Kontrol kaynakları

- [Eğitmen] Bilgi güvenliği kontrolleri için bazı özel kaynaklara bir göz atalım. Bilgi güvenliği programı hedeflerinize ulaşmak ve riski yönetmek için hammadde haline gelecektir. Daha önce, kontrollerinizi alabileceğiniz birçok uyumluluk zorunluluğu olduğunu gördük. 2002 Sarbanes-Oxley Yasası gibi bazı yetkiler size ne yapacağınızı söyler, ancak nasıl yapacağınızı söylemez. Örneğin, Bölüm 404, halka açık bir şirketin, iç kontrol yapısının ve finansal raporlama prosedürlerinin etkinliği hakkında yıllık bir rapor sunması gerektiğini söylüyor. Uygulama detayları size kalmış. Hangi kontrolleri uygulayacaksınız? Onları nasıl değerlendireceksiniz? Buna karşılık, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, kredi kartı verilerini korumak için ne yapmanız gerektiğini ayrıntılı olarak anlatır. Örneğin, standardın size yapmanızı söylediği ilk şey, güvenli bir ağ ve sistemler oluşturmak ve sürdürmektir. Daha sonra bunu yapmak için size geniş gereksinimler verir. Birincisi, "kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırması kurun ve sürdürün" diyor, daha sonra gördüğünüz gibi oldukça uzun ve karmaşık olan gereksinim 1.2.3 gibi 15'ten fazla özel alt gereksinim var. Her iki durumda da, uyumluluk zorunlulukları programınız için birincil denetim kaynağı olmamalıdır. Kendi ilgi alanlarına çok dar bir şekilde odaklanmışlardır. Tüm müşterilerinizin beklentilerini doğrudan karşılamazlar ve yöneticilerinizi ve yönetim kurulunuzu tam olarak desteklemek için tasarlanmamışlardır ve sizi siber saldırılara ve siber başarısızlıklara karşı geniş ölçüde dirençli hale getirmeyebilirler. Daha iyi bir kontrol kaynağı, daha yaygın olarak kullanılan bilgi güvenliği standartlarından biri olacaktır. Bu videoda beşine hep birlikte bakacağız. İçeriği kendileri geliştiren kuruluşlar tarafından yayınlanan üçüne bakarak başlayalım. Öncelikle, herkes bu üç standardı kullanabilirken, daha büyük şirketlerde en iyi şekilde çalıştıklarını ve bu standartların her biri kapsamlı olsa da, karmaşık olabileceğini bilmeniz gerekir. Birincisi, Bilgi Teknolojileri için Kontrol Hedefleri anlamına gelen COBIT'tir. COBIT iş odaklıdır. Bilgi teknolojisi yönetimi ve yönetişimi için oluşturulmuştur. Temel çerçeve çevrimiçi olarak ücretsizdir, ancak premium içeriğe erişmek için lisans ücretleri ödemeniz gerekir. Kar amacı gütmeyen bağımsız ISACA kuruluşu tarafından yayınlanmaktadır. Son olarak, COBIT hem yönetim hem de bilgi güvenliği analistlerinin anlaması ve takip etmesi kolaydır. Sırada NIST Özel Yayını 800-53, Federal Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Kontrolleri var. Bu standart, güvenlik denetimlerinin bir kataloğunu ve sizin için uygun olanları seçmek için bir metodoloji sağlar. Özellikle ulusal güvenlikle ilgili olanlar hariç, ABD federal bilgi sistemlerine yöneliktir. Amerika Birleşik Devletleri Ticaret Bakanlığı'nın düzenleyici olmayan bir kurumu olan Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yayınlanmaktadır. Herkes tarafından serbestçe kullanılabilir ve aralarından seçim yapabileceğiniz çok sayıda kontrole sahiptir, ancak küçük ve orta ölçekli kuruluşların kullanmasını zorlaştırabilecek hükümet sistemlerine yöneliktir. ISO 27002 Uluslararası Standardı, ihtiyaçlarınıza göre seçebileceğiniz kontrollerin bir kataloğudur. Bu standart, bir bilgi güvenliği yönetim sisteminin nasıl oluşturulacağını açıklayan ISO 27001 için uygulama cihazını da içermektedir. Bu standartlar, küresel olarak iş yapıyorsanız ve müşterilerinize bilgi güvenliği uygulamalarınız konusunda güvence vermeniz gerekiyorsa iyi bir seçimdir. Bu standartları kullanmak için, ISO belgelerinin bir kopyasına ihtiyaç duyan her kişi için bir lisans satın almanız gerekir. 27001 standardını da benimseyerek, program olgunluğunuzu artırabilecek ve işletmenize yararlı bir pazarlama aracı sağlayabilecek sertifikasyon talebinde bulunabilirsiniz. Bir başka iyi kontrol kaynağı da bir bilgi güvenliği konsensüs standardından olacaktır. Bunlar, çoğu yayıncı kuruluş dışından bilgi güvenliği uygulayıcıları olmak üzere birçok paydaşı içeren bir süreçle oluşturulmuştur. En popüler olanlardan ikisine bakalım. İlk olarak, İnternet Güvenliği Merkezi tarafından yayınlanan etkili siber savunma için Kritik Güvenlik Kontrolleri. Bu listedeki 20 güvenlik kontrolü, siber saldırıları durdurmada en etkili oldukları için seçildi. Yayın başlangıçta SANS Enstitüsü tarafından SANS Top 20 olarak geliştirildi. Mülkiyet, 2015 yılında kar amacı gütmeyen İnternet Güvenliği Merkezi'ne devredildi. Bu kontroller son derece pratik ve etkilidir, ancak bazı dezavantajları vardır. Liste, insanlar ve süreçler hakkında nispeten az şey içeren neredeyse tamamen tekniktir ve hepsini benimsemek yüzlerce ve binlerce dolara mal olabilir. Ne yazık ki, kontrollerin başarıyı ölçmek için yerleşik bir yöntemi yoktur. Gözden geçirmemiz gereken ikinci fikir birliği standardı NIST Siber Güvenlik Çerçevesi'dir. Özel sektör kuruluşlarının siber saldırıları önleme, tespit etme ve bunlara yanıt verme yeteneklerini nasıl değerlendirebilecekleri ve geliştirebilecekleri konusunda rehberlik sağlar. Devlet ve özel sektörden uzmanlardan oluşan çapraz işlevli bir ekip tarafından oluşturulmuştur. 2014 yılında NIST tarafından yayınlandı. Başlangıçta elektrik üretim tesisleri ve su dağıtım sistemleri gibi kritik altyapının operatörlerini hedefliyordu, ancak bugün çok çeşitli işletmeler ve kuruluşlar tarafından kullanılıyor. Standart, herkesin kullanması için ücretsizdir. Siber dayanıklılık etrafında düzenlenmiştir ve organizasyonel boyuta bağlı olarak ölçeği küçültebilir veya büyütebilir. Rehberliğe ve standarda dayanarak, kontrollerin ne kadar iyi uygulandığını ölçmek zordur ve küresel olarak iş yapıyorsanız ve ABD dışındaki ülkelerinizi güvence altına almanız gerekiyorsa en iyi seçim olmayabilir. güçlü bilgi güvenliği uygulamalarına sahip olduğunuz müşteriler.