Стандарты и правила Infosec — соответствие правилам сортировки

Разделение стандартов и правил InfoSec на разные группы поначалу может показаться глупым, поскольку воплощение в жизнь письменного набора руководств и правил — это не то, чем на самом деле занимаются серьезные люди. Тем не менее, каждая категория имеет набор характеристик, которые помогают определить личность учащихся. На самом деле, несколько разных онлайн-сайтов уже сгруппировали знаменитостей, персонажей «Игры престолов» и политиков в свои собственные группы. Хотя в стандартах и ​​правилах InfoSec отсутствуют личности, в организациях, которые их разрабатывают, они есть.

Соответствие информационной безопасности не имеет строгой иерархии, принадлежащей другим областям соответствия. В некоторых случаях стандарты и правила Infosec служат как предложениями коллег, так и рекомендациями. Тем не менее, растущее внимание клиентов привело к тому, что значительная часть этой темы превратилась в соответствие требованиям, которое является ключевым аспектом продаж для получения дохода. Тем не менее, объединение таких стандартов и правил InfoSec в более широкое руководство может помочь в переговорах о постоянно меняющемся пространстве соответствия.

Сосредоточение внимания на организациях, которые излучают решимость, смелость и мужество в мире стандартов и правил информационной безопасности, предполагает рассмотрение организаций, которые, как представляется, возглавляют ответственность за безопасность в стремлении повысить кибербезопасность в мире. Они включают:

• OWASP: Проект Open Web Application Security Project был создан еще в 2001 году для работы в качестве открытого глобального сообщества, которое позволяет организациям управлять, приобретать, разрабатывать, создавать и поддерживать доверенные приложения. Несмотря на то, что он выделяет больше ресурсов и меньше соблюдает требования, OWASP заслуживает место в этом списке благодаря своим героическим усилиям по отраслевым инновациям, которые обеспечивают руководство для участников. Кроме того, представляется, что это организация, ключевые цели которой пересекаются в основном с традиционными целями соблюдения требований, поставленными более формализованными организациями.
• NIST : Известный также как Национальный институт стандартов и технологий, NIST бесплатно публикует свою хорошо зарекомендовавшую себя концепцию кибербезопасности. И NIST 800-53, и Cybersecurity Framework помогают предоставить организациям метод, с помощью которого можно начать систематизировать свои передовые методы без необходимости автоматически тратить деньги. Веб-сайт Национального института стандартов и технологий, разработанный для защиты кибербезопасности, предоставляет бесплатный справочный инструмент, который представляет Framework Core, группу отраслевых практик, руководств и стандартов.
• Основы политики безопасности Великобритании : Служба государственной безопасности, Служба национальной безопасности и разведки и Кабинет министров Великобритании опубликовали этот одиннадцатистраничный документ, призванный помочь в обеспечении защиты государственных активов. Он включает двадцать обязательных требований, которые разбиты на семь ключевых областей: личная безопасность, защитная маркировка и контроль активов, непрерывность бизнеса, борьба с терроризмом, информационная безопасность и гарантии, физическая безопасность и управление, управление рисками и соответствие требованиям.
• COBIT : Ассоциация аудита и контроля информационных систем стоит за созданием структуры целей контроля для информационных технологий (COBIT). Структура функционирует как инструмент, который помогает заполнить пробелы, существующие между техническими вопросами и бизнес-требованиями в заявке, чтобы убедиться, что элементы управления сопоставлены должным образом. Важно отметить, что COBIT выступает в качестве инструмента для моделирования процессов.

Более того, платформа предоставляет модели зрелости для оценки изменений, необходимых по мере роста предприятий. Это достигается путем разбиения тридцати четырех процессов на четыре конкретных области мониторинга и оценки, приобретения и реализации, организации, доставки и поддержки.

