Einen detaillierten Bestand an Enterprise-Assets erstellen und verwalten:

Erstellen und pflegen Sie einen genauen, detaillierten und aktuellen Bestand aller Unternehmens-Assets, die Daten speichern oder verarbeiten können, einschließlich: Endanwendergeräte (einschließlich tragbarer und mobiler Geräte), Netzwerkgeräte, Nicht-Computing/IoT Geräte und Server. Stellen Sie sicher, dass der Bestand die Netzwerkadresse (falls statisch), die Hardwareadresse, den Computernamen, den Besitzer des Daten-Assets, die Abteilung für jedes Asset und ob das Asset für die Verbindung mit dem Netzwerk genehmigt wurde. Bei mobilen Endanwendergeräten können Tools vom Typ MDM diesen Prozess gegebenenfalls unterstützen. Dieser Bestand umfasst Assets, die physisch, virtuell, remote und in Cloud-Umgebungen mit der Infrastruktur verbunden sind. Darüber hinaus enthält sie Assets, die regelmäßig mit der Netzwerkinfrastruktur des Unternehmens verbunden sind, auch wenn sie nicht unter der Kontrolle des Unternehmens stehen. Überprüfen und aktualisieren Sie den Bestand aller Enterprise-Assets halbjährlich oder häufiger.

Nicht autorisierte Assets adressieren:

Stellen Sie sicher, dass ein wöchentlicher Prozess für nicht autorisierte Assets vorhanden ist. Das Unternehmen kann das Asset aus dem Netzwerk entfernen, dem Asset die Remote-Verbindung mit dem Netzwerk verweigern oder das Asset unter Quarantäne stellen.

Verwenden Sie ein aktives Discovery-Tool:

Verwenden Sie ein aktives Discovery-Tool, um mit dem Unternehmensnetzwerk verbundene Assets zu identifizieren. Konfigurieren Sie das aktive Discovery-Tool so, dass es täglich oder häufiger ausgeführt wird.

Verwenden Sie die DHCP-Protokollierung (Dynamic Host Configuration Protocol), um den Enterprise-Asset-Bestand zu aktualisieren:

Verwenden Sie die DHCP-Protokollierung auf allen DHCP-Servern oder IP-Adressverwaltungstools (Internet Protocol), um den Asset-Bestand des Unternehmens zu aktualisieren. Überprüfen und verwenden Sie Protokolle, um den Asset-Bestand des Unternehmens wöchentlich oder häufiger zu aktualisieren.

Verwenden Sie ein passives Asset-Discovery-Tool:

Verwenden Sie ein passives Discovery-Tool, um mit dem Unternehmensnetzwerk verbundene Assets zu identifizieren. Überprüfen und verwenden Sie Scans, um den Asset-Bestand des Unternehmens mindestens wöchentlich oder häufiger zu aktualisieren.

Softwarebestand erstellen und verwalten:

Erstellen und verwalten Sie einen detaillierten Bestand aller lizenzierten Software, die in Enterprise-Assets installiert sind. Der Softwarebestand muss für jeden Eintrag den Titel, den Herausgeber, das anfängliche Installations-/Verwendungsdatum und den Geschäftszweck dokumentieren. Geben Sie gegebenenfalls den einheitlichen Ressourcen-Locator (URL), App-Stores, Version(en), Bereitstellungsmechanismus und Datum der Außerbetriebnahme an. Überprüfen und aktualisieren Sie den Softwarebestand mindestens einmal pro Jahr.

Stellen Sie sicher, dass autorisierte Software derzeit unterstützt wird

Stellen Sie sicher, dass nur derzeit unterstützte Software im Softwarebestand für Enterprise-Assets als autorisiert gekennzeichnet ist. Wenn Software nicht unterstützt wird, aber für die Erfüllung der Mission des Unternehmens erforderlich ist, dokumentieren Sie eine Ausnahme, die ausgleichende Steuerungen und die Akzeptanz des Restrisikos beschreibt. Kennzeichnen Sie jede nicht unterstützte Software ohne Ausnahmedokumentation als nicht autorisiert. Überprüfen Sie die Softwareliste mindestens monatlich oder häufiger, um den Softwaresupport zu überprüfen.

