ماهو تعريف الالتزام في أمن المعلومات

ماهو تعريف الالتزام في أمن المعلومات

شرح أفضل 10 أطر ومعايير لأمن تكنولوجيا المعلومات

تتوفر العديد من أطر عمل أمن تكنولوجيا المعلومات ومعايير الأمن السيبراني للمساعدة في حماية بيانات الشركة. إليك نصيحة لاختيار المناسب لمؤسستك.

تشمل إدارة أمن المعلومات العديد من المجالات - من حماية المحيط والتشفير إلى أمان التطبيق والتعافي من الكوارث. أصبح أمن تكنولوجيا المعلومات أكثر صعوبة بسبب لوائح الامتثال ، مثل HIPAA و PCI DSS و Sarbanes-Oxley والمعايير العالمية ، مثل GDPR.

هذا هو المكان الذي يمكن أن تكون فيه أطر ومعايير أمن تكنولوجيا المعلومات مفيدة. تعد معرفة اللوائح والمعايير والأطر أمرًا ضروريًا لجميع المتخصصين في مجال أمن المعلومات والأمن السيبراني. يعد الامتثال لهذه الأطر والمعايير أمرًا مهمًا من منظور التدقيق أيضًا. للمساعدة في إدارة العملية ، دعنا نلقي نظرة على معايير وأنظمة وأطر أمان تكنولوجيا المعلومات ، بالإضافة إلى بعض الخيارات الأكثر شيوعًا للاختيار من بينها وكيفية استخدامها. ما هي معايير ولوائح أمن تكنولوجيا المعلومات؟ المعايير مثل الوصفة. يسردون الخطوات التي يجب القيام بها. يجب أن تمتثل مؤسسة تكنولوجيا المعلومات المدارة جيدًا للمتطلبات المنصوص عليها في المعيار.

 اللوائح ، في المقابل ، لها تأثير قانوني ملزم. تشير الطريقة التي يصفون بها كيفية أداء شيء ما إلى دعم الحكومة والجمهور للقواعد والعمليات المنصوص عليها في اللائحة. يمكن أن يؤدي عدم الامتثال للوائح التي تركز على تكنولوجيا المعلومات إلى عقوبات مالية والتقاضي.

ما هو إطار عمل أمن تكنولوجيا المعلومات؟

إطار عمل أمن تكنولوجيا المعلومات هو سلسلة من العمليات الموثقة التي تحدد السياسات والإجراءات المتعلقة بالتنفيذ والإدارة المستمرة لضوابط أمن المعلومات. هذه الأطر هي مخطط أساسي لإدارة المخاطر وتقليل نقاط الضعف.

يستخدم محترفو أمن المعلومات أطر عمل لتحديد المهام المطلوبة وترتيبها حسب الأولوية لإدارة أمن المؤسسة. تُستخدم الأطر أيضًا للمساعدة في التحضير للامتثال وعمليات تدقيق تكنولوجيا المعلومات الأخرى. لذلك ، يجب أن يدعم الإطار متطلبات محددة محددة في المعيار أو اللائحة.

يمكن للمؤسسات تخصيص أطر عمل لحل مشكلات أمان المعلومات المحددة ، مثل المتطلبات الخاصة بالصناعة أو أهداف الامتثال التنظيمية المختلفة. تأتي الأطر أيضًا بدرجات متفاوتة من التعقيد والحجم. غالبًا ما تتداخل أطر العمل الحالية ، لذلك من المهم تحديد إطار عمل يدعم بشكل فعال متطلبات التشغيل والامتثال والتدقيق.

لماذا الأطر و المعايير مهمة؟

توفر الأطر نقطة انطلاق لإنشاء العمليات والسياسات والأنشطة الإدارية لإدارة أمن المعلومات.

