الأطر الأمنية الأكثر تأثيرًا على الإطلاق

تحتوي أطر الأمان على العديد من المكونات التي توجه الشركات في تطوير سياساتها وإجراءاتها لأمن تكنولوجيا المعلومات. بينما توفر معايير الأمان نظرة ثاقبة على الضوابط والمبادئ التوجيهية الموصى بها والتي تتجاوز التدابير الأمنية الموجودة في مكان مثالي على الشبكة ويجب الالتزام بها في بعض الحالات ، يحتوي الإطار على أفضل الممارسات في مجال الأمان التي تحتاج الشركات إلى اتباعها لتحقيق أفضل النتائج.

الغرض الرئيسي من إطار العمل الأمني ​​هو تقليل مخاطر تهديدات أمان الشبكة الشائعة التي تؤثر على المؤسسة. فيما يلي بعض ما أعتقد أنه أكثر أطر الأمان فعالية على الإطلاق.

HIPAA
يحدد قانون الصحة ونقل المسؤولية كيف تقوم المنظمات الصحية وأولئك الذين يعملون مع المعلومات الصحية المحمية بتأمين أنظمتهم لضمان سرية المعلومات. يتجاوز إطار HIPAA الضوابط الأمنية الضرورية التي يجب على الشركات الامتثال لها مع اللوائح. قد يؤدي عدم الامتثال لهذه اللوائح إلى غرامات وعواقب أخرى.

توفر معايير أمان HIPAA إطارًا أمنيًا مهمًا جدًا للصناعة المعرضة بشكل لا يصدق للهجمات الإلكترونية.

PCI DSS
يغطي إطار العمل المعياري لأمن البيانات في صناعة بطاقات الدفع الشركات التي تتعامل مع معلومات بطاقة الائتمان بإحدى الطرق الأربع: الحصول على بطاقات الائتمان أو معالجة المعاملات أو تخزين هذه البيانات أو نقل بيانات بطاقة الائتمان. من خلال وضع إطار العمل الأمني ​​هذا ، يعمل PCI على تحسين أمان عملية الدفع بأكملها.

تعتبر معالجات الدفع ضرورية للتجارة الحديثة وتجذب عددًا لا يحصى من المهاجمين. يتيح إطار العمل الأمني ​​الصارم هذا للشركات التعامل مع معلومات الدفع بأمان وتقليل فرص سرقة الهوية والمعاملات الاحتيالية.

نيست SP 800-53
أنشأ المعهد الوطني للمعايير والتكنولوجيا متطلبات NIST SP 800-53 لمعظم أنظمة المعلومات الفيدرالية. يغطي هذا المنشور الضوابط اللازمة لوضع جميع الكيانات التي تستخدم أو تدعم هذه الأنظمة. يمر قدر كبير من البيانات الحساسة للحكومة عبر هذه الشبكات ، لذا فإن وجود تدابير أمنية واضحة يحسن أمن الوكالات الفيدرالية والمقاولين الذين يعملون معهم.

تتعامل الوكالات الفيدرالية والمتعاقدون مع المعلومات التي تؤثر على الأمن القومي للولايات المتحدة. يمكن أن يكون لتدابير الأمن السيبراني الفضفاضة عواقب وخيمة ، سواء كانت تهدد أمنها العسكري أو تسمح لدولة معادية بالوصول إلى برامج الأسلحة. يجعل NIST SP 800-53 من الصعب على الكيانات التي تمولها الدولة تحقيق أهدافها.

إطار عمل الأمن السيبراني لـ NIST
أنشأ المعهد الوطني للمعايير والتكنولوجيا أيضًا إطارًا للاستخدام العام لأي شخص مهتم بتعزيز أمان الشبكة. إنه مصمم ليكون اقتصاديًا ومرنًا بحيث يمكن استخدامه في العديد من الصناعات. لديها عملية من خمس خطوات لمعالجة مخاطر أمن الشبكة والحفاظ على نظام آمن: تحديد الهوية والحماية وتحديد الهوية والاستجابة والتعافي. تتكون المكونات الأساسية من المستويات الأساسية والملفات الشخصية والاستيعاب.

توفر Core التدريب للمنظمات التي ترغب في حماية أنظمة المعلومات الخاصة بها بشكل أفضل. يستخدم لغة مباشرة حتى لا يحتاج العمل إلى خبير لفهم ما يجب فعله بالضبط. تغطي الملفات الشخصية أولويات الشركة عندما يتعلق الأمر بإجراءات أمان الشبكة. يقوم بجمع المتطلبات ومستوى المخاطر وموارد الأمان لتقييم الضوابط في الموقع. يساعد مستوى التطبيق الشركات في تحديد مدى تحمل المخاطر والميزانية لأي تغيير ضروري في الأمن السيبراني.

