Detaillierten Enterprise-Asset-Bestand erstellen und verwalten:

Richten Sie einen genauen, detaillierten und aktuellen Bestand aller Unternehmens-Assets ein, die das Potenzial haben, Daten zu speichern oder zu verarbeiten, und verwalten Sie sie. Dies umfasst: Endbenutzergeräte (einschließlich tragbarer und mobiler Geräte), Netzwerkgeräte, Nicht-Computing-Geräte/IoT -Geräte und -Server. Stellen Sie sicher, dass der Bestand die Netzwerkadresse (falls statisch), die Hardwareadresse, den Computernamen, den Daten-Asset-Besitzer, die Abteilung für jedes Asset und ob die Verbindung des Assets mit dem Netzwerk genehmigt wurde. Für mobile Endbenutzergeräte können MDM-Typ-Tools diesen Prozess gegebenenfalls unterstützen. Dieser Bestand umfasst Assets, die physisch, virtuell und remote mit der Infrastruktur verbunden sind, sowie Assets in Cloud-Umgebungen. Darüber hinaus sind Assets enthalten, die regelmäßig mit der Netzwerkinfrastruktur des Unternehmens verbunden sind, auch wenn sie nicht unter der Kontrolle des Unternehmens stehen. Überprüfen und aktualisieren Sie den Bestand aller Enterprise-Assets halbjährlich oder häufiger.

Adresse für nicht autorisierte Assets:

Stellen Sie sicher, dass wöchentlich ein Prozess zum Umgang mit nicht autorisierten Assets vorhanden ist. Das Unternehmen kann das Asset aus dem Netzwerk entfernen, die Remoteverbindung des Assets mit dem Netzwerk verweigern oder das Asset unter Quarantäne stellen.

Aktives Discovery-Tool verwenden:

Verwenden Sie ein aktives Discovery-Tool, um Assets zu identifizieren, die mit dem Unternehmensnetzwerk verbunden sind. Konfigurieren Sie das aktive Discovery-Tool so, dass es täglich oder häufiger ausgeführt wird.

Verwenden Sie die DHCP-Protokollierung (Dynamic Host Configuration Protocol), um den Enterprise-Asset-Bestand zu aktualisieren:

Verwenden Sie die DHCP-Protokollierung auf allen DHCP-Servern oder IP-Adressverwaltungstools (Internet Protocol), um den Asset-Bestand des Unternehmens zu aktualisieren. Überprüfen und verwenden Sie Protokolle, um den Asset-Bestand des Unternehmens wöchentlich oder häufiger zu aktualisieren.

Verwenden Sie ein Tool zur Erkennung passiver Assets:

Verwenden Sie ein passives Discovery-Tool, um Assets zu identifizieren, die mit dem Unternehmensnetzwerk verbunden sind. Überprüfen und verwenden Sie Scans, um den Asset-Bestand des Unternehmens mindestens wöchentlich oder häufiger zu aktualisieren.

Einrichten und Verwalten eines Softwarebestands:

Erstellen und pflegen Sie einen detaillierten Bestand aller lizenzierten Software, die auf Unternehmens-Assets installiert ist. Der Softwarebestand muss den Titel, den Herausgeber, das erste Installations-/Nutzungsdatum und den Geschäftszweck für jeden Eintrag dokumentieren. Geben Sie gegebenenfalls den URL, die App-Stores, die Version, den Bereitstellungsmechanismus und das Außerbetriebnahmedatum an. Überprüfen und aktualisieren Sie den Softwarebestand alle zwei Jahre oder häufiger.

Stellen Sie sicher, dass autorisierte Software derzeit unterstützt wird

Stellen Sie sicher, dass nur derzeit unterstützte Software im Softwarebestand für Unternehmens-Assets als autorisiert gekennzeichnet wird. Wenn Software nicht unterstützt wird, aber für die Erfüllung der Mission des Unternehmens erforderlich ist, dokumentieren Sie eine Ausnahme, in der die entschärfenden Kontrollen und die Akzeptanz des Restrisikos beschrieben werden. Kennzeichnen Sie nicht unterstützte Software ohne Ausnahmedokumentation als nicht autorisiert. Überprüfen Sie die Softwareliste, um den Softwaresupport mindestens monatlich oder häufiger zu überprüfen.

Adresse für nicht autorisierte Software:

Stellen Sie sicher, dass nicht autorisierte Software entweder für Unternehmens-Assets aus der Verwendung entfernt wird oder eine dokumentierte Ausnahme erhält. Überprüfen Sie dies monatlich oder häufiger.

Automatisierte Software-Bestandstools verwenden:

Verwenden Sie nach Möglichkeit Software-Bestandstools im gesamten Unternehmen, um die Erkennung und Dokumentation installierter Software zu automatisieren.

Autorisierte Software auf Allow-Liste setzen:

Verwenden Sie technische Kontrollen, z. B. das Setzen von Anwendungen auf die Zulassungsliste, um sicherzustellen, dass nur autorisierte Software ausgeführt werden kann oder darauf zugegriffen werden kann. Alle zwei Jahre oder häufiger neu bewerten.

Autorisierte Bibliotheken auf Allow-Liste setzen:

Verwenden Sie technische Kontrollen, um sicherzustellen, dass nur autorisierte Softwarebibliotheken, z. B. bestimmte DLL-, OCX-, .SO-Dateien usw., in einen Systemprozess geladen werden dürfen. Blockieren Sie das Laden nicht autorisierter Bibliotheken in einen Systemprozess. Alle zwei Jahre oder häufiger neu bewerten.

Autorisierte Skripts auf Allow-Liste setzen:

Verwenden Sie technische Kontrollen wie digitale Signaturen und Versionskontrolle, um sicherzustellen, dass nur autorisierte Skripts wie bestimmte PS1-, Py- usw. Dateien ausgeführt werden dürfen. Blockieren Sie die Ausführung nicht autorisierter Skripts. Alle zwei Jahre oder häufiger neu bewerten.

Datenverwaltungsprozess einrichten und verwalten:

Richten Sie einen Datenverwaltungsprozess ein und pflegen Sie ihn. Berücksichtigen Sie dabei die Datenvertraulichkeit, den Datenbesitzer, den Umgang mit Daten, die Grenzen der Datenspeicherung und die Entsorgungsanforderungen basierend auf den Vertraulichkeits- und Aufbewahrungsstandards für das Unternehmen. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Vertrauliche Daten während der Übertragung verschlüsseln:

Verschlüsseln Sie vertrauliche Daten während der Übertragung. Beispiele für Implementierungen sind Transport Layer Security (TLS) und Open Secure Shell (OpenSSH).

Vertrauliche Daten im Ruhezustand verschlüsseln:

Verschlüsseln Sie vertrauliche Daten im Ruhezustand auf Servern, Anwendungen und Datenbanken, die vertrauliche Daten enthalten. Die Verschlüsselung auf Speicherebene, auch bekannt als serverseitige Verschlüsselung, erfüllt die Mindestanforderung dieser Schutzmaßnahme. Zusätzliche Verschlüsselungsmethoden können die Verschlüsselung auf Anwendungsebene sein, die auch als clientseitige Verschlüsselung bezeichnet wird, bei der der Zugriff auf die Datenspeichergeräte keinen Zugriff auf die Nur-Text-Daten zulässt.

Datenverarbeitung und -speicherung basierend auf Empfindlichkeit segmentieren:

Segmentieren Sie die Datenverarbeitung und -speicherung basierend auf der Vertraulichkeit der Daten. Verarbeiten Sie keine vertraulichen Daten in Enterprise-Assets, die für Daten mit geringerer Vertraulichkeit vorgesehen sind.

Data Loss Prevention-Lösung bereitstellen:

Implementieren Sie ein automatisiertes Tool, z. B. ein hostbasiertes DLP-Tool (Data Loss Prevention), um alle vertraulichen Daten zu identifizieren, die über Unternehmens-Assets gespeichert, verarbeitet oder übertragen werden, einschließlich derer, die sich vor Ort oder bei einem Remote-Service Provider befinden, und die vertraulichen Daten des Unternehmens zu aktualisieren Bestand.

Zugriff auf sensible Daten protokollieren:

Protokollieren Sie den Zugriff auf vertrauliche Daten, einschließlich Änderung und Entsorgung.

Datenbestand einrichten und verwalten:

Richten Sie einen Datenbestand basierend auf dem Datenverwaltungsprozess des Unternehmens ein und verwalten Sie ihn. Mindestens vertrauliche Bestandsdaten Überprüfen und aktualisieren Sie den Bestand mindestens einmal jährlich, mit Priorität für vertrauliche Daten.

Datenzugriffskontrolllisten konfigurieren:

Konfigurieren Sie Datenzugriffskontrolllisten basierend auf dem Wissensbedarf eines Benutzers. Wenden Sie Datenzugriffskontrolllisten, auch als Zugriffsberechtigungen bezeichnet, auf lokale und Remote-Dateisysteme, Datenbanken und Anwendungen an.

Datenaufbewahrung erzwingen:

Bewahren Sie Daten gemäß dem Datenverwaltungsprozess des Unternehmens auf. Die Datenaufbewahrung muss sowohl minimale als auch maximale Zeitleisten umfassen.

Daten sicher entsorgen:

Entsorgen Sie Daten sicher, wie im Datenverwaltungsprozess des Unternehmens beschrieben. Stellen Sie sicher, dass der Entsorgungsprozess und die Methode der Datensensibilität entsprechen.

Daten auf Endbenutzergeräten verschlüsseln:

Daten auf Endbenutzergeräten verschlüsseln, die vertrauliche Daten enthalten Beispielimplementierungen können Windows BitLocker™, Apple FileVault™ und Linux dm-crypt™sein.

