近年来,对有效信息技术治理方案的需求有所增加。信息安全和风险管理专业人员面临着不断增长的法律、法规和行业标准的收集——PCI DSS、萨班斯-奥克斯利、HIPAA和红旗规则(仅举几个例子)——每一个都增加了似乎无穷无尽的要求集。当组织试图遵守这些规定时,各种活动可能会变得混乱、冲突和难以管理。
它相当明显,这些法律,法规和标准都是通过特定的,可尊重的目标 - 保护特定类型的数据资产,如果受到影响或损坏,可能会导致控制组织或损坏始发实体。无可否认,这些数据元素具有值,并且他们应得的保护。然而,从这种需要引起的问题是如何以全面和可操作的方法解决这些保护。
参见Jennifer Bayuk的“从信息系统审计中可以得到什么”
为了解决个人或合并的要求组,组织经常采用各种安全或风险管理“框架”。这些计划适用于正确实施的控制,标准或实践的全面列表,声称提供组织能够降低关键数据的总体风险。然而,数据类型变化,似乎有人每天发布新的“最佳实践”。通过不同的控制,覆盖范围和严谨和细节的水平,这些框架的一个一致性质量是缺乏一致性。
无论如何,最终,每个框架(或功能作为框架组件的需求集)都只是为了满足一般信息技术需求、特定于政府的需求和行业驱动的标准而设计的。通常,他们的需求是高层次的,指定“必须做什么”,而不是“必须如何完成”。为了确保它们在不断变化的信息安全威胁环境中保持有效,这些控制集需要一个持续的实施、审查和安全程序更新过程。
在考虑了这些问题之后,尝试采用这些控制集似乎弊大于利。然而,在我们的现代业务环境中实现法规遵循的需求是至关重要的,组织发现这是做出承诺的充分理由。不遵守规定的控制措施的代价可能是立即的和昂贵的,包括直接罚款和间接成本,如消费者信心和市场份额的损失。寻求遵守所述控制的组织必须以一种不仅能立即遵守而且还能持续遵守的方式来处理这一工作。这就是框架变得至关重要的地方。
框架可以防止意外的控制缺口。特定的法律和监管标准提供了必须解决的有限要求。它们没有必要处理的是支持这些需求或直接补充它们的领域的其他元素,从而确保一个更快速成功的治理计划。框架在这方面提供了帮助,它提供了一组目标,由社区开发和审查,这些目标定义了可能会错过的最佳实践。
此外,使用全面的框架表明,渴望做得超过最低努力。遵守严格的控件而不是必需的活动,一个组织显示出高于最糟糕标准的努力。
既然已经确定了这些好处,框架又怎么会有坏处呢?简单地说,没有一种工具可以涵盖所有内容。
框架仅在其覆盖范围内是严格的。然而,HIPAA框架不会解决持卡人的数据需求。COBIT框架虽然非常有效地解决SOX遵从性所需的一般计算控制,但并没有提供解决隐私需求的过度安全程序。框架是特定于它们所处的环境的。
如前所述,框架通常是高层次的,强调要实现的控制,而不是实现遵从性所需的过程。为了满足框架需求,必须消除控制和执行之间的差距,但是组织用于实现这一目标的方法差异很大。两个类似的实体小心地遵循相同的框架来保护完全相同的数据元素,但它们的安全姿态可能有显著不同。
框架通常具有需要定期执行风险评估的元素。但是,由于严格定义的控制集,这些风险评估可以在一组控件上缩小太紧,让其他人没有一个禁止。旨在提高组织整体安全性的框架有效地将本组织视为可能正在妥协敏感信息的威胁。
在回顾了优点和缺点之后,似乎不存在任何有效的框架。这很可能是真的。然而,正是由于这种情况,对于组织来说,理解他们的理想框架实际上可能是几个其他框架的组合就变得至关重要了。一个公司只有单一的安全实践,但他们可能要对许多不同的法律和法规负责。对于试图遵循多个不同框架的实体,持续的审查和审计需求会迅速淹没并使最专业的信息安全人员感到困惑。有限的预算很快就会迫使组织对工作进行优先排序,但应对总体威胁的需求并没有变得更重要。最后,经常需要多个框架,但是管理它们的任务几乎不可能实现。
随着个别实体需要赫克西的努力,遵循多个框架并很少有效。太多的竞争优先事项和时间表往往导致无法实现任何形式的有效遵守情况。然而,简单的事实是,框架只不过是一系列被捆绑在一起的控制目标。
