Compliance Manager-Frameworks

Dieses Dokument enthält Referenzinhalte für die integrierten Cloud-Frameworks, die in Compliance Manager enthalten sind.

Google Recommended AI Essentials - Vertex AI

Unterstützter Cloud-Anbieter: Google Cloud

Dieses Framework enthält von Google empfohlene Best Practices für die Sicherheit von Vertex AI-Arbeitslasten und bietet eine präskriptive Sammlung wichtiger präventiver und detektiver Richtlinien. Nach der Aktivierung von AI Protection im Security Command Center wird automatisch eine detaillierte Sicherheits-Compliance-Bewertung anhand dieses Frameworks im AI Security-Dashboard angezeigt.

Dieser Rahmenplan umfasst die folgenden Cloud-Kontrollen:

CIS GKE 1.7

Unterstützter Cloud-Anbieter: Google Cloud

Die CIS-GKE-Benchmark ist eine Reihe von Sicherheitsempfehlungen und Best Practices, die speziell auf Google Kubernetes Engine-Cluster (GKE) zugeschnitten sind. Die Benchmark zielt darauf ab, den Sicherheitsstatus von GKE-Umgebungen zu verbessern.

Dieser Rahmenplan umfasst die folgenden Cloud-Kontrollen:

CIS Critical Security Controls v8

Unterstützter Cloud-Anbieter: Google Cloud

Eine priorisierte Reihe von Sicherheitsmaßnahmen zum Schutz vor häufigen Cyberbedrohungen. Es bietet einen praktischen Ansatz für die Cyberabwehr, der in Implementierungsgruppen (IG1, IG2, IG3) unterteilt ist, um Organisationen mit unterschiedlichem Reifegrad gerecht zu werden.

Dieser Rahmenplan umfasst die Cloud-Kontrollgruppen und Cloud-Kontrollen in den folgenden Abschnitten.

cis-controls-1-1

Erstellen und pflegen Sie ein genaues, detailliertes und aktuelles Inventar aller Unternehmensressourcen, die Daten speichern oder verarbeiten können, einschließlich: Endnutzergeräte (einschließlich tragbarer und mobiler Geräte), Netzwerkgeräte, Nicht-Computing-/IoT-Geräte und Server. Im Inventar müssen für jedes Asset die Netzwerkadresse (falls statisch), die Hardwareadresse, der Maschinenname, der Eigentümer des Unternehmens-Assets, die Abteilung und die Information, ob das Asset für die Verbindung mit dem Netzwerk genehmigt wurde, aufgeführt sein. Bei mobilen Endnutzergeräten können MDM-Tools diesen Prozess gegebenenfalls unterstützen. Dieser Bestand umfasst Assets, die physisch, virtuell oder per Fernzugriff mit der Infrastruktur verbunden sind, sowie Assets in Cloud-Umgebungen. Außerdem umfasst es Assets, die regelmäßig mit der Netzwerkinfrastruktur des Unternehmens verbunden sind, auch wenn sie nicht unter der Kontrolle des Unternehmens stehen. Überprüfen und aktualisieren Sie das Inventar aller Unternehmens-Assets halbjährlich oder häufiger.

cis-controls-10-2

Konfigurieren Sie automatische Updates für Anti-Malware-Signaturdateien auf allen Unternehmens-Assets.

cis-controls-10-3

Deaktivieren Sie die Funktionen zum automatischen Ausführen von Autorun und Autoplay für Wechselmedien.

cis-controls-10-6

Anti-Malware-Software zentral verwalten

cis-controls-11-1

Ein dokumentierter Datenwiederherstellungsprozess mit detaillierten Sicherungsverfahren wird eingerichtet und aufrechterhalten. Gehen Sie dabei auf den Umfang der Datenwiederherstellungsaktivitäten, die Priorisierung der Wiederherstellung und die Sicherheit der Sicherungsdaten ein. Dokumentation jährlich oder bei wesentlichen Unternehmensänderungen, die sich auf diese Sicherheitsmaßnahme auswirken könnten, überprüfen und aktualisieren.

cis-controls-11-2

Automatisierte Sicherungen von Assets des Unternehmens durchführen, die in den Anwendungsbereich fallen. Führen Sie je nach Sensibilität der Daten wöchentliche oder häufigere Sicherungen durch.

cis-controls-11-3

Schützen Sie Daten zur Kontowiederherstellung mit denselben Kontrollen wie die Originaldaten. Verweisen Sie je nach Bedarf auf die Verschlüsselung oder Datentrennung.

cis-controls-11-4

Eine isolierte Instanz von Wiederherstellungsdaten einrichten und verwalten. Beispielimplementierungen sind die Versionskontrolle von Sicherungszielen über Offline-, Cloud- oder Offsite-Systeme oder -Dienste.

cis-controls-11-5

Testen Sie die Sicherungswiederherstellung vierteljährlich oder häufiger für eine Stichprobe der Enterprise-Assets, die in den Geltungsbereich fallen.

cis-controls-12-2

Entwerfen und verwalten Sie eine sichere Netzwerkarchitektur. Eine sichere Netzwerkarchitektur muss mindestens die Bereiche Segmentierung, geringste Berechtigung und Verfügbarkeit abdecken. Beispielimplementierungen können Dokumentations-, Richtlinien- und Designkomponenten enthalten.

cis-controls-12-3

Netzwerkinfrastruktur sicher verwalten Beispielimplementierungen sind die versionskontrollierte Infrastructure-as-Code (IaC) und die Verwendung sicherer Netzwerkprotokolle wie SSH und HTTPS.

cis-controls-12-5

Zentralisieren Sie die Netzwerk-AAA.

cis-controls-12-6

Sichere Netzwerkverwaltungsprotokolle verwenden (z.B. 802.1X) und sichere Kommunikationsprotokolle (z.B. Wi‑Fi Protected Access 2 (WPA2) Enterprise oder sicherere Alternativen).

cis-controls-12-7

Nutzer müssen sich bei unternehmensverwalteten VPN- und Authentifizierungsdiensten authentifizieren, bevor sie auf Endnutzergeräten auf Unternehmensressourcen zugreifen können.

cis-controls-13-1

Zentralisieren Sie die Benachrichtigungen zu Sicherheitsereignissen für alle Unternehmensressourcen, um Logs zu korrelieren und zu analysieren. Für die Implementierung von Best Practices ist ein SIEM erforderlich, das vom Anbieter definierte Warnungen zur Ereigniskorrelation enthält. Eine Log-Analyseplattform, die mit sicherheitsrelevanten Korrelationsbenachrichtigungen konfiguriert ist, erfüllt ebenfalls diese Schutzmaßnahme.

cis-controls-13-2

Stellen Sie bei Bedarf und/oder sofern unterstützt eine hostbasierte Lösung zur Erkennung von Eindringlingen auf Unternehmens-Assets bereit.

cis-controls-13-3

Stellen Sie gegebenenfalls eine Lösung zur Erkennung von Netzwerkangriffen auf Unternehmensassets bereit. Beispielimplementierungen sind die Verwendung eines Network Intrusion Detection System (NIDS) oder eines entsprechenden CSP-Dienstes (Cloud Service Provider).

cis-controls-13-4

Filtern Sie den Traffic zwischen Netzwerksegmenten, sofern erforderlich.

cis-controls-13-5

Verwalten Sie die Zugriffssteuerung für Geräte, die eine Remote-Verbindung zu Unternehmensressourcen herstellen. Legen Sie den Umfang des Zugriffs auf Unternehmensressourcen anhand der folgenden Kriterien fest: aktuelle Anti-Malware-Software installiert, Konfiguration entspricht dem sicheren Konfigurationsprozess des Unternehmens und Betriebssystem und Anwendungen sind auf dem neuesten Stand.

cis-controls-13-6

Erfassen Sie Fluss-Logs für den Netzwerkverkehr und/oder Netzwerkverkehr von Netzwerkgeräten, um sie zu prüfen und Warnungen zu generieren.

cis-controls-13-7

Stellen Sie bei Bedarf und/oder sofern unterstützt eine hostbasierte Lösung zur Intrusion Prevention auf Unternehmensassets bereit. Beispielimplementierungen sind die Verwendung eines EDR-Clients (Endpoint Detection and Response) oder eines hostbasierten IPS-Agents.

cis-controls-13-8

Stellen Sie gegebenenfalls eine Lösung zur Abwehr von Netzwerkangriffen bereit. Beispielimplementierungen umfassen die Verwendung eines Network Intrusion Prevention System (NIPS) oder eines gleichwertigen CSP-Dienstes.

cis-controls-13-9

Zugriffssteuerung auf Portebene bereitstellen. Die Zugriffssteuerung auf Portebene nutzt 802.1x oder ähnliche Protokolle zur Netzwerkzugriffssteuerung wie Zertifikate und kann die Nutzer- und/oder Geräteauthentifizierung umfassen.

cis-controls-14-1

Ein Programm zur Sensibilisierung für Sicherheitsfragen einrichten und verwalten Ziel eines Programms zur Sensibilisierung für Sicherheit ist es, die Mitarbeiter des Unternehmens darüber aufzuklären, wie sie sicher mit Unternehmensressourcen und -daten umgehen. Führen Sie Schulungen bei der Einstellung und mindestens einmal jährlich durch. Überprüfen und aktualisieren Sie die Inhalte jährlich oder wenn wichtige Änderungen im Unternehmen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

cis-controls-14-3

Mitarbeiter zu Best Practices für die Authentifizierung schulen. Beispiele für Themen sind MFA, Passwortzusammensetzung und Anmeldedatenverwaltung.

cis-controls-14-5

Schulen Sie Ihre Mitarbeiter, damit sie sich der Ursachen für unbeabsichtigte Datenoffenlegung bewusst sind. Beispiele hierfür sind die falsche Zustellung sensibler Daten, der Verlust eines tragbaren Endnutzergeräts oder die Veröffentlichung von Daten für nicht vorgesehene Zielgruppen.

cis-controls-16-1

Einen sicheren Prozess für die Anwendungsentwicklung einrichten und aufrechterhalten. Dabei sollten Sie auf Aspekte wie sichere Anwendungsdesignstandards, sichere Programmierpraktiken, Entwicklerschulungen, das Management von Sicherheitslücken, die Sicherheit von Drittanbietercode und Verfahren zum Testen der Anwendungssicherheit eingehen. Dokumentation jährlich oder bei wesentlichen Unternehmensänderungen, die sich auf diese Sicherheitsmaßnahme auswirken könnten, überprüfen und aktualisieren.

cis-controls-16-11

Verwenden Sie geprüfte Module oder Dienste für Anwendungssicherheitskomponenten wie Identitätsverwaltung, Verschlüsselung, Auditing und Logging. Die Verwendung von Plattformfunktionen in kritischen Sicherheitsfunktionen reduziert den Arbeitsaufwand für Entwickler und minimiert die Wahrscheinlichkeit von Design- oder Implementierungsfehlern. Moderne Betriebssysteme bieten effektive Mechanismen zur Identifizierung, Authentifizierung und Autorisierung und stellen diese Mechanismen Anwendungen zur Verfügung. Verwenden Sie nur standardisierte, derzeit akzeptierte und umfassend geprüfte Verschlüsselungsalgorithmen. Betriebssysteme bieten auch Mechanismen zum Erstellen und Verwalten sicherer Audit-Logs.

cis-controls-16-12

Wenden Sie Tools für die statische und dynamische Analyse im Anwendungslebenszyklus an, um zu prüfen, ob sichere Programmierpraktiken eingehalten werden.

cis-controls-16-13

Penetrationstests für Anwendungen durchführen Für kritische Anwendungen ist der authentifizierte Penetrationstest besser geeignet, um Sicherheitslücken in der Geschäftslogik zu finden, als das Scannen von Code und automatisierte Sicherheitstests. Beim Penetrationstest wird eine Anwendung manuell als authentifizierter und nicht authentifizierter Nutzer manipuliert. 

cis-controls-16-2

Einrichtung und Aufrechterhaltung eines Prozesses zur Annahme und Bearbeitung von Berichten über Software-Sicherheitslücken, einschließlich der Bereitstellung einer Möglichkeit für externe Stellen, Berichte einzureichen. Der Prozess umfasst unter anderem Folgendes: eine Richtlinie zum Umgang mit Sicherheitslücken, in der der Meldeprozess, die für die Bearbeitung von Sicherheitslückenberichten verantwortliche Partei und ein Prozess für die Aufnahme, Zuweisung, Behebung und Behebungstests festgelegt sind. Verwenden Sie im Rahmen des Prozesses ein System zur Nachverfolgung von Sicherheitslücken, das Schweregradbewertungen und Messwerte zur Messung des Zeitpunkts für die Identifizierung, Analyse und Behebung von Sicherheitslücken enthält. Dokumentation jährlich oder bei wesentlichen Unternehmensänderungen, die sich auf diese Schutzmaßnahme auswirken könnten, überprüfen und aktualisieren. Drittanbieter-App-Entwickler müssen diese Richtlinie als extern ausgerichtete Richtlinie betrachten, die dazu beiträgt, Erwartungen für externe Stakeholder zu formulieren.

cis-controls-16-3

Ursachenanalyse von Sicherheitslücken durchführen Bei der Überprüfung von Sicherheitslücken geht es bei der Ursachenanalyse darum, zugrunde liegende Probleme zu bewerten, die Sicherheitslücken im Code verursachen. So können Entwicklungsteams mehr tun, als nur einzelne Sicherheitslücken zu beheben, wenn sie auftreten.

cis-controls-16-7

Verwenden Sie Standardvorlagen für die Härtungskonfiguration, die in der Branche empfohlen werden, für Komponenten der Anwendungsinfrastruktur. Dazu gehören zugrunde liegende Server, Datenbanken und Webserver. Dies gilt für Cloud-Container, Platform as a Service (PaaS)-Komponenten und SaaS-Komponenten. Selbst entwickelte Software darf die Konfigurationshärtung nicht schwächen.

cis-controls-17-2

Kontaktdaten für Parteien einrichten und pflegen, die über Sicherheitsvorfälle informiert werden müssen. Zu den Kontakten können interne Mitarbeiter, Dienstleister, Strafverfolgungsbehörden, Anbieter von Cyberversicherungen, zuständige Regierungsbehörden, Partner des Information Sharing and Analysis Center (ISAC) oder andere Stakeholder gehören. Überprüfen Sie Kontakte jährlich, um sicherzustellen, dass die Informationen auf dem neuesten Stand sind.

cis-controls-17-4

Richten Sie einen dokumentierten Prozess für die Reaktion auf Vorfälle ein und pflegen Sie ihn. Dieser Prozess muss Rollen und Verantwortlichkeiten, Compliance-Anforderungen und einen Kommunikationsplan umfassen. Jährlich oder bei wesentlichen Änderungen im Unternehmen, die sich auf diese Schutzmaßnahme auswirken könnten, überprüfen.

cis-controls-17-9

Sicherheitsvorfallschwellen festlegen und aufrechterhalten, einschließlich der Unterscheidung zwischen einem Vorfall und einem Ereignis. Beispiele sind: ungewöhnliche Aktivitäten, Sicherheitslücke, Sicherheitsschwäche, Datenpannen, Datenschutzvorfall usw. Überprüfen Sie die Maßnahme jährlich oder wenn wesentliche Änderungen im Unternehmen auftreten, die sich auf diese Maßnahme auswirken könnten.

cis-controls-18-1

Ein Penetrationstestprogramm einrichten und aufrechterhalten, das der Größe, Komplexität, Branche und Reife des Unternehmens angemessen ist. Zu den Merkmalen eines Penetrationstests gehören der Umfang, z. B. Netzwerk, Webanwendung, API (Application Programming Interface), gehostete Dienste und physische Kontrollen; die Häufigkeit; Einschränkungen, z. B. zulässige Zeiten und ausgeschlossene Angriffstypen; Kontaktinformationen; die Fehlerbehebung, z. B. wie Ergebnisse intern weitergeleitet werden; und retrospektive Anforderungen.

cis-controls-18-2

Führen Sie mindestens einmal jährlich externe Penetrationstests gemäß den Programmanforderungen durch. Externe Penetrationstests müssen die Aufklärung von Unternehmen und Umgebungen umfassen, um ausnutzbare Informationen zu erkennen. Für Penetrationstests sind spezielle Fähigkeiten und Erfahrungen erforderlich. Sie müssen von einer qualifizierten Partei durchgeführt werden. Die Tests können in einem durchsichtigen oder undurchsichtigen Behälter durchgeführt werden.

cis-controls-18-5

Führen Sie regelmäßig interne Penetrationstests durch, die mindestens jährlich erfolgen müssen und auf den Programmanforderungen basieren. Die Tests können in einem durchsichtigen oder undurchsichtigen Behälter durchgeführt werden.

cis-controls-2-7

Verwenden Sie technische Kontrollen wie digitale Signaturen und Versionsverwaltung, um sicherzustellen, dass nur autorisierte Skripts wie bestimmte .ps1- und .py-Dateien ausgeführt werden dürfen. Ausführung nicht autorisierter Skripts blockieren Mindestens zweimal pro Jahr oder häufiger neu bewerten.

cis-controls-3-1

Einrichtung und Aufrechterhaltung eines dokumentierten Datenverwaltungsprozesses. Berücksichtigen Sie dabei die Datensensibilität, den Dateninhaber, die Datenverarbeitung, die Grenzwerte für die Datenaufbewahrung und die Anforderungen an die Datenentsorgung auf der Grundlage der Sensibilitäts- und Aufbewahrungsstandards für das Unternehmen. Dokumentation jährlich oder bei wesentlichen Unternehmensänderungen, die sich auf diese Sicherheitsmaßnahme auswirken könnten, überprüfen und aktualisieren.

cis-controls-3-11

Verschlüsseln Sie sensible inaktive Daten auf Servern, in Anwendungen und in Datenbanken. Die Verschlüsselung der Speicherebene, auch als serverseitige Verschlüsselung bezeichnet, erfüllt die Mindestanforderung dieser Schutzmaßnahme. Zusätzliche Verschlüsselungsmethoden können die Verschlüsselung auf Anwendungsebene umfassen, auch als clientseitige Verschlüsselung bezeichnet, bei der der Zugriff auf die Datenspeichergeräte keinen Zugriff auf die Klartextdaten ermöglicht.

cis-controls-3-14

Protokollieren Sie den Zugriff auf sensible Daten, einschließlich Änderungen und Löschungen.

cis-controls-3-2

Erstellen und Pflegen eines Dateninventars auf Grundlage des Datenverwaltungsprozesses des Unternehmens. Erstellen Sie mindestens ein Inventar sensibler Daten. Überprüfen und aktualisieren Sie das Inventar mindestens einmal jährlich. Priorisieren Sie dabei vertrauliche Daten.

cis-controls-3-3

Konfigurieren Sie Datenzugriffssteuerungslisten basierend auf dem Informationsbedarf eines Nutzers. Wenden Sie Datenzugriffssteuerungslisten, auch bekannt als Zugriffsberechtigungen, auf lokale und Remote-Dateisysteme, Datenbanken und Anwendungen an.

cis-controls-3-4

Daten gemäß dem dokumentierten Datenverwaltungsprozess des Unternehmens aufbewahren. Die Datenaufbewahrung muss sowohl Mindest- als auch Höchstzeiträume umfassen.

cis-controls-3-5

Daten gemäß dem dokumentierten Datenverwaltungsprozess des Unternehmens sicher entsorgen. Das Verfahren und die Methode für die Entsorgung müssen der Vertraulichkeit der Daten angemessen sein.

cis-controls-3-6

Verschlüsseln Sie Daten auf Endnutzergeräten, die vertrauliche Daten enthalten. Beispielimplementierungen: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.

cis-controls-3-7

Ein allgemeines Datenklassifizierungsschema für das Unternehmen erstellen und verwalten. Unternehmen können Labels wie „Vertraulich“, „Sensibel“ und „Öffentlich“ verwenden und ihre Daten entsprechend klassifizieren. Überprüfen und aktualisieren Sie das Klassifizierungsschema jährlich oder wenn sich im Unternehmen wesentliche Änderungen ergeben, die sich auf diese Schutzmaßnahme auswirken könnten.

cis-controls-3-8

Dokumentdatenflüsse. Die Dokumentation des Datenflusses umfasst die Datenflüsse des Dienstanbieters und sollte auf dem Datenverwaltungsprozess des Unternehmens basieren. Dokumentation jährlich oder bei wesentlichen Unternehmensänderungen, die sich auf diese Sicherheitsmaßnahme auswirken könnten, überprüfen und aktualisieren.

cis-controls-3-9

Verschlüsseln Sie Daten auf Wechselmedien.

cis-controls-4-1

Ein dokumentierter Prozess für die sichere Konfiguration von Unternehmensressourcen (Endnutzergeräte, einschließlich tragbarer und mobiler Geräte, Nicht-Computing-/IoT-Geräte und Server) und Software (Betriebssysteme und Anwendungen) muss eingerichtet und aufrechterhalten werden. Dokumentation jährlich oder bei wesentlichen Unternehmensänderungen, die sich auf diese Sicherheitsmaßnahme auswirken könnten, überprüfen und aktualisieren.

cis-controls-4-2

Einen dokumentierten Prozess für die sichere Konfiguration von Netzwerkgeräten einrichten und aufrechterhalten. Dokumentation jährlich oder bei wesentlichen Unternehmensänderungen, die sich auf diese Sicherheitsmaßnahme auswirken könnten, überprüfen und aktualisieren.

cis-controls-4-3

Konfigurieren Sie die automatische Sitzungssperrung für Unternehmensassets nach einem bestimmten Zeitraum der Inaktivität. Bei Allzweckbetriebssystemen darf der Zeitraum 15 Minuten nicht überschreiten. Bei mobilen Endnutzergeräten darf der Zeitraum nicht länger als 2 Minuten sein.

cis-controls-4-4

Implementieren und verwalten Sie eine Firewall auf Servern, sofern dies unterstützt wird. Beispielimplementierungen sind eine virtuelle Firewall, eine Betriebssystem-Firewall oder ein Firewall-Agent eines Drittanbieters.

cis-controls-4-5

Implementieren und verwalten Sie eine hostbasierte Firewall oder ein Portfiltertool auf Endnutzergeräten mit einer Standardablehnungsregel, die den gesamten Traffic mit Ausnahme der Dienste und Ports, die explizit zugelassen sind, ablehnt.

cis-controls-4-6

Unternehmensassets und ‑software sicher verwalten. Beispielimplementierungen umfassen die Verwaltung der Konfiguration über die versionskontrollierte Infrastructure-as-Code (IaC) und den Zugriff auf administrative Schnittstellen über sichere Netzwerkprotokolle wie Secure Shell (SSH) und Hypertext Transfer Protocol Secure (HTTPS). Verwenden Sie keine unsicheren Verwaltungsprotokolle wie Telnet (Teletype Network) und HTTP, es sei denn, sie sind betrieblich unbedingt erforderlich.

cis-controls-4-7

Standardkonten für Unternehmensressourcen und ‑software verwalten, z. B. Root-, Administrator- und andere vorkonfigurierte Anbieterkonten. Beispielimplementierungen: Deaktivieren oder Unbrauchbarmachen von Standardkonten.

cis-controls-4-8

Deinstallieren oder deaktivieren Sie unnötige Dienste auf Unternehmensressourcen und in Unternehmenssoftware, z. B. einen nicht verwendeten Dienst zum Teilen von Dateien, ein Webanwendungsmodul oder eine Dienstfunktion.

cis-controls-5-1

Erstellen und pflegen Sie ein Inventar aller in der Organisation verwalteten Konten. Das Inventar muss mindestens Nutzer-, Administrator- und Dienstkonten enthalten. Das Inventar sollte mindestens den Namen der Person, den Nutzernamen, das Start- und Enddatum sowie die Abteilung enthalten. Prüfen Sie, ob alle aktiven Konten autorisiert sind, mindestens vierteljährlich oder häufiger.

