Erstellen und pflegen Sie einen detaillierten Asset-Bestand für Unternehmen:

Richten Sie einen genauen, detaillierten und aktuellen Bestand aller Enterprise-Assets mit dem Potenzial zur Speicherung oder Verarbeitung von Daten ein, einschließlich Endanwendergeräte (einschließlich tragbarer und mobiler Geräte), Netzwerkgeräte, nicht-Computer-/IoT-Geräte und Server. Stellen Sie sicher, dass der Bestand die Netzwerkadresse (falls statisch), Hardwareadresse, Computername, Besitzer des Daten-Assets, Abteilung für jedes Asset aufzeichnet und ob das Asset für die Verbindung mit dem Netzwerk genehmigt wurde. Für mobile Endanwendergeräte können Tools vom Typ MDM diesen Prozess gegebenenfalls unterstützen. Dieser Bestand umfasst Assets , die physisch, virtuell, Remote und in Cloud-Umgebungen mit der Infrastruktur verbunden sind. Darüber hinaus enthält es Assets, die regelmäßig mit der Netzwerkinfrastruktur des Unternehmens verbunden sind, auch wenn sie nicht unter der Kontrolle des Unternehmens stehen. Überprüfen und aktualisieren Sie den Bestand aller Enterprise-Assets zweimal jährlich oder häufiger.

Nicht Autorisierte Assets Adressieren:

Stellen Sie sicher, dass ein Prozess zur wöchentlichen Behandlung nicht autorisierter Assets vorhanden ist. Das Unternehmen kann das Asset aus dem Netzwerk entfernen, verhindern, dass das Asset Remote mit dem Netzwerk verbunden wird, oder das Asset in Quarantäne stellen.

Verwenden Sie ein aktives Discovery-Tool:

Verwenden Sie ein aktives Discovery-Tool, um Assets zu identifizieren, die mit dem Netzwerk des Unternehmens verbunden sind. Konfigurieren Sie das aktive Discovery-Tool so, dass es täglich oder häufiger ausgeführt wird.

Verwenden Sie die DHCP-Protokollierung (Dynamic Host Configuration Protocol), um den Asset-Bestand des Unternehmens zu aktualisieren:

Verwenden Sie DHCP-Protokollierung auf allen DHCP-Servern oder IP-Adressenverwaltungstools (Internet Protocol), um den Asset-Bestand des Unternehmens zu aktualisieren. Überprüfen und verwenden Sie Protokolle, um den Asset-Bestand des Unternehmens wöchentlich oder häufiger zu aktualisieren.

Verwenden Sie ein passives Asset-Discovery-Tool:

Verwenden Sie ein passives Discovery-Tool, um Assets zu identifizieren, die mit dem Netzwerk des Unternehmens verbunden sind. Überprüfen und verwenden Sie Scans, um den Asset-Bestand des Unternehmens mindestens wöchentlich oder häufiger zu aktualisieren.

Erstellen und pflegen Sie einen Softwarebestand:

Erstellen und verwalten Sie einen detaillierten Bestand aller lizenzierten Software, die auf Enterprise-Assets installiert ist. Der Softwarebestand muss den Titel, den Herausgeber, das Datum der Erstinstallation/Verwendung und den Geschäftszweck für jeden Eintrag dokumentieren. Gegebenenfalls den Uniform Resource Locator (URL), den App Store(s), die Version(en), den Bereitstellungsmechanismus und das Datum der Außerbetriebnahme einschließen. Überprüfen und aktualisieren Sie den Softwarebestand alle zwei Jahre oder häufiger.

Stellen Sie sicher, dass autorisierte Software derzeit unterstützt wird

Stellen Sie sicher, dass nur derzeit unterstützte Software im Softwarebestand für Enterprise-Assets als autorisiert festgelegt ist. Wenn Software nicht unterstützt wird, aber für die Erfüllung der Mission des Unternehmens erforderlich ist, dokumentieren Sie eine Ausnahme, die die mindernden Kontrollen und die Akzeptanz von Restrisiken beschreibt. Für nicht unterstützte Software ohne Ausnahmedokumentation als nicht autorisiert festlegen. Überprüfen Sie die Softwareliste, um den Softwaresupport mindestens monatlich oder häufiger zu überprüfen.

Nicht Autorisierte Software Adressieren:

Stellen Sie sicher, dass nicht autorisierte Software entweder aus der Verwendung in Enterprise-Assets entfernt wird oder eine dokumentierte Ausnahme erhält. Überprüfen Sie monatlich oder häufiger.

Automatisierte Softwarebestandswerkzeuge Verwenden:

Verwenden Sie nach Möglichkeit Softwarebestands-Tools im gesamten Unternehmen, um die Discovery und Dokumentation der installierten Software zu automatisieren.

Allow-Listenautorisierte Software:

Verwenden Sie technische Steuerungen, z. B. Liste der Anwendungszulagen, um sicherzustellen, dass nur autorisierte Software ausgeführt oder darauf zugegriffen werden kann. Bewerten Sie alle zwei Jahre oder häufiger erneut.

Allow-Liste Autorisierter Bibliotheken:

Verwenden Sie technische Steuerungen, um sicherzustellen, dass nur autorisierte Softwarebibliotheken, z. B. bestimmte .dll, .ocx, .so usw., Dateien, dürfen in einen Systemprozess geladen werden. Blockieren Sie das Laden nicht autorisierter Bibliotheken in einen Systemprozess. Bewerten Sie alle zwei Jahre oder häufiger erneut.

Allow-Listenautorisierte Skripts:

Verwenden Sie technische Steuerungen wie digitale Signaturen und Versionssteuerung, um sicherzustellen, dass nur autorisierte Skripts wie bestimmte .ps1-, .py-Dateien usw. ausgeführt werden dürfen. Blockieren Sie die Ausführung nicht autorisierter Skripts. Bewerten Sie alle zwei Jahre oder häufiger erneut.

Richten Sie einen Datenverwaltungsprozess ein, und verwalten Sie ihn:

Richten Sie einen Datenverwaltungsprozess ein, und pflegen Sie ihn. Behandeln Sie dabei Datensensibilität, Datenbesitzer, Datenverarbeitung, Datenaufbewahrungsgrenzen, und Entsorgungsanforderungen, basierend auf Vertraulichkeits- und Aufbewahrungsstandards für das Unternehmen. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Vertrauliche Daten während der Übertragung verschlüsseln:

Verschlüsselt vertrauliche Daten während der Übertragung. Beispiele für Implementierungen können „Transport Layer Security“ (TLS) und „Open Secure Shell“ (OpenSSH) sein.

Vertrauliche Daten Im Ruhezustand Verschlüsseln:

Verschlüsseln Sie vertrauliche Daten im Ruhezustand auf Servern, Anwendungen und Datenbanken, die vertrauliche Daten enthalten. Die Verschlüsselung auf Speicherebene, auch als serverseitige Verschlüsselung bezeichnet, erfüllt die Mindestanforderung dieses Schutzes. Zusätzliche Verschlüsselungsmethoden können die Verschlüsselung auf Anwendungsebene, auch als clientseitige Verschlüsselung bezeichnet, umfassen, bei der der Zugriff auf die Datenspeichergeräte keinen Zugriff auf die nur-Text-Daten zulässt.

Segmentdatenverarbeitung und -Speicherung basierend auf Empfindlichkeit:

Segmentieren Sie die Datenverarbeitung und -Speicherung basierend auf der Empfindlichkeit der Daten. Verarbeiten Sie keine sensiblen Daten in Enterprise-Assets, die für Daten mit geringerer Empfindlichkeit vorgesehen sind.

Stellen Sie eine Lösung zur Vermeidung von Datenverlust bereit:

Implementieren Sie ein automatisiertes Tool, z. B. ein hostbasiertes DLP-Tool (Data Loss Prevention), um alle vertraulichen Daten zu identifizieren, die über Enterprise-Assets gespeichert, verarbeitet oder übertragen werden, einschließlich derjenigen, die sich vor Ort oder bei einem Remote-Service Provider befinden, und aktualisieren Sie den Bestand vertraulicher Daten des Unternehmens.

Zugriff Auf Vertrauliche Daten Protokollieren:

Protokollieren Sie den Zugriff auf vertrauliche Daten, einschließlich Änderung und Entsorgung.

Erstellen und pflegen Sie einen Datenbestand:

Richten Sie einen Datenbestand basierend auf dem Datenverwaltungsprozess des Unternehmens ein, und verwalten Sie ihn. Mindestens vertrauliche Bestandsdaten. Überprüfen und aktualisieren Sie den Bestand mindestens einmal pro Jahr, mit Priorität für sensible Daten.

Datenzugriffssteuerungslisten Konfigurieren:

Konfigurieren Sie Datenzugriffssteuerungslisten basierend auf den Anforderungen eines Anwenders. Wenden Sie Datenzugriffssteuerungslisten, auch als Zugriffsberechtigungen bezeichnet, auf lokale und Remote-Dateisysteme, Datenbanken und Anwendungen an.

Datenaufbewahrung Erzwingen:

Bewahren Sie Daten gemäß dem Datenverwaltungsprozess des Unternehmens auf. Die Datenaufbewahrung muss sowohl minimale als auch maximale Zeitleisten enthalten.

Daten sicher entsorgen:

Entsorgen Sie Daten sicher, wie im Datenverwaltungsprozess des Unternehmens beschrieben. Stellen Sie sicher, dass der Entsorgungsprozess und die Entsorgungsmethode der Datensensibilität entsprechen.

Daten auf Endanwendergeräten verschlüsseln:

Verschlüsseln Sie Daten auf Endanwendergeräten, die vertrauliche Daten enthalten. Beispielimplementierungen können Windows BitLocker enthalten ™, Apple FileVault ™, Linux dm-crypt ™.

