تاریخ انتشار: ۱۴۰۴/۰۹/۱۲
۷ چارچوب برتر امنیت سایبری ( مطالعه بر ایالات متحده)
در چشمانداز تهدیدهای امروزی که مدام در حال تغییر است، حفاظت از داراییهای دیجیتال یک سازمان دیگر یک گزینه نیست—بلکه یک ضرورت حیاتی برای کسبوکار است. «امتیازهای امنیتی» میتوانند نمایی کلی از وضعیت سلامت سایبری سازمان ارائه دهند، اما برای نشان دادن تعهدی جدی و بلندمدت به امنیت سایبری، ضروری است که با بهترین استانداردها و رویههای شناختهشدهٔ صنعتی و مقرراتی همسو شوید. اینجاست که چارچوبهای امنیت سایبری وارد عمل میشوند.
چارچوب امنیت سایبری چیست؟
چارچوب امنیت سایبری مجموعهای ساختارمند از استانداردها، دستورالعملها و بهترین شیوههاست که با هدف کمک به سازمانها برای مدیریت و کاهش ریسکهای امنیت سایبری طراحی شده است. این چارچوبها یک نقشه راه جامع برای ارزیابی، پایش و کاهش تهدیدهای بالقوه فراهم میکنند. با ایجاد فرآیندها و کنترلهای یکسان و منسجم، به سازمانها کمک میکنند راهبردی پیشگیرانه در امنیت اتخاذ کنند، الزامات مقرراتی را مدیریت کنند و ارتباط میان متخصصان امنیت و ذینفعان را تسهیل کنند.
چارچوبهای امنیت سایبری برای همراستا کردن تلاشهای امنیتی در میان تیمها، صنایع و کشورهای مختلف بسیار حیاتیاند. آنها به رهبران امنیت—مانند مدیران ارشد امنیت اطلاعات (CISOs)، تیمهای مدیریت ریسک و مدیران فناوری اطلاعات—امکان میدهند وضعیت امنیتی خود و همچنین وضعیت امنیتی فروشندگان و شرکای ثالث را بهطور مؤثر ارزیابی کنند و رویکردی یکپارچه برای مقابله با تهدیدها اتخاذ نمایند.
۷ چارچوب برتر امنیت سایبری
چه اجرای آنها الزام قانونی داشته باشد و چه بهصورت داوطلبانه پذیرفته شوند، این چارچوبها ستون فقرات راهبرد امنیت سایبری هر سازمان را تشکیل میدهند. در ادامه، هفت مورد از پرکاربردترین چارچوبها و استانداردهای امنیت سایبری را معرفی میکنیم که میتوانند سازمان شما را به سوی دفاعی قویتر و مقاومتر هدایت کنند:
۱. چارچوب NIST 2.0
چارچوب امنیت سایبری NIST در پاسخ به فرمان اجرایی رئیسجمهور وقت آمریکا، باراک اوباما، با عنوان «بهبود امنیت سایبری زیرساختهای حیاتی» ایجاد شد؛ فرمانی که خواستار همکاری بیشتر میان بخش دولتی و خصوصی برای شناسایی، ارزیابی و مدیریت ریسکهای سایبری بود.
اگرچه رعایت این چارچوب الزامی نیست، NIST به «استاندارد طلایی» برای ارزیابی بلوغ امنیت سایبری، شناسایی شکافهای امنیتی و برآوردهکردن مقررات امنیت سایبری تبدیل شده است.
تصویر 1
در سال ۲۰۲۴، NIST نسخهٔ جدید «چارچوب امنیت سایبری 2.0» (CSF 2.0) را معرفی کرد؛ بهروزرسانیای که مهمترین تحول این چارچوب از زمان انتشار نسخهٔ 1.1 در سال ۲۰۱۸ به شمار میآید.
CSF 2.0 دامنهٔ خود را فراتر از امنیت سایبری زیرساختهای حیاتی گسترش داده و اکنون طیف گستردهتری از سازمانها—از مدارس کوچک و مؤسسات غیرانتفاعی گرفته تا نهادهای بزرگ و شرکتها—را هدف قرار میدهد، بدون توجه به میزان تخصص آنها در امنیت سایبری.