cis-controls-5-2

Verwenden Sie für alle Unternehmens-Assets eindeutige Passwörter. Die Implementierung von Best Practices umfasst mindestens ein 8‑stelliges Passwort für Konten, die die Multi-Faktor-Authentifizierung (MFA) verwenden, und ein 14‑stelliges Passwort für Konten, die keine MFA verwenden. 

cis-controls-5-4

Administratorberechtigungen auf dedizierte Administratorkonten für Unternehmensressourcen beschränken Führen Sie allgemeine Computeraktivitäten wie Internetbrowsing, E‑Mail und die Nutzung von Produktivitätssuiten über das primäre Konto des Nutzers ohne Administratorrechte aus.

cis-controls-5-5

Erstellen und pflegen Sie ein Inventar von Dienstkonten. Das Inventar muss mindestens den Abteilungsleiter, das Überprüfungsdatum und den Zweck enthalten. Führen Sie regelmäßig, mindestens vierteljährlich oder häufiger, Überprüfungen von Dienstkonten durch, um zu bestätigen, dass alle aktiven Konten autorisiert sind.

cis-controls-5-6

Zentrale Kontoverwaltung über ein Verzeichnis oder einen Identitätsdienst

cis-controls-6-1

Richten Sie einen dokumentierten Prozess ein und befolgen Sie ihn, vorzugsweise automatisiert, um den Zugriff auf Unternehmensressourcen bei der Einstellung neuer Mitarbeiter oder bei einem Rollenwechsel eines Nutzers zu gewähren.

cis-controls-6-2

Richten Sie einen Prozess ein und halten Sie sich daran, um den Zugriff auf Unternehmensressourcen zu widerrufen. Dies sollte vorzugsweise automatisiert erfolgen, indem Konten sofort nach Beendigung des Arbeitsverhältnisses, Widerruf von Berechtigungen oder Änderung der Rolle eines Nutzers deaktiviert werden. Möglicherweise ist es erforderlich, Konten zu deaktivieren, anstatt sie zu löschen, um Prüfpfade beizubehalten.

cis-controls-6-3

Für alle extern zugänglichen Unternehmens- oder Drittanbieteranwendungen, die MFA unterstützen, muss MFA erzwungen werden. Die Erzwingung der MFA über einen Verzeichnisdienst oder SSO-Anbieter ist eine zufriedenstellende Implementierung dieser Schutzmaßnahme.

cis-controls-6-5

MFA für alle Konten mit Administratorzugriff, sofern unterstützt, für alle Unternehmensressourcen erforderlich machen, unabhängig davon, ob sie vor Ort oder über einen Dienstanbieter verwaltet werden.

cis-controls-6-6

Erstellen und pflegen Sie ein Inventar der Authentifizierungs- und Autorisierungssysteme des Unternehmens, einschließlich der Systeme, die vor Ort oder bei einem Remote-Dienstanbieter gehostet werden. Prüfen und aktualisieren Sie das Inventar mindestens einmal jährlich oder häufiger.

cis-controls-6-7

Zentralisieren Sie die Zugriffssteuerung für alle Unternehmensassets über einen Verzeichnisdienst oder SSO-Anbieter, sofern dies unterstützt wird.

cis-controls-6-8

Definieren und pflegen Sie die rollenbasierte Zugriffssteuerung, indem Sie die für jede Rolle im Unternehmen erforderlichen Zugriffsrechte ermitteln und dokumentieren, damit die zugewiesenen Aufgaben erfolgreich ausgeführt werden können. Führen Sie regelmäßig, mindestens jährlich oder häufiger, Zugriffssteuerungsüberprüfungen von Unternehmens-Assets durch, um zu bestätigen, dass alle Berechtigungen autorisiert sind.

cis-controls-7-2

Entwickeln und pflegen Sie eine risikobasierte Strategie zur Behebung von Sicherheitslücken, die in einem Prozess zur Behebung von Sicherheitslücken dokumentiert ist und monatlich oder häufiger überprüft wird.

cis-controls-7-7

Erkannte Sicherheitslücken in Software werden monatlich oder häufiger durch Prozesse und Tools behoben, je nach Behebungsprozess.

cis-controls-8-1

Ein dokumentierter Prozess für die Verwaltung von Audit-Logs muss eingerichtet und aufrechterhalten werden, der die Protokollierungsanforderungen des Unternehmens definiert. Gehen Sie mindestens auf die Erfassung, Überprüfung und Aufbewahrung von Audit-Logs für Unternehmensressourcen ein. Dokumentation jährlich oder bei wesentlichen Unternehmensänderungen, die sich auf diese Sicherheitsmaßnahme auswirken könnten, überprüfen und aktualisieren.

cis-controls-8-11

Prüfen Sie Audit-Logs, um Anomalien oder ungewöhnliche Ereignisse zu erkennen, die auf eine potenzielle Bedrohung hindeuten könnten. Führen Sie Überprüfungen wöchentlich oder häufiger durch.

cis-controls-8-2

Audit-Logs erfassen Achten Sie darauf, dass das Logging gemäß dem Prozess zur Verwaltung von Audit-Logs des Unternehmens für alle Unternehmensressourcen aktiviert wurde.

cis-controls-8-3

Achten Sie darauf, dass die Protokollierungsziele ausreichend Speicherplatz haben, um den Prozess zur Verwaltung von Audit-Logs des Unternehmens einzuhalten.

cis-controls-8-4

Zeitsynchronisierung standardisieren Konfigurieren Sie mindestens zwei synchronisierte Zeitquellen für Unternehmens-Assets, sofern dies unterstützt wird.

cis-controls-8-5

Konfigurieren Sie detailliertes Audit-Logging für Unternehmensassets, die sensible Daten enthalten. Fügen Sie Ereignisquelle, Datum, Nutzername, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente hinzu, die bei einer forensischen Untersuchung hilfreich sein könnten.

cis-controls-8-6

Erfassen Sie Audit-Logs für DNS-Abfragen für Unternehmens-Assets, sofern dies angemessen und unterstützt wird.

cis-controls-8-7

Erfassen Sie gegebenenfalls und sofern unterstützt Audit-Logs für URL-Anfragen für Unternehmens-Assets.

cis-controls-8-8

Audit-Logs über die Befehlszeile erfassen. Beispielimplementierungen umfassen das Erfassen von Audit-Logs aus PowerShell®, BASH™ und Remote-Verwaltungsterminals.

cis-controls-8-9

Zentralisieren Sie die Erfassung und Aufbewahrung von Audit-Logs für Unternehmensassets so weit wie möglich gemäß dem dokumentierten Prozess für die Verwaltung von Audit-Logs. Bei Beispielimplementierungen wird in erster Linie ein SIEM-Tool verwendet, um mehrere Protokollquellen zu zentralisieren.

cis-controls-9-1

Es darf nur die jeweils aktuelle Version von vollständig unterstützten Browsern und E‑Mail-Clients verwendet werden, die vom Anbieter bereitgestellt werden.

cis-controls-9-2

Verwenden Sie DNS-Filterdienste auf allen Endnutzergeräten, einschließlich Remote- und lokalen Assets, um den Zugriff auf bekannte schädliche Domains zu blockieren.

cis-controls-9-3

Netzwerkbasierte URL-Filter erzwingen und aktualisieren, um zu verhindern, dass ein Unternehmensasset eine Verbindung zu potenziell schädlichen oder nicht genehmigten Websites herstellt. Beispiele für Implementierungen sind das Filtern nach Kategorie oder Reputation oder die Verwendung von Sperrlisten. Filter für alle Unternehmens-Assets erzwingen

cis-controls-9-4

Beschränken Sie nicht autorisierte oder unnötige Browser- oder E‑Mail-Client-Plug-ins, ‑Erweiterungen und ‑Add-on-Anwendungen, indem Sie sie deinstallieren oder deaktivieren.

CSA Cloud Controls Matrix v4.0.11

Unterstützter Cloud-Anbieter: Google Cloud

Ein Framework für Cybersicherheitskontrollen, das speziell für die Cloud-Computing-Umgebung entwickelt wurde. Es bietet eine umfassende Reihe von Kontrollen in wichtigen Bereichen, mit denen Sie die Sicherheitslage Ihrer Cloud-Dienste bewerten können.

Dieser Rahmenplan umfasst die Cloud-Kontrollgruppen und Cloud-Kontrollen in den folgenden Abschnitten.

ccm-aa-01

Prüf- und Sicherungsrichtlinien, ‑verfahren und ‑standards festlegen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und aufrechterhalten. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-aa-02

Führen Sie mindestens einmal jährlich unabhängige Prüfungen und Assurance-Bewertungen gemäß den relevanten Standards durch.

ccm-ais-01

Erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und pflegen Sie Richtlinien und Verfahren für die Anwendungssicherheit, um die Planung, Bereitstellung und Unterstützung der Anwendungssicherheitsfunktionen der Organisation zu steuern. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-ais-02

Grundlegende Anforderungen für die Sicherung verschiedener Anwendungen festlegen, dokumentieren und aufrechterhalten.

ccm-ais-03

Definieren und implementieren Sie technische und betriebliche Messwerte in Übereinstimmung mit Geschäftszielen, Sicherheitsanforderungen und Compliance-Verpflichtungen.

ccm-ais-04

Definieren und implementieren Sie einen SDLC-Prozess für das Anwendungsdesign, die Entwicklung, die Bereitstellung und den Betrieb in Übereinstimmung mit den von der Organisation definierten Sicherheitsanforderungen.

ccm-ais-05

Implementieren Sie eine Teststrategie, einschließlich Kriterien für die Akzeptanz neuer Informationssysteme, Upgrades und neuer Versionen, die für Anwendungssicherheit sorgt und die Compliance aufrechterhält, während die Lieferziele der Organisation erreicht werden. Automatisieren Sie, wenn anwendbar und möglich.

ccm-bcr-03

Strategien entwickeln, um die Auswirkungen von Betriebsunterbrechungen zu verringern, ihnen standzuhalten und sich von ihnen zu erholen.

ccm-bcr-07

Kommunikation mit Stakeholdern und Teilnehmern im Rahmen von Verfahren zur Geschäftskontinuität und Resilienz aufbauen.

ccm-bcr-08

Sichern Sie regelmäßig in der Cloud gespeicherte Daten. Sorgen Sie für die Vertraulichkeit, Integrität und Verfügbarkeit der Sicherung und prüfen Sie die Datenwiederherstellung aus der Sicherung, um die Resilienz zu gewährleisten.

ccm-bcr-09

Einen Plan für die Reaktion auf Notfälle erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und aufrechterhalten, um sich von Naturkatastrophen und von Menschen verursachten Katastrophen zu erholen. Aktualisieren Sie den Plan mindestens einmal jährlich oder bei wesentlichen Änderungen.

ccm-bcr-10

Führen Sie den Notfallplan jährlich oder bei wesentlichen Änderungen durch, wenn möglich auch mit den örtlichen Notfallbehörden.

ccm-bcr-11

Ergänzen Sie geschäftskritische Geräte durch redundante Geräte, die sich in einem angemessenen Mindestabstand gemäß den anwendbaren Branchenstandards befinden.

ccm-ccc-01

Richtlinien und Verfahren für die Verwaltung der Risiken, die mit der Anwendung von Änderungen an Organisationsressourcen verbunden sind, einschließlich Anwendungen, Systemen, Infrastruktur und Konfiguration, erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und aufrechterhalten. Die Richtlinien und Verfahren müssen verwaltet werden, unabhängig davon, ob die Ressourcen intern oder extern verwaltet werden. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-ccc-02

Halten Sie sich an einen definierten Prozess für die Kontrolle, Genehmigung und das Testen von Qualitätsänderungen mit etablierten Baselines, Test- und Release-Standards.

ccm-ccc-07

Implementieren Sie Erkennungsmaßnahmen mit proaktiver Benachrichtigung bei Änderungen, die von der festgelegten Baseline abweichen.

ccm-cek-01

Richtlinien und Verfahren für Kryptografie, Verschlüsselung und Schlüsselverwaltung erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und pflegen. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-cek-02

Definieren und implementieren Sie Rollen und Verantwortlichkeiten für Kryptografie, Verschlüsselung und Schlüsselverwaltung.

ccm-cek-03

Kryptografischer Schutz für ruhende Daten und Daten während der Übertragung mit kryptografischen Bibliotheken, die nach genehmigten Standards zertifiziert sind.

ccm-cek-04

Verwenden Sie Verschlüsselungsalgorithmen, die für den Datenschutz geeignet sind, und berücksichtigen Sie dabei die Klassifizierung der Daten, die damit verbundenen Risiken und die Benutzerfreundlichkeit der Verschlüsselungstechnologie.

ccm-cek-05

Ein standardisiertes Änderungsmanagementverfahren einrichten, um Änderungen aus internen und externen Quellen zu berücksichtigen und Änderungen an Technologien für Kryptografie, Verschlüsselung und Schlüsselverwaltung zu prüfen, zu genehmigen, zu implementieren und zu kommunizieren.

ccm-cek-08

CSPs müssen CSCs die Möglichkeit bieten, ihre eigenen Datenverschlüsselungsschlüssel zu verwalten.

ccm-cek-10

Kryptografische Schlüssel mit branchenüblichen kryptografischen Bibliotheken generieren, wobei die Algorithmusstärke und der verwendete Zufallszahlengenerator angegeben werden.

ccm-cek-11

Kryptografische Secrets und private Schlüssel verwalten, die für einen bestimmten Zweck bereitgestellt werden.

ccm-cek-18

Prozesse, Verfahren und technische Maßnahmen zum Verwalten archivierter Schlüssel in einem sicheren Repository mit Zugriff nach dem Prinzip der geringsten Berechtigung definieren, implementieren und bewerten, einschließlich Bestimmungen für rechtliche und regulatorische Anforderungen.

ccm-cek-21

Prozesse, Verfahren und technische Maßnahmen definieren, implementieren und bewerten, damit das Schlüsselverwaltungssystem alle kryptografischen Materialien und Statusänderungen nachverfolgen und melden kann. Dies umfasst auch Bestimmungen für rechtliche und regulatorische Anforderungen.

ccm-dcs-07

Implementieren Sie physische Sicherheitsperimeter, um Mitarbeiter, Daten und Informationssysteme zu schützen. Richten Sie physische Sicherheitsbereiche zwischen den Verwaltungs- und Geschäftsbereichen und den Bereichen für Datenspeicherung und ‑verarbeitung ein.

ccm-dcs-09

Nur autorisiertem Personal den Zutritt zu sicheren Bereichen erlauben. Alle Ein- und Ausgänge müssen eingeschränkt, dokumentiert und durch physische Zugriffssteuerungsmechanismen überwacht werden. Zugriffssteuerungsdatensätze werden in regelmäßigen Abständen aufbewahrt, wenn dies von der Organisation als angemessen erachtet wird.

ccm-dsp-01

Richtlinien und Verfahren für die Klassifizierung, den Schutz und die Verarbeitung von Daten während ihres gesamten Lebenszyklus gemäß allen anwendbaren Gesetzen und Verordnungen, Standards und dem Risikoniveau festlegen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und aufrechterhalten. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-dsp-02

Wenden Sie branchenübliche Methoden für die sichere Entsorgung von Daten von Speichermedien an, sodass Daten nicht durch forensische Mittel wiederhergestellt werden können.

ccm-dsp-07

Entwicklung von Systemen, Produkten und Geschäftspraktiken auf der Grundlage des Prinzips „Security by Design“ und von Best Practices der Branche.

ccm-dsp-08

Entwickeln Sie Systeme, Produkte und Geschäftspraktiken, die auf dem Prinzip des Privacy by Design und auf branchenüblichen Best Practices basieren. Achten Sie darauf, dass die Datenschutzeinstellungen der Systeme standardmäßig gemäß allen anwendbaren Gesetzen und Verordnungen konfiguriert sind.

ccm-dsp-10

Prozesse, Verfahren und technische Maßnahmen definieren, implementieren und bewerten, die sicherstellen, dass jede Übertragung personenbezogener oder sensibler Daten vor unbefugtem Zugriff geschützt ist und nur im Rahmen der jeweiligen Gesetze und Verordnungen verarbeitet wird.

ccm-dsp-16

Die Aufbewahrung, Archivierung und Löschung von Daten erfolgt in Übereinstimmung mit den geschäftlichen Anforderungen sowie den anwendbaren Gesetzen und Vorschriften.

ccm-dsp-17

Prozesse, Verfahren und technische Maßnahmen zum Schutz sensibler Daten während des gesamten Lebenszyklus definieren und implementieren.

ccm-grc-01

Richtlinien und Verfahren für ein Informations-Governance-Programm erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und pflegen, das von der Führungsebene der Organisation unterstützt wird. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-grc-03

Überprüfen Sie alle relevanten Organisationsrichtlinien und zugehörigen Verfahren mindestens einmal jährlich oder wenn sich in der Organisation eine wesentliche Änderung ergibt.

ccm-grc-07

Identifizieren und dokumentieren Sie alle relevanten Standards, Vorschriften, rechtlichen, vertraglichen und gesetzlichen Anforderungen, die für Ihre Organisation gelten.

ccm-iam-01

Richtlinien und Verfahren für die Identitäts- und Zugriffsverwaltung erstellen, dokumentieren, genehmigen, kommunizieren, implementieren, anwenden, bewerten und pflegen. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-iam-03

Informationen zu Systemidentitäten und Zugriffsebenen verwalten, speichern und überprüfen

ccm-iam-04

Wenden Sie bei der Implementierung des Zugriffs auf Informationssysteme das Prinzip der Aufgabentrennung an.

ccm-iam-05

Wenden Sie bei der Implementierung des Zugriffs auf Informationssysteme das Prinzip der geringsten Berechtigung an.

ccm-iam-07

Zugriff von Mitarbeitern, die das Unternehmen verlassen, oder Systemidentitätsänderungen rechtzeitig aufheben bzw. ändern, um Richtlinien für Identitäts- und Zugriffsverwaltung effektiv zu übernehmen und zu kommunizieren.

ccm-iam-09

Prozesse, Verfahren und technische Maßnahmen für die Trennung privilegierter Zugriffsrollen definieren, implementieren und bewerten, sodass der administrative Zugriff auf Daten, Verschlüsselungs- und Schlüsselverwaltungsfunktionen sowie Protokollierungsfunktionen unterschiedlich und getrennt sind.

ccm-iam-10

Definieren und implementieren Sie einen Zugriffsprozess, um sicherzustellen, dass Rollen und Rechte für privilegierten Zugriff für einen begrenzten Zeitraum gewährt werden, und implementieren Sie Verfahren, um die Kumulierung von getrenntem privilegierten Zugriff zu verhindern.

ccm-iam-11

Prozesse und Verfahren für Kunden definieren, implementieren und bewerten, um gegebenenfalls an der Gewährung des Zugriffs für vereinbarte, privilegierte Zugriffsrollen mit hohem Risiko teilzunehmen, wie in der Risikobewertung der Organisation definiert.

ccm-iam-12

Prozesse, Verfahren und technische Maßnahmen definieren, implementieren und bewerten, um sicherzustellen, dass die Protokollierungsinfrastruktur für alle mit Schreibzugriff, einschließlich Rollen mit privilegiertem Zugriff, schreibgeschützt ist und dass die Möglichkeit, sie zu deaktivieren, durch ein Verfahren gesteuert wird, das die Funktionstrennung und Break-Glass-Verfahren gewährleistet.

ccm-iam-13

Prozesse, Verfahren und technische Maßnahmen definieren, implementieren und bewerten, die sicherstellen, dass Nutzer anhand eindeutiger IDs identifiziert werden können oder dass Einzelpersonen mit der Verwendung von User-IDs in Verbindung gebracht werden können.

ccm-iam-14

Prozesse, Verfahren und technische Maßnahmen zur Authentifizierung des Zugriffs auf Systeme, Anwendungen und Datenbestände definieren, implementieren und bewerten, einschließlich der Multi-Faktor-Authentifizierung für den Zugriff auf Nutzer mit geringsten Berechtigungen und sensible Daten. Verwenden Sie digitale Zertifikate oder Alternativen, die ein gleichwertiges Sicherheitsniveau für Systemidentitäten bieten.

ccm-iam-16

Prozesse, Verfahren und technische Maßnahmen definieren, implementieren und bewerten, um zu prüfen, ob der Zugriff auf Daten und Systemfunktionen autorisiert ist.

ccm-ivs-01

Richtlinien und Verfahren für die Infrastruktur- und Virtualisierungssicherheit erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und pflegen. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-ivs-03

Überwachen, verschlüsseln und beschränken Sie die Kommunikation zwischen Umgebungen auf nur authentifizierte und autorisierte Verbindungen, sofern dies geschäftlich gerechtfertigt ist. Überprüfen Sie diese Konfigurationen mindestens einmal pro Jahr und belegen Sie sie durch eine dokumentierte Begründung aller zulässigen Dienste, Protokolle, Ports und ausgleichenden Kontrollen.

ccm-ivs-04

Härten Sie das Host- und Gastbetriebssystem, den Hypervisor oder die Infrastruktur-Steuerungsebene gemäß den jeweiligen Best Practices und mit Unterstützung durch technische Kontrollen als Teil einer Sicherheitsbaseline.

ccm-ivs-06

Anwendungen und Infrastrukturen so konzipieren, entwickeln, bereitstellen und konfigurieren, dass der CSP- und CSC-Nutzerzugriff (Mandant) und der mandanteninterne Zugriff angemessen segmentiert und getrennt, überwacht und von anderen Mandanten eingeschränkt wird.

ccm-ivs-07

Verwenden Sie sichere und verschlüsselte Kommunikationskanäle, wenn Sie Server, Dienste, Anwendungen oder Daten in Cloud-Umgebungen migrieren. Solche Kanäle dürfen nur aktuelle und genehmigte Protokolle enthalten.

ccm-ivs-09

Prozesse, Verfahren und Defense-in-Depth-Techniken für den Schutz, die Erkennung und die rechtzeitige Reaktion auf netzwerkbasierte Angriffe definieren, implementieren und bewerten.

ccm-log-01

Richtlinien und Verfahren für die Protokollierung und Überwachung erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und pflegen. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-log-02

Prozesse, Verfahren und technische Maßnahmen zur Gewährleistung der Sicherheit und Aufbewahrung von Prüfprotokollen definieren, implementieren und bewerten.

ccm-log-03

Sicherheitsrelevante Ereignisse in Anwendungen und der zugrunde liegenden Infrastruktur identifizieren und überwachen Definieren und implementieren Sie ein System, um Benachrichtigungen für die zuständigen Stakeholder basierend auf solchen Ereignissen und entsprechenden Messwerten zu generieren.

ccm-log-04

Beschränken Sie den Zugriff auf Audit-Logs auf autorisiertes Personal und führen Sie Aufzeichnungen, die eine eindeutige Zugriffsverantwortlichkeit ermöglichen.

ccm-log-05

Sicherheits-Audit-Logs überwachen, um Aktivitäten zu erkennen, die nicht dem typischen oder erwarteten Muster entsprechen. Richten Sie einen definierten Prozess ein, um erkannte Anomalien zu überprüfen und rechtzeitig geeignete Maßnahmen zu ergreifen.

ccm-log-07

Festlegen, dokumentieren und implementieren, welche Metadaten und Datenereignisse protokolliert werden sollen. Überprüfen und aktualisieren Sie den Umfang mindestens einmal jährlich oder bei jeder Änderung der Bedrohungslandschaft.

ccm-log-08

Prüfdatensätze mit relevanten Sicherheitsinformationen erstellen.

ccm-log-12

Physischen Zugriff mit einem prüfbaren Zugangskontrollsystem überwachen und protokollieren.

ccm-sef-01

Richtlinien und Verfahren für das Management von Sicherheitsvorfällen, E-Discovery und Cloud-Forensik erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und pflegen. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-sef-02

Richtlinien und Verfahren für die zeitnahe Bearbeitung von Sicherheitsvorfällen erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und pflegen. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-sef-08

Kontaktdaten für zuständige Regulierungsbehörden, nationale und lokale Strafverfolgungsbehörden und andere zuständige Gerichte vorhalten.

ccm-sta-04

Die gemeinsame Verantwortung und Anwendbarkeit aller CSA CCM-Kontrollen gemäß dem SSRM für das Cloud-Dienstangebot abgrenzen.

ccm-sta-08

CSPs überprüfen regelmäßig die Risikofaktoren, die mit allen Organisationen in ihrer Lieferkette verbunden sind.

ccm-sta-09

Dienstvereinbarungen zwischen CSPs und CSCs (Mandanten) müssen mindestens die einvernehmlich vereinbarten Bestimmungen und Bedingungen enthalten, einschließlich Umfang, Merkmale und Ort der Geschäftsbeziehung und der angebotenen Dienste, Anforderungen an die Informationssicherheit (einschließlich SSRM), Änderungsmanagementprozess, Protokollierungs- und Überwachungsfunktionen, Verfahren für die Vorfallverwaltung und ‑kommunikation, Recht auf Prüfung und Bewertung durch Dritte, Beendigung von Diensten, Anforderungen an Interoperabilität und Portabilität sowie Datenschutz.

ccm-tvm-01

Richtlinien und Verfahren zur Identifizierung, Meldung und Priorisierung der Behebung von Sicherheitslücken erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und pflegen, um Systeme vor der Ausnutzung von Sicherheitslücken zu schützen. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-tvm-02

Richtlinien und Verfahren zum Schutz vor Malware auf verwalteten Assets erstellen, dokumentieren, genehmigen, kommunizieren, anwenden, bewerten und pflegen. Überprüfen und aktualisieren Sie die Richtlinien und Verfahren mindestens einmal jährlich.

ccm-tvm-03

Prozesse, Verfahren und technische Maßnahmen definieren, implementieren und bewerten, um sowohl geplante als auch Notfallreaktionen auf die Identifizierung von Sicherheitslücken auf der Grundlage des ermittelten Risikos zu ermöglichen.

ccm-tvm-06

Prozesse, Verfahren und technische Maßnahmen für die regelmäßige Durchführung von Penetrationstests durch unabhängige Dritte definieren, implementieren und bewerten.

ccm-uem-04

Führen Sie eine Bestandsliste aller Endpunkte, die zum Speichern und Abrufen von Unternehmensdaten verwendet werden.

ccm-uem-07

Änderungen an Betriebssystemen, Patch-Ebenen und Anwendungen von Endpunkten über die Änderungsmanagementprozesse des Unternehmens verwalten.

ccm-uem-10

Konfigurieren Sie verwaltete Endpunkte mit korrekt konfigurierten Softwarefirewalls.

ccm-uem-11

Verwaltete Endpunkte mit Technologien und Regeln zum Schutz vor Datenverlust (Data Loss Prevention, DLP) gemäß einer Risikobewertung konfigurieren.