Richten Sie ein Datenklassifizierungsschema ein und verwalten Sie es:

Richten Sie ein allgemeines Datenklassifizierungsschema für das Unternehmen ein, und verwalten Sie es. Unternehmen können Bezeichnungen wie „vertraulich“, „vertraulich“ und „öffentlich“ verwenden und ihre Daten entsprechend diesen Bezeichnungen klassifizieren. Überprüfen und aktualisieren Sie das Klassifizierungsschema jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Dokumentdaten-Flows:

Dokumentdaten-Flows. Die Daten-Flow-Dokumentation enthält Service Provider-Daten-Flows und sollte auf dem Datenverwaltungsprozess des Unternehmens basieren. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Daten auf Wechselmedien verschlüsseln:

Daten auf Wechseldatenträgern verschlüsseln.

Richten Sie einen sicheren Konfigurationsprozess ein, und pflegen Sie ihn:

Richten Sie einen sicheren Konfigurationsprozess für Enterprise-Assets (Endanwendergeräte, einschließlich tragbarer und mobiler Geräte, nicht-Computer-/IoT-Geräte und Server) und Software (Betriebssysteme und Anwendungen) ein und verwalten Sie ihn.Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Automatische Gerätesperre für tragbare Endanwendergeräte erzwingen:

Erzwingen Sie die automatische Gerätesperrung nach einem vordefinierten Schwellenwert für lokale fehlgeschlagene Authentifizierungsversuche auf tragbaren Endanwendergeräten, sofern unterstützt. Lassen Sie bei Laptops nicht mehr als 20 fehlgeschlagene Authentifizierungsversuche zu; bei Tablets und Smartphones nicht mehr als 10 fehlgeschlagene Authentifizierungsversuche. Beispiele für Implementierungen umfassen MicrosoftMicrosoft Azure Event HubsIntune-Gerätesperre und AppleKonfigurationsprofil maxFailedAttempts.

Remote-Löschfunktion auf tragbaren Endanwendergeräten erzwingen:

Löschen Sie Enterprise-Daten Remote von tragbaren Endanwendergeräten im Besitz des Unternehmens, wenn dies als angemessen erachtet wird, z. B. verlorene oder gestohlene Geräte, oder wenn eine Person das Unternehmen nicht mehr unterstützt.

Separate Unternehmensarbeitsbereiche auf mobilen Endanwendergeräten:

Stellen Sie sicher, dass separate Enterprise-Arbeitsbereiche auf mobilen Endanwendergeräten verwendet werden, sofern unterstützt. Beispiele für Implementierungen umfassen die Verwendung von AppleKonfigurationsprofil oder AndroidArbeitsprofil zum Trennen von Unternehmensanwendungen und -Daten von persönlichen Anwendungen und Daten.

Richten Sie einen sicheren Konfigurationsprozess für die Netzwerkinfrastruktur ein, und pflegen Sie ihn:

Richten Sie einen sicheren Konfigurationsprozess für Netzwerkgeräte ein, und verwalten Sie ihn. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Konfigurieren Sie die automatische Sitzungssperre für Unternehmens-Assets:

Konfigurieren Sie die automatische Sitzungssperre für Enterprise-Assets nach einem definierten Zeitraum der Inaktivität. Bei allgemeinen Betriebssystemen darf der Zeitraum 15 Minuten nicht überschreiten. Bei mobilen Endanwendergeräten darf der Zeitraum 2 Minuten nicht überschreiten.

Implementieren und verwalten Sie eine Firewall auf Servern:

Implementieren und verwalten Sie eine Firewall auf Servern, sofern unterstützt. Beispiele für Implementierungen sind eine virtuelle Firewall, eine Betriebssystem-Firewall oder ein Firewall-Agent einer Drittpartei.

Implementieren und verwalten Sie eine Firewall auf Endanwendergeräten:

Implementieren und verwalten Sie eine hostbasierte Firewall oder ein Portfilterungstool auf Endanwendergeräten mit einer Standard-Deny-Regel, die den gesamten Datenverkehr mit Ausnahme der Services und Ports abwirft, die explizit zulässig sind.

Sichere Verwaltung von Unternehmens-Assets und -Software:

Verwalten Sie Enterprise-Assets und -Software sicher. Beispielimplementierungen umfassen die Verwaltung der Konfiguration durch versionsgesteuerte Infrastruktur-as-Code und den Zugriff auf administrative Schnittstellen über sichere Netzwerkprotokolle, z. B. Secure Shell (SSH) und Hypertext Transfer Protocol Secure (HTTPS). Verwenden Sie keine unsicheren Verwaltungsprotokolle wie Telnet (Teletypnetzwerk) und HTTP, es sei denn, dies ist betriebswichtig.

Standardaccounts für Unternehmens-Assets und -Software verwalten:

Verwalten Sie Standardaccounts für Enterprise-Assets und -Software, z. B. Stamm-, Administrator- und andere vorkonfigurierte Lieferantenaccounts. Beispielimplementierungen können Folgendes umfassen: Standardaccounts werden deaktiviert oder unbrauchbar gemacht.

Deinstallieren oder deaktivieren Sie unnötige Services für Unternehmens-Assets und -Software:

Deinstallieren oder deaktivieren Sie unnötige Services für Enterprise-Assets und -Software, z. B. einen nicht verwendeten Dateifreigabeservice, ein Webanwendungsmodul oder eine Servicefunktion.

Vertrauenswürdige DNS-Server für Unternehmens-Assets konfigurieren:

Konfigurieren Sie vertrauenswürdige DNS-Server für Enterprise-Assets. Beispiele für Implementierungen: Konfigurieren von Assets zur Verwendung von vom Unternehmen kontrollierten DNS-Servern und/oder seriösen, extern zugänglichen DNS-Servern.

Erstellen und pflegen Sie einen Bestand an Konten:

Richten Sie einen Bestand aller im Unternehmen verwalteten Accounts ein, und verwalten Sie ihn. Der Bestand muss sowohl Anwender- als auch Administrator-Accounts enthalten. Der Bestand muss mindestens den Namen, Anwendernamen, Start-/Enddaten und die Abteilung der Person enthalten. Validieren Sie, dass alle aktiven Accounts nach einem wiederkehrenden Zeitplan mindestens vierteljährlich oder häufiger autorisiert sind.

Eindeutige Passwörter Verwenden:

Verwenden Sie eindeutige Passwörter für alle Enterprise-Assets. Die Implementierung von Best Practice umfasst mindestens ein 8-stelliges Passwort für Accounts, die MFA verwenden, und ein 14-stelliges Passwort für Accounts, die MFA nicht verwenden.

Inaktive Accounts Deaktivieren:

Löschen oder deaktivieren Sie alle inaktiven Accounts nach einem Zeitraum von 45 Tagen Inaktivität, sofern unterstützt.

Administratorberechtigungen auf dedizierte Administratoraccounts beschränken:

Beschränken Sie Administratorrechte auf dedizierte Administratoraccounts für Enterprise-Assets. Führen Sie allgemeine Computeraktivitäten wie Internetbrowsen, E-Mail-Nutzung und Nutzung der Produktivitäts-Suite über den primären, nicht privilegierten Account des Anwenders aus.

Erstellen und pflegen Sie einen Bestand an Service-Accounts:

Richten Sie einen Bestand an Service-Accounts ein, und verwalten Sie ihn. Der Bestand muss mindestens den Abteilungsbesitzer, das Überprüfungsdatum und den Zweck enthalten. Führen Sie Service-Account-Überprüfungen durch, um zu überprüfen, ob alle aktiven Accounts autorisiert sind, in einem wiederkehrenden Zeitplan mindestens vierteljährlich oder häufiger.

Account-Verwaltung Zentralisieren:

Zentralisieren Sie die Account-Verwaltung über ein Verzeichnis oder einen Identitätsservice.

Richten Sie einen Zugriffsgewährungsprozess ein:

Richten Sie einen vorzugsweise automatisierten Prozess für die Gewährung des Zugriffs auf Enterprise-Assets bei Neueinstellung, Gewährung von Rechten oder Rollenwechsel eines Anwenders ein und verfolgen Sie ihn.

Richten Sie einen Prozess zum Widerrufen des Zugriffs ein:

Richten Sie einen vorzugsweise automatisierten Prozess zum Widerrufen des Zugriffs auf Enterprise-Assets ein, und verfolgen Sie ihn, indem Sie Accounts sofort nach Beendigung, Widerruf von Rechten oder Rollenwechsel eines Anwenders deaktivieren. Das Deaktivieren von Accounts anstelle des Löschens von Accounts ist möglicherweise erforderlich, um Audit-Trails beizubehalten.

MFA für extern gefährdete Anwendungen erforderlich:

Fordern Sie alle extern gefährdeten Unternehmens- oder Drittanbieteranwendungen an, MFA zu erzwingen, sofern unterstützt. Das Erzwingen von MFA über einen Verzeichnisservice oder SSO-Anbieter ist eine zufriedenstellende Implementierung dieses Schutzes.

MFA für Remote-Netzwerkzugriff erforderlich:

Erfordert MFA für Remote-Netzwerkzugriff.

MFA für administrativen Zugriff erforderlich:

MFA für alle administrativen Zugriffskonten, sofern unterstützt, für alle Enterprise-Assets anfordern, unabhängig davon, ob sie vor Ort oder über einen Drittanbieter verwaltet werden.

Erstellen und pflegen Sie einen Bestand an Authentifizierungs- und Autorisierungssystemen:

Richten Sie einen Bestand der Authentifizierungs- und Autorisierungssysteme des Unternehmens ein, einschließlich derSysteme, die vor Ort oder bei einem Remote-Service Provider gehostet werden. Überprüfen und aktualisieren Sie den Bestand mindestens einmal, einmal pro Jahr oder häufiger.

Zugriffssteuerung Zentralisieren:

Zentralisieren Sie die Zugriffssteuerung für alle Enterprise-Assets über einen Verzeichnisservice oder SSO-Anbieter, sofern unterstützt.

