Indikatorvorlagen für Steuerungen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 57 Minuten Lesedauer
  • Die Technology Controls Monitoring Accelerator Enthält 273 Indikatorvorlagen (94 Standard, 174 manuell und 5 geskriptet) für CIs v7 und neue 67 Indikatorvorlagen (64 Standard und 3 geskriptet) für CIs v8.

    Wenn Technology Controls Monitoring Accelerator Wird zusammen mit verwendet Cybersecurity Controls Accelerator Anwendung können Sie Indikatorvorlagen in verwalten Cybersecurity Controls Accelerator Anwendung.

    Wenn Technology Controls Monitoring Accelerator Wird als eigenständige Anwendung ausgeführt, kann jedoch mit ausgeführt werden Richtlinien- und Compliance-Management Anwendung. Sie können auch Ordnen Sie UCF-Steuerungen Indikatorvorlagen zu Von mit Richtlinien- und Compliance-Management Anwendung.

    Hinweis:
    Informationen zu den verschiedenen Arten von Indikatorvorlagen finden Sie unter Indikatorvorlagen verwenden.

    Indikatorvorlagen für CIs v8-Steuerungen

    In der folgenden Tabelle sind die Indikatorvorlagen für CIs v8-Steuerungen aufgeführt.
    Hinweis:
    Für Steuerungen, die derzeit nicht von Basis- oder geskripteten Indikatorvorlagen abgedeckt werden, sind manuelle Indikatorvorlagen für die Zwecke der Compliance-Validierung definiert. Weitere Informationen zu CIs v8-Indikatorvorlagen finden Sie unter KB0555526 .
    Tabelle : 1. Indikatorvorlagen für CIs v8-Steuerungen
    Kontrolle Name/Beschreibung Typ Compliance validiert von Quelltabelle Zugehörige Steuerungsziele
    CIs-Steuerung V8 1,1

    Detaillierte Enterprise-Asset-Bestandsaufnahme einrichten und pflegen:

    Erstellen und pflegen Sie einen genauen, detaillierten und aktuellen Bestand aller Enterprise-Assets mit dem Potenzial, Daten zu speichern oder zu verarbeiten, einschließlich: Endanwendergeräte (einschließlich tragbarer und mobiler Geräte), Netzwerkgeräte, nicht-Computer-/IoT-Geräte und Server. Stellen Sie sicher, dass der Bestand die Netzwerkadresse (falls statisch), Hardwareadresse, Computername, Besitzer des Daten-Assets, Abteilung für jedes Asset aufzeichnet und ob das Asset für die Verbindung mit dem Netzwerk genehmigt wurde. Für mobile Endanwendergeräte können MDM-Tools diesen Prozess gegebenenfalls unterstützen. Dieser Bestand umfasst Assets, die physisch, virtuell, Remote und in Cloud-Umgebungen mit der Infrastruktur verbunden sind. Darüber hinaus umfasst es Assets, die regelmäßig mit der Netzwerkinfrastruktur des Unternehmens verbunden sind, auch wenn sie nicht unter der Kontrolle des Unternehmens stehen. Überprüfen und aktualisieren Sie den Bestand aller Enterprise-Assets zweimal pro Jahr oder häufiger.

    STANDARD HAM cmdb_ci_hardware CIS V8 (1,1) CSF (ID.AM-1, PR.DS-3) ISO 27002 (5,9, 8,8) PCI (9,5.1, 9,5.1,1, 11.2, 11.2,1, 11.2,2, 12.5, 12.5,1) CCM (UEM-04)
    CIs-Steuerung V8 1,2

    Nicht Autorisierte Assets Adressieren:

    Stellen Sie sicher, dass ein Prozess zur wöchentlichen Behandlung nicht autorisierter Assets vorhanden ist. Das Unternehmen kann das Asset aus dem Netzwerk entfernen, die Remote-Verbindung des Assets mit dem Netzwerk verweigern oder das Asset in Quarantäne stellen.

    STANDARD CMDB cmdb_ci CIS V8 (1,2) NIST (CM-8) PCI (11.2,1)
    CIs-Steuerung V8 1,3

    Verwenden Sie ein aktives Discovery-Tool:

    Verwenden Sie ein aktives Discovery-Tool, um Assets zu identifizieren, die mit dem Unternehmensnetzwerk verbunden sind. Konfigurieren Sie das aktive Discovery-Tool so, dass es täglich oder häufiger ausgeführt wird.

    STANDARD Discovery cmdb_Discovery CIS V8 (1,3) CSF (DE.CM-7) NIST (CM-8(1)) CCM (UEM-05)
    CIs-Steuerung V8 1,4

    Verwenden Sie DHCP-Protokollierung (Dynamic Host Configuration Protocol), um den Enterprise-Asset-Bestand zu aktualisieren:

    Verwenden Sie DHCP-Protokollierung auf allen DHCP-Servern oder IP-Adressenverwaltungstools (Internet Protocol), um den Asset-Bestand des Unternehmens zu aktualisieren. Überprüfen und verwenden Sie Protokolle, um den Asset-Bestand des Unternehmens wöchentlich oder häufiger zu aktualisieren.

    Manuell NA NA
    CIs-Steuerung V8 1,5

    Verwenden Sie ein passives Asset Discovery-Tool:

    Verwenden Sie ein passives Discovery-Tool, um Assets zu identifizieren, die mit dem Unternehmensnetzwerk verbunden sind. Überprüfen und verwenden Sie Scans, um den Asset-Bestand des Unternehmens mindestens wöchentlich oder häufiger zu aktualisieren.

    STANDARD Discovery Discovery_Netzwerk_Track CIS V8 (1,5) CSF (DE.CM-7) NIST (CM-8(3))
    CIs-Steuerung V8 2,1

    Softwarebestand einrichten und pflegen:

    Erstellen und verwalten Sie einen detaillierten Bestand aller lizenzierten Software, die auf Enterprise-Assets installiert ist. Der Softwarebestand muss den Titel, den Herausgeber, das Datum der Erstinstallation/Verwendung und den Geschäftszweck für jeden Eintrag dokumentieren; gegebenenfalls Uniform Resource Locator (URL), App Store(s), Version(en), Bereitstellungsmechanismus und Außerbetriebnahme-Datum enthalten. Überprüfen und aktualisieren Sie den Softwarebestand alle zwei Jahre oder häufiger.

    STANDARD SAM cmdb_ci_Application_Software CIS V8 (2,1) CSF (ID.AM-2) ISO (5,9) NIST (SI-4) PCI (1,2.5, 6,3.2) CCM (UEM-02)
    CIs-Steuerung V8 2,2

    Stellen Sie sicher, dass autorisierte Software derzeit unterstützt wird

    Stellen Sie sicher, dass nur derzeit unterstützte Software im Softwarebestand für Enterprise-Assets als autorisiert festgelegt ist. Wenn Software nicht unterstützt wird, aber für die Erfüllung der Mission des Unternehmens erforderlich ist, dokumentieren Sie eine Ausnahme, die die mindernden Kontrollen und die Akzeptanz des Restrisikos beschreibt. Geben Sie für nicht unterstützte Software ohne Ausnahmedokumentation als nicht autorisiert an. Überprüfen Sie die Softwareliste, um den Softwaresupport mindestens monatlich oder häufiger zu überprüfen.

    Manuell NA NA
    CIs-Steuerung V8 2,3

    Nicht Autorisierte Software Adressieren:

    Stellen Sie sicher, dass nicht autorisierte Software entweder aus der Verwendung für Enterprise-Assets entfernt wird oder eine dokumentierte Ausnahme erhält. Überprüfen Sie monatlich oder häufiger.

    GESKRIPTET SAM cmdb_sam_sw_install CIS V8 (2,3) CSF (DE.CM-7) ISO (8,7) NIST (CM-8(3)) PCI (12.3,4)
    CIs-Steuerung V8 2,4

    Automatisierte Softwarebestands-Tools Verwenden:

    Verwenden Sie nach Möglichkeit Softwarebestands-Tools im gesamten Unternehmen, um die Discovery und Dokumentation der installierten Software zu automatisieren.

    STANDARD SAM cmdb_ci_Application_Software CIS V8 (2,4) CSF (DE.CM-7) NIST (SI-4)
    CIs-Steuerung V8 2,5

    Allowlist Für Autorisierte Software:

    Verwenden Sie technische Steuerungen, z. B. die Liste der Anwendungszulagen, um sicherzustellen, dass nur autorisierte Software ausgeführt oder darauf zugegriffen werden kann. Bewerten Sie alle zwei Jahre oder häufiger erneut.

    GESKRIPTET SAM cmdb_sam_sw_install CIS V8 (2,5) CSF (DE.CM-7) ISO (8,7, 8,17) PCI (1,2.5, 2,2.4)
    CIs-Steuerung V8 2,6

    Allowlist Autorisierte Bibliotheken:

    Verwenden Sie technische Kontrollen, um sicherzustellen, dass nur autorisierte Softwarebibliotheken wie bestimmte .dll-, .ocx-, .so-Dateien, dürfen in einen Systemprozess geladen werden. Verhindern Sie das Laden nicht autorisierter Bibliotheken in einen Systemprozess. Bewerten Sie alle zwei Jahre oder häufiger erneut.

    STANDARD VR sn_vulc_result CIS V8 (2,6) CSF (DE.CM-7) ISO (8,19) PCI (1,2.5, 2,2.4)
    CIs-Steuerung V8 2,7

    Allowlist Autorisierte Skripts:

    Verwenden Sie technische Steuerungen wie digitale Signaturen und Versionssteuerung, um sicherzustellen, dass nur autorisierte Skripts wie bestimmte .ps1-, .py-Dateien usw. ausgeführt werden dürfen. Blockieren Sie die Ausführung nicht autorisierter Skripts. Bewerten Sie alle zwei Jahre oder häufiger erneut.

    STANDARD VR sn_vulc_result CIS V8 (2,7) CSF (PR.IP-1, PR.PT-3) NIST (CM-8) PCI (1,2.5, 2,2.4, 6,4.3)
    CIs-Steuerung V8 3,1

    Datenverwaltungsprozess einrichten und pflegen:

    Richten Sie einen Datenverwaltungsprozess ein, und pflegen Sie ihn. Behandeln Sie während des Prozesses die Vertraulichkeit der Daten, den Datenbesitzer, die Verarbeitung von Daten, die Datenaufbewahrungsgrenzen, und Entsorgungsanforderungen, basierend auf Vertraulichkeits- und Aufbewahrungsstandards für das Unternehmen. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 3,10

    Vertrauliche Daten während der Übertragung verschlüsseln:

    Verschlüsselt vertrauliche Daten während der Übertragung. Beispielimplementierungen können Transport Layer Security (TLS) und Open Secure Shell (OpenSSH) umfassen.

    STANDARD Discovery sn_Disco_certmgmt_cmdb_installed_certificate CIS V8 (3,10) CSF (PR.IP-6, PR.DS-2) ISO (5,1, 5,9, 8,1, 5,14) NIST (CM-7(1), CM-10) PCI (9,4, 9,4,2, 2,2,7, 4,1,1, 4,2,1, 4,2.1,2, 4,2.2, 8,3.2) CCM (DSP-01, DSP-06, GRC-03, CEK-03)
    CIs-Steuerung V8 3,11

    Vertrauliche Daten Im Ruhezustand Verschlüsseln:

    Verschlüsseln Sie vertrauliche Daten auf Servern, Anwendungen und Datenbanken, die vertrauliche Daten enthalten. Die Verschlüsselung auf Speicherebene, auch als serverseitige Verschlüsselung bezeichnet, erfüllt die Mindestanforderung dieses Schutzes. Zusätzliche Verschlüsselungsmethoden können die Verschlüsselung auf Anwendungsebene, auch als clientseitige Verschlüsselung bezeichnet, umfassen, bei der der Zugriff auf die Datenspeichergeräte keinen Zugriff auf die nur-Text-Daten zulässt.

    STANDARD CMDB cmdb_rel_ci CIS V8 (3,11) CSF (PR.DS-1) ISO (5,33) NIST (CM-7) PCI (3,1.1, 3,3.2, 3,3.3, 3,5.1, 3,5.1,2, 3,5.1,3, 8,3.2) CCM (DSP-10, CEK-03)
    CIs-Steuerung V8 3,12

    Segmentdatenverarbeitung und -Speicherung basierend auf Sensitivität:

    Segmentieren Sie Datenverarbeitung und -Speicherung basierend auf der Vertraulichkeit der Daten. Verarbeiten Sie keine sensiblen Daten in Enterprise-Assets, die für Daten mit geringerer Vertraulichkeit vorgesehen sind.

    Manuell NA NA
    CIs-Steuerung V8 3,13

    Lösung zur Vermeidung von Datenverlust bereitstellen:

    Implementieren Sie ein automatisiertes Tool, z. B. ein hostbasiertes DLP-Tool (Data Loss Prevention), um alle vertraulichen Daten zu identifizieren, die über Enterprise-Assets gespeichert, verarbeitet oder übertragen werden, einschließlich derjenigen, die sich vor Ort oder bei einem Remote-Service Provider befinden, und aktualisieren Sie den Bestand vertraulicher Daten des Unternehmens.

    STANDARD CMDB cmdb_rel_ci CIS V8 (3,13) CSF (PR.DS-5) ISO (5,13, 8,12) NIST (CM-7) CCM (DSP-10, UEM-11)
    CIs-Steuerung V8 3,14

    Zugriff Auf Vertrauliche Daten Protokollieren:

    Protokollieren Sie den Zugriff auf vertrauliche Daten, einschließlich Änderung und Entsorgung.

    STANDARD VR sn_vulc_result CIS V8 (3,14) ISO (-8,15) NIST (CM-7(1)) PCI (10.2,1, 10.2,1.1) CCM (DSP-17, IAM-12, LOG-04)
    CIs-Steuerung V8 3,2

    Datenbestand einrichten und pflegen:

    Erstellen und pflegen Sie einen Datenbestand basierend auf dem Datenverwaltungsprozess des Unternehmens. Mindestens bestandsbezogene Daten. Überprüfen und aktualisieren Sie den Bestand mindestens einmal pro Jahr mit Priorität für sensible Daten.

    Manuell NA NA
    CIs-Steuerung V8 3,3

    Datenzugriffssteuerungslisten Konfigurieren:

    Konfigurieren Sie Datenzugriffssteuerungslisten basierend auf den Anforderungen eines Anwenders. Wenden Sie Datenzugriffssteuerungslisten, auch als Zugriffsberechtigungen bezeichnet, auf lokale und Remote-Dateisysteme, Datenbanken und Anwendungen an.

    STANDARD VR sn_vulc_result CIS V8 (3,3) CSF (PR.AC-4) ISO (5,1, 5,15, 8,3, 8,4) NIST (SA-22) PCI (1,3. 1, 7,1) CCM (DSP-17, IAM-05)
    CIs-Steuerung V8 3,4

    Datenaufbewahrung Erzwingen:

    Bewahren Sie Daten gemäß dem Datenverwaltungsprozess des Unternehmens auf. Die Datenaufbewahrung muss sowohl minimale als auch maximale Zeitleisten enthalten.

    Manuell NA NA
    CIs-Steuerung V8 3,5

    Daten sicher entsorgen:

    Entsorgen Sie Daten sicher, wie im Datenverwaltungsprozess des Unternehmens beschrieben. Stellen Sie sicher, dass der Entsorgungsprozess und die Entsorgungsmethode der Datensensibilität entsprechen.