Datenklassifizierungsschema einrichten und verwalten:

Richten Sie ein allgemeines Datenklassifizierungsschema für das Unternehmen ein, und verwalten Sie es. Unternehmen können Bezeichnungen wie „Vertraulich“, „Vertraulich“ und „Öffentlich“ verwenden und ihre Daten entsprechend diesen Bezeichnungen klassifizieren. Überprüfen und aktualisieren Sie das Klassifizierungsschema jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Dokumentdatenflüsse:

Dokumentdatenflüsse. Die Datenflussdokumentation umfasst Datenflüsse von Service Providern und sollte auf dem Datenverwaltungsprozess des Unternehmens basieren. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Daten auf Wechselmedien verschlüsseln:

Daten auf Wechselmedien verschlüsseln.

Sicheren Konfigurationsprozess einrichten und verwalten:

Richten Sie einen sicheren Konfigurationsprozess für Unternehmens-Assets (Endbenutzergeräte, einschließlich tragbare und mobile Geräte, Nicht-Computer-/IoT-Geräte und Server) und Software (Betriebssysteme und Anwendungen) ein und verwalten Sie diese.Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Automatische Gerätesperrung auf tragbaren Endbenutzergeräten erzwingen:

Erzwingen Sie die automatische Gerätesperrung nach einem vorgegebenen Schwellenwert für lokale fehlgeschlagene Authentifizierungsversuche auf tragbaren Endbenutzergeräten, sofern unterstützt. Lassen Sie für Laptops nicht mehr als 20 fehlgeschlagene Authentifizierungsversuche zu. für Tablets und Smartphones, nicht mehr als 10 fehlgeschlagene Authentifizierungsversuche. Beispiele für Implementierungen sind Microsoft InTune-Gerätesperre und Apple Konfigurationsprofil maxFailedAttempts.

Remote-Löschungsfunktion auf tragbaren Endbenutzergeräten erzwingen:

Remotelöschung von Unternehmensdaten auf unternehmenseigenen tragbaren Endbenutzergeräten, wenn dies für angemessen erachtet wird, z. B. bei verlorenen oder gestohlenen Geräten, oder wenn eine Einzelperson das Unternehmen nicht mehr unterstützt.

Separate Unternehmensarbeitsbereiche auf mobilen Endbenutzergeräten:

Stellen Sie sicher, dass separate Unternehmensarbeitsbereiche auf mobilen Endbenutzergeräten verwendet werden, sofern unterstützt. Beispiele für Implementierungen umfassen die Verwendung eines Apple -Konfigurationsprofils oder eines Android -Arbeitsprofils, um Unternehmensanwendungen und -daten von persönlichen Anwendungen und Daten zu trennen.

Sicheren Konfigurationsprozess für Netzwerkinfrastruktur einrichten und verwalten:

Richten Sie einen sicheren Konfigurationsprozess für Netzwerkgeräte ein, und verwalten Sie ihn. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Konfigurieren Sie die automatische Sitzungssperre für Enterprise-Assets:

Konfigurieren Sie die automatische Sitzungssperre für Enterprise-Assets nach einem bestimmten Zeitraum der Inaktivität. Für allgemeine Betriebssysteme darf der Zeitraum 15 Minuten nicht überschreiten. Bei mobilen Endbenutzergeräten darf der Zeitraum 2 Minuten nicht überschreiten.

Firewall auf Servern implementieren und verwalten:

Implementieren und verwalten Sie eine Firewall auf Servern, sofern unterstützt. Beispielimplementierungen umfassen eine virtuelle Firewall, eine Betriebssystemfirewall oder einen Firewall-Agent einer Drittpartei.

Firewall auf Endbenutzergeräten implementieren und verwalten:

Implementieren und verwalten Sie eine hostbasierte Firewall oder ein Portfilter-Tool auf Endbenutzergeräten mit einer Standardverweigerungsregel, die den gesamten Datenverkehr mit Ausnahme der ausdrücklich zulässigen Services und Ports verwirft.

Enterprise-Assets und -Software sicher verwalten:

Unternehmens-Assets und -Software sicher verwalten. Beispielimplementierungen umfassen die Verwaltung der Konfiguration über „version-control-infrastructure-as-code“ und den Zugriff auf administrative Schnittstellen über sichere Netzwerkprotokolle wie Secure Shell (SSH) und Hypertext Transfer Protocol Secure (HTTPS). Verwenden Sie keine unsicheren Verwaltungsprotokolle wie Telnet (Teletype Network) und HTTP, es sei denn, dies ist betrieblich wichtig.

Standardkonten für Enterprise-Assets und -Software verwalten:

Verwalten Sie Standardkonten für Unternehmens-Assets und -Software, z. B. Stamm-, Administrator- und andere vorkonfigurierte Lieferantenkonten. Beispiele für Implementierungen können sein: Standardkonten deaktivieren oder unbrauchbar machen.

Unnötige Services für Enterprise-Assets und -Software deinstallieren oder deaktivieren:

Deinstallieren oder deaktivieren Sie nicht benötigte Services für Enterprise-Assets und -Software, z. B. einen nicht verwendeten Dateifreigabeservice, ein Webanwendungsmodul oder eine Servicefunktion.

Konfigurieren Sie vertrauenswürdige DNS-Server für Enterprise-Assets:

Konfigurieren Sie vertrauenswürdige DNS-Server für Unternehmens-Assets. Beispiele für Implementierungen: Konfigurieren von Assets für die Verwendung von unternehmensgesteuerten DNS-Servern und/oder vertrauenswürdigen extern zugänglichen DNS-Servern.

Account-Bestand einrichten und verwalten:

Richten Sie einen Bestand aller im Unternehmen verwalteten Accounts ein und verwalten Sie ihn. Der Bestand muss sowohl Benutzer- als auch Administratorkonten enthalten. Der Bestand sollte mindestens den Namen, den Benutzernamen, das Start-/Enddatum und die Abteilung der Person enthalten. Validiert, dass alle aktiven Konten nach einem wiederkehrenden Zeitplan, mindestens einmal pro Quartal oder häufiger, autorisiert sind.

Eindeutige Passwörter verwenden:

Verwenden Sie eindeutige Passwörter für alle Enterprise-Assets. Die Best Practice-Implementierung umfasst mindestens ein 8-stelliges Passwort für Konten mit MFA und ein 14-stelliges Passwort für Konten ohne MFA.

Ruhende Accounts deaktivieren:

Löschen oder deaktivieren Sie alle inaktiven Konten nach einem Zeitraum von 45 Tagen der Inaktivität, sofern dies unterstützt wird.

Administratorrechte auf dedizierte Administratorkonten beschränken:

Beschränken Sie Administratorrechte auf dedizierte Administratorkonten für Enterprise-Assets. Führen Sie allgemeine Computeraktivitäten aus, z. B. Browsen im Internet, E-Mail und Nutzung der Produktivitätssuite, über den primären, nicht privilegierten Account des Benutzers.

Bestand an Servicekonten einrichten und verwalten:

Richten Sie einen Bestand an Servicekonten ein und verwalten Sie ihn. Der Bestand muss mindestens den Abteilungsbesitzer, das Überprüfungsdatum und den Zweck enthalten. Führen Sie Service-Account-Überprüfungen durch, um zu überprüfen, ob alle aktiven Accounts autorisiert sind, und zwar nach einem wiederkehrenden Zeitplan, mindestens einmal pro Quartal oder häufiger.

Account Management zentralisieren:

Zentralisieren Sie die Account-Verwaltung über ein Verzeichnis oder einen Identitätsservice.

Richten Sie einen Zugriffsgewährungsprozess ein:

Richten Sie einen möglichst automatisierten Prozess für die Gewährung des Zugriffs auf Unternehmens-Assets bei Neueinstellungen, Gewährung von Rechten oder Rollenänderungen eines Benutzers ein und befolgen Sie ihn.

Richten Sie einen Zugriffswiderrufprozess ein:

Richten Sie einen möglichst automatisierten Prozess ein, um den Zugriff auf Unternehmens-Assets zu widerrufen, und befolgen Sie ihn, indem Sie Accounts unmittelbar nach der Kündigung, dem Widerruf der Rechte oder dem Rollenwechsel eines Benutzers deaktivieren. Das Deaktivieren von Konten, anstatt Konten zu löschen, kann erforderlich sein, um Audit-Trails beizubehalten.

MFA für extern verfügbar gemachte Anwendungen anfordern:

Erzwingen, dass alle extern verfügbar gemachten Unternehmens- oder Drittanbieteranwendungen MFA erzwingen, sofern unterstützt. Das Erzwingen von MFA über einen Verzeichnisdienst oder SSO-Provider ist eine zufriedenstellende Implementierung dieser Schutzmaßnahme.

MFA für Remote-Netzwerkzugriff anfordern:

MFA für Remote-Netzwerkzugriff anfordern.

MFA für administrativen Zugriff anfordern:

MFA für alle Administratorzugriffskonten (sofern unterstützt) für alle Unternehmens-Assets anfordern, unabhängig davon, ob sie vor Ort oder über einen Drittanbieter verwaltet werden.

Bestand an Authentifizierungs- und Autorisierungssystemen einrichten und verwalten:

Richten Sie einen Bestand der Authentifizierungs- und Autorisierungssysteme des Unternehmens ein, einschließlich derer, die vor Ort oder bei einem Remote-Service Provider gehostet werden. Überprüfen und aktualisieren Sie den Bestand mindestens einmal jährlich oder häufiger.

Zugriffssteuerung zentralisieren:

Zentralisieren Sie die Zugriffssteuerung für alle Unternehmens-Assets über einen Verzeichnisdienst oder SSO-Provider, sofern unterstützt.

Rollenbasierte Zugriffssteuerung definieren und verwalten:

Definieren und verwalten Sie die rollenbasierte Zugriffskontrolle, indem Sie die Zugriffsrechte bestimmen und dokumentieren, die für jede Rolle im Unternehmen erforderlich sind, damit die zugewiesenen Aufgaben erfolgreich ausgeführt werden können. Führen Sie Zugriffskontrollprüfungen von Unternehmens-Assets durch, um zu validieren, dass alle Berechtigungen nach einem wiederkehrenden Zeitplan mindestens einmal pro Jahr oder häufiger autorisiert sind.