يساعد إطار العمل الأمني ​​هذا على رفع معايير الأمن السيبراني للعديد من الأطراف غير الآمنة حيث تبدأ الحماية الإلكترونية الخاصة بهم. هذا المنشور واضح حول الضوابط التي يجب أن تكون مطبقة وكيف تستفيد من الشركات التي تطبقها.

HITRUST
طور التحالف من أجل صناديق المعلومات إطار عمل أمني مشترك للمنظمات الصحية. تغطي هذه الإرشادات جميع أنظمة المعلومات التي تعمل مع المعلومات الصحية المحمية ، سواء في حالة الراحة أو أثناء النقل. العديد من أنظمة تكنولوجيا المعلومات للرعاية الصحية مجزأة ولا يتم دائمًا تنفيذ تدابير أمان الشبكة أو صيانتها.

من خلال توفير إرشادات ملموسة حول ما يجب القيام به لحماية شركات الرعاية الصحية ، يمكن لمزيد من المؤسسات حماية نفسها من التهديد المستمر لبرامج الفدية والبرامج الضارة الأخرى. يوفر هذا الإطار طريقة أخرى لمنظمات الرعاية الصحية لحماية نفسها من المهاجمين.

سلسلة ISO 27000
نشرت المنظمة الدولية للتوحيد القياسي واللجنة الكهروتقنية الدولية هذا المعيار لأنظمة إدارة أمن المعلومات. التركيز الرئيسي لهذه المجموعة من المعايير هو وضع المديرين في السيطرة على تدابير أمان الشبكة.

جمهور هذه المجموعة من المعايير الأمنية هو القطاع الخاص ، ويتضمن هذا الإطار عددًا من المنشورات الخاصة ، بما في ذلك 800-12 و 800-14 و 800-26 و 800-37 و 800-53. تتضمن جميع المستندات عناصر تحكم أمنية محددة وتتضمن إرشادات حول كيفية إدارة تقنية المعلومات بشكل فعال.

NERC 1300
أنشأت شركة North America Electricity Trust Corporation مجموعة من معايير الأمان لشركات الأنظمة الكهربائية المجمعة. نظرًا لأن البنية التحتية للطاقة مهمة جدًا للمجتمع الحديث ، يقع إطار العمل الأمني ​​هذا في موقع مؤثر بشكل خاص.

تشمل بعض التدابير التي يتم تناولها الحفاظ على إصلاحات جديدة ، والالتزام بممارسات إدارة أمان الشبكة المناسبة والحفاظ على صلاحية هذه الأنظمة.

يعد NERC 1300 أحد أحدث الإصدارات من هذا الإجراء الأمني ​​السيبراني ، والذي تمت مراجعته لمعرفة ما إذا كان لا يزال ساريًا في المشهد الأمني ​​السيبراني الحديث أو ما إذا كانت هناك حاجة إلى وضع ضمانات إضافية. يؤثر فقدان القوة بشكل كبير على نوعية حياة الجمهور. هذا الإطار يحمي هذه الأنظمة الهامة.

ANSI / ISA 62443
طور الاتحاد الدولي للأتمتة والمعهد الأمريكي للمعايير إطار العمل الأمني ​​هذا لأنظمة الأتمتة الصناعية والتحكم. تصبح الأتمتة الصناعية عمليات عديدة ، خاصة مع استمرار نمو إنترنت الأشياء.

يتكون الإطار من أربع فئات: عام ، مكون ، نظام وسياسات وإجراءات. يساعد المعهد الدولي للامتثال الأمني ​​المؤسسات على معرفة ما إذا كانت تلتزم بشكل صحيح بهذا الإطار. لقد أنشأوا برنامج تقييم الامتثال ، والذي يوفر شهادة لمعدات إنترنت الأشياء والمنتجات التجارية الجاهزة والأنظمة التي تتحكم فيها.

توفر أنظمة الأتمتة الصناعية والتحكم العديد من الأنظمة الفعالة والفعالة للشركات التي تستثمر في الحلول التكنولوجية المتقدمة. يتيح هذا الإطار لشركات كديما إنشاء إجراءات أمنية مناسبة لمجموعة متنوعة من الأجهزة المتصلة في بيئة صناعية.

تُمكِّن أطر العمل المؤسسات من تسريع اعتماد تدابير أمنية إلكترونية قوية. يجب ألا يبدأوا من الصفر في العمل على ممارساتهم الأمنية في شركتهم. بعض هذه الأطر مستهدفة من قبل الصناعة التي تعمل فيها ، بينما يتطوع البعض الآخر لتوفير قاعدة أمنية.