• Anasayfa
  • Nesne
  • Genel
  • Infosec standartları ve yönetmelikleri – bir primer sıralama uyumluluğu

Infosec standartları ve yönetmelikleri – bir primer sıralama uyumluluğu

Yayınlanan: 2018-07-30

InfoSec standartlarını ve düzenlemelerini farklı gruplara ayırmak ilk başta saçma gelebilir, çünkü yazılı bir dizi yönerge ve kural hayata geçirmek ciddi insanların gerçekten yaptığı bir şey değildir. Bununla birlikte, her kategori, öğrencilerin kişiliklerini tanımlamaya yardımcı olan bir dizi özellik içerir. Aslında, birkaç farklı çevrimiçi web sitesi zaten ünlüleri, Game of Thrones karakterlerini ve politikacıları kendi gruplarına ayırdı. InfoSec standartları ve düzenlemelerinin kişilikleri olmamasına rağmen, onları geliştiren kuruluşlar var.

Infosec uyumluluğu, diğer uyumluluk alanlarına ait katı hiyerarşiye sahip değildir. Bazı durumlarda, Infosec standartları ve düzenlemeleri hem meslektaş önerileri hem de rehberlik işlevi görür. Buna rağmen, artan müşteri ilgisi, bu konunun önemli bir bölümünü, gelir için önemli bir satış yönü olan uyumluluğa dönüştürdü. Bununla birlikte, bu tür InfoSec standartlarını ve düzenlemelerini daha geniş bir kılavuzda düzenlemek, sürekli değişen uyum alanıyla ilgili müzakerelerde yardımcı olabilir.

InfoSec standartları ve düzenlemeleri dünyasında kararlılık, cesaret ve cesaret sergileyen kuruluşlara odaklanmak, dünyadaki siber güvenliği geliştirmek amacıyla güvenlik sorumluluğuna öncülük ediyor gibi görünen varlıklara bakmayı gerektirir. İçerirler:

  • OWASP: Açık Web Uygulama Güvenliği Projesi, kuruluşların güvenilir uygulamaları çalıştırmasına, almasına, geliştirmesine, tasarlamasına ve sürdürmesine olanak tanıyan açık bir küresel topluluk olarak faaliyet göstermek üzere 2001 yılında kurulmuştur. Daha fazla kaynak ve daha az uyumluluk öngörmesine rağmen, OWASP, üyelere rehberlik eden endüstri yenilikçiliğine yönelik kahramanca çabası sayesinde bu listede bir yeri hak ediyor. Ayrıca, temel hedefleri daha resmi hale getirilmiş kuruluşlar tarafından ortaya konan geleneksel uyum hedefleriyle örtüşen bir kuruluş gibi görünmektedir.
  • NIST : Aksi takdirde Ulusal Standartlar ve Teknoloji Enstitüsü olarak bilinen NIST, saygın Siber Güvenlik Çerçevesini ücretsiz olarak yayınlar. Hem NIST 800-53 hem de Siber Güvenlik Çerçevesi, kuruluşlara otomatik olarak para harcamak zorunda kalmadan en iyi uygulamalarını düzenlemeye başlamaları için bir teknik sağlamaya yardımcı olur. Siber güvenliği korumak için tasarlanan Ulusal Standartlar ve Teknoloji Enstitüsü'nün web sitesi, bir grup endüstri uygulaması, yönergesi ve standardı olan Çerçeve Çekirdeği'ni temsil eden ücretsiz bir referans aracı sağlar.
  • Güvenlik Politikası Çerçevesi Birleşik Krallık : Devlet Güvenlik Mesleği, Ulusal Güvenlik ve İstihbarat ve Birleşik Krallık Kabine Ofisi, devlet varlıklarının korunmasına rehberlik etmeye yardımcı olmak için bu on bir sayfalık belgeyi yayınladı. Kişisel güvenlik, koruyucu işaretleme ve varlık kontrolü, iş sürekliliği, terörle mücadele, bilgi güvenliği ve güvencesi, fiziksel güvenlik ve yönetişim, risk yönetimi ve uyumluluk olmak üzere yedi temel alanda kategorize edilen yirmi Zorunlu Gereksinimi içerir.
  • COBIT : Bilgi Sistemleri Denetim ve Kontrol Derneği, Bilgi İle İlgili Teknoloji (COBIT) için Kontrol Hedefleri çerçevesinin oluşturulmasının arkasındadır. Yapı, kontrollerin uygun şekilde eşlendiğinden emin olmak için teknik sorunlar ve iş gereksinimleri arasında var olan boşlukları kapatmaya yardımcı olan bir araç olarak işlev görür. Daha da önemlisi, COBIT, süreç tabanlı modelleme için bir araç görevi görür.