یکی از نکات برجسته در این نسخه، تأکید بر «حاکمیت امنیت سایبری» است؛ موضوعی که امنیت سایبری را به عنوان بخشی اساسی از مدیریت ریسک سازمانی—در کنار ریسکهای مالی و اعتباری—به رسمیت میشناسد.
نسخهٔ جدید این چارچوب اکنون شامل شش کارکرد اصلی است:
۱. شناسایی
۲. حفاظت
۳. کشف
۴. پاسخدادن
۵. بازیابی
۶. حکمرانی
این شش کارکرد، رویکردی جامع برای مدیریت ریسک امنیت سایبری ارائه میدهند.
NIST همچنین مجموعهای از منابع جدید برای تسهیل پذیرش این چارچوب منتشر کرده است. این منابع شامل راهنماهای شروع سریع برای گروههای مختلف، نمونههای موفقیت سازمانهایی که CSF را اجرا کردهاند، و یک فهرست قابل جستوجو از منابع راهنماست که به سازمانها کمک میکند رویههای فعلی خود را با توصیههای این چارچوب همسو کنند.
علاوه بر این، CSF 2.0 به گونهای طراحی شده که با استانداردهای بینالمللی سازگار باشد و از تلاشهای جهانی برای تقویت تابآوری امنیت سایبری پشتیبانی کند. مسیر طیشده از نسخهٔ 1.1 تا 2.0 نشاندهندهٔ تعهد NIST به توسعهٔ مداوم این چارچوب با توجه به چالشهای جدید امنیت سایبری و نیازهای کاربران است. به سازمانها توصیه میشود CSF را متناسب با شرایط خود شخصیسازی کنند و تجربههایشان را برای بهرهمندی جامعهٔ گستردهتر به اشتراک بگذارند.
۲. چارچوبهای ISO 27001 و ISO 27002
استانداردهای ISO 27001 و ISO 27002 که توسط «سازمان بینالمللی استانداردسازی» (ISO) ایجاد شدهاند، بهعنوان استانداردهای بینالمللی امنیت سایبری برای تأیید یک برنامهٔ امنیت سایبری—چه در داخل سازمان و چه در ارزیابی طرفهای ثالث—شناخته میشوند.
داشتن گواهینامه ISO به شرکتها این امکان را میدهد که به هیئتمدیره، مشتریان، شرکا و سهامداران نشان دهند که در مدیریت ریسکهای سایبری رویکردی درست و اصولی اتخاذ کردهاند. همچنین، اگر یک فروشنده گواهینامه ISO 27001 یا ISO 27002 داشته باشد، این موضوع نشانهٔ خوبی (البته نه تنها معیار) از بلوغ فرآیندها و کنترلهای امنیتی اوست.
با این حال، نقطهضعف این گواهینامهها این است که دریافت آنها زمانبر و پرهزینه است؛ بنابراین سازمانها باید تنها زمانی وارد این مسیر شوند که واقعاً برایشان ارزش افزوده ایجاد کند—مثلاً کمک به جذب مشتریان جدید. علاوه بر آن، این گواهینامهها فقط وضعیت شرکت را در یک بازهٔ زمانی مشخص نشان میدهند و ممکن است ریسکهای در حال تغییر را که نیازمند پایش مداوم هستند، پوشش ندهند.
۳. چارچوب SOC2
SOC2 یا «کنترل سازمان خدماتی نوع ۲»، یک چارچوب امنیت سایبری مبتنی بر اعتماد و یک استاندارد حسابرسی است که توسط انجمن حسابداران رسمی آمریکا (AICPA) توسعه یافته تا کمک کند سازمانها مطمئن شوند فروشندگان و شرکایشان دادههای مشتری را بهصورت ایمن مدیریت میکنند.
SOC2 بیش از ۶۰ الزام مربوط به انطباق و فرآیندهای حسابرسی گسترده برای سیستمها و کنترلهای طرف ثالث را تعریف میکند. اجرای کامل یک حسابرسی SOC2 ممکن است یک سال طول بکشد و در پایان گزارشی ارائه میشود که وضعیت امنیت سایبری فروشنده را تأیید میکند.
