十份30个安全控制框架的Cisos Ultimate指南 - 2019

 

最高安全框架

强制各行业的公司被迫采用一个或多个框架,以满足合规举措。有200多个安全框架,法规,标准和指南可供选择,可以在任何特定时间内影响您的业务。在任何特定的顺序中,以下是我们在我们的安全行业普遍存在的最高安全控制框架以及每个框架的一些独特事实。

框架#1 : NIST 网络安全框架(NIST CSF)

nist csf. 普遍用于小型和大型企业,它也被称为“改善关键基础设施的框架”。该框架已由商业部开发,以帮助成熟整个国家的网络弹力。与许多其他复杂的框架相比,这个框架的真正独特是非常容易实现的。高管在易于理解的情况下爱这个框架,但最严重的网络安全专业人士正在使用这是一个通信工具。此安全框架的每个要求实际上都会互连并映射到来自业务或更广泛框架的要求。

框架#2:联邦金融机构考试理事会(FFIEC)网络评估工具(猫)

FFIEC猫已经由金融监管机构开发专门用于 银行和信用合作社。此框架具有一个非常独特的组成部分,允许安全官员开发由控件目录补充的组织成熟度模型和固有风险模型。到期日本模型提供基准成熟度,组织能够衡量其进度,以提高其安全计划的成熟程度随着时间的推移。 FFIEC CAT工具的成熟特征在许多其他框架和安全官员中不存在,最终最终使用CCMI成熟度模型与其他框架。 FFIEC还提供了一种发达的评分模型,有助于衡量随着时间的推移进展。这是信贷工会的一个优秀工具,具有最小的信息安全资源。

框架#3:NIST风险管理框架(NIST RMF)

nist rmf. 是任何证据官员明确的终极框架,并专心尝试使用框架并将其链接到实际的系统级别设置。然而,与其他框架相比,大多数安全官员不喜欢这个框架,因为它与其他框架相比,它的明确和令人讨厌的细节相比允许更多的框架。此框架的核心内容来自NIST特殊发布800-53(控制目录)。同样重要的是要注意,该行业的许多专业人士在NIST CSF和NIST RMF之间没有明确的理解。他们最常在他们的沟通中互换地使用这些框架。 NIST RMF拥有超过900多个控件,每个控制许多子要求,而CSF只有约100个高级要求,并且不正式才能进行任何认证&高安全军事制度的认证。

框架#4:联邦信息系统管理法(Fisma)

联邦信息系统管理法(FISMA)是一项立法框架,作为2002年电子政务法案的一部分签署了法律。FISMA是所有军事,国防和联邦系统的最终权力,除了被分类为国家的系统外安全系统(NSS)。 Fisma通常通过实施一个更多框架而强制执行。在2013年之前,Fisma通过DOD信息认证执行&然而,所有机构都通过NIST RMF采取统一的合规方法,因为它是福斯卡的实施。值得注意的是,Fisma是一个法律框架,它包含不仅仅是安全性,但虽然它通常被用作实施安全性的主要机构。

框架#5:联邦风险和授权管理计划(Fedramp)

Fedramp是一个有一个或多个修改的框架的程序,专门为有兴趣与美国政府合作的云服务提供商(CSP)。 Fedramp计划将其法律权威从Fisma中提取,同时利用修改和专业版的NIST风险管理框架。 Fedramp是政府在内部执行以管理安全风险的商业版本。它以前称为认证&然而,认证过程现在新术语是授权和证明过程。 Fedramp. 广泛且广泛的标准,商业环境中的大多数组织正在努力实施和维护本标准。关于这一框架的独特事件是,令人惊叹的成本可以高达300万美元来充分实现这一框架。组织应该看自动化 Fedramp.& Pentesting 越多越好。

框架#6:HIPAA安全规则(HSR)