غالبًا ما تتداخل متطلبات الأمان ، مما ينتج عنه "ممرات مشاة" يمكن استخدامها لإثبات الامتثال للمعايير التنظيمية المختلفة. على سبيل المثال ، تحدد ISO 27002 سياسة أمن المعلومات في القسم 5 ؛ تحدد أهداف التحكم للمعلومات والتكنولوجيا ذات الصلة (COBIT) ذلك في قسم "المحاذاة والتخطيط والتنظيم" ؛ تعرف لجنة المنظمات الراعية التابعة للجنة تريدواي (COSO) بأنها "البيئة الداخلية" ؛ HIPAA يعرّفها على أنها "مسئولية أمنية معينة ؛" و PCI DSS يعرّفها في قسم "الحفاظ على سياسة أمن المعلومات".

باستخدام إطار عمل مشترك ، مثل ISO 27002 ، يمكن للمؤسسة إنشاء ممرات مشاة لإثبات الامتثال للوائح متعددة ، بما في ذلك HIPAA و Sarbanes-Oxley و PCI DSS و Graham-Leach-Bliley.

 كيفية اختيار إطار عمل أمن تكنولوجيا المعلومات

يمكن أن يكون اختيار استخدام إطار عمل أمان معين لتكنولوجيا المعلومات مدفوعًا بعدة عوامل. يمكن أن يكون نوع الصناعة أو متطلبات الامتثال عوامل حاسمة. قد ترغب الشركات المتداولة بشكل عام ، على سبيل المثال ، في استخدام COBIT للامتثال لـ Sarbanes-Oxley ، بينما قد يفكر قطاع الرعاية الصحية في HITRUST. من ناحية أخرى ، فإن سلسلة ISO 27000 لأطر أمن المعلومات قابلة للتطبيق في القطاعين العام والخاص. على الرغم من أن معايير ISO غالبًا ما تستغرق وقتًا طويلاً في التنفيذ ، إلا أنها مفيدة عندما تحتاج المنظمة إلى إظهار قدراتها في مجال أمن المعلومات عبر شهادة ISO 27000. بينما NIST Special Publication (SP) 800-53 هو المعيار المطلوب من قبل الوكالات الفيدرالية الأمريكية ، يمكن استخدامه من قبل أي منظمة لبناء خطة أمن معلومات خاصة بالتكنولوجيا. تساعد هذه الأطر المتخصصين في مجال الأمن على تنظيم وإدارة برنامج أمن المعلومات. الخيار السيئ الوحيد بين هذه الأطر هو عدم اختيار أي منها.

أمثلة على معايير وأطر أمن تكنولوجيا المعلومات

1. سلسلة ISO 27000

تم تطوير سلسلة ISO 27000 من قبل المنظمة الدولية للتوحيد القياسي. إنه إطار عمل مرن لأمن المعلومات يمكن تطبيقه على جميع أنواع وأحجام المؤسسات.

يحدد المعياران الأساسيان - ISO 27001 و 27002 - المتطلبات والإجراءات لإنشاء نظام إدارة أمن المعلومات (ISMS). يعد وجود نظام إدارة أمن المعلومات نشاطًا مهمًا للتدقيق والامتثال. يتكون ISO 27000 من نظرة عامة ومفردات ويحدد متطلبات برنامج ISMS. تحدد ISO 27002 رمز الممارسة لتطوير ضوابط ISMS.

يتم إنشاء الامتثال لمعايير ISO 27000 Series من خلال عمليات التدقيق وإصدار الشهادات ، والتي يتم توفيرها عادةً من قبل منظمات الطرف الثالث المعتمدة من قبل ISO والوكالات المعتمدة الأخرى.

تحتوي سلسلة ISO 27000 على 60 معيارًا تغطي مجموعة واسعة من قضايا أمن المعلومات ، على سبيل المثال:

     تتناول ISO 27018 الحوسبة السحابية.
     يوفر ISO 27031 إرشادات حول برامج التعافي من الكوارث والأنشطة ذات الصلة.
     تتناول المواصفة ISO 27037 جمع الأدلة الرقمية وحمايتها.
     تتناول ISO 27040 أمان التخزين.
     يحدد ISO 27799 أمن المعلومات في الرعاية الصحية ، وهو أمر مفيد للشركات التي تتطلب الامتثال HIPAA.