• ISO : ISO или Международная организация по стандартизации предоставляет некоторые из наиболее часто соблюдаемых и признанных стандартов. Соответствие ISO/IEC/27000 вместе со связанными с ним стандартами является главным требованием, особенно для тех, кто приступает к внедрению стандартов и правил InfoSec. Будучи передовым специалистом в области информационной безопасности, ISO использовала это свойство, чтобы представить себя как действующее предприятие с впечатляющими амбициями.
• HITRUST : созданный еще в 2007 году Альянс доверия медицинской информации (HITRUST) помогает защищать информацию о пациентах. Его модель направлена ​​на создание базовых показателей в секторе здравоохранения, которые можно применять к предприятиям с учетом как их зрелости, так и рисков. HITRUST оценил отрасль здравоохранения и пришел к выводу, что для ее членов вероятны только определенные риски, а не начинать с рисков и создавать средства контроля в ответ на такие риски. Таким образом, его модель позволяет организациям, подпадающим под действие HIPAA, настраивать свои программы с помощью модели Common Security Framework.
• HIPAA : Закон о переносимости и подотчетности медицинского страхования (HIPAA) 1996 г. призвал министра здравоохранения и социальных служб ввести правила конфиденциальности, предназначенные для защиты медицинской информации, которая может быть индивидуально идентифицирована. Более того, стандарты безопасности HIPAA вводят нормативные требования, в соответствии с которыми предприятия в рамках своей компетенции создают административные процедуры, направленные на защиту и управление защитой данных, технические службы безопасности, которые проверяют доступ к информации, и технические механизмы безопасности, предотвращающие несанкционированную передачу информации. и физические меры защиты компьютерных систем.
• GDPR : GDPR или Общий регламент ЕС по защите данных известен тем, что сделал управление и подотчетность одной из своих ключевых директив. Он создает единый набор правил, которые применяются ко всем членам. Тем не менее, он расширяет сферу действия до контролеров данных, которые участвуют в сборе информации от жителей Европейского Союза, полученной от жителей ЕС. Это означает, что даже не находясь в ЕС, организация, которая таким образом обрабатывает информацию о резидентах ЕС, должна соответствовать требованиям. GDPR стремится уменьшить объем задействованных данных, ограничить цель использования информации, определить справедливость, законность и прозрачность конфиденциальности, обеспечить целостность и конфиденциальность информации, а также ограничить объем хранения, который организация хранит на физическом лице.
• SOX : Закон Сарбейнса-Оксли (SOX) был принят еще в 2002 году в ответ на широкий спектр корпоративных сообщений о мошенничестве. Несмотря на то, что SEC проделала похвальную работу, когда дело дошло до решения большинства проблем SOX, корпоративная жадность привела к тому, что несколько компаний нарушили законы. SOX стремится обеспечить соблюдение этики в таких компаниях, вводя наказания для тех, кто сообщает неверные данные. Кроме того, раздел 404 SOX призывает предприятия оценить свою ИТ-среду, чтобы определить, существуют ли риски финансовой отчетности (внутренние или внешние) и меры по их устранению.
• PCI-DSS : PCI или Совет по стандартам безопасности индустрии платежных карт был организован различными финансовыми организациями, включая Visa, Mastercard, JCB International, Discover Financial Services и American Express. Он играет важную роль в обеспечении информационной безопасности, особенно в отношении электронных систем. Фактически стандарт безопасности данных PCI или (PCI-DSS) стал стандартом соответствия не только для любых, но и для всех платежных систем. Кроме того, поставщики должны оценивать ситуацию, пытаясь определить степень своего риска, что позволяет им соответствовать стандарту PCI-DSS.
• COSO : Комиссия по ценным бумагам и биржам, более известная как SEC, в 1980-х годах сформировала комитет для тщательного изучения мошеннических отчетов. В процессе к проверке присоединились пять поддерживающих организаций бухгалтеров и аудиторов, в результате чего был создан Комитет спонсирующих организаций Комиссии Тредуэя (COSO). Позже, в 2013 году, в первоначальную структуру была внесена серьезная редакция.

Система внутреннего контроля COSO признает пять взаимосвязанных элементов контрольной деятельности, контрольной среды, мониторинга, информации и связи и контрольной деятельности. Кроме того, его интегрированная структура управления рисками предприятия, созданная PricewaterhouseCoopers, включала стратегическую бизнес-цель, отчетность, операционную деятельность и соблюдение требований с восемью элементами структуры: идентификация событий, мониторинг, информация и управление, действия по контролю, реагирование на риски, постановка целей, внутренние окружающая среда и оценка рисков.

Кен Линч — ветеран запуска корпоративного программного обеспечения, которого всегда интересовало, что побуждает сотрудников работать и как сделать работу более увлекательной. Кен основал Reciprocity именно для этого. Он способствовал успеху Reciprocity благодаря этой миссионерской цели, заключающейся в том, чтобы привлечь сотрудников к управлению, рискам и целям соблюдения требований их компании, чтобы создать более социально настроенных корпоративных граждан. Кен получил степень бакалавра компьютерных наук и электротехники в Массачусетском технологическом институте.