در حالی که رتبه بندی های امنیتی راهی عالی برای اثبات توجه شما به سلامت سایبری سازمان است ، باید نشان دهید که به بهترین روش های نظارتی در صنعت فناوری اطلاعات و تصمیم گیری های بلندمدت پایبند هستید . چارچوب امنیت سایبری می تواند در این زمینه به شما کمک کند.

چارچوب امنیت سایبری چیست؟

یک چارچوب امنیت سایبری زبان مشترک و مجموعه ای از استانداردها را برای رهبران امنیتی در سراسر کشورها و صنایع فراهم می کند تا وضعیت امنیتی آنها و فروشندگان آنها را درک کنند. با استفاده از یک چارچوب ، تعریف فرآیندها و رویه هایی که سازمان شما باید برای ارزیابی ، نظارت و کاهش خطر امنیت سایبری انجام دهد ، بسیار آسان تر می شود.

بیایید نگاهی به هفت چارچوب مشترک امنیت سایبری بیندازیم.

چارچوب امنیت سایبری NIST

چارچوب امنیت سایبری NIST در پاسخ به دستورالعمل رئیس جمهور پیشین اوباما – بهبود امنیت سایبری زیرساخت های مهم – ایجاد شده است که خواستار همکاری بیشتر بین بخش دولتی و خصوصی برای شناسایی ، ارزیابی و مدیریت ریسک سایبری است. در حالی که  این همکاری و توافق داوطلبانه است ، NIST به استاندارد طلایی برای ارزیابی بلوغ امنیت سایبری ، شناسایی شکاف های امنیتی و رعایت مقررات امنیت سایبری تبدیل شده است.

ISO 27001 و ISO 27002

گواهینامه های ISO 27001 و ISO 27002 که توسط سازمان بین المللی استاندارد سازی (ISO) ایجاد شده است ، استاندارد بین المللی برای تأیید اعتبار یک برنامه امنیت سایبری – داخلی و بین اشخاص ثالث محسوب می شوند. با دریافت گواهینامه ISO ، شرکت ها می توانند به هیئت مدیره ، مشتریان ، شرکا و سهامداران نشان دهند که کارهای درست را برای مدیریت ریسک سایبری انجام می دهند. به همین ترتیب ، اگر فروشنده ای دارای گواهینامه ISO 27001/2 باشد ،نشان می دهد آنها از کنترل و امنیت سایبری بالغ برخوردار هستند که این یک شاخص خوب است (اگرچه به تنهایی کافی نیست)

نکته منفی این است که این فرآیند به زمان و منابع نیاز دارد. سازمانها فقط در صورت وجود منفعت واقعی باید اقدام کنند. این گواهینامه همچنین یک تمرین نقطه در زمان است که می تواند خطرات تکاملی را که نظارت مستمر می تواند تشخیص دهد ، از دست بدهد.

SOC2

سرویس کنترل سازمان (SOC) نوع 2 یک چارچوب امنیت سایبری و استاندارد حسابرسی مبتنی بر اعتماد است که توسط موسسه حسابداران رسمی (AICPA) آمریکا برای کمک به تأیید اینکه فروشندگان و شرکا به طور ایمن داده های مشتری را مدیریت می کنند ، تهیه شده است.

SOC2 بیش از 60 مورد نیاز انطباق و فرآیندهای حسابرسی گسترده برای سیستم ها و کنترل های شخص ثالث را مشخص می کند. انجام حسابرسی ها ممکن است یک سال طول بکشد. در آن زمان ، گزارشی صادر می شود که گواهی بر وضعیت امنیتی فروشندگان است.

به دلیل جامعیت ، SOC2 یکی از سخت ترین چارچوب ها برای اجرا است – به ویژه برای سازمان های بخش مالی یا بانکی که استاندارد بالاتری برای انطباق با سایر بخش ها دارند. با این وجود ، این یک چارچوب مهم است که باید در هر برنامه مدیریت ریسک شخص ثالث باشد.

NERC-CIP

 (NERC CIP) برای کاهش حملات به زیرساخت های مهم ایالات متحده و افزایش خطر شخص ثالث معرفی شده است ، مجموعه ای از استانداردهای امنیت سایبری است که برای کمک به افراد در بخش برق و پشتیبانی در کاهش حمله های سایبر  و اطمینان از قابلیت سیستم های الکتریکی طراحی شده است.