Nicht autorisierte Software adressieren:

Stellen Sie sicher, dass nicht autorisierte Software entweder aus der Verwendung für Enterprise-Assets entfernt wird oder eine dokumentierte Ausnahme erhält. Überprüfen Sie monatlich oder häufiger.

Automated Software Inventory Tools verwenden:

Verwenden Sie, wenn möglich, im gesamten Unternehmen Softwarebestandstools, um die Erkennung und Dokumentation von installierter Software zu automatisieren.

Autorisierte Software auf Zulassungsliste setzen:

Verwenden Sie technische Kontrollen, wie z. B. die Zulassungsliste für Anwendungen, um sicherzustellen, dass nur autorisierte Software ausgeführt werden kann oder darauf zugegriffen werden kann. Halbjährliche oder häufigere Neubewertung.

Autorisierte Bibliotheken auf Zulassungsliste setzen:

Verwenden Sie technische Kontrollen, um sicherzustellen, dass nur autorisierte Softwarebibliotheken, z. B. bestimmte DLL-, OCX-, .SO-Dateien usw. in einen Systemprozess geladen werden dürfen. Blockieren Sie das Laden nicht autorisierter Bibliotheken in einen Systemprozess. Halbjährliche oder häufigere Neubewertung.

Autorisierte Skripts auf die Zulassungsliste setzen:

Verwenden Sie technische Kontrollen wie digitale Signaturen und Versionskontrolle, um sicherzustellen, dass nur autorisierte Skripts wie bestimmte PS1-, Py- und andere Dateien ausgeführt werden dürfen. Blockieren Sie die Ausführung nicht autorisierter Skripts. Halbjährliche oder häufigere Neubewertung.

Datenverwaltungsprozess einrichten und verwalten:

Einrichtung und Pflege eines Datenverwaltungsprozesses Berücksichtigen Sie dabei die Vertraulichkeit der Daten, den Datenbesitzer, den Umgang mit Daten, die Datenspeicherungsgrenzen und die Entsorgungsanforderungen basierend auf den Sensibilitäts- und Aufbewahrungsstandards des Unternehmens. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Sensible Daten während der Übertragung verschlüsseln:

Verschlüsseln Sie vertrauliche Daten während der Übertragung. Beispielimplementierungen können Transport Layer Security (TLS) und Open Secure Shell (OpenSSH) sein.

Sensible Daten im Ruhezustand verschlüsseln:

Verschlüsseln Sie vertrauliche Daten im Ruhezustand auf Servern, Anwendungen und Datenbanken, die vertrauliche Daten enthalten. Die Verschlüsselung auf der Speicherebene, auch als serverseitige Verschlüsselung bezeichnet, erfüllt die Mindestanforderung dieser Schutzmaßnahme. Zusätzliche Verschlüsselungsmethoden können die Verschlüsselung auf Anwendungsebene, auch bekannt als clientseitige Verschlüsselung, umfassen, bei der der Zugriff auf die Datenspeichergeräte keinen Zugriff auf die Nur-Text-Daten zulässt.

Segment „Datenverarbeitung und -speicherung“ basierend auf Sensibilität:

Segmentieren Sie die Datenverarbeitung und -speicherung basierend auf der Vertraulichkeit der Daten. Verarbeiten Sie keine vertraulichen Daten in Enterprise-Assets, die für Daten mit geringerer Sensibilität vorgesehen sind.

