https://www.pcisecuritystandards.org/
https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-88r1.pdf
介绍
- 了解治理和监管在网络安全中的作用和重要性
- 了解相关的国际法律、法规、政策、标准和准则
- 了解治理、风险管理和合规(GRC)框架
- 根据国际标准(包括 ISO 27001、NIST 800-53 等)制定和提高自己的网络安全态势
建议对以下两个房间有一个基本的了解;但是,不是强制性的:
- 安全原则
- Web 应用程序安全
为什么它很重要
- 治理:管理和指导组织或系统实现其目标并确保遵守法律、法规和标准。
- 法规:由管理机构执行的规则或法律,以确保合规性并防止伤害。
- 合规性:遵守适用于组织或系统的法律、法规和标准的状态。
信息安全治理代表了组织的既定结构、策略、方法和准则,旨在保证其信息资产的隐私性、可靠性和可访问性。鉴于网络威胁的复杂性不断升级,信息安全治理的重要性也在不断增长。它对于风险管理、保护机密数据免受未经授权的入侵以及遵守相关法规至关重要。信息安全治理属于高层管理的职权范围,包括以程:
- 战略:制定和实施符合组织整体业务目标的综合信息安全战略。
- 策略和过程:制定管理信息资产使用和保护的策略和过程。
- 风险管理:进行风险评估,以识别对组织信息资产的潜在威胁,并实施风险缓解措施。
- 绩效衡量:建立指标和关键绩效指标 (KPI) 来衡量信息安全治理计划的有效性。
- 合规性:确保遵守相关法规和行业最佳实践。
治理和监管在信息安全范式中密切相关,但具有不同的含义。信息安全法规是指管理信息资产使用和保护的法律和监管框架。法规旨在保护敏感数据免遭未经授权的访问、盗窃和滥用。遵守法规通常是强制性的,并由政府机构或其他监管机构强制执行。信息安全法规/标准的示例包括《通用数据保护条例》(GDPR)、支付卡行业数据安全标准 (PCI DSS)、《个人信息保护和电子文件法》(PIPEDA) 等。
以下是实施治理和监管的好处:
- 更强大的安全态势:实施全面的安全治理计划并遵守相关法规可以帮助组织降低安全漏洞的风险,并保护敏感信息免遭未经授权的访问、盗窃和滥用。
- 增强利益相关者的信心:有效的安全治理和监管可以证明组织认真对待网络安全并已采取措施保护敏感数据,从而增强利益相关者的信任。
- 法规遵从性:遵守相关法规,如 GDPR、HIPAA 和 PCI DSS,可以帮助组织避免因不合规而造成的法律和经济处罚以及声誉损害。
- 更好地与业务目标保持一致:安全治理框架可以帮助组织将其信息安全策略与其整体业务目标保持一致,并确保安全措施具有成本效益并有助于组织的成功。
- 明智的决策:安全治理计划可以为决策者提供他们所需的知识,以便就信息安全风险做出复杂的决策,并确保在最需要的地方实施安全措施。
- 竞争优势:有效的安全治理和对相关法规的遵守可以通过展示组织对保护敏感数据和增强利益相关者信任的承诺来提供竞争优势。
具体的法律法规操作着安全治理和监管生态系统。它们为建立最低合规标准、促进问责制和信任以及促进保护关键系统和数据的创新方法提供了一个结构化的框架。通过提供清晰简洁的规则,它们减少了歧义,并为组织提供了一种通用语言来衡量其安全态势并确保合规性。以下是一些相关法律法规的概述:
| 法律/法规 | 域 | 描述 |
| 通用数据保护条例 (GDPR) | 数据隐私与保护 | GDPR 是欧盟推广的一项法规,对组织如何处理、保护和保护欧盟公民和居民的个人数据提出了严格的要求。 |
| 健康保险流通与责任法案 (HIPAA)) | 医疗 | 一项基于美国的官方法律,旨在维护公民健康相关信息的敏感性。 |
| 支付卡行业数据安全标准 (PCI-DSS) | 财力 | 设定技术和操作要求,以确保商家、服务提供商和其他处理支付卡的实体安全处理、存储、处理和传输持卡人数据。 |
| 格雷姆-里奇-比利雷法案 (GLBA) | 财力 | 金融公司必须对其客户的非公开个人信息 (NPI) 保持敏感,包括实施信息安全计划、提供隐私声明和披露信息共享做法。 |
信息安全框架
- 政策: 概述组织实现特定目标的目标、原则和指导方针的正式声明。
- 标准:为特定流程、产品或服务建立特定要求或规范的文档。
- 指南:为实现特定目标或目的提供建议和最佳实践(非强制性)的文件。
