Quartz 🪬

Security Standards, Regulations and Frameworks

3 min read

Standards

Payment Card Industry Data Security Standard (PCI DSS)

Là một standard được phát triển bởi các công ty thẻ tín dụng hoặc các thương nhân mà chịu trách nhiệm quản lý dữ liệu thẻ tín dụng.

PCI DSS 2021 liệt kê một số trách nhiệm dành cho các thương nhân:

  • Xây dựng và bảo trì một hệ thống mạng bảo mật.
  • Bảo vệ thông tin của chủ thẻ.
  • Duy trì một chương trình quản lý các lỗ hổng.
  • Cài đặt các biện pháp kiểm soát truy cập (Database Access Control) mạnh mẽ.
  • Thường xuyên theo dõi và kiểm thử các hệ thống mạng.
  • Duy trì các chính sách bảo mật thông tin.

Regulations

Regulation, là một tập các tiêu chuẩn, có thể xem như là sự kết hợp của những yêu cầu và hướng dẫn mà một tổ chức cần phải tuân thủ nhằm bảo vệ các thông tin nhạy cảm và ngăn chặn các cuộc tấn công mạng.

The Computer Fraud and Abuse Act (CFAA)

Viết tắt là CFAA, là một bộ luật của Mỹ được sử dụng để truy tố các cyber crime, bao gồm các loại sau:

  • Thâm nhập trái phép vào các hệ thống máy tính và hệ thống mạng.
  • Tấn công bằng malware.
  • Đánh cắp dữ liệu và các bí mật trao đổi.
  • Tấn công từ chối dịch vụ (DoS)

Regulations For Organizations

Các tổ chức cần phải thi hành các regulation nhằm đảm bảo nền tảng của họ bảo mật nhất có thể. Chúng ta có thể đang hưởng lợi từ các quy định này mà không hay biết.

Frameworks

The NIST Framework

Là một framework tối ưu được phát triển bởi NIST giúp bảo vệ các cơ sở hạ tầng thiết yếu khỏi các cyber threat.

NIST framework bao gồm năm thành phần cơ bản:

  • Identify: nhận diện và hiểu các mối đe dọa và rủi ro mà một tổ chức có thể đối mặt.
  • Protect: bảo vệ các tài sản (assets) của một tổ chức khỏi các mối đe dọa và rủi ro đó.
  • Detect: phát hiện ra các sự cố, chẳng hạn như các cuộc tấn công mạng.
  • Respond: phản hồi lại các sự cố, ngăn chạn các thiệt hại trong tương lai.
  • Recover: phục hồi sau khi sự cố xảy ra, tìm cách ngăn chặn sự tái diễn của sự cố và dọn dẹp các thiệt hại đã xảy ra.

Framework này không phải là giải pháp chung cho tất cả mọi vấn đề của cybersecurity. Thay vào đó, nó là một nền tảng chung để các tổ chức có thể chỉnh sửa tùy theo nhu cầu và các mối đe dọa.

Resources

Backlinks