Kontrol, kerangka kerja, dan kepatuhan
Kontrol, kerangka kerja, dan kepatuhan
Sebelumnya, Anda telah diperkenalkan pada kerangka kerja keamanan dan bagaimana kerangka kerja ini menyediakan pendekatan terstruktur untuk menerapkan siklus hidup keamanan. Sebagai pengingat, siklus hidup keamanan adalah serangkaian kebijakan dan standar yang terus berkembang. Dalam bacaan ini, Anda akan mempelajari lebih lanjut tentang bagaimana kerangka kerja keamanan, kontrol, dan peraturan kepatuhan-atau hukum-digunakan bersama-sama untuk mengelola keamanan dan memastikan semua orang melakukan bagian mereka untuk meminimalkan risiko.
Bagaimana kontrol, kerangka kerja, dan kepatuhan saling terkait
Tiga serangkai kerahasiaan, integritas, dan ketersediaan (CIA ) adalah model yang membantu menginformasikan bagaimana organisasi mempertimbangkan risiko saat menyiapkan sistem dan kebijakan keamanan.
CIA adalah tiga prinsip dasar yang digunakan oleh para profesional keamanan siber untuk menetapkan kontrol yang tepat yang dapat mengurangi ancaman, risiko, dan kerentanan.
Seperti yang mungkin Anda ingat, kontrol keamanan adalah perlindungan yang dirancang untuk mengurangi risiko keamanan tertentu. Jadi, kontrol keamanan digunakan bersama kerangka kerja untuk memastikan bahwa tujuan dan proses keamanan diimplementasikan dengan benar dan bahwa organisasi memenuhi persyaratan kepatuhan terhadap peraturan.
Kerangka kerja keamanan adalah panduan yang digunakan untuk membuat rencana guna membantu mengurangi risiko dan ancaman terhadap data dan privasi. Kerangka kerja ini memiliki empat komponen inti:
Mengidentifikasi dan mendokumentasikan tujuan keamanan
Menetapkan pedoman untuk mencapai tujuan keamanan
Menerapkan proses keamanan yang kuat
Memantau dan mengkomunikasikan hasil
Kepatuhan adalah proses mematuhi standar internal dan peraturan eksternal.
Kontrol, kerangka kerja, dan kepatuhan khusus
National Institute of Standards and Technology (NIST) adalah lembaga yang berbasis di Amerika Serikat yang mengembangkan berbagai kerangka kerja kepatuhan sukarela yang bisa digunakan oleh organisasi di seluruh dunia untuk membantu mengelola risiko. Semakin selaras sebuah organisasi dengan kepatuhan, semakin rendah risikonya.
Contoh kerangka kerja termasuk Kerangka Kerja Keamanan Siber NIST (CSF) dan Kerangka Kerja Manajemen Risiko NIST (RMF).
Catatan: Spesifikasi dan panduan bisa berubah tergantung jenis organisasi tempat Anda bekerja.
Selain NIST CSF dan NIST RMF, ada beberapa kontrol, kerangka kerja, dan standar kepatuhan lain yang penting diketahui oleh para profesional keamanan untuk membantu menjaga keamanan organisasi dan orang-orang yang mereka layani.
Komisi Regulasi Energi Federal - Korporasi Keandalan Listrik Amerika Utara (FERC-NERC)
FERC-NERC adalah peraturan yang berlaku untuk organisasi yang bekerja dengan listrik atau yang terlibat dengan jaringan listrik AS dan Amerika Utara. Jenis organisasi ini memiliki kewajiban untuk mempersiapkan, memitigasi, dan melaporkan potensi insiden keamanan yang dapat berdampak negatif pada jaringan listrik. Mereka juga diwajibkan secara hukum untuk mematuhi Standar Keandalan Perlindungan Infrastruktur Kritis (CIP) yang ditetapkan oleh FERC.
Program Manajemen Risiko dan Otorisasi Federal (FedRAMP®)
FedRAMP adalah program pemerintah federal A.S. yang menstandarkan penilaian keamanan, otorisasi, pemantauan, dan penanganan layanan cloud dan penawaran produk. Tujuannya adalah untuk memberikan konsistensi di seluruh sektor pemerintah dan penyedia layanan cloud pihak ketiga.
Center for Internet Security (CIS®)
CIS adalah lembaga nirlaba dengan berbagai bidang penekanan. CIS menyediakan seperangkat kontrol yang dapat digunakan untuk melindungi sistem dan jaringan dari serangan. Tujuannya adalah untuk membantu organisasi membuat rencana pertahanan yang lebih baik. CIS juga menyediakan kontrol yang dapat ditindaklanjuti yang dapat diikuti oleh para profesional keamanan jika terjadi insiden keamanan.
