Infosecs standarder och föreskrifter – en primersorteringsöverensstämmelse | KnowTechie

 Infosecs standarder och föreskrifter - en primersorteringsöverensstämmelse |  KnowTechie

Att kategorisera InfoSec-standarder och förordningar i olika grupper kan låta dumt till en början eftersom det inte är något som seriösa människor faktiskt gör att man skapar en skriftlig uppsättning riktlinjer och regler. Men varje kategori har en uppsättning egenskaper som hjälper till att definiera studenternas personligheter. Faktum är att flera olika online-webbplatser redan har grupperat kändisar, Game of Thrones-karaktärer och politiker i sina egna grupper. Även om InfoSec-standarder och regler saknar personligheter, så gör de organisationer som utvecklar dem.

Infosec-efterlevnad har inte den strikta hierarkin som tillhör andra efterlevnadsfält. I vissa fall fungerar Infosec-standarder och -regler både som peer-förslag och vägledning. Trots det har den växande kunduppmärksamheten vridit en betydande del av detta ämne till överensstämmelse som en viktig försäljningsaspekt för intäkter. Ändå kan organisering av sådana InfoSec-standarder och regler i en bredare guide hjälpa till att förhandla om det ständigt föränderliga efterlevnadsutrymmet.

Att fokusera på organisationer som har utstrålat beslutsamhet, mod och mod i InfoSecs standarder och regler innebär att man tittar på enheter som verkar stå i spetsen för säkerhetsavgiften i ett försök att förbättra cybersäkerheten i världen. De inkluderar:

OWASP: Open Web Application Security Project grundades redan 2001 för att fungera som ett öppet globalt samhälle som gör det möjligt för organisationer att driva, förvärva, utveckla, bli gravid och upprätthålla betrodda applikationer. Trots att det projicerar mer resurser och mindre efterlevnad förtjänar OWASP en plats på den här listan tack vare sin heroiska insats av branschinnovation, som ger vägledning till medlemmarna. Dessutom verkar det vara en organisation vars huvudsakliga mål överlappar huvudsakligen med traditionella efterlevnadsmål som har införts av organisationer som är mer formaliserade.NIST: Annars känt som National Institute of Standards and Technology, NIST publicerar sitt väl respekterade ramverk för cybersäkerhet utan kostnad. Både NIST 800-53 och Cybersecurity Framework hjälper till att ge organisationer en teknik för att börja organisera sina bästa metoder utan att automatiskt behöva spendera pengar. National Institute of Standards and Technology webbplats är utformad för att skydda cybersäkerhet och tillhandahåller ett referensverktyg gratis, som representerar Framework Core, en grupp av branschpraxis, riktlinjer och standarder.Säkerhetspolicy Framework UK: Government Security Profession, National Security and Intelligence och UK Cabinet Office publicerade detta elva sidiga dokument för att hjälpa till att vägleda skyddet av statliga tillgångar. Den innehåller tjugo obligatoriska krav som är kategoriserade i viktiga sju områden för personlig säkerhet, skyddsmärkning och tillgångskontroll, företagskontinuitet, terrorismbekämpning, informationssäkerhet och säkerhet, fysisk säkerhet och styrning, riskhantering och efterlevnad.COBIT: Informationssystemets gransknings- och kontrollförening står bakom skapandet av ramverket Control Objectives for Information Related Technology (COBIT). Strukturen fungerar som ett verktyg som hjälper till att överbrygga de luckor som finns mellan tekniska frågor och affärsbehov i ett försök att se till att kontrollerna kartläggs på rätt sätt. Det är viktigt att COBIT fungerar som ett verktyg för processbaserad modellering.

Dessutom ger ramverket mognadsmodeller för utvärdering av de förändringar som krävs när företagen växer. Det gör detta genom att bryta in trettiofyra processer i de fyra särskilda områdena övervakning & utvärdering, förvärv och implementering, organisering och leverans och support.