به دلیل جامعیت این استاندارد، SOC2 یکی از دشوارترین چارچوبهای امنیتی برای پیادهسازی است—بهویژه برای سازمانهای فعال در بخش مالی و بانکداری که ملزم به رعایت استانداردهای سختگیرانهتری هستند. با این وجود، SOC2 یک چارچوب امنیتی بسیار مهم است و باید بخش محوری هر برنامهٔ مدیریت ریسک طرف ثالث باشد.
انطباق (Compliance)
انطباق SOC 2: چیست و چرا اهمیت دارد؟
SOC 2 مخفف System and Organization Controls) )چارچوبی است که توسط «انجمن حسابداران رسمی آمریکا» (AICPA) طراحی شده تا ارزیابی کند سازمانها چگونه دادههای مشتریان را بر اساس پنج اصل اعتمادسازی مدیریت میکنند: امنیت، دسترسپذیری، یکپارچگی پردازش، محرمانگی و حریم خصوصی.برای کسبوکارهایی که مدیریت ریسک طرفهای ثالث را انجام میدهند، انطباق SOC 2 یک معیار پایه برای ارزیابی رویههای امنیتی فروشندگان محسوب میشود. گزارش SOC 2 یک فروشنده، دیدی شفاف نسبت به کنترلهای امنیتی او ارائه میدهد و به شما کمک میکند ریسکهای احتمالی را پیش از آنکه به کسبوکار شما آسیب بزنند شناسایی کنید.بسیاری از رخنههای امنیتی طرف ثالث بهدلیل ضعف کنترلهای امنیتی فروشندگان رخ میدهد؛ بنابراین ضروری است ارزیابی کنید نه فقط اینکه فروشنده منطبق است، بلکه اینکه سطح انطباق او با میزان تحمل ریسک سازمان شما همخوانی دارد یا نه.
همچنین «مدیریت سطح تماس» (Exposure Management) در اینجا نقش مهمی دارد. انطباق SOC میتواند به سازمانها کمک کند ریسکها و شکافها را در سطح گستردهٔ سطح حمله شناسایی و برطرف کنند.
------------------------------------------------------------------
الزامات انطباق SOC 2: بررسی essentials
برای دستیابی به انطباق SOC 2، سازمان باید نشان دهد که از اصول اعتمادسازی از طریق کنترلهای قوی پیروی میکند. پنج الزام اصلی عبارتاند از:
1-امنیت (Security)
اجرای اقداماتی مانند فایروالها، سامانههای تشخیص نفوذ، و رمزگذاری برای جلوگیری از دسترسی غیرمجاز و افشای دادهها.
2-دسترسپذیری (Availability)
اطمینان از اینکه سیستمها عملیاتی و پایدار هستند، و برنامههای بازیابی از فاجعه برای تداوم کسبوکار وجود دارد.
3- یکپارچگی پردازش (Processing Integrity)
اطمینان از اینکه پردازشهای سیستم کامل، معتبر، دقیق، بهموقع و مجاز هستند.
4- محرمانگی (Confidentiality)
حفاظت از اطلاعات حساس از طریق کنترلهای سختگیرانهٔ دسترسی و سیاستهای مدیریت داده.
5- حریم خصوصی (Privacy)
مدیریت دادههای مشتری مطابق مقررات حریم خصوصی و الزامات شفافیت، و اطمینان از اینکه دادههای شخصی بر اساس سیاستهای حریم خصوصی سازمان جمعآوری و استفاده میشود.
------------------------------------------------------------------
انواع گزارشها و استانداردهای SOC
اغلب میان اصطلاحاتی مانند SOC 1، SOC 2 یا Type 1 و Type 2 سردرگمی ایجاد میشود. سه استاندارد حسابرسی SOC وجود دارد:
v SOC 1
ارزیابی کنترلهایی که بر گزارشدهی مالی مشتری تأثیر میگذارند. این گزارشها برای سازمانهایی حیاتیاند که دادههای مالی مشتریان را پردازش میکنند.
v SOC 2
ارزیابی کنترلهای مربوط به امنیت، دسترسپذیری، یکپارچگی پردازش، محرمانگی و حریم خصوصی. این گزارشها برای سازمانهایی که دادههای مشتری را مدیریت میکنند ضروری است.
v SOC 3
نسخهای سطحبالا از SOC 2 است که برای عموم طراحی شده و بدون جزئیات آزمایش و نتایج، اطمینان کلی ارائه میدهد. معمولاً برای انتشار عمومی—for example آرم انطباق در وبسایت شرکت—مناسب است.
