一些IT安全框架和网络安全标准可用于帮助保护公司数据。以下是为您的组织选择合适的建议。
信息安全管理包括许多领域--从外围保护和加密到应用程序安全和灾难恢复。法规遵从性法规和标准(如HIPAA、PCI DSS、Sarbanes-Oxley法案和GDPR)使IT安全更具挑战性。
这就是IT安全框架和标准有帮助的地方。法规、标准和框架的知识对所有信息安全和网络安全专业人员至关重要。从审计的角度来看,遵守这些框架和标准也很重要。
为了帮助管理流程,让我们看看IT安全标准、法规和框架是什么,以及一些更受欢迎的选项可供选择以及如何使用。
什么是IT安全标准和法规?
标准就像一个配方;他们列出了要执行的步骤。管理良好的IT组织必须符合标准中规定的要求。
相比之下,法规具有法律约束力。他们描述如何做某事的方式表明政府和公众对法规中规定的规则和程序的支持。不遵守以IT为重点的法规可能会导致经济处罚和诉讼。
什么是IT安全框架?
IT安全框架是一系列文档化的过程,定义了信息安全控制的实施和持续管理的政策和程序。这些框架是管理风险和减少脆弱性的蓝图。
信息安全专业人员使用框架来定义管理企业安全所需的任务并确定其优先级。框架还用于帮助为合规性和其他IT审计做准备。因此,该框架必须支持标准或法规中定义的特定要求。
组织可以自定义框架来解决特定的信息安全问题,例如特定于行业的要求或不同的法规遵从性目标。框架也有不同程度的复杂性和规模。如今的框架经常重叠,因此选择一个有效支持运营、合规和审计要求的框架非常重要。
为什么安全框架很重要?
框架为建立信息安全管理的流程、政策和行政活动提供了一个起点。
安全要求经常重叠,导致“人行横道”可以用来证明符合不同的监管标准。例如,ISO 27002在第5节中定义了信息安全政策;信息和相关技术的控制目标(COBIT)在“协调、计划和组织”部分对其进行了定义;Treadway委员会赞助组织委员会(COSO)框架在“内部环境”部分对其进行了定义;HIPAA在“分配的安全责任”部分对其进行了定义;PCI DSS在“维护信息安全策略”部分对其进行了定义。
使用通用框架(如ISO 27002),组织可以建立人行横道,以证明其符合多项法规,包括HIPAA、Sarbanes-Oxley法案(SOX)、PCI DSS和Graham Leach Bliley法案。
如何选择IT安全框架
使用特定IT安全框架的选择可能受到多种因素的驱动。行业类型或合规性要求可能是决定性因素。例如,上市公司可能希望使用COBIT来遵守SOX,而医疗保健行业可能会考虑HITRUST。另一方面,ISO 27000系列信息安全框架适用于公共和私营部门。
虽然ISO标准的实施通常很耗时,但当组织需要通过ISO 27000认证来展示其信息安全能力时,这些标准会很有帮助。虽然NIST特别出版物(SP)800-53是美国联邦机构要求的标准,但任何组织都可以使用它来制定特定技术的信息安全计划。
这些框架帮助安全专业人员组织和管理信息安全计划。在这些框架中,唯一糟糕的选择是不选择任何一个。
IT安全标准和框架示例
1.ISO 27000系列
ISO 27000系列是由国际标准化组织开发的。它是一个灵活的信息安全框架,可以应用于所有类型和规模的组织。
两个主要标准——ISO 27001和27002——确立了创建信息安全管理系统(ISMS)的要求和程序。拥有ISMS是一项重要的审计和合规活动。ISO 27000包括概述和词汇表,并定义了ISMS要求。ISO 27002规定了开发ISMS控制的实施规范。
遵守ISO 27000系列标准是通过审计和认证过程建立的,通常由ISO和其他认可机构批准的第三方组织提供。
ISO 27000系列有60个标准,涵盖广泛的信息安全问题,例如:
- ISO 27018涉及云计算。
- ISO 27031提供了有关IT灾难恢复计划和相关活动的指导。
- ISO 27037涉及数字证据的收集和保护。
- ISO 27040解决了存储安全问题。
- ISO 27799定义了医疗保健中的信息安全,这对需要遵守HIPAA的公司非常有用。
2.NIST SP 800-53
NIST开发了一个广泛的IT标准库,其中许多标准侧重于信息安全。NIST SP 800系列于1990年首次发布,几乎涵盖了信息安全的各个方面,并越来越关注云安全。
NIST SP 800-53是美国政府机构的信息安全基准,在私营部门广泛使用。SP 800-53有助于推动信息安全框架的发展,包括NIST网络安全框架(NIST CSF)。
3.NIST SP 800-171
NIST SP 800-171因美国国防部对承包商遵守安全框架的要求而广受欢迎。政府承包商由于靠近联邦信息系统,经常成为网络攻击的目标。政府制造商和分包商必须有一个IT安全框架来竞标联邦和州的商业机会。
