Segurança e Privacidade por Design (S| P) Princípios
Secure Controls Framework (SCF) Segurança e Privacidade por Design (S| P) Princípios
O conceito de construir segurança e privacidade na tecnologia soluções tanto por padrão quanto por design é uma expectativa básica para as empresas, independentemente da indústria. A adoção de princípios de segurança e privacidade é um passo crucial na construção de um programa seguro e pronto para auditoria.
| O S | P é um conjunto de 32 princípios de segurança e privacidade que aproveitam a extensão doSCF conjunto de controle de segurança cibernética e privacidade. Você pode baixar o pôster gratuito por clicando na imagem à direita. |
| O logotipo “S pipe P” é um aceno para a definição de computação de o | ou símbolo “pipe” (por exemplo, shift+backslash), que é um comando de computador mecanismo de linha que permite que a saída de um processo seja usada como entrada para outro processo. Desta forma, uma série de comandos pode ser ligada a mais execute de forma rápida e fácil um processamento complexo em vários estágios. Essencialmente, o conceito é que os princípios de segurança estão sendo “canalizados” com princípios de privacidade para criar processos seguros de forma eficiente. |
| Os trinta e dois S | Os princípios P abrangem cada um dos domínios de O CCAH: |
1. Governança de Segurança e Privacidade
Princípio: Governar um programa documentado, baseado em risco, que engloba a segurança apropriada e princípios de privacidade para abordar todos os estatutos, regulamentares e regulamentares aplicáveis obrigações contratuais.
Intenção: As organizações especificam o desenvolvimento de um programas de segurança e privacidade da organização, incluindo critérios para medir sucesso, para garantir o envolvimento contínuo da liderança e a gestão de riscos.
2. Gestão de Ativos
Princípio: Gerenciar tudo ativos de tecnologia desde a compra até a disposição, tanto física quanto virtual, para garantir o uso seguro, independentemente da localização do ativo.
Intenção: Organizações garantir que os ativos de tecnologia sejam gerenciados adequadamente durante todo o ciclo de vida do ativo, desde a aquisição até o descarte, garantindo que apenas os dispositivos autorizados sejam permissão para acessar a rede da organização e proteger a rede da organização dados que são armazenados, processados ou transmitidos em seus ativos.
3. Continuidade de negócios e recuperação de desastres
Princípio: Manter a capacidade de sustentar funções críticas para os negócios enquanto responde com sucesso a e recuperando-se de incidentes através de um processo bem documentado e exercido.
Intenção: Organizações estabelecer processos que ajudarão a organização a se recuperar de problemas adversos situações com o mínimo impacto para as operações, bem como proporcionar o capacidade de descoberta eletrônica.
4. Planejamento de capacidade e desempenho
Princípio: Governar o capacidades atuais e futuras e desempenho dos ativos de tecnologia.
Intenção: Organizações evitar interrupções de negócios evitáveis causadas pela capacidade e pelo desempenho limitações pelo planejamento proativo do crescimento e da previsão, bem como exigindo que a liderança tecnológica e de negócios mantenha a situação consciência do desempenho atual e futuro.
5. Gestão de Mudanças
Princípio: Governar a mudança de forma sustentável e contínua, que envolva a participação ativa de tanto a tecnologia quanto as partes interessadas do negócio para garantir que apenas autorizado ocorrem mudanças.
Intenção: Organizações garantir que a tecnologia e a liderança nos negócios gerenciem proativamente as mudanças. Este inclui a avaliação, autorização e acompanhamento de alterações técnicas em toda a empresa, de modo a não afetar o tempo de atividade dos sistemas de produção, bem como permitem uma solução de problemas mais fácil.
6. Segurança na nuvem
Princípio: Governar a nuvem instâncias como uma extensão de tecnologias locais com igual ou maior proteções de segurança do que os próprios controles internos da organização.
Intenção: Organizações regem o uso de ambientes de nuvem privada e pública (por exemplo, IaaS, PaaS e SaaS) para gerenciar de forma holística os riscos associados ao envolvimento de terceiros e decisões arquitetônicas, bem como para garantir a portabilidade dos dados para alterar provedores de nuvem, se necessário.
7. Conformidade
Princípio: Supervisionar o execução de controles de segurança cibernética e privacidade para criar evidências apropriadas de due care e due diligence, demonstrando o cumprimento de todos os aplicáveis obrigações estatutárias, regulamentares e contratuais.
Intenção: Organizações garantir que os controles estejam em vigor para estar ciente e cumprir com os aplicáveis obrigações de conformidade estatutárias, regulamentares e contratuais, bem como padrões internos da empresa.
8. Gerenciamento de configuração
Princípio: Governar o estabelecimento e gestão contínua de configurações seguras para sistemas, aplicativos e serviços de acordo com o fornecedor recomendado e práticas seguras reconhecidas pelo setor.