----------------------------------------------------------------
گزارشهای نوع 1 و نوع 2
هر یک از استانداردهای بالا میتوانند یکی از دو نوع گزارش زیر را داشته باشند:
گزارش Type 1 سریعتر و مناسب برای اثبات اولیهٔ انطباق است.اما گزارش Type 2 جامعتر و مطمئنتر است زیرا نشان میدهد کنترلها در طول زمان بهدرستی عمل کردهاند.
------------------------------------------------------------------
چکلیست انطباق SOC 2
مسیر انطباق با SOC 2 با «پیشارزیابی» آغاز میشود تا تصویر روشنی از وضعیت فعلی امنیت سازمان به دست آید. سپس شامل برنامهریزی استراتژیک، تدوین سیاستها، اجرای کنترلها، و آموزش کارکنان میشود. هر گام به ساخت یک چارچوب امنیتی مقاوم و آیندهنگر کمک میکند.
1- درک معیارهای خدمات اعتماد (Trust Service Criteria)
سیستمها، فرآیندها و دادههایی را که باید ارزیابی شوند شناسایی کنید. منابع مورد نیاز—انسانی، فنی و مالی—را تعیین کنید.
2- تحلیل شکاف (Gap Analysis)
کنترلها و فرآیندهای فعلی را بررسی کنید تا شکافها در الزامات SOC 2 مشخص شود و اولویتبندی کنید.
3-توسعه و پیادهسازی سیاستها
تدوین سیاستها و رویههای قوی برای پوشش دادن شکافها. تمرکز بر کنترل دسترسی، امنیت شبکه، پاسخگویی به حادثه، مدیریت تغییر و پروتکلهای مدیریت داده.
همچنین باید تیمهای میانوظیفهای تشکیل دهید و حمایت مدیریت ارشد را جلب کنید.
4-تقویت مدیریت ریسک طرف ثالث
ارزیابی انطباق SOC فروشندگان—بهویژه ارائهدهندگان خدمات فناوری و SaaS که دادههای مشتری را پردازش میکنند.گزارش SOC 2 را بخشی اجباری از ارزیابی فروشندگان قرار دهید و در قراردادها بندهایی دربارهٔ حفظ انطباق و گزارشدهی حوادث امنیتی بگنجانید.
5- اجرای پایش مداوم (Continuous Monitoring)
ابزارهایی برای پایش لحظهای وضعیت انطباق استفاده کنید تا انحراف از سیاستها سریعاً شناسایی و رفع شود.
6- همکاری با حسابرس معتبر
طبق مقررات AICPA، تنها حسابداران رسمی مجاز (CPA) یا متخصصان دارای مجوز از شرکتهای تحتنظر AICPA اجازهٔ انجام حسابرسی SOC 2 را دارند.یک شرکت معتبر انتخاب کنید و مدارک لازم را بهصورت سازمانیافته آماده کنید.پس از حسابرسی، باید شکافها را برطرف کنید و مدارک مربوط به انطباق را بهطور سیستماتیک نگهداری کنید—از جمله ثبت تغییرات و گزارشهای حسابرسی.
7- ایجاد فرهنگ امنیتمحور
آموزش کارکنان دربارهٔ بهترین شیوههای امنیت سایبری و اهمیت انطباق. کارکنان آگاه، اولین خط دفاعی سازمان هستند.