NIST SP 800-171框架中包含的控制与NIST SP 800-53直接相关,但不太详细,更为笼统。如果一个组织必须以NIST SP 800-171为基础,证明其符合NIST SP 800-53,则可以在这两个标准之间建立人行横道。这为较小的组织创造了灵活性——它们可以使用NIST SP 800-53中包含的额外控制措施,在成长过程中显示出合规性。
4.NIST-CSF
NIST改善关键基础设施网络安全框架(NIST CSF)是根据2013年2月发布的第13636号行政命令制定的。它的开发是为了解决美国的关键基础设施问题,包括能源生产、供水、食品供应、通信、医疗保健和运输。这些行业必须保持高度的准备,因为它们都因其重要性而成为民族国家行为者的目标。
与其他NIST框架不同,NIST CSF专注于网络安全风险分析和风险管理。该框架中的安全控制基于风险管理的五个阶段:识别、保护、检测、响应和恢复。与所有IT安全计划一样,这些阶段需要高级管理层的支持。NIST CSF适用于公共和私营部门。
5.NIST SP 1800系列
NIST SP 1800系列是对NIST SP 800系列标准和框架进行补充的一套指南。SP 1800系列出版物提供了有关如何在现实应用中实施和应用基于标准的网络安全技术的信息。
SP 1800系列出版物提供了以下内容:
- 具体情况和能力的示例。
- 基于经验的操作方法,使用多种产品来实现所需的结果。
- 关于各种规模组织能力实施的模块化指导。
- 所需组件的规范以及安装、配置和集成信息,使组织能够轻松地复制流程本身。
6.COBIT
COBIT是由ISACA在20世纪90年代中期开发的,ISACA是一个由IT治理专业人员组成的独立组织。ISACA提供著名的认证信息系统审计员和认证信息安全经理认证。
COBIT最初专注于降低IT风险。2012年发布的COBIT 5包含了新技术和业务趋势,以帮助组织平衡IT和业务目标。当前版本为COBIT 2019。它是实现SOX合规性最常用的框架。许多出版物和专业认证都满足了COBIT的要求。
7.CIS控制
互联网安全中心(CIS)关键安全控制,版本8(以前称为SANS Top 20)列出了可应用于任何环境的技术安全和操作控制。它不像NIST CSF那样涉及风险分析或风险管理;相反,它只专注于降低风险和提高技术基础设施的弹性。
18个CIS控件包括以下内容:
- 企业资产的盘点与控制。
- 数据保护。
- 审核日志管理。
- 恶意软件防御。
- 渗透测试。
CIS控制与现有的风险管理框架相联系,以帮助补救已识别的风险。对于缺乏技术信息安全经验的IT部门来说,它们是有用的资源。
8.HITRUST通用安全框架
HITRUST通用安全框架(CSF)包括风险分析和风险管理框架以及操作要求。该框架有14个不同的控制类别,几乎可以应用于任何组织,包括医疗保健。
HITRUST CSF对于任何组织来说都是一项巨大的事业,因为它对文档和流程的重视程度很高。因此,许多组织最终确定了HITRUST关注的较小领域。获得和维护HITRUST认证的成本增加了采用该框架所需的努力水平。认证由第三方审核,这增加了有效性。
9.GDPR
GDPR是全球组织必须实施的安全要求框架,以保护欧盟公民个人信息的安全和隐私。GDPR要求包括限制未经授权访问存储数据的控制措施和访问控制措施,如最低权限、基于角色的访问和多因素身份验证。
10.COSO
COSO是五个专业组织的联合倡议。其内部控制——综合框架于1992年发布,并于2013年更新,帮助公司实现基于风险的内部控制方法。它包括以下五个组成部分:
- 控制环境。
- 风险评估和管理。
- 控制活动。
- 信息和通信。
- 监测。
COSO于2004年发布了企业风险管理(ERM)——综合框架,并于2017年进行了更新。该框架旨在帮助组织改进网络风险管理,涵盖以下五个组成部分的20项原则:
- 治理和文化。
- 战略和目标设定。
- 表演
- 审查和修订。
- 信息、沟通和报告。
2019年发布的一份指导文件《数字时代的网络风险管理》就如何准备和应对企业网络威胁提供了建议。它与COSO ERM框架保持一致。
11.FISMA
《联邦信息安全现代化法案》(FISMA)与NIST风险管理框架紧密一致,为保护联邦政府数据和系统提供了一个安全框架。FISMA于2002年推出,并于2014年更新,建议在2023年更新;立法悬而未决。
FISMA要求联邦机构及其第三方、承包商和供应商制定、记录和实施安全政策和做法,包括监控其IT基础设施和进行定期安全审计。
12.NERC CIP
北美电力可靠性公司关键基础设施保护是一个由14个已批准和提议的标准组成的框架,适用于大容量电力系统内的公用事业公司。这些标准概述了监测、监管、管理和维护关键基础设施系统安全的建议控制和政策。
CIP标准包括以下内容:
- CIP-004-6网络安全——人员和培训。
- CIP-008-6网络安全——事件报告和响应计划。
- CIP-013-1网络安全——供应链风险管理。
- CIP-014-1物理安全。
大容量电力系统所有者、运营商和用户必须遵守NERC CIP框架。
