金融業界で事実上の標準となっているセキュリティ要件は何ですか?
InfoSecに関連するテクノロジー、プロセス、または法律のうち、特に金融業界に適用されるものはどれですか。
金融業界に精通している場合、詳細を共有できますか?例えば:
一般的なコントロールの詳細は何ですか
特定の制御を満足させるテクノロジー(または広く展開されている製品)
前述のとおり、米国の2つの主要な法律は、サーベンスオクスリー法(SOx)とグラムリーチブライリー法(GLB)です。
金融サービス部門の銀行側にいる場合は、2006年7月付けの連邦金融機関審査会(FFIEC) 情報セキュリティブックレット を必ずお読みください。
このハンドブックは、NIST、ISO、およびCOBITを参照しています。 NISTの800シリーズのドキュメントは、さまざまなトピックに関する優れたガイダンスソースです。 ISO側では、ISO/IEC 27002規格を参照してください。
SOxに該当する場合は、おそらくCOBITとCOSOの2つの制御フレームワークに関与していることでしょう。コントロールフレームワークは、コントロールの実装方法を正確に伝えるものではありません。 SOxコンプライアンスとは直接関連していませんが、SANSは他の項目に Twenty Critical Security Controls のリストを公開しています。これらのコントロールは実際の実装に少し近いですが、それを行う方法を正確には伝えていません。特定のコントロールを実装する方法は、環境に大きく依存します。
また、英国では、FSA要件はかなり綿毛で解釈の自由がありますが、ISO 27001、CobIT、ITILなどの業界の事実上の標準に基づいており、主な目的は、組織がデータまたはプロセス。
データ保護法はまた、満たすべき重要な規制のリストの上位にあり、特に今やICOは個人データの保護の失敗に対して罰金を課すことができます。
金融サービス組織の推進力は商業的であるため、PCIは現在、遵守すべきスコアリングの上位規制の1つです。 PCI要件に合格してもセキュリティが保証されるわけではありませんが、要件を満たしていない場合は非常に重大なリスクが発生します。
これまでの回答では言及されていませんが、金融サービスのいくつかの領域に関連している可能性があるのは PCI DSS です。これは、組織が主要なスキームのいずれかからのクレジット/デビットカードの詳細を処理する場合に適用されます。つまり、リテールバンキング、保険、基本的に個人の顧客を扱うあらゆるものです。
SOxなどと比較したPCIの1つの点は、準拠するために必要なコントロールの技術的詳細をはるかに詳細に指定していることです。これは良いことでも悪いことでもあります。
一方では、特定の制御クラスがまったく必要かどうかについて非常に多くの人々が主張するのをやめますが、他方では、組織が標準のレターに準拠しようとするが、「チェックボックス」の考え方を駆り立てることができます。精神ではありません。
米国では、次の2つの主要な規制が適用されます。
FDICによる情報セキュリティの取り扱いに関しては、金融クライアントの大多数が脆弱性評価と侵入テストに固執しています。より高いレベルのテスト(または証明)を検討しているクライアントを支援するために、 情報セキュリティガイド を作成しました。無料でとても便利です。
ガイドに記載:
- 脆弱性評価(通常は金融業界で行われます)
- 侵入テスト(通常は金融業界で行われます)
- 安全なデータフロー図
- デザインレビュー
- ギャップ評価
- BITS共有評価(金融業界が作成)
- ISO 27002評価
- SAS-70
- ISO 27001認証(最高レベルの保証)