ISO: ISO eller International Organization for Standardization levererar några av de mest efterlevda och erkända standarderna. ISO / IEC / 27000-överensstämmelse tillsammans med tillhörande standarder leder avgiften, särskilt för dem som börjar på InfoSec-standarder och -regler. Som en av de främsta specialisterna när det gäller informationssäkerhet har ISO utnyttjat attributet för att presentera sig som ett pågående företag med en imponerande ambition.HITRUST: HITRUST (Health Information Trust Alliance) grundades 2007 och hjälper till att skydda patientinformation. Dess modell syftar till att bygga baslinjer över hela hälsosektorn, som kan tillämpas på företag baserat på både deras mognad och risk. HITRUST bedömde sjukvårdsindustrin och beslutade att endast vissa risker var troliga för deras medlemmar i motsats till att börja med risker och bygga kontroller som svar på sådana risker. Genom att göra detta gör dess modell att enheter som är HIPAA-täckta kan anpassa sina program via Common Security Framework-modellen.HIPAA: Health Insurance Portability and Accountability (HIPAA) från 1996 uppmanade sekreteraren för hälsa och mänskliga tjänster att genomföra sekretessregler som syftar till att skydda hälsoinformation som var individuellt identifierbar. Dessutom leder HIPAAs säkerhetsnormer till ett regelverk där företag inom sin ansvarsområde bygger administrativa förfaranden som syftar till att skydda och hantera skyddet av data, tekniska säkerhetstjänster som granskar åtkomst till information och teknisk säkerhetsmekanism som förhindrar obehörig överföring av information och fysiska skydd mot datorsystem.GDPR: GDPR eller EU: s allmänna dataskyddsförordning är känd för att göra styrning och ansvarighet till ett av dess viktigaste direktiv. Det skapar en enda samling regler som gäller för alla medlemmar. Ändå utvidgar det omfattningen till datakontrollanter som är involverade i att samla in information från EU-invånare från EU-invånare. Vad detta innebär är att även utan att vara i EU, måste en organisation som hanterar EU-bosatt information på sådana sätt vara kompatibel. GDPR syftar till att minska mängden data som är inblandade, begränsa syftet med att använda information, bestämma rättvisa, laglighet och öppenhet i sekretessen, genomdriva informationens integritet och konfidentialitet och begränsa mängden lagring som en organisation förvarar för en individ.SOX: Sarbanes-Oxley Act (SOX) antogs redan 2002 som ett svar på det breda utbudet av bedräglig rapportering. Även om SEC hade gjort ett lovvärt jobb när det gällde att ta itu med de flesta av SOX: s bekymmer, resulterade företags girighet i att flera företag stred mot lagarna. SOX syftar till att genomdriva etik för sådana företag genom att skapa sanktioner för dem som felrapporterar. Dessutom kräver SOX avsnitt 404 företag att bedöma sin IT-miljö i ett försök att avgöra om det finns finansiella rapporteringsrisker (interna eller externa) och åtgärder som klär dem.PCI-DSS: PCI eller Payment Card Industry Security Standards Council organiserades av olika finansiella enheter, inklusive Visa, Mastercard, JCB International, Discover Financial Services och American Express. Det spelar en viktig roll för att främja informationssäkerhet, särskilt över elektroniska system. Faktum är att PCI Data Security Standard eller (PCI-DSS) har framstått som en efterlevnadsstandard, inte bara för alla betalningsbehandlare. Dessutom måste leverantörer bedöma landskapet i ett försök att bestämma omfattningen av deras risk, vilket gör att de kan följa PCI-DSS.COSO: Securities and Exchange Commission, eller populärt känt som SEC, bildade en kommitté på 1980-talet för att granska bedräglig rapportering. I processen deltog fem stödorganisationer av revisorer och revisorer i granskningen, vilket resulterade i inrättandet av kommittén för sponsringsorganisationer för Treadway Commission (COSO). Senare 2013 infördes en större revision i det ursprungliga ramverket.

COSO: s interna kontroll känner igen de fem korrelerade elementen i kontrollaktiviteter, kontrollmiljö, övervakning, information och kommunikation och kontrollaktiviteter. Dessutom inkluderade dess Enterprise Risk Management –Integrated Framework, som skapades av PricewaterhouseCoopers strategiska, rapporterings-, verksamhets- och compliance-affärsmål med åtta ramelement för händelseidentifiering, övervakning, information och hantering, kontrollaktiviteter, riskrespons, objektivinställning, intern miljö och riskbedömning.