Einrichten und Verwalten eines Schwachstellenmanagementprozesses:

Richten Sie einen dokumentierten Schwachstellenmanagementprozess für Unternehmens-Assets ein, und pflegen Sie ihn. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Richten Sie einen Korrekturprozess ein und verwalten Sie ihn:

Richten Sie eine risikobasierte Korrekturstrategie ein, die in einem Korrekturprozess mit monatlichen oder häufigeren Überprüfungen dokumentiert ist, und pflegen Sie sie.

Automatisiertes Betriebssystem-Patch-Management durchführen:

Führen Sie Betriebssystem-Updates für Enterprise-Assets durch automatisiertes Patch-Management monatlich oder häufiger durch.

Automatisiertes Anwendungs-Patch-Management durchführen:

Führen Sie Anwendungsupdates für Unternehmens-Assets durch automatisiertes Patch-Management monatlich oder häufiger durch.

Automatisierte Schwachstellenprüfungen von internen Unternehmens-Assets durchführen:

Führen Sie vierteljährlich oder häufiger automatisierte Schwachstellenprüfungen von internen Unternehmens-Assets durch. Führen Sie mit einem SCAP-konformen Schwachstellen-Scan-Tool sowohl authentifizierte als auch nicht authentifizierte Scans durch.

Automatisierte Schwachstellenprüfungen von extern verfügbar gemachten Enterprise-Assets durchführen:

Führen Sie mit einem SCAP-konformen Schwachstellen-Scan-Tool automatisierte Schwachstellenprüfungen von extern exponierten Unternehmens-Assets durch. Führen Sie Scans monatlich oder häufiger durch.

Erkannte Schwachstellen beheben:

Beheben Sie erkannte Schwachstellen in Software durch Prozesse und Tools monatlich oder je nach Korrekturprozess häufiger.

Audit-Protokollverwaltungsprozess einrichten und verwalten:

Richten Sie einen Audit-Protokollverwaltungsprozess ein, der die Protokollierungsanforderungen des Unternehmens definiert, und verwalten Sie ihn. Behandeln Sie mindestens die Erfassung, Überprüfung und Aufbewahrung von Audit-Protokollen für Unternehmens-Assets. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Audit-Protokolle aufbewahren:

Bewahren Sie Audit-Protokolle für alle Unternehmens-Assets mindestens 90 Tage lang auf.

Audit-Protokollprüfungen durchführen:

Führen Sie Überprüfungen von Audit-Protokollen durch, um Anomalien oder ungewöhnliche Ereignisse zu erkennen, die auf eine potenzielle Bedrohung hinweisen könnten. Führen Sie Prüfungen wöchentlich oder häufiger durch.

Service Provider-Protokolle erfassen:

Sammeln von Service Provider-Protokollen, sofern unterstützt. Beispielimplementierungen umfassen das Sammeln von Authentifizierungs- und Autorisierungsereignissen, Datenerstellungs- und -entsorgungsereignissen und Benutzerverwaltungsereignissen.

Audit-Protokolle erfassen:

Erfassen Sie Audit-Protokolle. Stellen Sie sicher, dass die Protokollierung gemäß dem Audit-Protokollverwaltungsprozess des Unternehmens für alle Unternehmens-Assets aktiviert wurde.

Angemessenen Speicher für Audit-Protokolle sicherstellen:

Stellen Sie sicher, dass Protokollierungsziele über ausreichend Speicher verfügen, um den Audit-Protokollverwaltungsprozess des Unternehmens einzuhalten.

Zeitsynchronisierung standardisieren:

Standardisieren Sie die Zeitsynchronisierung. Konfigurieren Sie mindestens zwei synchronisierte Zeitquellen für alle Enterprise-Assets, sofern unterstützt.

Detaillierte Audit-Protokolle erfassen:

Konfigurieren Sie eine detaillierte Audit-Protokollierung für Enterprise-Assets, die vertrauliche Daten enthalten. Schließen Sie Event-Quelle, Datum, Benutzername, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente ein, die bei einer forensischen Untersuchung hilfreich sein könnten.

Audit-Protokolle für DNS-Abfragen erfassen:

Erfassen Sie Audit-Protokolle für DNS-Abfragen für Enterprise-Assets, sofern angemessen und unterstützt.

Audit-Protokolle für URL-Anforderung erfassen:

Erfassen Sie Audit-Protokolle für URL-Anforderungen in Enterprise-Assets, sofern angemessen und unterstützt.

Befehlszeilen-Audit-Protokolle erfassen:

Erfassen Sie Audit-Protokolle für die Befehlszeile. Beispielimplementierungen umfassen das Sammeln von Audit-Protokollen von PowerShell™, BASH™und Remote-Verwaltungsterminals.

Audit-Protokolle zentralisieren:

Zentralisieren Sie die Erfassung und Aufbewahrung von Audit-Protokollen für Unternehmens-Assets so weit wie möglich.

Stellen Sie sicher, dass nur vollständig unterstützte Browser und E-Mail-Clients verwendet werden:

Stellen Sie sicher, dass nur vollständig unterstützte Browser und E-Mail-Clients im Unternehmen ausgeführt werden dürfen und nur die neueste Version der vom Lieferanten bereitgestellten Browser und E-Mail-Clients verwendet wird.

DNS-Filterservices verwenden:

Verwenden Sie DNS-Filterservices für alle Unternehmens-Assets, um den Zugriff auf bekanntermaßen schädliche Domänen zu blockieren.

Netzwerkbasierte URL-Filter verwalten und erzwingen:

Erzwingen und aktualisieren Sie netzwerkbasierte URL-Filter, um zu verhindern, dass ein Unternehmens-Asset eine Verbindung zu potenziell schädlichen oder nicht genehmigten Websites herstellt. Beispielimplementierungen umfassen kategoriebasierte Filterung, rufbasierte Filterung oder die Verwendung von Sperrlisten. Filter für alle Enterprise-Assets erzwingen.

Unnötige oder nicht autorisierte Browser- und E-Mail-Client-Erweiterungen einschränken:

Beschränken Sie alle nicht autorisierten oder unnötigen Browser- oder E-Mail-Client-Plugins, Erweiterungen und Add-on-Anwendungen, entweder durch Deinstallation oder Deaktivierung.

DMARC implementieren:

Um die Wahrscheinlichkeit gefälschter oder geänderter E-Mails aus gültigen Domänen zu verringern, implementieren Sie die DMARC-Richtlinie und -Überprüfung, beginnend mit der Implementierung der Standards Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM).

Unnötige Dateitypen blockieren:

Blockieren unnötiger Dateitypen, die versuchen, auf das E-Mail-Gateway des Unternehmens zuzugreifen.

E-Mail-Server-Anti-Malware-Schutz bereitstellen und verwalten:

Stellen Sie Anti-Malware-Schutzmaßnahmen für E-Mail-Server bereit, z. B. Scannen von Anhängen und/oder Sandboxing.

Anti-Malware-Software bereitstellen und warten:

Stellen Sie Anti-Malware-Software für alle Unternehmens-Assets bereit und warten Sie sie.

Automatische Anti-Malware-Signatur-Updates konfigurieren:

Konfigurieren Sie automatische Updates für Anti-Malware-Signaturdateien für alle Enterprise-Assets.

Autorun und Autoplay für Wechselmedien deaktivieren:

Deaktivieren Sie die Autorun- und Autoplay-Auto-Execute-Funktionalität für Wechseldatenträger.

Konfigurieren Sie das automatische Scannen von Wechselmedien auf Malware:

Konfigurieren Sie Anti-Malware-Software, um Wechseldatenträger automatisch zu scannen.

Anti-Exploitation-Funktionen aktivieren:

Aktivieren Sie nach Möglichkeit Anti-Exploitation-Funktionen für Unternehmens-Assets und -Software, z. B. Microsoft Data Execution Prevention (DEP), Windows Defender Exploit Guard (WDEG) oder Apple System Integrity Protection (SIP) und Gatekeeper™.

Anti-Malware-Software zentral verwalten:

Verwalten Sie Anti-Malware-Software zentral.

Verhaltensbasierte Anti-Malware-Software verwenden:

Verwenden Sie verhaltensbasierte Anti-Malware-Software.

Datenwiederherstellungsprozess einrichten und verwalten:

Richten Sie einen Datenwiederherstellungsprozess ein, und verwalten Sie ihn. Behandeln Sie dabei den Umfang der Datenwiederherstellungsaktivitäten, die Priorisierung der Wiederherstellung und die Sicherheit von Sicherungsdaten. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Automatisierte Sicherungen durchführen:

Führen Sie automatisierte Sicherungen von bereichsbezogenen Enterprise-Assets durch. Führen Sie Sicherungen wöchentlich oder häufiger aus, je nach Vertraulichkeit der Daten.

Wiederherstellungsdaten schützen:

Schützen Sie Wiederherstellungsdaten mit gleichwertigen Steuerungen wie die ursprünglichen Daten. Referenzverschlüsselung oder Datentrennung, basierend auf Anforderungen.

Isolierte Instanz von Wiederherstellungsdaten erstellen und verwalten:

Richten Sie eine isolierte Instanz von Wiederherstellungsdaten ein, und verwalten Sie sie. Beispielimplementierungen umfassen die Versionskontrolle von Sicherungszielen über Offline-, Cloud- oder Off-Site-Systeme oder -Services.

Datenwiederherstellung testen:

Testen Sie die Sicherungswiederherstellung vierteljährlich oder häufiger für eine Stichprobe von bereichsbezogenen Enterprise-Assets.

Stellen Sie sicher, dass die Netzwerkinfrastruktur auf dem neuesten Stand ist:

Stellen Sie sicher, dass die Netzwerkinfrastruktur auf dem neuesten Stand gehalten wird. Beispielimplementierungen umfassen die Ausführung der neuesten stabilen Version von Software und/oder die Verwendung derzeit unterstützter Network-as-a-Service-Angebote (NaaS). Überprüfen Sie die Softwareversionen monatlich oder häufiger, um den Software-Support sicherzustellen.