1996年的健康保险便携性和责任法案旨在保护消费者免受许多不同的关切,而不仅仅是单独的安全。例如。 HIPAA的标题I保护工作人员及其家人的健康保险范围,当他们改变或失去工作时。但是,对于网络安全专业人员,HIPAA安全规则是主要问题之一。 HIPAA安全规则不仅适用于医院,而是任何维护受保护的健康信息(PHI)的人。 PHI可以由医院,保险提供商和第三方提供商管理,如软件开发商店等。通过卫生信息技术进行经济和临床健康(Hitech)法案,进一步强制执行HIPAA。关于这个框架的最令人印象深刻的事情是,当它创造时,它实际上是超出了它的几年。 HIPAA安全规则是第一个专门制定基本安全控制和保护等技术,行政和实际保障等的公共法律之一。除联邦和国防安全社区外,没有其他立法提供这种明确的语言。

框架#7:云安全联盟(CSA)

云安全联盟(CSA)量身定制和专用,以实现云安全最佳实践。 CSA提供全面的映射矩阵,包括许多其他框架到其成员。 CSA是一组联盟LED组织,由许多不同行业的一些保安人员管理。它是行业中的原始安全框架之一,该框架开始免费提供映射。 CSA由许多寻求将多个要求映射到特定于组织的统一安全控制框架的许多从业者使用。

框架#8:一般数据保护规范(GDPR)

这是在欧盟(欧盟)运营的所有公司的监管框架。 GDPR被认为是过去十年数据隐私最重要的变化之一。关于本规定的有趣事实从根本上提升公平隐私原则(FPP)。今天许多组织正在寻求将此映射到其现有的框架。 NIST RMF提供了分组的控件,这些控件也以公平的隐私原则(FPP)为基础。 NIST RMF还提供隐私影响评估和隐私阈值分析(PIA / PTA),可以帮助满足GDRP的一些要求。

框架#9:个人信息保护和电子文件法(Pipeda)

Pipeda是一个加拿大联邦隐私法,旨在为组织如何处理私人信息的基础规则。像GDPR一样,Pipeda试图确保以尊重隐私权的基本权利获得个人信息。与许多其他立法框架相比,关于Pipeda的最有趣事实的最有趣事实是,与许多其他立法框架相比,执行的实施过程非常透明和有组织的方式。加拿大政府真正考虑到最终用户解释如何遵守如何遵守 Pipeda及其如何执行.  

框架#10:Sarbanes Oxley Section 404(SOX 404)

萨班斯·奥克斯利法案于2002年通过了几个金融丑闻,以惊喜为国家。总体而言,它是美国公开交易公司的商业财务实践的全面改革。 SOX符合性有几个部分,但第404节“管理内部控制评估”直接适用于大多数信息安全专业人员。第404节是最复杂,最竞争,最昂贵的,实现所有萨班斯·奥克斯利行为。大多数时候,COSO和COBIT用作SOX 404的实现标准以及管理层定义的内部控制。安全风险和合规团队很少合并或使用其他安全框架进行地图404。

框架#11:支付卡行业 - 数据安全标准(PCI-DSS)

PCI-DSS是世界上最受欢迎的安全标准之一。大多数安全专业人员通过他们的职业生涯中的某种形式或形式致力于这种标准。通过支付卡行业安全标准委员会,由Visa,Mastercard,American Express,Discover和JBC管理,拥有和管理。关于本标准的最有趣的事实是它实际上是完全自愿的非立法标准,通过业务而对监管机构执行。 PCI-DSS被认为是一种行业自治的形式,实际上有助于减少法律执法。

框架#12:信息和相关技术的控制目标(Cobit)

Cobit是一个知名的IT治理框架,具有广泛的关注范围,包括安全。它是业内领先的框架之一,用于将业务与IT计划保持一致。单独的COBIT虽然似乎太高,所以它常常辅以其中的几个框架,以帮助CIO在企业中管理IT战略。 COBIT经常被大型公开交易公司使用,通常由大型公共会计师事务所推荐作为IT管理的框架。

框架#13扶手委员会的赞助组织委员会(COSO)