Stellen Sie eine Lösung zur Verhinderung von Datenverlust bereit:

Implementieren Sie ein automatisiertes Tool, z. B. ein hostbasiertes Tool zur Verhinderung von Datenverlust (Data Loss Prevention, DLP), um alle vertraulichen Daten zu identifizieren, die über Unternehmens-Assets gespeichert, verarbeitet oder übertragen werden, einschließlich derer, die sich vor Ort oder bei einem Remote-Service Provider befinden, und aktualisieren Sie die vertraulichen Daten des Unternehmens inventory.

Zugriff auf sensible Daten protokollieren:

Protokollieren Sie den Zugriff auf vertrauliche Daten, einschließlich Änderung und Entsorgung.

Datenbestand einrichten und verwalten:

Erstellen und verwalten Sie einen Datenbestand basierend auf dem Datenverwaltungsprozess des Unternehmens. Mindestens vertrauliche Bestandsdaten. Überprüfen und aktualisieren Sie den Bestand mindestens einmal jährlich, wobei vertrauliche Daten Priorität haben.

Steuerungslisten für Datenzugriff konfigurieren:

Konfigurieren Sie Steuerungslisten für den Datenzugriff basierend auf den Wissensanforderungen eines Anwenders. Wenden Sie Steuerungslisten für den Datenzugriff, auch bekannt als Zugriffsberechtigungen, auf lokale und Remote-Dateisysteme, Datenbanken und Anwendungen an.

Datenaufbewahrung erzwingen:

Bewahren Sie Daten gemäß dem Datenverwaltungsprozess des Unternehmens auf. Die Datenaufbewahrung muss sowohl Mindest- als auch Höchstzeitpläne enthalten.

Daten sicher entsorgen:

Entsorgen Sie Daten sicher, wie im Datenverwaltungsprozess des Unternehmens beschrieben. Stellen Sie sicher, dass Entsorgungsprozess und -methode der Sensibilität der Daten entsprechen.

Daten auf Endanwendergeräten verschlüsseln:

Verschlüsseln Sie Daten auf Endanwendergeräten, die vertrauliche Daten enthalten. Beispielimplementierungen können Windows BitLocker™, Apple FileVault™, Linux dm-crypt™sein.

Datenklassifizierungsschema einrichten und verwalten:

Richten Sie ein allgemeines Datenklassifizierungsschema für das Unternehmen ein, und pflegen Sie es. Unternehmen können Bezeichnungen wie „sensibel“, „vertraulich“ und „öffentlich“ verwenden und ihre Daten entsprechend dieser Bezeichnungen klassifizieren. Überprüfen und aktualisieren Sie das Klassifizierungsschema jährlich oder wenn wesentliche Änderungen im Unternehmen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Dokumentdaten-Flows:

Dokumentdaten-Flows. Die Daten-Flow-Dokumentation enthält Daten-Flows für Service Provider und sollte auf dem Datenverwaltungsprozess des Unternehmens basieren. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Daten auf Wechselmedien verschlüsseln:

Verschlüsseln Sie Daten auf Wechselmedien.

Sicheren Konfigurationsprozess einrichten und aufrechterhalten:

Einrichtung und Pflege eines sicheren Konfigurationsprozesses für Unternehmens-Assets (Endanwendergeräte, einschließlich tragbarer und mobiler; Nicht-Computer-/IoT-Geräte; und Server) und Software (Betriebssysteme und Anwendungen).Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Automatische Gerätesperre auf tragbaren Endanwendergeräten erzwingen:

Automatische Gerätesperre nach einem vorgegebenen Schwellenwert von lokalen fehlgeschlagenen Authentifizierungsversuchen auf tragbaren Endanwendergeräten erzwingen, sofern unterstützt. Lassen Sie bei Laptops nicht mehr als 20 fehlgeschlagene Authentifizierungsversuche zu. Für Tablets und Smartphones gilt: nicht mehr als 10 fehlgeschlagene Authentifizierungsversuche. Beispielimplementierungen sind Microsoft InTune Device Lock und Apple Configuration Profile maxFailedAttempts.