Sichere Netzwerkarchitektur einrichten und verwalten:

Richten Sie eine sichere Netzwerkarchitektur ein und verwalten Sie sie. Eine sichere Netzwerkarchitektur muss mindestens die folgenden Aspekte berücksichtigen: Segmentierung, geringste Berechtigung und Verfügbarkeit.

Netzwerkinfrastruktur sicher verwalten:

Netzwerkinfrastruktur sicher verwalten Beispiele für Implementierungen sind „version-Controlled-Infrastructure-as-Code“ und die Verwendung sicherer Netzwerkprotokolle wie SSH und HTTPS.

Architekturdiagramm(e) einrichten und verwalten:

Erstellen und pflegen Sie Architekturdiagramme und/oder andere Netzwerksystemdokumentation. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Netzwerkauthentifizierung, Autorisierung und Auditing (AAA) zentralisieren:

Zentralisieren Sie das Netzwerk AAA.

Verwendung von Protokollen für sicheres Netzwerkmanagement und Kommunikation:

Verwenden Sie sichere Netzwerkverwaltungs- und Kommunikationsprotokolle (z. B. 802.1X, Wi-FiProtected Access 2 (WPA2) Enterprise oder höher).

Stellen Sie sicher, dass Remotegeräte ein VPN verwenden und eine Verbindung zur AAA-Infrastruktur eines Unternehmens herstellen:

Fordern Sie Benutzer auf, sich bei vom Unternehmen verwalteten VPN- und Authentifizierungsservices zu authentifizieren, bevor sie über Endbenutzergeräte auf Unternehmensressourcen zugreifen können.

Dedizierte Rechenressourcen für alle administrativen Aufgaben einrichten und verwalten:

Richten Sie dedizierte Computerressourcen ein, die entweder physisch oder logisch getrennt sind, und verwalten Sie sie für alle administrativen Aufgaben oder Aufgaben, die administrativen Zugriff erfordern. Die Rechenressourcen sollten vom primären Netzwerk des Unternehmens segmentiert werden und keinen Internetzugang haben.

Security Event Alerting zentralisieren:

Zentralisieren Sie Sicherheits-Event-Warnungen für Unternehmens-Assets für Protokollkorrelation und -analyse. Die Best Practice-Implementierung erfordert die Verwendung eines SIEM, das vom Lieferanten definierte Event-Korrelationswarnungen enthält. Eine Log Analytics-Plattform, die mit sicherheitsrelevanten Korrelationswarnungen konfiguriert ist, erfüllt diese Schutzmaßnahme ebenfalls.

Filterung auf Anwendungsebene durchführen:

Führen Sie eine Filterung auf Anwendungsebene durch. Beispielimplementierungen umfassen einen Filter-Proxy, eine Firewall auf Anwendungsebene oder ein Gateway.

Optimieren Sie die Schwellenwerte für Sicherheits-Event-Warnungen:

Optimieren Sie die Schwellenwerte für Sicherheits-Event-Warnungen monatlich oder häufiger.

Hostbasierte Angriffserkennungslösung bereitstellen:

Stellen Sie eine hostbasierte Angriffserkennungslösung für Unternehmens-Assets bereit, sofern dies angemessen ist und/oder unterstützt wird.

Lösung zur Erkennung von Netzwerkangriffen bereitstellen:

Stellen Sie gegebenenfalls eine Lösung zur Erkennung von Netzwerkangriffen auf Unternehmens-Assets bereit. Beispielimplementierungen umfassen die Verwendung eines Netzwerkangriffserkennungssystems (NIDS) oder eines gleichwertigen Cloud Service Provider-Services (CSP).

Datenverkehrsfilterung zwischen Netzwerksegmenten durchführen:

Führen Sie gegebenenfalls eine Datenverkehrsfilterung zwischen Netzwerksegmenten durch.

Zugriffssteuerung für Remote-Assets verwalten:

Verwalten Sie die Zugriffssteuerung für Assets, die eine Remoteverbindung zu Unternehmensressourcen herstellen. Bestimmen Sie den Umfang des Zugriffs auf Unternehmensressourcen basierend auf: aktueller Anti-Malware-Software, installiert; Konfigurations-Compliance mit dem sicheren Konfigurationsprozess des Unternehmens; und Sicherstellen, dass das Betriebssystem und die Anwendungen auf dem neuesten Stand sind.

Flow-Protokolle des Netzwerkdatenverkehrs erfassen:

Erfassen Sie Flow-Protokolle des Netzwerkdatenverkehrs und/oder Netzwerkdatenverkehr, um sie zu überprüfen und Warnungen von Netzwerkgeräten auszulösen.

Hostbasierte Angriffsverhinderungslösung bereitstellen:

Stellen Sie eine hostbasierte Angriffsverhinderungslösung für Unternehmens-Assets bereit, sofern angemessen und/oder unterstützt. Beispielimplementierungen umfassen die Verwendung eines EDR-Clients (Endpoint Detection and Response) oder eines hostbasierten IPS-Agent.

Stellen Sie eine Lösung zur Verhinderung von Netzwerkangriffen bereit:

Stellen Sie gegebenenfalls eine Lösung zur Verhinderung von Netzwerkangriffen bereit. Beispielimplementierungen umfassen die Verwendung eines Netzwerkangriffsverhinderungssystems (NIPS) oder eines gleichwertigen CSP-Services.

Zugriffssteuerung auf Portebene bereitstellen:

Stellen Sie eine Zugriffssteuerung auf Portebene bereit. Die Zugriffssteuerung auf Portebene verwendet 802.1x oder ähnliche Protokolle für die Netzwerkzugriffssteuerung, z. B. Zertifikate, und kann die Benutzer- und/oder Geräteauthentifizierung umfassen.

Sicherheitsbewusstseinsprogramm einrichten und verwalten:

Ein Sicherheitsbewusstseinsprogramm einrichten und verwalten. Der Zweck eines Sicherheitsbewusstseinsprogramms besteht darin, die Mitarbeiter des Unternehmens in der sicheren Interaktion mit Unternehmens-Assets und -Daten zu schulen. Führen Sie Schulungen bei der Einstellung und mindestens einmal jährlich durch. Überprüfen und aktualisieren Sie Inhalte jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Personal schulen, um Social Engineering-Angriffe zu erkennen:

Schulen Sie Mitarbeiter in der Erkennung von Social Engineering-Angriffen wie Phishing, Pre-Texting und Tailgating. 

Mitarbeiter in Best Practices für Authentifizierung schulen:

Schulen Sie Mitarbeiter in Best Practices für die Authentifizierung. Beispielthemen sind MFA, Passwortzusammensetzung und Verwaltung von Anmeldeinformationen.

Personal in Best Practices für die Datenverarbeitung schulen:

Schulen Sie Mitarbeiter in der Identifizierung und ordnungsgemäßen Speicherung, Übertragung, Archivierung und Vernichtung vertraulicher Daten. Dazu gehört auch die Schulung von Mitarbeitern in Best Practices für Bildschirme und Schreibtische, z. B. das Sperren des Bildschirms, wenn sie sich von ihrem Unternehmens-Asset entfernen, das Löschen physischer und virtueller Whiteboards am Ende von Besprechungen und die sichere Speicherung von Daten und Assets.

Mitarbeiter in Ursachen für unbeabsichtigte Datenexposition schulen:

Schulen Sie Mitarbeiter, um Ursachen für unbeabsichtigte Datenexposition zu erkennen. Beispielthemen sind die Falschlieferung vertraulicher Daten, der Verlust eines tragbaren Endbenutzergeräts oder die Veröffentlichung von Daten an unbeabsichtigte Zielgruppen.

Mitarbeiter in der Erkennung und Meldung von Security Incidents schulen:

Trainieren Sie Mitarbeiter, damit sie einen potenziellen Incident erkennen und melden können. 

Schulung von Mitarbeitern im Erkennen und Melden von fehlenden Sicherheitsupdates für Unternehmens-Assets:

Schulung von Mitarbeitern, damit sie verstehen, wie veraltete Softwarepatches oder Fehler in automatisierten Prozessen und Tools überprüft und gemeldet werden können. Ein Teil dieser Schulung sollte die Benachrichtigung von IT-Mitarbeitern über Fehler in automatisierten Prozessen und Tools umfassen.

Schulung von Mitarbeitern in Bezug auf die Gefahren der Verbindung mit und der Übertragung von Unternehmensdaten über unsichere Netzwerke:

Schulen Sie Mitarbeiter in den Gefahren der Verbindung mit und der Übertragung von Daten über unsichere Netzwerke für Unternehmensaktivitäten. Wenn das Unternehmen über Remote-Mitarbeiter verfügt, muss die Schulung Anleitungen enthalten, um sicherzustellen, dass alle Benutzer ihre Heimnetzwerkinfrastruktur sicher konfigurieren.

Führen Sie rollenspezifische Sicherheitsbewusstseins- und Kompetenztrainings durch:

Führen Sie rollenspezifische Schulungen zu Sicherheitsbewusstsein und -kompetenzen durch. Zu den Beispielimplementierungen gehören sichere Systemadministrationskurse für IT-Fachkräfte, (OWASP ™ Top 10-Schwachstellenbewusstsein und Präventionstraining für Webanwendungsentwickler) und erweitertes Social Engineering-Bewusstseinstraining für hochkarätige Rollen.