COSO是由5个组织的合作倡议,被认为是一个广泛而彻底的框架,远远超出网络安全,但在许多领域的内部控制中侧重于内部控制。 COSO还介绍了一种实施企业风险管理(ERM)的方法。网络安全很快就会在风险管理下方对齐。“输入奖项风险管理 - 综合框架 解决企业风险管理的演变,以及组织的需求,以提高他们管理风险的方法,以满足不断变化的商业环境的要求。”这些不断发展的需求之一是适当管理网络风险。 Cisos今天可能会发现自己试图在COSO框架内实施网络安全。像Cobit一样,COSO提供呼吸,但将深度留给实施者和专家。

框架#14安全控制框架(SCF)

SCF框架提供自由网络安全和隐私控制指导,以涵盖组织的战略,运营和战术需求,无论其规模,行业或原籍国。 SCF已被转义为授权组织来设计,实施和管理网络安全和隐私原则。 SCF专为现代安全计划而设计。它有32个域和大约750个控件,在这些域内分类。 SCF涵盖的一些常见域包括安全和治理,资产管理,业务连续性和灾难恢复,能力和绩效规划,变更管理,云技术,云安全,合规性,移动设备管理,网络安全,配置管理,隐私,其中。通过这些域,公司可以设计,构建和维护安全的流程,系统和应用程序。 SCF使用应被视为长期工具,以帮助确保安全性和隐私原则进行适当的设计和实施。

框架#15 nerc cip

北美电力可靠性公司(NERC)关键基础设施保护(CIP)是一套要求,旨在确保操作北美散装电力系统所需的资产。 NERC CIP包含9项标准和45项要求,旨在提高电子参数的安全性和关键网络资产的保护。此外,该框架侧重于人员和培训,灾难恢复规划和安全管理。 NERC CIP下的其他域包括电子安全参数,关键网络资产的物理安全性,以及事件报告和响应计划。总体而言,CIP计划协调标准开发,合规执行,风险和准备评估等努力,对关键信息的传播,并提高了对关键安全问题的认识。根据NERC CIP,组织需要识别关键资产,并定期对资产进行风险分析。此外,公司应定义监控和改变关键资产配置的政策。该框架的其他要求涉及使用防火墙来阻止易受攻击的端口,以及网络攻击监控解决方案的实现。还建议组织实施IT控制,以保护对关键网络资产的访问。

框架#16 DFARS第252.204-7012 / NIST 800-171

DFARS. 条款252.204-7012要求承包商和分包商提供足够的安全保障,以保护覆盖涵盖或通过承包商的内部信息系统或网络进行转运。此外,承包商需要报告影响有覆盖的承包商信息系统或居住在其中的涵盖的防御信息的网络事件,或影响承包商执行指定为操作性境关键支持的要求的能力。这也涉及提交恶意软件发现并与向国防部网络犯罪中心报告的网络事件相关联。涵盖的防御信息在本安全框架中是指未分类的受控技术信息(CTI)或其他信息,如CUI登记处所描述的,要求根据法律,法规和政府范围的政策保障或传播控制。该信息包括联邦合同信息,控制未分类的信息和涵盖的防御信息。

在下面 DFARS. 第252.204-7012章,承包商也需要为所有授予的所有合同实施NIST SP 800-171。 NIST SP 800-171. 详细说明了保护联邦合同信息,CDI或CUI对非联邦信息系统的机密性的安全要求。要求主要关注策略,流程和安全配置,但许多控件可能需要安全相关的软件或硬件。

框架#17 ISO 27000系列

ISO 27000系列由国际标准化组织(ISO)和国际电工委员会(IEC)开发和出版,为最佳实践信息安全管理提供全球认可的框架。这家信息安全标准有助于组织保证其信息资产。 ISO 27000系列的支柱是ISO / IEC 27001:2013,通常称为ISO 27001.它规定了可用于审核信息安全管理系统(ISMS)的要求。 ISO 27001提供了一种可靠的框架,可帮助组织通过有效的技术,测试和审核实践,员工意识计划和改进的组织流程来保护他们的信息。然而,ISO 27001不是ISO 27000系列中唯一的重要标准。还有其他重要的重要性,也可以用于实现额外的指导和支持。例如,ISO 27002为应用ISO 27001附件A. ISO 27005中推荐的控制提供了最佳实践指导,提供了关于进行信息安全风险评估的指导,而ISO 27032则是网络安全最佳实践的一般指导。

