it-swarm-korea.com

금융 산업에서 사실상 표준이되는 보안 요구 사항은 무엇입니까?

InfoSec과 관련된 어떤 기술, 프로세스 또는 법률이 특히 금융 산업에 적용됩니까?

금융 산업에 익숙하다면 세부 정보를 공유 할 수 있습니까? 예를 들면 :

  • 일반적인 컨트롤에 대한 세부 사항은 무엇입니까?

  • 특정 제어를 충족하는 기술 (또는 널리 배포 된 제품)

8
goodguys_activate

언급했듯이 미국의 두 가지 주요 법률은 Sarbanes-Oxley Act (SOx)와 Gramm-Leach-Bliley Act (GLB)입니다.

금융 서비스 부문의 은행 측에있는 경우 반드시 읽어야 할 것은 2006 년 7 월자 연방 금융 기관 심사위원회 (FFIEC) 정보 보안 책자 입니다.

핸드북은 NIST, ISO 및 COBIT를 참조합니다. NIST의 800 시리즈 문서는 다양한 주제에 대한 훌륭한 지침 소스입니다. ISO 측면에서는 ISO/IEC 27002 표준을 참조하십시오.

SOx에 해당하면 COBIT 및 COSO라는 두 가지 제어 프레임 워크에 관여하게 될 것입니다. 컨트롤 프레임 워크는 컨트롤을 구현하는 방법을 정확하게 알려주지는 않습니다. SOx 컴플라이언스와 직접 관련이 없지만 SANS는 다른 것들에 20 가지 중요 보안 제어 목록을 게시했습니다. 이러한 컨트롤은 실제 구현에 조금 더 가깝지만 정확한 방법을 알려주지는 않습니다. 특정 컨트롤을 구현하는 방법은 환경에 따라 크게 달라집니다.

12
sdanelson

또한 영국에서 FSA 요구 사항은 ISO 27001, CobIT, ITIL 등과 같은 사실상의 산업 표준을 기반으로하는 매우 모직하고 해석의 여지가 있지만 주요 목표는 조직이 다음을 기반으로 적절한 제어를 적용하는 것입니다. 데이터 또는 프로세스.

데이터 보호법은 또한 충족해야 할 중요한 규제 목록에서 가장 높습니다. 특히 이제 ICO는 개인 데이터 보호 실패에 대해 벌금을 부과 할 수 있습니다.

PCI는 금융 서비스 조직의 동인이 상업적이기 때문에 현재 준수해야 할 최고 점수 규정 중 하나입니다. PCI 요구 사항을 통과한다고해서 보안이 보장되는 것은 아니지만이를 실패하면 매우 심각한 위험이 따릅니다!

6
Rory Alsop

지금까지 답변에서 언급되지 않았지만 금융 서비스의 여러 영역에서 적절할 수있는 것은 PCI DSS 입니다. 조직이 주요 계획, 즉 소매 은행, 보험, 기본적으로 개별 고객을 다루는 모든 것의 신용/직불 카드 세부 정보를 처리하는 경우 적용됩니다.

SOx와 비교할 때 PCI에 대한 한 가지는 준수하기 위해 필요한 제어에 대해 기술적 인 세부 사항을 훨씬 더 많이 지정한다는 것입니다. 이것은 좋은 것 또는 나쁜 것으로 볼 수 있습니다.

한편으로는 특정 제어 클래스가 필요한지에 대해 사람들이 너무 많은 논쟁을 벌이는 것을 막지 만 다른 한편으로는 조직이 표준의 문자를 준수하려고하는 "체크 박스"사고 방식을 유도 할 수 있습니다. 정신이 아닙니다.

5
Rory McCune

미국에서 적용되는 두 가지 주요 규정 :

2
AviD

대부분의 금융 고객은 FDIC로 정보 보안을 처리 할 때 취약성 평가 및 침투 테스트를 고수합니다. 더 높은 수준의 테스트 (또는 증명)를 고려중인 고객을 돕기 위해 정보 보안 가이드 를 만들었습니다. 무료이며 매우 유용합니다.

가이드에 설명 :

  • 취약성 평가 (일반적으로 금융 업계에서 수행됨)
  • 침투 테스트 (일반적으로 금융 업계에서 수행됨)
  • 보안 데이터 흐름 다이어그램
  • 디자인 리뷰
  • 갭 평가
  • BITS 공유 평가 (금융 업계에서 생성)
  • ISO 27002 평가
  • SAS-70
  • ISO 27001 인증 (최고 수준의 보증)
1