EU コンプライアンス義務の理解
コンプライアンス、コンプライアンス、セキュリティ、セキュア?理論的には、私たちが働き、関わっている業界を統制する規制は、サイバーセキュリティか否かを問わず、適用可能なセキュリティの形態を中心にガードレールを設けることを目的とした指針となり、フレームワークを定義します。
これにより、見解の相違や解釈に関する二分法化、あるいは少なくとも任務の詳細の適用に関する議論のポイントが生じる可能性があります。おそらく誰もがコンプライアンスという言葉を聞いたことがあるでしょう。どちらかというと、方法として「チェックボックス・エクササイズ」という言葉を聞いたことがあるでしょう。 じゃない それを扱うために、あるいはさまざまなことを実行するために長年苦しんできた専門家による使い捨てのほっそりしたコメントとして コンプライアンス義務 該当する業界または地域に適用されます。
私の個人的な見解は、上記の経験のいくつかと、コンプライアンスの枠組みをじっくり調べるのにかなりの時間を費やしてきた組織や個人と緊密に協力してきたことから形作られました。私がよく気付くのは、単純な技術的な詳細ではなく、義務の「精神」に従って作業することで、コンプライアンスの実際的な適用がより簡単に、より簡単に、よりシンプルになり、複雑さも軽減されるということです。もちろん、詳細はコンプライアンスの種類によって多かれ少なかれ重要ですが、多くの場合、特定の統制の「意味」を理解するために、テキストに目を通してみることが重要です。 ルールの背後にある意図と、それがセキュリティの強化または改善にどのような意味を持つのかが、私が好む対処方法です。
コンプライアンスの核となるのは、先ほどのコメントにもあるように、基本レベルのセキュリティ、つまりポスチャの全般的な改善、そしてこのポスチャを確実にチェックできるようにするためのものです。
注意点として、与えられた委任状が表す具体的な詳細には違いがあります。たとえば、 ピクシードレス には、ロギングとファイル監視に関する具体的な詳細が記載されていますが、 NIS 指令 (これはEU固有)は、はるかに幅広いガイダンスを提供し、地域や国ごとのバリエーションも広がっています。
同様に、監査人または監査機関の解釈に関する私の経験は、しばしばこれと一致します。優れた監査人は、技術的な詳細だけでなく、意図と有効性を重視するからです。もちろん、これは(上記の)権限がどれほど具体的であるかに直接関係しており、これは私自身の直接の経験に過ぎません。
イルミオはどこに当てはまるのかと自問しているかもしれません。私たちの事業と上記の統治機関との共通点は、価値の高い資産とデータを保護するという共通の目標を全員が共有しているということです。データやサイバーセキュリティ慣行を管理するコンプライアンス義務はどれも、一部の重要なインフラストラクチャでは、その中心に共通の理由があります。クレジットカード情報、個人を特定できる情報(PII)、支払い記録、資産データ、またはこれらやその他のデータを管理するシステムなど、データ、またはデータを処理および転送するシステムを保護することは、すべてのコンプライアンス義務の中核です。とはいえ、この保護には常に分離またはマイクロセグメンテーションという側面が伴います。目標は、攻撃対象領域や妥協による攻撃範囲を制限すること、または完全に保護することです。 ゼロトラストモデル 重要なシステムやデータを優先度の低い領域や重要度の低い領域から何らかの形で遠ざけるためのアクセスと接続性の確保
そのために、このブログシリーズでは、さまざまなコンプライアンス分野の詳細を掘り下げることに焦点を当てます。重要なのは、その分野の経験豊富な外部専門家による各ブログ投稿に対する対位論です。これは私自身の論評に色を付けるのに役立ちますが、政府または第三者レベルでの各義務の解釈と監査の異なる方法について、ある程度具体的に詳しく説明することもできます(監査人自身からの意見を含む)。
貢献してくれた人たちに前もって感謝します!
米国とは大きく異なる可能性があるため、主にEU/欧州固有のコンプライアンス義務に焦点を当てます。そのため、HIPAA、NIST、サーベンス・オクスリー法などの義務については詳しく説明しません。PCI DSS の側面についても、これまでと同じように、そのままにしておきます。 PCI コンプライアンスに関する重要な情報 もうここイルミオで。
以上で、このシリーズで取り上げる領域は、いくつかの類似した管理分野にグループ化されます。
重要インフラストラクチャ — NIS 指令、LPM
このブログ記事では、EU諸国に適用される比較的新しいNIS指令(ネットワークおよび情報システム指令)について説明します。権限範囲が広く、GDPR との関係が広く、比較的オープンでローカルな解釈がされていることから、この指令は興味深いものです。この投稿には、NIS指令のよりオープンな性質、つまり強制的な統制ではなくガイダンスについての詳細も記載します。これは、この記事の前半のポイントと結びついています。 意図 コンプライアンスとその実施について
また、フランスの重要情報インフラ保護法(LPM)も関連しており、NIS指令の作成にも役立っています。これは、重要なインフラストラクチャに特化したより成熟した法律で、いくつかの興味深い規制があります。
ファイナンス/決済 — スイフト、ECB SIPS
ここでは、財務上の義務、Illumioプラットフォームが最初に保護に使用したSWIFT、およびEU固有のECB SIPS(欧州中央銀行 — 体系的に重要な決済システム)のコンプライアンスガイダンスについて説明します。
データハンドリング — ISO 27001、GDPR
この投稿では、データのガバナンスと制御、PIIとホスティングシステムの保護について説明します。これもまた、考えられる影響や解釈の幅が広い分野です。例えば、GDPR は NIS 指令と密接に結びついている一方で、より具体的なサイバーセキュリティ基準と密接に結びついています。
コンプライアンスの専門家からの洞察と専門知識を共有し、イルミオがいかにしてあらゆる組織のコンプライアンス目標の達成を支援できるかを説明できることを楽しみにしています。