Rollenbasierte Zugriffssteuerung definieren und verwalten:

Definieren und pflegen Sie eine rollenbasierte Zugriffssteuerung, indem Sie die Zugriffsrechte bestimmen und dokumentieren, die für jede Rolle im Unternehmen erforderlich sind, um ihre zugewiesenen Aufgaben erfolgreich auszuführen. Führen Sie Zugriffssteuerungsüberprüfungen von Enterprise-Assets durch, um zu validieren, dass alle Berechtigungen in einem wiederkehrenden Zeitplan mindestens einmal pro Jahr oder häufiger autorisiert sind.

Richten Sie einen Schwachstellenverwaltungsprozess ein, und verwalten Sie ihn:

Richten Sie einen dokumentierten Schwachstellenmanagementprozess für Enterprise-Assets ein, und verwalten Sie ihn. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Richten Sie einen Korrekturprozess ein und verwalten Sie ihn:

Richten Sie eine risikobasierte Korrekturstrategie ein, die in einem Korrekturprozess dokumentiert wird, mit monatlichen oder häufigeren Überprüfungen.

Automatisiertes Betriebssystem-Patchmanagement Durchführen:

Führen Sie monatlich oder häufiger Betriebssystemupdates für Enterprise-Assets durch automatisiertes Patch-Management durch.

Automatisiertes Anwendungs-Patch-Management Durchführen:

Führen Sie monatlich oder häufiger Anwendungsupdates für Enterprise-Assets durch automatisiertes Patch-Management durch.

Führen Sie automatisierte Schwachstellen-Scans interner Unternehmens-Assets durch:

Führen Sie vierteljährlich oder häufiger automatisierte Schwachstellen-Scans interner Enterprise-Assets durch. Führen Sie sowohl authentifizierte als auch nicht authentifizierte Scans mit einem SCAP-konformen Schwachstellen-Scan-Tool durch.

Führen Sie automatisierte Schwachstellen-Scans extern gefährdeter Unternehmens-Assets durch:

Führen Sie automatisierte Schwachstellen-Scans von extern gefährdeten Enterprise-Assets mit einem SCAP-konformen Schwachstellen-Scan-Tool durch. Führen Sie monatliche oder häufigere Scans durch.

Erkannte Schwachstellen Beheben:

Beheben Sie erkannte Schwachstellen in Software mithilfe von Prozessen und Tools monatlich oder häufiger, basierend auf dem Korrekturprozess.

Richten Sie einen Audit-Protokollverwaltungsprozess ein und verwalten Sie ihn:

Richten Sie einen Audit-Protokollverwaltungsprozess ein, der die Protokollierungsanforderungen des Unternehmens definiert, und verwalten Sie ihn. Behandeln Sie mindestens die Erfassung, Überprüfung und Aufbewahrung von Audit-Protokollen für Enterprise-Assets. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Auditprotokolle Beibehalten:

Bewahren Sie Audit-Protokolle für Enterprise-Assets mindestens 90 Tage auf.

Auditprotokollüberprüfungen Durchführen:

Führen Sie Überprüfungen von Audit-Protokollen durch, um Anomalien oder abnormale Ereignisse zu erkennen, die auf eine potenzielle Bedrohung hinweisen könnten. Führen Sie wöchentliche oder häufigere Überprüfungen durch.

Serviceanbieterprotokolle Erfassen:

Erfassen Sie Service Provider-Protokolle, sofern unterstützt. Beispielimplementierungen umfassen das Erfassen von Authentifizierungs- und Autorisierungsereignissen, Datenerstellungs- und -Entsorgungsereignissen und Anwenderverwaltungsereignisse.

Auditprotokolle Erfassen:

Sammeln Sie Audit-Protokolle. Stellen Sie sicher, dass die Protokollierung gemäß dem Audit-Protokollverwaltungsprozess des Unternehmens für alle Enterprise-Assets aktiviert wurde.

Stellen Sie Einen Ausreichenden Speicher Für Auditprotokolle Sicher:

Stellen Sie sicher, dass Protokollierungsziele über einen ausreichenden Speicher verfügen, um dem Audit-Protokollverwaltungsprozess des Unternehmens zu entsprechen.

Zeitsynchronisierung Standardisieren:

Standardisieren Sie die Zeitsynchronisierung. Konfigurieren Sie mindestens zwei synchronisierte Zeitquellen für Enterprise-Assets, sofern unterstützt.

Detaillierte Auditprotokolle Erfassen:

Konfigurieren Sie die detaillierte Audit-Protokollierung für Enterprise-Assets, die vertrauliche Daten enthalten. Ereignisquelle, Datum, Anwendername, Zeitstempel, Quelladressen einschließen Zieladressen und andere nützliche Elemente, die bei einer forensischen Untersuchung helfen könnten.

DNS-Abfrage-Auditprotokolle erfassen:

Erfassen Sie DNS-Abfrageaudit-Protokolle für Enterprise-Assets, sofern erforderlich und unterstützt.

Auditprotokolle für URL-Anforderung erfassen:

Erfassen Sie URL-Anforderungs-Audit-Protokolle für Enterprise-Assets, sofern erforderlich und unterstützt.

Befehlszeilen-Auditprotokolle Erfassen:

Erfassen Sie Audit-Protokolle der Befehlszeile. Beispielimplementierungen umfassen das Sammeln von Audit-Protokollen aus PowerShell ™, BASH ™, Und Remote-Verwaltungsterminals.

Auditprotokolle Zentralisieren:

Zentralisieren Sie die Erfassung und Aufbewahrung von Audit-Protokollen in Enterprise-Assets so weit wie möglich.

Stellen Sie sicher, dass nur vollständig unterstützte Browser und E-Mail-Clients verwendet werden:

Stellen Sie sicher, dass nur vollständig unterstützte Browser und E-Mail-Clients im Unternehmen ausgeführt werden dürfen, und verwenden Sie nur die neueste Version der Browser und E-Mail-Clients, die vom Lieferanten bereitgestellt werden.

DNS-Filterservices verwenden:

Verwenden Sie DNS-Filterservices für alle Enterprise-Assets, um den Zugriff auf bekannte schädliche Domänen zu blockieren.

Verwalten und erzwingen Sie netzwerkbasierte URL-Filter:

Erzwingen und aktualisieren Sie netzwerkbasierte URL-Filter, um zu verhindern, dass ein Enterprise-Asset eine Verbindung zu potenziell schädlichen oder nicht genehmigten Websites herstellt. Beispielimplementierungen umfassen kategoriebasierte Filterung, Reputationsbasierte Filterung oder die Verwendung von Sperrlisten. Filter für alle Enterprise-Assets erzwingen.

Unnötige oder nicht autorisierte Browser- und E-Mail-Clienterweiterungen einschränken:

Beschränken Sie nicht autorisierte oder unnötige Browser- oder E-Mail-Client-Plugins, Erweiterungen und Add-on-Anwendungen, entweder durch Deinstallieren oder Deaktivieren.

DMARC implementieren:

Um die Wahrscheinlichkeit gefälschter oder geänderter E-Mails aus gültigen Domänen zu verringern, implementieren Sie die DMARC-Richtlinie und -Verifizierung, beginnend mit der Implementierung des Absenderrichtlinien-Frameworks (SPF) und der Standards „DomainKeys Identified Mail“ (DKIM).

Unnötige Dateitypen Blockieren:

Blockieren Sie unnötige Dateitypen, die versuchen, das E-Mail-Gateway des Unternehmens zu betreten.

Anti-Malware-Schutz für E-Mail-Server bereitstellen und pflegen:

Stellen Sie Anti-Malware-Schutz für E-Mail-Server bereit, z. B. Anhangsscannen und/oder Sandboxing.

Anti-Malware-Software bereitstellen und verwalten:

Stellen Sie Anti-Malware-Software für alle Enterprise-Assets bereit und verwalten Sie sie.

Automatische Anti-Malware-Signaturaktualisierungen Konfigurieren:

Konfigurieren Sie automatische Updates für Anti-Malware-Signaturdateien für alle Enterprise-Assets.

Automatische Ausführung und automatische Wiedergabe für Wechseldatenträger deaktivieren:

Deaktivieren Sie die automatische Ausführung von Autorun und Autoplay für Wechseldatenträger.

Konfigurieren Sie die automatische Anti-Malware-Scans von Wechselmedien:

Konfigurieren Sie Anti-Malware-Software, um Wechseldatenträger automatisch zu scannen.

Anti-Exploit-Funktionen Aktivieren:

Aktivieren Sie nach Möglichkeit Anti-Exploit-Funktionen für Enterprise-Assets und -Software, z. B. MicrosoftMicrosoft Azure Event HubsDatenausführungsverhinderung (DEP), WindowsDefender Exploit Guard (WDEG), oder AppleSystemintegritätsschutz (SIP) und Gatekeeper ™.

Anti-Malware-Software Zentral Verwalten:

Verwalten Sie Anti-Malware-Software zentral.

Verhaltensbasierte Anti-Malware-Software Verwenden:

Verwenden Sie verhaltensbasierte Anti-Malware-Software.

Richten Sie einen Datenwiederherstellungsprozess ein und pflegen Sie ihn:

Richten Sie einen Datenwiederherstellungsprozess ein, und pflegen Sie ihn. Behandeln Sie während des Prozesses den Umfang der Datenwiederherstellungsaktivitäten, die Priorisierung der Wiederherstellung und die Sicherheit von Sicherungsdaten. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Automatisierte Sicherungen Durchführen :

Führen Sie automatisierte Sicherungen von unternehmensinternen Assets durch. Führen Sie je nach Vertraulichkeit der Daten wöchentlich oder häufiger Sicherungen aus.

Wiederherstellungsdaten Schützen:

Schützen Sie Wiederherstellungsdaten mit entsprechenden Steuerungen wie die ursprünglichen Daten. Referenzverschlüsselung oder Datentrennung, basierend auf Anforderungen.

Erstellen und verwalten Sie eine isolierte Instanz von Wiederherstellungsdaten :

Richten Sie eine isolierte Instanz von Wiederherstellungsdaten ein, und verwalten Sie sie. Beispielimplementierungen umfassen die Versionssteuerung von Sicherungszielen über Offline-, Cloud- oder externe Systeme oder Services.