框架#18 CIS关键安全控制

关键安全控制(CIS)为每个组织提供了一种高度实用和有用的框架,用于实现和评估。框架是有效且权威,考虑到控件由社区开发并基于实际威胁数据。该控件也是基于行业和供应商中性的。 CIS提供的基本控件包括对硬件资产的库存和控制,连续漏洞管理,软件资产库存控制,控制使用行政特权,对日志的维护,监控和分析,以及在移动设备上的硬件和软件的安全配置,笔记本电脑,工作站和服务器。其他人包括电子邮件Web浏览器保护,恶意软件防御,数据恢复功能,边界防御,网络端口,服务,数据保护,无线访问控制和网络设备的安全配置,例如路由器,交换机和防火墙。这些控件为网络防御提供了一组动作,提供了可行的方式,以阻止当今最普遍且危险的网络攻击。如上所述,控件采取最佳普遍的威胁数据,并将其转化为可操作的指导,以改善网络空间中的个人和集体安全性。它们在一个世界上方便的糟糕的家伙似乎更好地组织并比好人更有效地合作。

框架#19澳大利亚信号董事会(ASD)必备8

建议组织实施八个基本的基准必要的缓解策略,使其难以妥协系统的对策。在时间,金钱和努力方面实施必要的八个可以更具成本效益,而不是不得不回应大规模的网络安全事件,特别是在没有保证单一缓解战略来防止网络安全事件时。 ASD声称当有效实施时,基本八个减灾85%的有针对性的网络攻击。该框架的控件包括应用程序白名单,修补程序应用程序,补丁操作系统,限制管理员权限,禁用不可信的Microsoft Office宏,用户应用程序硬化,多因素身份验证以及重要数据的日常备份。总体而言,这些控制功能要减缓策略,以防止恶意软件提供和检测,缓解策略,以限制网络安全事件的程度,并减缓恢复数据和系统可用性的缓解策略。

框架#20 disa stigs

国防信息系统机构(DISA)是维持国防部安全态度(国防部)IT基础设施的实体。 DIS开发安全技术实施指南(击败),专注于安全计划的政策要求和信息保证(IA)的最佳实践。总的来说,部署指南以使应用程序更安全。所有国防部资产必须在允许在DOD网络和系统上运营之前满足STIG合规性。使用自动化工具的持续审核是常规的,并报告返回DISA现场安全操作(FSO)以评估安全合规性和姿势。对于用于操作系统,数据库应用程序,网络设备,开源软件,无线设备和虚拟软件的许多包装,开发了众多包。 STIG程序中的其他要求包括人们培训和关于运行安全检查和更新的建议。值得注意的是,未能遵守指南问题,可能会导致组织被拒绝访问国防部网络。

框架#21 CIS基准

CIS基准包括通过全球网络安全专家开发的100个和配置指南,目的是为了防止当今发展的网络威胁的系统。通过独立的共识过程,CIS基准提供框架,帮助组织通过采用可用于防止和检测恶意软件的防御性模型来提高其安全性。 CIS基准中推荐的控件是共识社区和CIS Securesuite成员的合作,这是一类具有访问其他工具和资源集的CIS成员。值得注意的是,共识社区由IT安全领域的专家组成,他们使用他们的知识和经验来协助全球互联网社区。另一方面,CIS Securesuite成员由大小范围的几家不同类型的公司组成。

框架#22 ISO 15048

ISO / IEC 15048建立了IT安全评估的一般概念和原则,并指定了一个通用的评估模型。该框架提供了安全目标规范(ST)的指导方针,并在整个模型中描述了组织组件的描述。 ISO 15408,也称为共同标准,是为了促进安全产品和系统的一致评估。它是一个内部努力,定义和IT安全评估方法,可以在全球范围内获得客户和供应商之间的相互认可。在框架给出的建议下,通过鼓励不同的各方来说,通过鼓励概述其需求的保护简档来帮助推进安全状况。如果用户简介当前未使用的所需功能,则预计供应商将尝试通过引入缺失的功能来挑战。总的来说,本指南鼓励开发增强IT安全功能的系统。因此,ISO 15048基于要信任的IT产品的主动评估提供保证。常见的标准框架可以有效地通过组织利用,以表明他们的产品规格,实施和安全评估都以可重复和系统的方式完成。即使指南不保证安全性,它也会最大限度地减少开发和分发易受伤害IT产品的风险。