- 程序:用于执行特定任务或过程的一组特定步骤。
- 基线:组织或系统必须满足的一组最低安全标准或要求。
- 确定范围和目的:确定文档将涵盖的内容以及为什么需要它。例如,可能需要密码策略来确保可靠且安全的用户密码。相比之下,可能需要一个基线来为所有系统建立最低安全级别。
- 研究和审查:研究相关法律、法规、行业标准和最佳实践,以确保您的文档是全面和最新的。审查现有政策、程序和其他文件,以避免重复工作或与现有指南相矛盾。
- 起草文件:制定大纲并开始起草文件,遵循编写清晰简洁的政策、程序、标准、指南和基线的最佳实践。确保文档具体、可操作且与组织的目标和价值观保持一致。
- 审查和批准:让利益相关者(例如主题专家、法律和合规团队以及高级管理层)审查文档。纳入他们的反馈,并确保文档与组织目标和价值观保持一致。获得相关利益相关者的最终批准。
- 实施和沟通:将文档传达给所有相关员工和利益相关者,并确保他们了解自己在实施中的角色和责任。制定培训和宣传计划,以确保理解和遵守该文件。
- 审查和更新:定期审查和更新文档,以确保其保持相关性和实用性。监控合规性,并根据反馈和威胁态势或监管环境的变化调整文档。
我们将通过一些真实场景来充分了解开发这些文档的步骤。
- 定义密码要求:最小长度、复杂性和过期时间。
- 定义密码使用准则:指定密码的使用方式,例如要求每个帐户使用唯一密码、禁止共享密码以及禁止默认密码。
- 定义密码存储和传输准则:使用加密进行密码存储,并要求安全连接进行密码传输。
- 定义密码更改和重置准则:密码更改的频率等。
- 传达策略:将密码策略传达给所有相关员工和利益相关者,并确保他们了解要求和准则。制定培训和宣传计划,以确保员工遵守该政策。
- 监视合规性:监视密码策略的符合性,并根据反馈和威胁态势或监管环境中的变化根据需要调整策略。
- 定义事件类型:未经授权的访问、恶意软件感染或数据泄露。
- 定义事件响应角色和职责:确定利益干系人,例如事件响应团队成员、IT 人员、法律和合规团队以及高级管理层。
- 详细步骤:制定应对每种类型事件的分步程序,包括初始响应步骤,例如控制事件和保存证据;分析和调查步骤,例如确定根本原因和评估影响;响应和恢复步骤,例如缓解事件、报告和恢复正常操作。
- 向管理层报告事件并记录事件响应过程以供将来参考。
- 传达事件响应程序。
- 查看并更新事件响应过程。
组织有时只需要制定标准、框架或基线;相反,他们遵循并使用与其领域或学科相关的已经制作的文件,因为金融部门可能遵循 PCI-DSS 和 GLBA;医疗保健可能遵循 HIPPA 等。我们决定应使用哪种基线清单标准框架的因素有很多;这些要求包括主要与特定地理区域、范围、目标、可用资源等相关的监管要求。
治理风险与合规 (GRc)
正如我们所研究的,信息安全治理和合规性对于维持任何组织的整体安全态势都是必要的。但是如何实现呢?这就是治理和风险合规 (GRC) 框架的作用。它侧重于以综合方式指导组织的整体治理、企业风险管理和合规性。它是一种全面的信息安全方法,与组织的目标和目标保持一致,有助于确保组织在相关法规和行业标准的范围内运作。GRC 框架包含以下三个组件:
- 治理组件:涉及通过信息安全战略(包括政策、标准、基线、框架等)设定方向来指导组织,同时建立适当的监控方法来衡量其绩效和评估结果。
- 风险管理组件:涉及识别、评估和确定组织风险的优先级,并实施控制和缓解策略以有效管理这些风险。这包括监控和报告风险,并不断评估和完善风险管理计划,以确保其持续有效性。
- 合规部分:确保组织履行其法律、法规和行业义务,并确保其活动符合其政策和程序。这包括制定和实施合规计划,进行定期审计和评估,以及向利益相关者报告合规问题。
一个精心开发和实施的网络安全 GRC 计划为管理风险、遵守法规和标准以及改善组织的整体安全视角提供了一个综合框架。它支持有效的治理、风险管理和合规活动,减轻网络事件的影响并确保业务弹性。在本节中,我们将探讨如何开发和实施 GRC 框架。制定和实施 GRC 框架涉及多个步骤;我们将用一个适当的例子来解释每个步骤,以便我们很容易理解:
- 定义范围和目标:此步骤涉及确定 GRC 计划的范围并定义其目标。例如,一家公司可以为其客户数据管理系统实施 GRC 计划。目标可能是在未来 12 个月内将网络风险降低到 50%,同时保持客户的信任。
