.png)
EU コンプライアンス義務を理解する
コンプライアンス、コンプライアンス、セキュリティ、セキュリティ?理論的には、私たちが関わり、協力する業界を管理する義務は、サイバーであろうとなかろうと、適用されるセキュリティの形態に関するガードレールを設置することを目的としたガイダンスを提供し、フレームワークを定義します。
これは、異なる見解、解釈の二分法、または少なくとも委任の詳細の適用に関する議論のポイントを引き起こす可能性があります。コンプライアンスを扱 わない 方法として、あるいは関連する業界や地域に適用されるさまざまな コンプライアンス義務 の実施に取り組んできた長年の専門家による、使い捨ての冗談めかしたコメントとして、コンプライアンスに言及するとき、おそらく誰もが「チェックボックス行使」という用語を聞いたことがあるでしょう。
私は、上記の経験のいくつかを通じて、またコンプライアンスの枠組みを熟考することに多大な時間を費やしてきた組織や個人と緊密に協力することで形成された個人的な見解を持っています。多くの場合、私が発見したのは、コンプライアンスの実際の適用は、より乾燥した技術的な詳細ではなく、マンデートの「精神」に基づいて取り組むことによって、より簡単に、より単純に、より複雑ではないということです。もちろん、コンプライアンスの種類によって詳細は多かれ少なかれ重要ですが、多くの場合、特定のコントロールの "意味" に到達するためにテキストに目を通すことが重要です。ルールの背後にある意図、そしてそれがセキュリティの向上または改善にとって何を意味するかは、これを処理するための私の好みの方法です。
コンプライアンスの核心は、以前のコメントを参照して、実際には、ベースラインレベルのセキュリティ、または態勢の全般的な改善と、この態勢を確実にチェックする機能を提供するために存在します。
これに対する注意点として、特定の権限が表現する具体的な詳細には違いがあります。たとえば、 PCI DSS はログ記録とファイル監視に関する具体的な詳細を提供しますが、 NIS 指令 (EU 固有のもの) は、はるかに広範なガイダンスと、国ごとのローカル レベルでのバリエーションを提供します。
同様に、監査人や監査機関の解釈に関する私の経験は、優れた監査人は技術的な詳細だけでなく意図と有効性に注目するという点で、しばしばこれに一致します。もちろん、これは(上記のように)任務がどれほど具体的であるかに直接関係しており、これは私自身の直接的な経験にすぎません。
イルミオはどこに当てはまるのかと自問するかもしれません。私たちのビジネスと上記の統治機関の共通点は、すべてが価値の高い資産とデータを保護するという共通の目標を共有しているということです。データ、サイバーセキュリティの実践、そして一部の重要なインフラストラクチャを管理するコンプライアンス義務はすべて、その中核に共通の理由を持っています。データ、またはこのデータを処理および転送するシステム(クレジットカード情報、個人を特定できる情報(PII)、支払い記録、資産データ、またはこれらの管理システムなど)を保護することは、すべてのコンプライアンス義務の中核です。とはいえ、この保護には、常に分離またはマイクロセグメンテーションの側面が関係しています。目標は、攻撃対象領域、侵害の爆発範囲を制限するか、アクセスと接続の完全な ゼロトラストモデル を採用して、重要なシステムやデータを何らかの形で優先度の低い/重要度の低い領域から遠ざけることです。
そのために、このブログシリーズでは、さまざまなコンプライアンス分野の詳細を切り抜けることに焦点を当て、批判的に、その分野の経験豊富な外部専門家による各ブログ投稿との対比を取ります。これは、私自身のコメントに色を付けるのに役立ちますが、各義務が政府または第三者レベルで解釈および監査される可能性のあるさまざまな方法についての具体的な詳細も可能になります(監査人自身からの意見を含む)。
貢献してくださった方々に前もって感謝します!
EU/欧州固有のコンプライアンス義務は、米国の義務とは大きく異なる可能性があるため、主に焦点を当てます。そのため、HIPAA、NIST、サーベンス・オクスリー法などの義務については詳しく説明しません。また、PCI DSSの側面については、ここイルミオですでに PCIコンプライアンスに関する重要な情報 を持っているため、そのままにしておきます。
これにより、このシリーズで取り上げられている分野は、いくつかの同様の統治分野にグループ化されます。
重要インフラ – NIS 指令、LPM
このブログ記事では、EU諸国に適用される比較的新しいNIS指令(ネットワークおよび情報システム指令)について説明します。これは、その広範な権限、GDPR との関係、および比較的オープンでローカルな解釈により、興味深い義務です。この投稿には、NIS 指令のよりオープンな性質についての詳細も含まれます。義務付けられた管理ではなくガイダンスであり、これは、コンプライアンスとその実装の 意図 に関するこの記事の前のポイントに結びついています。
また、NIS指令の創設に関連し、影響を与えているのは、フランスの重要情報インフラ保護法(LPM)であり、いくつかの興味深い管理を備えた、より成熟した重要インフラ固有の義務です。
ファイナンス/ペイメント – SWIFT、ECB SIPS
ここでは、財務上の義務、イルミオのプラットフォームが保護に使用された最初のものの1つであるSWIFT、およびEU固有のECB SIPS(欧州中央銀行–体系的に重要な決済システム)のコンプライアンスガイダンスについて説明します。
データ処理 – ISO 27001、GDPR
この投稿では、データのガバナンスと制御、PIIの保護、ホスティングシステムについて説明します。これは、幅広い潜在的な意味と解釈を持つ別の分野です。たとえば、GDPRは、より具体的なサイバーセキュリティ標準と接線的に結びついていると同時に、NIS指令とも密接に結びついています。
コンプライアンスの専門家からの洞察と専門知識を共有し、イルミオがあらゆる組織のコンプライアンス目標の達成にどのように役立つかを説明することを楽しみにしています。
.webp)