框架#23 IEC 62443

IEC 62443工业网络和系统安全标准是多行业标准,列表网络安全方法和工业控制系统的技术,其在最近的过去经历了网络内的指数增加。 IEC 62443提供用户和设备供应商的指南,以改善工业自动化和控制中使用的组件或系统的安全性,可用性,完整性和机密性。该标准通过定义与工业自动化和控制系统环境的产品的网络安全相关的安全开发生命周期(SDL)要求,成为业界的关键,并提供有关如何满足所描述的要求的指导标准。该指南具有安全要求定义,安全的设计,安全实现,编码指南,验证和验证,缺陷管理,补丁管理和产品结束。这些要求可以有效地应用于开发,维护和退役硬件,固件或软件的新的或现有流程。因此,IEC 62443有效适用于产品的开发人员和维护者。

框架#24 glba

格拉姆河畔河流 - 河流 - 译文,又称1999年的金融现代化法案是美国联邦法律,要求金融机构解释他们如何分享和保护客户的私人信息。符合GLBA符合GLBA,金融机构必须向客户沟通,他们如何分享客户的敏感数据,告知客户选择退出的权利,他们更愿意与第三方不共享他们的个人数据,并将特定保护对客户私密申请数据根据机构开发的书面信息安全计划。 GLBA由联邦贸易委员会(FTC)强制执行。联邦银行机构和其他联邦监管机构和国家保险监督机构。符合GLBA符合GLBA可降低对组织的声誉损害或处罚的风险。联邦法律还为维护客户提供了一些安全和隐私福利。例如,GLBA需要机构,以防止未经授权访问私人信息,以便该机构与第三方共享数据,并提供客户从信息共享计划中选择的能力。此外,法律要求金融机构跟踪用户活动,包括任何访问受保护记录的尝试。

框架#25 23 NYCRR 500

由纽约州的23个NYCRR 500规则推出,要求金融机构实施详细的安全框架,以改善消费者数据隐私的保护。纽约州金融服务部制定了该规定,以确保该机构的安全代表客户。该法规承认了网络犯罪分子对金融系统构成的不断增长的威胁,旨在确保企业从Cyber​​Actack有效保护客户机密信息。 23 NYCRR 500要求实体评估他们的网络安全风险概况,并实施一个综合计划,承认和减轻发现的风险。提供的一些建议包括进行定期的安全风险评估,遵守IT资产使用,制定防御性基础设施,维护网络安全的政策和程序,并创建事件响应计划。最终,该框架帮助组织准备遵守其他数据隐私法规,并提供反应方法,专注于合理的护理和违约。

该法规适用于所有涵盖的实体,意思是“根据许可,登记,章程,证书,许可或银行法,保险法或金融服务法下的经营权或经营的任何人。”违规行为为23条NYCRR 500的罚款25万美元或百分之一的银行资产。

框架#26 FDA 21 CFR第11部分

21 CFR第11部分是建立美国食品和药物管理局(FDA)关于电子记录和电子签名(ERES)的联邦法规守则的第21条的一部分。根据本规定所涵盖的实体包括医疗器械制造商,生物技术公司,制药商,生物学开发商,CRO和其他FDA监管的行业。各方必须实施控件,例如审核,系统验证,审计跟踪,电子签名和文档,用于处理FDA谓词规则要求它们维护的电子数据的软件和系统。 21 CFR第11部分提供了使用可以提供高度信心的安全数据的要求,这是传统纸张记录的情况。电子签名要求操作员和主管都可以以相当于手写签名的方式以电子方式识别自己。该规则进一步允许使用生物识别图谱,例如指纹。