2. NIST  SP 800-53

طور المعهد القومي للمعايير والتكنولوجيا (NIST) مكتبة واسعة النطاق لمعايير تكنولوجيا المعلومات ، يركز الكثير منها على أمن المعلومات. نُشرت سلسلة NIST SP 800 لأول مرة في عام 1990 ، وتتناول كل جانب من جوانب أمن المعلومات تقريبًا ، مع تركيز متزايد على أمان السحابة.

NIST SP 800-53 هو معيار أمان المعلومات للوكالات الحكومية الأمريكية ويستخدم على نطاق واسع في القطاع الخاص. ساعدت SP 800-53 في تحفيز تطوير أطر عمل أمن المعلومات ، بما في ذلك NIST Cybersecurity Framework (CSF).

3. NIST SP 800-171

اكتسب NIST SP 800-171 شعبية بسبب المتطلبات التي حددتها وزارة الدفاع الأمريكية فيما يتعلق بامتثال المقاول لأطر الأمان. يعتبر المتعاقدون الحكوميون هدفًا متكررًا للهجمات الإلكترونية نظرًا لقربهم من أنظمة المعلومات الفيدرالية. يجب أن يكون لدى الشركات المصنعة الحكومية والمقاولين من الباطن إطار أمان لتكنولوجيا المعلومات لتقديم عطاءات على فرص الأعمال الفيدرالية والولائية.

ترتبط عناصر التحكم المضمنة في إطار عمل NIST SP 800-171 ارتباطًا مباشرًا بـ NIST SP 800-53 ولكنها أقل تفصيلاً وأكثر عمومية. من الممكن بناء ممر بين المعيارين إذا كان يجب على المنظمة إظهار التوافق مع NIST SP 800-53 ، باستخدام NIST SP 800-171 كقاعدة. هذا يخلق المرونة للمؤسسات الصغيرة - يمكنهم إظهار الامتثال أثناء نموهم باستخدام عناصر التحكم الإضافية المضمنة في NIST SP 800-53.

4. NIST CSF

تم تطوير إطار عمل NIST لتحسين الأمن السيبراني للبنية التحتية الحرجة ، أو NIST CSF ، بموجب الأمر التنفيذي رقم 13636 ، الذي صدر في فبراير 2013. وقد تم تطويره للتعامل مع البنية التحتية الحيوية للولايات المتحدة ، بما في ذلك إنتاج الطاقة وإمدادات المياه والإمدادات الغذائية والاتصالات وتقديم الرعاية الصحية والنقل . يجب أن تحافظ هذه الصناعات على مستوى عالٍ من التأهب ، حيث تم استهدافها جميعًا من قبل الجهات الفاعلة في الدولة القومية نظرًا لأهميتها.

على عكس أطر NIST الأخرى ، يركز NIST CSF على تحليل المخاطر وإدارة المخاطر. تستند ضوابط الأمان في إطار العمل إلى المراحل الخمس لإدارة المخاطر: التحديد والحماية والكشف والاستجابة والتعافي. مثل جميع برامج أمن تكنولوجيا المعلومات ، تتطلب هذه المراحل دعم الإدارة العليا. يمكن استخدام NIST CSF من قبل كل من القطاعين العام والخاص.

5. سلسلة NIST SP 1800

سلسلة NIST SP 1800 هي مجموعة من الأدلة التي تكمل سلسلة معايير وأطر NIST SP 800. تقدم سلسلة المنشورات SP 1800 معلومات حول كيفية تنفيذ وتطبيق تقنيات الأمن السيبراني القائمة على المعايير في تطبيقات العالم الحقيقي.

توفر منشورات سلسلة SP 1800 ما يلي:

     أمثلة على مواقف وقدرات محددة ؛
     النهج القائمة على الخبرة وكيفية العمل باستخدام منتجات متعددة لتحقيق النتيجة المرجوة ؛
     إرشادات معيارية بشأن تنفيذ القدرات للمنظمات من جميع الأحجام ؛ و
     مواصفات المكونات المطلوبة ومعلومات التثبيت والتكوين والتكامل حتى تتمكن المؤسسات من تكرار العملية نفسها بسهولة.