    Manuell NA NA
    CIs-Steuerung V8 3,6

    Daten auf Endanwendergeräten verschlüsseln:

    Verschlüsseln Sie Daten auf Endanwendergeräten, die vertrauliche Daten enthalten. Beispielimplementierungen können Windows BitLocker enthalten ™, Apple FileVault ™, Linux dm-crypt ™.

    STANDARD CMDB cmdb_rel_ci CIS V8 (3,6) ISO (6,7, 7,1, 8,1) NIST (CM-100) CCM (CEK-03, UEM-08)
    CIs-Steuerung V8 3,7

    Datenklassifizierungsschema einrichten und verwalten:

    Erstellen und verwalten Sie ein allgemeines Datenklassifizierungsschema für das Unternehmen. Unternehmen können Bezeichnungen wie „vertraulich“, „vertraulich“ und „öffentlich“ verwenden und ihre Daten entsprechend diesen Bezeichnungen klassifizieren. Überprüfen und aktualisieren Sie das Klassifizierungsschema jährlich, oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 3,8

    Dokumentdaten-Flows:

    Dokumentdaten-Flows. Die Daten-Flow-Dokumentation enthält Daten-Flows von Service Providern und sollte auf dem Datenverwaltungsprozess des Unternehmens basieren. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 3,9

    Daten auf Wechseldatenträgern verschlüsseln:

    Daten auf Wechseldatenträgern verschlüsseln.

    Manuell NA NA
    CIs-Steuerung V8 4,1

    Richten Sie einen sicheren Konfigurationsprozess ein, und pflegen Sie ihn:

    Richten Sie einen sicheren Konfigurationsprozess für Enterprise-Assets (Endanwendergeräte, einschließlich tragbarer und mobiler Geräte, nicht-Computer-/IoT-Geräte und Server) und Software (Betriebssysteme und Anwendungen) ein, und verwalten Sie ihn.Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 4,10

    Automatische Gerätesperrung für tragbare Endanwendergeräte erzwingen:

    Erzwingen Sie die automatische Gerätesperrung nach einem festgelegten Schwellenwert für lokale fehlgeschlagene Authentifizierungsversuche auf tragbaren Endanwendergeräten, sofern unterstützt. Lassen Sie bei Laptops nicht mehr als 20 fehlgeschlagene Authentifizierungsversuche zu; bei Tablets und Smartphones nicht mehr als 10 fehlgeschlagene Authentifizierungsversuche. Beispiele für Implementierungen Microsoft Intune-Gerätesperre und Apple Konfigurationsprofil maxFailedAttempts.

    STANDARD VR sn_vulc_result CIS V8 (4,10) CSF (PR.IP-1) ISO (8,1, 8,5, 8,9) NIST (SI-7, PM-5(1)) PCI (1,1.1, 1,2.1, 1,2.6, 1,5.1, 1,2.7, 2,1.1, 2,2.1, 8,3.4) CCM (CCC-01, GRC-03, IVS-04)
    CIs-Steuerung V8 4,11

    Remote-Löschfähigkeit auf tragbaren Endanwendergeräten erzwingen:

    Löschen Sie Enterprise-Daten Remote von tragbaren Endanwendergeräten im Besitz des Unternehmens, wenn dies als angemessen erachtet wird, z. B. verlorene oder gestohlene Geräte, oder wenn eine Person das Unternehmen nicht mehr unterstützt.

    Manuell NA NA
    CIs-Steuerung V8 4,12

    Separate Enterprise-Arbeitsbereiche auf mobilen Endanwendergeräten:

    Stellen Sie sicher, dass separate Enterprise-Arbeitsbereiche auf mobilen Endanwendergeräten verwendet werden, sofern unterstützt. Beispiele für Implementierungen sind unter anderem die Verwendung von Apple Konfigurationsprofil oder Android Arbeitsprofil zum Trennen von Unternehmensanwendungen und -Daten von persönlichen Anwendungen und Daten.

    Manuell NA NA
    CIs-Steuerung V8 4,2

    Richten Sie einen sicheren Konfigurationsprozess für die Netzwerkinfrastruktur ein, und pflegen Sie ihn:

    Richten Sie einen sicheren Konfigurationsprozess für Netzwerkgeräte ein, und pflegen Sie ihn. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 4,3

    Konfigurieren Sie die automatische Sitzungssperre für Enterprise-Assets:

    Konfigurieren Sie die automatische Sitzungssperre für Enterprise-Assets nach einem definierten Zeitraum der Inaktivität. Bei allgemeinen Betriebssystemen darf der Zeitraum 15 Minuten nicht überschreiten. Bei mobilen Endanwendergeräten darf der Zeitraum 2 Minuten nicht überschreiten.

    STANDARD VR sn_vulc_result CIS V8 (4,3) CSF (PR.IP-1) ISO (8,5, 8,9) PCI (8,2.8) CCM (UEM-06)
    CIs-Steuerung V8 4,4

    Implementieren und Verwalten einer Firewall auf Servern:

    Implementieren und verwalten Sie eine Firewall auf Servern, sofern unterstützt. Beispielimplementierungen umfassen eine virtuelle Firewall, eine Betriebssystem-Firewall oder einen Firewall-Agent eines Drittanbieters.

    STANDARD VR sn_vulc_result CIs v8 (4,4) PCI (1,2.1, 1,4.1)
    CIs-Steuerung V8 4,5

    Implementieren und Verwalten einer Firewall auf Endanwendergeräten:

    Implementieren und verwalten Sie ein hostbasiertes Firewall- oder Portfilterungstool auf Endanwendergeräten mit einer Standard-Deny-Regel, die den gesamten Datenverkehr mit Ausnahme der Services und Ports abschaltet, die explizit zulässig sind.

    Manuell NA NA
    CIs-Steuerung V8 4,6

    Enterprise-Assets und -Software sicher verwalten:

    Verwalten Sie Enterprise-Assets und -Software sicher. Beispielimplementierungen umfassen die Verwaltung der Konfiguration durch versionsgesteuerte Infrastruktur als Code und den Zugriff auf administrative Schnittstellen über sichere Netzwerkprotokolle, z. B. Secure Shell (SSH) und Hypertext Transfer Protocol Secure (HTTPS). Verwenden Sie keine unsicheren Verwaltungsprotokolle wie Telnet (Teletype Network) und HTTP, es sei denn, dies ist betriebswichtig.

    Manuell NA NA
    CIs-Steuerung V8 4,7

    Standardaccounts für Enterprise-Assets und -Software verwalten:

    Verwalten Sie Standardaccounts für Enterprise-Assets und -Software, z. B. Stamm-, Administrator- und andere vorkonfigurierte Lieferantenaccounts. Beispielimplementierungen können Folgendes umfassen: Standardaccounts deaktivieren oder unbrauchbar machen.

    STANDARD VR sn_vulc_result CIS V8 (4,7) CSF (PR.AC-1) ISO (8,2, 8,9) NIST (SI-12) PCI (2,2.2, 2,3.1)
    CIs-Steuerung V8 4,8

    Deinstallieren oder deaktivieren Sie unnötige Services für Enterprise-Assets und -Software:

    Deinstallieren oder deaktivieren Sie unnötige Services für Enterprise-Assets und -Software, z. B. einen nicht verwendeten Dateifreigabeservice, ein Webanwendungsmodul oder eine Servicefunktion.

    Manuell NA NA
    CIs-Steuerung V8 4,9

    Vertrauenswürdige DNS-Server in Enterprise-Assets konfigurieren:

    Konfigurieren Sie vertrauenswürdige DNS-Server für Enterprise-Assets. Beispiele für Implementierungen: Konfigurieren von Assets zur Verwendung von vom Unternehmen kontrollierten DNS-Servern und/oder seriösen, extern zugänglichen DNS-Servern.

    STANDARD VR sn_vulc_result CIS V8 (4,9) NIST (PM-5(1))
    CIs-Steuerung V8 5,1

    Erstellen und pflegen Sie einen Account-Bestand:

    Erstellen und pflegen Sie einen Bestand aller im Unternehmen verwalteten Accounts. Der Bestand muss sowohl Anwender- als auch Administrator-Accounts enthalten. Der Bestand muss mindestens den Namen der Person, den Anwendernamen, das Start-/Enddatum und die Abteilung enthalten. Validiert, dass alle aktiven Accounts nach einem wiederkehrenden Zeitplan mindestens vierteljährlich oder häufiger autorisiert sind.

    Manuell NA NA
    CIs-Steuerung V8 5,2

    Eindeutige Passwörter Verwenden:

    Verwenden Sie eindeutige Passwörter für alle Enterprise-Assets. Die Best Practice-Implementierung umfasst mindestens ein 8-stelliges Passwort für Accounts, die MFA verwenden, und ein 14-stelliges Passwort für Accounts, die nicht MFA verwenden.

    STANDARD VR sn_vulc_result CIS V8 (5,2) ISO (5,17) NIST (AC-5) PCI (2,2.2, 8,3.5, 8,5.6, 8,6.3) CCM (IAM-02)
    CIs-Steuerung V8 5,3

    Inaktive Accounts Deaktivieren:

    Löschen oder deaktivieren Sie inaktive Accounts nach einem Zeitraum von 45 Tagen Inaktivität, sofern unterstützt.

    Manuell NA NA
    CIs-Steuerung V8 5,4

    Administratorberechtigungen auf dedizierte Administratoraccounts beschränken:

    Beschränken Sie Administratorrechte auf dedizierte Administratoraccounts für Enterprise-Assets. Führen Sie allgemeine Computeraktivitäten wie Internet-Browsing, E-Mail und Nutzung der Produktivitäts-Suite über den primären, nicht privilegierten Account des Anwenders aus.

    Manuell NA NA
    CIs-Steuerung V8 5,5

    Erstellen und pflegen Sie einen Bestand an Service-Accounts:

    Erstellen und verwalten Sie einen Bestand an Service-Accounts. Der Bestand muss mindestens den Abteilungsbesitzer, das Überprüfungsdatum und den Zweck enthalten. Führen Sie Service-Account-Überprüfungen durch, um sicherzustellen, dass alle aktiven Accounts nach einem wiederkehrenden Zeitplan mindestens vierteljährlich oder häufiger autorisiert sind.

    Manuell NA NA
    CIs-Steuerung V8 5,6

    Account-Management Zentralisieren:

    Zentralisieren Sie die Account-Verwaltung über ein Verzeichnis oder einen Identitätsservice.

    Manuell NA NA
    CIs-Steuerung V8 6,1

    Richten Sie einen Zugriffsgewährungsprozess ein:

    Richten Sie einen vorzugsweise automatisierten Prozess für die Gewährung des Zugriffs auf Enterprise-Assets bei Neueinstellung, Gewährung von Rechten oder Rollenwechsel eines Anwenders ein und folgen Sie ihm.

    Manuell NA NA
    CIs-Steuerung V8 6,2

    Richten Sie einen Prozess zum Widerrufen des Zugriffs ein:

    Richten Sie einen vorzugsweise automatisierten Prozess zum Widerrufen des Zugriffs auf Enterprise-Assets ein, und verfolgen Sie ihn, indem Sie Accounts sofort nach Beendigung, Widerruf von Rechten oder Rollenwechsel eines Anwenders deaktivieren. Das Deaktivieren von Accounts anstelle des Löschens von Accounts ist möglicherweise erforderlich, um Audit-Trails beizubehalten.

    Manuell NA NA
    CIs-Steuerung V8 6,3

    MFA für extern gefährdete Anwendungen erfordern:

    Erfordert, dass alle extern gefährdeten Unternehmens- oder Drittanbieteranwendungen MFA erzwingen, sofern unterstützt. Die Durchsetzung von MFA über einen Verzeichnisservice oder SSO-Anbieter ist eine zufriedenstellende Implementierung dieses Schutzes.

    Manuell NA NA
    CIs-Steuerung V8 6,4

    MFA für Remote-Netzwerkzugriff anfordern:

    Erfordert MFA für Remote-Netzwerkzugriff.

    Manuell NA NA
    CIs-Steuerung V8 6,5

    MFA für administrativen Zugriff erforderlich:

    Erfordert MFA für alle administrativen Zugriffskonten, sofern unterstützt, für alle Enterprise-Assets, unabhängig davon, ob sie vor Ort oder über einen Drittanbieter verwaltet werden.

    Manuell NA NA
    CIs-Steuerung V8 6,6

    Erstellen und pflegen Sie einen Bestand an Authentifizierungs- und Autorisierungssystemen:

    Erstellen und pflegen Sie einen Bestand der Authentifizierungs- und Autorisierungssysteme des Unternehmens, einschließlich derSysteme, die vor Ort oder bei einem Remote-Service Provider gehostet werden. Überprüfen und aktualisieren Sie den Bestand mindestens einmal, einmal pro Jahr oder häufiger.

    Manuell NA NA
    CIs-Steuerung V8 6,7

    Zugriffssteuerung Zentralisieren:

    Zentralisieren Sie die Zugriffssteuerung für alle Enterprise-Assets über einen Verzeichnisservice oder SSO-Anbieter, sofern unterstützt.

    Manuell NA NA
    CIs-Steuerung V8 6,8

    Rollenbasierte Zugriffssteuerung definieren und verwalten:

    Definieren und pflegen Sie eine rollenbasierte Zugriffssteuerung, indem Sie die Zugriffsrechte bestimmen und dokumentieren, die für jede Rolle im Unternehmen erforderlich sind, um ihre zugewiesenen Aufgaben erfolgreich auszuführen. Führen Sie Zugriffssteuerungsüberprüfungen von Enterprise-Assets durch, um zu überprüfen, ob alle Berechtigungen autorisiert sind, und zwar mindestens einmal pro Jahr oder häufiger.

    Manuell NA NA
    CIs-Steuerung V8 7,1

    Richten Sie einen Schwachstellenmanagement-Prozess ein, und pflegen Sie ihn:

    Richten Sie einen dokumentierten Schwachstellen-Management-Prozess für Enterprise-Assets ein, und pflegen Sie ihn. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 7,2

    Nachbesserungsprozess einrichten und verwalten:

    Richten Sie eine risikobasierte Korrekturstrategie ein, die in einem Korrekturprozess dokumentiert wird, mit monatlichen oder häufigeren Überprüfungen.

    STANDARD VR sn_vul_m2m_ttr_Status CIS V8 (7,2) CSF (ID.RA-1) ISO (8,8) NIST (IA-5) PCI (6,3.1, 6,4.1) CCM (A&A-03, TVM-08, TVM-10)
    CIs-Steuerung V8 7,3

    Automatisiertes Betriebssystem-Patch-Management Durchführen:

    Führen Sie Betriebssystemupdates für Enterprise-Assets durch automatisiertes Patch-Management monatlich oder häufiger durch.

    Manuell NA NA
    CIs-Steuerung V8 7,4

    Automatisiertes Anwendungs-Patch-Management Durchführen:

    Führen Sie monatlich oder häufiger Anwendungsupdates für Enterprise-Assets durch automatisiertes Patch-Management durch.

    Manuell NA NA
    CIs-Steuerung V8 7,5

    Automatisierte Schwachstellen-Scans interner Enterprise-Assets durchführen:

    Führen Sie vierteljährlich oder häufiger automatisierte Schwachstellen-Scans interner Enterprise-Assets durch. Führen Sie sowohl authentifizierte als auch nicht authentifizierte Scans mithilfe eines SCAP-konformen Schwachstellen-Scan-Tools durch.

    STANDARD VR sn_vul_ds_Import_q_entry CIS V8 (7,5) CSF (DE.CM-8) ISO (8,8) NIST (SC-8(1)) PCI (11.3,1, 11.3,1.1, 11.3,1.2, 11.3,1.3) CCM (TVM-07)
    CIs-Steuerung V8 7,6

    Führen Sie automatisierte Schwachstellen-Scans von extern gefährdeten Enterprise-Assets durch:

    Führen Sie automatisierte Schwachstellen-Scans von extern gefährdeten Enterprise-Assets mit einem SCAP-konformen Schwachstellen-Scan-Tool durch. Führen Sie Scans monatlich oder häufiger durch.