Peraturan Perlindungan Data Umum (GDPR)
GDPR adalah peraturan data umum Uni Eropa (UE) yang melindungi pemrosesan data penduduk UE dan hak privasi mereka di dalam dan di luar wilayah UE. Misalnya, jika sebuah organisasi tidak transparan mengenai data yang mereka miliki tentang warga negara Uni Eropa dan alasan mereka menyimpan data tersebut, hal ini merupakan pelanggaran yang dapat mengakibatkan denda bagi organisasi tersebut. Selain itu, jika terjadi pelanggaran dan data warga negara Uni Eropa disalahgunakan, mereka harus diberi tahu. Organisasi yang terkena dampak memiliki waktu 72 jam untuk memberi tahu warga negara UE tentang pelanggaran tersebut.
Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS)
PCI DSS adalah standar keamanan internasional yang dimaksudkan untuk memastikan bahwa organisasi yang menyimpan, menerima, memproses, dan mengirimkan informasi kartu kredit melakukannya di lingkungan yang aman. Tujuan dari standar kepatuhan ini adalah untuk mengurangi penipuan kartu kredit.
Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA)
HIPAA adalah undang-undang federal AS yang ditetapkan pada tahun 1996 untuk melindungi informasi kesehatan pasien. Undang-undang ini melarang informasi pasien dibagikan tanpa persetujuan mereka. Hal ini diatur oleh tiga aturan:
Privasi
Keamanan
Pemberitahuan pelanggaran
Organisasi yang menyimpan data pasien memiliki kewajiban hukum untuk memberi tahu pasien tentang pelanggaran karena jika Informasi Kesehatan yang Dilindungi (PHI) pasien terekspos, maka hal ini dapat menyebabkan pencurian identitas dan penipuan asuransi. PHI berhubungan dengan kesehatan atau kondisi fisik atau mental seseorang di masa lalu, sekarang, atau di masa depan, baik itu rencana perawatan atau pembayaran perawatan. Selain memahami HIPAA sebagai undang-undang, profesional keamanan juga perlu mengenal Health Information Trust Alliance (HITRUST®), yang merupakan kerangka kerja keamanan dan program jaminan yang membantu institusi memenuhi kepatuhan terhadap HIPAA.
Organisasi Internasional untuk Standardisasi (ISO)
ISO diciptakan untuk menetapkan standar internasional yang terkait dengan teknologi, manufaktur, dan manajemen lintas batas. ISO membantu organisasi meningkatkan proses dan prosedur mereka untuk retensi staf, perencanaan, limbah, dan layanan.
Kontrol Sistem dan Organisasi (SOC tipe 1, SOC tipe 2)
Dewan standar audit American Institute of Certified Public Accountants® (AICPA) mengembangkan standar ini. SOC1 dan SOC2 adalah serangkaian laporan yang berfokus pada kebijakan akses pengguna organisasi di berbagai tingkat organisasi seperti:
Rekan
Supervisor
Manajer
Eksekutif
Vendor
Lainnya
Standar ini digunakan untuk menilai kepatuhan keuangan dan tingkat risiko organisasi. Mereka juga mencakup kerahasiaan, privasi, integritas, ketersediaan, keamanan, dan keselamatan data secara keseluruhan. Kegagalan kontrol di area-area ini dapat menyebabkan penipuan.
Kiatpro: Ada sejumlah peraturan yang sering direvisi. Anda dianjurkan untuk terus mengikuti perubahan dan menjelajahi lebih banyak kerangka kerja, kontrol, dan kepatuhan. Dua saran untuk diteliti: Undang-Undang Gramm-Leach-Bliley dan Undang-Undang Sarbanes-Oxley.
Perintah Eksekutif Presiden Amerika Serikat 14028
Pada 12 Mei 2021, Presiden Joe Biden merilis perintah eksekutif terkait peningkatan keamanan siber negara untuk memulihkan peningkatan aktivitas aktor ancaman. Upaya remediasi ditujukan kepada lembaga federal dan pihak ketiga yang memiliki hubungan dengan infrastruktur penting AS. Untuk informasi tambahan, tinjau Perintah Eksekutif tentang Peningkatan Keamanan Siber Negara.
Hal-hal penting yang dapat diambil
Dalam bacaan ini, Anda telah mempelajari lebih lanjut tentang kontrol, kerangka kerja, dan kepatuhan. Anda juga mempelajari bagaimana mereka bekerja sama untuk membantu organisasi mempertahankan tingkat risiko yang rendah.
Sebagai analis keamanan, penting untuk selalu mengikuti perkembangan kerangka kerja, kontrol, dan peraturan kepatuhan yang umum serta mengetahui perubahan lanskap keamanan siber untuk membantu memastikan keamanan organisasi dan orang-orang.
0 Response to "Kontrol, kerangka kerja, dan kepatuhan"
Post a Comment