Data Security and Privacy Essentials

Unterstützter Cloud-Anbieter: Google Cloud

Von Google empfohlene Cloud-Kontrollen für Datensicherheit und Datenschutz

Dieser Rahmenplan umfasst die folgenden Cloud-Kontrollen:

Data Security Framework Template

Unterstützter Cloud-Anbieter: Google Cloud

Das integrierte Framework von Google zum Bereitstellen erweiterter DSPM-Cloud-Kontrollen.

Dieser Rahmenplan umfasst die folgenden Cloud-Kontrollen:

FedRAMP Low 20x

Unterstützter Cloud-Anbieter: Google Cloud

Ein regierungsweites Programm, das einen standardisierten, wiederverwendbaren Ansatz für die Sicherheitsbewertung und Autorisierung für Cloud-Computing-Produkte und ‑Dienste bietet, die nicht klassifizierte, von Behörden verwendete Informationen verarbeiten. FedRAMP Low ist am besten für CSOs geeignet, bei denen der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit nur begrenzte negative Auswirkungen auf die Abläufe, Assets oder Personen einer Behörde hätte.

Dieser Rahmenplan umfasst die Cloud-Kontrollgruppen und Cloud-Kontrollen in den folgenden Abschnitten.

ksi-cmt-1

Systemänderungen protokollieren und überwachen Achten Sie darauf, dass alle Systemänderungen dokumentiert und Konfigurationsbaselines aktualisiert werden.

ksi-cna-1

Konfigurieren Sie alle Informationsressourcen, um eingehenden und ausgehenden Traffic zu begrenzen.

ksi-cna-2

Entwerfen Sie Systeme, um die Angriffsfläche zu verringern und seitliche Bewegungen im Falle einer Kompromittierung zu minimieren.

ksi-cna-4

Verwenden Sie eine unveränderliche Infrastruktur mit streng definierten Funktionen und Berechtigungen.

ksi-cna-6

Entwerfen Sie Informationssysteme mit Hochverfügbarkeit und schnellen Wiederherstellungsfunktionen, um Datenverlust zu verhindern.

ksi-cna-7

Implementieren Sie Cloud-First-Informationsressourcen, die auf den Best Practices und der dokumentierten Anleitung des Hostanbieters basieren.

ksi-iam-3

Erzwingen Sie sichere Authentifizierungsmethoden für alle Nichtnutzerkonten und ‑dienste in Google Cloud, um Daten und Ressourcen vor unbefugtem Zugriff zu schützen.

ksi-iam-4

Implementieren Sie ein Sicherheitsautorisierungsmodell, das auf dem Prinzip der geringsten Berechtigung basiert, rollen- und attributbasiert ist und Just-in-Time-Zugriff bietet. Verwenden Sie dieses Modell für alle Nutzer- und Nichtnutzerkonten sowie Dienste, um das Risiko von unbefugtem Zugriff oder Missbrauch zu verringern.

ksi-mla-2

Überprüfen Sie regelmäßig die Audit-Logs Ihrer Anwendungen und Dienste.

ksi-mla-3

Schwachstellen erkennen und umgehend beheben oder mindern, um das Risiko für Anwendungen und Dienste zu verringern.

ksi-piy-1

Führen Sie ein aktuelles Inventar oder einen aktuellen Code mit Informationen zu allen bereitgestellten Assets, Software und Diensten.

ksi-piy-4

Berücksichtigen Sie Sicherheitsaspekte im Softwareentwicklungszyklus (Software Development Lifecycle, SDLC) und richten Sie sich nach den „Secure By Design“-Grundsätzen der Cybersecurity and Infrastructure Security Agency (CISA).

ksi-svc-1

Überprüfen und optimieren Sie die Netzwerk- und Systemkonfigurationen regelmäßig, um eine sichere Grundlage zu schaffen.

ksi-svc-2

Verschlüsseln Sie alle wichtigen Inhaltsdaten, die zwischen Maschinen ausgetauscht werden, die mit Google Cloud verbunden sind, oder sichern Sie alternativ den gesamten Netzwerkverkehr, um Daten zu schützen.

ksi-svc-6

Verwenden Sie automatisierte Schlüsselverwaltungssysteme, um digitale Schlüssel und Zertifikate zu schützen, zu verwalten und regelmäßig zu rotieren.

ksi-svc-7

Implementieren Sie einen einheitlichen, risikobasierten Ansatz für das Anwenden von Sicherheitspatches auf Ihre Anwendungen und Dienste.

ISO 27001:2022

Unterstützter Cloud-Anbieter: Google Cloud

Der internationale Standard für ein Informationssicherheits-Managementsystem (ISMS). Sie bietet einen systematischen, risikobasierten Ansatz für den Umgang mit vertraulichen Informationen, indem sie Anforderungen für die Einrichtung und Verbesserung von Sicherheitskontrollen festlegt.

Dieser Rahmenplan umfasst die Cloud-Kontrollgruppen und Cloud-Kontrollen in den folgenden Abschnitten.

iso-27001-2022-a-5-1

Es müssen Richtlinien zur Informationssicherheit und themenspezifische Richtlinien definiert, von der Geschäftsleitung genehmigt, veröffentlicht, an relevantes Personal und relevante Interessengruppen weitergegeben und von diesen bestätigt werden. Sie müssen in geplanten Abständen und bei wesentlichen Änderungen überprüft werden.

iso-27001-2022-a-5-10

Regeln für die zulässige Nutzung und Verfahren für den Umgang mit Informationen und anderen zugehörigen Assets müssen festgelegt, dokumentiert und implementiert werden.

iso-27001-2022-a-5-12

Informationen müssen gemäß den Informationssicherheitsanforderungen der Organisation auf der Grundlage von Vertraulichkeit, Integrität, Verfügbarkeit und den Anforderungen relevanter Interessengruppen klassifiziert werden.

iso-27001-2022-a-5-14

Für alle Arten von Übertragungseinrichtungen innerhalb der Organisation und zwischen der Organisation und anderen Parteien müssen Regeln, Verfahren oder Vereinbarungen für die Informationsübertragung vorhanden sein.

iso-27001-2022-a-5-15

Es sind Regeln zur Steuerung des physischen und logischen Zugriffs auf Informationen und andere zugehörige Assets festzulegen und zu implementieren, die auf den Anforderungen des Unternehmens und der Informationssicherheit basieren.

iso-27001-2022-a-5-17

Die Zuweisung und Verwaltung von Authentifizierungsinformationen muss durch einen Verwaltungsprozess gesteuert werden, der auch die Mitarbeiter über den angemessenen Umgang mit Authentifizierungsinformationen informiert.

iso-27001-2022-a-5-18

Zugriffsrechte auf Informationen und andere zugehörige Assets werden gemäß der themenspezifischen Richtlinie und den Regeln der Organisation für die Zugriffssteuerung bereitgestellt, überprüft, geändert und entfernt.

iso-27001-2022-a-5-19

Es müssen Prozesse und Verfahren definiert und implementiert werden, um die mit der Verwendung der Produkte oder Dienste des Anbieters verbundenen Risiken für die Informationssicherheit zu managen.

iso-27001-2022-a-5-20

Relevante Anforderungen an die Informationssicherheit werden auf Grundlage der Art der Lieferantenbeziehung festgelegt und mit jedem Lieferanten vereinbart.

iso-27001-2022-a-5-23

Die Prozesse für die Beschaffung, Nutzung, Verwaltung und Beendigung von Cloud-Diensten müssen in Übereinstimmung mit den Informationssicherheitsanforderungen der Organisation festgelegt werden.

iso-27001-2022-a-5-24

Die Organisation muss die Verwaltung von Informationssicherheitsvorfällen planen und vorbereiten, indem sie Prozesse, Rollen und Verantwortlichkeiten für die Verwaltung von Informationssicherheitsvorfällen definiert, festlegt und kommuniziert.

iso-27001-2022-a-5-25

Die Organisation muss Informationssicherheitsereignisse bewerten und entscheiden, ob sie als Informationssicherheitsvorfälle eingestuft werden sollen.

iso-27001-2022-a-5-28

Die Organisation muss Verfahren zur Identifizierung, Erfassung, Beschaffung und Aufbewahrung von Beweisen im Zusammenhang mit Informationssicherheitsereignissen einrichten und implementieren.

iso-27001-2022-a-5-30

Die IKT-Bereitschaft muss auf der Grundlage der Ziele zur Aufrechterhaltung des Geschäftsbetriebs und der Anforderungen an die IKT-Kontinuität geplant, implementiert, aufrechterhalten und getestet werden.

iso-27001-2022-a-5-33

Datensätze müssen vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und unbefugter Offenlegung geschützt werden.

iso-27001-2022-a-5-5

Die Organisation muss Kontakt zu den zuständigen Behörden aufnehmen und aufrechterhalten.

iso-27001-2022-a-5-6

Die Organisation muss Kontakt zu Interessengruppen oder anderen spezialisierten Sicherheitsforen und Berufsverbänden aufnehmen und aufrechterhalten.

iso-27001-2022-a-5-9

Es muss ein Inventar der Informationen und anderer zugehöriger Assets, einschließlich der Eigentümer, erstellt und gepflegt werden.

iso-27001-2022-a-6-7

Wenn Mitarbeiter remote arbeiten, müssen Sicherheitsmaßnahmen ergriffen werden, um Informationen zu schützen, auf die außerhalb der Räumlichkeiten der Organisation zugegriffen, die verarbeitet oder gespeichert werden.

iso-27001-2022-a-8-1

Informationen, die auf Endnutzergeräten gespeichert, von diesen verarbeitet oder über diese zugänglich sind, müssen geschützt werden.

iso-27001-2022-a-8-10

Informationen, die in Informationssystemen, auf Geräten oder auf anderen Speichermedien gespeichert sind, müssen gelöscht werden, wenn sie nicht mehr benötigt werden.

iso-27001-2022-a-8-13

Es sind Sicherungskopien von Informationen, Software und Systemen zu erstellen und regelmäßig gemäß der vereinbarten themenspezifischen Richtlinie zur Datensicherung zu testen.

iso-27001-2022-a-8-14

Einrichtungen zur Verarbeitung von Informationen müssen mit einer Redundanz implementiert werden, die ausreicht, um die Verfügbarkeitsanforderungen zu erfüllen.

iso-27001-2022-a-8-15

Es müssen Protokolle erstellt, gespeichert, geschützt und analysiert werden, in denen Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse aufgezeichnet werden.

iso-27001-2022-a-8-16

Netzwerke, Systeme und Anwendungen müssen auf anomales Verhalten überwacht werden. Es sind geeignete Maßnahmen zu ergreifen, um potenzielle Informationssicherheitsvorfälle zu bewerten.

iso-27001-2022-a-8-17

Die Uhren der von der Organisation verwendeten Informationsverarbeitungssysteme müssen mit genehmigten Zeitquellen synchronisiert werden.

iso-27001-2022-a-8-2

Die Zuweisung und Verwendung von privilegierten Zugriffsrechten muss eingeschränkt und verwaltet werden.

iso-27001-2022-a-8-20

Netzwerke und Netzwerkgeräte müssen gesichert, verwaltet und kontrolliert werden, um Informationen in Systemen und Anwendungen zu schützen.

iso-27001-2022-a-8-21

Sicherheitsmechanismen, Servicelevels und Serviceanforderungen von Netzwerkdiensten müssen identifiziert, implementiert und überwacht werden.

iso-27001-2022-a-8-22

Gruppen von Informationsdiensten, Nutzern und Informationssystemen müssen in den Netzwerken der Organisation getrennt werden.

iso-27001-2022-a-8-23

Der Zugriff auf externe Websites muss so verwaltet werden, dass das Risiko, auf schädliche Inhalte zu stoßen, minimiert wird.

iso-27001-2022-a-8-24

Es sind Regeln für den effektiven Einsatz von Kryptografie, einschließlich der Verwaltung kryptografischer Schlüssel, zu definieren und zu implementieren.

iso-27001-2022-a-8-25

Es sind Regeln für die sichere Entwicklung von Software und Systemen festzulegen und anzuwenden.

iso-27001-2022-a-8-26

Bei der Entwicklung oder dem Erwerb von Anwendungen müssen die Anforderungen an die Informationssicherheit ermittelt, festgelegt und genehmigt werden.

iso-27001-2022-a-8-27

Grundsätze für die Entwicklung sicherer Systeme müssen festgelegt, dokumentiert, aufrechterhalten und auf alle Entwicklungsaktivitäten von Informationssystemen angewendet werden.

iso-27001-2022-a-8-28

Bei der Softwareentwicklung sind die Grundsätze für sicheres Programmieren anzuwenden.

iso-27001-2022-a-8-29

Im Entwicklungslebenszyklus müssen Prozesse für Sicherheitstests definiert und implementiert werden.

iso-27001-2022-a-8-3

Der Zugriff auf Informationen und andere zugehörige Assets muss gemäß der festgelegten themenspezifischen Richtlinie zur Zugriffssteuerung eingeschränkt werden.

iso-27001-2022-a-8-30

Die Organisation muss die Aktivitäten im Zusammenhang mit der ausgelagerten Systementwicklung steuern, überwachen und überprüfen.

iso-27001-2022-a-8-4

Der Lese- und Schreibzugriff auf Quellcode, Entwicklungstools und Softwarebibliotheken muss angemessen verwaltet werden.

iso-27001-2022-a-8-5

Sichere Authentifizierungstechnologien und ‑verfahren müssen auf der Grundlage von Einschränkungen des Informationszugriffs und der themenspezifischen Richtlinie zur Zugriffssteuerung implementiert werden.

iso-27001-2022-a-8-6

Die Nutzung von Ressourcen muss überwacht und an die aktuellen und erwarteten Kapazitätsanforderungen angepasst werden.

iso-27001-2022-a-8-7

Der Schutz vor Malware muss implementiert und durch entsprechende Nutzerinformationen unterstützt werden.

iso-27001-2022-a-8-8

Es sind Informationen über technische Schwachstellen der verwendeten Informationssysteme einzuholen, die Gefährdung der Organisation durch solche Schwachstellen ist zu bewerten und es sind geeignete Maßnahmen zu ergreifen.

iso-27001-2022-a-8-9

Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken müssen erstellt, dokumentiert, implementiert, überwacht und überprüft werden.

Qatar National Information Assurance Standard v2.1

Unterstützter Cloud-Anbieter: Google Cloud

Qatar NIAS soll Organisationen im Staat Katar die notwendige Grundlage und die relevanten Tools für die Implementierung eines vollwertigen Informationssicherheits-Managementsystems (ISMS) bieten.

Dieser Rahmenplan umfasst die Cloud-Kontrollgruppen und Cloud-Kontrollen in den folgenden Abschnitten.

qa-nias-2-1-am-1

Der Zugriff für Nutzer erfolgt nach dem Prinzip der geringsten Berechtigung und wird durch den Informationsbedarf oder die Notwendigkeit des Zugriffs geregelt.

qa-nias-2-1-am-11

Zentrale Authentifizierungs-Repositories wie LDAP und Authentifizierungsdatenbanken sind vor Denial-of-Service-Angriffen geschützt und verwenden sichere und authentifizierte Kanäle zum Abrufen von Authentifizierungsdaten. In solchen Repositories müssen die folgenden Ereignisse protokolliert werden: unbefugte Aktualisierung oder unbefugter Zugriff; Start- und Enddatum und ‑uhrzeit der Aktivität (zusammen mit der Systemkennung); Nutzeridentifikation (bei illegaler Anmeldung); An- und Abmeldeaktivität (bei illegaler Anmeldung); Sitzung, Terminal oder Remote-Verbindung.

qa-nias-2-1-am-12

Organisationen müssen eine Reihe von Richtlinien, Plänen und Verfahren entwickeln und pflegen, die aus der National Data Classification Policy (IAP-NAT-DCLS) abgeleitet werden und die Identifizierung, Authentifizierung und Autorisierung von Systemnutzern abdecken.

qa-nias-2-1-am-14

Alle Systemnutzer sind eindeutig identifizierbar und werden bei jedem Zugriff auf ein System authentifiziert.

qa-nias-2-1-am-17

Ungeschützte Authentifizierungsinformationen, die Systemzugriff gewähren oder ein verschlüsseltes Gerät entschlüsseln, befinden sich auf oder mit dem System oder Gerät, auf das die Authentifizierungsinformationen Zugriff gewähren.

qa-nias-2-1-am-18

Systemauthentifizierungsdaten sind während der Verwendung nicht anfällig für Angriffe wie Replay-, Man-in-the-Middle- und Session-Hijacking-Angriffe.

qa-nias-2-1-am-2

Der Zugriff wird über Systemzugriffskontrollen, Identifizierung und Authentifizierung sowie Audit-Trails verwaltet und gesteuert, die auf der Vertraulichkeit der Informationen basieren. Diese Zugriffsanfragen müssen vom Vorgesetzten oder Manager des Mitarbeiters genehmigt werden.

qa-nias-2-1-am-20

Passwörter werden mindestens alle 90 Tage geändert.

qa-nias-2-1-am-23

Bildschirm- und Sitzungssperren werden so konfiguriert, dass sie nach maximal 15 Minuten Inaktivität des Systemnutzers aktiviert werden. Sie werden standardmäßig vom Systemnutzer aktiviert, falls gewünscht. Sie sperren den Bildschirm, um alle Informationen darauf vollständig zu verbergen. Sie sorgen dafür, dass der Bildschirm im gesperrten Zustand nicht ausgeschaltet erscheint. Sie erfordern, dass sich der Systemnutzer neu authentifiziert, um das System zu entsperren. Sie verhindern, dass Systemnutzer den Sperrmechanismus deaktivieren können.

qa-nias-2-1-am-24

Der Zugriff auf ein System wird nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche oder so bald wie möglich gesperrt, wenn das Personalmitglied aufgrund von Rollenänderungen oder des Ausscheidens aus der Organisation keinen Zugriff mehr benötigt.

qa-nias-2-1-am-3

Die Zugriffsrechte eines Nutzers oder einer Einheit zum Erstellen, Lesen, Aktualisieren, Löschen oder Übertragen der Informations-Assets einer Organisation basieren auf einem Matrixmodell (hierarchisch) von Rechten, die durch Geschäftsregeln definiert werden, die von den Inhabern dieser Informationen festgelegt werden.

qa-nias-2-1-am-31

Die Verwendung privilegierter Konten wird dokumentiert, kontrolliert, nachvollziehbar und auf ein Minimum beschränkt. Privilegierte Konten dürfen nur für administrative Aufgaben verwendet werden.

qa-nias-2-1-am-32

Systemadministratoren wird ein individuelles Konto für die Ausführung ihrer Verwaltungsaufgaben zugewiesen.

qa-nias-2-1-am-34

Das Systemverwaltungslog wird aktualisiert, um die folgenden Informationen aufzuzeichnen: Bereinigungsaktivitäten, Starten und Herunterfahren des Systems, Komponenten- oder Systemfehler, Wartungsaktivitäten, Sicherungs- und Archivierungsaktivitäten, Systemwiederherstellungsaktivitäten sowie spezielle Aktivitäten oder Aktivitäten außerhalb der Geschäftszeiten.

qa-nias-2-1-am-35

Der Fernzugriff darf nur gewährt werden, wenn er vom Abteilungsleiter ausdrücklich genehmigt wurde, durch geschäftliche Anforderungen gerechtfertigt ist und nachdem eine Due-Diligence-Prüfung zur Analyse der damit verbundenen Risiken durchgeführt wurde und geeignete Kontrollen zur Minderung der identifizierten Risiken implementiert wurden.

qa-nias-2-1-am-36

Beim Zugriff auf Systeme, in denen Daten der Klassifizierung C3 oder höher verarbeitet werden, wird die Zweifaktorauthentifizierung mit einem Hardware-Token, einer biometrischen Kontrolle oder Ähnlichem verwendet.

qa-nias-2-1-am-37

Sitzungen für den Remotezugriff werden durch eine geeignete Ende-zu-Ende-Verschlüsselung gemäß Abschnitt C-10, Kryptografische Sicherheit (CY), geschützt.

qa-nias-2-1-am-6

Jeder unbefugte Versuch, die Zugangskontrolle der Organisation zu umgehen, ist als Sicherheitsvorfall zu betrachten und gemäß den etablierten Verfahren zur Behandlung von Vorfällen und den entsprechenden Richtlinien und Verfahren für Personal zu behandeln.

qa-nias-2-1-am-7

Audit-Logs müssen so aktiviert und verwaltet werden, dass die Einhaltung der staatlichen Richtlinien überwacht und das Vorfallmanagement unterstützt werden kann.

qa-nias-2-1-am-8

Der logische Zugriff auf Organisationsnetzwerke wird technisch gesteuert. Dies kann durch die Verwendung von NAC-Diensten (Network Admission Control) und -Geräten erfolgen.

qa-nias-2-1-cy-1

Kryptografische Algorithmen, Verschlüsselungshardware oder ‑software, Schlüsselverwaltungssysteme und digitale Signaturen müssen den von der zuständigen Behörde im Gesetz Nr. (16) von 2010 zur Verkündung des Gesetzes über elektronischen Handel und Transaktionen festgelegten genehmigten Verschlüsselungs-/kryptografischen Algorithmen und Systemen entsprechen.