Intenção: Organizações estabelecer e manter a integridade dos sistemas. Sem documentação adequada e controles de gerenciamento de configuração implementados, os recursos de segurança podem ser inadvertidamente ou deliberadamente omitido ou tornado inoperante, permitindo o processamento irregularidades a ocorrer ou a execução de código malicioso.
9. Monitoramento Contínuo
Princípio: Manter consciência situacional de eventos relacionados à segurança por meio do coleta e análise de logs de eventos de sistemas, aplicativos e serviços.
Intenção: Organizações estabelecer e manter a consciência situacional contínua em toda a empresa por meio da coleta centralizada e revisão de logs de eventos relacionados à segurança. Sem visibilidade abrangente da infraestrutura, do sistema operacional, banco de dados, aplicativo e outros logs, a organização terá “pontos cegos” em sua consciência situacional que poderia levar ao comprometimento do sistema, dados exfiltração ou indisponibilidade dos recursos computacionais necessários.
10. Proteções criptográficas
Princípio: Utilizar soluções criptográficas apropriadas e gerenciamento de chaves reconhecido pelo setor práticas para proteger a confidencialidade e a integridade dos dados sensíveis, tanto em repouso e em trânsito.
Intenção: Organizações garantir a confidencialidade dos dados da organização através da implementação tecnologias criptográficas adequadas para proteger sistemas e dados.
11. Classificação e Tratamento de Dados
Princípio: Publicar e aplicar uma metodologia de classificação de dados para determinar objetivamente o sensibilidade e criticidade de todos os dados e ativos de tecnologia para que os requisitos de manuseamento e eliminação podem
ser seguido.
Intenção: Organizações garantir que os ativos de tecnologia, tanto hardware quanto mídia, sejam devidamente classificados e que as medidas sejam implementadas para proteger os dados da organização de divulgação não autorizada, independentemente de estarem sendo transmitido ou armazenado. Legislação aplicável, regulamentar e contratual os requisitos de conformidade ditam as salvaguardas mínimas que devem estar em vigor para proteger a confidencialidade, integridade e disponibilidade de dados.
12. Tecnologia Embarcada
Princípio: Fornecer escrutínio adicional dos riscos associados à tecnologia incorporada, com base em o
danos potenciais colocados quando utilizados maliciosamente.
Intenção: Organizações especificar o desenvolvimento, a gestão proactiva e a revisão contínua da segurança tecnologias incorporadas, incluindo o endurecimento da “pilha” do hardware, para firmware, software, transmissão e protocolos de serviço utilizados para Internet de Dispositivos de Coisas (IoT) e Tecnologia Operacional (OT).
13. Segurança de Endpoint
Princípio: Ponto final de Harden dispositivos para proteger contra ameaças razoáveis a esses dispositivos e aos dados eles armazenam, transmitem e processam.
Intenção: Organizações garantir que os dispositivos de endpoint estejam adequadamente protegidos contra ameaças à segurança ao dispositivo e seus dados. Legislação aplicável, regulamentar e contratual os requisitos de conformidade ditam as salvaguardas mínimas que devem estar em vigor para proteger a confidencialidade, integridade, considerações de disponibilidade e segurança.
14. Segurança dos Recursos Humanos
Princípio: Promover um força de trabalho preocupada com a segurança e a privacidade por meio de práticas de contratação sólidas e contínuo
gestão de pessoas.
Intent: Organizations create a security and privacy-minded workforce and an environment that is conducive to innovation, considering issues such as culture, reward and collaboration.
15. Identification & Authentication
Principle: Implement an Identity and Access Management (IAM) capability to ensure the concept of “least
privilege” is consistently implemented across all systems, applications and services for individual, group and service accounts.
Intent: Organizations implement the concept of “least privilege” through limiting access to the organization’s systems and data to authorized users only.
16. Incident Response
Principle: Maintain a practiced incident response capability that trains all users on how to recognize and report
suspicious activities so that trained incident responders can take the appropriate steps to handle incidents, in accordance with an Incident Response Plan (IRP).
Intent: Organizations establish and maintain a capability to guide the organization’s response when security or privacy-related incidents occur and to train users how to detect and report potential incidents.
17. Information Assurance
Principle: Utilize an impartial assessment process to validate the existence and functionality of appropriate security and privacy controls, prior to a system, application or service being used in a production environment.
Intent: Organizations ensure the adequately of security and controls are appropriate in both development and production environments.
18. Maintenance
Principle: Utilize secure practices to maintain technology assets, according to current vendor recommendations for configurations and updates, including those supported or hosted by third-parties.
Intent: Organizations ensure that technology assets are properly maintained to ensure continued performance and effectiveness. Maintenance processes apply additional scrutiny to the security of end-of-life or unsupported assets.