框架#27 ITIL

ITIL是IT服务管理(ITSM)的详细实践,专注于将IT服务与业务的需求保持一致。该指南描述了不是组织或技术特定的进程,过程,任务和清单。相反,实务适用于实体,建立与组织的战略,提供价值和维持能力水平的整合。 ITIL是服务管理最广泛采用的安全框架之一,它可以卓越地帮助企业管理风险,加强客户关系,建立具有成本效益的实践,并建立一个稳定的IT环境,可以轻松改变,成长和规模。此外,描述提供IT服务的最佳实践框架的卷库库在其历史中经历了许多修订。目前,ITIL由五本书组成,涵盖IT服务生命周期的不同流程和阶段。框架的可信度和效用已被认可。事实上,ITIL的实践在过去方面有助于并与ISO / IEC 20000服务管理标准一致,这是IT服务管理的第一个国际标准。

ITIL 4 2019发布的ITIL保持了对自动化流程,改进服务管理以及将IT部门集成到业务中的相同重点。新版本进一步提供了适应现代技术,软件和工具的框架的更新。总体而言,ITIL有助于将IT部门融入业务,以创建敏捷,协作和灵活的工作环境。  

框架#28 SAP JSIG.

2013年12月,国防部特殊访问计划中央局(SAPCO)发布了要求国防部特殊访问计划(SAP)社区的任务,以转向风险管理框架(RMF),并使用联合SAP实施指南(JSIG)为实施国家标准和技术研究所(NIST)特别出版物(SP)800-53在国防部群体内的安全控制提供的基本指导。安全风险管理是保护国防部SAP元素执行其使命能力的重要管理功能,而不仅仅是保护其信息资产。政策和立法授权特定的最低安全要求,以保护使命,信息和IT资产。独特的使命和技术要求可能会推动额外的安全要求。计算机系统和网络不断受到攻击,使得特派团面临风险。在国防部SAP社区内,平衡安全性是必要完成任务是一项关键任务。这种变革努力的目标是实现国防部群落和情报界(IC)的更大互操作性和信任。国防部或国防部内的任何系统或申请都必须遵守NIST RMF和800-53安全和隐私控制。 

框架#29 ICD 503

2008年,国家情报署署长签署 IC指令503.,“情报社区信息技术系统安全风险管理,认证和认证。” ICD 503取代了DCID 6/3,今天是智力界(IC)信息系统风险管理和认证的相关指导。本标准专门要求IC使用NIST或CNSS标准进行安全认证评估和测试。 CNSS政策第22号,“关于国家安全系统的信息保障风险管理政策”,“国家安全系统”专门指向安全审计控制,加强了基于IC的信息安全的NIST / FIPS的迁移。

框架#30 Sherwood应用企业安全架构

SABSA是企业安全架构和服务管理的经过验证的安全框架和方法。它用于在企业和解决方案级别开发专注于安全架构的业务驱动,风险和机会,以有效地支持业务目标。 SABSA广泛用于信息保证架构,风险管理框架,并将安全性和风险管理与IT架构方法和框架保持一致。该框架用于满足不同的企业需求,如风险管理,信息保障,治理和连续性管理。事实上,SABSA自1995年以来已经进化,成为大约50个国家和各个部门的流行方法,如银行,核管理,信息服务,通信技术,政府和制造业。 Sabsa方法可以确保满足企业的需求,并将安全服务设计,实施,交付,并作为业务和IT管理基础架构的组成部分。该框架包含一系列集成框架,方法,模型和过程,可以在企业中独立地或全面使用。其中一些包括业务需求工程框架(通常称为属性分析),风险和机会管理框架,政策架构框架,面向安全服务架构框架,治理框架,安全域框架和常规安全服务管理和绩效管理框架。 Sabsa有效地由Sabsa研究所管辖,确保Sabsa知识产权永远无法出售,Sabsa将永远保持供应商中性,Sabsa将在永恒的情况下自由使用,并且会持续发展以满足业务需求。

看一眼 IT审核案例研究