Bestand an Service Providern einrichten und verwalten:

Erstellen und verwalten Sie einen Bestand an Service Providern. Der Bestand besteht darin, alle bekannten Service Provider aufzulisten, Klassifizierungen einzuschließen und einen Unternehmenskontakt für jeden Service Provider zu benennen. Überprüfen und aktualisieren Sie den Bestand jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Richtlinie für Service Provider-Verwaltung erstellen und verwalten:

Richten Sie eine Service Provider-Verwaltungsrichtlinie ein, und pflegen Sie sie. Stellen Sie sicher, dass die Richtlinie die Klassifizierung, Bestandsaufnahme, Bewertung, Überwachung und Außerbetriebnahme von Service Providern behandelt. Überprüfen und aktualisieren Sie die Richtlinie jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Service Provider klassifizieren:

Service Provider klassifizieren Die Klassifizierungsüberlegung kann ein oder mehrere Merkmale umfassen, z. B. Datensensibilität, Datenvolumen, Verfügbarkeitsanforderungen, geltende Vorschriften, inhärentes Risiko und gemindertes Risiko. Aktualisieren und überprüfen Sie Klassifizierungen jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Stellen Sie sicher, dass Service Provider-Verträge Sicherheitsanforderungen enthalten:

Stellen Sie sicher, dass Service Provider-Verträge Sicherheitsanforderungen enthalten. Beispielanforderungen können Mindestanforderungen für Sicherheitsprogramme, Benachrichtigungen über Security Incidents und/oder Datenschutzverletzungen, Datenverschlüsselungsanforderungen und Datenentsorgungsverpflichtungen sein. Diese Sicherheitsanforderungen müssen mit der Service Provider-Verwaltungsrichtlinie des Unternehmens übereinstimmen. Überprüfen Sie die Verträge mit Service Providern jährlich, um sicherzustellen, dass in den Verträgen keine Sicherheitsanforderungen fehlen.

Service Provider bewerten:

Bewerten Sie Service Provider im Einklang mit der Service Provider-Verwaltungsrichtlinie des Unternehmens. Der Umfang der Bewertung kann je nach Klassifizierung(en) variieren und die Überprüfung standardisierter Bewertungsberichte umfassen, z. B. Service Organization Control 2 (SOC 2) und Payment Card Industry (PCI) Attestation of Compliance (AoC), benutzerdefinierte Fragebögen oder andere strenge Prozesse. Bewerten Sie Service Provider mindestens einmal jährlich oder bei neuen und verlängerten Verträgen neu.

Service Provider bewerten:

Bewerten Sie Service Provider im Einklang mit der Service Provider-Verwaltungsrichtlinie des Unternehmens. Der Umfang der Bewertung kann je nach Klassifizierung(en) variieren und die Überprüfung standardisierter Bewertungsberichte umfassen, z. B. Service Organization Control 2 (SOC 2) und Payment Card Industry (PCI) Attestation of Compliance (AoC), benutzerdefinierte Fragebögen oder andere strenge Prozesse. Bewerten Sie Service Provider mindestens einmal jährlich oder bei neuen und verlängerten Verträgen neu.

Service Provider überwachen:

Überwachen Sie Service Provider im Einklang mit der Service Provider-Verwaltungsrichtlinie des Unternehmens. Die Überwachung kann die regelmäßige Neubewertung der Compliance von Service Providern, die Überwachung der Versionshinweise von Service Providern und die Überwachung im Dunklen Web umfassen.

Service Provider sicher außer Betrieb nehmen:

Service Provider sicher außer Betrieb nehmen Beispiele für Überlegungen sind die Deaktivierung von Benutzer- und Servicekonten, die Beendigung von Datenflüssen und die sichere Entsorgung von Unternehmensdaten in Systemen von Service Providern.

Sicheren Anwendungsentwicklungsprozess einrichten und verwalten:

Etablieren und pflegen Sie einen sicheren Prozess für die Anwendungsentwicklung. Behandeln Sie dabei folgende Punkte: sichere Designstandards für Anwendungen, sichere Codierungspraktiken, Entwicklerschulungen, Schwachstellenmanagement, Sicherheit von Code von Drittparteien und Testverfahren für Anwendungssicherheit. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Wenden Sie sichere Designprinzipien in Anwendungsarchitekturen an:

Wenden Sie sichere Designprinzipien in Anwendungsarchitekturen an. Zu den Prinzipien des sicheren Designs gehören das Konzept der geringsten Berechtigung und die Erzwingung der Mediation, um jeden Vorgang des Benutzers zu validieren, wodurch das Konzept „Benutzereingaben niemals vertrauen“ gefördert wird. Beispiele hierfür sind die Sicherstellung, dass explizite Fehlerprüfungen für alle Eingaben durchgeführt und dokumentiert werden, einschließlich Größe, Datentyp und akzeptable Bereiche oder Formate. Sicheres Design bedeutet auch, die Angriffsfläche der Anwendungsinfrastruktur zu minimieren, z. B. ungeschützte Ports und Services zu deaktivieren, unnötige Programme und Dateien zu entfernen und Standardkonten umzubenennen oder zu entfernen.

Nutzen Sie geprüfte Module oder Services für Anwendungssicherheitskomponenten:

Nutzen Sie geprüfte Module oder Services für Anwendungssicherheitskomponenten wie Identitätsmanagement, Verschlüsselung sowie Auditing und Protokollierung. Durch die Verwendung von Plattformfunktionen in kritischen Sicherheitsfunktionen wird die Arbeitslast der Entwickler reduziert und die Wahrscheinlichkeit von Entwurfs- oder Implementierungsfehlern minimiert. Moderne Betriebssysteme bieten effektive Mechanismen für Identifizierung, Authentifizierung und Autorisierung und machen diese Mechanismen für Anwendungen verfügbar. Verwenden Sie nur standardisierte, derzeit akzeptierte und ausführlich überprüfte Verschlüsselungsalgorithmen. Betriebssysteme bieten auch Mechanismen zum Erstellen und Verwalten sicherer Audit-Protokolle.

Sicherheitsprüfungen auf Codeebene implementieren:

Wenden Sie statische und dynamische Analysetools innerhalb des Anwendungslebenszyklus an, um sicherzustellen, dass sichere Codierungspraktiken befolgt werden.

Penetrationstests für Anwendungen durchführen:

Penetrationstests für Anwendungen durchführen. Für kritische Anwendungen sind authentifizierte Penetrationstests besser geeignet, um Schwachstellen der Geschäftslogik zu finden, als Code-Scans und automatisierte Sicherheitstests.Penetrationstests beruhen auf der Fähigkeit des Testers, eine Anwendung als authentifizierter und nicht authentifizierter Benutzer manuell zu manipulieren. 

Bedrohungsmodellierung durchführen:

Führen Sie eine Bedrohungsmodellierung durch. Bei der Bedrohungsmodellierung werden Designfehler der Anwendungssicherheit innerhalb eines Designs identifiziert und behoben, bevor Code erstellt wird. Sie wird von speziell geschulten Personen durchgeführt, die das Anwendungsdesign bewerten und die Sicherheitsrisiken für jeden Einstiegspunkt und jede Zugriffsebene bewerten. Das Ziel besteht darin, die Anwendung, Architektur und Infrastruktur strukturiert abzubilden, um ihre Schwachstellen zu verstehen.

Einrichten und Verwalten eines Prozesses zum Akzeptieren und Behandeln von Softwareschwachstellen:

Richten Sie einen Prozess ein, um Berichte über Software-Schwachstellen zu akzeptieren und zu bearbeiten, einschließlich der Bereitstellung einer Möglichkeit für externe Entitäten, Meldungen zu melden. Der Prozess soll Elemente umfassen: eine Richtlinie für die Behandlung von Schwachstellen, die den Berichtsprozess, die verantwortliche Partei für die Behandlung von Schwachstellenberichten und einen Prozess für Aufnahme, Zuweisung, Korrektur und Korrekturtests identifiziert. Verwenden Sie als Teil des Prozesses ein Schwachstellen-Nachverfolgungssystem, das Schweregradbewertungen und Metriken zum Messen des Timings für die Identifizierung, Analyse und Behebung von Schwachstellen enthält. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Ursachenanalyse für Sicherheitsschwachstellen durchführen:

Führen Sie eine Ursachenanalyse für Sicherheitsschwachstellen durch. Bei der Überprüfung von Schwachstellen besteht die Ursachenanalyse darin, die zugrunde liegenden Probleme zu bewerten, die Schwachstellen im Code verursachen, und ermöglicht es Entwicklungsteams, über die Behebung einzelner Schwachstellen hinauszugehen, sobald sie auftreten.

Bestand an Softwarekomponenten von Drittparteien einrichten und verwalten:

Erstellen und verwalten Sie einen aktualisierten Bestand an Komponenten von Drittparteien, die in der Entwicklung verwendet werden, häufig als „Stückliste“ bezeichnet, sowie von Komponenten, die für die zukünftige Verwendung vorgesehen sind.Dieser Bestand soll alle Risiken enthalten, die von jeder Drittanbieterkomponente ausgehen können.Bewerten Sie die Liste mindestens monatlich, um Änderungen oder Aktualisierungen an diesen Komponenten zu identifizieren, und überprüfen Sie, ob die Komponente weiterhin unterstützt wird. 

Verwenden Sie aktuelle und vertrauenswürdige Softwarekomponenten von Drittparteien:

Verwenden Sie aktuelle und vertrauenswürdige Softwarekomponenten von Drittparteien. Wenn möglich, wählen Sie etablierte und bewährte Frameworks und Bibliotheken aus, die ausreichende Sicherheit bieten.Beziehen Sie diese Komponenten aus vertrauenswürdigen Quellen, oder untersuchen Sie die Software vor der Verwendung auf Schwachstellen.

Schweregradbewertungssystem und -prozess für Anwendungsschwachstellen einrichten und verwalten:

Richten Sie ein Schweregradbewertungssystem und einen Prozess für Anwendungsschwachstellen ein, die die Priorisierung der Reihenfolge erleichtern, in der erkannte Schwachstellen behoben werden. Dieser Prozess umfasst das Festlegen eines Mindestmaßes an Sicherheitsakzeptanz für die Veröffentlichung von Code oder Anwendungen. Schweregradbewertungen bieten eine systematische Methode zur Selektierung von Schwachstellen, die das Risikomanagement verbessert und sicherstellt, dass die schwerwiegendsten Fehler zuerst behoben werden. Überprüfen und aktualisieren Sie das System und den Prozess jährlich.