19. Mobile Device Management
Principle: Govern mobile devices through a centralized or decentralized model to restrict logical and physical access to the devices, as well as the amount and type of data that can be stored, transmitted or processed.
Intent: Organizations govern risks associated with mobile devices, regardless if the device is owned by the organization, its users or trusted third-parties. Wherever possible, technologies are employed to centrally manage mobile device access and data storage practices.
20. Network Security
Principle: Architect a defense-in-depth methodology that enforces the concept of “least functionality” through restricting network access to systems, applications and services.
Intent: Organizations ensure sufficient security and privacy controls are architected to protect the confidentiality, integrity, availability and safety of the organization’s network infrastructure, as well as to provide situational awareness of activity on the organization’s networks.
21. Physical & Environmental Security
Principle: Implement layers of physical security and environmental controls that work together to protect both physical and digital assets from theft and damage.
Intent: Organizations minimize physical access to the organization’s systems and data by addressing applicable physical security controls and ensuring that appropriate environmental controls are in place and continuously monitored to ensure equipment does not fail due to environmental threats.
Principle: Implement a privacy program that ensures industry-recognized privacy practices are identified and operationalized throughout the lifecycle of systems, applications and services.
Intent: Organizations align privacy engineering decisions with the organization’s overall privacy strategy and industry-recognized leading practices to secure Personal Information (PI) that implements the concept of privacy by design and by default.
23. Project & Resource Management
Principle: Utilize a risk-based approach to prioritize the planning and resourcing of all security and privacy aspects for projects and other initiatives to alleviate foreseeable governance, risk and compliance roadblocks.
Intent: Organizations ensure that security-related projects have both resource and project/program management support to ensure successful project execution.
24. Risk Management
Principle: Govern a risk management capability that ensures risks are consistently identified, assessed, categorized and appropriately remediated.
Intent: Organizations ensure that security and privacy-related risks are visible to and understood by the business unit(s) that own the assets and / or processes involved. The security and privacy teams only advise and educate on risk management matters, while it is the business units and other key stakeholders who ultimately own the risk.
25. Secure Engineering & Architecture
Principle: Implement secure engineering and architecture processes to ensure industry-recognized secure practices are identified and operationalized throughout the lifecycle of systems, applications and services.
Intent: Organizations align cybersecurity engineering and architecture decisions with the organization’s overall technology architectural strategy and industry-recognized leading practices to secure networked environments.
26. Security Operations
Principle: Assign appropriately-qualified personnel to deliver security and privacy operations that provide reasonable protective, detective and responsive services.
Intent: Organizations ensure appropriate resources and a management structure exists to enable the service delivery of cybersecurity operations.
27. Security Awareness & Training
Principle: Develop a security and privacy-minded workforce through ongoing user education about evolving threats, compliance obligations and secure workplace practices.
Intent: Organizations develop a security and privacy-minded workforce through continuous education activities and practical exercises, in order to refine and improve on existing training.
28. Technology Development & Acquisition
Principle: Govern the development process for any acquired or developed system, application or service to ensure secure engineering principles are operationalized and functional.
Intent: Organizations ensure that security and privacy principles are implemented into any products/solutions that are either developed internally or acquired to make sure that the concepts of “least privilege” and “least functionality” are incorporated.
29. Third-Party Management
Principle: Implement ongoing third-party risk management practices to actively oversee the supply chain so that only trustworthy third-parties are used.
Intenção: Organizações garantir que os riscos de segurança e privacidade associados a terceiros sejam minimizar e permitir medidas para sustentar as operações, caso um terceiro se torne Extinta.
30. Gerenciamento de ameaças
Princípio: Identificar, avaliar e remediar ameaças relacionadas à tecnologia para ativos e negócios processos, com base em uma análise de risco completa para determinar o risco potencial representou a ameaça.
Intenção: Organizações estabelecer uma capacidade de identificar e gerenciar proativamente a tecnologia relacionada ameaças à segurança e privacidade dos sistemas, dados e processos de negócios.
31. Gerenciamento de vulnerabilidades e patches
Princípio: Utilize um abordagem baseada em risco para práticas de gerenciamento de vulnerabilidades e patches que minimiza a superfície de ataque de sistemas, aplicativos e serviços.
Intenção: Organizações gerenciar proativamente os riscos associados ao gerenciamento técnico de vulnerabilidades isso inclui garantir que boas práticas de gerenciamento de patches e alterações sejam utilizadas.
32. Segurança na Web
Princípio: Governar todos Tecnologias voltadas para a Internet para garantir esses sistemas, aplicativos e serviços são configurados e monitorados com segurança para atividades anômalas.
Intenção: Organizações abordar os riscos associados às tecnologias acessíveis à Internet através da proteção dispositivos, monitorando a integridade dos arquivos do sistema, permitindo a auditoria e o monitoramento para atividades maliciosas.