Datenwiederherstellung Testen:

Testen Sie die Sicherungswiederherstellung vierteljährlich oder häufiger für eine Stichprobe von im Umfang enthaltenen Enterprise-Assets.

Stellen Sie sicher, dass die Netzwerkinfrastruktur aktuell ist:

Stellen Sie sicher, dass die Netzwerkinfrastruktur auf dem neuesten Stand ist. Beispiele für Implementierungen sind die Ausführung des neuesten stabilen Release von Software und/oder die Verwendung der derzeit unterstützten Network-as-a-Service-Angebote (Naas). Überprüfen Sie die Softwareversionen monatlich oder häufiger, um den Softwaresupport zu überprüfen.

Richten Sie eine sichere Netzwerkarchitektur ein, und pflegen Sie sie:

Richten Sie eine sichere Netzwerkarchitektur ein, und pflegen Sie sie. Eine sichere Netzwerkarchitektur muss mindestens Segmentierung, geringste Berechtigung und Verfügbarkeit berücksichtigen.

Netzwerkinfrastruktur Sicher Verwalten:

Netzwerkinfrastruktur sicher verwalten. Beispiele für Implementierungen sind „Version-Controlled-Infrastructure-as-Code“ und die Verwendung sicherer Netzwerkprotokolle wie SSH und HTTPS.

Erstellen und pflegen Sie Architekturdiagramme:

Erstellen und pflegen Sie Architekturdiagramme und/oder andere Netzwerksystemdokumentation. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Zentralisieren Sie Netzwerkauthentifizierung, -Autorisierung und -Auditing (AAA):

Zentralisieren Sie das Netzwerk AAA.

Verwendung sicherer Netzwerkverwaltungs- und Kommunikationsprotokolle :

Verwenden Sie sichere Netzwerkverwaltungs- und Kommunikationsprotokolle (z. B. 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise oder höher).

Stellen Sie sicher, dass Remote-Geräte ein VPN verwenden und eine Verbindung zur AAA-Infrastruktur eines Unternehmens herstellen:

Fordern Sie Anwender auf, sich bei von Unternehmen verwalteten VPN- und Authentifizierungsservices zu authentifizieren, bevor Sie auf Endanwendergeräten auf Enterprise-Ressourcen zugreifen.

Richten Sie dedizierte Computerressourcen für alle administrativen Arbeiten ein, und verwalten Sie sie:

Richten Sie dedizierte Computerressourcen ein, die physisch oder logisch getrennt sind, für alle administrativen Aufgaben oder Aufgaben, die administrativen Zugriff erfordern, und verwalten Sie sie. Die Computerressourcen müssen aus dem primären Netzwerk des Unternehmens segmentiert werden und dürfen nicht mit dem Internet verbunden werden.

Sicherheitsereigniswarnungen Zentralisieren:

Zentralisieren Sie Sicherheitsereigniswarnungen über Enterprise-Assets hinweg für Protokollkorrelation und -Analyse. Die Implementierung von Best Practice erfordert die Verwendung eines SIEM, das vom Lieferanten definierte Ereigniskorrelationswarnungen enthält. Eine Protokoll-Analytics-Plattform, die mit sicherheitsrelevanten Korrelationswarnungen konfiguriert ist, erfüllt diesen Schutz ebenfalls.

Filterung Auf Anwendungsebene Durchführen:

Führen Sie eine Filterung auf Anwendungsebene durch. Beispielimplementierungen umfassen einen filternden Proxy, eine Firewall auf Anwendungsebene oder ein Gateway.

Schwellenwerte Für Sicherheitsereigniswarnungen Optimieren:

Optimieren Sie Warnungsschwellenwerte für Sicherheitsereignisse monatlich oder häufiger.

Stellen Sie eine hostbasierte Angriffserkennungslösung bereit:

Stellen Sie eine hostbasierte Angriffserkennungslösung für Enterprise-Assets bereit, sofern erforderlich und/oder unterstützt.

Stellen Sie eine Lösung zur Erkennung von Netzwerkangriffen bereit:

Stellen Sie gegebenenfalls eine Lösung zur Erkennung von Netzwerkangriffen für Enterprise-Assets bereit. Beispielimplementierungen umfassen die Verwendung eines Netzwerkangriffserkennungssystems (Network Intrusion Detection System, NIDS) oder eines entsprechenden Cloud Service Providers (CSP).

Datenverkehrsfilterung Zwischen Netzwerksegmenten Durchführen:

Führen Sie ggf. eine Datenverkehrsfilterung zwischen Netzwerksegmenten durch.

Zugriffssteuerung für Remote-Assets verwalten:

Verwalten Sie die Zugriffssteuerung für Assets, die Remote eine Verbindung zu Enterprise-Ressourcen herstellen. Bestimmen Sie den Umfang des Zugriffs auf Enterprise-Ressourcen basierend auf: Aktueller Anti-Malware-Software installiert, Konfigurations-Compliance mit dem sicheren Konfigurationsprozess des Unternehmens und Sicherstellung, dass das Betriebssystem und die Anwendungen aktuell sind.

Flow-Protokolle Für Netzwerkverkehr Erfassen:

Erfassen Sie Flow-Protokolle für Netzwerkverkehr und/oder Netzwerkverkehr, um sie von Netzwerkgeräten zu überprüfen und zu warnen.

Stellen Sie eine hostbasierte Lösung zur Verhinderung von Angriffen bereit:

Stellen Sie eine hostbasierte Angriffspräventionslösung für Enterprise-Assets bereit, sofern erforderlich und/oder unterstützt. Beispielimplementierungen umfassen die Verwendung eines Endpunkterkennung und -Antwort-Clients oder hostbasierten IPS-Agenten.

Stellen Sie eine Lösung zur Verhinderung von Netzwerkangriffen bereit:

Stellen Sie gegebenenfalls eine Lösung zur Verhinderung von Netzwerkangriffen bereit. Beispiele für Implementierungen sind die Verwendung eines Netzwerkangriffspräventionssystems (Network Intrusion Prevention System, NIPS) oder eines gleichwertigen CSP-Service.

Zugriffssteuerung Auf Portebene Bereitstellen:

Stellen Sie die Zugriffssteuerung auf Portebene bereit. Die Zugriffssteuerung auf Portebene verwendet 802.1x oder ähnliche Netzwerkzugriffssteuerungsprotokolle, z. B. Zertifikate, und kann Anwender- und/oder Geräteauthentifizierung umfassen.

Richten Sie ein Sicherheitsbewusstseinsprogramm ein und pflegen Sie es:

Richten Sie ein Sicherheitsbewusstseinsprogramm ein, und pflegen Sie es. Der Zweck eines Programms für Sicherheitsbewusstsein besteht darin, die Mitarbeiter des Unternehmens darin zu Schulen, wie sie mit Enterprise-Assets und -Daten auf sichere Weise interagieren können. Führen Sie Schulungen bei Einstellung und mindestens einmal pro Jahr durch. Überprüfen und aktualisieren Sie Inhalte jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Schulen Sie Mitarbeiter, um Social Engineering-Angriffe zu erkennen:

Schulen Sie Mitarbeiter, um Social Engineering-Angriffe wie Phishing, Vortexting und Tailgating zu erkennen. 

Mitarbeiter zu Best Practices für die Authentifizierung Schulen:

Schulen Sie Mitarbeiter in Best Practices für die Authentifizierung. Beispielthemen sind MFA, Passwortzusammensetzung und Anmeldeinformationsverwaltung.

Mitarbeiter in Best Practices für die Datenverarbeitung Schulen:

Schulen Sie Mitarbeiter darin, vertrauliche Daten zu identifizieren und ordnungsgemäß zu speichern, zu übertragen, zu archivieren und zu vernichten. Dies umfasst auch das Training von Mitarbeitern zu klaren Best Practices für Bildschirm und Schreibtisch, z. B. das Sperren ihres Bildschirms, wenn sie sich vom Enterprise-Asset entfernen, das Löschen physischer und virtueller Whiteboards am Ende von Besprechungen und das sichere Speichern von Daten und Assets.

Mitarbeiter zu Ursachen der unbeabsichtigten Datengefährdung Schulen:

Schulen Sie die Mitarbeiter, um sich über die Ursachen für unbeabsichtigte Datengefährdung zu informieren. Beispielthemen sind die falsche Bereitstellung vertraulicher Daten, der Verlust eines tragbaren Endanwendergeräts oder die Veröffentlichung von Daten an unbeabsichtigte Zielgruppen.

Mitarbeiter in der Erkennung und Meldung von Security Incidents Schulen:

Schulen Sie Mitarbeiter, um einen potenziellen Incident zu erkennen und einen solchen Incident melden zu können. 

Schulen Sie Mitarbeiter in der Identifizierung und Meldung, ob für ihre Unternehmens-Assets Sicherheitsupdates fehlen:

Schulen Sie das Personal, um zu verstehen, wie veraltete Softwarepatches oder Fehler in automatisierten Prozessen und Tools verifiziert und gemeldet werden können. Teil dieser Schulung sollte die Benachrichtigung von IT-Mitarbeitern über Fehler bei automatisierten Prozessen und Tools umfassen.

Schulen Sie Mitarbeiter in den Gefahren der Verbindung mit und der Übertragung von Unternehmensdaten über unsichere Netzwerke:

Schulen Sie die Mitarbeiter in den Gefahren, die die Verbindung zu und die Übertragung von Daten über unsichere Netzwerke für Unternehmensaktivitäten mit sich bringt. Wenn das Unternehmen über Remote-Mitarbeiter verfügt, muss die Schulung Anleitungen enthalten, um sicherzustellen, dass alle Anwender ihre Heimnetzwerkinfrastruktur sicher konfigurieren.