Standardmäßige Härtungskonfigurationsvorlagen für Anwendungsinfrastruktur verwenden:

Verwenden Sie standardmäßige, von der Branche empfohlene Härtungskonfigurationsvorlagen für Anwendungsinfrastrukturkomponenten. Dies umfasst zugrunde liegende Server, Datenbanken und Webserver und gilt für Cloud-Container, PaaS-Komponenten (Platform as a Service) und SaaS-Komponenten. Lassen Sie nicht zu, dass intern entwickelte Software die Konfigurationshärtung schwächt.

Produktions- und Nicht-Produktionssysteme trennen:

Separate Umgebungen für Produktions- und Nicht-Produktionssysteme verwalten.

Schulung von Entwicklern in Anwendungssicherheitskonzepten und sicherer Codierung:

Stellen Sie sicher, dass alle Softwareentwicklungsmitarbeiter Schulungen zum Schreiben von sicherem Code für ihre spezifische Entwicklungsumgebung und ihre Zuständigkeiten erhalten. Die Schulung kann allgemeine Sicherheitsprinzipien und Standardpraktiken für Anwendungssicherheit umfassen. Führen Sie mindestens einmal pro Jahr Schulungen durch, und entwerfen Sie so, dass die Sicherheit innerhalb des Entwicklungsteams gefördert wird, und schaffen Sie eine Kultur der Sicherheit unter den Entwicklern.

Personal für die Verwaltung der Incident-Bearbeitung bestimmen:

Bestimmen Sie eine Schlüsselperson und mindestens eine Ersatzperson, die den Incident-Bearbeitungsprozess des Unternehmens leitet. Das Managementpersonal ist für die Koordinierung und Dokumentation von Incident-Reaktions- und Wiederherstellungsbemühungen verantwortlich und kann aus internen Mitarbeitern des Unternehmens, Drittanbietern oder einem hybriden Ansatz bestehen. Wenn Sie einen Drittanbieter verwenden, bestimmen Sie mindestens eine interne Person des Unternehmens, die die Arbeit von Drittanbietern überwachen soll. Prüfung jährlich oder bei bedeutenden Unternehmensänderungen, die sich auf diese Schutzmaßnahme auswirken könnten.

Kontaktinformationen für die Meldung von Security Incidents einrichten und verwalten:

Richten Sie Kontaktinformationen für Parteien ein, die über Security Incidents informiert werden müssen, und pflegen Sie sie. Zu den Kontakten können interne Mitarbeiter, Drittanbieter, Strafverfolgungsbehörden, Anbieter von Cyberversicherungen, relevante Regierungsbehörden, Partner von Information Sharing and Analysis Center (ISAC) oder andere Stakeholder gehören. Überprüfen Sie die Kontakte jährlich, um sicherzustellen, dass die Informationen auf dem neuesten Stand sind.

Einrichten und Verwalten eines Enterprise-Prozesses für die Meldung von Incidents:

Richten Sie einen unternehmensweiten Prozess ein, in dem das Personal Security Incidents melden kann, und pflegen Sie ihn. Der Prozess umfasst den Zeitrahmen für die Berichterstellung, das zu meldende Personal, den Mechanismus für die Berichterstellung und die Mindestinformationen, die gemeldet werden müssen. Stellen Sie sicher, dass der Prozess für alle Mitarbeiter öffentlich verfügbar ist. Prüfung jährlich oder bei bedeutenden Unternehmensänderungen, die sich auf diese Schutzmaßnahme auswirken könnten.

Einrichten und Verwalten eines Prozesses für die Reaktion auf Incidents:

Richten Sie einen Incident-Reaktionsprozess ein, der Rollen und Zuständigkeiten, Compliance-Anforderungen und einen Kommunikationsplan umfasst, und pflegen Sie ihn. Prüfung jährlich oder bei bedeutenden Unternehmensänderungen, die sich auf diese Schutzmaßnahme auswirken könnten.

Schlüsselrollen und Zuständigkeiten zuweisen:

Weisen Sie Schlüsselrollen und Verantwortlichkeiten für die Reaktion auf Incidents zu, darunter Mitarbeiter aus den Bereichen Rechtsabteilung, IT, Informationssicherheit, Facility Management, Öffentlichkeitsarbeit, Human Resources, Incident-Beantworter und Analysten. Prüfung jährlich oder bei bedeutenden Unternehmensänderungen, die sich auf diese Schutzmaßnahme auswirken könnten.

Definieren Sie Mechanismen für die Kommunikation während der Reaktion auf Incidents:

Legen Sie fest, welche primären und sekundären Mechanismen für die Kommunikation und Meldung während eines Security Incident verwendet werden. Mechanismen können Telefonanrufe, E-Mails oder Briefe sein. Beachten Sie, dass bestimmte Mechanismen, z. B. E-Mails, während eines Security Incidents betroffen sein können. Prüfung jährlich oder bei bedeutenden Unternehmensänderungen, die sich auf diese Schutzmaßnahme auswirken könnten.

Routineübungen zur Reaktion auf Incidents durchführen:

Planen und führen Sie routinemäßige Incident-Reaktionsübungen und -szenarien für wichtige Mitarbeiter durch, die am Incident-Reaktionsprozess beteiligt sind, um sich auf die Reaktion auf reale Incidents vorzubereiten. Übungen müssen Kommunikationskanäle, Entscheidungsfindung und Workflows testen. Führen Sie Tests mindestens einmal pro Jahr durch.

Überprüfungen nach Incidents durchführen:

Führen Sie Überprüfungen nach Incidents durch. Überprüfungen nach Incidents tragen dazu bei, ein erneutes Auftreten von Incidents zu verhindern, indem gelernte Lektionen und Folgemaßnahmen identifiziert werden.

Security Incident-Schwellenwerte festlegen und verwalten:

Legen Sie Schwellenwerte für Security Incidents fest, und pflegen Sie sie. Dazu gehört mindestens die Unterscheidung zwischen einem Incident und einem Event. Beispiele: anormale Aktivität, Sicherheitsschwachstelle, Sicherheitsschwachstelle, Datenschutzverletzung, Datenschutzvorfall usw. Prüfung jährlich oder bei bedeutenden Unternehmensänderungen, die sich auf diese Schutzmaßnahme auswirken könnten.

Ein Penetrationstestprogramm einrichten und verwalten:

Richten Sie ein Penetrationstestprogramm ein, das der Größe, Komplexität und Reife des Unternehmens angemessen ist, und pflegen Sie es. Zu den Merkmalen des Penetrationstestprogramms gehören Umfang wie Netzwerk, Webanwendung, Anwendungsprogrammierschnittstelle (API), gehostete Services und physische Kontrollen vor Ort. Häufigkeit; Einschränkungen, z. B. zulässige Stunden und ausgeschlossene Angriffstypen; Kontaktinformationen Fehlerkorrektur, z. B. wie Ergebnisse intern weitergeleitet werden; und retrospektive Anforderungen.

Regelmäßige externe Penetrationstests durchführen:

Führen Sie regelmäßige externe Penetrationstests basierend auf den Programmanforderungen durch, und zwar mindestens einmal pro Jahr. Externe Penetrationstests müssen Unternehmens- und Umgebungsinformationen umfassen, um ausnutzbare Informationen zu erkennen. Penetrationstests erfordern spezielle Fähigkeiten und Erfahrung und müssen von einer qualifizierten Partei durchgeführt werden. Die Tests können ein leeres Feld oder ein undurchsichtiges Feld sein.

Ergebnisse des Penetrationstests nachbessern:

Korrigieren Sie die Ergebnisse von Penetrationstests basierend auf der Unternehmensrichtlinie für Umfang und Priorisierung der Korrektur.

Sicherheitsmaßnahmen validieren:

Validieren Sie die Sicherheitsmaßnahmen nach jedem Penetrationstest. Ändern Sie bei Bedarf Regelsätze und Fähigkeiten, um die während des Tests verwendeten Techniken zu erkennen.

Verwenden Sie ein aktives Discovery-Tool, um mit dem Netzwerk der Organisation verbundene Geräte zu identifizieren und den Hardware-Asset-Bestand zu aktualisieren.

Verwenden Sie ein passives Discovery-Tool, um mit dem Netzwerk der Organisation verbundene Geräte zu identifizieren und den Hardware-Asset-Bestand der Organisation automatisch zu aktualisieren.

Führen Sie einen genauen und aktuellen Bestand aller Technologie-Assets durch, in denen Informationen gespeichert oder verarbeitet werden können. Dieser Bestand umfasst alle Hardware-Assets, unabhängig davon, ob sie mit dem Netzwerk der Organisation verbunden sind oder nicht.

Stellen Sie sicher, dass im Hardware-Asset-Bestand die Netzwerkadresse, die Hardware-Adresse, der Computername, der Daten-Asset-Besitzer und die Abteilung für jedes Asset aufgezeichnet werden und ob die Verbindung des Hardware-Assets mit dem Netzwerk genehmigt wurde.

Verwenden Sie die Zugriffssteuerung auf Portebene gemäß den 802.1x-Standards, um zu steuern, welche Geräte sich beim Netzwerk authentifizieren können. Das Authentifizierungssystem muss in die Bestandsdaten des Hardware-Assets eingebunden sein, um sicherzustellen, dass nur autorisierte Geräte eine Verbindung zum Netzwerk herstellen können.

Verwenden Sie Client-Zertifikate, um Hardware-Assets zu authentifizieren, die eine Verbindung zum vertrauenswürdigen Netzwerk der Organisation herstellen.

Führen Sie eine aktuelle Liste aller autorisierten Software, die im Unternehmen für einen Geschäftszweck auf einem beliebigen Geschäftssystem erforderlich ist.