در این  چارچوب سازمانهای تحت تأثیر لازم است تا خطرات سایبری را در زنجیره تأمین خود شناسایی و کاهش دهند. NERC-SIP طیف وسیعی از کنترل ها را شامل دسته بندی سیستم ها و دارایی های حیاتی ، آموزش پرسنل ، واکنش و برنامه ریزی حادثه ، برنامه های بازیابی دارایی های حیاتی سایبری ، ارزیابی آسیب پذیری و موارد دیگر را تعیین می کند. درباره راهبردهای موثر برای دستیابی به این لینک مراجعه نمایید.

HIPAA- Health Insurance Portability and Accountability Act

HIPAA یک چارچوب امنیت سایبری است که سازمان های بهداشتی را ملزم می کند کنترل هایی را برای ایمن سازی و محافظت از حریم خصوصی اطلاعات الکترونیکی بهداشت انجام دهند. از نظر HIPAA ، علاوه بر اثبات انطباق با بهترین شیوه های سایبری – مانند آموزش کارمندان – شرکت های این بخش همچنین باید ارزیابی ریسک را برای مدیریت و شناسایی ریسک نوظهور انجام دهند.

مطابق تحقیقات BitSight ، مطابقت با HIPAA همچنان یک چالش جدی برای سازمانهای بهداشتی است.

GDPR

آیین نامه عمومی حفاظت از داده ها (GDPR) در سال 2016 به منظور تقویت رویه ها و روشهای حفاظت از داده برای شهروندان اتحادیه اروپا (اتحادیه اروپا) تصویب شد. GDPR بر کلیه سازمانهایی که در اتحادیه اروپا تأسیس شده اند یا هر مشاغل جمع آوری و ذخیره اطلاعات خصوصی شهروندان اتحادیه اروپا – از جمله مشاغل ایالات متحده – تأثیر می گذارد.

این چارچوب شامل 99 مقاله مربوط به مسئولیت های انطباق شرکت از جمله حقوق دسترسی به داده های مصرف کننده ، سیاست ها و رویه های محافظت از داده ها ، الزامات اعلان نقض داده ها (شرکت ها باید ظرف 72 ساعت از کشف تخلف به تنظیم کننده ملی خود اطلاع دهند) و موارد دیگر.

جریمه عدم رعایت موارد بالا حداکثر 20،000،000 یورو یا 4٪ از درآمد کلی، و اتحادیه اروپا از اجرای آنها ابایی ندارد.

برای کسب اطلاعات بیشتر در مورد توسعه استراتژی GDPR و حفظ انطباق مداوم ، راهنمای مدیران ریسک GDPR را بخوانید.

FISMA

قانون مدیریت امنیت اطلاعات فدرال (FISMA) یک چارچوب جامع امنیت سایبری است که از اطلاعات و سیستم های دولت فدرال در برابر تهدیدات سایبری محافظت می کند. FISMA همچنین به اشخاص ثالث و فروشندگانی که به نمایندگی از آژانس های فدرال کار می کنند گسترش می یابد.

چارچوب FISMA از نزدیک با استانداردهای NIST مطابقت دارد و آژانس ها و اشخاص ثالث را ملزم می کند که موجودی دارایی های دیجیتال خود را حفظ کرده و هرگونه ادغام بین شبکه ها و سیستم ها را شناسایی کنند. اطلاعات حساس باید طبق خطر طبقه بندی شود و کنترل های امنیتی باید حداقل استانداردهای امنیتی را داشته باشند که توسط دستورالعمل های FIPS و NIST 800 تعریف شده است. سازمان های تحت تأثیر همچنین باید ارزیابی خطر امنیت سایبری ، بررسی سالانه امنیت و نظارت مستمر بر زیرساخت های فناوری اطلاعات خود را انجام دهند.

چارچوب امنیت سایبری می تواند یک راهنمای حیاتی باشد

چارچوب های امنیت سایبری بنیادی مفید (و غالباً اجباری) برای ادغام امنیت و مدیریت ریسک در مدیریت عملکرد امنیتی و استراتژی مدیریت ریسک شخص ثالث فراهم می کنند. با داشتن یک چارچوب به عنوان راهنمای راهنمای خود ، شما بینشی حیاتی را در مورد بالاترین خطر امنیتی خود کسب خواهید کرد و از برقراری ارتباط با بقیه سازمان که متعهد به تعالی امنیت هستید ، احساس اطمینان می کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code