qa-nias-2-1-cy-2

Die Lebensdauer des Schlüssels wird in erster Linie durch die Anwendung und die Informationsinfrastruktur bestimmt, in der er verwendet wird. Schlüssel müssen sofort widerrufen und ersetzt werden, wenn sie manipuliert wurden oder der Verdacht besteht, dass sie manipuliert wurden.

qa-nias-2-1-cy-3

Informations-Assets, die als C3 (IAP-NAT-DCLS) klassifiziert sind, werden verschlüsselt und vor unbefugter Offenlegung geschützt, wenn sie gespeichert und übertragen werden, unabhängig vom Speicherformat oder ‑medium. Organisationen können diese kryptografischen Kontrollen auf Assets mit geringeren Vertraulichkeitsanforderungen anwenden, wenn dies durch ihre Risikobewertung als notwendig erachtet wird.

qa-nias-2-1-cy-4

Die Integrität von Informationsassets, die als I3 (IAP-NAT-DCLS) klassifiziert sind, wird durch kryptografisches Hashing sichergestellt. Organisationen können diese kryptografischen Kontrollen auf Assets mit geringeren Integritätsanforderungen anwenden, wenn dies in ihrer Risikobewertung als notwendig erachtet wird.

qa-nias-2-1-cy-5

Die folgenden Protokolle oder besser, mit genehmigten Algorithmen, die im Qatar National Cryptographic Standard – English v1.0 (oder höher) der zuständigen Behörde beschrieben sind, werden verwendet, um Daten der Klasse C3 bei der Übertragung zu schützen: zur Sicherung des Web-Traffics: TLS (+128 Bit) (RFC4346); zur Sicherung von Dateiübertragungen: SFTP (SFTP); für sicheren Remote-Zugriff: SSH v2 (RFC4253) oder IPSEC (RFC 4301); und nur S/MIME v3 (RFC3851) oder besser werden zur Sicherung von E-Mails verwendet. Die zugehörige Anforderung finden Sie unter CY11.

qa-nias-2-1-cy-6

Passwörter müssen immer verschlüsselt oder gehasht und vor unbefugter Offenlegung geschützt werden, wenn sie gespeichert oder übertragen werden, unabhängig vom Speicherformat oder Medium. Privilegierte Passwörter müssen verschlüsselt und extern mit Sicherungsdateien gespeichert werden, wenn das Passwort geändert wird, um eine vollständige Wiederherstellung zu gewährleisten.

qa-nias-2-1-cy-7

Wenn Hardwaresicherheitsmodule (HSMs) verwendet werden, sind sie mindestens nach FIPS 2-140 Level 2 (FIPS2-140) oder Common Criteria (CC3.1) EAL4 zertifiziert.

qa-nias-2-1-cy-9

Es werden geeignete Schlüsselverwaltungsprozesse gemäß (ISO1-11770) definiert und verwendet, um den Lebenszyklus kryptografischer Schlüssel zu verwalten. Dies umfasst die folgenden Funktionen: Rollen und Verantwortlichkeiten von Schlüsselverwaltern, Schlüsselgenerierung, Dual Control und Split Knowledge, sichere Schlüsselspeicherung, Schlüsselnutzung, sichere Schlüsselverteilung und -übertragung, Schlüssel-Backup und ‑Wiederherstellung, regelmäßige Überprüfung des Schlüsselstatus, Schlüsselkompromittierung, Schlüsselsperrung und ‑vernichtung sowie Audit-Trails und Dokumentation.

qa-nias-2-1-gs-1

Netzwerke werden durch Gateways vor anderen Netzwerken geschützt und Datenflüsse werden ordnungsgemäß gesteuert.

qa-nias-2-1-gs-13

Der Export von Daten in ein weniger klassifiziertes System ist eingeschränkt, indem Daten mindestens durch Prüfungen von Klassifizierungslabels gefiltert werden.

qa-nias-2-1-gs-2

Gateways, die Organisationsnetzwerke mit anderen Organisationsnetzwerken oder mit unkontrollierten öffentlichen Netzwerken verbinden, werden so implementiert: mit einem geeigneten Netzwerkgerät zur Steuerung des Datenflusses, wobei alle Datenflüsse angemessen gesteuert werden und sich Gateway-Komponenten physisch in einem angemessen gesicherten Serverraum befinden.

qa-nias-2-1-gs-6

Demilitarisierte Zonen (DMZs) werden verwendet, um extern zugängliche Systeme durch den Einsatz von Firewalls und anderen Geräten für die Netzwerksicherheit von unkontrollierten öffentlichen Netzwerken und internen Netzwerken zu trennen.

qa-nias-2-1-gs-7

Gateways müssen: die einzigen Kommunikationspfade in interne Netzwerke und aus internen Netzwerken sein; standardmäßig alle Verbindungen in das Netzwerk und aus dem Netzwerk ablehnen; nur explizit autorisierte Verbindungen zulassen; über einen sicheren Pfad verwaltet werden, der von allen verbundenen Netzwerken isoliert ist; ausreichende Prüffunktionen bieten, um Sicherheitsverletzungen des Gateways und versuchte Netzwerkangriffe zu erkennen; und Echtzeitwarnungen ausgeben.

qa-nias-2-1-gs-8

Gateways werden vor der Implementierung auf der Produktionswebsite gehärtet und sind vor Folgendem geschützt: schädlicher Code und Sicherheitslücken, falsche oder schlechte Konfigurationen, Konto- und Berechtigungseskalierung, unbefugte Netzwerküberwachung, DoS-Angriffe (Denial of Service) sowie Informations- oder Datenlecks.

qa-nias-2-1-gs-9

Die Überwachung und Aufsicht von Gateways ist eingerichtet und umfasst Mechanismen zur Bedrohungsabwehr, Protokollierung, Benachrichtigungen und die Überwachung von Geräten. Siehe Abschnitt B-10, Protokollierung und Sicherheitsüberwachung (SM).

qa-nias-2-1-ie-12

Sorgen Sie dafür, dass der zwischen Systemen ausgetauschte Informationen vor Missbrauch, unbefugtem Zugriff oder Datenbeschädigung geschützt sind. Für die Übertragung von Informationen, die als C2, I2 oder höher klassifiziert sind, müssen authentifizierte und verschlüsselte Kanäle gemäß CY5, Abschnitt C-10, Cryptographic Security (CY), verwendet werden.

qa-nias-2-1-ie-3

Stellen Sie sicher, dass vor dem Informationsaustausch die erforderlichen Vereinbarungen (insbesondere Vertraulichkeitsvereinbarungen) zwischen den Einheiten, die Informationen austauschen, getroffen wurden. Vereinbarungen müssen Informationen zu Verantwortlichkeiten, zum Benachrichtigungsverfahren für den Informationsaustausch, zu technischen Übertragungsstandards, zur Identifizierung von Kurieren, zu Haftung, Eigentum und Kontrollen enthalten. Für Anbieter und Drittparteien ist eine formelle Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) zu verwenden. Anhang D enthält eine Vorlage für eine Vertraulichkeitsvereinbarung.

qa-nias-2-1-ie-4

Die Organisation muss sicherstellen, dass Medien, die zum Austausch von Informationen verwendet werden, innerhalb oder außerhalb der Organisationsumgebung vor unbefugtem Zugriff, Manipulation oder Missbrauch geschützt sind.

qa-nias-2-1-ie-8

Schützen Sie Informationen, die über elektronische Nachrichten ausgetauscht werden, vor unbefugtem Zugriff, Änderungen oder Dienstunterbrechungen.

qa-nias-2-1-ms-20

Media, einschließlich fehlerhafter Media, die vertrauliche Informationen enthalten, werden vor der Entsorgung so weit wie möglich bereinigt.

qa-nias-2-1-ns-1

Details zur internen Netzwerk- und Systemkonfiguration, mitarbeiter- oder gerätebezogene Verzeichnisdienste und andere vertrauliche Technologien werden nicht öffentlich offengelegt oder von unbefugten Personen aufgelistet.

qa-nias-2-1-ns-17

Ein separater interner DNS-Server wird eingerichtet und im internen Netzwerk platziert, um interne Domaininformationen zu speichern, die nicht im Internet offengelegt werden.

qa-nias-2-1-ns-2

Die Organisation entfernt oder deaktiviert alle Standardkonten (z. B. „root“ oder „administrator“) oder ändert das Passwort gemäß Abschnitt C-6, Software Security (SS).

qa-nias-2-1-ns-20

Zonendateien werden digital signiert und es wird eine kryptografische gegenseitige Authentifizierung und Datenintegrität von Zonenübertragungen und dynamischen Updates bereitgestellt.

qa-nias-2-1-ns-21

Es wird eine kryptografische Ursprungsauthentifizierung und Integritätssicherung von DNS-Daten bereitgestellt.

qa-nias-2-1-ns-22

DNS-Dienste, einschließlich Zonenübertragungen, werden nur für autorisierte Nutzer bereitgestellt.

qa-nias-2-1-ns-25

Das Internet-Gateway lehnt alle Internetdienste ab, sofern sie nicht ausdrücklich aktiviert sind.

qa-nias-2-1-ns-27

Die Organisation verfügt über die erforderlichen Funktionen, um den Traffic zu überwachen und Trafficmuster, Nutzung usw. abzuleiten. Weitere Informationen finden Sie im Abschnitt B-10 „Protokollierung und Sicherheitsüberwachung (SM)“.

qa-nias-2-1-ns-29

Der SMTP-Mailserver wird gemäß Abschnitt C-10, Cryptographic Security (CY), mit TLS geschützt.

qa-nias-2-1-ns-3

Die Netzwerkkonfiguration unterliegt der Kontrolle des Netzwerkmanagers oder einer ähnlichen Person. Alle Änderungen an den Konfigurationen werden durch einen formalen Änderungskontrollprozess genehmigt, wie in Abschnitt B-5, Änderungsmanagement (CM), definiert. Sie werden dokumentiert und entsprechen der Netzwerksicherheitsrichtlinie und dem Sicherheitsplan, wie in Abschnitt B-12, Dokumentation (DC), definiert. Außerdem werden sie regelmäßig überprüft. Alte Konfigurationen, die durch die Verfahren der Organisation vorgeschrieben sind, werden im Rahmen der Änderungsüberarbeitung beibehalten. Die Häufigkeit der Überprüfung der Konfiguration hängt vom Risiko und den Prozessen der Organisation ab.

qa-nias-2-1-ns-5

Netzwerke werden so konzipiert und konfiguriert, dass die Möglichkeiten für unbefugten Zugriff auf Informationen, die über die Netzwerkinfrastruktur übertragen werden, eingeschränkt werden. Organisationen sollten die folgenden Technologien verwenden, um diese Anforderung zu erfüllen: Switches anstelle von Hubs; Portsicherheit auf Switches, um den Zugriff zu beschränken und alle nicht verwendeten Ports zu deaktivieren; Router und Firewalls, die Teile des Netzwerks nach dem Need-to-know-Prinzip trennen; IPsec oder IP Version 6; Verschlüsselung auf Anwendungsebene; ein automatisiertes Tool, das die laufende Konfiguration von Netzwerkgeräten mit der dokumentierten Konfiguration vergleicht; Authentifizierung am Netzwerkrand; Beschränkung und Verwaltung von Endnutzergeräten, die über Techniken wie MAC-Adressenfilterung mit dem Organisationsnetzwerk kommunizieren; IPS oder IDS zur Erkennung und Verhinderung von schädlichen Aktivitäten im Netzwerk; und Zeit- und Tagesbeschränkungen.

qa-nias-2-1-ns-53

Sprach- und Datennetzwerke sind getrennt. Die Trennung sollte physisch erfolgen, die Verwendung von virtuellen LANs ist jedoch zulässig. Das Voice-Gateway, das mit dem PSTN verbunden ist, trennt H.323-, SIP- oder andere VoIP-Protokolle vom Datennetzwerk.

qa-nias-2-1-ns-6

In Verwaltungsnetzwerken werden die folgenden Schutzmaßnahmen angewendet: Für Verwaltungsgeräte werden dedizierte Netzwerke verwendet, indem ein separates Verwaltungs-VLAN oder eine physisch separate Infrastruktur implementiert wird. Außerdem werden sichere Kanäle verwendet, z. B. durch VPNs oder SSH.

qa-nias-2-1-ns-7

VLANs werden verwendet, um IP-Telefonie-Traffic in geschäftskritischen Netzwerken zu trennen.

qa-nias-2-1-ns-8

Der administrative Zugriff ist nur vom VLAN mit der höchsten Klassifizierung auf ein VLAN mit derselben oder einer niedrigeren Klassifizierung zulässig.

qa-nias-2-1-pr-5

Die Sicherheitsbewertung des Produkts erfolgt in einer speziellen Bewertungskonfiguration, die Funktionstests, Sicherheitstests und Patches zum Schutz vor potenziellen Bedrohungen und Sicherheitslücken umfasst.

qa-nias-2-1-pr-6

Die Lieferung von Produkten entspricht den Sicherheitsrichtlinien der Organisation für eine sichere Lieferung.

qa-nias-2-1-pr-7

Sichere Lieferverfahren müssen Maßnahmen zur Erkennung von Manipulationen oder Maskierungen umfassen.

qa-nias-2-1-pr-8

Produkte wurden von Entwicklern gekauft, die sich zur fortlaufenden Wartung der Zusicherung ihres Produkts verpflichtet haben.

qa-nias-2-1-pr-9

Es gibt Prozesse zum Patchen und Aktualisieren von Produkten. Aktualisierungen von Produkten müssen den im Abschnitt B-5, Change Management (CM), angegebenen Richtlinien für das Änderungsmanagement entsprechen.

qa-nias-2-1-ss-13

Workstations verwenden eine gehärtete Standardbetriebsumgebung (Standard Operating Environment, SOE), die Folgendes umfasst: Entfernen unerwünschter Software, Deaktivieren nicht verwendeter oder unerwünschter Funktionen in installierter Software und Betriebssystemen, Implementieren von Zugriffskontrollen für relevante Objekte, um Systemnutzer und Programme auf den für die Ausführung ihrer Aufgaben erforderlichen Mindestzugriff zu beschränken, Installieren von softwarebasierten Firewalls, die eingehende und ausgehende Netzwerkverbindungen einschränken, und Konfigurieren der Remote-Protokollierung oder der Übertragung lokaler Ereignisprotokolle auf einen zentralen Server.

qa-nias-2-1-ss-14

Potenzielle Sicherheitslücken in ihren SOEs und Systemen werden durch Folgendes reduziert: Entfernen unnötiger Dateifreigaben, Sicherstellen, dass Patches auf dem neuesten Stand sind, Deaktivieren des Zugriffs auf alle unnötigen Ein- und Ausgabefunktionen, Entfernen ungenutzter Konten, Umbenennen von Standardkonten und Ersetzen von Standardpasswörtern.

qa-nias-2-1-ss-15

Server mit hohem Risiko, z. B. Web-, E‑Mail-, Datei- und Internetprotokoll-Telefonieserver, die mit unkontrollierten öffentlichen Netzwerken verbunden sind, müssen die folgenden Richtlinien erfüllen: Es muss eine effektive funktionale Trennung zwischen den Servern bestehen, damit sie unabhängig voneinander betrieben werden können. Die Kommunikation zwischen den Servern muss sowohl auf Netzwerk- als auch auf Dateisystemebene minimiert werden. Systemnutzer und Programme dürfen nur den minimal erforderlichen Zugriff haben, um ihre Aufgaben zu erfüllen.

qa-nias-2-1-ss-16

Prüfen Sie die Integrität aller Server, deren Funktionen für die Organisation von entscheidender Bedeutung sind und die als besonders gefährdet eingestuft werden. Diese Prüfungen sollten nach Möglichkeit in einer vertrauenswürdigen Umgebung und nicht im System selbst durchgeführt werden.

qa-nias-2-1-ss-17

Speichern Sie die Integritätsinformationen sicher außerhalb des Servers, sodass die Integrität erhalten bleibt.

qa-nias-2-1-ss-19

Vergleichen Sie im Rahmen des laufenden Prüfplans der Organisation die gespeicherten Integritätsinformationen mit den aktuellen Integritätsinformationen, um festzustellen, ob es zu einer Manipulation oder einer legitimen, aber falsch durchgeführten Systemänderung gekommen ist.

qa-nias-2-1-ss-2

Alle Anwendungen (einschließlich neuer und entwickelter) werden gemäß der National Data Classification Policy (IAP-NAT-DCLS) klassifiziert und erhalten einen Sicherheitsmechanismus, der ihren Vertraulichkeits-, Integritäts- und Verfügbarkeitsbewertungen entspricht.

qa-nias-2-1-ss-20

Die Organisation muss alle erkannten Änderungen gemäß den Verfahren der Organisation für das Management von Sicherheitsvorfällen in der Informations- und Kommunikationstechnologie (IKT) beheben.

qa-nias-2-1-ss-21

Alle Softwareanwendungen werden daraufhin überprüft, ob sie versuchen, externe Verbindungen herzustellen. Wenn die Funktion für automatische ausgehende Verbindungen enthalten ist, sollten Organisationen eine geschäftliche Entscheidung treffen, ob sie diese Verbindungen zulassen oder ablehnen, einschließlich einer Bewertung der damit verbundenen Risiken.

qa-nias-2-1-ss-23

Konnektivität und Zugriff zwischen den einzelnen Webanwendungskomponenten werden minimiert.

qa-nias-2-1-ss-24

Personenbezogene Daten und vertrauliche Daten werden bei der Speicherung und Übertragung durch geeignete kryptografische Kontrollen geschützt.

qa-nias-2-1-ss-29

Datenbankdateien sind vor Zugriffen geschützt, die die normalen Zugriffskontrollen der Datenbank umgehen.

qa-nias-2-1-ss-3

Sicherheitsanforderungen, einschließlich funktionaler, technischer und Assurance-Anforderungen, werden als Teil der Systemanforderungen entwickelt und implementiert.

qa-nias-2-1-ss-30

Datenbanken bieten Funktionen, mit denen die Aktionen von Systemnutzern geprüft werden können.

qa-nias-2-1-ss-31

Systemnutzer, die nicht über ausreichende Berechtigungen zum Aufrufen von Datenbankinhalten verfügen, können die zugehörigen Metadaten in einer Ergebnisliste aus einer Suchmaschinenanfrage nicht sehen. Wenn Ergebnisse aus Datenbankabfragen nicht richtig gefiltert werden können, müssen Organisationen dafür sorgen, dass alle Abfrageergebnisse entsprechend bereinigt werden, um die Mindestsicherheitsberechtigung von Systemnutzern zu erfüllen.

qa-nias-2-1-ss-4

Es ist eine dedizierte Test- und Entwicklungsinfrastruktur verfügbar, einschließlich Systemen und Daten, die von Produktionssystemen getrennt sind. Außerdem muss der Informationsfluss zwischen den Umgebungen gemäß einer definierten und dokumentierten Richtlinie streng begrenzt werden. Der Zugriff darf nur Systemnutzern mit einer klaren geschäftlichen Anforderung gewährt werden und der Schreibzugriff auf die maßgebliche Quelle für die Software muss deaktiviert sein.

qa-nias-2-1-ss-5

Alle Anwendungen, unabhängig davon, ob sie erworben oder entwickelt wurden, sind erst nach entsprechenden Tests und Prüfungen zur Qualitätssicherung und zur Gewährleistung der Sicherheit für die Produktion verfügbar, um sicherzustellen, dass das System die beabsichtigten Sicherheitsanforderungen erfüllt.

qa-nias-2-1-ss-6

Softwareentwickler wenden beim Schreiben von Code sichere Programmierverfahren an, darunter die Einhaltung von Best Practices, z. B. der 25 gefährlichsten Programmierfehler von Mitre, die Entwicklung von Software, die die niedrigste Berechtigungsstufe verwendet, die für die Ausführung ihrer Aufgabe erforderlich ist, die standardmäßige Verweigerung des Zugriffs, die Überprüfung der Rückgabewerte aller Systemaufrufe und die Validierung aller Eingaben.

qa-nias-2-1-ss-7

Software sollte auf Sicherheitslücken geprüft und/oder getestet werden, bevor sie in einer Produktionsumgebung verwendet wird. Die Software sollte von einer unabhängigen Partei und nicht vom Entwickler überprüft und/oder getestet werden.

qa-nias-2-1-vl-1

Für alle Mobilgeräte und Laptops sind Notvernichtung, Sperrplan, Remote-Löschung oder automatische Vernichtung eingerichtet.

qa-nias-2-1-vl-2

Härten Sie den Hypervisor, die Verwaltungsebene, die virtuelle Maschine und die zugehörigen Komponenten gemäß den branchenüblichen Best Practices und Sicherheitsrichtlinien sowie den Empfehlungen des Anbieters.

qa-nias-2-1-vl-3

Erzwingen Sie das Prinzip der geringsten Berechtigung und die Trennung von Aufgaben für die Verwaltung der virtuellen Umgebung. Definieren Sie dazu spezifische Rollen und detaillierte Berechtigungen für jeden Administrator in der zentralen Virtualisierungsverwaltungssoftware. Beschränken Sie den direkten administrativen Zugriff auf den Hypervisor so weit wie möglich. Je nach Risiko und Klassifizierung der verarbeiteten Informationen sollten Organisationen die Verwendung der Multi-Faktor-Authentifizierung oder die doppelte oder geteilte Kontrolle von administrativen Passwörtern zwischen mehreren Administratoren in Betracht ziehen. Weitere Informationen finden Sie im Abschnitt C9 „Zugriffsverwaltung“.

qa-nias-2-1-vl-5

Die virtualisierte Technologieumgebung sollte durch Sicherheitstechnologie von Drittanbietern ergänzt werden, um mehrschichtige Sicherheitskontrollen wie den Defense-in-Depth-Ansatz zu ermöglichen, die die vom Anbieter und der Technologie selbst bereitgestellten Kontrollen ergänzen.

qa-nias-2-1-vl-6

Trennen Sie virtuelle Maschinen basierend auf der Klassifizierung der Daten, die sie verarbeiten oder speichern.

qa-nias-2-1-vl-7

Ein Änderungsmanagementprozess umfasst die virtuelle Technologieumgebung. Dazu gehört Folgendes: Das Profil der virtuellen Maschine muss aktualisiert werden und die Integrität des Images der virtuellen Maschine muss jederzeit gewahrt werden. Außerdem müssen VMs, die sich nicht in einem aktiven Zustand befinden (inaktiv oder nicht mehr verwendet), gewartet und aktualisiert werden. Weitere Informationen finden Sie im Abschnitt B6 – Change Management.

qa-nias-2-1-vl-8

Protokolle aus der virtuellen Technologieumgebung müssen zusammen mit der anderen IT-Infrastruktur protokolliert und überwacht werden. Weitere Informationen finden Sie im Abschnitt B10 „Protokollierung und Sicherheitsüberwachung“.

NIST 800-53 Revision 5

Unterstützter Cloud-Anbieter: Google Cloud

Ein umfassender Katalog mit Sicherheits- und Datenschutzeinstellungen für die Entwicklung eines robusten Sicherheitsprogramms. Es ist für US-Bundessysteme vorgeschrieben und wird mittlerweile als Best-Practice-Framework von Organisationen in allen Branchen verwendet.