------------------------------------------------------------------
توصیههایی برای CISOs و رهبران امنیت سایبری
انطباق SOC 2 فقط یک گواهینامه نیست—یک ابزار راهبردی برای مدیریت ریسکهای سایبری و ایجاد اعتماد با ذینفعان است. برای بهرهبرداری بهتر:
v ادغام انطباق در ارزیابی ریسک فروشندگان: گزارشهای SOC 2 Type 2 معمولاً برای ارزیابی فروشندگان ترجیح داده میشوند.
v استفاده از اتوماسیون: ابزارهایی برای خودکارسازی پایش، جمعآوری مدارک، و گزارشدهی به کار بگیرید.
v همکاری بین تیمها: با تیمهای GRC، IT و تدارکات همکاری کنید.
v ارزیابی و بهروزرسانی مستمر: مرتب وضعیت انطباق را بازبینی کنید و پیش از تغییرات الزامات SOC 2 اقدام کنید.
با رویکردی پیشگیرانه و ابزارهای مناسب، سازمان شما میتواند انطباق SOC 2 را به یک مزیت رقابتی تبدیل کند و تابآوری خود را در سراسر اکوسیستم دیجیتال تقویت نماید.
۴. چارچوب NERC-CIP
برای مقابله با افزایش حملات به زیرساختهای حیاتی آمریکا و رشد ریسکهای ناشی از طرفهای ثالث، چارچوب «حفاظت از زیرساختهای حیاتی» NERC-CIP که توسط سازمان قابلیت اطمینان برق آمریکای شمالی (NERC) تدوین شده، معرفی شد. این مجموعهای از استانداردهای امنیت سایبری است که با هدف کمک به بخشهای انرژی و خدمات عمومی برای کاهش ریسکهای سایبری و تضمین پایداری سیستمهای تولید و انتقال برق طراحی شده است.
چارچوب امنیتی NERC-CIP از سازمانهای مشمول میخواهد ریسکهای سایبری طرفهای ثالث در زنجیره تأمین خود را شناسایی و مدیریت کنند.
NERC-CIP مجموعهای از کنترلها را الزام میکند، از جمله:
برای آگاهی بیشتر دربارهٔ راهبردهای مؤثر جهت دستیابی به انطباق با NERC-CIP میتوانید منابع تکمیلی را مطالعه کنید.
۵. چارچوب HIPAA
قانون «قابلیت حمل و مسئولیتپذیری بیمه سلامت» (HIPAA) یک چارچوب امنیت سایبری است که از سازمانهای حوزهٔ سلامت میخواهد کنترلهایی را برای حفاظت از اطلاعات سلامت الکترونیکی و حفظ محرمانگی آنها پیادهسازی کنند.
بر اساس HIPAA، علاوه بر رعایت بهترین شیوههای مدیریت ریسکهای سایبری—مانند آموزش کارکنان—شرکتهای فعال در این حوزه باید ارزیابی ریسک انجام دهند تا بتوانند ریسکهای نوظهور را شناسایی و مدیریت کنند.
با این حال، رعایت الزامات HIPAA همچنان یکی از چالشهای بزرگ برای سازمانهای مراقبت سلامت است؛ همانگونه که پژوهشهای Bitsight نشان میدهد.
۶. چارچوب GDPR
«مقررات حفاظت از دادههای عمومی» یا GDPR در سال ۲۰۱۶ تصویب شد تا رویهها و شیوههای حفاظت از دادههای شهروندان اتحادیه اروپا را تقویت کند. GDPR همهٔ سازمانهایی را که در اتحادیه اروپا مستقر هستند، و همچنین هر کسبوکاری را که دادههای شخصی شهروندان اتحادیه اروپا را جمعآوری یا ذخیره میکند—از جمله شرکتهای آمریکایی—تحت تأثیر قرار میدهد.
این چارچوب امنیتی شامل ۹۹ ماده است که به مسئولیتهای انطباق شرکتها میپردازد؛ از جمله:
انطباق (Compliance)
رعایت مقررات عمومی حفاظت از دادهها (GDPR)
رعایت GDPR به معنای پایبندی به مقرراتی است که برای حفاظت از دادههای شخصی و حفظ حقوق حریم خصوصی افراد وضع شدهاند. دادهٔ شخصی به هر گونه اطلاعاتی گفته میشود که به یک فرد شناساییشده یا قابل شناسایی مربوط باشد. برای سایر تعاریف، میتوانید راهنمای ما دربارهٔ اصطلاحات کلیدی GDPR را مطالعه کنید.