Stellen Sie sicher, dass nur Softwareanwendungen oder Betriebssysteme, die derzeit vom Softwareanbieter unterstützt werden, dem autorisierten Softwarebestand der Organisation hinzugefügt werden. Nicht unterstützte Software sollte im Bestandssystem als nicht unterstützt gekennzeichnet werden.

Verwenden Sie Software-Bestandstools im gesamten Unternehmen, um die Dokumentation der gesamten Software in Geschäftssystemen zu automatisieren.

Das Software-Bestandssystem sollte Name, Version, Herausgeber und Installationsdatum für die gesamte Software nachverfolgen, einschließlich der von der Organisation autorisierten Betriebssysteme.

Das Software-Bestandssystem sollte in den Hardware-Asset-Bestand eingebunden werden, damit alle Geräte und die zugehörige Software von einem einzigen Ort aus nachverfolgt werden können.

Verwenden Sie ein aktuelles SCAP-konformes Tool zum Scannen von Schwachstellen, um alle Systeme im Netzwerk wöchentlich oder häufiger zu scannen, um alle potenziellen Schwachstellen in den Systemen der Organisation zu identifizieren.

Führen Sie authentifizierte Schwachstellenprüfungen mit Agents durch, die lokal auf jedem System ausgeführt werden, oder mit Remote-Scannern, die mit erhöhten Rechten auf dem getesteten System konfiguriert sind.

Vergleichen Sie regelmäßig die Ergebnisse aufeinanderfolgender Schwachstellenprüfungen, um sicherzustellen, dass Schwachstellen zeitnah behoben wurden.

Ändern Sie vor der Bereitstellung eines neuen Assets alle Standardpasswörter, um Werte zu erhalten, die mit Konten auf Administratorebene übereinstimmen.

Wenn die Multifaktor-Authentifizierung nicht unterstützt wird (z. B. bei lokalen Administrator-, Stamm- oder Servicekonten), verwenden Konten Passwörter, die für dieses System eindeutig sind.

Konfigurieren Sie Systeme, um einen Protokolleintrag und eine Warnung auszugeben, wenn ein Account zu einer Gruppe hinzugefügt oder daraus entfernt wird, der Administratorrechte zugewiesen sind.

Konfigurieren Sie Systeme so, dass bei nicht erfolgreichen Anmeldungen bei einem Administratorkonto ein Protokolleintrag und eine Warnung ausgegeben werden.

Stellen Sie sicher, dass die lokale Protokollierung auf allen Systemen und Netzwerkgeräten aktiviert wurde.

Aktivieren Sie die Systemprotokollierung, um detaillierte Informationen wie Event-Quelle, Datum, Benutzer, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente einzubeziehen.

Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen, idealerweise nur mit der neuesten Version der vom Anbieter bereitgestellten Browser und E-Mail-Clients.

Jede AV-Software der Enterprise-Klasse verfügt über diese Fähigkeit. Durch eine zentral verwaltete AV können Sie individuelle Anforderungen einfach aktivieren.

Die AV ist nur so gut wie ihre Signaturen. Während eine reine signaturbasierte Erkennung nicht mehr möglich ist, müssen selbst anomaliebasierte Engines regelmäßig aktualisiert werden. Stellen Sie sicher, dass die Updates automatisch ausgerollt werden, und verwenden Sie Tools, um zu überprüfen, ob die Signaturen tatsächlich auf dem neuesten Stand sind.

Die DISA-Härtungsleitfäden enthalten Schrittanweisungen zum Aktivieren dieser und vieler weiterer Einstellungen.

Bei den meisten AVs ist diese Funktion standardmäßig aktiviert. Es ist jedoch wichtig zu überprüfen, ob sie tatsächlich noch aktiviert ist. Malware, die über einen USB-Stick eingeht, ist für fast jedes Unternehmen ein brauchbarer Angriffsvektor.

Aus dem gleichen Grund, aus dem Sie ihn nicht scannen möchten, möchten Sie auch nicht, dass er ausgeführt wird, wenn er bereitgestellt wird. Dies ist eine sehr schnelle Einstellung, und sowohl die CIS- als auch die DISA-Härtungsleitfäden enthalten Schrittanweisungen zum Deaktivieren der automatischen Ausführung. Einige SCM-Tools können schnell jeden Endpunkt in Ihrer Umgebung überprüfen, um sicherzustellen, dass diese Einstellung deaktiviert ist.

Führen Sie regelmäßige automatisierte Port-Scans für alle Systeme durch und warnen Sie, wenn nicht autorisierte Ports auf einem System erkannt werden.

Vergleichen Sie alle Netzwerkgerätekonfigurationen mit genehmigten Sicherheitskonfigurationen, die für jedes verwendete Netzwerkgerät definiert sind, und warnen Sie, wenn Abweichungen erkannt werden.

Installieren Sie die neueste stabile Version aller sicherheitsbezogenen Updates auf allen Netzwerkgeräten.

Stellen Sie netzwerkbasierte IDS-Sensoren (Intrus Detection Systems) bereit, um nach ungewöhnlichen Angriffsmechanismen zu suchen und Gefährdungen dieser Systeme an allen Netzwerkgrenzen der Organisation zu erkennen.

Entfernen Sie vertrauliche Daten oder Systeme, auf die die Organisation nicht regelmäßig zugreift, aus dem Netzwerk. Diese Systeme dürfen nur als eigenständige Systeme (vom Netzwerk getrennt) vom Geschäftsbereich verwendet werden, die das System gelegentlich verwenden müssen, oder sie dürfen vollständig virtualisiert und bis zur Verwendung ausgeschaltet werden.

Bieten Sie Mitarbeitern Schulungen an, damit sie sich der Risiken von Daten auf USB-Laufwerken bewusst sind. Stellen Sie ihnen dann die Tools zur Verfügung, um die kritischen Daten Ihrer Organisation zu sichern.

Verschlüsseln Sie alle vertraulichen Informationen während der Übertragung.

Führen Sie eine Bestandsaufnahme der autorisierten WLAN-Zugriffspunkte durch, die mit dem kabelgebundenen Netzwerk verbunden sind.

Führen Sie einen Bestand aller Authentifizierungssysteme der Organisation, einschließlich derer, die sich vor Ort oder bei einem Remote-Service Provider befinden.

Verschlüsseln oder hashen Sie alle Anmeldeinformationen für die Authentifizierung mit einem Salt, wenn sie gespeichert werden.

Stellen Sie sicher, dass alle Benutzernamen und Anmeldeinformationen für die Authentifizierung über verschlüsselte Kanäle über Netzwerke übertragen werden.

Workstation-Sitzungen nach einem standardmäßigen Zeitraum der Inaktivität automatisch sperren.

Benachrichtigen, wenn Benutzer vom normalen Anmeldeverhalten abweichen, z. B. Uhrzeit, Standort und Dauer der Workstation.

Verwenden Sie nur standardisierte und ausführlich überprüfte Verschlüsselungsalgorithmen.

Richten Sie einen Prozess ein, um Berichte über Softwareschwachstellen anzunehmen und zu beheben, einschließlich der Bereitstellung einer Möglichkeit für externe Entitäten, sich an Ihre Sicherheitsgruppe zu wenden.

Weisen Sie bestimmten Personen Berufsbezeichnungen und Aufgaben für die Behandlung von Computer- und Netzwerk-Incidents zu, und stellen Sie die Nachverfolgung und Dokumentation während des gesamten Incident bis zur Lösung sicher.

Bestimmen Sie Führungskräfte sowie Ersatzmitarbeiter, die den Incident-Bearbeitungsprozess unterstützen, indem sie in wichtigen Entscheidungsrollen fungieren.

Veröffentlichen Sie Informationen für alle Mitarbeiter in Bezug auf die Meldung von Computeranomalien und Incidents an das Incident-Bearbeitungsteam. Solche Informationen sollten in routinemäßige Aktivitäten zur Sensibilisierung der Mitarbeiter einbezogen werden.

Definieren Sie eine „Informationssicherheitsrichtlinie“, die von der Führungsebene genehmigt wird und den Ansatz der Organisation zur Verwaltung ihrer Informationssicherheitsziele darlegt. Die Informationssicherheitsrichtlinie wird durch themenspezifische Richtlinien unterstützt, die die Implementierung von Informationssicherheitskontrollen weiter vorschreiben, die Folgendes umfassen: Zugriffskontrolle; Klassifizierung (und Verarbeitung) von Informationen physische Sicherheit und Umgebungssicherheit; Sicherung; Informationsübertragung; Schutz vor Malware; Management technischer Schwachstellen; kryptografische Steuerungen; Kommunikationssicherheit; Datenschutz und Schutz personenbezogener Daten; Lieferantenbeziehungen und endbenutzerorientierte Themen wie: 1) akzeptable Verwendung von Assets; 2) Schreibtisch und Bildschirm aufräumen; 3) Informationsübertragung; 4) Mobilgeräte und Telearbeit; 5) Einschränkungen für Softwareinstallationen und -nutzung.

Stellen Sie sicher, dass Verantwortlichkeiten für den Schutz einzelner Assets im Asset-Bestand identifiziert werden. Stellen Sie sicher, dass Rollen und Zuständigkeiten für die Entwicklung und Implementierung von Informationssicherheit klar definiert sind.

Verwenden Sie eine genehmigte Software zur Verschlüsselung ganzer Datenträger, um die Festplatte aller Mobilgeräte zu verschlüsseln.

Erzwingen Sie Remotezugriffsrichtlinien für Mitarbeiter und Auftragnehmer.

Stellen Sie sicher, dass für alle Mitarbeiter und Auftragnehmer eine Hintergrundüberprüfung durchgeführt wird, bevor Sie Zugriff auf die Assets des Unternehmens gewähren.

Stellen Sie sicher, dass alle neu eingestellten Mitarbeiter oder Auftragnehmer die Beschäftigungsbedingungen, einschließlich ihrer Verantwortung für Informationssicherheit, unterzeichnet und akzeptiert haben.