- 进行风险评估:在此步骤中,组织识别和评估其网络风险。例如,风险评估可能会显示,由于访问控制薄弱或软件过时,客户数据管理系统容易受到外部攻击。然后,组织可以确定这些风险的优先级并制定风险管理策略。
- 制定政策和程序:制定政策和程序以指导组织内的网络安全实践。例如,公司可能会建立密码策略以确保使用强密码。他们还可能实施日志记录和监视系统访问过程以检测可疑活动。
- 建立治理流程:治理流程确保 GRC 计划得到有效管理和控制。例如,组织可以建立一个安全指导委员会,该委员会定期召开会议,审查安全风险,并就安全投资和优先级做出决策。定义角色和职责是为了确保每个人都了解他们在计划中的角色。
- 实施控制:实施技术和非技术控制以减轻风险评估中发现的风险。例如,公司可能会实施防火墙、入侵防御系统 (IPS)、入侵检测系统 (IDS) 以及安全信息和事件管理 (SIEM) 来防止外部攻击,并对员工进行培训以提高安全意识并降低人为错误的风险。
- 监控和衡量绩效:建立流程来监控和衡量 GRC 计划的有效性。例如,组织可以跟踪指标和对安全策略的遵守情况。此信息用于确定需要改进的领域并根据需要调整计划。
- 持续改进:根据绩效指标、不断变化的风险状况和利益相关者的反馈,不断审查和改进 GRC 计划。例如,假设组织遇到安全事件。在这种情况下,它可能会进行事后分析,以确定根本原因并进行更改以防止类似事件再次发生。
为了充分理解 GRC 的每个组件,有必要通过真实世界的示例和场景来理解它。在随后的章节中,我们将看到金融行业如何实现 GRC 框架的每个组件:
- 与治理相关的活动:提名治理层高管,制定银行保密法、反洗钱政策、财务审计政策、财务报告、危机管理等金融相关政策。
- 风险管理活动:识别潜在风险及其可能的结果和对策,例如金融欺诈风险、通过网络攻击进行的欺诈易、通过网络钓鱼窃取凭据、伪造 ATM 卡等。
- 合规活动:采取措施满足法律要求和行业标准,如PCI、DSS、GLBA等。此外,这还包括实施正确的方法,如SSL / TLS以避免中间人(MITM)攻击,确保针对未打补丁的软件进行自动补丁管理,为用户创建宣传活动以保护他们免受网络钓鱼攻击等等。
隐私和数据保护
在金融、医疗保健、政府和工业等各个领域,隐私和数据保护法规在处理公民的个人身份信息 (PII) 时都至关重要。隐私法规有助于确保以负责任和合乎道德的方式处理和存储个人信息。它们还有助于建立信任、保护个人信息和保持法规遵从性。展望未来,我们将介绍最重要的隐私和数据保护法规的基本要素及其目的,这将有助于我们理解为什么数据保护法规至关重要。
GDPR 是欧盟于 2018 年 5 月实施的一项数据保护法,旨在保护个人数据。个人数据是“与个人相关的任何数据,可用于直接或间接识别他们”。该法律的要点包括以下几点:
- 在收集任何个人数据之前,必须事先获得批准。
- 个人数据应保持在最低限度,并仅在必要时收集。
- 将采取适当措施来保护存储的个人数据。
该法律适用于在欧盟 (EU) 开展业务并收集/存储/处理欧盟居民个人数据的所有商业实体,并且必须遵守。它是全球最严格的数据隐私法规之一,在收集过程中保护个人数据。公司只能出于正当理由收集个人数据,并且必须将其处理情况告知所有者。此外,这还包括基于以下两个级别的违规行为的处罚和罚款:
- 第 1 级:更严重的违规行为,包括意外收集数据、未经同意与第三方共享数据等。最高罚款为组织收入的4%或2000万欧元(以较高者为准)。
- 第 2 级:不太严重的违规行为,包括数据泄露通知、网络政策等。第 2 级的最高罚款为组织收入的 2% 或 1000 万欧元(以较高者为准)。
PCI DSS 专注于维护安全的卡交易并防止数据盗窃和欺诈。它被企业广泛使用,主要是在线,用于基于卡的交易。它是由主要的信用卡品牌(Visa,MasterCard和美国运通)建立的。它需要严格控制对持卡人信息的访问,并使用推荐的措施
NIST特别出版物
在所有系列中,“项目管理”是 NIST 800-53 框架的关键控制之一。项目管理控制要求建立、实施和监控组织范围的信息安全和隐私计划,同时保护通过系统处理、存储或传输的内容。为确保计划管理,必须实施以下子控制:
合规性最佳实践