    STANDARD VR sn_vul_ds_Import_q_entry
    CIs-Steuerung V8 7,7

    Erkannte Schwachstellen Beheben:

    Beheben Sie erkannte Schwachstellen in Software mithilfe von Prozessen und Tools monatlich oder häufiger, basierend auf dem Korrekturprozess.

    STANDARD VR sn_vul_App_Vulnerability CIS V8 (7,7) ISO (8,8) NIST (SC-28) PCI (11.3,1, 11.3,2, 11.3,2.1) CCM (TVM-03)
    CIs-Steuerung V8 8,1

    Richten Sie einen Audit-Protokollverwaltungsprozess ein, und pflegen Sie ihn:

    Richten Sie einen Audit-Protokollverwaltungsprozess ein, der die Protokollierungsanforderungen des Unternehmens definiert, und pflegen Sie ihn. Behandeln Sie mindestens die Erfassung, Überprüfung und Aufbewahrung von Audit-Protokollen für Enterprise-Assets. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 8,1

    Audit-Protokolle Beibehalten:

    Bewahren Sie Audit-Protokolle für Enterprise-Assets mindestens 90 Tage auf.

    Manuell NA NA
    CIs-Steuerung V8 8,11

    Audit-Protokollüberprüfungen Durchführen:

    Führen Sie Überprüfungen von Audit-Protokollen durch, um Anomalien oder abnormale Ereignisse zu erkennen, die auf eine potenzielle Bedrohung hinweisen könnten. Führen Sie Überprüfungen wöchentlich oder häufiger durch.

    Manuell NA NA
    CIs-Steuerung V8 8,12

    Service Provider-Protokolle Erfassen:

    Erfassen Sie Service Provider-Protokolle, sofern unterstützt. Beispielimplementierungen umfassen das Sammeln von Authentifizierungs- und Autorisierungsereignissen, Datenerstellungs- und -Entsorgungsereignissen sowie Anwenderverwaltungsereignisse.

    Manuell NA NA
    CIs-Steuerung V8 8,2

    Audit-Protokolle Erfassen:

    Sammeln Sie Audit-Protokolle. Stellen Sie sicher, dass die Protokollierung gemäß dem Audit-Protokollverwaltungsprozess des Unternehmens für alle Enterprise-Assets aktiviert wurde.

    STANDARD VR sn_vulc_result CIS V8 (8,2) CSF (PR.PT-1, DE.AE-3) ISO (8,15, 8,2) PCI (5,3.4, 6,4.1, 6,4.2, 10.2,1, 10.2,1.1, 10.2,1.2, 10.2,1.3, 10.2,1.4, 10.2,1.5, 10.2,1.6, 10.2,1.7, 10.2,2) CCM (LOG-08)
    CIs-Steuerung V8 8,3

    Stellen Sie Einen Ausreichenden Audit-Protokollspeicher Sicher:

    Stellen Sie sicher, dass Protokollierungsziele über ausreichenden Speicher verfügen, um den Audit-Protokollverwaltungsprozess des Unternehmens zu erfüllen.

    Manuell NA NA
    CIs-Steuerung V8 8,4

    Zeitsynchronisierung Standardisieren:

    Standardisieren Sie die Zeitsynchronisierung. Konfigurieren Sie mindestens zwei synchronisierte Zeitquellen für Enterprise-Assets, sofern unterstützt.

    Manuell NA NA
    CIs-Steuerung V8 8,5

    Detaillierte Audit-Protokolle Erfassen:

    Konfigurieren Sie die detaillierte Audit-Protokollierung für Enterprise-Assets, die vertrauliche Daten enthalten. Ereignisquelle, Datum, Anwendername, Zeitstempel, Quelladressen einschließen Zieladressen und andere nützliche Elemente, die bei einer forensischen Untersuchung helfen könnten.

    Manuell NA NA
    CIs-Steuerung V8 8,6

    Audit-Protokolle für DNS-Abfragen erfassen:

    Sammeln Sie DNS-Abfrageaudit-Protokolle für Enterprise-Assets, sofern angemessen und unterstützt.

    Manuell NA NA
    CIs-Steuerung V8 8,7

    Audit-Protokolle der URL-Anforderung erfassen:

    Erfassen Sie Audit-Protokolle für URL-Anforderungen für Enterprise-Assets, sofern angemessen und unterstützt.

    Manuell NA NA
    CIs-Steuerung V8 8,8

    Befehlszeilen-Audit-Protokolle Erfassen:

    Erfassen Sie Audit-Protokolle der Befehlszeile. Beispielimplementierungen umfassen das Sammeln von Audit-Protokollen aus PowerShell ™, BASH ™, Und Remote-Verwaltungsterminals.

    Manuell NA NA
    CIs-Steuerung V8 8,9

    Audit-Protokolle Zentralisieren:

    Zentralisieren Sie so weit wie möglich die Erfassung und Aufbewahrung von Audit-Protokollen für Enterprise-Assets.

    STANDARD CMDB cmdb_ci CIS V8 (8,9) NIST (AU-12) PCI (10.3,3)
    CIs-Steuerung V8 9,1

    Stellen Sie sicher, dass nur vollständig unterstützte Browser und E-Mail-Clients verwendet werden:

    Stellen Sie sicher, dass nur vollständig unterstützte Browser und E-Mail-Clients im Unternehmen ausgeführt werden dürfen, und verwenden Sie nur die neueste Version der Browser und E-Mail-Clients, die vom Lieferanten bereitgestellt werden.

    STANDARD VR sn_vulc_result CIS V8 (9,1) CSF (PR.IP-1) ISO (8,1) NIST (CM-2)
    CIs-Steuerung V8 9,2

    DNS-Filterservices verwenden:

    Verwenden Sie DNS-Filterservices für alle Enterprise-Assets, um den Zugriff auf bekannte schädliche Domänen zu blockieren.

    Manuell NA NA
    CIs-Steuerung V8 9,3

    Netzwerkbasierte URL-Filter verwalten und erzwingen:

    Erzwingen und aktualisieren Sie netzwerkbasierte URL-Filter, um zu verhindern, dass ein Enterprise-Asset eine Verbindung zu potenziell schädlichen oder nicht genehmigten Websites herstellt. Beispielimplementierungen umfassen kategoriebasierte Filterung, Reputationsbasierte Filterung oder die Verwendung von Sperrlisten. Erzwingen Sie Filter für alle Enterprise-Assets.

    STANDARD VR sn_vulc_result CIS V8 (9,3) CSF (PR.AC-5) ISO (8,7, 8,23) NIST (CM-7) PCI (1,2.6, 1,4.2)
    CIs-Steuerung V8 9,4

    Unnötige oder nicht autorisierte Browser- und E-Mail-Client-Erweiterungen einschränken:

    Beschränken Sie nicht autorisierte oder unnötige Browser- oder E-Mail-Client-Plugins, Erweiterungen und Add-on-Anwendungen, entweder durch Deinstallieren oder Deaktivieren.

    STANDARD VR sn_vulc_result CIS V8 (9,4) CSF (PR.IP-1) NIST (CM-7(1)) PCI (2,2.4)
    CIs-Steuerung V8 9,5

    DMARC implementieren:

    Um die Wahrscheinlichkeit von gefälschten oder geänderten E-Mails aus gültigen Domänen zu verringern, implementieren Sie die DMARC-Richtlinie und -Verifizierung, beginnend mit der Implementierung des Sender Policy Framework (SPF) und der DKIM-Standards (DomainKeys Identified Mail).

    Manuell NA NA
    CIs-Steuerung V8 9,6

    Unnötige Dateitypen Blockieren:

    Blockieren Sie unnötige Dateitypen, die versuchen, das E-Mail-Gateway des Unternehmens zu betreten.

    Manuell NA NA
    CIs-Steuerung V8 9,7

    Anti-Malware-Schutz für E-Mail-Server bereitstellen und pflegen:

    Stellen Sie Anti-Malware-Schutzmaßnahmen für E-Mail-Server bereit, z. B. Anhangsscannen und/oder Sandboxing.

    STANDARD CMDB cmdb_rel_ci CIS V8 (9,7) CSF (DE.CM-4) ISO (8,7) NIST (SA-80) PCI (5,2.1, 5,4.1) CCM (TVM-02)
    CIs-Steuerung V8 10,1

    Anti-Malware-Software bereitstellen und verwalten:

    Stellen Sie Anti-Malware-Software für alle Enterprise-Assets bereit und verwalten Sie sie.

    STANDARD CMDB cmdb_ci CIS V8 (10.1) CSF (DE.CM-4) ISO (8,1, 8,7) NIST (SA-10) PCI (5,1.1, 5,2.1, 5,2.2, 5,3.2) CCM (TVM-02, UEM-09)
    CIs-Steuerung V8 10,2

    Automatische Anti-Malware-Signaturaktualisierungen Konfigurieren:

    Konfigurieren Sie automatische Updates für Anti-Malware-Signaturdateien für alle Enterprise-Assets.

    Manuell NA NA
    CIs-Steuerung V8 10,3

    Automatische Ausführung und automatische Wiedergabe für Wechseldatenträger deaktivieren:

    Deaktivieren Sie die automatische Ausführungsfunktion für automatische Ausführung und automatische Ausführung für Wechseldatenträger.

    STANDARD VR sn_vulc_result CIS V8 (10.3) CSF (PR.PT-2) ISO (7,1) NIST (AC-18(1))
    CIs-Steuerung V8 10,4

    Automatisches Anti-Malware-Scannen von Wechselmedien konfigurieren:

    Konfigurieren Sie Anti-Malware-Software, um Wechseldatenträger automatisch zu scannen.

    STANDARD VR sn_vulc_result CIS V8 (10.4) CSF (DE.CM-4) ISO (7,1, 8,7) NIST (AC-18(3)) PCI (5,3.3)
    CIs-Steuerung V8 10,5

    Anti-Exploit-Funktionen Aktivieren:

    Aktivieren Sie nach Möglichkeit Anti-Exploitation-Funktionen für Enterprise-Assets und -Software, z. B. Microsoft Datenausführungsverhinderung (Data Execution Prevention, DEP), Windows Defender Exploit Guard (WDEG), oder Apple System Integrity Protection (SIP) und Gatekeeper ™.

    STANDARD VR sn_vulc_result CIS V8 (10.5) CSF (DE.CM-4) ISO (8,7) NIST (CM-2)
    CIs-Steuerung V8 10,6

    Anti-Malware-Software Zentral Verwalten:

    Verwalten Sie Anti-Malware-Software zentral.

    Manuell NA NA
    CIs-Steuerung V8 10,7

    Verhaltensbasierte Anti-Malware-Software Verwenden:

    Verwenden Sie verhaltensbasierte Anti-Malware-Software.

    STANDARD CMDB cmdb_rel_ci CIS V8 (10.7) CSF (DE.CM-4) ISO (8,1, 8,7) NIST (CM-7) PCI (5,3.2)
    CIs-Steuerung V8 11,1

    Datenwiederherstellungsprozess einrichten und pflegen :

    Richten Sie einen Datenwiederherstellungsprozess ein, und pflegen Sie ihn. Behandeln Sie dabei den Umfang der Datenwiederherstellungsaktivitäten, die Wiederherstellungspriorität und die Sicherheit von Sicherungsdaten. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 11,2

    Automatisierte Sicherungen Durchführen :

    Führen Sie automatisierte Sicherungen von unternehmensinternen Assets durch. Führen Sie je nach Vertraulichkeit der Daten wöchentlich oder häufiger Sicherungen aus.

    Manuell NA NA
    CIs-Steuerung V8 11,3

    Wiederherstellungsdaten Schützen:

    Schützen Sie Wiederherstellungsdaten mit entsprechenden Steuerungen wie die ursprünglichen Daten. Referenzverschlüsselung oder Datentrennung, basierend auf Anforderungen.

    Manuell NA NA
    CIs-Steuerung V8 11,4

    Isolierte Instanz von Wiederherstellungsdaten einrichten und verwalten :

    Richten Sie eine isolierte Instanz von Wiederherstellungsdaten ein, und verwalten Sie sie. Beispielimplementierungen umfassen die Versionssteuerung von Sicherungszielen über Offline-, Cloud- oder Offsite-Systeme oder -Services.

    Manuell NA NA
    CIs-Steuerung V8 11,5

    Datenwiederherstellung Testen:

    Testen Sie die Sicherungswiederherstellung vierteljährlich oder häufiger für eine Stichprobe von unternehmensinternen Assets.

    Manuell NA NA
    CIs-Steuerung V8 12,1

    Stellen Sie sicher, dass die Netzwerkinfrastruktur aktuell ist:

    Stellen Sie sicher, dass die Netzwerkinfrastruktur auf dem neuesten Stand ist. Beispielimplementierungen umfassen die Ausführung des neuesten stabilen Release von Software und/oder die Verwendung der derzeit unterstützten Network-as-a-Service (Naas)-Angebote. Überprüfen Sie die Softwareversionen monatlich oder häufiger, um den Softwaresupport zu überprüfen.

    Manuell NA NA
    CIs-Steuerung V8 12,2

    Einrichtung und Pflege einer sicheren Netzwerkarchitektur:

    Richten Sie eine sichere Netzwerkarchitektur ein, und pflegen Sie sie. Eine sichere Netzwerkarchitektur muss mindestens Segmentierung, geringste Berechtigung und Verfügbarkeit berücksichtigen.

    Manuell NA NA
    CIs-Steuerung V8 12,3

    Netzwerkinfrastruktur Sicher Verwalten:

    Netzwerkinfrastruktur sicher verwalten. Beispielimplementierungen umfassen Version-Controlled-Infrastructure-as-Code und die Verwendung sicherer Netzwerkprotokolle wie SSH und HTTPS.

    Manuell NA NA
    CIs-Steuerung V8 12,4

    Architekturdiagramm(e) erstellen und pflegen:

    Erstellen und pflegen Sie Architekturdiagramme und/oder andere Netzwerksystemdokumentation. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 12,5

    Zentralisieren Sie die Netzwerkauthentifizierung, -Autorisierung und -Auditing (AAA):

    Zentralisieren Sie das Netzwerk AAA.

    Manuell NA NA
    CIs-Steuerung V8 12,6

    Verwendung von sicheren Netzwerkverwaltungs- und Kommunikationsprotokollen :

    Verwenden Sie sichere Netzwerkverwaltungs- und Kommunikationsprotokolle (z. B. 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise oder höher).

    STANDARD VR sn_vulc_result CIS V8 (12.6) CSF (PR.AC-7, PR.DS-2) ISO (8,21) NIST (SC-7(5))
    CIs-Steuerung V8 12,7

    Stellen Sie sicher, dass Remote-Geräte ein VPN verwenden und eine Verbindung zur AAA-Infrastruktur eines Unternehmens herstellen:

    Fordern Sie Benutzer auf, sich bei Enterprise-verwalteten VPN- und Authentifizierungsservices zu authentifizieren, bevor Sie auf Endanwendergeräten auf Enterprise-Ressourcen zugreifen.

    Manuell NA NA
    CIs-Steuerung V8 12,8

    Dedizierte Computerressourcen für alle administrativen Arbeiten einrichten und verwalten:

    Richten Sie dedizierte Computerressourcen ein, die physisch oder logisch getrennt sind, für alle administrativen Aufgaben oder Aufgaben, die administrativen Zugriff erfordern, und verwalten Sie sie. Die Computerressourcen sollten aus dem primären Netzwerk des Unternehmens segmentiert werden und keinen Internetzugang haben.