Dieser Rahmenplan umfasst die Cloud-Kontrollgruppen und Cloud-Kontrollen in den folgenden Abschnitten.

nist-r5-ac-02

A. Definieren und dokumentieren Sie die Arten von Konten, die für die Verwendung im System zulässig und ausdrücklich verboten sind. B. Account Manager zuweisen C. Organisationsdefinierte Voraussetzungen und Kriterien für die Gruppen- und Rollenzugehörigkeit festlegen. D. Geben Sie Folgendes an: a. Autorisierte Nutzer des Systems. b. Gruppen- und Rollenzugehörigkeit. c. Zugriffsberechtigungen oder ‑privilegien und von der Organisation definierte Attribute für jedes Konto. E. Genehmigungen durch von der Organisation festgelegte Mitarbeiter oder Rollen für Anfragen zum Erstellen von Konten erforderlich machen. F. Konten gemäß den von der Organisation definierten Richtlinien, Verfahren, Voraussetzungen und Kriterien erstellen, aktivieren, ändern, deaktivieren und entfernen. G. Nutzung von Konten überwachen H. Benachrichtigen Sie Account Manager und organisationsdefinierte Mitarbeiter oder Rollen in: a. Ein von der Organisation definierter Zeitraum, in dem Konten nicht mehr benötigt werden. b. Ein von der Organisation definierter Zeitraum, in dem Nutzer gekündigt oder übertragen werden. c. Ein von der Organisation definierter Zeitraum, in dem sich die Systemnutzung oder der Bedarf an vertraulichen Informationen für eine Person ändert. I. Zugriff auf das System autorisieren basierend auf: a. Eine gültige Zugriffsberechtigung. b. Vorgesehene Systemnutzung. c. Organisationsdefinierte Attribute. J. Konten in der von der Organisation festgelegten Häufigkeit auf Einhaltung der Anforderungen an die Kontoverwaltung prüfen. K. Richten Sie einen Prozess zum Ändern von Authentifizierungsfaktoren für gemeinsame Konten oder Gruppenkonten ein und implementieren Sie ihn, wenn Personen aus der Gruppe entfernt werden. L. Stimmen Sie die Prozesse für die Kontoverwaltung mit den Prozessen für die Beendigung und Versetzung von Mitarbeitern ab.

nist-r5-ac-03

Erzwingen Sie genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den anwendbaren Zugriffssteuerungsrichtlinien.

nist-r5-ac-04

Erzwingen Sie genehmigte Autorisierungen zur Steuerung des Informationsflusses innerhalb des Systems und zwischen verbundenen Systemen auf der Grundlage von organisationsdefinierten Richtlinien zur Steuerung des Informationsflusses.

nist-r5-ac-05

Identifizieren und dokumentieren Sie die von der Organisation definierten Aufgaben von Personen, die getrennt werden müssen. Definieren Sie Systemzugriffsberechtigungen, um die Aufgabentrennung zu unterstützen.

nist-r5-ac-06

Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie nur autorisierte Zugriffe für Nutzer oder Prozesse, die im Namen von Nutzern agieren und für die Erledigung zugewiesener Organisationsaufgaben erforderlich sind.

nist-r5-ac-06-05

Beschränken Sie privilegierte Konten im System auf vom Unternehmen definierte Mitarbeiter oder Rollen.

nist-r5-ac-07

Erzwingen Sie ein Limit für die Anzahl aufeinanderfolgender ungültiger Anmeldeversuche eines Nutzers innerhalb eines von der Organisation festgelegten Zeitraums. Wenn die maximale Anzahl fehlgeschlagener Versuche überschritten wird, wird das Konto oder der Knoten automatisch für einen von der Organisation festgelegten Zeitraum gesperrt. Das Konto oder der Knoten wird gesperrt, bis ein Administrator die Sperrung aufhebt. Die nächste Anmeldeaufforderung wird gemäß einem von der Organisation festgelegten Verzögerungsalgorithmus verzögert. Der Systemadministrator wird benachrichtigt. Es werden andere von der Organisation festgelegte Maßnahmen ergriffen.

nist-r5-ac-12

Nutzersitzungen automatisch beenden, wenn von der Organisation definierte Bedingungen oder Triggerereignisse, die eine Trennung der Sitzung erfordern, eintreten.

nist-r5-ac-17

Legen Sie Nutzungsbeschränkungen, Konfigurations- und Verbindungsanforderungen sowie Implementierungsrichtlinien für jede Art von zulässigem Remote-Zugriff fest und dokumentieren Sie diese. Autorisieren Sie jede Art von Remotezugriff auf das System, bevor Sie solche Verbindungen zulassen.

nist-r5-ac-17-03

Leiten Sie Fernzugriffe über autorisierte und verwaltete Netzwerkzugriffspunkte weiter.

nist-r5-ac-17-04

Autorisieren Sie die Ausführung privilegierter Befehle und den Zugriff auf sicherheitsrelevante Informationen über Remotezugriff nur in einem Format, das bewertbare Beweise liefert, und für organisationsdefinierte Anforderungen. Begründen Sie den Remotezugriff im Sicherheitsplan für das System.

nist-r5-ac-18

Konfigurationsanforderungen, Verbindungsanforderungen und Implementierungsanleitung für die einzelnen Arten des drahtlosen Zugriffs festlegen. Autorisieren Sie jede Art von drahtlosem Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

nist-r5-ac-19

Legen Sie Konfigurationsanforderungen, Verbindungsanforderungen und Implementierungsrichtlinien für von der Organisation kontrollierte Mobilgeräte fest, auch wenn sich diese Geräte außerhalb von kontrollierten Bereichen befinden. Die Verbindung von Mobilgeräten mit Organisationssystemen autorisieren

nist-r5-au-01

Entwickeln, dokumentieren und verbreiten Sie eine konforme Richtlinie für Audits und Verantwortlichkeit sowie die Verfahren für ihre Implementierung. Achten Sie darauf, dass die Richtlinie ihren Zweck, ihren Umfang, ihre Rollen und ihre Verantwortlichkeiten abdeckt. Weisen Sie einen bestimmten Verantwortlichen für die Verwaltung dieser Dokumentation zu und überprüfen und aktualisieren Sie die Richtlinien und Verfahren regelmäßig gemäß einem festgelegten Zeitplan oder als Reaktion auf bestimmte Ereignisse.

nist-r5-au-02

A. Identifizieren Sie die Arten von Ereignissen, die das System zur Unterstützung der Audit-Funktion protokollieren kann, z. B. Koordinieren Sie die Ereignisprotokollierungsfunktion mit anderen Organisationseinheiten, die prüfungsbezogene Informationen benötigen, um die Auswahlkriterien für zu protokollierende Ereignisse festzulegen. C. Geben Sie die von der Organisation definierten Ereignistypen an, die eine Teilmenge der in AU-02a definierten Ereignistypen sind, sowie die Häufigkeit oder Situation, die eine Protokollierung für jeden identifizierten Ereignistyp erfordert. D. Begründen Sie, warum die für die Protokollierung ausgewählten Ereignistypen als angemessen für die nachträgliche Untersuchung von Vorfällen gelten. E. Überprüfen und aktualisieren Sie die für das Logging ausgewählten Ereignistypen gemäß der von der Organisation festgelegten Häufigkeit.

nist-r5-au-03

Prüfen Sie, ob die Prüfprotokolle Informationen enthalten, die Folgendes belegen: A. Welche Art von Ereignis ist aufgetreten. B. Wann das Ereignis stattgefunden hat. C. Wo das Ereignis stattgefunden hat. D. Quelle des Ereignisses. D. Ergebnis des Ereignisses. F. Identität von Personen, Motiven, Objekten und Organisationen, die mit dem Ereignis in Verbindung stehen.

nist-r5-au-03-01

Audit-Logs mit organisationsdefinierten zusätzlichen Informationen erstellen

nist-r5-au-04

Weisen Sie Speicherkapazität für Audit-Logs zu, um die von der Organisation definierten Anforderungen an die Aufbewahrung von Audit-Logs zu erfüllen.

nist-r5-au-05

Benachrichtigen Sie organisationsdefinierte Mitarbeiter oder Rollen innerhalb eines organisationsdefinierten Zeitraums, wenn ein Fehler im Audit-Logging-Prozess auftritt. Führen Sie organisationsdefinierte zusätzliche Aktionen aus.

nist-r5-au-05-02

Benachrichtigungen innerhalb eines von der Organisation definierten Echtzeitzeitraums an von der Organisation definiertes Personal, Rollen oder Standorte senden, wenn von der Organisation definierte Fehlerereignisse bei der Überwachungsprotokollierung auftreten, die Echtzeitbenachrichtigungen erfordern.

nist-r5-au-06

System-Audit-Logs gemäß der von der Organisation festgelegten Häufigkeit auf Hinweise auf unangemessene oder ungewöhnliche Aktivitäten und die potenziellen Auswirkungen dieser Aktivitäten prüfen und analysieren. Ergebnisse an vom Unternehmen festgelegte Mitarbeiter oder Rollen melden. Passen Sie den Umfang der Überprüfung, Analyse und Berichterstellung von Audit-Logs im System an, wenn sich das Risiko aufgrund von Informationen von Strafverfolgungsbehörden, Geheimdienstinformationen oder anderen glaubwürdigen Informationsquellen ändert.

nist-r5-au-07

Stellen Sie eine Funktion zur Reduzierung von Audit-Einträgen und zur Berichterstellung bereit und implementieren Sie sie, die die Anforderungen an die Überprüfung, Analyse und Berichterstellung von Audit-Einträgen auf Abruf sowie die nachträgliche Untersuchung von Vorfällen unterstützt. Die Funktion darf den ursprünglichen Inhalt oder die zeitliche Reihenfolge der Audit-Datensätze nicht ändern.

nist-r5-au-11

Bewahren Sie Audit-Datensätze für einen von der Organisation festgelegten Zeitraum auf, der mit der Richtlinie zur Aufbewahrung von Datensätzen übereinstimmt, um die nachträgliche Untersuchung von Vorfällen zu unterstützen und die Anforderungen an die Aufbewahrung von Informationen durch Regulierungsbehörden und Organisationen zu erfüllen.

nist-r5-au-12

A. Bereitstellung der Möglichkeit zur Generierung von Audit-Datensätzen für die Ereignistypen, die das System gemäß AU-2a für organisationsdefinierte Systemkomponenten prüfen kann. B. Ermöglichen Sie es vom Unternehmen definierten Mitarbeitern oder Rollen, die Ereignistypen auszuwählen, die von bestimmten Komponenten des Systems protokolliert werden sollen. C. Audit-Einträge für die in AU-2c definierten Ereignistypen generieren, die den in AU-3 definierten Inhalt von Audit-Einträgen enthalten.

nist-r5-ca-2-2

Im Rahmen von Kontrollbewertungen gemäß der von der Organisation festgelegten Häufigkeit, angekündigt oder nicht angekündigt: detaillierte Überwachung; Sicherheitsinstrumentierung; automatisierte Sicherheitstestläufe; Scannen auf Sicherheitslücken; Tests mit böswilligen Nutzern; Bewertung von Insider-Bedrohungen; Leistungs- und Belastungstests; Bewertung von Datenlecks oder Datenverlusten oder andere von der Organisation festgelegte Bewertungsformen.

nist-r5-ca-7

Entwickeln Sie eine kontinuierliche Monitoring-Strategie auf Systemebene und implementieren Sie ein kontinuierliches Monitoring gemäß der kontinuierlichen Monitoring-Strategie auf Organisationsebene, die Folgendes umfasst: A. Festlegen der organisationsdefinierten Messwerte auf Systemebene. B. Festlegung von organisationsdefinierten Häufigkeiten für die Überwachung und Bewertung der Wirksamkeit von Kontrollverfahren. C. Laufende Kontrollprüfungen gemäß der Strategie für kontinuierliches Monitoring. D. Laufende Überwachung von System- und organisationsdefinierten Messwerten gemäß der Strategie für die kontinuierliche Überwachung. E. Korrelation und Analyse von Informationen, die durch Kontrollprüfungen und Monitoring generiert werden. F. Reaktionsmaßnahmen, um auf die Ergebnisse der Analyse von Informationen zur Kontrollbewertung und ‑überwachung zu reagieren. G. Den Sicherheits- und Datenschutzstatus des Systems gemäß der von der Organisation festgelegten Häufigkeit an das von der Organisation festgelegte Personal oder die von der Organisation festgelegten Rollen melden.

nist-r5-ca-9

A. Autorisieren Sie interne Verbindungen von organisationsdefinierten Systemkomponenten oder Komponentenklassen zum System. B. Dokumentieren Sie für jede interne Verbindung die Schnittstelleneigenschaften, Sicherheits- und Datenschutzanforderungen sowie die Art der übermittelten Informationen. C. Interne Systemverbindungen nach organisationsdefinierten Bedingungen beenden. D. Überprüfen Sie in der von der Organisation festgelegten Häufigkeit, ob jede interne Verbindung weiterhin erforderlich ist.

nist-r5-cm-01

A. Entwickeln, dokumentieren und verbreiten Sie an vom Unternehmen definiertes Personal oder Rollen: a. Eine Richtlinie zur Konfigurationsverwaltung, die auf Organisations-, Missions-, Geschäftsprozess- oder Systemebene definiert ist. Die Richtlinie muss Zweck, Umfang, Rollen, Verantwortlichkeiten, Management-Engagement, Koordination zwischen Organisationseinheiten und Compliance abdecken. Die Richtlinie muss mit anwendbaren Gesetzen, Verordnungen, Richtlinien, Vorschriften, Richtlinien, Standards und Leitlinien übereinstimmen. b. Verfahren zur Erleichterung der Implementierung der Konfigurationsverwaltungsrichtlinie und der zugehörigen Konfigurationsverwaltungsmaßnahmen. B. Weisen Sie einen von der Organisation definierten offiziellen Mitarbeiter zu, der die Entwicklung, Dokumentation und Verbreitung der Konfigurationsmanagement-Richtlinie und -Verfahren verwaltet. C. Prüfen und aktualisieren Sie die aktuellen Richtlinien und Verfahren für die Konfigurationsverwaltung gemäß den von der Organisation festgelegten Häufigkeiten und Ereignissen.

nist-r5-cm-02

A. Entwickeln, dokumentieren und pflegen Sie unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Systems. B. Prüfen und aktualisieren Sie die Referenzkonfiguration des Systems: a. Gemäß der von der Organisation festgelegten Häufigkeit. b. Wenn dies aufgrund von von der Organisation definierten Umständen erforderlich ist. c. Wenn Systemkomponenten installiert oder aktualisiert werden.

nist-r5-cm-06

A. Konfigurationseinstellungen für Komponenten im System festlegen und dokumentieren, die den restriktivsten Modus widerspiegeln, der mit den betrieblichen Anforderungen übereinstimmt, indem organisationsdefinierte gemeinsame sichere Konfigurationen verwendet werden. B. Implementieren Sie die Konfigurationseinstellungen. C. Identifizieren, dokumentieren und genehmigen Sie alle Abweichungen von den festgelegten Konfigurationseinstellungen für organisationsdefinierte Systemkomponenten basierend auf organisationsdefinierten betrieblichen Anforderungen. D. Änderungen an den Konfigurationseinstellungen gemäß den Organisationsrichtlinien und ‑verfahren überwachen und steuern.

nist-r5-cm-07

Konfigurieren Sie das System so, dass nur die von der Organisation definierten unternehmenskritischen Funktionen bereitgestellt werden. Die Verwendung von organisationsdefinierten Funktionen, Ports, Protokollen, Software oder Diensten verbieten oder einschränken.

nist-r5-cm-09

Entwickeln, dokumentieren und implementieren Sie einen Plan zur Konfigurationsverwaltung für das System, der Folgendes umfasst: A. Behandelt Rollen, Verantwortlichkeiten sowie Prozesse und Verfahren für die Konfigurationsverwaltung. B. Es wird ein Prozess zum Identifizieren von Konfigurationselementen während des gesamten Lebenszyklus der Systementwicklung und zum Verwalten der Konfiguration der Konfigurationselemente festgelegt. C. Definiert die Konfigurationselemente für das System und unterstellt sie dem Konfigurationsmanagement. D. Sie werden von von der Organisation definierten Mitarbeitern oder Rollen geprüft und genehmigt. E. Schützt den Konfigurationsmanagementplan vor unbefugter Offenlegung und Änderung.

nist-r5-cp-06

Richten Sie einen alternativen Speicherort ein, einschließlich der erforderlichen Vereinbarungen, um das Speichern und Abrufen von Systembackups zu ermöglichen. Achten Sie darauf, dass der alternative Speicherort Kontrollen bietet, die denen des primären Standorts entsprechen.

nist-r5-cp-07

A. Richten Sie einen alternativen Verarbeitungsstandort ein, einschließlich der erforderlichen Vereinbarungen, um die Übertragung und Wiederaufnahme der von der Organisation definierten Systemvorgänge für wichtige Missions- und Geschäftsfunktionen innerhalb des von der Organisation definierten Zeitraums in Übereinstimmung mit den Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) zu ermöglichen, wenn die primären Verarbeitungsmöglichkeiten nicht verfügbar sind. B. Stellen Sie am alternativen Verarbeitungsstandort die Geräte und Verbrauchsmaterialien zur Verfügung, die für die Übertragung und Wiederaufnahme des Betriebs erforderlich sind, oder schließen Sie Verträge ab, um die Lieferung an den Standort innerhalb des von der Organisation festgelegten Zeitraums für die Übertragung und Wiederaufnahme zu unterstützen. C. Stellen Sie am alternativen Verarbeitungsstandort Kontrollen bereit, die denen am primären Standort entsprechen.

nist-r5-ia-04

Systemkennungen verwalten: A. Autorisierung durch von der Organisation definiertes Personal oder Rollen zum Zuweisen einer Kennung für Einzelpersonen, Gruppen, Rollen, Dienste oder Geräte. B. Auswahl einer Kennung, die eine Einzelperson, Gruppe, Rolle, einen Dienst oder ein Gerät identifiziert. C. Zuweisen der Kennung an die vorgesehene Person, Gruppe, Rolle, den Dienst oder das Gerät. D. Wiederverwendung von Kennungen für einen von der Organisation definierten Zeitraum verhindern.

nist-r5-ia-05

Systemauthentifikatoren verwalten: a. Im Rahmen der Erstverteilung des Authentifikators wird die Identität der Person, Gruppe, Rolle, des Dienstes oder des Geräts überprüft, die bzw. das den Authentifikator erhält. b. Erstellen von Authentifikatorinhalten für alle von der Organisation ausgegebenen Authentifikatoren. c. Sicherstellen, dass Authentifikatoren für den vorgesehenen Zweck eine ausreichende Stärke des Mechanismus aufweisen. d. Einrichtung und Implementierung von administrativen Verfahren für die Erstverteilung von Authenticator-Geräten, für verlorene, kompromittierte oder beschädigte Authenticator-Geräte und für den Widerruf von Authenticator-Geräten. e. Ändern von Standardauthentifikatoren vor der ersten Verwendung. f. Ändern oder Aktualisieren von Authentifikatoren gemäß dem von der Organisation definierten Zeitraum nach Authentifikatortyp oder wenn von der Organisation definierte Ereignisse eintreten, z. B. Schutz von Authentifikatorinhalten vor unbefugter Offenlegung und Änderung. h. Erfordert, dass Einzelpersonen bestimmte Maßnahmen ergreifen und Geräte bestimmte Maßnahmen implementieren, um Authentifikatoren zu schützen. Ändern von Authentifizierungsfaktoren für Gruppen- oder Rollenkonten, wenn sich die Mitgliedschaft in diesen Konten ändert.

nist-r5-ia-08

Nutzer oder Prozesse, die nicht zur Organisation gehören, eindeutig identifizieren und authentifizieren.

nist-r5-ma-04

A. Genehmigen und überwachen Sie nicht lokale Wartungs- und Diagnoseaktivitäten. B. Die Verwendung von nicht lokalen Wartungs- und Diagnosetools ist nur in Übereinstimmung mit der Organisationsrichtlinie und wie im Sicherheitsplan für das System dokumentiert zulässig. C. Verwenden Sie eine starke Authentifizierung beim Einrichten von nicht lokalen Wartungs- und Diagnosesitzungen. D. Führen Sie Aufzeichnungen über Wartungs- und Diagnoseaktivitäten, die nicht vor Ort durchgeführt werden. E. Beenden Sie Sitzungs- und Netzwerkverbindungen, wenn die nicht lokale Wartung abgeschlossen ist.

nist-r5-mp-02

Beschränken Sie den Zugriff auf von der Organisation definierte Arten von digitalen oder nicht digitalen Medien auf von der Organisation definiertes Personal oder Rollen.

nist-r5-pe-01

A. Entwickeln, dokumentieren und verbreiten Sie an vom Unternehmen definiertes Personal oder Rollen: a. Eine Richtlinie für den physischen und umgebungsbezogenen Schutz, die auf Organisations-, Missions-, Geschäftsprozess- oder Systemebene definiert ist. Die Richtlinie muss Zweck, Umfang, Rollen, Verantwortlichkeiten, Management-Engagement, Koordination zwischen Organisationseinheiten und Compliance abdecken. Die Richtlinie muss mit anwendbaren Gesetzen, Verordnungen, Richtlinien, Vorschriften, Richtlinien, Standards und Leitlinien übereinstimmen. b. Verfahren zur Erleichterung der Implementierung der Richtlinie für den physischen und umgebungsbezogenen Schutz und der zugehörigen Kontrollen für den physischen und umgebungsbezogenen Schutz. B. Weisen Sie einen von der Organisation definierten Verantwortlichen zu, der die Entwicklung, Dokumentation und Verbreitung der Richtlinie und Verfahren für den physischen und umgebungsbezogenen Schutz verwaltet. C. Überprüfen und aktualisieren Sie die aktuellen Richtlinien und Verfahren für den physischen und umgebungsbezogenen Schutz gemäß den von der Organisation festgelegten Häufigkeiten und Ereignissen.

nist-r5-pl-08

A. Entwickeln Sie Sicherheits- und Datenschutzarchitekturen für das System: a. Beschreiben Sie die Anforderungen und den Ansatz zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Organisationsinformationen. b. Beschreiben Sie die Anforderungen und den Ansatz für die Verarbeitung personenbezogener Daten, um das Datenschutzrisiko für Einzelpersonen zu minimieren. c. Beschreiben Sie, wie die Architekturen in die Unternehmensarchitektur integriert werden und diese unterstützen. d. Beschreiben Sie alle Annahmen zu und Abhängigkeiten von externen Systemen und Diensten. B. Überprüfen und aktualisieren Sie die Architekturen in einem von der Organisation festgelegten Rhythmus, um Änderungen an der Unternehmensarchitektur zu berücksichtigen. C. Berücksichtigen Sie geplante Architekturänderungen in Sicherheits- und Datenschutzplänen, dem Concept of Operations (CONOPS), der Kritikalitätsanalyse, den Organisationsverfahren sowie Beschaffungen und Akquisitionen.

nist-r5-ra-03

A. Führen Sie eine Risikobewertung durch, die Folgendes umfasst: a. Bedrohungen und Sicherheitslücken im System identifizieren. b. Bestimmung der Wahrscheinlichkeit und des Ausmaßes von Schäden durch unbefugten Zugriff sowie unbefugte Nutzung, Offenlegung, Veränderung und Löschung oder Störungen des Systems, der darin verarbeiteten, gespeicherten oder übertragenen Informationen und aller zugehörigen Informationen. c. Bestimmung der Wahrscheinlichkeit und der Auswirkungen von nachteiligen Auswirkungen auf Personen, die sich aus der Verarbeitung personenbezogener Daten ergeben. B. Ergebnisse der Risikobewertung und Entscheidungen zum Risikomanagement aus der Sicht der Organisation und des Missions- oder Geschäftsprozesses in Risikobewertungen auf Systemebene einbeziehen; C. Dokumentieren Sie die Ergebnisse der Risikobewertung in Sicherheits- und Datenschutzplänen, im Risikobewertungsbericht und in einem von der Organisation definierten Dokument. D. Prüfen Sie die Ergebnisse der Risikobewertung in einer von der Organisation festgelegten Häufigkeit. E. Die Ergebnisse der Risikobewertung an das von der Organisation definierte Personal oder die von der Organisation definierten Rollen weitergeben. F Aktualisieren Sie die Risikobewertung in einer von der Organisation festgelegten Häufigkeit oder wenn sich das System, seine Betriebsumgebung oder andere Bedingungen, die sich auf den Sicherheits- oder Datenschutzstatus des Systems auswirken können, erheblich ändern.