Ayrıca çerçeve, işletmeler büyüdükçe gerekli değişiklikleri değerlendirmek için olgunluk modelleri sağlar. Bunu otuz dört süreci izleme ve değerlendirme, edinme ve uygulama, organizasyon ve teslim etme ve destek olmak üzere dört belirli alana bölerek yapar.

  • ISO : ISO veya Uluslararası Standardizasyon Örgütü, en sık uyulan ve tanınan standartlardan bazılarını sunar. İlgili standartlarla birlikte ISO/IEC/27000 uyumluluğu, özellikle InfoSec standartları ve düzenlemelerine girişenler için ücrete yol açar. Bilgi güvenliği söz konusu olduğunda önde gelen bir uzman olan ISO, kendisini etkileyici bir hırsla devam eden bir kuruluş olarak sunmak için bu özelliği kullandı.
  • HITRUST : 2007 yılında kurulan Health Information Trust Alliance (HITRUST) hasta bilgilerinin korunmasına yardımcı olur. Modeli, sağlık sektörü genelinde işletmelere hem olgunluklarına hem de risklerine göre uygulanabilecek bir temel oluşturmayı amaçlamaktadır. HITRUST sağlık sektörünü değerlendirdi ve bu tür risklere yanıt olarak risk ve bina kontrolleri ile başlamak yerine, üyeleri için yalnızca belirli risklerin olası olduğuna karar verdi. Bunu yaparak, modeli, HIPAA kapsamındaki varlıkların programlarını Common Security Framework modeli aracılığıyla özelleştirmesine olanak tanır.
  • HIPAA : 1996 tarihli Sağlık Sigortası Taşınabilirliği ve Sorumluluğu (HIPAA), Sağlık ve İnsan Hizmetleri Sekreterini, bireysel olarak tanımlanabilen sağlık bilgilerini korumaya yönelik gizlilik düzenlemelerini uygulamaya çağırdı. Dahası, HIPAA Güvenlik Standartları, yetki alanı dahilindeki işletmelerin verilerin korunmasını ve korunmasını yönetmeye yönelik idari prosedürler, bilgiye erişimi gözden geçiren teknik güvenlik hizmetleri ve yetkisiz bilgi iletimini önleyen teknik güvenlik mekanizması oluşturduğu bir düzenleyici gereklilik getirmektedir. ve bilgisayar sistemleri üzerinde fiziksel güvenlik önlemleri.
  • GDPR : GDPR veya AB'nin Genel Veri Koruma Yönetmeliği, yönetişim ve hesap verebilirliği temel direktiflerinden biri haline getirmesiyle bilinir. Tüm üyeler için geçerli olan tek bir kurallar koleksiyonu oluşturur. Bununla birlikte, kapsamı, AB sakinlerinden alınan Avrupa Birliği sakinlerinden bilgi toplamaya dahil olan veri denetleyicilerini de kapsayacak şekilde genişletir. Bunun anlamı, AB'de bulunmasa bile AB'de yerleşik bilgileri bu şekilde işleyen bir kuruluşun uyumlu olması gerektiğidir. GDPR, ilgili veri miktarını azaltmayı, bilgi kullanma amacını sınırlamayı, gizliliğin adilliğini, yasallığını ve şeffaflığını belirlemeyi, bilgilerin bütünlüğünü ve gizliliğini sağlamayı ve bir kuruluşun bir kişi üzerinde tuttuğu depolama miktarını sınırlamayı amaçlar.
  • SOX : Sarbanes-Oxley Yasası (SOX) 2002'de çok çeşitli kurumsal dolandırıcılık raporlarına yanıt olarak yürürlüğe girdi. SEC, SOX'un endişelerinin çoğunu ele alma konusunda övgüye değer bir iş çıkarmış olsa da, kurumsal açgözlülük, birçok şirketin yasaları çiğnemesine neden oldu. SOX, yanlış bildirimde bulunanlar için cezalar oluşturarak bu tür şirketlere etik uygulamayı amaçlamaktadır. Ek olarak, SOX Bölüm 404, işletmelerin finansal raporlama riskleri (dahili veya harici) olup olmadığını ve bunları düzelten önlemler olup olmadığını belirlemek için BT ortamlarını değerlendirmeye çağırır.
  • PCI-DSS : PCI veya Payment Card Industry Security Standards Council, Visa, Mastercard, JCB International, Discover Financial Services ve American Express gibi çeşitli finansal kuruluşlar tarafından organize edildi. Özellikle elektronik sistemler üzerinde bilgi güvenliğinin teşvik edilmesinde önemli bir rol oynar. Aslında, PCI Veri Güvenliği Standardı veya (PCI-DSS), yalnızca ödeme işlemcileri için değil, tüm ödeme işlemcileri için bir uyumluluk standardı olarak ortaya çıkmıştır. Ayrıca, satıcılar, PCI-DSS uyumlu olmalarını sağlayan risklerinin kapsamını belirlemek amacıyla ortamı değerlendirmek zorundadır.
  • COSO : Menkul Kıymetler ve Borsa Komisyonu veya halk arasında SEC olarak bilinen, 1980'lerde hileli raporlamayı incelemek için bir komite kurdu. Bu süreçte, beş destekleyici muhasebeci ve denetçi kuruluş incelemeye katıldı ve bu, Treadway Komisyonunun Sponsor Kuruluşlar Komitesi'nin (COSO) oluşturulmasıyla sonuçlandı. Daha sonra 2013 yılında, ilk çerçeveye büyük bir revizyon dahil edildi.