    Manuell NA NA
    CIs-Steuerung V8 13,1

    Sicherheitsereigniswarnungen Zentralisieren:

    Zentralisieren Sie Sicherheitsereigniswarnungen für Enterprise-Assets, um Korrelation und Analyse zu protokollieren. Die Implementierung von Best Practice erfordert die Verwendung eines SIEM, das vom Lieferanten definierte Ereigniskorrelationswarnungen enthält. Eine Log Analytics-Plattform, die mit sicherheitsrelevanten Korrelationswarnungen konfiguriert ist, erfüllt diesen Schutz ebenfalls.

    Manuell NA NA
    CIs-Steuerung V8 13,1

    Filterung Auf Anwendungsebene Durchführen:

    Führen Sie eine Filterung auf Anwendungsebene durch. Beispiele für Implementierungen sind ein Filterproxy, eine Firewall auf Anwendungsebene oder ein Gateway.

    Manuell NA NA
    CIs-Steuerung V8 13,11

    Schwellenwerte Für Sicherheitsereigniswarnungen Optimieren:

    Optimieren Sie Warnungsschwellenwerte für Sicherheitsereignisse monatlich oder häufiger.

    Manuell NA NA
    CIs-Steuerung V8 13,2

    Stellen Sie eine hostbasierte Angriffserkennungslösung bereit:

    Stellen Sie eine hostbasierte Angriffserkennungslösung für Enterprise-Assets bereit, sofern dies angemessen und/oder unterstützt wird.

    STANDARD CMDB cmdb_rel_ci CIS V8 (13.2) CSF (DE.CM-1) ISO (8,16) NIST (CM-6) PCI (6,4.2)
    CIs-Steuerung V8 13,3

    Stellen Sie eine Lösung zur Erkennung von Netzwerkangriffen bereit:

    Stellen Sie gegebenenfalls eine Lösung zur Erkennung von Netzwerkangriffen für Enterprise-Assets bereit. Beispielimplementierungen umfassen die Verwendung eines Network Intrusion Detection System (NIDS) oder eines entsprechenden Cloud Service Provider (CSP).

    STANDARD CMDB cmdb_ci CIS V8 (13.3) CSF (DE.CM-1) ISO (8,16, 8,21) NIST (CM-7) PCI (11.5,1, 12.10.5) CCM (IVS-09)
    CIs-Steuerung V8 13,4

    Datenverkehrsfilterung Zwischen Netzwerksegmenten Durchführen:

    Führen Sie ggf. eine Datenverkehrsfilterung zwischen Netzwerksegmenten durch.

    Manuell NA NA
    CIs-Steuerung V8 13,5

    Zugriffssteuerung für Remote-Assets verwalten:

    Verwalten Sie die Zugriffssteuerung für Assets, die Remote eine Verbindung zu Enterprise-Ressourcen herstellen. Bestimmen Sie den Umfang des Zugriffs auf Enterprise-Ressourcen basierend auf: Aktueller Anti-Malware-Software installiert, Konfigurations-Compliance mit dem sicheren Konfigurationsprozess des Unternehmens und Sicherstellung, dass Betriebssystem und Anwendungen aktuell sind.

    Manuell NA NA
    CIs-Steuerung V8 13,6

    Flow-Protokolle Für Netzwerkverkehr Erfassen:

    Erfassen Sie Flow-Protokolle für Netzwerkverkehr und/oder Netzwerkverkehr, um sie von Netzwerkgeräten zu überprüfen und zu warnen.

    Manuell NA NA
    CIs-Steuerung V8 13,7

    Stellen Sie eine hostbasierte Angriffspräventionslösung bereit:

    Stellen Sie eine hostbasierte Angriffspräventionslösung für Enterprise-Assets bereit, sofern dies angemessen und/oder unterstützt wird. Beispielimplementierungen umfassen die Verwendung eines Endpoint Detection and Response (EDR)-Clients oder hostbasierten IPS-Agent.

    STANDARD CMDB cmdb_ci CIS V8 (13.7) CSF (DE.CM-1) ISO (8,8) NIST (AC-7)
    CIs-Steuerung V8 13,8

    Stellen Sie eine Lösung zur Verhinderung von Netzwerkangriffen bereit:

    Stellen Sie gegebenenfalls eine Lösung zur Verhinderung von Netzwerkangriffen bereit. Beispielimplementierungen umfassen die Verwendung eines Network Intrusion Prevention System (NIPS) oder eines entsprechenden CSP-Service.

    STANDARD CMDB cmdb_ci CIS V8 (13.8) CSF (DE.CM-1) ISO (8,8) NIST (AC-19) PCI (6,4.2, 11.5,1, 12.10.5) CCM (IVS-09)
    CIs-Steuerung V8 13,9

    Zugriffssteuerung Auf Portebene Bereitstellen:

    Stellen Sie die Zugriffssteuerung auf Portebene bereit. Die Zugriffssteuerung auf Port-Ebene verwendet 802.1x oder ähnliche Netzwerkzugriffssteuerungsprotokolle, z. B. Zertifikate, und kann Anwender- und/oder Geräteauthentifizierung umfassen.

    STANDARD CMDB cmdb_ci_Endpoint_acl CIS V8 (13.9) CSF (PR.AC-1) ISO (8,8) NIST (AC-19) PCI (1,2.1, 1,2.5, 1,2.6, 2,2.4) CCM (IVS-03)
    CIs-Steuerung V8 14,1

    Richten Sie ein Sicherheitsbewusstseinsprogramm ein, und pflegen Sie es:

    Richten Sie ein Programm für das Sicherheitsbewusstsein ein, und pflegen Sie es. Der Zweck eines Programms für das Sicherheitsbewusstsein besteht darin, die Mitarbeiter des Unternehmens darin zu Schulen, wie sie mit Enterprise-Assets und -Daten auf sichere Weise interagieren können. Führen Sie Schulungen bei Einstellung und mindestens einmal pro Jahr durch. Überprüfen und aktualisieren Sie Inhalte jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    STANDARD Learning Core sn_lc_user_Course_activity CIS V8 (14.1) CSF (ID.AM-6, ID.GV-1, PR.AT-1) ISO (6,3) NIST (SC-39) PCI (12.6, 12.6,1, 12.6,2, 12.6,3, 12.6,3.2) CCM (GRC-05, STD.-11, GRC-03)
    CIs-Steuerung V8 14,2

    Schulen Sie Mitarbeiter, um Social Engineering-Angriffe zu erkennen:

    Schulen Sie Mitarbeiter, um Social Engineering-Angriffe wie Phishing, Pretexting und Tailgating zu erkennen. 

    STANDARD Learning Core sn_lc_user_Course_activity CIS V8 (14.2) CSF (PR.AT-1) ISO (8,7) PCI (12.6,3.1) CCM (STD-11)
    CIs-Steuerung V8 14,3

    Mitarbeiter in Best Practices für Authentifizierung Schulen:

    Schulen Sie Mitarbeiter in Best Practices für die Authentifizierung. Beispielthemen sind MFA, Passwortzusammensetzung und Anmeldeinformationsverwaltung.

    STANDARD Learning Core sn_lc_user_Course_activity CIS V8 (14.3) CSF (PR.AT-1) ISO (6,3) PCI (8,3.8) CCM (GRC-05, HRS-11)
    CIs-Steuerung V8 14,4

    Mitarbeiter zu Best Practices für die Datenverarbeitung Schulen:

    Schulen Sie Mitarbeiter darin, vertrauliche Daten zu identifizieren und ordnungsgemäß zu speichern, zu übertragen, zu archivieren und zu vernichten. Dies umfasst auch die Schulung von Mitarbeitern zu Best Practices für klare Bildschirme und Schreibtische, z. B. das Sperren ihres Bildschirms, wenn sie sich von ihrem Enterprise-Asset entfernen, das Löschen physischer und virtueller Whiteboards am Ende von Besprechungen und das sichere Speichern von Daten und Assets.

    STANDARD Learning Core sn_lc_user_Course_activity CIS V8 (14.4) CSF (PR.AT-1) ISO (5,1) NIST (AC-2) CCM (DSP-17, GRC-01, HRS-03, HRS-12)
    CIs-Steuerung V8 14,5

    Mitarbeiter in den Ursachen der unbeabsichtigten Datengefährdung Schulen:

    Schulen Sie die Mitarbeiter, um sich der Ursachen für unbeabsichtigte Datenexposition bewusst zu sein. Beispielthemen sind die falsche Bereitstellung vertraulicher Daten, der Verlust eines tragbaren Endanwendergeräts oder die Veröffentlichung von Daten an unbeabsichtigte Zielgruppen.

    STANDARD Learning Core sn_lc_user_Course_activity CIS V8 (14.5) CSF (PR.AT-1) ISO (6,3) NIST (IA-5(1)) CCM (GRC-01, HRS-11)
    CIs-Steuerung V8 14,6

    Schulen Sie Mitarbeiter in der Erkennung und Meldung von Security Incidents:

    Schulen Sie Mitarbeiter, um einen potenziellen Incident zu erkennen und einen solchen Incident zu melden. 

    STANDARD Learning Core sn_lc_user_Course_activity CIS V8 (14.6) CSF (PR.AT-1) ISO (6,8) NIST (AC-2(3)) CCM (HRS-11)
    CIs-Steuerung V8 14,7

    Schulen Sie Mitarbeiter in der Identifizierung und Meldung, ob für ihre Enterprise-Assets Sicherheitsupdates fehlen:

    Schulen Sie die Mitarbeiter, um zu verstehen, wie veraltete Softwarepatches oder Fehler in automatisierten Prozessen und Tools verifiziert und gemeldet werden können. Teil dieser Schulung sollte die Benachrichtigung von IT-Mitarbeitern über Fehler bei automatisierten Prozessen und Tools umfassen.

    STANDARD Learning Core sn_lc_user_Course_activity CIS V8 (14.7) CSF (PR.AT-1) ISO (6,3) NIST (AC-6(2)) CCM (HRS-11)
    CIs-Steuerung V8 14,8

    Schulen Sie die Mitarbeiter in den Gefahren der Verbindung mit und der Übertragung von Unternehmensdaten über unsichere Netzwerke:

    Schulen Sie Mitarbeiter in den Gefahren, die mit der Verbindung zu unsicheren Netzwerken und der Übertragung von Daten für Unternehmensaktivitäten verbunden sind. Wenn das Unternehmen über Remote-Mitarbeiter verfügt, muss die Schulung Anleitungen enthalten, um sicherzustellen, dass alle Anwender ihre Heimnetzwerkinfrastruktur sicher konfigurieren.

    STANDARD Learning Core sn_lc_user_Course_activity CIS V8 (14.8) CSF (PR.AT-1) ISO (6,3) NIST (AC-6(5)) PCI (12.6,3.2) CCM (GRC-01, HRS-04)
    CIs-Steuerung V8 14,9

    Führen Sie rollenspezifische Schulungen zu Sicherheitsbewusstsein und -Kompetenzen durch:

    Führen Sie rollenspezifische Schulungen zu Sicherheitsbewusstsein und -Kompetenzen durch. Beispielimplementierungen umfassen sichere Systemverwaltungskurse für IT-Fachleute (OWASP ™Top-10-Schulung für Schwachstellenbewusstsein und -Prävention für Webanwendungsentwickler und erweiterte Schulung für Social Engineering-Bewusstsein für wichtige Rollen.

    STANDARD Learning Core sn_lc_user_Course_activity CIS V8 (14.9) CSF (PR.AT-1, PR.AT-2, R.AT-4, PR.AT-5) ISO (6,3) NIST (AC-2) PCI (9,5.1, 9,5.1,3, 12.10.40 CCM (STD-09, STD-12)
    CIs-Steuerung V8 15,1

    Erstellen und pflegen Sie einen Bestand an Service Providern:

    Erstellen und pflegen Sie einen Bestand an Service Providern. Der Bestand dient dazu, alle bekannten Service Provider aufzulisten, Klassifizierungen einzubeziehen und für jeden Service Provider einen Unternehmenskontakt zu bestimmen. Überprüfen und aktualisieren Sie den Bestand jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    STANDARD VRM core_company CIS V8 (15.1) CSF (ID.SC-2) ISO (5,19) NIST (AC-2(1)) PCI (12.8,1) CCM (STA-07)
    CIs-Steuerung V8 15,2

    Richten Sie eine Service Provider-Management-Richtlinie ein, und pflegen Sie sie:

    Richten Sie eine Richtlinie für das Service Provider-Management ein, und pflegen Sie sie. Stellen Sie sicher, dass die Richtlinie die Klassifizierung, den Bestand, die Bewertung, die Überwachung und die Außerbetriebnahme von Service Providern behandelt. Überprüfen und aktualisieren Sie die Richtlinie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 15,3

    Service Provider Klassifizieren:

    Klassifizieren Sie Service Provider. Die Klassifizierungsüberlegung kann ein oder mehrere Merkmale umfassen, z. B. Datensensibilität, Datenvolumen, Verfügbarkeitsanforderungen, anwendbare Vorschriften, inhärentes Risiko, und geringeres Risiko. Aktualisieren und überprüfen Sie Klassifizierungen jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    STANDARD VRM core_company CIS V8 (15.3) CSF (ID.SC-2) ISO (5,19) PCI (12.8,5) CCM (GRC-02, STA-08)
    CIs-Steuerung V8 15,4

    Stellen Sie Sicher, Dass Service Provider-Verträge Sicherheitsanforderungen Enthalten:

    Stellen Sie sicher, dass Service Provider-Verträge Sicherheitsanforderungen enthalten. Beispielanforderungen können Mindestanforderungen für das Sicherheitsprogramm, Benachrichtigung und Reaktion auf Security Incidents und/oder Datenschutzverletzungen, Datenverschlüsselungsanforderungen und Datenentsorgungsverpflichtungen umfassen. Diese Sicherheitsanforderungen müssen mit der Service Provider-Verwaltungsrichtlinie des Unternehmens übereinstimmen. Überprüfen Sie Service Provider-Verträge jährlich, um sicherzustellen, dass für Verträge keine Sicherheitsanforderungen fehlen.

    Manuell NA NA
    CIs-Steuerung V8 15,5

    Service Provider Bewerten:

    Bewerten Sie Service Provider entsprechend der Service Provider-Managementrichtlinie des Unternehmens. Der Bewertungsumfang kann je nach Klassifizierung(en) variieren und kann die Überprüfung standardisierter Bewertungsberichte umfassen, z. B. Service Organization Control 2 (SOC 2) und Payment Card Industry (PCI), Nachweis der Compliance (AOC), anwenderdefinierte Fragebogen oder andere entsprechend rigorose Prozesse. Bewerten Sie Service Provider jährlich, mindestens oder mit neuen und verlängerten Verträgen.

    STANDARD VRM core_company CIS V8 (15.5) CSF (ID.SC-4, ID.SC-2) ISO (5,19) NIST (IA-5) PCI (12.8,3) CCM (STA-12, STA-13)
    CIs-Steuerung V8 15,5

    Service Provider Bewerten:

    Bewerten Sie Service Provider entsprechend der Service Provider-Managementrichtlinie des Unternehmens. Der Bewertungsumfang kann je nach Klassifizierung(en) variieren und kann die Überprüfung standardisierter Bewertungsberichte umfassen, z. B. Service Organization Control 2 (SOC 2) und Payment Card Industry (PCI), Nachweis der Compliance (AOC), anwenderdefinierte Fragebogen oder andere entsprechend rigorose Prozesse. Bewerten Sie Service Provider jährlich, mindestens oder mit neuen und verlängerten Verträgen.

