چارچوب ها و استانداردهای برتر امنیت فناوری اطلاعات

چندین چارچوب امنیتی فناوری اطلاعات و استانداردهای امنیت سایبری برای کمک به محافظت از داده‌های سازمانها در دسترس هستند. در این مقاله تعدادی از بهترین استاندادهای امنیت سایبری را بررسی می کنیم.
مدیریت امنیت اطلاعات ISMS ، حوزه های زیادی را در بر می گیرد : از حفاظت محیطی و رمزگذاری داده ها گرفته تا امنیت برنامه های وب و بازیابی بلایا و برقراری تداوم کسب و کار. امنیت فناوری اطلاعات با قوانین انطباق مانند HIPAA، PCI DSS، Sarbanes-Oxley و استانداردهای جهانی مانند GDPR چالش برانگیزتر شده است.

DevSecOps چیست؟

اینجاست که چارچوب ها و استانداردهای امنیتی فناوری اطلاعات می توانند مفید باشند. آگاهی از مقررات، استانداردها و چارچوب ها برای همه متخصصان امنیت اطلاعات (infosec) و امنیت سایبری ضروری است. انطباق با این چارچوب ها و استانداردها از منظر حسابرسی نیز مهم است.
برای کمک به مدیریت فرآیند، بیایید به استانداردها، مقررات و چارچوب‌های امنیت فناوری اطلاعات و همچنین چند گزینه محبوب‌تر برای انتخاب و نحوه استفاده از آنها نگاه کنیم.

استانداردها و مقررات امنیت فناوری اطلاعات چیست؟

استانداردها مانند یک دستور غذا هستند. آنها مراحلی را که باید انجام شوند فهرست می کنند. یک سازمان فناوری اطلاعات که به خوبی مدیریت می شود باید الزامات مندرج در یک استاندارد را رعایت کند.
مقررات، در مقابل، تأثیر الزام آور قانونی دارند. روشی که آنها نحوه انجام کاری را توصیف می کنند نشان دهنده حمایت دولت از قوانین و فرآیندهای مندرج در مقررات است. عدم رعایت مقررات متمرکز بر فناوری اطلاعات می تواند منجر به جریمه های مالی و طرح دعوی شود.

چارچوب امنیت فناوری اطلاعات چیست؟

چارچوب امنیت فناوری اطلاعات مجموعه‌ای از فرآیندهای مستند است که سیاست‌ها و رویه‌هایی را در مورد پیاده‌سازی و مدیریت مداوم کنترل‌های امنیت اطلاعات تعریف می‌کند. این چارچوب ها طرحی برای مدیریت ریسک و کاهش آسیب پذیری ها هستند.
متخصصان امنیت اطلاعات از چارچوب ها برای تعریف و اولویت بندی وظایف مورد نیاز برای مدیریت امنیت سازمانی استفاده می کنند. چارچوب ها همچنین برای کمک به آماده شدن برای انطباق و سایر ممیزی های فناوری اطلاعات استفاده می شوند. بنابراین، چارچوب باید الزامات خاص تعریف شده در استاندارد یا مقررات را پشتیبانی کند.

ارزیابی آسیب پذیری چیست؟

سازمان‌ها می‌توانند چارچوب‌ها را برای حل مشکلات خاص امنیت اطلاعات، مانند الزامات خاص صنعت یا اهداف مختلف انطباق مقررات، سفارشی کنند. چارچوب ها نیز در درجات مختلفی از پیچیدگی و مقیاس وجود دارند. چارچوب های امروزی اغلب با هم همپوشانی دارند، بنابراین انتخاب چارچوبی که به طور موثر از الزامات عملیاتی، انطباق و حسابرسی پشتیبانی می کند، مهم است.

چرا چارچوب ها مهم هستند؟

چارچوب ها نقطه شروعی را برای ایجاد فرآیندها، سیاست ها و فعالیت های اداری برای مدیریت امنیت اطلاعات فراهم می کنند.
الزامات امنیتی اغلب با هم همپوشانی دارند، که این همپوشانی منجر به ایجاد راهی برای نشان دادن انطباق با استانداردهای نظارتی مختلف می شود. به عنوان مثال، ISO 27002 خط مشی امنیت اطلاعات را در بخش 5 تعریف می کند. اهداف کنترل برای اطلاعات و فناوری های مرتبط (COBIT) آن را در بخش “تراز، برنامه ریزی و سازماندهی” تعریف می کند. چارچوب کمیته سازمان های حامی کمیسیون ترد وی (COSO) آن را به عنوان “محیط داخلی” تعریف می کند. HIPAA آن را به عنوان “مسئولیت امنیتی تعیین شده” تعریف می کند. و PCI DSS آن را در بخش “حفظ سیاست امنیت اطلاعات” تعریف می کند.

