About Teletype
Join
Penetration Tester
@fnay_offensive
obuchenie_post
March 9

День 5. Управление и регулирование

Управление и регулирование

Введение

Цели обучения

  • Понимание роли и важности управления и регулирования в сфере кибербезопасности
  • Получите представление о соответствующих международных законах, правилах, политиках, стандартах и ​​рекомендациях.
  • Понимание структуры управления, управления рисками и соответствия (GRC)
  • Разработать и повысить собственную позицию по кибербезопасности в соответствии с международными стандартами, включая ISO 27001, NIST 800-53 и многие другие.

Почему это важно?

Информационная безопасность


Информационная безопасностьСтруктура информационной безопасности представляет собой комплексный набор документов, описывающих подход организации к информационной безопасности и регулирующих, как безопасность внедряется, управляется и обеспечивается в организации. В основном это включает:

  • Политика: официальное заявление, в котором излагаются цели, принципы и рекомендации организации для достижения конкретных целей.
  • Стандарты : документ, устанавливающий конкретные требования или спецификации для конкретного процесса, продукта или услуги.
  • Руководящие принципы : документ, содержащий рекомендации и передовой опыт (необязательный) для достижения конкретных целей или задач.
  • Процедуры : набор конкретных шагов для выполнения определенной задачи или процесса.
  • Базовые показатели : набор минимальных стандартов или требований безопасности, которым должна соответствовать организация или система.

Управление рисками и соответствие требованиям (GRC)

Как мы уже выяснили, управление информационной безопасностью и соответствие требованиям необходимы для поддержания общей безопасности любой организации. Но как этого добиться? Здесь вступает в действие структура управления и соответствия требованиям рисков (GRC). Она фокусируется на управлении общим управлением организации, управлении рисками предприятия и соответствии требованиям комплексным образом. Это целостный подход к информационной безопасности, который согласуется с целями и задачами организации и помогает гарантировать, что организация работает в рамках соответствующих правил и отраслевых стандартов. Структура GRC состоит из следующих трех компонентов:

Пример

Конфиденциальность и защита данных


В каждом секторе, таком как финансы, здравоохранение, правительство и промышленность, правила конфиденциальности и защиты данных имеют решающее значение, поскольку они имеют дело с персональными данными граждан ( PII ). Правила конфиденциальности помогают гарантировать, что персональные данные людей обрабатываются и хранятся ответственно и этично. Они также помогают устанавливать доверие, защищать персональные данные и поддерживать соответствие нормативным требованиям. Двигаясь вперед, мы рассмотрим основные положения наиболее важных правил конфиденциальности и защиты данных и их цель, что поможет нам понять, почему правила защиты данных имеют решающее значение.

Специальные публикации NIST

НИСТ 800-53
NIST 800-53 — это публикация под названием « Безопасность и конфиденциальность управления для информационных систем и организаций », разработанная Национальным институтом стандартов и технологий ( NIST ), США, которая предоставляет каталог средств управления безопасностью для защиты триады информационных систем ЦРУ . Публикация служит основой для организаций по оценке и повышению безопасности и конфиденциальности их информационных систем и соблюдению различных законов, нормативных актов и политик. Она включает в себя передовой опыт из различных источников, включая отраслевые стандарты, руководства и международные структуры.

Управление информационной безопасностью и соответствие требованиям

Стратегическое планирование, выполнение и постоянное администрирование мер безопасности являются частью управления информационной безопасностью (ИБ), которое защищает информационные активы от несанкционированного доступа, использования, раскрытия, прерывания, изменения и уничтожения . Оно включает в себя оценку и идентификацию рисков, разработку средств контроля и процедур безопасности, планирование реагирования на инциденты и обучение по повышению осведомленности о безопасности. Напротив, соответствие относится к соблюдению правовых, нормативных, договорных и отраслевых стандартов, связанных с информационной безопасностью . В управлении ИБ и соответствии мы рассмотрим два ключевых стандарта.

Заключение

Так же заходи в нашу:

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

Penetration Tester
March 9, 08:10
0 views
0 reactions
0 replies
0 reposts