目的发生变化,没有理由的是安全框架不能这样做。目标是创造一个有效的治理计划。以有效且可管理的方式实现这一目标是困难的,但它可以通过仔细规划混合控制的方法,精心控制数据资产的范围和统一过程。
下面列出了一系列用于实现两个或多个框架合并的概念。它不是决定性的,但教训是有效的任何方法使用。
1.组织必须了解至少需要哪些框架或框架元素来处理关键的安全问题。当处理控制需求时,不一定越多越好,每个额外的控制实体代表时间、金钱和工作上的投资。
2.选择要使用的基本框架。组织应标识包含其他控件的基本框架。此框架应与可行性一样广泛,仅允许解决更低,更具体地需要解决。
3.根据功能区域将已识别的框架元素分解,并将控件组合成类或层。不同的框架通常在不同的标题或重点区域下包含相同的控件。通过理解控制在哪里映射到另一个,现有的控制通常可以简单地增强,而不必添加完全不同的遵从性需求。
4.识别处理最严格需求的关键控制。在许多情况下,会有一些必须完成的控制目标,其中还夹杂着一些简单的“有价值”的附加类别。法规遵循需求所需的操作项应该归类为更关键的。
5.定义控制“编号系统”和命名法。为了便于评估和跟踪,组合的框架元素应该以允许将它们视为整体的一部分的方式进行索引。此外,应该使用形式化的控制语言来处理跨新框架的概念,避免在法规遵循工作开始时产生混淆。
6.识别受影响的数据。正如在识别需要哪个控件和框架的第一步中所必需的那样,有必要扭转该过程,确保所收集的控件的所有数据元素。这些信息的大部分是在锻炼的开始时已知的,但在整合要求后,第二次浏览通常会识别其他数据源,存储库和系统。
7.了解数据流。与理解受影响的数据元素一样重要的是,理解这些数据元素驻留的位置和原因也同样重要。如何收集、处理、存储和传输信息对于确定必须遵守新框架的范围内系统、应用程序和流程至关重要。
8.正式定义框架控制的数据范围。在确定数据流模式和实践之后,必须创建服务器、系统、应用程序、流程和治理项的合并列表,然后根据预期值进行检查。
9.积极降低数据范围。每个数据控制元素都是时间,金钱和努力的投资。对于由组合框架寻址的范围内数据的每个元素,可以说相同。应使用现有的业务流程和需求来确定是否正在使用或保留在不适当或不需要的区域中的数据。在可能的情况下,应巩固和清除数据,降低控制覆盖范围的总体范围,尤其是通过法律或监管规定所带来的诸如这些规定的关键控制要求。(编者注:见本罗托和大卫Mundhenk的减少PCI范围的指导。)
10.根据影响对受影响数据进行分类。一些控制将被识别为更重要的控制,而与这些控制相关的数据元素将同样被视为更敏感。这些类别的信息资产应该被分类和标记,以确保得到足够的重视。
11.根据各种标准和实践确定的分类级别和需求定义数据生命周期元素。一旦组合框架控件就位;对数据进行识别、确定范围和最小化;分类等级已经建立,应该实施全面的数据生命周期计划。通过这个过程,最终用户可以管理数据元素,符合选择的控制框架需求,而不必对有时难以理解的控制集进行广泛的研究。
12.根据综合框架和数据生命周期要求,查看现有的基础架构,政策和程序。必须根据新开发的框架和相关生命周期元素审查治理和运营资源。如果需要,应制作更改以支持新的控制系统。
13.跨层内的所有数据元素实现一致的解决方案。支持控制有效性的过程应该从一致的、模块化的发展角度来看待。网络、系统和管理工具的设计应该易于扩展或替换。应该更新统一的安全程序(如事件响应、漏洞管理和变更管理)和预定的需求(审计、渗透测试、漏洞评估、风险评估和报告),以处理整个框架中所有所需的控制,从而产生一致的、遵从性和准备性的单一方法。
框架是非常好的工具,它可以极大地简化组织对有效信息治理和遵从性的追求。然而,一种大小不可能适合所有的类型,经过深思熟虑的框架元素组合可能是最好的选择。
Chris Gray是适用于适用的高级风险和合规性管理顾问。在此角色中,Gray为Accuvant客户提供世界级的安全,合规性和IT风险管理咨询服务,重点关注遵守准备和控制框架整合。灰色在跨越各行各业的控制框架的创建和整合方面具有相当大的经验,包括Sarbanes Oxley(SOX 404),隐私和支付卡行业(PCI)。
这篇文章“集成控制框架的13个基本步骤”最初由CSO .