    STANDARD VRM core_company CIS V8 (15.5) CSF (ID.SC-4, ID.SC-2) ISO (5,22, 5,23) NIST (IA-5) PCI (12.8,30) CCM (STA-12, STA-13)
    CIs-Steuerung V8 15,6

    Service Provider Überwachen:

    Überwachen Sie Service Provider gemäß der Service Provider-Verwaltungsrichtlinie des Unternehmens. Die Überwachung kann eine regelmäßige Neubewertung der Compliance des Service Providers, die Überwachung der Release-Hinweise des Service Providers und die Dark Web-Überwachung umfassen.

    STANDARD VRM core_company CIS V8 (15.6) CSF (DE.CM-6) ISO (5,2, 5,19, 5,21, 5,22) NIST (AC-1) PCI (8,2.7, 12.4,2, 12.4,2.1, 12.8.4 CCM (STA-14)
    CIs-Steuerung V8 15,7

    Service Provider Sicher Stilllegen:

    Service Provider sicher außer Betrieb nehmen. Beispiele für Überlegungen sind die Deaktivierung von Anwender- und Service-Accounts, die Beendigung von Daten-Flows und die sichere Entsorgung von Unternehmensdaten in Service Provider-Systemen.

    STANDARD VRM core_company CIS V8 (15.7) CSF (PR.AC-1) ISO (5,19, 5,2) NIST (AC-2, AC-2(1))
    CIs-Steuerung V8 16,1

    Richten Sie einen sicheren Anwendungsentwicklungsprozess ein und pflegen Sie ihn:

    Richten Sie einen sicheren Anwendungsentwicklungsprozess ein, und pflegen Sie ihn. Behandeln Sie dabei folgende Elemente: Sichere Anwendungsdesignstandards, sichere Codierungspraktiken, Entwicklerschulungen, Schwachstellenmanagement, Sicherheit von Code von Drittparteien und Testverfahren für Anwendungssicherheit. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 16,1

    Sichere Designprinzipien in Anwendungsarchitekturen anwenden:

    Wenden Sie sichere Designprinzipien in Anwendungsarchitekturen an. Sichere Designprinzipien umfassen das Konzept der geringsten Berechtigung und das Erzwingen der Mediation, um jeden Vorgang des Anwenders zu validieren, und fördern das Konzept „Anwendereingaben nie vertrauen“. Beispiele sind die Sicherstellung, dass für alle Eingaben explizite Fehlerprüfungen durchgeführt und dokumentiert werden, einschließlich Größe, Datentyp und zulässige Bereiche oder Formate. Sicheres Design bedeutet auch, die Angriffsfläche der Anwendungsinfrastruktur zu minimieren, z. B. ungeschützte Ports und Services deaktivieren, unnötige Programme und Dateien entfernen und Standardkonten umbenennen oder entfernen.

    Manuell NA NA
    CIs-Steuerung V8 16,11

    Validierte Module oder Services für Anwendungssicherheitskomponenten nutzen:

    Nutzen Sie geprüfte Module oder Services für Anwendungssicherheitskomponenten, z. B. Identitätsmanagement, Verschlüsselung sowie Auditing und Protokollierung. Die Verwendung von Plattformfunktionen in kritischen Sicherheitsfunktionen reduziert die Arbeitsauslastung von Entwicklern und minimiert die Wahrscheinlichkeit von Design- oder Implementierungsfehlern. Moderne Betriebssysteme bieten effektive Mechanismen für Identifizierung, Authentifizierung und Autorisierung und stellen diese Mechanismen Anwendungen zur Verfügung. Verwenden Sie nur standardisierte, derzeit akzeptierte und umfassend überprüfte Verschlüsselungsalgorithmen. Betriebssysteme bieten auch Mechanismen zum Erstellen und Verwalten sicherer Audit-Protokolle.

    Manuell NA NA
    CIs-Steuerung V8 16,12

    Sicherheitsprüfungen Auf Codeebene Implementieren:

    Wenden Sie statische und dynamische Analysetools innerhalb des Anwendungslebenszyklus an, um sicherzustellen, dass sichere Codierungspraktiken befolgt werden.

    Manuell NA
    CIs-Steuerung V8 16,13

    Durchführung Von Penetrationstests Für Anwendungen:

    Führen Sie Penetrationstests für Anwendungen durch. Für kritische Anwendungen eignen sich authentifizierte Penetrationstests besser, um Schwachstellen für Geschäftslogik zu finden als Code-Scans und automatisierte Sicherheitstests. Penetrationstests basieren auf der Kompetenz des Testers, eine Anwendung manuell als authentifizierter und nicht authentifizierter Anwender zu bearbeiten. 

    Manuell NA NA
    CIs-Steuerung V8 16,14

    Bedrohungsmodellierung Durchführen:

    Bedrohungsmodellierung durchführen. Die Bedrohungsmodellierung ist der Prozess zur Identifizierung und Behebung von Anwendungssicherheitsdesignfehlern in einem Design, bevor Code erstellt wird. Sie wird von speziell geschulten Personen durchgeführt, die das Anwendungsdesign bewerten und Sicherheitsrisiken für jeden Einstiegspunkt und jede Zugriffsebene bewerten. Das Ziel besteht darin, die Anwendung, die Architektur und die Infrastruktur strukturiert abzubilden, um ihre Schwachstellen zu verstehen.

    Manuell NA NA
    CIs-Steuerung V8 16,2

    Etablieren und pflegen Sie einen Prozess zum Akzeptieren und Beheben von Softwareschwachstellen:

    Richten Sie einen Prozess ein, um Berichte über Softwareschwachstellen zu akzeptieren und zu beheben, einschließlich der Bereitstellung einer Möglichkeit für externe Entitäten zur Meldung. Der Prozess umfasst folgende Elemente: Eine Richtlinie zur Handhabung von Schwachstellen, die den Berichterstellungsprozess, die verantwortliche Partei für die Verarbeitung von Schwachstellenberichten und einen Prozess für Aufnahme-, Zuweisungs-, Korrektur- und Korrekturtests identifiziert. Verwenden Sie im Rahmen des Prozesses ein Schwachstellen-Nachverfolgungssystem, das Schweregradbewertungen und Metriken für die Messung des Zeitpunkts für die Identifizierung, Analyse und Behebung von Schwachstellen enthält. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    STANDARD VR sn_vul_Remediation_Task CIS V8 (16.2) CSF (RS.AN-5) ISO (8,8) NIST (AC-2) PCI (6,3.1) CCM (AIS-07, AIS-03)
    CIs-Steuerung V8 16,3

    Ursachenanalyse für Sicherheitsschwachstellen durchführen:

    Führen Sie eine Ursachenanalyse für Sicherheitsschwachstellen durch. Bei der Überprüfung von Schwachstellen besteht die Ursachenanalyse in der Bewertung zugrunde liegender Probleme, die Schwachstellen im Code verursachen, und ermöglicht es Entwicklungsteams, über die bloße Behebung einzelner Schwachstellen hinauszugehen, sobald sie auftreten.

    Manuell NA NA
    CIs-Steuerung V8 16,4

    Erstellen und verwalten Sie einen Bestand von Softwarekomponenten von Drittanbietern:

    Erstellen und verwalten Sie einen aktualisierten Bestand von Drittanbieterkomponenten, die in der Entwicklung verwendet werden, häufig als „Stückliste“ bezeichnet, sowie Komponenten, die für die zukünftige Verwendung vorgesehen sind. Dieser Bestand soll alle Risiken enthalten, die jede Drittparteikomponente darstellen könnte. Bewerten Sie die Liste mindestens monatlich, um Änderungen oder Aktualisierungen an diesen Komponenten zu identifizieren, und validieren Sie, dass die Komponente weiterhin unterstützt wird. 

    Manuell NA NA
    CIs-Steuerung V8 16,5

    Aktuelle und vertrauenswürdige Drittanbietersoftwarekomponenten verwenden:

    Verwenden Sie aktuelle und vertrauenswürdige Softwarekomponenten von Drittanbietern. Wählen Sie nach Möglichkeit etablierte und bewährte Frameworks und Bibliotheken aus, die ausreichende Sicherheit bieten. Erwerben Sie diese Komponenten aus vertrauenswürdigen Quellen, oder bewerten Sie die Software vor der Verwendung auf Schwachstellen.

    Manuell NA NA
    CIs-Steuerung V8 16,6

    Richten Sie ein Schweregradbewertungssystem und einen Prozess für Anwendungsschwachstellen ein, und pflegen Sie sie:

    Richten Sie ein Bewertungssystem für den Schweregrad und einen Prozess für Anwendungsschwachstellen ein, und pflegen Sie sie, um die Priorisierung der Reihenfolge zu erleichtern, in der erkannte Schwachstellen behoben werden. Dieser Prozess umfasst die Festlegung eines Mindestniveaus an Sicherheitsakzeptanz für die Freigabe von Code oder Anwendungen. Schweregradbewertungen bieten eine systematische Möglichkeit der Selektierung von Schwachstellen, die das Risikomanagement verbessert und sicherstellt, dass die schwerwiegendsten Fehler zuerst behoben werden. Überprüfen und aktualisieren Sie das System und den Prozess jährlich.

    STANDARD VR sn_vul_vulnerable_item CIS V8 (16.6) CSF (RS.AN-1) ISO (8,8) NIST (AC-19) PCI (6,3.1) CCM (AIS-07, TVM-08)
    CIs-Steuerung V8 16,7

    Standardhärtungskonfigurationsvorlagen für Anwendungsinfrastruktur verwenden:

    Verwenden Sie standardmäßige, branchenweit empfohlene Härtungskonfigurationsvorlagen für Anwendungsinfrastrukturkomponenten. Dies umfasst zugrunde liegende Server, Datenbanken und Webserver und gilt für Cloud-Container, PaaS-Komponenten (Platform as a Service) und SaaS-Komponenten. Lassen Sie nicht zu, dass intern entwickelte Software die Konfigurationshärtung schwächt.

    Manuell NA NA
    CIs-Steuerung V8 16,8

    Getrennte Produktions- und nicht-Produktionssysteme:

    Verwalten Sie separate Umgebungen für Produktions- und nicht-Produktionssysteme.

    GESKRIPTET CMDB cmdb_ci CIS V8 (16.8) CSF (PR.DS-7) ISO (8,31) NIST (IA-2(2)) PCI (6,5.3) CCM (IVS-05)
    CIs-Steuerung V8 16,9

    Schulen Sie Entwickler in Anwendungssicherheitskonzepten und sicherer Codierung:

    Stellen Sie sicher, dass alle Softwareentwicklungspersonal geschult werden, um sicheren Code für ihre spezifische Entwicklungsumgebung und Verantwortlichkeiten zu schreiben. Schulungen können allgemeine Sicherheitsprinzipien und Standardpraktiken für die Anwendungssicherheit umfassen. Führen Sie mindestens einmal pro Jahr Schulungen durch, entwerfen Sie so, dass die Sicherheit innerhalb des Entwicklungsteams gefördert wird, und bauen Sie eine Sicherheitskultur bei den Entwicklern auf.

    STANDARD Learning Core sn_lc_user_Course_activity CIS V8 (16.9) CSF (PR.AT-1, PR.AT-2) ISO (8,28) NIST (IA-2(1)) PCI (6,2.2)
    CIs-Steuerung V8 17,1

    Mitarbeiter für die Verwaltung der Incident-Behandlung bestimmen:

    Benennen Sie eine Schlüsselperson und mindestens eine Sicherung, die den Incident-Prozess des Unternehmens verwaltet. Managementmitarbeiter sind für die Koordination und Dokumentation von Maßnahmen zur Reaktion auf Incidents und zur Wiederherstellung verantwortlich und können aus unternehmensinternen Mitarbeitern, Drittparteien oder einem Hybridansatz bestehen. Wenn Sie einen Drittparteilieferanten verwenden, benennen Sie mindestens eine Person im Unternehmen, die die Arbeit von Drittparteien überwacht. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    STANDARD SIR sys_user_has_role CIS V8 (17.1) CSF (PR.IP-9, DE.DP-1) ISO (5,24) NIST (AC-5) PCI (12.10.3, 12.10.4) CCM (BCR-01, SEF-03)
    CIs-Steuerung V8 17,2

    Kontaktinformationen für das Melden von Security Incidents einrichten und verwalten:

    Richten Sie Kontaktinformationen für Parteien ein, die über Security Incidents informiert werden müssen, und pflegen Sie sie. Kontakte können interne Mitarbeiter, Drittparteilieferanten, Strafverfolgungsbehörden, Cyberversicherungen, relevante Regierungsbehörden, ISAC-Partner (Information Sharing and Analysis Center) oder andere Stakeholder. Überprüfen Sie Kontakte jährlich, um sicherzustellen, dass die Informationen aktuell sind.

    Manuell NA NA
    CIs-Steuerung V8 17,3

    Richten Sie einen Enterprise-Prozess für die Meldung von Incidents ein, und pflegen Sie ihn:

    Richten Sie einen Enterprise-Prozess ein, mit dem das Personal Security Incidents melden kann, und verwalten Sie ihn. Der Prozess umfasst den Zeitrahmen für die Berichterstellung, das Personal, dem die Meldung erfolgen soll, den Mechanismus für die Berichterstellung und die Mindestanzahl der zu meldenden Informationen. Stellen Sie sicher, dass der Prozess für alle Mitarbeiter öffentlich verfügbar ist. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    STANDARD SIR kb_knowledge CIS V8 (17.3) CSF (PR.IP-9, PR.AT-1) ISO (6,8) NIST (AC-6(1)) PCI (12.10)
    CIs-Steuerung V8 17,4

    Richten Sie einen Prozess für die Reaktion auf Incidents ein, und pflegen Sie ihn:

    Richten Sie einen Prozess für die Reaktion auf Incidents ein, der Rollen und Verantwortlichkeiten, Compliance-Anforderungen und einen Kommunikationsplan berücksichtigt. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell SIR NA
    CIs-Steuerung V8 17,5

    Wichtige Rollen und Verantwortlichkeiten zuweisen:

    Weisen Sie wichtige Rollen und Verantwortlichkeiten für die Reaktion auf Incidents zu, einschließlich Mitarbeitern aus der Rechtsabteilung, IT, Informationssicherheit, Einrichtungen, Öffentlichkeitsarbeit, Human Resources, Incident-Beantworter und Analysten, falls zutreffend. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    STANDARD SIR sys_user_has_role CIS V8 (17.5) CSF (DE.DP-4, RS.CO-2, RS.CO-3, RS.CO-4) ISO (5,2, 5,24) NIST (AU-9(4))) PCI (12.10.3) CCM (SEF-03)
    CIs-Steuerung V8 17,6

    Mechanismen für die Kommunikation während der Reaktion auf Incidents definieren:

    Bestimmen Sie, welche primären und sekundären Mechanismen zur Kommunikation und Meldung während eines Security Incidents verwendet werden. Mechanismen können Telefonanrufe, E-Mails oder Briefe umfassen. Beachten Sie, dass bestimmte Mechanismen, z. B. E-Mails, während eines Security Incidents betroffen sein können. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    Manuell NA NA
    CIs-Steuerung V8 17,7

    Führen Sie Routinemäßige Übungen Zur Reaktion Auf Incidents Durch:

    Planen und führen Sie routinemäßige Incident-Reaktionsübungen und -Szenarien für wichtige Mitarbeiter durch, die am Prozess zur Reaktion auf Incidents beteiligt sind, um sich auf die Reaktion auf reale Incidents vorzubereiten. Übungen müssen Kommunikationskanäle, Entscheidungsfindung und Workflows testen. Führen Sie mindestens einmal pro Jahr Tests durch.