سازمانها باید اقدامات فنی و سازمانی مناسب برای حفظ امنیت دادهها، شفافیت، و پاسخگویی در فعالیتهای پردازش داده به کار بگیرند.
-----------------------------------------------------------------
چه کسانی مشمول GDPR میشوند؟
هر شخص یا نهادی که دادههای شخصی را کنترل یا پردازش میکند، باید با GDPR سازگار باشد.
با اینکه پردازشگران تحت دستور کنترلکنندگان عمل میکنند، همچنان موظفاند هنگام کار با دادههای شخصی، مقررات GDPR را رعایت کنند.
------------------------------------------------------------------
اصول کلیدی برای دستیابی به الزامات GDPR
GDPR اصول سختگیرانهای دربارهٔ قانونی بودن، انصاف و شفافیت تعیین کرده است، از جمله:
v پردازش قانونی: دادهها باید بهطور قانونی، منصفانه، و شفاف پردازش شوند.
v حداقلسازی داده: فقط دادههای موردنیاز برای هدف مشخص باید جمعآوری شوند.
v دقت: دادهها باید دقیق و بهروز باشند.
v محدودیت نگهداری: دادهها فقط تا زمانی نگهداری شوند که لازم است.
v تمامیت و محرمانگی: دادهها باید بهصورت امن پردازش شوند تا از دسترسی غیرمجاز جلوگیری شود.
-----------------------------------------------------------------
چکلیست رعایت GDPR
سازمانها باید ابتدا وضعیت فعلی خود را ارزیابی کرده و شکافها را شناسایی کنند. گامهای مهم برای رعایت GDPR عبارتاند از:
1. نقشهبرداری داده: فهرست کنید که چه دادههایی جمعآوری میکنید، از کجا میآیند، چرا جمع میشوند، چگونه پردازش میشوند، و چه زمانی حذف خواهند شد.
2. ارزیابی مبنای قانونی: برای هر فعالیت پردازش، مبنای قانونی مناسب مشخص کنید.
3. تدوین سیاستها: سیاستهای روشن و قابل فهم دربارهٔ حفاظت از داده تدوین کنید. اطلاعات ارائهشده به کاربران باید شفاف و قابل فهم باشد.
4. آموزش کارکنان: کارمندان را در زمینه الزامات GDPR و بهترین شیوههای امنیت داده آموزش دهید.
5. مدیریت طرفهای ثالث: بدانید کدام دادهها را با چه شرکتهایی به اشتراک میگذارید و مطمئن شوید قراردادهای مناسب برای رعایت GDPR وجود دارد.
6. ممیزیهای منظم: بازبینیهای دورهای انجام دهید و از خدمات حسابرسان بیرونی در صورت نیاز استفاده کنید.
7. افسر حفاظت از دادهها (DPO): در صورت لزوم طبق ماده ۳۷، یک DPO منصوب کنید.
8. ارزیابی اثر بر حفاظت داده (DPIA): برای پروژههایی که «ریسک بالا» دارند، ارزیابی و کاهش ریسک انجام دهید.
9. اقدامات امنیتی فنی: رمزنگاری، احراز هویت چندمرحلهای، و ارزیابیهای امنیتی منظم را پیادهسازی کنید.
10. حقوق افراد: سازوکاری برای اجرای حقوق کاربران (دسترسی، اصلاح، حذف، اعتراض، و …) فراهم کنید.
11. برنامه واکنش به نقض داده: روند شناسایی، گزارشدهی و بررسی سریع رخدادهای نقض داده را ایجاد کنید.
------------------------------------------------------------------
رعایت GDPR در سطح جهانی
اگرچه GDPR قانون اتحادیه اروپا است، دامنهٔ آن جهانی است. هر سازمانی که دادههای شهروندان اتحادیه اروپا را پردازش میکند—صرفنظر از محل استقرار—باید از GDPR پیروی کند.
شرکتهای آمریکایی که دادهٔ شهروندان اتحادیه اروپا را پردازش میکنند نیز مشمول این قانوناند. عدم رعایت میتواند منجر به جریمههای سنگین و مشکلات حقوقی شود.