استانداردهای قانون حریم خصوصی HIPAA به استفاده و افشای اطلاعات بهداشتی افراد (معروف به “اطلاعات بهداشتی محافظت شده”) توسط نهادهای مشمول این قانون حریم خصوصی مربوط می شود.HIPAA قوانین سختگیرانه ای را برای حفظ اطلاعات خصوصی مربوط به مراقبت های بهداشتی ایجاد کرد. در حال حاضر، ارائه دهندگان مراقبت های بهداشتی، بیمه های بهداشتی و شرکت هایی که با آنها کار می کنند، باید اطلاعات بهداشتی شناسایی شخصی را خصوصی سازند.

با استفاده از یک چارچوب مشترک، مانند ISO 27002، یک سازمان می تواند برای نشان دادن انطباق با قوانین متعدد، از جمله HIPAA، Sarbanes-Oxley، PCI DSS و Graham-Leach-Bliley، مسیرهای برای عبور مشترک الزامات مختلف ایجاد کند.

نحوه انتخاب چارچوب امنیتی فناوری اطلاعات

نحوه انتخاب استفاده از یک چارچوب امنیتی IT ، به عوامل متعددی بستگی دارد. نوع صنعت یا الزامات انطباق می تواند عوامل تعیین کننده باشد. برای مثال، شرکت‌های سهامی عام ممکن است بخواهند از COBIT برای پیروی از قانون Sarbanes-Oxley استفاده کنند، در حالی که بخش مراقبت‌های بهداشتی ممکن است HITRUST را در نظر بگیرد. از سوی دیگر، سری چارچوب‌های امنیت اطلاعات ISO 27000 در بخش‌های دولتی و خصوصی قابل اجرا است.

COBIT چارچوبی برای اعمال راهبری (حاکمیت) و مدیریت فناوری اطلاعات است. این چارچوب زبان مشترکی برای برقراری ارتباط میان مدیران کسب‌وکار و مدیران فناوری اطلاعات برای رسیدن به درک مشترک از مقاصد و اهداف یکدیگر ایجاد می نماید و این امکان را می‌دهد تا اهداف عملیاتی نظام حاکمیتی و مدیریتی در سازمان شناسایی شوند.

قانون ساربنز-آکسلی ۲۰۰۲ که ۳۰ ژوئیه ۲۰۰۲ به امضای جورج دبلیو بوش، رئیس‌جمهور آمریکا رسید، در مجلس سنای آمریکا به نام قانون اصلاح حسابداری شرکت عام و محافظت از سرمایه‌گذار و در مجلس نمایندگان آمریکا به نام قانون حساب‌دهی و مسئولیت‌پذیری شرکتی و حسابرسی طرح و بررسی شده بود.

در حالی که اجرای استانداردهای ISO اغلب وقت گیر است، اما زمانی که یک سازمان نیاز دارد قابلیت های امنیت اطلاعات خود را از طریق گواهینامه ISO 27000 نشان دهد، مفید هستند. در حالی که NIST Special Publication (SP) 800-53 استاندارد مورد نیاز آژانس های فدرال ایالات متحده است، هر سازمانی می تواند از آن برای ایجاد یک طرح امنیت اطلاعات ویژه فناوری استفاده کند.

این چارچوب ها به متخصصان امنیتی کمک می کند تا یک برنامه امنیت اطلاعات را سازماندهی و مدیریت کنند. تنها انتخاب بد در بین این فریمورک ها، انتخاب نکردن هیچ یک از آنهاست.

نمونه هایی از استانداردها و چارچوب های امنیتی فناوری اطلاعات

سری استانداردهای ISO 27000 :

سری ISO 27000 توسط سازمان بین المللی استاندارد توسعه داده شده است. استانداردهای ISO 27000 یک چارچوب امنیت اطلاعات انعطاف پذیر است که می تواند برای همه نوع و اندازه سازمان ها اعمال شود.