    Manuell NA NA
    CIs-Steuerung V8 17,8

    Überprüfungen Nach Incident Durchführen:

    Führen Sie Überprüfungen nach Incidents durch. Überprüfungen nach Incident helfen, die Wiederholung von Incidents zu verhindern, indem sie gelernte Lektionen identifizieren und Folgeaktionen durchführen.

    Manuell NA NA
    CIs-Steuerung V8 17,9

    Security Incident-Schwellenwerte festlegen und verwalten:

    Legen Sie Schwellenwerte für Security Incidents fest, und verwalten Sie sie, mindestens einschließlich der Unterscheidung zwischen einem Incident und einem Ereignis. Beispiele können sein: Abnormale Aktivität, Sicherheitsschwachstelle, Sicherheitsschwachstelle, Datenschutzverletzung, Datenschutz-Incident, usw. Überprüfen Sie jährlich oder wenn bedeutende Enterprise-Changes auftreten, die sich auf diesen Schutz auswirken könnten.

    STANDARD SIR sn_si_Calculator CIS V8 (17.9) CSF (RS.AN-5) ISO (5,24, 5,25) NIST (RA-5) PCI (12.10.5) CCM (SEF-05)
    CIs-Steuerung V8 18,1

    Richten Sie ein Penetrationstestprogramm ein und pflegen Sie es:

    Richten Sie ein Penetrationstestprogramm ein, das der Größe, Komplexität und Reife des Unternehmens entspricht, und pflegen Sie es. Zu den Merkmalen des Penetrationstestprogramms gehören Umfang, z. B. Netzwerk, Webanwendung, Application Programming Interface (API), gehostete Services und physische lokale Steuerungen, Häufigkeit, Einschränkungen wie zulässige Stunden und ausgeschlossene Angriffstypen, Kontaktpunktinformationen, Korrektur, z. B. wie Ergebnisse intern weitergeleitet werden, und retrospektive Anforderungen.

    Manuell NA NA
    CIs-Steuerung V8 18,2

    Regelmäßige Externe Penetrationstests Durchführen:

    Führen Sie regelmäßige externe Penetrationstests basierend auf den Programmanforderungen durch, mindestens einmal pro Jahr. Externe Penetrationstests müssen Unternehmens- und Umgebungsaufklärung umfassen, um nutzbare Informationen zu erkennen. Penetrationstests erfordern spezialisierte Kompetenzen und Erfahrung und müssen von einer qualifizierten Partei durchgeführt werden. Der Test kann ein durchsichtiges Feld oder ein undurchsichtiges Feld sein.

    STANDARD VR sn_vul_Remediation_Task CIS V8 (18.2) ISO (8,8) NIST (RA-7) PCI (11.4,3)
    CIs-Steuerung V8 18,3

    Penetrationstestergebnisse Korrigieren:

    Korrigieren Sie Penetrationstestergebnisse basierend auf der Unternehmensrichtlinie für den Korrekturumfang und die Priorisierung.

    Manuell NA NA
    CIs-Steuerung V8 18,4

    Sicherheitsmaßnahmen Validieren:

    Validiert Sicherheitsmaßnahmen nach jedem Penetrationstest. Ändern Sie bei Bedarf Regelsätze und Fähigkeiten, um die während des Tests verwendeten Techniken zu erkennen.

    Manuell NA NA
    CIs-Steuerung V8 18,5

    Regelmäßige Interne Penetrationstests Durchführen:

    NA

    STANDARD VR sn_vul_Remediation_Task CIS V8 (18.5) ISO (8,8) NIST (RA-5) PCI (11.4,2)

    Indikatorvorlagen für CIs v7-Steuerungen

    In den folgenden Tabellen sind die Indikatorvorlagen „Standard“ und „Skript“ für CIs v7-Steuerungen aufgeführt.
    Hinweis:
    Für Steuerungen, die derzeit nicht von Basis- oder geskripteten Indikatorvorlagen abgedeckt werden, sind manuelle Indikatorvorlagen für die Zwecke der Compliance-Validierung definiert.
    Tabelle : 2. Basisindikatorvorlagen für CIs v7-Steuerungen
    Kontrolle Name/Beschreibung Compliance validiert von Quelltabelle Zugehörige UCF-IDs
    CIs-Steuerung 1,1 Verwenden Sie ein aktives Discovery-Tool:

    Verwenden Sie ein aktives Discovery-Tool, um Geräte zu identifizieren, die mit dem Netzwerk der Organisation verbunden sind, und aktualisieren Sie den Hardware-Asset-Bestand.

    Configuration Management (CMDB) CMDB-Discovery [cmdb_Discovery]

    07054

    00693

    CIs-Steuerung 1,2 Verwenden Sie ein passives Asset Discovery-Tool:

    Verwenden Sie ein passives Discovery-Tool, um Geräte zu identifizieren, die mit dem Netzwerk der Organisation verbunden sind, und aktualisieren Sie automatisch den Hardware-Asset-Bestand der Organisation.

    Discovery Netzwerk-Discovery-Nachverfolgung [Discovery_Network_Track] 01472
    CIs-Steuerung 1,4 Detaillierten Asset-Bestand Verwalten:

    Pflegen Sie einen genauen und aktuellen Bestand aller Technologie-Assets mit dem Potenzial, Informationen zu speichern oder zu verarbeiten. Dieser Bestand muss alle Hardware-Assets enthalten, unabhängig davon, ob sie mit dem Netzwerk der Organisation verbunden sind oder nicht.

    Configuration Management (CMDB) Hardware [cmdb_ci_hardware]

    06631

    00691

    CIs-Steuerung 1,5 Asset-Bestandsinformationen Verwalten:

    Stellen Sie sicher, dass der Hardware-Asset-Bestand die Netzwerkadresse, Hardwareadresse, den Computernamen, den Besitzer des Daten-Assets und die Abteilung für jedes Asset aufzeichnet und ob das Hardware-Asset für die Verbindung mit dem Netzwerk genehmigt wurde.

    Configuration Management (CMDB) Grundlegendes Configuration Item [cmdb]

    06638

    06640

    12084

    06636

    13721

    13722

    CIs-Steuerung 1,7 Zugriffssteuerung Auf Portebene Bereitstellen:

    Verwenden Sie die Zugriffssteuerung auf Portebene gemäß 802.1x-Standards, um zu steuern, welche Geräte sich beim Netzwerk authentifizieren können. Das Authentifizierungssystem muss an die Hardware-Asset-Bestandsdaten gebunden werden, um sicherzustellen, dass nur autorisierte Geräte eine Verbindung zum Netzwerk herstellen können.

    Configuration Management (CMDB) ACL-Endpunkt [cmdb_ci_Endpoint_acl]

    11841

    13718

    CIs-Steuerung 1,8 Verwenden Sie Clientzertifikate, um Hardware-Assets zu authentifizieren:

    Verwenden Sie Clientzertifikate, um Hardware-Assets zu authentifizieren, die eine Verbindung zum vertrauenswürdigen Netzwerk der Organisation herstellen.

    Zertifizierungskern Audit [cert_audit] 01429
    CIs-Steuerung 2,1 Bestand an autorisierter Software verwalten:

    Pflegen Sie eine aktuelle Liste aller autorisierten Software, die im Unternehmen für Geschäftszwecke in einem beliebigen Geschäftssystem erforderlich ist.

    Configuration Management (CMDB) Anwendungssoftware [cmdb_ci_Application_Software]

    12093

    13723

    CIs-Steuerung 2,2 Stellen Sie sicher, dass Software vom Lieferanten unterstützt wird:

    Stellen Sie sicher, dass nur Softwareanwendungen oder Betriebssysteme, die derzeit vom Lieferanten der Software unterstützt werden, dem autorisierten Softwarebestand der Organisation hinzugefügt werden. Nicht unterstützte Software muss im Bestandssystem als nicht unterstützt gekennzeichnet werden.

    Software Asset Management Lebenszyklus des Softwareprodukts [sam_SW_Product_Lifecycle] 07054
    CIs-Steuerung 2,3 Software Inventory Tools Verwenden:

    Verwenden Sie Softwarebestands-Tools im gesamten Unternehmen, um die Dokumentation aller Software auf Geschäftssystemen zu automatisieren.

    Configuration Management (CMDB) Anwendungssoftware [cmdb_ci_Application_Software]

    11736

    12196

    13720

    13725

    CIs-Steuerung 2,4 Informationen Zum Softwarebestand Nachverfolgen:

    Das Softwarebestandssystem sollte den Namen, die Version, den Herausgeber und das Installationsdatum für alle Software nachverfolgen, einschließlich der von der Organisation autorisierten Betriebssysteme.

    Software Asset Management Core Softwareinstallation [cmdb_sam_sw_install] 12085
    CIs-Steuerung 2,5 Software- und Hardware-Asset-Bestände integrieren:

    Das Software-Bestandssystem sollte an den Hardware-Asset-Bestand gebunden werden, damit alle Geräte und die zugehörige Software von einem zentralen Ort aus nachverfolgt werden.

    Configuration Management (CMDB) Anwendungssoftware [cmdb_ci_Application_Software]

    11637

    11857

    CIs-Steuerung 3,1 Automatisierte Tools Für Schwachstellen-Scanning Ausführen:

    Verwenden Sie ein aktuelles SCAP-konformes Tool für Schwachstellen-Scans, um alle Systeme im Netzwerk wöchentlich oder häufiger automatisch zu scannen, um alle potenziellen Schwachstellen in den Systemen der Organisation zu identifizieren.

    Vulnerability Response Importwarteschlangeneintrag der Schwachstellendatenquelle [sn_vul_ds_Import_q_entry] 10635
    CIs-Steuerung 3,2 Authentifizierte Schwachstellen Scannen Durchführen:

    Führen Sie authentifizierte Schwachstellen-Scans mit Service Desk-Mitarbeitern durch, die lokal auf jedem System ausgeführt werden, oder mit Remote-Scannern, die mit erhöhten Rechten auf dem getesteten System konfiguriert sind.

    Security Operations Erkanntes Element [sn_sec_cmn_src_ci] 00706
    CIs-Steuerung 3,6 Back-to-Back-Schwachstellen-Scans vergleichen:

    Vergleichen Sie regelmäßig die Ergebnisse von Back-to-Back-Schwachstellen-Scans, um sicherzustellen, dass Schwachstellen rechtzeitig behoben wurden.

    Vulnerability Response Schwachstellen-Korrekturstatus [sn_vul_m2m_ttr_Status] 06080
    CIs-Steuerung 4,2 Ändern Sie Standardpasswörter

    Ändern Sie vor der Bereitstellung eines neuen Assets alle Standardpasswörter so, dass Werte mit Accounts auf Administrationsebene übereinstimmen.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test]

    01698

    12122

    CIs-Steuerung 4,4 Verwenden Sie Eindeutige Passwörter

    Wenn die Multifaktor-Authentifizierung nicht unterstützt wird (z. B. lokaler Administrator, Stamm- oder Service-Accounts), verwenden Accounts Passwörter, die für dieses System eindeutig sind.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test]

    01915

    01337

    CIs-Steuerung 4,8 Protokollieren Sie Änderungen an der Administrationsgruppenmitgliedschaft und warnen Sie sie

    Konfigurieren Sie Systeme, um einen Protokolleintrag und eine Warnung auszugeben, wenn ein Account zu einer Gruppe hinzugefügt oder aus dieser entfernt wird, der Administratorrechte zugewiesen sind.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 06312
    CIs-Steuerung 4,9 Protokollieren und warnen Sie bei nicht erfolgreicher Anmeldung bei Administratorkonten

    Konfigurieren Sie Systeme, um einen Protokolleintrag auszugeben und bei fehlgeschlagenen Anmeldungen bei einem administrativen Account zu warnen.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test]

    06312

    06331

    CIs-Steuerung 6,2 Audit-Protokollierung aktivieren:

    Stellen Sie sicher, dass die lokale Protokollierung auf allen Systemen und Netzwerkgeräten aktiviert wurde.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 00897
    CIs-Steuerung 6,3 Detaillierte Protokollierung Aktivieren:

    Aktivieren Sie die Systemprotokollierung, um detaillierte Informationen wie Ereignisquelle, Datum, Anwender, Zeitstempel, Quelladressen einzubeziehen. Zieladressen und andere nützliche Elemente.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 00575
    CIs-Steuerung 7,1 Stellen Sie sicher, dass nur vollständig unterstützte Browser und E-Mail-Clients verwendet werden:

    Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen, idealerweise nur mit der neuesten Version der vom Lieferanten bereitgestellten Browser und E-Mail-Clients.

    Vulnerability Response Angreifbares Anwendungselement [sn_vul_App_vulnerable_item]

    00575

    00576

    CIs-Steuerung 8,1 Verwenden Sie zentral verwaltete Anti-Malware-Software

    Jede AV-Software der Enterprise-Klasse verfügt über diese Fähigkeit. Durch eine zentral verwaltete AV können Sie ganz einfach individuelle Anforderungen aktivieren.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 11861
    CIs-Steuerung 8,2 Stellen Sie sicher, dass Anti-Malware-Software und Signaturen aktualisiert werden

    Der AV ist nur so gut wie seine Signaturen. Obwohl eine reine signaturbasierte Erkennung nicht mehr möglich ist, müssen auch anomaliebasierte Engines regelmäßig aktualisiert werden. Stellen Sie sicher, dass die Updates automatisch ausgeführt werden, und verwenden Sie Tools, um sicherzustellen, dass die Signaturen tatsächlich aktuell sind.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 01790
    CIs-Steuerung 8,3 Aktivieren Sie Die Anti-Exploit-Funktionen Des Betriebssystems/Bereitstellen Sie Anti-Exploit-Technologien Bereit

    Die DISA-Härtungsleitfäden enthalten Schritt-für-Schritt-Anweisungen zum Aktivieren dieser Einstellungen und vieles mehr.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test]

    11637

    10678

    CIs-Steuerung 8,4 Konfigurieren Sie das Anti-Malware-Scanning von Wechseldatenträgern

    Bei den meisten AVS ist diese Funktion standardmäßig aktiviert, es ist jedoch weiterhin wichtig, sicherzustellen, dass sie tatsächlich noch aktiviert ist. Malware, die über einen USB-Stick eingeht, ist für fast jedes Unternehmen eine praktikable Angriffsvektorfunktion.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test]

    11927

    04824

    06735

    00561

    00564

    04546

    CIs-Steuerung 8,5 Konfigurieren Sie Geräte, um Inhalte nicht automatisch auszuführen

    Aus demselben Grund, warum Sie sie nicht scannen möchten, möchten Sie auch nicht, dass sie ausgeführt wird, wenn sie bereitgestellt wird. Dies ist eine ziemlich schnelle Einstellung, und sowohl CIS- als auch DISA-Härtungsleitfäden enthalten Schritt-für-Schritt-Anweisungen zum Deaktivieren der automatischen Ausführung. Einige SCM-Tools können schnell jeden Endpunkt in Ihrer Umgebung überprüfen, um sicherzustellen, dass diese Einstellung deaktiviert ist.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] N/V
    CIs-Steuerung 9,3 Regelmäßige Automatisierte Port-Scans Durchführen:

    Führen Sie regelmäßig automatisierte Port-Scans für alle Systeme durch, und warnen Sie, wenn nicht autorisierte Ports auf einem System erkannt werden.

