如何构建最有效的信息安全框架
![](http://www.yyueer.com/sites/default/files/images/articles/20%20TenableFeature%20%5BRecovered%5D_Secuirty%20Framework_0.png)
建立一个全面防御网络攻击有很强的信息安全框架,利用世界上最好的标准和信息安全工具。
这样的术语“信息安全框架”可以在许多不同的方式,解释,有很多重叠的标准在整个信息安全领域。
其中一些需要严格遵守法律,必须遵循技术是否适用于你,而另一些则自愿,但整个行业的高度评价。这是明智的了解所有这些强制性和推荐性标准并决定如何最好地采纳和正确的漏洞评估和拦截工具。
ISO标准:坚实的基础之上
鉴于国际标准化组织(ISO)的指导方针覆盖所有主要行业,小惊喜,他们创造了几个关注信息安全:ISO 270011和27701年。2两人都是与国际电工委员会创建的。
ISO 27001:发达国家在信息安全的基于风险的方法,你不断地识别危险和选择控制妥善解决这些问题。ISO 27001的“控制”为信息安全分为类别包括书面安全政策、人力资源保障、资产管理、访问控制、加密、物理和环境安全,事件管理、业务连续性管理和遵守政府法规。3
ISO 27701:更关注数据隐私的具体问题。事实上,2019年的更新是一个直接回应欧盟实施通用数据保护监管(GDPR)。它需要组织因素的保护个人身份信息(PII)所有信息安全风险评估,并要求数据处理器或控制器使PII保护他们的最高优先级。4
不管你是小型企业或企业与多个国家的设施,你负责维护不仅PII客户还的你的员工。国际标准不应该占你的整个信息安全实践——事实上,在某些情况下,这将意味着被违规,但接受ISO认证是一个坚实的基础对于任何业务的信息安全项目。(结合ISO 27001的实践工具Tenable.sc使得一个特别强大的防御的信息安全威胁。)
独联体基准:infosec专业的信息安全指导方针
网络安全中心(CIS),一个非营利组织,致力于促进健全的信息安全实践,是指其控制和基准5作为“全球标准为确保IT系统和数据…最普遍的攻击。”6
打电话给独联体基准“详细”将是一个重大的轻描淡写:手动为Windows十企业的最新版本,例如,1312页,覆盖每一个方面的操作系统。这将是明智的通过CIS的看一看图书馆的基准,发现文档最密切相关的操作和花一些时间仔细研究了它们作为你的工作发展理想的信息安全组织的独特需求的框架。
行业和政府的标准
以下所有可能需要通过行业管理机构或政府本身,与处罚申请不服从。如果您的组织属于他们的管辖范围,规定必须你的信息安全计划的一部分。
HIPAA:如果你个人健康信息的处理在美国出于任何原因,是否作为卫生保健提供者或三级材料(如员工健康福利管理数据的目的),你必须遵循健康保险携带和责任法案(HIPAA)的安全规则。7这要求建立“行政、物理和技术保障”PII电子存储。
HIPAA不列出具体的信息安全实践遵守或工具使用。(这就是为什么利用多个标准有必要创建一个信息安全框架。)然而,一件事不是模糊的HIPAA的点球系统:违反可能意味着惩罚从100美元到150万美元,这取决于一个组织的责任。8
PCI DSS:任何企业、政府部门或非营利组织处理借记卡或信用卡支付受支付卡行业数据安全标准(PCI DSS)由签证,万事达卡和美国运通。9PCI DSS组织有更具体的要求,比如在防火墙配置和加密。如HIPAA、侵犯被罚款,政府和私营部门组织10——但不是一次性支付,他们每月积累直到违规方纠正其做法。
NIST:如果你想要一个有利可图的联邦合同为你的业务,你最好准备好接受和维护国家标准与技术研究院(NIST)独特的网络安全框架。11但NIST的基本阶段,信息安全也不可否认一个坚实的基础对于任何组织:识别网络安全风险,预先实现适当的保护,寻找和检测异常网络活动,制定立即响应和破坏的控制努力唤醒和数据恢复。12
DISA:虽然中概述的要求国防信息系统局(DISA)安全技术实现指南13只是强制性的国防部,他们更频繁地更新比几乎任何其他的信息安全协议,使他们成为优秀的资源发展自己的框架。
GDPR:这些需求影响任何组织,收集或处理个人数据从欧盟成员国的居民。14几乎所有的现代组织将需要实现GDPR标准至少某种程度上。
安全框架开发
任何安全框架的第一步是要全面了解你的资产。不管你决定去哪个框架,你不能保证你不能看到的东西。一个漏洞评估或解决方案可以帮助你得到一个完整的图片在您的网络。
一旦你准备好创建理想的信息安全框架,你显然必须从标准法律义务遵循(HIPAA、GDPR NIST)和那些不顺从的财政毁灭性的(PCI DSS)。除此之外,你应该考虑其他标准可以带来价值。
例如,也许ISO 27001覆盖你的诞生需要很好,但你欣赏CIS的详尽指导维护资产你在Amazon Web服务主机。采用相关的顺式标准不能伤害你的云业务,几乎肯定会有帮助。其他自愿认证可能并不直接适用于您的业务,但它仍然是值得理解,然后再决定是否按照他们的指导方针。这也是使用的关键漏洞扫描,渗透测试和威胁建模项目如何处理破坏性攻击在不同配置。
你需要正确的工具帮助沿途——站得住脚的,我们有。Nessus职业,行业领先的漏洞评估解决方案,是理想的补充许多信息安全框架,包括自定义方法。另外,我们提供的解决方案来帮助观察特定的协议,如Tenable.sc的对ISO 27001的合规和Tenable.io的支持ASV的PCI变种。
了解更多,选择的产品这是适合你。
1。ISO,“ISO / IEC 27001信息安全管理”
2。ISO, ISO / IEC 27701:2019安全技术,”2019年8月
3所示。IT治理的博客,“ISO 27001: 14控制套附件解释说,“2020年7月
4所示。IT治理美国“ISO 27701:隐私信息管理系统”
5。网络安全中心”CIS基准”
6。网络安全中心“关于我们”,2020年7月
7所示。美国医学协会”,HIPAA安全规则和风险分析,“2019年12月
8。现代医疗保健”,美国卫生和公众服务部帽HIPAA罚款基于“罪责”,“2019年4月
9。PCI安全标准委员会,“维护付款安全”
10。FivePoint支付,“政府需要保持PCI遵从吗?”,2018年2月
11。国家标准与技术研究所的“NIST网络安全框架”
12。IT治理美国NIST网络安全框架是什么?”
13。国防部网络交流,“安全技术实现指南(stig)”
14。GDPR。欧盟、“GDPR适用于欧盟以外的公司吗?”
相关文章
- 安全框架