Quali tecnologie, processi o leggi relativi a InfoSec si applicano specificamente all'industria finanziaria?
Se sei familiare con il settore finanziario, puoi condividere i dettagli? Ad esempio:
Quali sono le specifiche sui controlli comuni
Quale tecnologia (o prodotto ampiamente distribuito) soddisfa un particolare controllo
Come accennato, le due leggi principali negli Stati Uniti sono Sarbanes-Oxley Act (SOx) e Gramm-Leach-Bliley Act (GLB).
Se sei sul lato bancario del settore dei servizi finanziari, allora è assolutamente necessario leggere il opuscolo sulla sicurezza delle informazioni del Consiglio federale delle finanze (FFIEC) datato luglio 2006.
Il manuale fa riferimento a NIST, ISO e COBIT. I documenti della serie 800 del NIST sono un'ottima fonte di guida su una varietà di argomenti. Sul lato ISO vedere lo standard ISO / IEC 27002.
Se cadi sotto SOx, probabilmente ti troverai coinvolto in due framework di controllo, COBIT e COSO. I quadri di controllo non ti diranno esattamente come implementare un controllo. Sebbene non sia direttamente associato alla conformità SOx, SANS ha pubblicato tra le altre cose un elenco di Venti controlli di sicurezza critici . Questi controlli sono un po 'più vicini all'attuazione effettiva, ma ancora non ti dicono esattamente come farlo. Il modo in cui implementate un particolare controllo dipenderà molto dal vostro ambiente.
Anche nel Regno Unito i requisiti della FSA sono, sebbene piuttosto fiacchi e aperti all'interpretazione, basati su standard di fatto dell'industria come ISO 27001, CobIT, ITIL ecc., con l'obiettivo principale di un'organizzazione di introdurre controlli appropriati in base ai dati o ai processi.
Il Data Protection Act è anche in cima alla lista di reg importanti da soddisfare, specialmente ora che l'ICO può imporre multe per la mancata protezione dei dati personali.
PCI è attualmente uno dei regolamenti più importanti da rispettare, in quanto i driver per le organizzazioni di servizi finanziari sono commerciali. Il superamento dei requisiti PCI non è garanzia di sicurezza, in caso contrario i rischi presentano rischi molto significativi!
Uno che non è stato menzionato nelle risposte fino ad ora, ma che potrebbe essere pertinente in diverse aree dei servizi finanziari è PCI DSS. Si applica se l'organizzazione elabora i dettagli della carta di credito / debito da uno qualsiasi degli schemi principali, quindi il retail banking, l'assicurazione, praticamente tutto ciò che riguarda i singoli clienti.
Una cosa su PCI rispetto a cose come SOx, è che specifica molto di più in termini di dettagli tecnici su quali controlli sono necessari per conformarsi. Questo può essere visto come una cosa buona o cattiva.
Da un lato impedisce alle persone di discutere abbastanza sul fatto che alcune classi di controllo siano necessarie, ma dall'altro può guidare una mentalità da "check-box", in cui l'organizzazione cerca di rispettare la lettera di lo standard ma non lo spirito.
La maggior parte dei nostri clienti finanziari si affida alle valutazioni delle vulnerabilità e ai test di penetrazione quando si tratta di gestire la sicurezza delle informazioni con il FDIC. Per aiutare i nostri clienti che stanno valutando un livello più elevato di test (o attestazione) abbiamo creato una Guida alla sicurezza delle informazioni . È gratuito e molto utile.
Descritto nella guida:
Leggi altre domande sui tag legal compliance