首先,企业必须执行彻底的发现过程,以识别和编目其数据资产、信息系统和相关威胁。这包括了解数据流、系统依赖关系和潜在漏洞。NIST 800-53 控制系列必须映射到已识别的资产和危害,从而更容易创建一种结构化方法,使控制与组织的需求相匹配。第三,建立治理结构、分配职责、概述精确的控制实施和维护程序,都是有效管理实施过程的必要条件。必须定期监测和评估所有措施,以确保合规性。最后,组织应建立有效的监控系统,以识别和解决安全问题,进行例行评估和审计,并改进控制实施。通过遵守这些最佳实践,组织可以成功实施 NIST 800-53,并增强其安全前景,同时有效降低风险。
NIST 800-63B
NIST 特别出版物 800-63B 是 NIST 制定的一套指南,旨在帮助组织建立有效的数字身份实践。其主要重点是验证和验证访问数字服务、系统和网络的个人的身份。该指南为不同级别的身份保证提供了建议,从基本到高度确定。他们还提供有关使用身份验证因素(包括密码、生物识别和令牌)以及安全管理和存储用户凭据的建议。
信息安全管理与合规
安全措施的战略规划、执行和持续管理都是信息安全 (IS) 管理的一部分,它保护信息资产免遭未经授权的访问、使用、披露、中断、更改和破坏。它涉及风险评估和识别、安全控制和程序开发、事件响应计划和安全意识培训。相反,合规性是指遵守与信息安全相关的法律、法规、合同和行业特定标准。在IS管理和合规性方面,我们将介绍两个关键标准。
ISO 27001 是国际公认的标准,用于规划、开发、运行和更新组织的信息安全管理体系 (ISMS)。官方的 ISO/IEC 27001 文件是付费的,可以从 此链接.它由国际标准化组织 (ISO) 和国际电工委员会 (IEC) 开发,具有以下核心组件:
- 范围:这指定了 ISMS 的边界,包括涵盖的资产和流程。
- 信息安全策略:定义组织信息安全方法的高级文档。
- 风险评估:涉及识别和评估组织信息的机密性、完整性和可用性的风险。
- 风险处理:涉及选择和实施控制措施,以将已识别的风险降低到可接受的水平。
- 适用性声明 (SoA):本文档指定了标准中的哪些控制措施适用,哪些不适用。
- 内部审计:这涉及对 ISMS 进行定期审计,以确保其有效运作。
- 管理评审:定期审查 ISMS 的绩效。
基于 ISO 27001 标准构建的 ISMS 需要仔细设计和执行。它需要详尽地评估组织的安全程序,发现差距,并进行彻底的风险评估。访问控制、事件响应等只是必须创建明确规则和流程并符合 ISO 27001 要求的几个领域。 领导支持和资源分配对于成功实施 ISMS 也至关重要。定期监测、测量和持续发展对于保证 ISMS 的有效性和与组织目标的持续一致性至关重要。
- SOC 2 是一种审计标准,用于评估服务组织在机密性、可用性、完整性和隐私方面的控制措施的有用性。
- 独立审计师进行 SOC 2 审计,以确定安全控制是否符合相关标准。
- SOC 2 报告为客户、利益相关者和监管机构提供有关服务组织的安全和隐私实践的宝贵信息。它们可用于证明服务组织有足够的控制措施来保护其用于处理客户信息的数据和系统。例如,一家为其他企业提供基础设施服务的云计算公司可能会接受 SOC 2 审计,以证明其有足够的控制措施来保护存储在其服务器上的客户数据。审计可能涵盖物理安全、网络安全、数据加密、备份和恢复以及员工培训和意识。
- SOC 2 审计报告将评估云计算公司的现有控制措施,并包括任何发现或改进建议。这些信息可以与客户和其他利益相关者共享,以确保公司采取适当的措施来保护其数据和系统。
- 确定范围:这可能包括与客户数据的安全性和隐私相关的特定系统、流程或位置。
- 选择合适的审计师:选择具有为金融公司进行 SOC 2 审计经验的合格审计师。考虑审计师的声誉、经验和可用性等因素。
- 计划审核:与审计师一起计划审计,包括审计时间表、审计范围和审计标准。
- 准备审核:通过查看安全和隐私控制、策略和过程来准备审核。找出任何差距或不足,并制定计划来解决它们。
- 进行审核:审核员将审查您的控制措施并进行测试以评估其有效性。审计可能包括与关键人员的访谈、文件审查和控制测试。
- 接收审计报告:审计完成后,审计师将提供一份详细说明审计结果的报告。该报告可能包括控制措施的描述、发现的任何缺陷或差距以及改进建议。
上图显示了在财务公司的 SOC 2 审计期间将检查的通用控制措施,具体取决于审计范围。除此之外,还有技术和特定的控制措施,例如确保传输中的数据加密、网络安全、事件管理等。