Führen Sie rollenspezifische Schulungen zu Sicherheitsbewusstsein und -Kompetenzen durch:

Führen Sie rollenspezifische Schulungen zu Sicherheitsbewusstsein und -Kompetenzen durch. Beispielimplementierungen umfassen sichere Systemverwaltungskurse für IT-Fachleute (OWASP ™Top-10-Schulungen für Schwachstellenbewusstsein und -Prävention für Webanwendungsentwickler und erweiterte Social Engineering-Sensibilisierungsschulungen für profilierte Rollen.

Erstellen und pflegen Sie einen Bestand an Service Providern:

Richten Sie einen Bestand an Service Providern ein, und pflegen Sie ihn. Der Bestand dient dazu, alle bekannten Service Provider aufzulisten, Klassifizierungen einzubeziehen und einen Unternehmenskontakt für jeden Service Provider zu bestimmen. Überprüfen und aktualisieren Sie den Bestand jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Richten Sie eine Richtlinie für das Service Provider-Management ein, und pflegen Sie sie:

Richten Sie eine Service Provider-Managementrichtlinie ein, und pflegen Sie sie. Stellen Sie sicher, dass die Richtlinie die Klassifizierung, den Bestand, die Bewertung, die Überwachung und die Außerbetriebnahme von Service Providern behandelt. Überprüfen und aktualisieren Sie die Richtlinie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Service Provider Klassifizieren:

Klassifizieren Sie Service Provider. Die Klassifizierungsüberlegung kann ein oder mehrere Merkmale umfassen, z. B. Datensensibilität, Datenvolumen, Verfügbarkeitsanforderungen, anwendbare Vorschriften, inhärentes Risiko, und gemindertes Risiko. Aktualisieren und überprüfen Sie Klassifizierungen jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Stellen Sie Sicher, Dass Service Provider-Verträge Sicherheitsanforderungen Enthalten:

Stellen Sie sicher, dass Service Provider-Verträge Sicherheitsanforderungen enthalten. Beispielanforderungen können Mindestanforderungen für das Sicherheitsprogramm, Benachrichtigungen und Antworten auf Security Incidents und/oder Datenschutzverletzungen, Datenverschlüsselungsanforderungen und Datenentsorgungsverpflichtungen umfassen. Diese Sicherheitsanforderungen müssen mit der Service Provider-Verwaltungsrichtlinie des Unternehmens übereinstimmen. Überprüfen Sie Service Provider-Verträge jährlich, um sicherzustellen, dass Verträge keine Sicherheitsanforderungen enthalten.

Service Provider Bewerten:

Bewerten Sie Service Provider, die mit der Service Provider-Managementrichtlinie des Unternehmens übereinstimmen. Der Bewertungsumfang kann je nach Klassifizierung(en) variieren und kann die Überprüfung standardisierter Bewertungsberichte umfassen, z. B. Serviceverkehrssteuerung 2 (SOC 2) und Nachweis der Compliance (AOC) der Zahlungskartenbranche (PCI), anwenderdefinierte Fragebogen oder andere entsprechend rigorose Prozesse. Bewerten Sie Service Provider jährlich, mindestens oder mit neuen und verlängerten Verträgen.

Service Provider Bewerten:

Bewerten Sie Service Provider, die mit der Service Provider-Managementrichtlinie des Unternehmens übereinstimmen. Der Bewertungsumfang kann je nach Klassifizierung(en) variieren und kann die Überprüfung standardisierter Bewertungsberichte umfassen, z. B. Serviceverkehrssteuerung 2 (SOC 2) und Nachweis der Compliance (AOC) der Zahlungskartenbranche (PCI), anwenderdefinierte Fragebogen oder andere entsprechend rigorose Prozesse. Bewerten Sie Service Provider jährlich, mindestens oder mit neuen und verlängerten Verträgen.

Service Provider Überwachen:

Überwachen Sie Service Provider, die mit der Service Provider-Verwaltungsrichtlinie des Unternehmens übereinstimmen. Die Überwachung kann eine regelmäßige Neubewertung der Compliance des Service Providers, die Überwachung der Release-Hinweise des Service Providers und die dunkle Webüberwachung umfassen.

Service Provider Sicher Stilllegen:

Service Provider sicher außer Betrieb nehmen. Beispiele für Überlegungen sind die Deaktivierung von Anwender- und Service-Accounts, die Beendigung von Daten-Flows und die sichere Entsorgung von Unternehmensdaten in Service Provider-Systemen.

Richten Sie einen sicheren Anwendungsentwicklungsprozess ein und pflegen Sie ihn:

Richten Sie einen sicheren Anwendungsentwicklungsprozess ein, und pflegen Sie ihn. Behandeln Sie im Prozess folgende Elemente: Sichere Anwendungsdesignstandards, sichere Codierungspraktiken, Entwicklerschulungen, Schwachstellenmanagement, Sicherheit von Drittanbietercode und Anwendungssicherheitstestverfahren. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Sichere Designprinzipien in Anwendungsarchitekturen anwenden:

Wenden Sie sichere Designprinzipien in Anwendungsarchitekturen an. Sichere Designprinzipien umfassen das Konzept der geringsten Berechtigung und das Erzwingen der Mediation, um jeden Vorgang des Anwenders zu validieren, und fördern das Konzept „Anwendereingaben nie vertrauen“. Beispiele sind die Sicherstellung, dass eine explizite Fehlerprüfung für alle Eingaben durchgeführt und dokumentiert wird, einschließlich für Größe, Datentyp und zulässige Bereiche oder Formate. Sicheres Design bedeutet auch, die Angriffsfläche der Anwendungsinfrastruktur zu minimieren, z. B. das Deaktivieren ungeschützter Ports und Services, das Entfernen unnötiger Programme und Dateien und das Umbenennen oder Entfernen von Standardaccounts.

Nutzen Sie geprüfte Module oder Services für Anwendungssicherheitskomponenten:

Nutzen Sie geprüfte Module oder Services für Anwendungssicherheitskomponenten, z. B. Identitätsmanagement, Verschlüsselung sowie Auditing und Protokollierung. Die Verwendung von Plattformfunktionen in kritischen Sicherheitsfunktionen reduziert die Arbeitsauslastung von Entwicklern und minimiert die Wahrscheinlichkeit von Design- oder Implementierungsfehlern. Moderne Betriebssysteme bieten effektive Mechanismen für Identifizierung, Authentifizierung und Autorisierung und stellen diese Mechanismen Anwendungen zur Verfügung. Verwenden Sie nur standardisierte, derzeit akzeptierte und umfassend überprüfte Verschlüsselungsalgorithmen. Betriebssysteme bieten auch Mechanismen zum Erstellen und Verwalten sicherer Audit-Protokolle.

Implementieren Sie Sicherheitsprüfungen Auf Codeebene:

Wenden Sie statische und dynamische Analysetools innerhalb des Anwendungslebenszyklus an, um sicherzustellen, dass sichere Codierungspraktiken befolgt werden.

Führen Sie Anwendungspenetrationstests Durch:

Führen Sie Penetrationstests für Anwendungen durch. Für kritische Anwendungen eignen sich authentifizierte Penetrationstests besser dazu, Schwachstellen in der Geschäftslogik zu finden als Code-Scanning und automatisierte Sicherheitstests. Penetrationstests basieren auf der Kompetenz des Testers, um eine Anwendung manuell als authentifizierter und nicht authentifizierter Anwender zu bearbeiten. 

Bedrohungsmodellierung Durchführen:

Führen Sie die Bedrohungsmodellierung durch. Die Bedrohungsmodellierung ist der Prozess zur Identifizierung und Behebung von Anwendungssicherheitsdesignfehlern in einem Design, bevor Code erstellt wird. Sie wird von speziell geschulten Personen durchgeführt, die das Anwendungsdesign bewerten und Sicherheitsrisiken für jeden Einstiegspunkt und jede Zugriffsebene bewerten. Das Ziel besteht darin, die Anwendung, die Architektur und die Infrastruktur strukturiert abzubilden, um ihre Schwachstellen zu verstehen.

Richten Sie einen Prozess ein, um Softwareschwachstellen zu akzeptieren und zu beheben:

Richten Sie einen Prozess ein, um Berichte über Softwareschwachstellen zu akzeptieren und zu beheben, einschließlich der Bereitstellung einer Möglichkeit für externe Entitäten zur Meldung. Der Prozess umfasst folgende Elemente: Eine Richtlinie zur Handhabung von Schwachstellen, die den Berichterstellungsprozess, die für die Verarbeitung von Schwachstellenberichten verantwortliche Partei und einen Prozess für Aufnahme-, Zuweisungs-, Korrektur- und Korrekturtests identifiziert. Verwenden Sie als Teil des Prozesses ein Schwachstellen-Nachverfolgungssystem, das Schweregradbewertungen und Metriken für die Messung des Zeitpunkts für die Identifizierung, Analyse und Behebung von Schwachstellen enthält. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Führen Sie eine Ursachenanalyse für Sicherheitsschwachstellen durch:

Führen Sie eine Ursachenanalyse für Sicherheitsschwachstellen durch. Bei der Überprüfung von Schwachstellen besteht die Ursachenanalyse in der Bewertung zugrunde liegender Probleme, die Schwachstellen in Code erstellen, und ermöglicht es Entwicklungsteams, über die bloße Behebung einzelner Schwachstellen hinauszugehen, sobald sie auftreten.

Erstellen und verwalten Sie einen Bestand von Softwarekomponenten von Drittanbietern:

Erstellen und verwalten Sie einen aktualisierten Bestand von Drittanbieterkomponenten, die in der Entwicklung verwendet werden, häufig als „Stückliste“ bezeichnet, sowie Komponenten, die für die zukünftige Verwendung vorgesehen sind. Dieser Bestand muss alle Risiken enthalten, die jede Drittparteikomponente darstellen könnte. Bewerten Sie die Liste mindestens monatlich, um Änderungen oder Updates an diesen Komponenten zu identifizieren, und validieren Sie, dass die Komponente weiterhin unterstützt wird. 