6. COBIT

تم تطوير COBIT في منتصف التسعينيات من قبل ISACA ، وهي منظمة مستقلة لمتخصصي حوكمة تكنولوجيا المعلومات. تقدم ISACA شهادتي مدقق نظم المعلومات المعتمد المعروفين ومدير أمن المعلومات المعتمد.

ركز COBIT في الأصل على تقليل مخاطر تكنولوجيا المعلومات. تضمن COBIT 5 ، الذي تم إصداره في عام 2012 ، اتجاهات التكنولوجيا والأعمال الجديدة لمساعدة المؤسسات على تحقيق التوازن بين أهداف تكنولوجيا المعلومات والأعمال. الإصدار الحالي هو COBIT 2019. إنه الإطار الأكثر استخدامًا لتحقيق التوافق مع Sarbanes-Oxley. تتناول العديد من المنشورات والشهادات المهنية متطلبات COBIT.

7. ضوابط رابطة الدول المستقلة

يسرد مركز عناصر التحكم في أمان الإنترنت (CIS) ، الإصدار 8 - الذي كان يُعرف سابقًا باسم SANS Top 20 - ضوابط أمنية وتشغيلية فنية يمكن تطبيقها على أي بيئة. لا يتناول تحليل المخاطر أو إدارة المخاطر مثل NIST CSF ؛ بدلاً من ذلك ، فهو يركز فقط على تقليل المخاطر وزيادة مرونة البنى التحتية التقنية.

تشمل الضوابط ما يلي:

     الجرد والتحكم في أصول المؤسسة
     حماية البيانات
     إدارة سجل التدقيق
     دفاعات البرمجيات الخبيثة
     اختبار الاختراق

ترتبط ضوابط CIS بأطر إدارة المخاطر الحالية للمساعدة في معالجة المخاطر المحددة. إنها موارد مفيدة لأقسام تكنولوجيا المعلومات التي تفتقر إلى الخبرة الفنية في أمن المعلومات.

8. HITRUST إطار الأمن المشترك

يتضمن إطار العمل الأمني المشترك HITRUST أطر عمل لتحليل المخاطر وإدارة المخاطر ، جنبًا إلى جنب مع المتطلبات التشغيلية. يحتوي الإطار على 14 فئة تحكم مختلفة ويمكن تطبيقه على أي مؤسسة تقريبًا ، بما في ذلك الرعاية الصحية.

HITRUST هي مهمة ضخمة لأي منظمة بسبب الوزن الثقيل المعطى للتوثيق والعمليات. نتيجة لذلك ، ينتهي الأمر بالعديد من المؤسسات إلى تحديد مجالات تركيز أصغر لـ HITRUST. تضيف تكاليف الحصول على شهادة HITRUST والحفاظ عليها إلى مستوى الجهد المطلوب لاعتماد هذا الإطار. يتم تدقيق الشهادة من قبل طرف ثالث ، مما يضيف مستوى من الصلاحية.

9. اللائحة العامة لحماية البيانات

تعد اللائحة العامة لحماية البيانات (GDPR) إطارًا لمتطلبات الأمان التي يجب على المنظمات العالمية تنفيذها لحماية أمان وخصوصية المعلومات الشخصية لمواطني الاتحاد الأوروبي. تتضمن متطلبات القانون العام لحماية البيانات (GDPR) ضوابط لتقييد الوصول غير المصرح به إلى البيانات المخزنة وتدابير التحكم في الوصول ، مثل الامتياز الأقل والوصول المستند إلى الدور والمصادقة متعددة العوامل.

10. كوسو COSO هي مبادرة مشتركة من خمس منظمات مهنية. يغطي إطارها لعام 2013 الضوابط الداخلية ، ويغطي إطارها لعام 2017 إدارة المخاطر.