دو استاندارد اولیه – ISO 27001 و 27002 الزامات و رویه های ایجاد یک سیستم مدیریت امنیت اطلاعات (ISMS) را تعیین می کنند. داشتن ISMS یک فعالیت حسابرسی و انطباق مهم است. ISO 27000 شامل یک نمای کلی و واژه نامه تعاریف اصطلاحات است و الزامات برنامه ISMS را تعریف می کند. ISO 27002 آیین نامه اجرایی برای توسعه کنترل های ISMS را مشخص می کند.
انطباق با استانداردهای سری ISO 27000 از طریق فرآیندهای ممیزی و صدور گواهینامه، که معمولاً توسط سازمان های شخص ثالث تأیید شده توسط ISO و سایر آژانس های معتبر ارائه می شود، ایجاد می شود.

سری ISO 27000 دارای 60 استاندارد است که طیف گسترده ای از مسائل امنیت اطلاعات را پوشش می دهد، به عنوان مثال:

• ISO 27018 به محاسبات ابری می پردازد.
• ISO 27031 راهنمایی در مورد برنامه های بازیابی فاجعه فناوری اطلاعات و فعالیت های مرتبط ارائه می دهد.
• ISO 27037 به جمع آوری و حفاظت از شواهد دیجیتالی می پردازد.
• ISO 27040 به امنیت ذخیره سازی می پردازد.
• ISO 27799 امنیت اطلاعات در مراقبت های بهداشتی را تعریف می کند که برای شرکت هایی که نیاز به انطباق با HIPAA دارند مفید است.

چارچوب امنیت سایبری NIST :

NIST چارچوب امنیت سایبری ابزاری قوی جهت سازماندهی و بهبود برنامه های امنیت سایبری سازمان ها است. NIST مجموعه‌ای از توصیه‌ها و استانداردهایی برای سازمان‌ها در جهت آمادگی بهتر برای شناسایی حملات سایبری می باشد و همچنین دستورالعمل‌هایی در مورد نحوه واکنش، پیشگیری و بازیابی از حوادث سایبری ارائه می‌دهد.

چارچوب امنیت سایبری NIST که توسط موسسه ملی استاندارد و فناوری (NIST) تهیه شده است، به کمبود استانداردها در مورد امنیت سایبری می پردازد و مجموعه یکسانی از قوانین، دستورالعمل ها و استانداردها را برای سازمان ها جهت استفاده در صنایع ارائه می دهد.

تمرکز: شناسایی کامل و شخصی سازی شده ضعف امنیتی
چارچوب امنیت سایبری NIST به سه جزء تقسیم می‌شود: هسته، سطوح پیاده‌سازی و پروفایل‌ها.

The Core یا هسته:

اهداف امنیت سایبری را تعریف می کند و آنها را در پنج مرحله سازماندهی می کند: شناسایی، محافظت، تشخیص، پاسخ و بازیابی. به عنوان مثال، پرداختن به مدیریت ریسک زنجیره تامین بخشی از مرحله “شناسایی” است.

سطوح پیاده‌سازی:

تعیین کنید که تلاش‌های امنیت سایبری سازمان تا چه اندازه اهداف چارچوب امنیتی منتخب را برآورده می کنند. آنها از جزئی (Tier 1) تا تطبیقی (Tier 4) متغیر هستند. سازمانی که هدفش ردیف 4 است، می‌خواهد مطمئن شود که تلاش‌های امنیت سایبری آن‌ها مطابق با استانداردهای چارچوب عالی است.

نمایه ها:

به سازمان ها کمک کنید تا اهداف موجود خود را با هسته چارچوب مقایسه کنند و فرصت های بهبود را شناسایی کنند. آنها راهنمایی می کنند که چگونه NIST می تواند به بهترین شکل نیازهای خاص سازمان را برآورده کند.
رعایت چارچوب داوطلبانه است. گفته می‌شود، NIST برای یافتن نقاط ضعف امنیتی بسیار محبوب است. می‌تواند به سازمان‌ها کمک کند تا به مقررات پایبند باشند و حتی پیشنهادات امنیتی شخصی‌سازی شده را ارائه دهند.