nist-r5-ra-05

A. Überwachung und Scannen des Systems und der gehosteten Anwendungen auf Sicherheitslücken in der von der Organisation festgelegten Häufigkeit oder zufällig gemäß dem von der Organisation festgelegten Verfahren und wenn neue Sicherheitslücken identifiziert und gemeldet werden, die sich potenziell auf das System auswirken; B. Verwenden Sie Tools und Techniken zur Überwachung von Sicherheitslücken, die die Interoperabilität zwischen Tools ermöglichen und Teile des Prozesses zur Verwaltung von Sicherheitslücken mithilfe von Standards für Folgendes automatisieren: a. Aufzählen von Plattformen, Softwarefehlern und falschen Konfigurationen. b. Checklisten und Testverfahren formatieren c. Auswirkungen von Sicherheitslücken messen. C. Berichte zu Scans auf Sicherheitslücken und Ergebnisse des Sicherheitslückenmonitorings analysieren. D. Beheben Sie berechtigte Sicherheitslücken innerhalb der von der Organisation festgelegten Reaktionszeiten in Übereinstimmung mit einer organisationsbezogenen Risikobewertung. E. Geben Sie Informationen aus dem Prozess zur Überwachung von Sicherheitslücken und aus Kontrollprüfungen an vom Unternehmen festgelegte Mitarbeiter oder Rollen weiter, um ähnliche Sicherheitslücken in anderen Systemen zu beseitigen. F. Verwenden Sie Tools zur Überwachung von Sicherheitslücken, mit denen sich die zu scannenden Sicherheitslücken einfach aktualisieren lassen.

nist-r5-sa-03

Beschaffen, entwickeln und verwalten Sie das System mithilfe eines von der Organisation definierten Systementwicklungslebenszyklus, der Aspekte der Informationssicherheit und des Datenschutzes berücksichtigt. Definieren und dokumentieren Sie Rollen und Verantwortlichkeiten für Informationssicherheit und Datenschutz während des gesamten Systementwicklungszyklus. Personen mit Rollen und Verantwortlichkeiten für Informationssicherheit und Datenschutz identifizieren. Integrieren Sie den Prozess für das Management von Risiken in Bezug auf Informationssicherheit und Datenschutz in die Aktivitäten des Lebenszyklus der Systementwicklung.

nist-r5-sa-08

Anwenden von organisationsdefinierten Entwicklungsprinzipien für Sicherheit und Datenschutz bei der Spezifikation, dem Design, der Entwicklung, der Implementierung und der Änderung des Systems und der Systemkomponenten.

nist-r5-sa-10

Der Entwickler des Systems, der Systemkomponente oder des Systemdienstes muss: A. Konfigurationsmanagement während des System-, Komponenten- oder Dienstdesigns, der Entwicklung, Implementierung, des Betriebs oder der Entsorgung durchführen. B. Dokumentieren, verwalten und kontrollieren Sie die Integrität von Änderungen an organisationsdefinierten Konfigurationselementen im Rahmen des Konfigurationsmanagements. C. Nehmen Sie nur von der Organisation genehmigte Änderungen am System, an der Komponente oder am Dienst vor. D. Genehmigte Änderungen am System, an der Komponente oder am Dienst sowie die potenziellen Auswirkungen solcher Änderungen auf Sicherheit und Datenschutz dokumentieren. E. Sicherheitslücken und deren Behebung im System, in der Komponente oder im Dienst verfolgen und Ergebnisse an vom Unternehmen festgelegte Mitarbeiter melden.

nist-r5-sa-11

Verpflichten Sie den Entwickler des Systems, der Systemkomponente oder des Systemdienstes in allen Phasen des Systementwicklungslebenszyklus nach der Designphase zu Folgendem: A. Entwickeln und implementieren Sie einen Plan für laufende Sicherheits- und Datenschutzprüfungen, z. B. Führen Sie Unit-, Integrations-, System- und Regressionstests gemäß der von der Organisation festgelegten Häufigkeit sowie in der von der Organisation festgelegten Tiefe und Abdeckung durch. C. Legen Sie Nachweise für die Ausführung des Bewertungsplans und die Ergebnisse der Tests und der Bewertung vor. D. Implementieren Sie ein überprüfbares Verfahren zur Behebung von Sicherheitslücken. E. Beheben Sie Mängel, die bei Tests und Bewertungen festgestellt wurden.

nist-r5-sa-15

Der Entwickler des Systems, der Systemkomponente oder des Systemdienstes muss einen dokumentierten Entwicklungsprozess durchlaufen, der Folgendes umfasst: explizite Berücksichtigung von Sicherheits- und Datenschutzanforderungen, Angabe der im Entwicklungsprozess verwendeten Standards und Tools, Dokumentation der spezifischen Tool-Optionen und Tool-Konfigurationen, die im Entwicklungsprozess verwendet werden, sowie Dokumentation, Verwaltung und Sicherung der Integrität von Änderungen am Prozess und an den im Entwicklungsprozess verwendeten Tools. Überprüfen Sie den Entwicklungsprozess, die Standards, die Tools, die Tool-Optionen und die Tool-Konfigurationen gemäß der von der Organisation festgelegten Häufigkeit, um festzustellen, ob der ausgewählte und verwendete Prozess, die Standards, die Tools, die Tool-Optionen und die Tool-Konfigurationen die von der Organisation festgelegten Sicherheits- und Datenschutzanforderungen erfüllen können.

nist-r5-sa-21

Der Entwickler eines organisationsdefinierten Systems, einer Systemkomponente oder eines Systemdienstes muss über die entsprechenden Zugriffsberechtigungen verfügen, die durch zugewiesene organisationsdefinierte offizielle staatliche Aufgaben bestimmt werden. Der Entwickler muss die zusätzlichen von der Organisation definierten Kriterien für die Überprüfung von Mitarbeitern erfüllen.

nist-r5-sc-03

Sicherheitsfunktionen von anderen Funktionen isolieren

nist-r5-sc-05

Schutz vor den Auswirkungen von unternehmensdefinierten Denial-of-Service-Ereignissen Setzen Sie organisationsdefinierte Kontrollen nach Art des Denial-of-Service-Ereignisses ein.

nist-r5-sc-07

Kommunikation an den extern verwalteten Schnittstellen zum System und an wichtigen intern verwalteten Schnittstellen innerhalb des Systems überwachen und steuern. Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die physisch und logisch von internen Organisationsnetzwerken getrennt sind. Stellen Sie nur über verwaltete Schnittstellen, die aus Grenzschutzgeräten bestehen, die gemäß einer organisatorischen Sicherheits- und Datenschutzarchitektur angeordnet sind, eine Verbindung zu externen Netzwerken oder Systemen her.

nist-r5-sc-07-05

Netzwerkkommunikationstraffic standardmäßig ablehnen und Ausnahmen an verwalteten Schnittstellen für von der Organisation definierte Systeme zulassen.

nist-r5-sc-08

Schutz der Vertraulichkeit und Integrität übertragener Informationen

nist-r5-sc-10

Die Netzwerkverbindung, die einer Kommunikationssitzung zugeordnet ist, wird am Ende der Sitzung oder nach einem von der Organisation festgelegten Zeitraum der Inaktivität beendet.

nist-r5-sc-12

Kryptografische Schlüssel einrichten und verwalten, wenn im System Kryptografie eingesetzt wird, in Übereinstimmung mit den Anforderungen an die Schlüsselverwaltung, z. B. organisationsdefinierte Anforderungen an die Schlüsselerzeugung, -verteilung, -speicherung, -zugriff und -vernichtung.

nist-r5-sc-13

Legen Sie die erforderlichen Anwendungsfälle für die Kryptografie fest und implementieren Sie die spezifischen Arten der Kryptografie, die für jeden dieser definierten Anwendungsfälle erforderlich sind.

nist-r5-sc-23

Die Authentizität von Kommunikationssitzungen schützen

nist-r5-sc-28

Schutz der Vertraulichkeit und Integrität der von der Organisation definierten ruhenden Daten.

nist-r5-sc-28-01

Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der von der Organisation definierten inaktiven Informationen auf den von der Organisation definierten Systemkomponenten zu verhindern.

nist-r5-si-01

A. Entwickeln, dokumentieren und verbreiten Sie an vom Unternehmen definiertes Personal oder Rollen: a. Eine Richtlinie für System- und Informationsintegrität, die auf Organisations-, Missions- oder Geschäftsprozessebene oder auf Systemebene definiert ist. Die Richtlinie muss Zweck, Umfang, Rollen, Verantwortlichkeiten, Management-Engagement, Koordination zwischen Organisationseinheiten und Compliance abdecken. Die Richtlinie muss mit anwendbaren Gesetzen, Verordnungen, Richtlinien, Vorschriften, Richtlinien, Standards und Leitlinien übereinstimmen. b. Verfahren zur Erleichterung der Implementierung der Richtlinie zur System- und Informationsintegrität und der zugehörigen Kontrollen zur System- und Informationsintegrität. B. Weisen Sie einen von der Organisation definierten Beamten zu, der die Entwicklung, Dokumentation und Verbreitung der Richtlinien und Verfahren zur System- und Informationsintegrität verwaltet. C. Prüfen und aktualisieren Sie die aktuellen Richtlinien und Verfahren zur System- und Informationsintegrität gemäß den von der Organisation festgelegten Häufigkeiten und Ereignissen.

nist-r5-si-02

Systemfehler erkennen, melden und beheben. Testen Sie Software- und Firmware-Updates im Zusammenhang mit der Behebung von Sicherheitslücken vor der Installation auf Wirksamkeit und mögliche Nebenwirkungen. Installieren Sie sicherheitsrelevante Software- und Firmware-Updates innerhalb eines von der Organisation festgelegten Zeitraums nach der Veröffentlichung der Updates. Nehmen Sie die Behebung von Sicherheitslücken in den Prozess zur Konfigurationsverwaltung der Organisation auf.

nist-r5-si-02-02

Es wird ermittelt, ob für Systemkomponenten anwendbare sicherheitsrelevante Software- und Firmware-Updates installiert sind. Dies geschieht in einer von der Organisation festgelegten Häufigkeit mithilfe von von der Organisation definierten automatisierten Mechanismen.

nist-r5-si-03

A. Implementieren Sie signaturbasierte oder nicht signaturbasierte Mechanismen zum Schutz vor schädlichem Code an den Ein- und Ausstiegspunkten des Systems, um schädlichen Code zu erkennen und zu beseitigen. B. Schutzmechanismen für schädlichen Code werden automatisch aktualisiert, sobald neue Releases gemäß den Richtlinien und Verfahren für die Konfigurationsverwaltung der Organisation verfügbar sind. C. Konfigurieren Sie Schutzmechanismen für schädlichen Code, um: a. Führen Sie regelmäßige Scans des Systems in einer von der Organisation festgelegten Häufigkeit und Echtzeitscans von Dateien aus externen Quellen am Endpunkt durch. Netzwerk-Ein- und ‑Ausgangspunkte, wenn die Dateien gemäß der Organisationsrichtlinie heruntergeladen, geöffnet oder ausgeführt werden. b. Schädlichen Code blockieren, schädlichen Code unter Quarantäne stellen, organisationsdefinierte Maßnahmen ergreifen und Benachrichtigungen an organisationsdefiniertes Personal oder Rollen senden, wenn schädlicher Code erkannt wird. D. Behandeln Sie den Empfang von Falschmeldungen während der Erkennung und Beseitigung von schädlichem Code und die daraus resultierenden potenziellen Auswirkungen auf die Verfügbarkeit des Systems.

nist-r5-si-04

A. Überwachen Sie das System, um Folgendes zu erkennen: a. Angriffe und Indikatoren für potenzielle Angriffe gemäß den von der Organisation definierten Überwachungszielen. b. Nicht autorisierte lokale, Netzwerk- und Remote-Verbindungen. B. Unbefugte Nutzung des Systems mithilfe von organisationsdefinierten Techniken und Methoden erkennen. C. Interne Überwachungsfunktionen aufrufen oder Überwachungsgeräte bereitstellen: a. Strategisch innerhalb des Systems, um von der Organisation festgelegte wichtige Informationen zu erfassen. b. An Ad-hoc-Standorten im System, um bestimmte Arten von Transaktionen zu erfassen, die für die Organisation von Interesse sind. D. Erkannte Ereignisse und Anomalien analysieren. E. Passen Sie das Niveau der Systemüberwachungsaktivitäten an, wenn sich das Risiko für den Betrieb und die Assets der Organisation, Einzelpersonen, andere Organisationen oder den Staat ändert. F. Rechtsgutachten zu Systemmonitoring-Aktivitäten einholen G. Stellen Sie organisationsdefinierte Informationen zur Systemüberwachung bei Bedarf oder gemäß der organisationsdefinierten Häufigkeit für organisationsdefinierte Mitarbeiter oder Rollen bereit.

nist-r5-si-04-02

Automatisierte Tools und Mechanismen zur Unterstützung von Analysen von Ereignissen nahezu in Echtzeit einsetzen.

nist-r5-si-04-04

Legen Sie Kriterien für ungewöhnliche oder nicht autorisierte Aktivitäten oder Bedingungen für eingehenden und ausgehenden Kommunikationsverkehr fest. Eingehenden und ausgehenden Kommunikationsverkehr in einer von der Organisation festgelegten Häufigkeit auf von der Organisation festgelegte ungewöhnliche oder nicht autorisierte Aktivitäten oder Bedingungen überwachen.

nist-r5-si-07

a. Verwenden Sie Tools zur Integritätsprüfung, um nicht autorisierte Änderungen an von der Organisation definierter Software, Firmware und Informationen zu erkennen. b. Ergreifen Sie von der Organisation definierte Maßnahmen, wenn unbefugte Änderungen an der Software, Firmware und den Informationen erkannt werden.

nist-r5-si-07-01

Führen Sie beim Start und bei organisationsdefinierten Übergangszuständen oder sicherheitsrelevanten Ereignissen in einer organisationsdefinierten Häufigkeit eine Integritätsprüfung der organisationsdefinierten Software, Firmware und Informationen durch.

nist-r5-si-07-02

Verwenden Sie automatisierte Tools, die bei der Integritätsprüfung Unstimmigkeiten erkennen und die von der Organisation festgelegten Mitarbeiter oder Rollen benachrichtigen.

nist-r5-si-12

Informationen im System und die Ausgabe von Informationen aus dem System in Übereinstimmung mit anwendbaren Gesetzen, Verordnungen, Richtlinien, Vorschriften, Richtlinien, Standards, Leitlinien und betrieblichen Anforderungen verwalten und aufbewahren.

NIST AI 600-1 Privacy Controls

Unterstützter Cloud-Anbieter: Google Cloud

Datenschutzeinstellungen gemäß NIST AI 600-1 für die Einführung von generativer KI

Dieser Rahmenplan umfasst die Cloud-Kontrollgruppen und Cloud-Kontrollen in den folgenden Abschnitten.

nist-600-1-gv-6.1-001

Verschiedene Arten von generativen KI-Inhalten mit zugehörigen Drittanbieterrechten kategorisieren. Dazu gehören beispielsweise Urheberrechte, geistiges Eigentum und Datenschutz.

nist-600-1-mg-2.2-002

Dokumentieren Sie die Trainingsdatenquellen, um den Ursprung und die Herkunft von KI-generierten Inhalten nachzuvollziehen.

nist-600-1-mg-2.2-007

Verwenden Sie Tools für die Echtzeitprüfung, wenn sie nachweislich zur Nachverfolgung und Validierung der Herkunft und Authentizität von KI-generierten Daten beitragen können.

nist-600-1-mg-2.2-009

Prüfen Sie, ob es Möglichkeiten gibt, synthetische Daten und andere datenschutzfreundliche Techniken bei der Entwicklung von generativer KI verantwortungsbewusst einzusetzen. Wenn dies angemessen und anwendbar ist, sollten die statistischen Eigenschaften von Daten aus der realen Welt berücksichtigt werden, ohne personenidentifizierbare Informationen offenzulegen oder zur Homogenisierung beizutragen.

nist-600-1-mg-3.2-003

Dokumentieren Sie Quellen und Arten von Trainingsdaten sowie deren Herkunft, potenzielle Verzerrungen in den Daten in Bezug auf die generative KI-Anwendung und ihre Inhaltsherkunft, Architektur, den Trainingsprozess des vortrainierten Modells, einschließlich Informationen zu Hyperparametern, Trainingsdauer und allen angewendeten Feinabstimmungsprozessen.

nist-600-1-mp-2.1-002

Führen Sie Tests und Bewertungen für Daten- und Inhaltsflüsse im KI-System ein, einschließlich, aber nicht beschränkt auf ursprüngliche Datenquellen, Datentransformationen und Entscheidungsfindung.

nist-600-1-mp-4.1-001

Führen Sie regelmäßige Kontrollen KI-generierter Inhalte auf Datenschutzrisiken durch und beheben Sie alle möglichen Fälle von Offenlegung personenidentifizierbarer Informationen oder sensibler Daten.

nist-600-1-mp-4.1-004

Dokumentieren Sie Richtlinien zur Zusammenstellung von Trainingsdaten, soweit dies möglich ist und gemäß anwendbaren Gesetzen und Richtlinien.

nist-600-1-mp-4.1-005

Richtlinien für die Erhebung, Aufbewahrung und Mindestqualität von Daten festlegen, wobei die folgenden Risiken berücksichtigt werden: Offenlegung unangemessener CBRN-Informationen; Verwendung illegaler oder gefährlicher Inhalte; offensive Cyber-Fähigkeiten; Ungleichgewichte bei Trainingsdaten, die zu schädlichen Vorurteilen führen könnten; Offenlegung personenbezogener Daten, einschließlich Gesichtsbildern von Personen.

nist-600-1-mp-4.1-009

Verwenden Sie Ansätze, um das Vorhandensein von personenbezogenen Daten oder vertraulichen Daten in generiertem Ausgabetext, Bild, Video oder Audio zu erkennen.

nist-600-1-mp-4.1-010

Führen Sie eine angemessene Sorgfaltspflicht bei der Verwendung von Trainingsdaten durch, um Risiken in Bezug auf geistiges Eigentum und Datenschutz zu bewerten. Prüfen Sie unter anderem, ob die Verwendung von proprietären oder sensiblen Trainingsdaten mit den geltenden Gesetzen übereinstimmt.

nist-600-1-ms-1.1-002

Integrieren Sie Tools, die die Herkunft von Inhalten analysieren und Datenanomalien erkennen, die Authentizität digitaler Signaturen überprüfen und Muster identifizieren, die mit Falschinformationen oder Manipulationen in Verbindung stehen.

nist-600-1-ms-2.2-004

Verwenden Sie Techniken wie Anonymisierung, Differential Privacy oder andere datenschutzfreundliche Technologien, um die Risiken zu minimieren, die mit der Verknüpfung von KI-generierten Inhalten mit einzelnen Personen verbunden sind.

nist-600-1-ms-2.5-005

Prüfen Sie, ob die Herkunft der Trainingsdaten und der Daten für Tests, Evaluierung, Bestätigung und Validierung (TEVV) des Systems für generative KI (GAI) sowie der Daten für das Feinabstimmungs- oder Retrieval-Augmented Generation-Verfahren (RAG) fundiert ist.

nist-600-1-ms-2.6-002

Bewerten Sie das Vorhandensein oder die Ausprägung von schädlichen Vorurteilen, Verstößen gegen geistiges Eigentum, Datenschutzverletzungen, Obszönität, Extremismus, Gewalt oder CBRN-Informationen in den Trainingsdaten des Systems.

nist-600-1-ms-2.9-002

Dokumentieren Sie die Details des GAI-Modells, einschließlich: vorgeschlagene Verwendung und organisatorischer Wert; Annahmen und Einschränkungen; Methoden zur Datenerhebung; Datenherkunft; Datenqualität; Modellarchitektur (z. B. Convolutional Neural Network und Transformers); Optimierungsziele; Trainingsalgorithmen; RLHF-Ansätze; Ansätze zur Feinabstimmung oder zur Retrieval-Augmented Generation; Bewertungsdaten; ethische Erwägungen; rechtliche und regulatorische Anforderungen.

NIST Cybersecurity Framework 1.1

Unterstützter Cloud-Anbieter: Google Cloud

Ein strategisches Framework, das Unternehmen beim Management von Cybersicherheitsrisiken unterstützt. Es gliedert Aktivitäten in fünf Kernfunktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. So erhalten Sie einen allgemeinen Überblick über Ihren Sicherheitsstatus.