Stellen Sie sicher, dass im Hardware-Asset-Bestand die Netzwerkadresse, die Hardware-Adresse, der Computername, der Daten-Asset-Besitzer und die Abteilung für jedes Asset aufgezeichnet werden und ob die Verbindung des Hardware-Assets mit dem Netzwerk genehmigt wurde.

Stellen Sie sicher, dass im Hardware-Asset-Bestand die Netzwerkadresse, die Hardware-Adresse, der Computername, der Daten-Asset-Besitzer und die Abteilung für jedes Asset aufgezeichnet werden und ob die Verbindung des Hardware-Assets mit dem Netzwerk genehmigt wurde.

Stellen Sie sicher, dass Mitarbeiter und Auftragnehmer über die Informationssicherheitsanforderungen der mit Informationen verbundenen Organisations-Assets und Informationsverarbeitungseinrichtungen und -ressourcen informiert sind. Sie sollten für die Nutzung von Informationsverarbeitungsressourcen verantwortlich sein und für eine solche Nutzung in ihrer Verantwortung verantwortlich sein.

Verwenden Sie Client-Zertifikate, um Hardware-Assets zu authentifizieren, die eine Verbindung zum vertrauenswürdigen Netzwerk der Organisation herstellen.

Fordern Sie den gesamten Remote-Anmeldezugriff auf das Netzwerk der Organisation an, um Daten während der Übertragung zu verschlüsseln, und verwenden Sie die Multifaktor-Authentifizierung.

Wenn die Multifaktor-Authentifizierung nicht unterstützt wird (z. B. bei lokalen Administrator-, Stamm- oder Servicekonten), verwenden Konten Passwörter, die für dieses System eindeutig sind.

Stellen Sie sicher, dass Richtlinien für die Verschlüsselung vorhanden sind und gemäß den Datenklassifizierungsanforderungen angewendet, implementiert und erzwungen werden.

Stellen Sie sicher, dass die Verwaltung von Verschlüsselungsschlüsseln gemäß einer formalen Richtlinie und einem Verfahren für den gesamten Lebenszyklus des Schlüssels verwaltet wird.

Stellen Sie sicher, dass die Richtlinie für einen übersichtlichen Schreibtisch von Mitarbeitern und Auftragnehmern angepasst wird.

Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen, idealerweise nur mit der neuesten Version der vom Anbieter bereitgestellten Browser und E-Mail-Clients.

Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen, idealerweise nur mit der neuesten Version der vom Anbieter bereitgestellten Browser und E-Mail-Clients.

Stellen Sie sicher, dass die lokale Protokollierung auf allen Systemen und Netzwerkgeräten aktiviert wurde.

Stellen Sie sicher, dass Protokolle sicher vor nicht autorisiertem Zugriff geschützt sind.

Erzwingen Sie eine detaillierte Audit-Protokollierung für den Zugriff auf vertrauliche Daten oder Änderungen an vertraulichen Daten (mithilfe von Tools wie File Integrity Monitoring oder Security Information and Event Monitoring).

Stellen Sie sicher, dass formelle Übertragungsrichtlinien, -verfahren und -kontrollen vorhanden sind, um die Übertragung von Informationen durch die Verwendung aller Arten von Kommunikationseinrichtungen zu schützen.

Stellt sicher, dass informationssicherheitsbezogene Anforderungen in den Anforderungen für neue Informationssysteme oder Erweiterungen vorhandener Informationssysteme enthalten sind.

Stellen Sie sicher, dass geschäftskritische Anwendungen überprüft und getestet werden, um sicherzustellen, dass es keine negativen Auswirkungen auf den Unternehmensbetrieb oder die Sicherheit gibt, wenn Änderungen an den Betriebsplattformen vorgenommen werden.

Stellt sicher, dass von Änderungen an Softwarepaketen abgeraten wird oder diese auf die erforderlichen Änderungen beschränkt sind und alle Änderungen streng kontrolliert werden.

Stellt sicher, dass Sicherheitstests wie sichere Codeüberprüfungen und Schwachstellenprüfungen während des Entwicklungslebenszyklus durchgeführt werden. Stellen Sie sicher, dass erkannte Schwachstellen dokumentiert und Korrekturen durchgeführt werden.

Stellen Sie sicher, dass Systemabnahmetests das Testen von Informationssicherheitsanforderungen und die Einhaltung sicherer Systementwicklungspraktiken umfassen.

Stellen Sie sicher, dass Systemabnahmetests das Testen von Informationssicherheitsanforderungen und die Einhaltung sicherer Systementwicklungspraktiken umfassen.

Stellen Sie sicher, dass Informationssicherheitskontrollen mit dem Lieferanten besprochen und gelöst werden, bevor Sie Geschäfte tätigen oder Lieferanten Zugriff auf Assets gewähren.

Stellen Sie sicher, dass vor der Geschäftsabwicklung eine Risikobewertung durchgeführt wird und Lieferanten und Lieferanten Zugriff auf Assets erhalten. Sicherheitskontrollen und -anforderungen werden in der Lieferanten-/Lieferantenvereinbarung vereinbart und dokumentiert.

Stellen Sie sicher, dass die Lieferanten regelmäßig überwachen und überprüfen, um sicherzustellen, dass die allgemeinen Bedingungen der Informationssicherheit der Vereinbarungen eingehalten werden und dass Incidents und Probleme im Zusammenhang mit der Informationssicherheit ordnungsgemäß verwaltet werden.

Stellt sicher, dass bei jeder Änderung der Bereitstellung von Services eine Drittpartei-Risikobewertung durchgeführt wird. Stellt sicher, dass Änderungen an der Bereitstellung von Services durch Lieferanten, einschließlich der Wartung und Verbesserung vorhandener Richtlinien, Verfahren und Kontrollen für Informationssicherheit, verwaltet werden.

Stellen Sie sicher, dass ein formelles Incident-Management-Programm vorhanden ist und alle Mitarbeiter und Drittparteien darin geschult sind, wie sie Security Incidents erkennen und melden können.

Stellen Sie sicher, dass es ein formelles Informationssicherheits-Event-Management gibt, das die vereinbarte Klassifizierungsskala für Sicherheits-Events und Incidents für die Berichterstellung und Eskalation enthält. Stellen Sie sicher, dass das Bedrohungs- und Risikoklassifizierungsschema dokumentiert ist. Stellen Sie sicher, dass Benachrichtigungen über Incident-Antworten verwaltet werden. Stellen Sie sicher, dass Auswirkungsschwellenwerte für die Kategorisierung von Incidents dokumentiert sind.

Stellt sicher, dass auf Informationssicherheits-Incidents gemäß den dokumentierten Verfahren reagiert und diese verwaltet werden.

Stellt sicher, dass Incident-Überwachungsverfahren im Incident-Management-Programm enthalten sind, um Incidents zu dokumentieren und sicherzustellen, dass Sicherheits-Ereignisse regelmäßig analysiert werden, um zukünftige Incidents zu reduzieren.

Stellt sicher, dass Informationssicherheit und die Kontinuität des Informationssicherheitsmanagements geplant und im Geschäftskontinuitätsplan oder im Notfallwiederherstellungsplan enthalten sind.

Stellen Sie sicher, dass Geschäftskontinuitäts- oder Notfallwiederherstellungspläne offiziell dokumentiert werden.

Stellen Sie sicher, dass Geschäftskontinuitäts- oder Notfallwiederherstellungspläne jährliche Übungen sind, um zu validieren, dass angemessene Sicherheitskontrollen in ungünstigen Situationen gültig und effektiv sind.

Stellen Sie sicher, dass Failover- und Wiederherstellungskomponenten wie vorgesehen funktionieren.

Stellen Sie sicher, dass Datensätze und Daten gemäß den gesetzlichen, regulatorischen, vertraglichen und geschäftlichen Anforderungen vor Verlust, Zerstörung, Verfälschung, nicht autorisiertem Zugriff und nicht autorisierter Freigabe geschützt sind.

Stellen Sie sicher, dass die Vertraulichkeit und der Schutz personenbezogener Daten geschützt und in Übereinstimmung mit den geltenden Gesetzen und Vorschriften behandelt werden.

Stellt sicher, dass regelmäßig Tests der bereichsbezogenen Systemkonfiguration im Hinblick auf Compliance und gesetzliche Anforderungen durchgeführt werden. Stellen Sie sicher, dass die Baseline-Konfigurationsstandards für Systeme dokumentiert sind und auf Best Practices der Branche basieren.

Stellen Sie sicher, dass der Kündigungsprozess so formalisiert ist, dass er die Rückgabe aller zuvor ausgegebenen physischen und elektronischen Assets umfasst, die sich im Besitz der Organisation befinden oder ihr anvertraut wurden.

• HR-Profile [sn_hr_core_profile]
• Asset [alm_asset]

Stellt sicher, dass Software-Assets verwaltet und regelmäßig aktualisiert werden.

• Software Asset Management Core
• Software Asset Management Professional Core

• Softwareinstallation [cmdb_sam_sw_install]
• Softwaremodelle [cmdb_software_product_model]

Verwenden Sie einen Risikobewertungsprozess, um die Korrektur erkannter Schwachstellen zu priorisieren.

Deinstallieren oder deaktivieren Sie alle nicht autorisierten Browser- oder E-Mail-Client-Plugins oder Add-on-Anwendungen.

• Software Asset Management Core
• Software Asset Management Professional Core

• Softwareinstallation [cmdb_sam_sw_install]
• Softwaremodelle [cmdb_software_product_model]

Etablieren Sie sichere Codierungspraktiken, die für die verwendete Programmiersprache und Entwicklungsumgebung geeignet sind.

Stellen Sie sicher, dass schriftliche Pläne für die Reaktion auf Incidents vorhanden sind, in denen die Rollen des Personals sowie Phasen der Behandlung/Verwaltung von Incidents definiert sind.