde domeniul de aplicare la operatorii de date care sunt implicați în colectarea de informații de la rezidenții Uniunii Europene, extrase de la rezidenții UE. Ceea ce înseamnă aceasta este că, chiar și fără a fi în UE, o organizație care gestionează informațiile rezidente din UE în astfel de moduri trebuie să fie conformă. GDPR urmărește să reducă cantitatea de date implicate, să limiteze scopul utilizării informațiilor, să determine corectitudinea, legalitatea și transparența confidențialității să impună integritatea și confidențialitatea informațiilor și să limiteze cantitatea de stocare pe care o organizație o păstrează pentru o persoană.
• SOX : Legea Sarbanes-Oxley (SOX) a fost adoptată în 2002, ca răspuns la gama largă de raportări frauduloase corporative. Chiar dacă SEC făcuse o treabă lăudabilă atunci când a fost vorba de abordarea majorității preocupărilor SOX, lăcomia corporativă a făcut ca mai multe companii să încalce legile. SOX își propune să impună etica acestor companii prin crearea de sancțiuni pentru cei care raportează greșit. În plus, secțiunea 404 SOX solicită companiilor să își evalueze mediul IT pentru a determina dacă există riscuri de raportare financiară (interne sau externe) și măsuri care le îmbracă.
• PCI-DSS : PCI sau Consiliul pentru standardele de securitate a industriei cardurilor de plată a fost organizat de diverse entități financiare, inclusiv Visa, Mastercard, JCB International, Discover Financial Services și American Express. Acesta joacă un rol major în promovarea securității informațiilor, în special în cazul sistemelor electronice. De fapt, PCI Data Security Standard sau (PCI-DSS) a apărut ca un standard de conformitate nu numai pentru oricare, ci pentru toți procesatorii de plăți. În plus, vânzătorii trebuie să evalueze peisajul în încercarea de a determina amploarea riscului lor, ceea ce le permite să fie conforme cu PCI-DSS.
• COSO : Securities and Exchange Commission, sau cunoscută în mod popular sub numele de SEC, a format un comitet în anii 1980 pentru a controla raportările frauduloase. În acest proces, cinci organizații de sprijin ale contabililor și auditorilor s-au alăturat revizuirii, care a dus la crearea Comitetului organizațiilor de sponsorizare al Comisiei Treadway (COSO). Mai târziu, în 2013, o revizuire majoră a fost inclusă în cadrul inițial.

Controlul intern al COSO recunoaște cele cinci elemente corelate ale activităților de control, mediul de control, monitorizare, informare și comunicare și activități de control. În plus, cadrul integrat de management al riscului de întreprindere, care a fost creat de PricewaterhouseCoopers, a inclus obiectiv de afaceri strategic, de raportare, operațiuni și conformitate cu opt elemente cadru de identificare a evenimentelor, monitorizare, informare și management, activități de control, răspuns la risc, stabilire a obiectivelor, internă mediu și evaluarea riscurilor.

Ken Lynch este un veteran al startup-ului de software pentru întreprinderi, care a fost întotdeauna fascinat de ceea ce îi determină pe lucrători să lucreze și cum să facă munca mai atractivă. Ken a fondat Reciprocity pentru a urmări tocmai asta. El a propulsat succesul Reciprocity cu acest obiectiv bazat pe misiuni de a implica angajații cu obiectivele de guvernanță, risc și conformitate ale companiei lor, pentru a crea cetățeni corporativi cu o minte mai socială. Ken și-a obținut licența în Informatică și Inginerie Electrică de la MIT.