Dieser Rahmenplan umfasst die Cloud-Kontrollgruppen und Cloud-Kontrollen in den folgenden Abschnitten.

nist-csf-de-ae

Anomalien und Ereignisse (DE.AE): Ungewöhnliche Aktivitäten werden erkannt und die potenziellen Auswirkungen von Ereignissen werden verstanden.

nist-csf-de-ae-1

Eine Baseline für Netzwerkoperationen und erwartete Datenflüsse für Nutzer und Systeme wird eingerichtet und verwaltet.

nist-csf-de-ae-2

Erkannte Ereignisse werden analysiert, um die Ziele und Methoden von Angriffen zu verstehen.

nist-csf-de-ae-3

Ereignisdaten werden aus mehreren Quellen und Sensoren erfasst und korreliert.

nist-csf-de-ae-4

Die Auswirkungen von Ereignissen werden ermittelt.

nist-csf-de-ae-5

Es werden Schwellenwerte für Benachrichtigungen über Vorfälle festgelegt.

nist-csf-de-cm

Kontinuierliche Sicherheitsüberwachung (DE.CM): Das Informationssystem und die Assets werden überwacht, um Cybersicherheitsereignisse zu erkennen und die Wirksamkeit der Schutzmaßnahmen zu überprüfen.

nist-csf-de-cm-1

Das Netzwerk wird überwacht, um potenzielle Cybersicherheitsereignisse zu erkennen.

nist-csf-de-cm-2

Die physische Umgebung wird überwacht, um potenzielle Cybersicherheitsereignisse zu erkennen.

nist-csf-de-cm-3

Die Aktivitäten des Personals werden überwacht, um potenzielle Cybersicherheitsereignisse zu erkennen.

nist-csf-de-cm-4

Schadcode wird erkannt.

nist-csf-de-cm-5

Es wurde ein nicht autorisierter mobiler Code erkannt.

nist-csf-de-cm-6

Die Aktivitäten externer Dienstleister werden überwacht, um potenzielle Cybersicherheitsereignisse zu erkennen.

nist-csf-de-cm-7

Es wird auf unbefugtes Personal, Verbindungen, Geräte und Software geachtet.

nist-csf-de-cm-8

Es werden Scans auf Sicherheitslücken durchgeführt.

nist-csf-de-dp-1

Rollen und Verantwortlichkeiten für die Erkennung sind klar definiert, um die Rechenschaftspflicht zu gewährleisten.

nist-csf-de-dp-4

Informationen zur Ereigniserkennung werden weitergegeben.

nist-csf-id-am

Asset Management: Die Daten, das Personal, die Geräte, die Systeme und die Einrichtungen, die es der Organisation ermöglichen, Geschäftsziele zu erreichen, werden identifiziert und entsprechend ihrer relativen Bedeutung für die Organisationsziele und die Risikostrategie der Organisation verwaltet.

nist-csf-id-am-1

Physische Geräte und Systeme in der Organisation werden inventarisiert.

nist-csf-id-am-4

Externe Informationssysteme werden katalogisiert.

nist-csf-id-am-6

Es werden Cybersicherheitsrollen und ‑verantwortlichkeiten für alle Mitarbeiter und Drittanbieter (z. B. Lieferanten, Kunden, Partner) festgelegt.

nist-csf-id-gv-1

Die Cybersicherheitsrichtlinie der Organisation wird festgelegt und kommuniziert.

nist-csf-id-gv-3

Rechtliche und behördliche Anforderungen in Bezug auf Cybersicherheit, einschließlich Verpflichtungen in Bezug auf Datenschutz und bürgerliche Freiheiten, werden verstanden und eingehalten.

nist-csf-id-gv-4

Governance- und Risikomanagementprozesse gehen auf Cybersicherheitsrisiken ein.

nist-csf-id-ra-1

Sicherheitslücken in Assets werden identifiziert und dokumentiert.

nist-csf-id-ra-2

Informationen zu Cyberbedrohungen werden aus Foren und Quellen für den Informationsaustausch bezogen.

nist-csf-id-ra-3

Sowohl interne als auch externe Bedrohungen werden identifiziert und dokumentiert.

nist-csf-id-sc-3

Verträge mit Lieferanten und Drittanbietern werden verwendet, um geeignete Maßnahmen zu implementieren, die auf die Ziele des Cybersecurity-Programms und des Cyber Supply Chain Risk Management Plan eines Unternehmens ausgerichtet sind.

nist-csf-pr-ac

Identitätsverwaltung, Authentifizierung und Zugriffssteuerung (PR.AC): Der Zugriff auf physische und logische Assets und zugehörige Einrichtungen ist auf autorisierte Nutzer, Prozesse und Geräte beschränkt und wird in Übereinstimmung mit dem bewerteten Risiko eines unbefugten Zugriffs auf autorisierte Aktivitäten und Transaktionen verwaltet.

nist-csf-pr-ac-1

Identitäten und Anmeldedaten werden für autorisierte Geräte, Nutzer und Prozesse ausgestellt, verwaltet, überprüft, widerrufen und geprüft.

nist-csf-pr-ac-2

Der physische Zugriff auf Assets wird verwaltet und geschützt.

nist-csf-pr-ac-3

Der Remote-Zugriff wird verwaltet.

nist-csf-pr-ac-4

Zugriffsberechtigungen und Autorisierungen werden unter Berücksichtigung der Prinzipien der geringsten Berechtigung und der Aufgabentrennung verwaltet.

nist-csf-pr-ac-5

Die Netzwerkintegrität ist geschützt (z. B. durch Netzwerksegregation, Netzwerksegmentierung).

nist-csf-pr-ac-6

Identitäten werden überprüft, an Anmeldedaten gebunden und in Interaktionen bestätigt.

nist-csf-pr-ac-7

Nutzer, Geräte und andere Assets werden entsprechend dem Risiko der Transaktion authentifiziert (z. B. Ein-Faktor- oder Multi-Faktor-Authentifizierung), z. B. Sicherheits- und Datenschutzrisiken für Einzelpersonen und andere organisatorische Risiken.

nist-csf-pr-ds-1

Ruhende Daten sind geschützt.

nist-csf-pr-ds-2

Daten bei der Übertragung sind geschützt.

nist-csf-pr-ds-3

Assets werden während des gesamten Prozesses der Entfernung, Übertragung und Entsorgung formell verwaltet.

nist-csf-pr-ds-4

Ausreichende Kapazität, um die Verfügbarkeit aufrechtzuerhalten.

nist-csf-pr-ds-5

Es werden Schutzmaßnahmen gegen Datenlecks implementiert.

nist-csf-pr-ip

Prozesse und Verfahren zum Schutz von Informationen (PR.IP): Sicherheitsrichtlinien (die Zweck, Umfang, Rollen, Verantwortlichkeiten, Management-Engagement und Koordination zwischen Organisationseinheiten abdecken), Prozesse und Verfahren werden aufrechterhalten und verwendet, um den Schutz von Informationssystemen und ‑ressourcen zu verwalten.

nist-csf-pr-ip-1

Eine Baseline-Konfiguration von Informationstechnologie- oder industriellen Kontrollsystemen wird erstellt und gepflegt, wobei Sicherheitsprinzipien (z.B. das Konzept der geringsten Funktionalität) berücksichtigt werden.

nist-csf-pr-ip-10

Pläne für die Reaktion auf Vorfälle und die Wiederherstellung werden getestet.

nist-csf-pr-ip-12

Ein Plan für das Sicherheitslückenmanagement wird entwickelt und implementiert.

nist-csf-pr-ip-2

Es wird ein System Development Life Cycle zur Verwaltung von Systemen implementiert.

nist-csf-pr-ip-3

Es sind Prozesse zur Kontrolle von Konfigurationsänderungen vorhanden.

nist-csf-pr-ip-4

Sicherungen von Informationen werden durchgeführt, verwaltet und getestet.

nist-csf-pr-ip-6

Die Daten werden gemäß den Richtlinien vernichtet.

nist-csf-pr-ip-9

Es gibt Reaktionspläne (Reaktion auf Vorfälle und Geschäftskontinuität) und Wiederherstellungspläne (Wiederherstellung nach Vorfällen und Notfallwiederherstellung), die verwaltet werden.

nist-csf-pr-ma-1

Wartung und Reparatur von Organisationsressourcen werden mit genehmigten und kontrollierten Tools durchgeführt und protokolliert.

nist-csf-pr-pt

Schutztechnologie (PR.PT): Technische Sicherheitslösungen werden verwaltet, um die Sicherheit und Stabilität von Systemen und Assets in Übereinstimmung mit den zugehörigen Richtlinien, Verfahren und Vereinbarungen zu gewährleisten.

nist-csf-pr-pt-1

Audit- und Log-Einträge werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft.

nist-csf-pr-pt-3

Das Prinzip der geringsten Funktionalität wird durch die Konfiguration von Systemen umgesetzt, die nur die wesentlichen Funktionen bereitstellen.

nist-csf-pr-pt-4

Kommunikations- und Kontrollnetzwerke sind geschützt.

nist-csf-pr-pt-5

Es werden Mechanismen (z. B. Failsafe, Load-Balancing, Hot-Swap) implementiert, um die Anforderungen an die Ausfallsicherheit in normalen und ungünstigen Situationen zu erfüllen.

nist-csf-rc-im

Verbesserungen (RC.IM): Die Wiederherstellungsplanung und ‑prozesse werden verbessert, indem Erkenntnisse aus der Vergangenheit in zukünftige Aktivitäten einbezogen werden.

nist-csf-rc-rp-1

Der Wiederherstellungsplan wird während oder nach einem Cybersicherheitsvorfall ausgeführt.

nist-csf-rs-an

Analyse (RS.AN): Es werden Analysen durchgeführt, um eine effektive Reaktion und Unterstützung von Wiederherstellungsaktivitäten zu gewährleisten.

nist-csf-rs-an-1

Benachrichtigungen von Erkennungssystemen werden untersucht.

nist-csf-rs-an-5

Es sind Prozesse eingerichtet, um Sicherheitslücken, die der Organisation aus internen und externen Quellen (z. B. interne Tests, Sicherheitsbulletins oder Sicherheitsforscher) gemeldet werden, zu empfangen, zu analysieren und darauf zu reagieren.

nist-csf-rs-co-1

Die Mitarbeiter kennen ihre Rollen und die Reihenfolge der Maßnahmen, wenn eine Reaktion erforderlich ist.

nist-csf-rs-co-4

Die Koordination mit Stakeholdern erfolgt gemäß den Reaktionsplänen.

nist-csf-rs-im-2

Antwortstrategien werden aktualisiert.

nist-csf-rs-mi-2

Vorfälle werden behoben.

nist-csf-rs-rp-1

Der Reaktionsplan wird während oder nach einem Vorfall ausgeführt.

PCI DSS v4.0.1

Unterstützter Cloud-Anbieter: Google Cloud

Ein rechtlicher Rahmen, der den obligatorischen PCI DSS (Payment Card Industry Data Security Standard) für Unternehmen definiert, die Karteninhaberdaten verarbeiten, speichern oder übertragen. PCI DSS definiert spezifische technische und betriebliche Anforderungen zum Schutz von Karteninhaberdaten, unabhängig davon, wo sie verarbeitet, gespeichert oder übertragen werden. Der PCI DSS enthält eine Reihe von verbindlichen technischen und betrieblichen Anforderungen zur Betrugsprävention. Das Framework entspricht PCI DSS v4.0.1.

Dieser Rahmenplan umfasst die Cloud-Kontrollgruppen und Cloud-Kontrollen in den folgenden Abschnitten.

pci-dss-v4-1-2-1

Konfigurationsstandards für NSC-Regelsätze müssen definiert, implementiert und verwaltet werden.

pci-dss-v4-1-2-6

Für alle verwendeten Dienste, Protokolle und Ports, die als unsicher gelten, müssen Sicherheitsfunktionen definiert und implementiert werden, um das Risiko zu minimieren.

pci-dss-v4-1-3-1

Eingehender Traffic zur CDE muss auf den erforderlichen Traffic beschränkt und der gesamte andere Traffic ausdrücklich abgelehnt werden.

pci-dss-v4-1-3-2

Der ausgehende Traffic von der CDE muss auf den erforderlichen Traffic beschränkt werden und der gesamte andere Traffic muss ausdrücklich abgelehnt werden.

pci-dss-v4-1-4-1

NSCs werden zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken implementiert.

pci-dss-v4-1-4-2

Eingehender Traffic von nicht vertrauenswürdigen zu vertrauenswürdigen Netzwerken muss auf Folgendes beschränkt werden: Kommunikation mit Systemkomponenten, die autorisiert sind, öffentlich zugängliche Dienste, Protokolle und Ports bereitzustellen; statusbezogene Antworten auf Kommunikation, die von Systemkomponenten in einem vertrauenswürdigen Netzwerk initiiert wird; und aller anderer Traffic muss abgelehnt werden.

pci-dss-v4-1-4-3

Es müssen Anti-Spoofing-Maßnahmen implementiert werden, um gefälschte Quell-IP-Adressen für den Zugriff auf das vertrauenswürdige Netzwerk zu erkennen und zu blockieren.

pci-dss-v4-1-4-4

Systemkomponenten, in denen Karteninhaberdaten gespeichert werden, dürfen nicht direkt über nicht vertrauenswürdige Netzwerke zugänglich sein.

pci-dss-v4-10-1-1

Alle Sicherheitsrichtlinien und Betriebsverfahren, die in Anforderung 10 genannt werden, sind dokumentiert, werden auf dem neuesten Stand gehalten, sind in Gebrauch und allen betroffenen Parteien bekannt.

pci-dss-v4-10-2-1

Audit-Logs sind für alle Systemkomponenten und Karteninhaberdaten aktiviert und aktiv.

pci-dss-v4-10-2-1-1

In Audit-Logs wird der Zugriff jedes einzelnen Nutzers auf Karteninhaberdaten erfasst.

pci-dss-v4-10-2-1-2

In Audit-Logs werden alle Aktionen erfasst, die von Personen mit Administratorzugriff ausgeführt werden, einschließlich der interaktiven Nutzung von Anwendungs- oder Systemkonten.

pci-dss-v4-10-2-1-4

In Audit-Logs werden alle ungültigen Versuche für den logischen Zugriff erfasst.

pci-dss-v4-10-3-3

Audit-Logdateien, einschließlich der Dateien für externe Technologien, werden umgehend auf sicheren, zentralen, internen Logservern oder anderen schwer zu ändernden Medien gesichert.

pci-dss-v4-10-4-1-1

Für die Überprüfung von Audit-Logs werden automatisierte Mechanismen verwendet.

pci-dss-v4-10-5-1

Audit-Log-Verlauf mindestens 12 Monate lang aufbewahren, wobei mindestens die letzten drei Monate sofort für die Analyse verfügbar sein müssen.

pci-dss-v4-11-5-1

Mit diesen Methoden wird die Angriffserkennung und/oder -prävention verhindert, um ein Eindringen in das Netzwerk zu erkennen und/oder zu verhindern: Der gesamte Traffic wird am Perimeter der CDE überwacht. Der gesamte Traffic wird an kritischen Punkten in der CDE überwacht. Das Personal wird bei mutmaßlichen Sicherheitsverletzungen benachrichtigt. Alle Systeme zur Einbruchserkennung und -verhinderung, die Basis und die Signaturen werden ständig aktualisiert.

pci-dss-v4-12-10-5

Der Plan zur Reaktion auf Sicherheitsvorfälle umfasst die Überwachung und Reaktion auf Benachrichtigungen von Sicherheitsüberwachungssystemen, einschließlich, aber nicht beschränkt auf: Systeme zur Erkennung und Abwehr von Eindringlingen; Netzwerksicherheitskontrollen; Mechanismen zur Erkennung von Änderungen an kritischen Dateien; den Mechanismus zur Erkennung von Änderungen und Manipulationen an Zahlungsseiten; Erkennung unautorisierter WLAN-Zugangspunkte.

pci-dss-v4-12-5-1

Es wird ein Inventar der Systemkomponenten geführt, die innerhalb des PCI DSS-Geltungsbereichs liegen, einschließlich einer Beschreibung von Funktion und Verwendung. Dieses Inventar wird auf dem neuesten Stand gehalten.

pci-dss-v4-2-2-1

Es müssen Konfigurationsstandards entwickelt, implementiert und gewartet werden, um sicherzustellen, dass sie alle Systemkomponenten abdecken, allen bekannten Sicherheitslücken entgegenwirken, branchenweit akzeptierten Standards zur Systemstabilisierung oder Empfehlungen zur Stabilisierung von Anbietern entsprechen, aktualisiert werden, wenn neue Schwachstellenprobleme erkannt werden (wie in Anforderung 6.3.1 definiert), und angewendet werden, wenn neue Systeme konfiguriert werden. Außerdem muss überprüft werden, ob sie vor oder unmittelbar nachdem eine Systemkomponente mit einer Produktionsumgebung verbunden wird, vorhanden sind.

pci-dss-v4-2-2-3

Primäre Funktionen, die unterschiedliche Sicherheitsstufen erfordern, müssen so verwaltet werden, dass Folgendes sichergestellt ist: Es gibt nur eine primäre Funktion auf einer Systemkomponente oder primäre Funktionen mit unterschiedlichen Sicherheitsstufen, die auf derselben Systemkomponente vorhanden sind, sind voneinander isoliert oder primäre Funktionen mit unterschiedlichen Sicherheitsstufen auf derselben Systemkomponente sind alle auf der Stufe gesichert, die von der Funktion mit dem höchsten Sicherheitsbedarf erforderlich ist.

pci-dss-v4-2-2-4

Nur erforderliche Dienste, Protokolle, Daemons und Funktionen müssen aktiviert werden und alle unnötigen Funktionen müssen entfernt oder deaktiviert werden.

pci-dss-v4-2-2-5

Wenn unsichere Dienste, Protokolle oder Daemons vorhanden sind, muss die geschäftliche Begründung dokumentiert werden. Außerdem müssen zusätzliche Sicherheitsfunktionen dokumentiert und implementiert werden, die das Risiko der Verwendung unsicherer Dienste, Protokolle oder Daemons verringern.

pci-dss-v4-2-2-6

Systemsicherheitsparameter müssen so konfiguriert werden, dass Missbrauch verhindert wird.

pci-dss-v4-2-2-7

Alle administrativen Zugriffe, die nicht über die Konsole erfolgen, müssen mit starker Kryptografie verschlüsselt werden.

pci-dss-v4-3-2-1

Die Speicherung von Kontodaten muss durch die Implementierung von Richtlinien, Verfahren und Prozessen zur Datenaufbewahrung und -entsorgung auf ein Minimum beschränkt werden, die mindestens Folgendes umfassen müssen: Abdeckung aller Speicherorte von Kontodaten; Abdeckung aller sensiblen Authentifizierungsdaten (SAD), die vor Abschluss der Autorisierung gespeichert werden; Beschränkung der Menge der Datenspeicherung und der Aufbewahrungszeit auf das, was für rechtliche oder regulatorische und geschäftliche Anforderungen erforderlich ist; spezifische Aufbewahrungsanforderungen für gespeicherte Kontodaten, die die Dauer des Aufbewahrungszeitraums definieren und eine dokumentierte geschäftliche Begründung enthalten; Prozesse für das sichere Löschen oder Unwiederherstellbar machen von Kontodaten, wenn sie gemäß der Aufbewahrungsrichtlinie nicht mehr benötigt werden; und ein Prozess zur Überprüfung, mindestens alle drei Monate, dass gespeicherte Kontodaten, die den definierten Aufbewahrungszeitraum überschreiten, sicher gelöscht oder unwiederherstellbar gemacht wurden.

pci-dss-v4-3-3-2

SAD, die vor Abschluss der Autorisierung elektronisch gespeichert werden, müssen mit starker Kryptografie verschlüsselt werden.

pci-dss-v4-3-3-3

Aussteller und Unternehmen, die Ausstellungsdienste unterstützen und sensible Authentifizierungsdaten speichern, müssen dafür sorgen, dass die Speicherung sensibler Authentifizierungsdaten auf das beschränkt ist, was für einen legitimen Ausstellungszweck erforderlich ist, und dass die Daten durch starke Verschlüsselung gesichert und verschlüsselt werden.

pci-dss-v4-3-5-1

Die PAN wird an allen Speicherorten unleserlich gemacht. Dazu wird eines der folgenden Verfahren eingesetzt: Einweg-Hashes, die auf starker Kryptografie der gesamten PAN basieren; Kürzung (Hashing kann nicht verwendet werden, um das gekürzte Segment der PAN zu ersetzen); wenn gehashte und gekürzte Versionen derselben PAN oder verschiedene Kürzungstypen derselben PAN in einer Umgebung vorhanden sind, sind zusätzliche Kontrollen vorhanden, sodass die verschiedenen Versionen nicht korreliert werden können, um die ursprüngliche PAN zu rekonstruieren; Index-Tokens; starke Kryptografie mit zugehörigen Schlüsselverwaltungsprozessen und ‑verfahren.

pci-dss-v4-3-5-1-3

Wenn die Verschlüsselung auf Festplatten- oder Partitionsebene (anstatt auf Datei-, Spalten- oder Feldebene) verwendet wird, um die PAN unlesbar zu machen, muss Folgendes sichergestellt werden: Der logische Zugriff wird separat und unabhängig von den nativen Authentifizierungs- und Zugriffssteuerungsmechanismen des Betriebssystems verwaltet. Entschlüsselungsschlüssel sind nicht mit Nutzerkonten verknüpft. Authentifizierungsfaktoren (z. B. Passwörter, Passphrasen oder kryptografische Schlüssel), die den Zugriff auf unverschlüsselte Daten ermöglichen, werden sicher gespeichert.

pci-dss-v4-3-6-1

Es müssen Verfahren definiert und implementiert werden, um kryptografische Schlüssel zum Schutz gespeicherter Kontodaten vor Offenlegung und Missbrauch zu schützen. Dazu gehört, dass der Zugriff auf Schlüssel auf die geringstmögliche Anzahl von erforderlichen Verwahrern beschränkt wird.

pci-dss-v4-3-6-1-2

Geheime und private Schlüssel, die zum Schutz gespeicherter Kontodaten verwendet werden, müssen jederzeit in einer (oder mehreren) der folgenden Formen gespeichert werden: verschlüsselt mit einem Schlüsselverschlüsselungsschlüssel, der mindestens so stark wie der Datenverschlüsselungsschlüssel ist und getrennt vom Datenverschlüsselungsschlüssel gespeichert wird; innerhalb eines sicheren kryptografischen Geräts (SCD) (z. B. eines Hardwaresicherheitsmoduls (HSM) oder eines PTS-genehmigten Point-of-Interaction-Geräts); und als mindestens zwei Schlüsselkomponenten oder Schlüsselanteile in voller Länge gemäß einer branchenüblichen Methode.

pci-dss-v4-3-7-1

Es müssen Richtlinien und Verfahren zur Schlüsselverwaltung implementiert werden, die die Generierung starker kryptografischer Schlüssel zum Schutz gespeicherter Kontodaten umfassen.

pci-dss-v4-3-7-2

Es müssen Richtlinien und Verfahren zur Schlüsselverwaltung implementiert werden, die eine sichere Verteilung der kryptografischen Schlüssel umfassen, die zum Schutz gespeicherter Kontodaten verwendet werden.

pci-dss-v4-3-7-3

Es müssen Richtlinien und Verfahren zur Schlüsselverwaltung implementiert werden, die die sichere Speicherung von kryptografischen Schlüsseln zum Schutz gespeicherter Kontodaten umfassen.

pci-dss-v4-3-7-5

Es müssen Richtlinien und Verfahren für die Schlüsselverwaltung implementiert werden, die die Außerbetriebnahme, den Ersatz oder die Vernichtung von Schlüsseln umfassen, die zum Schutz gespeicherter Kontodaten verwendet werden, wenn dies als notwendig erachtet wird: Der Schlüssel hat das Ende seines definierten kryptografischen Zeitraums erreicht; die Integrität des Schlüssels wurde geschwächt (einschließlich, wenn Mitarbeiter mit Kenntnis einer Klartext-Schlüsselkomponente das Unternehmen verlassen oder die Rolle, für die die Schlüsselkomponente bekannt war); der Schlüssel wird verdächtigt oder ist bekanntermaßen kompromittiert; und außer Betrieb genommene oder ersetzte Schlüssel werden nicht für Verschlüsselungsvorgänge verwendet.

pci-dss-v4-4-2-1

Starke Kryptografie und Sicherheitsprotokolle müssen implementiert werden, um die PAN während der Übertragung über offene, öffentliche Netzwerke zu schützen und Folgendes sicherzustellen: Es werden nur vertrauenswürdige Schlüssel und Zertifikate akzeptiert. Zertifikate, die zum Schutz der PAN während der Übertragung über offene, öffentliche Netzwerke verwendet werden, sind gültig und nicht abgelaufen oder widerrufen. Das verwendete Protokoll unterstützt nur sichere Versionen oder Konfigurationen und unterstützt keinen Fallback auf oder die Verwendung unsicherer Versionen, Algorithmen, Schlüsselgrößen oder Implementierungen. Die Verschlüsselungsstärke ist für die verwendete Verschlüsselungsmethode angemessen.

pci-dss-v4-5-2-1

Auf allen Systemkomponenten muss eine Anti-Malware-Lösung bereitgestellt werden, mit Ausnahme der Systemkomponenten, die in regelmäßigen Prüfungen gemäß Anforderung 5.2.3 als nicht durch Malware gefährdet eingestuft werden.

pci-dss-v4-5-2-2

Die bereitgestellten Anti-Malware-Lösungen müssen alle bekannten Malware-Typen erkennen und entfernen, blockieren oder enthalten.

pci-dss-v4-6-2-3

Benutzerdefinierte Software und benutzerdefinierte Software müssen vor der Veröffentlichung in der Produktionsumgebung oder für Kunden überprüft werden, um potenzielle Programmierlücken zu identifizieren und zu beheben. Bei Code-Reviews wird sichergestellt, dass der Code gemäß den Richtlinien für sicheres Programmieren entwickelt wird. Bei Code-Reviews wird nach bestehenden und neu auftretenden Softwarelücken gesucht. Vor der Veröffentlichung werden entsprechende Korrekturen vorgenommen.

pci-dss-v4-6-3-1

Sicherheitslücken müssen identifiziert und verwaltet werden, um Folgendes sicherzustellen: Neue Sicherheitslücken werden mithilfe von branchenweit anerkannten Quellen für Sicherheitslücken identifiziert. Dazu gehören auch Benachrichtigungen von internationalen und nationalen IT-Notfallteams (CERTs). Sicherheitslücken werden auf Grundlage von Best Practices der Branche und unter Berücksichtigung der potenziellen Auswirkungen in verschiedene Risikostufen eingeteilt. In den Risikostufen werden mindestens alle Sicherheitslücken berücksichtigt, die als hohes Risiko oder kritisch für die Umgebung gelten. Sicherheitslücken für maßgeschneiderte und benutzerdefinierte Software sowie Software von Drittanbietern (z. B. Betriebssysteme und Datenbanken) werden berücksichtigt.