------------------------------------------------------------------
رعایت GDPR در زمینه کوکیها
کوکیهایی که دادههای شخصی جمعآوری میکنند نیاز به رضایت صریح کاربر دارند. سازمانها باید:
v هدف استفاده از کوکیها را شفاف توضیح دهند
v امکان انتخاب آسان برای کاربران فراهم کنند
v سیاستهای کوکی را بهطور منظم بازبینی کنند
GDPR و CCPA
قانون حریم خصوصی مصرفکنندگان کالیفرنیا (CCPA) شباهتهایی با GDPR دارد اما تفاوتهایی نیز دارد. سازمانهایی که در هر دو حوزه فعالیت دارند باید فرآیندهای خاص هر قانون را پیادهسازی کنند.
ریسکهای عدم رعایت GDPR
نقض عمدی، بیتوجهی به اقدامات کاهشی، یا همکاری نکردن با مقامات میتواند باعث جریمههای سنگین شود.
طبق ماده ۸۳(۵)، جریمهها میتوانند تا ۲۰ میلیون یورو یا ۴٪ از گردش مالی جهانی سال قبل (هرکدام بیشتر باشد) برسند.
علاوه بر جریمه، عدم رعایت میتواند به:
منجر شود.
۷. چارچوب FISMA
«قانون مدیریت امنیت اطلاعات فدرال» (FISMA) یک چارچوب جامع امنیت سایبری است که برای محافظت از اطلاعات و سامانههای دولت فدرال آمریکا در برابر تهدیدهای سایبری طراحی شده است. این قانون همچنین شامل طرفهای ثالث و فروشندگانی میشود که بهنمایندگی از سازمانهای فدرال فعالیت میکنند.
چارچوب امنیتی FISMA ارتباط نزدیکی با استانداردهای امنیت سایبری NIST دارد و از سازمانهای فدرال و طرفهای ثالث میخواهد موجودی کاملی از داراییهای دیجیتال خود داشته باشند و هرگونه اتصال یا یکپارچگی بین شبکهها و سیستمها را شناسایی کنند.
اطلاعات حساس باید بر اساس سطح ریسک دستهبندی شوند و کنترلهای امنیتی باید حداقل استانداردهای تعریفشده در دستورالعملهای FIPS و NIST 800 را برآورده کنند. سازمانهای مشمول این قانون همچنین باید ارزیابی ریسک سایبری انجام دهند، هر ساله بازبینی امنیتی داشته باشند و بهطور مداوم زیرساخت فناوری اطلاعات خود را پایش کنند.
چارچوبهای امنیت سایبری: راهنماهایی ضروری
چارچوبهای امنیت سایبری پایهای مفید—و در بسیاری موارد الزامی—برای ادغام مدیریت ریسک سایبری در مدیریت عملکرد امنیتی و برنامهٔ مدیریت ریسک طرفهای ثالث فراهم میکنند. این چارچوبها مسیر روشنی برای تقویت امنیت، افزایش تابآوری، و همگامسازی تلاشهای امنیتی در سراسر سازمان ارائه میدهند.
میتوان گفت که چارچوبها و مقررات امنیت سایبری مانند NIST، ISO 27001/27002، SOC2، NERC-CIP، HIPAA، GDPR و FISMA نقش بنیادینی در مدیریت ریسک سایبری و حفاظت از دادهها دارند. هر کدام از این استانداردها با هدف ارتقای امنیت، شفافیت، پاسخگویی و کاهش تهدیدات طراحی شدهاند و از سازمانها میخواهند کنترلهای فنی و سازمانی مناسب را اجرا کنند، ریسکها را بهطور مستمر ارزیابی کنند، و در برابر تهدیدات نوظهور آماده باشند. رعایت این قوانین، علاوه بر جلوگیری از جریمههای سنگین و خسارتهای اعتباری، به سازمانها کمک میکند اعتماد مشتریان و شرکا را جلب کرده و عملکرد پایدار و ایمنتری در محیط دیجیتال امروز داشته باشند.
https://www.bitsight.com/blog/7-cybersecurity-frameworks-to-reduce-cyber-risk