COSO'nun İç Kontrolü; kontrol faaliyetleri, kontrol ortamı, izleme, bilgi ve iletişim ve kontrol faaliyetlerinin birbiriyle ilişkili beş unsurunu tanır. Buna ek olarak, PricewaterhouseCoopers tarafından oluşturulan Kurumsal Risk Yönetimi – Entegre Çerçevesi, olay tanımlama, izleme, bilgi ve yönetim, kontrol faaliyetleri, risk yanıtı, hedef belirleme, dahili olarak sekiz çerçeve unsuru ile stratejik, raporlama, operasyonlar ve uyumluluk iş hedefini içeriyordu. çevre ve risk değerlendirmesi.

Ken Lynch, çalışanları çalışmaya neyin teşvik ettiği ve işin nasıl daha ilgi çekici hale getirileceği konusunda her zaman büyülenmiş bir kurumsal yazılım başlangıç ​​uzmanıdır. Ken, tam da bunu sürdürmek için Karşılıklılık'ı kurdu. Daha sosyal düşünen kurumsal vatandaşlar yaratmak için çalışanları şirketlerinin yönetişim, risk ve uyum hedefleriyle ilişkilendirmeye yönelik bu misyon temelli hedefle Reciprocity'nin başarısını destekledi. Ken, lisans derecesini MIT'den Bilgisayar Bilimi ve Elektrik Mühendisliği alanında almıştır.