    Vulnerability Response Schwachstellenscanner [sn_vul_Scanner] N/V
    CIs-Steuerung 11,3 Verwenden Sie automatisierte Tools, um Standardgerätekonfigurationen zu überprüfen und Änderungen zu erkennen

    Vergleichen Sie alle Netzwerkgerätekonfigurationen mit genehmigten Sicherheitskonfigurationen, die für jedes verwendete Netzwerkgerät definiert sind, und warnen Sie, wenn Abweichungen erkannt werden.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test]

    06428

    07058

    CIs-Steuerung 11,4 Installieren Sie die neueste stabile Version aller sicherheitsbezogenen Updates auf allen Netzwerkgeräten:

    Installieren Sie die neueste stabile Version aller sicherheitsbezogenen Updates auf allen Netzwerkgeräten.

    Vulnerability Response Angreifbares Element [sn_vul_vulnerable_item] 01696
    CIs-Steuerung 12,6 Netzwerkbasierten IDS-Sensor bereitstellen:

    Stellen Sie netzwerkbasierte IDS-Sensoren (Intrusion Detection Systems) bereit, um nach ungewöhnlichen Angriffsmechanismen zu suchen und die Gefährdung dieser Systeme an allen Netzwerkgrenzen der Organisation zu erkennen.

    Configuration Management (CMDB) Angriffserkennungssystem [cmdb_ci_IDs_Network] 00581
    CIs-Steuerung 13,2 Entfernen Sie vertrauliche Daten oder Systeme, auf die die Organisation nicht regelmäßig zugreift:

    Entfernen Sie vertrauliche Daten oder Systeme, auf die die Organisation nicht regelmäßig über das Netzwerk zugreift. Diese Systeme dürfen nur als eigenständige Systeme (vom Netzwerk getrennt) von dem Geschäftsbereich verwendet werden, der das System gelegentlich verwenden oder vollständig virtualisiert und ausgeschaltet werden muss, bis es erforderlich ist.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test]

    13726

    13727

    CIs-Steuerung 13,9 Daten auf USB-Speichergeräten verschlüsseln

    Stellen Sie Mitarbeitern Schulungen bereit, damit sie sich der Risiken von Daten auf USB-Laufwerken bewusst sind. Stellen Sie ihnen dann die Tools zur Verfügung, um die kritischen Daten Ihrer Organisation zu sichern.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 11927
    CIs-Steuerung 14,4 Alle vertraulichen Informationen während der Übertragung verschlüsseln:

    Verschlüsseln Sie alle vertraulichen Informationen während der Übertragung.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 00564
    CIs-Steuerung 15,1 Verwalten Sie einen Bestand an autorisierten Wireless-Zugriffspunkten:

    Führen Sie einen Bestand autorisierter drahtloser Zugriffspunkte, die mit dem kabelgebundenen Netzwerk verbunden sind.

    Configuration Management (CMDB) Drahtloser Zugriffspunkt [cmdb_ci_wap_Network] 00693
    CIs-Steuerung 16,1 Verwalten Sie einen Bestand an Authentifizierungssystemen:

    Führen Sie einen Bestand aller Authentifizierungssysteme der Organisation durch, einschließlich derjenigen, die sich vor Ort oder bei einem Remote-Service Provider befinden.

    Configuration Management (CMDB) Active Directory-Domänencontroller [cmdb_ci_ad_controller] 13724
    CIs-Steuerung 16,4 Alle Authentifizierungsanmeldeinformationen verschlüsseln oder Hash ausführen:

    Verschlüsseln oder Hash mit Salt all-Authentifizierungsanmeldeinformationen, wenn gespeichert.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 06735
    CIs-Steuerung 16,5 Übertragung von Anwendernamen und Authentifizierungsanmeldeinformationen verschlüsseln:

    Stellen Sie sicher, dass alle Account-Anwendernamen und Authentifizierungsanmeldeinformationen mithilfe verschlüsselter Kanäle über Netzwerke übertragen werden.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 00564
    CIs-Steuerung 16,11 Workstation-Sitzungen Nach Inaktivität Sperren:

    Workstation-Sitzungen nach einem Standardzeitraum der Inaktivität automatisch sperren.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 04490
    CIs-Steuerung 16,13 Warnung bei Abweichung des Account-Anmeldeverhaltens:

    Warnung, wenn Anwender vom normalen Anmeldeverhalten abweichen, z. B. Tageszeit, Standort der Workstation und Dauer.

    Security Incident Response Security Incident [sn_si_incident]

    07068

    07070

    07069

    CIs-Steuerung 18,5 Verwenden Sie nur standardisierte und umfassend überprüfte Verschlüsselungsalgorithmen:

    Verwenden Sie nur standardisierte und umfassend überprüfte Verschlüsselungsalgorithmen.

    CMDB CI Class Models Eindeutiges Zertifikat [cmdb_ci_certificate] 00037
    CIs-Steuerung 18,8 Richten Sie einen Prozess für die Annahme und Behebung von Berichten über Softwareschwachstellen ein:

    Richten Sie einen Prozess ein, um Berichte über Softwareschwachstellen zu akzeptieren und zu beheben, einschließlich der Bereitstellung einer Möglichkeit für externe Entitäten, sich an Ihre Sicherheitsgruppe zu wenden.

    Vulnerability Response Übereinstimmung mit angreifbarer Software für Discovery-Modell [sn_vul_Discovery_model_Software_match] 04810
    CIs-Steuerung 19,2 Stellentitel und Aufgaben für Incident-Antwort zuweisen:

    Weisen Sie bestimmten Personen Stellenbezeichnungen und Aufgaben für die Behandlung von Computer- und Netzwerk-Incidents zu, und stellen Sie sicher, dass der Incident während der gesamten Zeit bis zur Lösung nachverfolgt und dokumentiert wird.

    Incident-Management Anwenderrollen [sys_user_has_role]

    07061

    00691

    CIs-Steuerung 19,3 Management-Mitarbeiter benennen, um Incident-Bearbeitung zu unterstützen:

    Bestimmen Sie Managementpersonal sowie Sicherungen, die den Prozess der Incident-Verarbeitung unterstützen, indem sie in wichtigen Entscheidungsrollen handeln.

    Incident-Management Anwenderrollen [sys_user_has_role] 01211
    CIs-Steuerung 19,6 Informationen zum Melden von Computeranomalien und Incidents veröffentlichen:

    Veröffentlichen Sie Informationen für alle Mitarbeiter, die sich auf die Meldung von Computeranomalien und Incidents an das Incident-Handhabungsteam beziehen. Solche Informationen sollten in routinemäßige Mitarbeiterbewusstseinsaktivitäten aufgenommen werden.

    Security Incident Response Knowledge [kb_knowledge] 12093
    CIs-Steuerung 19,8 Schema für Incident-Bewertung und Priorisierung erstellen:

    Verwalten Sie separate Umgebungen für Produktions- und nicht-Produktionssysteme. Entwickler dürfen keinen nicht überwachten Zugriff auf Produktionsumgebungen haben.

    Security Incident Response Security Incident-Rechner [sn_si_Calculator]

    12093

    13723

    Tabelle : 3. Skriptindikatorvorlagen für CIs v7-Steuerungen
    Kontrolle Name/Beschreibung Compliance validiert von Quelltabelle Zugehörige UCF-IDs
    CIs-Steuerung 18,9 Getrennte Produktions- und nicht-Produktionssysteme:

    Verwalten Sie separate Umgebungen für Produktions- und nicht-Produktionssysteme. Entwickler dürfen keinen nicht überwachten Zugriff auf Produktionsumgebungen haben.

    Configuration Management (CMDB) Konfigurationselement [cmdb_ci] 00922

    Indikatorvorlagen für ISO-Steuerungen

    In den folgenden Tabellen sind die Indikatorvorlagen „Standard“ und „Skript“ für ISO-Steuerungen aufgeführt.
    Hinweis:
    Für Steuerungen, die derzeit nicht von Basis- oder geskripteten Indikatorvorlagen abgedeckt werden, sind manuelle Indikatorvorlagen für die Zwecke der Compliance-Validierung definiert.
    Tabelle : 4. Standardindikatorvorlagen für ISO-Steuerungen
    Kontrolle Name/Beschreibung Compliance validiert von Quelltabelle Zugehörige UCF-IDs
    ISO27002 – 5.1.1 Richtlinien für Informationssicherheit:

    Definieren Sie eine „Informationssicherheitsrichtlinie“, die von der Führungsebene genehmigt wird und den Ansatz der Organisation für die Verwaltung ihrer Informationssicherheitsziele festlegt. Die Informationssicherheitsrichtlinie wird von themenspezifischen Richtlinien unterstützt, die die Implementierung von Informationssicherheitskontrollen weiter vorschreiben: Zugriffssteuerung; Informationsklassifizierung (und -Verarbeitung); physische Sicherheit und Umgebungssicherheit; Sicherung; Informationstransfer; Schutz vor Malware; Management technischer Schwachstellen; kryptografische Kontrollen; Kommunikationssicherheit; Datenschutz und Schutz personenbezogener Informationen; Lieferantenbeziehungen und Endanwenderorientierte Themen wie: 1) zulässige Nutzung von Assets; 2) Clear Desk und Clear Screen; 3) Informationstransfer; 4) Mobilgeräte und Telearbeit; 5) Einschränkungen für Softwareinstallationen und -Verwendung.

    GRC: Richtlinien- und Compliance-Management Compliance-Richtlinie [sn_Compliance_Policy] N/V
    ISO27002 – 6.1.1 Informationssicherheitsrollen und Verantwortlichkeiten:

    Stellen Sie sicher, dass Verantwortlichkeiten für den Schutz einzelner Assets im Asset-Bestand identifiziert werden. Stellen Sie sicher, dass Rollen und Verantwortlichkeiten für die Entwicklung und Implementierung von Informationssicherheit klar definiert sind.

    GRC: Richtlinien- und Compliance-Management Steuerung [sn_Compliance_Control] N/V
    ISO27002 – 6.2.1 Mobilgeräterichtlinie:

    Verwenden Sie genehmigte Verschlüsselungssoftware für ganze Datenträger, um die Festplatte aller Mobilgeräte zu verschlüsseln.

    GRC: Richtlinien- und Compliance-Management Compliance-Richtlinie [sn_Compliance_Policy]

    07054

    01472

    12109

    06631

    00691

    06638

    06640

    12084

    06636

    13721

    13722

    12093

    11736

    12196

    13720

    13725

    00693

    13724

    ISO27002 – 6.2.2 Telearbeit:

    Erzwingen Sie Remotezugriffsrichtlinien für Mitarbeiter und Auftragnehmer.

    GRC: Richtlinien- und Compliance-Management Compliance-Richtlinie [sn_Compliance_Policy] N/V
    ISO27002 – 7.1.1 Überprüfung:

    Stellen Sie sicher, dass für alle Mitarbeiter und Auftragnehmer eine Hintergrundverifizierung durchgeführt wird, bevor Sie Zugriff auf die Assets des Unternehmens gewähren.

    Human Resources: Core HR-Talentmanagement-Fälle [sn_HR_Core_Case_Talent_Management]

    12001

    00897

    04490

    12100

    12099

    04594

    04476

    ISO27002 – 7.1.2 Beschäftigungsbedingungen:

    Stellen Sie sicher, dass alle neuen Mitarbeiter oder Auftragnehmer die Beschäftigungsbedingungen unterzeichnet und akzeptiert haben, einschließlich ihrer Verantwortung für die Informationssicherheit.

    Human Resources: Core sn_HR_Core_Task 01429
    ISO27002 – 8.1.1 Bestand an Assets:

    Stellen Sie sicher, dass der Hardware-Asset-Bestand die Netzwerkadresse, Hardwareadresse, den Computernamen, den Besitzer des Daten-Assets und die Abteilung für jedes Asset aufzeichnet und ob das Hardware-Asset für die Verbindung mit dem Netzwerk genehmigt wurde.

    Configuration Management (CMDB) Grundlegendes Configuration Item [cmdb]

    00562

    00561

    01915

    01337

    01421

    06440

    ISO27002 – 8.1.2 Besitz von Assets:

    Stellen Sie sicher, dass der Hardware-Asset-Bestand die Netzwerkadresse, Hardwareadresse, den Computernamen, den Besitzer des Daten-Assets und die Abteilung für jedes Asset aufzeichnet und ob das Hardware-Asset für die Verbindung mit dem Netzwerk genehmigt wurde.

    Configuration Management (CMDB) Grundlegendes Configuration Item [cmdb]

    06080

    01273

    ISO27002 – 8.1.3 Zulässige Nutzung von Assets:

    Stellen Sie sicher, dass Mitarbeiter und Auftragnehmer über die Informationssicherheitsanforderungen der Assets der Organisation informiert werden, die mit Einrichtungen und Ressourcen der Informations- und Informationsverarbeitung verknüpft sind. Sie sollten für die Verwendung von Informationsverarbeitungsressourcen und für jede solche Verwendung verantwortlich sein, die unter ihrer Verantwortung durchgeführt wird.

    GRC: Richtlinien- und Compliance-Management Compliance-Richtlinie [sn_Compliance_Policy]

    12001

    00897

    04490

    12100

    12099

    04594

    04476

    ISO27002 – 9.3.1 Verwendung geheimer Authentifizierungsinformationen:

    Verwenden Sie Clientzertifikate, um Hardware-Assets zu authentifizieren, die eine Verbindung zum vertrauenswürdigen Netzwerk der Organisation herstellen.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] 01429
    ISO27002 – 9.4.2 Sichere Anmeldeverfahren:

    Erfordert den gesamten Remote-Anmeldezugriff auf das Netzwerk der Organisation, um Daten während der Übertragung zu verschlüsseln und die Multifaktor-Authentifizierung zu verwenden.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test]

    00562

    00561

    01915

    01337

    01421

    06440

    ISO27002 – 9.4.3 Passwortverwaltungssystem:

    Wenn die Multifaktor-Authentifizierung nicht unterstützt wird (z. B. lokaler Administrator, Stamm- oder Service-Accounts), verwenden Accounts Passwörter, die für dieses System eindeutig sind.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test]

    06080

    01273

    ISO27002 – 10.1.1 Richtlinie zur Verwendung kryptografischer Steuerungen:

    Stellen Sie sicher, dass die Richtlinie zur Verschlüsselung vorhanden ist und gemäß den Datenklassifizierungsanforderungen angewendet, implementiert und durchgesetzt wird.

    GRC: Richtlinien- und Compliance-Management Compliance-Richtlinie [sn_Compliance_Policy]

    07058

    06428

    ISO27002 – 10.1.2 Schlüsselverwaltung:

    Stellen Sie sicher, dass die Verwaltung von Verschlüsselungsschlüsseln gemäß einer formalen Richtlinie und einem formalen Verfahren für den gesamten Lebenszyklus des Schlüssels verwaltet wird.

    GRC: Richtlinien- und Compliance-Management Compliance-Richtlinie [sn_Compliance_Policy]

    00897

    00575

    00576

    11861

    01790

    ISO27002 – 11.2.9 Richtlinie „Schreibtisch leeren“ und „Bildschirm löschen“:

    Stellen Sie sicher, dass die Clear Desk-Richtlinie von Mitarbeitern und Auftragnehmern angepasst wird.

    GRC: Richtlinien- und Compliance-Management Compliance-Richtlinie [sn_Compliance_Policy]

    06312

    00577

    12210

    ISO27002 – 12.1.2 Steuerungen gegen Malware:

    Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen, idealerweise nur mit der neuesten Version der vom Lieferanten bereitgestellten Browser und E-Mail-Clients.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] N/V
    ISO27002 – 12.2.1 Steuerungen gegen Malware:

    Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen, idealerweise nur mit der neuesten Version der vom Lieferanten bereitgestellten Browser und E-Mail-Clients.