Aktuelle und vertrauenswürdige Softwarekomponenten von Drittanbietern verwenden:

Verwenden Sie aktuelle und vertrauenswürdige Softwarekomponenten von Drittanbietern. Wählen Sie nach Möglichkeit etablierte und bewährte Frameworks und Bibliotheken aus, die ausreichende Sicherheit bieten. Erwerben Sie diese Komponenten aus vertrauenswürdigen Quellen, oder bewerten Sie die Software vor der Verwendung auf Schwachstellen.

Richten Sie ein Schweregradbewertungssystem und einen Prozess für Anwendungsschwachstellen ein und verwalten Sie sie:

Richten Sie ein Schweregradbewertungssystem und einen Prozess für Anwendungsschwachstellen ein, und pflegen Sie sie, um die Priorisierung der Reihenfolge zu erleichtern, in der erkannte Schwachstellen behoben werden. Dieser Prozess umfasst die Festlegung eines Mindestniveaus an Sicherheitsakzeptanz für die Freigabe von Code oder Anwendungen. Schweregradbewertungen bieten eine systematische Möglichkeit der Selektierung von Schwachstellen, die das Risikomanagement verbessert und sicherstellt, dass die schwerwiegendsten Fehler zuerst behoben werden. Überprüfen und aktualisieren Sie das System und den Prozess jährlich.

Standardkonfigurationsvorlagen für Härtung für Anwendungsinfrastruktur verwenden:

Verwenden Sie standardmäßige, von der Branche empfohlene Härtungskonfigurationsvorlagen für Anwendungsinfrastrukturkomponenten. Dies umfasst zugrunde liegende Server, Datenbanken und Webserver und gilt für Cloud-Container, PaaS-Komponenten (Platform as a Service) und SaaS-Komponenten. Lassen Sie zu, dass intern entwickelte Software die Konfigurationshärtung nicht schwächt.

Separate Produktions- und nicht-Produktionssysteme:

Verwalten Sie separate Umgebungen für Produktions- und nicht-Produktionssysteme.

Schulen Sie Entwickler in Anwendungssicherheitskonzepten und sicherer Codierung:

Stellen Sie sicher, dass alle Softwareentwicklungspersonal geschult werden, um sicheren Code für ihre spezifische Entwicklungsumgebung und Verantwortlichkeiten zu schreiben. Schulungen können allgemeine Sicherheitsprinzipien und Standardpraktiken für die Anwendungssicherheit enthalten. Führen Sie mindestens einmal pro Jahr Schulungen durch, und entwerfen Sie so, dass die Sicherheit innerhalb des Entwicklungsteams gefördert wird, und bauen Sie eine Sicherheitskultur bei den Entwicklern auf.

Mitarbeiter für die Verwaltung der Incident-Behandlung bestimmen:

Bestimmen Sie eine Schlüsselperson und mindestens eine Sicherung, die den Incident-Prozess des Unternehmens verwaltet. Das Managementpersonal ist für die Koordination und Dokumentation von Maßnahmen zur Reaktion auf Incidents und zur Wiederherstellung verantwortlich und kann aus unternehmensinternen Mitarbeitern, Drittparteien oder einem Hybridansatz bestehen. Wenn Sie einen Drittparteilieferanten verwenden, benennen Sie mindestens eine Person im Unternehmen, die die Arbeit von Drittparteien überwacht. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Richten Sie Kontaktinformationen für die Meldung von Security Incidents ein, und verwalten Sie sie:

Richten Sie Kontaktinformationen für Parteien ein, die über Security Incidents informiert werden müssen, und pflegen Sie sie. Kontakte können interne Mitarbeiter, Drittpartei-Lieferanten, Strafverfolgungsbehörden, Cyberversicherungen, relevante Regierungsbehörden, ISAC-Partner (Information Sharing and Analysis Center) oder andere Stakeholder. Überprüfen Sie Kontakte jährlich, um sicherzustellen, dass die Informationen aktuell sind.

Richten Sie einen Unternehmensprozess für die Meldung von Incidents ein, und verwalten Sie ihn:

Richten Sie einen Enterprise-Prozess ein, damit das Personal Security Incidents melden kann, und verwalten Sie ihn. Der Prozess umfasst den Zeitrahmen für die Berichterstellung, das Personal, an das eine Meldung erfolgen soll, den Mechanismus für die Berichterstellung und die Mindestanzahl der zu meldenden Informationen. Stellen Sie sicher, dass der Prozess für alle Mitarbeiter öffentlich verfügbar ist. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Richten Sie einen Prozess für die Reaktion auf Incidents ein, und verwalten Sie ihn:

Richten Sie einen Prozess für die Reaktion auf Incidents ein, der Rollen und Verantwortlichkeiten, Compliance-Anforderungen und einen Kommunikationsplan berücksichtigt. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Wichtige Rollen und Verantwortlichkeiten zuweisen:

Weisen Sie wichtige Rollen und Verantwortlichkeiten für die Reaktion auf Incidents zu, einschließlich Mitarbeitern aus der Rechtsabteilung, IT, Informationssicherheit, Einrichtungen, Öffentlichkeitsarbeit, Human Resources, Incident-Responder und Analysten, falls zutreffend. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Definieren Sie Mechanismen für die Kommunikation während der Reaktion auf Incidents:

Legen Sie fest, welche primären und sekundären Mechanismen zur Kommunikation und Meldung während eines Security Incidents verwendet werden. Mechanismen können Telefonanrufe, E-Mails oder Briefe umfassen. Beachten Sie, dass bestimmte Mechanismen, z. B. E-Mails, während eines Security Incidents betroffen sein können. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Führen Sie Routinemäßige Übungen Zur Reaktion Auf Incidents Durch:

Planen und führen Sie routinemäßige Übungen zur Reaktion auf Incidents und Szenarien für Schlüsselpersonal durch, die am Prozess zur Reaktion auf Incidents beteiligt sind, um sich auf die Reaktion auf reale Incidents vorzubereiten. Übungen müssen Kommunikationskanäle, Entscheidungsfindung und Workflows testen. Führen Sie mindestens einmal pro Jahr Tests durch.

Führen Sie Überprüfungen Nach Incidents Durch:

Führen Sie Überprüfungen nach Incident durch. Überprüfungen nach Incident helfen, die Wiederholung von Incidents zu verhindern, indem sie gelernte Lektionen identifizieren und Folgemaßnahmen ergreifen.

Legen Sie Schwellenwerte für Security Incidents fest und verwalten Sie sie:

Richten Sie Schwellenwerte für Security Incidents ein, und verwalten Sie sie, mindestens einschließlich der Unterscheidung zwischen einem Incident und einem Ereignis. Beispiele können sein: Abnormale Aktivität, Sicherheitsschwachstelle, Sicherheitsschwachstelle, Datenschutzverletzung, Datenschutz-Incident, usw. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

Richten Sie ein Penetrationstestprogramm ein und pflegen Sie es:

Richten Sie ein Penetrationstestprogramm ein, das der Größe, Komplexität und Reife des Unternehmens entspricht, und verwalten Sie es. Zu den Merkmalen des Penetrationstestprogramms gehören Umfang, z. B. Netzwerk, Webanwendung, Anwendungsprogrammierungs-Schnittstelle (API), gehostete Services und physische Kontrollen am Standort, Häufigkeit, Einschränkungen wie zulässige Stunden und ausgeschlossene Angriffstypen, Kontaktpunktinformationen, Korrektur, z. B. wie Ergebnisse intern weitergeleitet werden, und retrospektive Anforderungen.

Führen Sie Regelmäßige Externe Penetrationstests Durch:

Führen Sie regelmäßige externe Penetrationstests basierend auf den Programmanforderungen durch, mindestens einmal pro Jahr. Externe Penetrationstests müssen Unternehmens- und Umgebungsaufklärung umfassen, um nutzbare Informationen zu erkennen. Penetrationstests erfordern spezialisierte Kompetenzen und Erfahrung und müssen von einer qualifizierten Partei durchgeführt werden. Der Test kann ein klares Feld oder ein undurchsichtiges Feld sein.

Penetrationstestergebnisse Korrigieren:

Korrigieren Sie Penetrationstestergebnisse basierend auf der Unternehmensrichtlinie für den Korrekturumfang und die Priorisierung.

Sicherheitsmaßnahmen Validieren:

Validieren Sie Sicherheitsmaßnahmen nach jedem Penetrationstest. Ändern Sie bei Bedarf Regelsätze und Fähigkeiten, um die während des Tests verwendeten Techniken zu erkennen.

Verwenden Sie ein aktives Discovery-Tool, um Geräte zu identifizieren, die mit dem Netzwerk der Organisation verbunden sind, und aktualisieren Sie den Hardware-Asset-Bestand.

Verwenden Sie ein passives Discovery-Tool, um Geräte zu identifizieren, die mit dem Netzwerk der Organisation verbunden sind, und aktualisieren Sie automatisch den Hardware-Asset-Bestand der Organisation.

Führen Sie einen genauen und aktuellen Bestand aller Technologie-Assets mit dem Potenzial, Informationen zu speichern oder zu verarbeiten. Dieser Bestand muss alle Hardware-Assets umfassen, unabhängig davon, ob sie mit dem Netzwerk der Organisation verbunden sind oder nicht.

Stellen Sie sicher, dass der Hardware-Asset-Bestand die Netzwerkadresse, Hardwareadresse, den Computernamen, den Besitzer des Daten-Assets und die Abteilung für jedes Asset aufzeichnet und ob das Hardware-Asset für die Verbindung mit dem Netzwerk genehmigt wurde.

Verwenden Sie die Zugriffssteuerung auf Portebene gemäß 802.1x-Standards, um zu steuern, welche Geräte sich beim Netzwerk authentifizieren können. Das Authentifizierungssystem muss an die Bestandsdaten des Hardware-Assets gebunden werden, um sicherzustellen, dass nur autorisierte Geräte eine Verbindung zum Netzwerk herstellen können.

Verwenden Sie Client-Zertifikate, um Hardware-Assets zu authentifizieren, die eine Verbindung zum vertrauenswürdigen Netzwerk der Organisation herstellen.