pci-dss-v4-6-3-3

Alle Systemkomponenten müssen durch die Installation der entsprechenden Sicherheitspatches oder ‑updates vor bekannten Sicherheitslücken geschützt werden, um Folgendes zu gewährleisten: Patches oder Updates für kritische Sicherheitslücken (die gemäß dem Verfahren zur Risikoeinstufung in Anforderung 6.3.1 identifiziert wurden) werden innerhalb eines Monats nach der Veröffentlichung installiert; und alle anderen anwendbaren Sicherheitspatches oder ‑updates werden innerhalb eines angemessenen Zeitrahmens installiert, der durch die Bewertung der Kritikalität des Risikos für die Umgebung durch das Unternehmen gemäß dem Verfahren zur Risikoeinstufung in Anforderung 6.3.1 bestimmt wird.

pci-dss-v4-6-4-1

Bei öffentlichen Webanwendungen müssen neue Bedrohungen und Sicherheitslücken fortlaufend behoben werden. Diese Anwendungen müssen mit einer der folgenden beiden Methoden vor bekannten Angriffen geschützt werden: Überprüfung öffentlicher Webanwendungen mit manuellen oder automatisierten Tools oder Methoden zur Bewertung der Anwendungssicherheit: mindestens einmal alle 12 Monate und nach wesentlichen Änderungen; durch eine auf Anwendungssicherheit spezialisierte Einheit; einschließlich mindestens aller gängigen Softwareangriffe in Anforderung 6.2.4; alle Sicherheitslücken werden gemäß Anforderung 6.3.1 eingestuft; alle Sicherheitslücken werden behoben; und die Anwendung wird nach den Korrekturen neu bewertet. Oder Installation einer automatisierten technischen Lösung, die webbasierte Angriffe kontinuierlich erkennt und verhindert: Die Lösung muss vor öffentlichen Webanwendungen installiert werden, um webbasierte Angriffe zu erkennen und zu verhindern. Sie muss aktiv ausgeführt und gegebenenfalls auf dem neuesten Stand sein, Audit-Logs generieren und so konfiguriert sein, dass webbasierte Angriffe entweder blockiert oder eine Benachrichtigung generiert wird, die sofort untersucht wird.

pci-dss-v4-6-4-2

Für öffentliche Webanwendungen muss eine automatisierte technische Lösung bereitgestellt werden, die webbasierte Angriffe kontinuierlich erkennt und verhindert. Dabei müssen die folgenden Mindestanforderungen erfüllt sein: Die Lösung muss vor öffentlichen Webanwendungen installiert und so konfiguriert sein, dass webbasierte Angriffe erkannt und verhindert werden. Sie muss aktiv ausgeführt und gegebenenfalls auf dem neuesten Stand sein, Audit-Logs generieren und so konfiguriert sein, dass webbasierte Angriffe entweder blockiert oder eine Benachrichtigung generiert wird, die sofort untersucht wird.

pci-dss-v4-7-2-1

Es muss ein Zugriffssteuerungsmodell definiert werden, das die Gewährung des Zugriffs wie folgt umfasst: angemessener Zugriff in Abhängigkeit von den geschäftlichen und Zugriffsanforderungen der Einheit; Zugriff auf Systemkomponenten und Datenressourcen, der auf der Stellenbeschreibung und den Funktionen der Nutzer basiert; und die geringsten erforderlichen Berechtigungen (z. B. Nutzer, Administrator) zur Ausführung einer Arbeitsfunktion.

pci-dss-v4-7-2-2

Der Zugriff muss Nutzern (einschließlich privilegierter Nutzer) basierend auf der Stellenbeschreibung und Funktion sowie den Mindestberechtigungen zugewiesen werden, die zur Erfüllung der Aufgaben erforderlich sind.

pci-dss-v4-7-2-5

Alle Anwendungs- und Systemkonten sowie die zugehörigen Zugriffsberechtigungen müssen auf der Grundlage der für die Funktionsfähigkeit des Systems oder der Anwendung erforderlichen Mindestberechtigungen zugewiesen und verwaltet werden. Der Zugriff muss auf die Systeme, Anwendungen oder Prozesse beschränkt sein, für die ihre Verwendung erforderlich ist.

pci-dss-v4-7-3-1

Es muss ein Zugriffskontrollsystem vorhanden sein, das den Zugriff auf alle Systemkomponenten basierend auf dem Wissen des Nutzers einschränkt.

pci-dss-v4-7-3-2

Das/die Zugriffssteuerungssystem(e) muss/müssen so konfiguriert sein, dass Berechtigungen, die Einzelpersonen, Anwendungen und Systemen auf Grundlage von Stellenklassifizierung und Funktion zugewiesen werden, durchgesetzt werden.

pci-dss-v4-7-3-3

Das/die Zugangskontrollsystem(e) muss/müssen standardmäßig auf „Alle verweigern“ eingestellt sein.

pci-dss-v4-8-2-1

Allen Nutzern muss eine eindeutige ID zugewiesen werden, bevor der Zugriff auf Systemkomponenten oder Karteninhaberdaten zugelassen wird.

pci-dss-v4-8-2-3

Dienstanbieter mit Remotezugriff auf Kundenstandorte müssen für jeden Kundenstandort eindeutige Authentifizierungsfaktoren verwenden.

pci-dss-v4-8-2-5

Der Zugriff für beendete Nutzer muss sofort widerrufen werden.

pci-dss-v4-8-2-8

Wenn eine Nutzersitzung länger als 15 Minuten inaktiv war, muss sich der Nutzer noch einmal authentifizieren, um das Terminal oder die Sitzung zu reaktivieren.

pci-dss-v4-8-3-1

Der gesamte Nutzerzugriff auf Systemkomponenten für Nutzer und Administratoren muss über mindestens einen der folgenden Authentifizierungsfaktoren authentifiziert werden: etwas, das Sie wissen (z. B. ein Passwort oder eine Passphrase), etwas, das Sie haben (z. B. ein Tokengerät oder eine Smartcard) und etwas, das Sie sind (z. B. ein biometrisches Element).

pci-dss-v4-8-3-2

Es muss eine starke Verschlüsselung verwendet werden, um alle Authentifizierungsfaktoren während der Übertragung und Speicherung auf allen Systemkomponenten unlesbar zu machen.

pci-dss-v4-8-3-9

Wenn Passwörter oder Passphrasen als einziger Authentifizierungsfaktor für den Nutzerzugriff verwendet werden (in jeder Implementierung der Einzelfaktor-Authentifizierung), müssen sie mindestens alle 90 Tage geändert werden. Alternativ muss die Sicherheitslage von Konten dynamisch analysiert und der Echtzeitzugriff auf Ressourcen automatisch entsprechend bestimmt werden.

pci-dss-v4-8-6-2

Passwörter oder Passphrasen für alle Anwendungs- und Systemkonten, die für die interaktive Anmeldung verwendet werden können, dürfen nicht in Skripts, Konfigurations- oder Eigenschaftsdateien oder in benutzerdefiniertem Quellcode hartcodiert sein.

pci-dss-v4-8-6-3

Passwörter oder Passphrasen für alle Anwendungs- und Systemkonten müssen vor Missbrauch geschützt werden, indem Folgendes sichergestellt wird: Passwörter oder Passphrasen werden regelmäßig geändert (in der Häufigkeit, die in der gezielten Risikoanalyse des Rechtssubjekts definiert ist, die gemäß allen in Anforderung 12.3.1 angegebenen Elementen durchgeführt wird) und bei Verdacht oder Bestätigung einer Kompromittierung; und Passwörter oder Passphrasen werden mit einer ausreichenden Komplexität erstellt, die der Häufigkeit entspricht, mit der das Rechtssubjekt die Passwörter oder Passphrasen ändert.

Security Essentials

Unterstützter Cloud-Anbieter: Google Cloud

Google Cloud Security Essentials bietet eine grundlegende Sicherheits- und Compliance-Basis für Google Cloud-Kunden. Das Framework basiert auf der umfassenden Threat Intelligence und den Best Practices von Google. Es bietet Ihnen einen Überblick über Ihren Sicherheitsstatus und hilft Ihnen,von Anfang an gängige Compliance-Anforderungen zu erfüllen.

Dieser Rahmenplan umfasst die folgenden Cloud-Kontrollen:

SOC2 2017

Unterstützter Cloud-Anbieter: Google Cloud

Ein rechtlicher Rahmen, den ein unabhängiger Prüfer verwenden kann, um die Kontrollen Ihrer Organisation zu bewerten und darüber zu berichten, die für die Trust Services Criteria des AICPA (American Institute of Certified Public Accountants) relevant sind, z. B. Sicherheit und Verfügbarkeit. Der resultierende Prüfbericht enthält eine Bewertung der Systeme Ihrer Organisation und der Daten, die darin verarbeitet werden.Das Framework entspricht SOC 2 2017 (mit überarbeiteten Schwerpunkten – 2022).

Dieser Rahmenplan umfasst die Cloud-Kontrollgruppen und Cloud-Kontrollen in den folgenden Abschnitten.

soc2-2017-a-1-2-11

Das Management identifiziert Bedrohungen für die Datenwiederherstellung (z. B. Ransomware-Angriffe), die die Verfügbarkeit des Systems und der zugehörigen Daten beeinträchtigen könnten, und implementiert Maßnahmen zur Risikominderung.

soc2-2017-a-1-2-8

Es gibt Verfahren zum Sichern von Daten, zur Überwachung, um Sicherungsfehler zu erkennen, und zum Einleiten von Korrekturmaßnahmen, wenn solche Fehler auftreten.

soc2-2017-c-1-1-2

Vertrauliche Informationen werden nicht länger als zur Erfüllung des angegebenen Zwecks erforderlich aufbewahrt, es sei denn, ein Gesetz oder eine Verordnung schreibt ausdrücklich etwas anderes vor.

soc2-2017-c-1-1-3

Es sind Richtlinien und Verfahren vorhanden, um vertrauliche Informationen während des angegebenen Aufbewahrungszeitraums vor Löschung oder Vernichtung zu schützen.

soc2-2017-c-1-2-2

Es gibt Richtlinien und Verfahren zum automatischen oder manuellen Löschen oder anderweitigen Vernichten vertraulicher Informationen, die zur Vernichtung vorgesehen sind.

soc2-2017-cc-1-3-3

Das Management und der Verwaltungsrat delegieren Befugnisse, definieren Verantwortlichkeiten und verwenden geeignete Prozesse und Technologien, um die Verantwortung zuzuweisen und die Aufgaben auf den verschiedenen Ebenen der Organisation nach Bedarf zu trennen.

soc2-2017-cc-2-1-2

Informationssysteme erfassen interne und externe Datenquellen.

soc2-2017-cc-2-1-6

Die Einheit identifiziert, dokumentiert und führt Aufzeichnungen über Systemkomponenten wie Infrastruktur, Software und andere Informationsressourcen. Zu den Informationsressourcen gehören physische Endpunktgeräte und ‑systeme, virtuelle Systeme, Daten und Datenflüsse, externe Informationssysteme und Organisationsrollen.

soc2-2017-cc-2-2-1

Es gibt einen Prozess, um die erforderlichen Informationen zu kommunizieren, damit alle Mitarbeiter ihre Verantwortlichkeiten für die interne Kontrolle verstehen und wahrnehmen können.

soc2-2017-cc-3-2-5

Bei der Risikobewertung wird berücksichtigt, wie das Risiko gehandhabt werden soll und ob es akzeptiert, vermieden, verringert oder geteilt werden soll.

soc2-2017-cc-3-2-7

Die Organisation identifiziert die Sicherheitslücken von Systemkomponenten, einschließlich Systemprozessen, Infrastruktur, Software,

soc2-2017-cc-4-1-1

Die Verwaltung umfasst eine Mischung aus laufenden und separaten Auswertungen.

soc2-2017-cc-4-1-5

Laufende Bewertungen sind in die Geschäftsprozesse integriert und passen sich an veränderte Bedingungen an.

soc2-2017-cc-4-1-8

Das Management führt eine Vielzahl von laufenden und separaten Risiko- und Kontrollbewertungen durch, um festzustellen, ob interne Kontrollen vorhanden sind und funktionieren. Je nach den Zielsetzungen des Rechtssubjekts können solche Risiko- und Kontrollbewertungen Überprüfungen und Kontrolltests der ersten und zweiten Verteidigungslinie, interne Audits, Compliance-Bewertungen, Resilienzbewertungen, Schwachstellenscans, Sicherheitsbewertungen, Penetrationstests und Bewertungen durch Dritte umfassen.

soc2-2017-cc-4-2-2

Mängel werden den für die Ergreifung von Korrekturmaßnahmen verantwortlichen Parteien sowie der Geschäftsleitung und dem Verwaltungsrat mitgeteilt, sofern dies angemessen ist.

soc2-2017-cc-5-2-2

Das Management wählt Kontrollaktivitäten für die Technologieinfrastruktur aus und entwickelt sie. Diese werden so konzipiert und implementiert, dass die Vollständigkeit, Richtigkeit und Verfügbarkeit der Technologieverarbeitung gewährleistet wird.

soc2-2017-cc-5-2-3

Das Management wählt Kontrollaktivitäten aus und entwickelt sie, die so konzipiert und implementiert werden, dass die Technologiezugriffsrechte auf autorisierte Nutzer beschränkt werden, die ihren Aufgaben entsprechen, und die Vermögenswerte des Unternehmens vor externen Bedrohungen geschützt werden.

soc2-2017-cc-5-3-1

Das Management legt Kontrollaktivitäten fest, die in Geschäftsprozesse und die täglichen Aktivitäten der Mitarbeiter integriert werden. Dies geschieht durch Richtlinien, die festlegen, was erwartet wird, und durch relevante Verfahren, die Aktionen festlegen.

soc2-2017-cc-6-1-10

Die Organisation verwendet Verschlüsselung, um Daten im Ruhezustand, während der Verarbeitung oder bei der Übertragung zu schützen, wenn solche Schutzmaßnahmen auf Grundlage der Risikominderungsstrategie der Organisation als angemessen erachtet werden.

soc2-2017-cc-6-1-11

Die Einheit schützt kryptografische Schlüssel bei der Generierung, Speicherung, Verwendung und Vernichtung. Kryptografische Module, Algorithmen, Schlüssellängen und Architekturen sind entsprechend der Risikominderungsstrategie des Rechtssubjekts angemessen.

soc2-2017-cc-6-1-12

Der logische Zugriff auf und die Verwendung von vertraulichen Informationen sind auf bestimmte Zwecke beschränkt.

soc2-2017-cc-6-1-3

Die Organisation schränkt den logischen Zugriff auf Informationsressourcen ein, einschließlich: Infrastruktur, z. B. Server, Speicher, Netzwerkelemente, APIs und Endgeräte; Software; und inaktive Daten, Daten während der Verarbeitung oder Daten bei der Übertragung durch die Verwendung von Zugriffssteuerungssoftware, Regelsätzen und Standardkonfigurationshärtungsprozessen.

soc2-2017-cc-6-1-4

Die Einheit identifiziert und authentifiziert Personen, Infrastruktur und Software, bevor sie auf Informations-Assets zugreifen, unabhängig davon, ob dies lokal oder remote erfolgt. Das Unternehmen verwendet komplexere oder fortschrittlichere Techniken zur Nutzerauthentifizierung wie die Multi-Faktor-Authentifizierung, wenn solche Schutzmaßnahmen auf Grundlage seiner Risikominimierungsstrategie als angemessen erachtet werden.

soc2-2017-cc-6-1-5

Das Unternehmen verwendet Netzwerksegmentierung, Zero-Trust-Architekturen und andere Techniken, um nicht zusammenhängende Teile der Informationstechnologie des Unternehmens auf der Grundlage der Risikominderungsstrategie des Unternehmens voneinander zu isolieren.

soc2-2017-cc-6-1-7

Kombinationen aus Datenklassifizierung, separaten Datenstrukturen, Porteinschränkungen, Einschränkungen des Zugriffsprotokolls, Nutzeridentifikation und digitalen Zertifikaten werden verwendet, um Regeln für die Zugriffssteuerung und Konfigurationsstandards für Informationsassets festzulegen.

soc2-2017-cc-6-1-9

Neue interne und externe Infrastruktur und Software werden registriert, autorisiert und dokumentiert, bevor Zugangsdaten gewährt und sie im Netzwerk oder Zugriffspunkt implementiert werden. Anmeldedaten werden entfernt und der Zugriff wird deaktiviert, wenn der Zugriff nicht mehr erforderlich ist oder die Infrastruktur und Software nicht mehr verwendet werden.

soc2-2017-cc-6-2-3

Es gibt Prozesse, um Anmeldedaten zu deaktivieren, zu vernichten oder anderweitig zu verhindern, dass sie verwendet werden, wenn sie nicht mehr gültig sind.

soc2-2017-cc-6-3-2

Es gibt Verfahren, um den Zugriff auf geschützte Informations-Assets zu entfernen, wenn er nicht mehr erforderlich ist.

soc2-2017-cc-6-3-3

Das Unternehmen verwendet Zugriffssteuerungsstrukturen wie die rollenbasierte Zugriffssteuerung, um den Zugriff auf geschützte Informationswerte einzuschränken, Berechtigungen zu begrenzen und die Trennung inkompatibler Funktionen zu unterstützen.

soc2-2017-cc-6-5-1

Es gibt Verfahren, um Daten und Software von physischen Assets und anderen Geräten, die dem Unternehmen, seinen Anbietern und Mitarbeitern gehören, zu entfernen, zu löschen oder anderweitig unzugänglich zu machen, wenn die Daten und Software nicht mehr auf dem Asset benötigt werden oder das Asset nicht mehr unter der Kontrolle des Unternehmens steht.

soc2-2017-cc-6-6

Das Unternehmen implementiert Maßnahmen zur logischen Zugriffssicherheit, um sich vor Bedrohungen durch Quellen außerhalb seiner Systemgrenzen zu schützen.

soc2-2017-cc-6-6-1

Die Arten von Aktivitäten, die über einen Kommunikationskanal wie eine FTP-Site oder einen Router-Port erfolgen können, sind eingeschränkt.

soc2-2017-cc-6-6-4

Grenzschutzsysteme wie Firewalls, demilitarisierte Zonen, Systeme zur Erkennung oder Abwehr von Angriffen und Systeme zur Erkennung und Reaktion auf Endpunkte werden konfiguriert, implementiert und gewartet, um externe Zugriffspunkte zu schützen.

soc2-2017-cc-6-7-1

Prozesse und Technologien zum Schutz vor Datenverlust werden verwendet, um die Autorisierung und Ausführung der Übertragung, Verschiebung und Entfernung von Informationen einzuschränken.

soc2-2017-cc-6-7-2

Verschlüsselungstechnologien oder sichere Kommunikationskanäle werden verwendet, um die Übertragung von Daten und andere Kommunikationen über Konnektivitätszugangspunkte hinaus zu schützen.

soc2-2017-cc-6-8-1

Die Möglichkeit, Anwendungen und Software zu installieren und zu ändern, ist auf autorisierte Personen beschränkt. Dienstprogramme, die normale Betriebs- oder Sicherheitsverfahren umgehen können, dürfen nur von autorisierten Personen verwendet werden und werden regelmäßig überwacht.

soc2-2017-cc-6-8-2

Es gibt Prozesse, um Änderungen an Software und Konfigurationsparametern zu erkennen, die auf unautorisierte oder schädliche Software hinweisen können.

soc2-2017-cc-7-1-1

Die Organisation hat Konfigurationsstandards für die Härtung von Systemen definiert.

soc2-2017-cc-7-1-3

Das IT-System umfasst einen Mechanismus zur Erkennung von Änderungen, z. B. Tools zur Überwachung der Dateiintegrität, um Mitarbeiter über unbefugte Änderungen an kritischen Systemdateien, Konfigurationsdateien oder Inhaltsdateien zu informieren.

soc2-2017-cc-7-1-5

Die Organisation führt regelmäßig und nach wesentlichen Änderungen an der Umgebung Infrastruktur- und Software-Sicherheitslückenscans durch, um potenzielle Sicherheitslücken oder Fehlkonfigurationen zu erkennen. Es werden Maßnahmen ergriffen, um festgestellte Mängel rechtzeitig zu beheben und die Erreichung der Ziele des Rechtssubjekts zu unterstützen.

soc2-2017-cc-7-2-1

Erkennungsrichtlinien, ‑verfahren und ‑tools werden für Infrastruktur und Software definiert und implementiert, um potenzielle Eindringlinge, unangemessene Zugriffe und Anomalien im Betrieb oder ungewöhnliche Aktivitäten in Systemen zu erkennen. Die Verfahren können einen definierten Governance-Prozess für die Erkennung und Verwaltung von Sicherheitsereignissen, die Verwendung von Informationsquellen zur Identifizierung neu entdeckter Bedrohungen und Sicherheitslücken sowie die Protokollierung ungewöhnlicher Systemaktivitäten umfassen.

soc2-2017-cc-7-2-2

Erkennungsmaßnahmen sollen Anomalien erkennen, die auf tatsächliche oder versuchte Manipulationen physischer Barrieren, unbefugte Handlungen von autorisiertem Personal, die Verwendung kompromittierter Identifikations- und Authentifizierungsanmeldedaten, unbefugten Zugriff von außerhalb der Systemgrenzen, Manipulationen autorisierter externer Parteien und die Implementierung oder Verbindung unbefugter Hardware und Software zurückzuführen sein könnten.

soc2-2017-cc-7-3-2

Erkannte Sicherheitsereignisse werden den für die Verwaltung des Sicherheitsprogramms verantwortlichen Personen mitgeteilt und von diesen überprüft. Bei Bedarf werden Maßnahmen ergriffen.

soc2-2017-cc-8-1-1

Ein Prozess zur Verwaltung von Systemänderungen während des gesamten Lebenszyklus des Systems und seiner Komponenten (Infrastruktur, Daten, Software sowie manuelle und automatisierte Verfahren) wird verwendet, um die Erreichung der Unternehmensziele zu unterstützen.

soc2-2017-cc-8-1-14

Es gibt ein Verfahren, um Patches für Infrastruktur und Software rechtzeitig zu identifizieren, zu bewerten, zu testen, zu genehmigen und zu implementieren.

soc2-2017-cc-8-1-5

Es gibt einen Prozess, um Systemänderungen vor der Implementierung zu verfolgen.

soc2-2017-p-4-2-1

Personenbezogene Daten werden nicht länger als zur Erfüllung der angegebenen Zwecke erforderlich aufbewahrt, sofern nicht durch ein Gesetz oder eine Verordnung etwas anderes vorgeschrieben ist.

soc2-2017-p-4-2-2

Es wurden Richtlinien und Verfahren implementiert, um personenbezogene Daten während des angegebenen Aufbewahrungszeitraums vor Löschung oder Vernichtung zu schützen.

soc2-2017-pi-1-2-3

Aufzeichnungen von Systemeingabeaktivitäten werden vollständig und korrekt erstellt und zeitnah geführt.

soc2-2017-pi-1-3-4

Systemverarbeitungsaktivitäten werden vollständig, korrekt und zeitnah aufgezeichnet.

soc2-2017-pi-1-5

Die Einheit implementiert Richtlinien und Verfahren, um Eingaben, Elemente in der Verarbeitung und Ausgaben vollständig, genau und rechtzeitig gemäß den Systemspezifikationen zu speichern, um die Ziele der Einheit zu erreichen.

soc2-2017-pi-1-5-1

Gelagerte Artikel sind geschützt, um Diebstahl, Beschädigung, Zerstörung oder Verschlechterung zu verhindern, die dazu führen könnten, dass die Ausgabe nicht den Spezifikationen entspricht.

soc2-2017-pi-1-5-2

Systemaufzeichnungen werden archiviert und Archive sind vor Diebstahl, Beschädigung, Zerstörung oder Beeinträchtigung geschützt, die ihre Verwendung verhindern würden.

Nächste Schritte