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] N/V
    ISO27002 – 12.4.1 Ereignisprotokollierung:

    Stellen Sie sicher, dass die lokale Protokollierung auf allen Systemen und Netzwerkgeräten aktiviert wurde.

    Instanz-Sicherheitszentrum Sicherheits-Dashboard-Ereignisprotokolle [appsec_Security_Dashboard_event_Logs] N/V
    ISO27002 – 12.4.2 Schutz von Protokollinformationen:

    Stellen Sie sicher, dass Protokolle vor nicht autorisiertem Zugriff geschützt sind.

    Zugriffsrollen [sys_Security_acl_role] N/V
    ISO27002 – 12.4.3 Administrator- und Operator-Protokolle:

    Erzwingen Sie detaillierte Audit-Protokollierung für den Zugriff auf vertrauliche Daten oder Änderungen an vertraulichen Daten (mit Tools wie Dateiintegritätsüberwachung oder Sicherheitsinformationen- und Ereignisüberwachung).

    Konfigurations-Compliance Konfigurationstest [sn_vulc_Test] N/V
    ISO27002 – 13.2.1 Richtlinien und Verfahren für die Informationsübertragung:

    Stellen Sie sicher, dass offizielle Transferrichtlinien, -Verfahren und -Kontrollen vorhanden sind, um die Übertragung von Informationen durch die Verwendung aller Arten von Kommunikationseinrichtungen zu schützen.

    GRC: Richtlinien- und Compliance-Management Compliance-Richtlinie [sn_Compliance_Policy] N/V
    ISO27002 – 14.1.1 Analyse und Spezifikation der Informationssicherheitsanforderungen:

    Stellen Sie sicher, dass Anforderungen im Zusammenhang mit der Informationssicherheit in den Anforderungen für neue Informationssysteme oder Erweiterungen vorhandener Informationssysteme enthalten sind.

    GRC: Erweitertes Risikomanagement Risikobewertungen [sn_Risk_Advanced_Risk_assessment_instance] N/V
    ISO27002 – 14.2.2 Technische Überprüfung von Anwendungen nach Änderungen der Betriebsplattform:

    Stellen Sie sicher, dass geschäftskritische Anwendungen überprüft und getestet werden, um sicherzustellen, dass es bei Änderungen an den Betriebsplattformen keine negativen Auswirkungen auf den organisatorischen Betrieb oder die Sicherheit gibt.

    Change-Anforderung Change Request [change_request] N/V
    ISO27002 – 14.2.3 Einschränkungen für Änderungen an Softwarepaketen:

    Stellen Sie sicher, dass von Änderungen an Softwarepaketen abgeraten wird oder auf erforderliche Changes beschränkt ist und alle Changes streng kontrolliert werden.

    Change-Anforderung Change Request [change_request] N/V
    ISO27002 – 14.2.4 Systemsicherheitstests:

    Stellen Sie sicher, dass während des Entwicklungslebenszyklus Sicherheitstests wie sichere Codeüberprüfungen und Schwachstellen-Scans durchgeführt werden. Stellen Sie sicher, dass identifizierte Schwachstellen dokumentiert und behoben werden.

    Change-Anforderung Change Request [change_request] N/V
    ISO27002 – 14.2.8 Systemabnahmetests:

    Stellen Sie sicher, dass Systemabnahmetests Tests Tests der Informationssicherheitsanforderungen und die Einhaltung sicherer Systementwicklungspraktiken umfassen.

    DevOps Build-Testergebnisse [sn_devops_build_Test_result] N/V
    ISO27002 – 14.2.9 Systemabnahmetests:

    Stellen Sie sicher, dass Systemabnahmetests Tests Tests der Informationssicherheitsanforderungen und die Einhaltung sicherer Systementwicklungspraktiken umfassen.

    DevOps Aufgabenausführungen [sn_devops_Task_Execution] N/V
    ISO27002 – 15.1.1 Informationssicherheitsrichtlinie für Lieferantenbeziehungen:

    Stellen Sie sicher, dass Informationssicherheitskontrollen mit dem Lieferanten behandelt und gelöst werden, bevor Sie Geschäfte führen oder dem Lieferanten Zugriff auf Assets gewähren.

    GRC: Vendor Risk Management Lieferantenrisikobewertung [sn_vdr_Risk_asmt_Assessmentsn_vdr_Risk_asmt_assessment] N/V
    ISO27002 – 15.1.3 Lieferkette für Informations- und Kommunikationstechnologie:

    Stellen Sie sicher, dass vor der Geschäftstätigkeit eine Risikobewertung durchgeführt wird, und gewähren Sie Lieferanten und Lieferanten Zugriff auf Assets, und Sicherheitskontrollen und -Anforderungen werden vereinbart und in der Lieferanten-/Lieferantenvereinbarung dokumentiert.

    GRC: Vendor Risk Management Lieferantenrisikobewertung [sn_vdr_Risk_asmt_Assessmentsn_vdr_Risk_asmt_assessment] N/V
    ISO27002 – 15.2.1 Überwachung und Überprüfung von Lieferantenservices:

    Stellen Sie sicher, dass der Lieferant regelmäßig überwacht und überprüft, um sicherzustellen, dass die Nutzungsbedingungen der Vereinbarungen zur Informationssicherheit eingehalten werden und Incidents und Probleme zur Informationssicherheit ordnungsgemäß verwaltet werden.

    GRC: Vendor Risk Management Lieferantenrisikobewertung [sn_vdr_Risk_asmt_Assessmentsn_vdr_Risk_asmt_assessment] N/V
    ISO27002 – 15.2.2 Verwalten von Changes an Lieferantenservices:

    Stellen Sie sicher, dass eine Drittpartei-Risikobewertung durchgeführt wird, wenn Änderungen an der Bereitstellung von Services auftreten. Stellen Sie sicher, dass Änderungen an der Bereitstellung von Services durch Lieferanten verwaltet werden, einschließlich der Wartung und Verbesserung vorhandener Richtlinien, Verfahren und Kontrollen für die Informationssicherheit.

    GRC: Vendor Risk Management Wiederholte Bewertungen [sn_vdr_Risk_asmt_Repeating_assessment] N/V
    ISO27002 – 16.1.2 Melden von Informationssicherheitsereignissen:

    Stellen Sie sicher, dass ein offizielles Incident-Management-Programm vorhanden ist und alle Mitarbeiter und Drittparteien darin geschult werden, Security Incidents zu erkennen und zu melden.

    Security Incident Response Security Incident [sn_si_incident] N/V
    ISO27002 – 16.1.4 Bewertung von und Entscheidung über Informationssicherheitsereignisse:

    Stellen Sie sicher, dass ein formelles Informationssicherheitsereignis-Management vorhanden ist, das vereinbarte Sicherheitsereignis- und Incident-Klassifizierungsskala für Berichterstellung und Eskalation enthält. Stellen Sie sicher, dass das Bedrohungs- und Risikoklassifizierungsschema dokumentiert ist. Stellen Sie sicher, dass Benachrichtigungen zur Reaktion auf Incidents verwaltet werden. Stellen Sie sicher, dass Auswirkungsschwellenwerte, die bei der Kategorisierung von Incidents verwendet werden sollen, dokumentiert sind.

    Security Incident Response Security Incident [sn_si_incident] N/V
    ISO27002 – 16.1.5 Reaktion auf Informationssicherheits-Incidents:

    Stellen Sie sicher, dass Informationssicherheits-Incidents gemäß den dokumentierten Verfahren beantwortet und verwaltet werden.

    Security Incident Response Security Incident [sn_si_incident] N/V
    ISO27002 – 16.1.6 Lernen aus Informationssicherheits-Incidents:

    Stellen Sie sicher, dass Incident-Überwachungsverfahren im Incident-Management-Programm enthalten sind, um Incidents zu dokumentieren und sicherzustellen, dass Sicherheitsereignisse regelmäßig analysiert werden, um zukünftige Incidents zu reduzieren.

    Security Incident Response Security Incident [sn_si_incident] N/V
    ISO27002 – 17.1.1 Kontinuität der Informationssicherheit planen:

    Stellen Sie sicher, dass Informationssicherheit und Kontinuität des Informationssicherheitsmanagements geplant und in den Geschäftskontinuitätsplan oder in den Notfallwiederherstellungsplan aufgenommen werden.

    GRC: Geschäftsauswirkungsanalyse Auswirkungsanalyse [sn_bia_Analysis] N/V
    ISO27002 – 17.1.2 Kontinuität der Informationssicherheit implementieren:

    Stellen Sie sicher, dass Geschäftskontinuität oder Notfallwiederherstellungsplan formell dokumentiert sind.

    GRC: Geschäftsauswirkungsanalyse Auswirkungsanalyse [sn_bia_Analysis] N/V
    ISO27002 – 17.1.3 Überprüfen, überprüfen und bewerten Sie die Kontinuität der Informationssicherheit:

    Stellen Sie sicher, dass Geschäftskontinuität oder Notfallwiederherstellungsplan jährlich durchgeführt werden, um zu überprüfen, ob angemessene Sicherheitskontrollen in ungünstigen Situationen gültig und effektiv sind.

    GRC: Geschäftsauswirkungsanalyse Auswirkungsanalyse [sn_bia_Analysis] N/V
    ISO27002 – 17.2.1 Verfügbarkeit von Informationsverarbeitungseinrichtungen:

    Stellen Sie sicher, dass Failover- und Wiederherstellungskomponenten wie vorgesehen funktionieren.

    GRC: Krisenmanagement Ereignisse [sn_Recovery_event] N/V
    ISO27002 – 18.1.3 Schutz von Datensätzen:

    Stellen Sie sicher, dass Datensätze und Daten gemäß den gesetzlichen, gesetzlichen, vertraglichen und geschäftlichen Anforderungen vor Verlust, Vernichtung, Fälschung, nicht autorisiertem Zugriff und nicht autorisierter Freigabe geschützt sind.

    GRC: Richtlinien- und Compliance-Management Compliance-Richtlinie [sn_Compliance_Policy] N/V
    ISO27002 – 18.1.4 Datenschutz und Schutz personenbezogener Daten:

    Stellen Sie sicher, dass Datenschutz und Schutz personenbezogener Daten gemäß geltenden Gesetzen und Vorschriften geschützt und behandelt werden.

    GRC: Richtlinien- und Compliance-Management Compliance-Richtlinie [sn_Compliance_Policy] N/V
    ISO27002 – 18.2.2 Compliance mit Sicherheitsrichtlinien und -Standards:

    Stellen Sie sicher, dass regelmäßig Tests der im Umfang enthaltenen Systemkonfiguration anhand von Compliance- und regulatorischen Anforderungen durchgeführt werden. Stellen Sie sicher, dass Baseline-Konfigurationsstandards für Systeme dokumentiert sind und auf Best Practices der Branche basieren.

    Konfigurations-Compliance Richtlinien [sn_vulc_Policy]

    01422

    01355

    ISO27002 – 18.2.3 Technische Compliance-Überprüfung:

    Stellen Sie sicher, dass regelmäßige Schwachstellen-Scans und Penetrationstests durchgeführt und die im Umfang enthaltene Systemkonfiguration anhand von Compliance- und gesetzlichen Anforderungen getestet werden.

    Konfigurations-Compliance Testergebnisse [sn_vulc_result] N/V
    Tabelle : 5. Skriptindikatorvorlagen für ISO-Steuerungen
    Kontrolle Name/Beschreibung Compliance validiert von Quelltabelle Zugehörige UCF-IDs
    ISO27002 – 8.1.4 Rückgabe von Assets:

    Stellen Sie sicher, dass der Kündigungsprozess so formalisiert ist, dass alle zuvor ausgestellten physischen und elektronischen Assets zurückgegeben werden, die im Besitz der Organisation sind oder der Organisation anvertraut wurden.

    Human Resources: Core Asset Management
    • HR-Profile [sn_hr_core_profile]
    • Asset [alm_asset]
    N/V
    ISO27002 – 12.1.4 Trennung von Entwicklungs-, Test- und Betriebsumgebungen:

    Verwalten Sie separate Umgebungen für Produktions- und nicht-Produktionssysteme. Entwickler dürfen keinen nicht überwachten Zugriff auf Produktionsumgebungen haben.

    Configuration Management (CMDB) Konfigurationselement [cmdb_ci]

    01698

    12122

    00644

    00596

    Indikatorvorlagen, die für CIs und ISO-Steuerungen gelten

    In den folgenden Tabellen sind die Indikatorvorlagen „Standard“ und „Skript“ aufgeführt, die sowohl für CIS- als auch ISO-Steuerungen gelten.
    Hinweis:
    Für Steuerungen, die derzeit nicht von Basis- oder geskripteten Indikatorvorlagen abgedeckt werden, sind manuelle Indikatorvorlagen für die Zwecke der Compliance-Validierung definiert.
    Tabelle : 6. Indikatorvorlagen, die für CIs und ISO-Steuerungen gelten
    Kontrolle Name/Beschreibung Indikatorvorlagentyp Compliance validiert von Quelltabelle Zugehörige UCF-IDs
    CIs-Steuerung 2,6, ISO27002 – 12.5.1 Adresse nicht genehmigter Software:

    Stellen Sie sicher, dass Software-Assets verwaltet und regelmäßig aktualisiert werden.

    Skript
    • Software Asset Management Core
    • Software Asset Management Professional Core
    • Softwareinstallation [cmdb_sam_sw_install]
    • Softwaremodelle [cmdb_Software_Product_model]

    11637

    00656

    11624

    CIs-Steuerung 3,7, ISO27002 – 12.6.1 Risikobewertungsprozess verwenden:

    Verwenden Sie einen Risikobewertungsprozess, um die Behebung erkannter Schwachstellen zu priorisieren.

    Standard Vulnerability Response Angreifbares Element [sn_vul_vulnerable_item] 01273
    CIs-Steuerung 7,2, ISO27002 – 12.6.2 Einschränkungen bei der Softwareinstallation:

    Deinstallieren oder deaktivieren Sie nicht autorisierte Browser- oder E-Mail-Client-Plugins oder Add-on-Anwendungen.

    Skript
    • Software Asset Management Core
    • Software Asset Management Professional Core
    • Softwareinstallation [cmdb_sam_sw_install]
    • Softwaremodelle [cmdb_Software_Product_model]

    00575

    00574

    CIs-Steuerungen 18.1, ISO27002 – 14.2.1 Sichere Codierungspraktiken Einrichten:

    Richten Sie sichere Codierungspraktiken ein, die der verwendeten Programmiersprache und Entwicklungsumgebung entsprechen.

    Standard GRC: Richtlinien- und Compliance-Management Richtlinie [sn_Compliance_Policy] 11863
    CIs-Steuerung 19.1, ISO27002 – 16.1.1 Verfahren Zur Reaktion Auf Incidents Dokumentieren:

    Stellen Sie sicher, dass schriftliche Pläne für die Reaktion auf Incidents vorhanden sind, die die Rollen von Mitarbeitern sowie Phasen der Incident-Behandlung/-Verwaltung definieren.

    Standard Security Incident Response Security Incident [sn_si_incident] 11780
    CIs-Steuerung 19.4, ISO27002 – 16.1.3 Melden von Informationssicherheitsschwachstellen:

    Entwickeln Sie organisationsweite Standards für die Zeit, die Systemadministratoren und andere Personalmitglieder benötigen, um dem Incident-Handhabungsteam anomale Ereignisse zu melden, die Mechanismen für diese Berichterstellung und die Art von Informationen, die in die Incident-Benachrichtigung aufgenommen werden sollen.

    Standard Security Incident Response Security Incident [sn_si_incident]

    07183

    12975

    10033