Führen Sie eine aktuelle Liste aller autorisierten Software, die im Unternehmen für Geschäftszwecke in einem beliebigen Geschäftssystem erforderlich ist.

Stellen Sie sicher, dass nur Softwareanwendungen oder Betriebssysteme, die derzeit vom Lieferanten der Software unterstützt werden, dem autorisierten Softwarebestand der Organisation hinzugefügt werden. Nicht unterstützte Software muss im Bestandssystem als nicht unterstützt markiert werden.

Verwenden Sie Softwarebestands-Tools in der gesamten Organisation, um die Dokumentation aller Software auf Geschäftssystemen zu automatisieren.

Das Softwarebestandssystem sollte den Namen, die Version, den Herausgeber und das Installationsdatum für alle Software nachverfolgen, einschließlich der von der Organisation autorisierten Betriebssysteme.

Das Software-Bestandssystem sollte an den Hardware-Asset-Bestand gebunden werden, damit alle Geräte und die zugehörige Software von einem einzigen Standort aus nachverfolgt werden.

Verwenden Sie ein aktuelles SCAP-konformes Tool für Schwachstellen-Scans, um alle Systeme im Netzwerk wöchentlich oder häufiger automatisch zu scannen, um alle potenziellen Schwachstellen auf den Systemen der Organisation zu identifizieren.

Führen Sie authentifizierte Schwachstellen-Scans mit Agenten durch, die lokal auf jedem System ausgeführt werden, oder mit Remote-Scannern, die mit erhöhten Rechten für das getestete System konfiguriert sind.

Vergleichen Sie regelmäßig die Ergebnisse von Back-to-back-Schwachstellen-Scans, um sicherzustellen, dass Schwachstellen rechtzeitig behoben wurden.

Ändern Sie vor der Bereitstellung eines neuen Assets alle Standardpasswörter so, dass Werte mit Accounts auf administrativer Ebene übereinstimmen.

Wenn die Multifaktor-Authentifizierung nicht unterstützt wird (z. B. lokaler Administrator, Stamm- oder Service-Accounts), verwenden Accounts Passwörter, die für dieses System eindeutig sind.

Konfigurieren Sie Systeme so, dass sie einen Protokolleintrag und eine Warnung ausgeben, wenn ein Account zu einer Gruppe hinzugefügt oder aus dieser entfernt wird, die Administratorberechtigungen zugewiesen hat.

Konfigurieren Sie Systeme, um einen Protokolleintrag und eine Warnung bei fehlgeschlagenen Anmeldungen bei einem administrativen Account auszugeben.

Stellen Sie sicher, dass die lokale Protokollierung auf allen Systemen und Netzwerkgeräten aktiviert wurde.

Aktivieren Sie die Systemprotokollierung, um detaillierte Informationen wie Ereignisquelle, Datum, Anwender, Zeitstempel, Quelladressen einzubeziehen. Zieladressen und andere nützliche Elemente.

Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen, idealerweise nur mit der neuesten Version der Browser und E-Mail-Clients, die vom Lieferanten bereitgestellt werden.

Jede AV-Software der Enterprise-Klasse verfügt über diese Fähigkeit. Durch eine zentral verwaltete AV können Sie ganz einfach individuelle Anforderungen aktivieren.

Der AV ist nur so gut wie seine Signaturen. Obwohl eine reine signaturbasierte Erkennung nicht mehr praktikabel ist, müssen auch anomaliebasierte Engines regelmäßig aktualisiert werden. Stellen Sie sicher, dass die Updates automatisch ausgeführt werden, und verwenden Sie Tools, um sicherzustellen, dass die Signaturen tatsächlich aktuell sind.

Die DISA-Härtungsleitfäden enthalten Schritt-für-Schritt-Anweisungen zum Aktivieren dieser Einstellungen und vieles mehr.

Für die meisten AVS ist diese Fähigkeit standardmäßig aktiviert, es ist jedoch weiterhin wichtig, sicherzustellen, dass sie tatsächlich noch aktiviert ist. Malware, die über einen USB-Stick eingeht, ist für fast jede Organisation eine praktikable Angriffsvektorfunktion.

Aus demselben Grund, warum Sie sie nicht scannen möchten, möchten Sie auch nicht, dass sie ausgeführt wird, wenn sie bereitgestellt wird. Dies ist eine ziemlich schnelle Einstellung, und sowohl CIs als auch DISA-Härtungsleitfäden enthalten Schritt-für-Schritt-Anweisungen zum Deaktivieren der automatischen Ausführung. Einige SCM-Tools können schnell jeden Endpunkt in Ihrer Umgebung überprüfen, um sicherzustellen, dass diese Einstellung deaktiviert ist.

Führen Sie regelmäßig automatisierte Port-Scans für alle Systeme durch, und warnen Sie, wenn nicht autorisierte Ports auf einem System erkannt werden.

Vergleichen Sie alle Netzwerkgerätekonfigurationen mit genehmigten Sicherheitskonfigurationen, die für jedes verwendete Netzwerkgerät definiert sind, und warnen Sie, wenn Abweichungen erkannt werden.

Installieren Sie die neueste stabile Version aller sicherheitsbezogenen Updates auf allen Netzwerkgeräten.

Stellen Sie netzwerkbasierte Sensoren für Angriffserkennungssysteme (Intrusion Detection Systems, IDS) bereit, um nach ungewöhnlichen Angriffsmechanismen zu suchen und die Gefährdung dieser Systeme an allen Netzwerkgrenzen der Organisation zu erkennen.

Entfernen Sie vertrauliche Daten oder Systeme, auf die die Organisation nicht regelmäßig Zugriff hat, aus dem Netzwerk. Diese Systeme dürfen nur als eigenständige Systeme (vom Netzwerk getrennt) von der Geschäftseinheit verwendet werden, die das System gelegentlich verwenden oder vollständig virtualisiert und ausgeschaltet werden muss, bis es erforderlich ist.

Schulen Sie Mitarbeiter, damit sie sich der Risiken von Daten auf USB-Laufwerken bewusst sind. Stellen Sie ihnen dann die Tools zur Verfügung, um die kritischen Daten Ihrer Organisation zu sichern.

Verschlüsseln Sie alle vertraulichen Informationen während der Übertragung.

Führen Sie einen Bestand an autorisierten drahtlosen Zugriffspunkten, die mit dem kabelgebundenen Netzwerk verbunden sind.

Führen Sie einen Bestand aller Authentifizierungssysteme der Organisation, einschließlich derjenigen, die sich vor Ort oder bei einem Remote-Service Provider befinden.

Verschlüsseln oder Hash mit Salt all-Authentifizierungs-Anmeldeinformationen, wenn gespeichert.

Stellen Sie sicher, dass alle Account-Anwendernamen und Authentifizierungsanmeldeinformationen mithilfe verschlüsselter Kanäle über Netzwerke übertragen werden.

Workstation-Sitzungen nach einem Standardzeitraum der Inaktivität automatisch sperren.

Warnung, wenn Anwender vom normalen Anmeldeverhalten abweichen, z. B. zur Tageszeit, zum Standort der Workstation und zur Dauer.

Verwenden Sie nur standardisierte und umfassend überprüfte Verschlüsselungsalgorithmen.

Richten Sie einen Prozess ein, um Berichte über Softwareschwachstellen zu akzeptieren und zu beheben, einschließlich der Bereitstellung einer Möglichkeit für externe Entitäten, sich an Ihre Sicherheitsgruppe zu wenden.

Weisen Sie Stellenbezeichnungen und Pflichten für die Behandlung von Computer- und Netzwerk-Incidents bestimmten Personen zu, und stellen Sie die Nachverfolgung und Dokumentation während des gesamten Incidents bis zur Lösung sicher.

Bestimmen Sie Managementpersonal sowie Sicherungen, die den Incident-Prozess unterstützen, indem sie in wichtigen Entscheidungsrollen agieren.

Veröffentlichen Sie Informationen für alle Personalmitglieder zur Meldung von Computeranomalien und Incidents an das Incident-Handhabungsteam. Solche Informationen sollten in routinemäßige Sensibilisierungsaktivitäten für Mitarbeiter aufgenommen werden.

Definieren Sie eine „Informationssicherheitsrichtlinie“, die von der Führungsebene genehmigt wird und den Ansatz der Organisation für die Verwaltung ihrer Informationssicherheitsziele beschreibt. Die Richtlinie zur Informationssicherheit wird von themenspezifischen Richtlinien unterstützt, die die Implementierung von Informationssicherheitskontrollen vorschreiben: Zugriffssteuerung; Informationsklassifizierung (und -Verarbeitung); physische Sicherheit und Umgebungssicherheit; Sicherung; Informationsübertragung; Schutz vor Malware; Management technischer Schwachstellen; kryptografische Kontrollen; Kommunikationssicherheit; Datenschutz und Schutz personenbezogener Daten; Lieferantenbeziehungen und Endanwenderorientierte Themen wie: 1) zulässige Nutzung von Assets; 2) Clear Desk und Clear Screen; 3) Informationsübertragung; 4) Mobilgeräte und Telearbeit; 5) Einschränkungen für Softwareinstallationen und -Verwendung.

Stellen Sie sicher, dass Verantwortlichkeiten für den Schutz einzelner Assets im Asset-Bestand identifiziert werden. Stellen Sie sicher, dass Rollen und Verantwortlichkeiten für die Entwicklung und Implementierung von Informationssicherheit klar definiert sind.

Verwenden Sie genehmigte Verschlüsselungssoftware für ganze Datenträger, um die Festplatte aller Mobilgeräte zu verschlüsseln.

Erzwingen Sie Remotezugriffsrichtlinien für Mitarbeiter und Auftragnehmer.

Stellen Sie sicher, dass für alle Mitarbeiter und Auftragnehmer eine Hintergrundverifizierung durchgeführt wird, bevor Sie Zugriff auf die Assets des Unternehmens gewähren.

Stellen Sie sicher, dass alle neuen Mitarbeiter oder Auftragnehmer die Beschäftigungsbedingungen unterzeichnet und akzeptiert haben, einschließlich ihrer Verantwortung für die Informationssicherheit.

Stellen Sie sicher, dass der Hardware-Asset-Bestand die Netzwerkadresse, Hardwareadresse, den Computernamen, den Besitzer des Daten-Assets und die Abteilung für jedes Asset aufzeichnet und ob das Hardware-Asset für die Verbindung mit dem Netzwerk genehmigt wurde.

Stellen Sie sicher, dass der Hardware-Asset-Bestand die Netzwerkadresse, Hardwareadresse, den Computernamen, den Besitzer des Daten-Assets und die Abteilung für jedes Asset aufzeichnet und ob das Hardware-Asset für die Verbindung mit dem Netzwerk genehmigt wurde.

Stellen Sie sicher, dass Mitarbeiter und Auftragnehmer über die Informationssicherheitsanforderungen der Assets der Organisation informiert werden, die mit Einrichtungen und Ressourcen der Informations- und Informationsverarbeitung verbunden sind. Sie sollten für die Verwendung von Informationsverarbeitungsressourcen und für jede solche Verwendung verantwortlich sein, die unter ihrer Verantwortung durchgeführt wird.

Verwenden Sie Client-Zertifikate, um Hardware-Assets zu authentifizieren, die eine Verbindung zum vertrauenswürdigen Netzwerk der Organisation herstellen.

Erfordert den gesamten Remote-Anmeldezugriff auf das Netzwerk der Organisation, um Daten während der Übertragung zu verschlüsseln und Multifaktor-Authentifizierung zu verwenden.

Wenn die Multifaktor-Authentifizierung nicht unterstützt wird (z. B. lokaler Administrator, Stamm- oder Service-Accounts), verwenden Accounts Passwörter, die für dieses System eindeutig sind.

Stellen Sie sicher, dass eine Richtlinie zur Verschlüsselung vorhanden ist und gemäß den Datenklassifizierungsanforderungen angewendet, implementiert und durchgesetzt werden.

Stellen Sie sicher, dass die Verwaltung von Verschlüsselungsschlüsseln gemäß einer formalen Richtlinie und einem formalen Verfahren für den gesamten Lebenszyklus des Schlüssels verwaltet wird.

Stellen Sie sicher, dass die Clear Desk-Richtlinie von Mitarbeitern und Auftragnehmern angepasst wird.

Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen, idealerweise nur mit der neuesten Version der Browser und E-Mail-Clients, die vom Lieferanten bereitgestellt werden.

Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen, idealerweise nur mit der neuesten Version der Browser und E-Mail-Clients, die vom Lieferanten bereitgestellt werden.

Stellen Sie sicher, dass die lokale Protokollierung auf allen Systemen und Netzwerkgeräten aktiviert wurde.

Stellen Sie sicher, dass Protokolle vor nicht autorisiertem Zugriff geschützt sind.

Erzwingen Sie detaillierte Audit-Protokollierung für den Zugriff auf vertrauliche Daten oder Änderungen an vertraulichen Daten (mithilfe von Tools wie Dateiintegritätsüberwachung oder Sicherheitsinformationen- und Ereignisüberwachung).

Stellen Sie sicher, dass formelle Übertragungsrichtlinien, -Verfahren und -Kontrollen vorhanden sind, um die Übertragung von Informationen durch die Verwendung aller Arten von Kommunikationseinrichtungen zu schützen.

Stellen Sie sicher, dass Anforderungen im Zusammenhang mit der Informationssicherheit in den Anforderungen für neue Informationssysteme oder Erweiterungen vorhandener Informationssysteme enthalten sind.

Stellen Sie sicher, dass geschäftskritische Anwendungen überprüft und getestet werden, um sicherzustellen, dass es bei Änderungen an den Betriebsplattformen keine nachteiligen Auswirkungen auf den Betrieb oder die Sicherheit der Organisation gibt.

Stellen Sie sicher, dass Änderungen an Softwarepaketen nicht empfohlen werden oder auf erforderliche Changes beschränkt sind und alle Changes streng kontrolliert werden.

Stellen Sie sicher, dass während des Entwicklungslebenszyklus Sicherheitstests wie sichere Codeüberprüfungen und Schwachstellen-Scans durchgeführt werden. Stellen Sie sicher, dass identifizierte Schwachstellen dokumentiert und eine Korrektur durchgeführt wird.

Stellen Sie sicher, dass Systemakzeptanztests das Testen von Informationssicherheitsanforderungen und die Einhaltung sicherer Systementwicklungspraktiken umfassen.

Stellen Sie sicher, dass Systemakzeptanztests das Testen von Informationssicherheitsanforderungen und die Einhaltung sicherer Systementwicklungspraktiken umfassen.

Stellen Sie sicher, dass Informationssicherheitskontrollen mit dem Lieferanten behandelt und gelöst werden, bevor Sie Geschäfte führen oder dem Lieferanten Zugriff auf Assets gewähren.

Stellen Sie sicher, dass vor der Geschäftstätigkeit eine Risikobewertung durchgeführt wird und Lieferanten Zugriff auf Assets gewährt wird, und dass Sicherheitskontrollen und -Anforderungen vereinbart und in der Lieferanten-/Lieferantenvereinbarung dokumentiert werden.

Stellen Sie sicher, dass der Lieferant regelmäßig überwacht und überprüft, um sicherzustellen, dass die Nutzungsbedingungen der Vereinbarungen zur Informationssicherheit eingehalten werden und Incidents und Probleme zur Informationssicherheit ordnungsgemäß verwaltet werden.

Stellen Sie sicher, dass eine Drittpartei-Risikobewertung durchgeführt wird, wenn Änderungen an der Bereitstellung von Services auftreten. Stellen Sie sicher, dass Änderungen an der Bereitstellung von Services durch Lieferanten verwaltet werden, einschließlich der Wartung und Verbesserung vorhandener Richtlinien, Verfahren und Kontrollen zur Informationssicherheit.

Stellen Sie sicher, dass ein offizielles Incident-Management-Programm vorhanden ist und alle Mitarbeiter und Drittparteien darin geschult werden, Security Incidents zu erkennen und zu melden.

Stellen Sie sicher, dass ein formelles Informationssicherheitsereignismanagement vorhanden ist, das die vereinbarte Klassifizierungsskala für Sicherheitsereignisse und Incidents für Berichterstellung und Eskalation enthält. Stellen Sie sicher, dass das Klassifizierungsschema für Bedrohungen und Risiken dokumentiert ist. Stellen Sie sicher, dass Benachrichtigungen zur Reaktion auf Incidents verwaltet werden. Stellen Sie sicher, dass Auswirkungsschwellenwerte, die bei der Kategorisierung von Incidents verwendet werden sollen, dokumentiert sind.

Stellen Sie sicher, dass Informationssicherheits-Incidents gemäß den dokumentierten Verfahren reagiert und verwaltet werden.

Stellen Sie sicher, dass Incident-Überwachungsverfahren im Incident-Management-Programm enthalten sind, um Incidents zu dokumentieren und sicherzustellen, dass Sicherheitsereignisse regelmäßig analysiert werden, um zukünftige Incidents zu reduzieren.

Stellen Sie sicher, dass Informationssicherheit und Kontinuität des Informationssicherheitsmanagements geplant und in den Geschäftskontinuitätsplan oder in den Notfallwiederherstellungsplan aufgenommen werden.

Stellen Sie sicher, dass Geschäftskontinuität oder Notfallwiederherstellungsplan formell dokumentiert sind.

Stellen Sie sicher, dass die Geschäftskontinuität oder der Notfallwiederherstellungsplan jährlich durchgeführt werden, um zu überprüfen, ob angemessene Sicherheitskontrollen in ungünstigen Situationen gültig und effektiv sind.

Stellen Sie sicher, dass Failover- und Wiederherstellungskomponenten wie vorgesehen funktionieren.

Stellen Sie sicher, dass Datensätze und Daten gemäß den gesetzlichen, gesetzlichen, vertraglichen und geschäftlichen Anforderungen vor Verlust, Vernichtung, Fälschung, nicht autorisiertem Zugriff und nicht autorisierter Freigabe geschützt sind.

Stellen Sie sicher, dass der Datenschutz und der Schutz personenbezogener Daten gegebenenfalls in Übereinstimmung mit Gesetzgebung und Vorschriften geschützt und behandelt werden.

Stellen Sie sicher, dass regelmäßig Tests der im Umfang enthaltenen Systemkonfiguration anhand von Compliance- und regulatorischen Anforderungen durchgeführt werden. Stellen Sie sicher, dass Baseline-Konfigurationsstandards für Systeme dokumentiert sind und auf Best Practices der Branche basieren.

Stellen Sie sicher, dass der Kündigungsprozess so formalisiert ist, dass alle zuvor ausgestellten physischen und elektronischen Assets im Besitz der Organisation sind oder der Organisation anvertraut wurden.

• HR-Profile [sn_hr_core_profile]
• Asset [alm_asset]

Stellen Sie sicher, dass Software-Assets verwaltet und regelmäßig aktualisiert werden.

• Software Asset Management Core
• Software Asset Management Professional Core

• Softwareinstallation [cmdb_sam_sw_install]
• Softwaremodelle [cmdb_software_product_model]

Verwenden Sie einen Risikobewertungsprozess, um die Behebung erkannter Schwachstellen zu priorisieren.

Deinstallieren oder deaktivieren Sie nicht autorisierte Browser- oder E-Mail-Client-Plugins oder Add-on-Anwendungen.

• Software Asset Management Core
• Software Asset Management Professional Core

• Softwareinstallation [cmdb_sam_sw_install]
• Softwaremodelle [cmdb_software_product_model]

Richten Sie sichere Codierungspraktiken ein, die der verwendeten Programmiersprache und Entwicklungsumgebung entsprechen.

Stellen Sie sicher, dass schriftliche Pläne für die Reaktion auf Incidents vorhanden sind, die Rollen des Personals sowie Phasen der Behandlung/Verwaltung von Incidents definieren.