Remote-Löschungsfunktion für tragbare Endanwendergeräte erzwingen:

Löschen Sie Unternehmensdaten remote von tragbaren Endanwendergeräten im Besitz des Unternehmens, wenn dies als angemessen erachtet wird, z. B. bei verlorenen oder gestohlenen Geräten oder wenn eine Person das Unternehmen nicht mehr unterstützt.

Separate Enterprise-Arbeitsbereiche auf mobilen Endanwendergeräten:

Stellen Sie sicher, dass auf mobilen Endanwendergeräten separate Enterprise-Arbeitsbereiche verwendet werden, sofern unterstützt. Beispielimplementierungen umfassen die Verwendung eines Apple -Konfigurationsprofils oder eines Android -Arbeitsprofils, um Unternehmensanwendungen und -daten von persönlichen Anwendungen und Daten zu trennen.

Sicheren Konfigurationsprozess für die Netzwerkinfrastruktur einrichten und verwalten:

Sicheren Konfigurationsprozess für Netzwerkgeräte einrichten und aufrechterhalten Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Konfigurieren Sie die automatische Sitzungssperre für Enterprise-Assets:

Konfigurieren Sie die automatische Sitzungssperre für Enterprise-Assets nach einem definierten Zeitraum der Inaktivität. Bei allgemeinen Betriebssystemen darf der Zeitraum 15 Minuten nicht überschreiten. Bei mobilen Endanwendergeräten darf der Zeitraum 2 Minuten nicht überschreiten.

Firewall auf Servern implementieren und verwalten:

Implementieren und verwalten Sie eine Firewall auf Servern, sofern unterstützt. Beispielimplementierungen umfassen eine virtuelle Firewall, eine Betriebssystemfirewall oder ein Drittanbieter-Firewall-Agent.

Firewall auf Endanwendergeräten implementieren und verwalten:

Implementieren und verwalten Sie eine hostbasierte Firewall oder ein Portfilterungstool auf Endanwendergeräten mit einer Standardverweigerungsregel, die den gesamten Datenverkehr mit Ausnahme der explizit zulässigen Services und Ports verwirft.

Enterprise-Assets und -Software sicher verwalten:

Verwalten Sie Enterprise-Assets und -Software sicher. Beispielimplementierungen umfassen die Konfigurationsverwaltung über versiongesteuerte Infrastruktur als Code und den Zugriff auf administrative Schnittstellen über sichere Netzwerkprotokolle wie Secure Shell (SSH) und Hypertext Transfer Protocol Secure (HTTPS). Verwenden Sie keine unsicheren Verwaltungsprotokolle wie Telnet (Teletype Network) und HTTP, es sei denn, dies ist für den Betrieb erforderlich.

Standardkonten für Enterprise-Assets und Software verwalten:

Verwalten Sie Standardaccounts für Enterprise-Assets und Software, z. B. Stamm-, Administrator- und andere vorkonfigurierte Lieferantenaccounts. Beispielimplementierungen können Folgendes umfassen: Standardkonten deaktivieren oder unbrauchbar machen.

Unnötige Services für Enterprise-Assets und Software deinstallieren oder deaktivieren:

Deinstallieren oder deaktivieren Sie unnötige Services für Enterprise-Assets und Software, z. B. einen nicht verwendeten Dateifreigabeservice, ein Webanwendungsmodul oder eine Servicefunktion.

Konfigurieren Sie vertrauenswürdige DNS-Server für Enterprise-Assets:

Konfigurieren Sie vertrauenswürdige DNS-Server für Enterprise-Assets. Beispielimplementierungen umfassen: Konfigurieren von Assets für die Verwendung von unternehmensgesteuerten DNS-Servern und/oder angesehenen extern zugänglichen DNS-Servern.

Bestand von Accounts einrichten und verwalten:

Einen Bestand aller im Unternehmen verwalteten Accounts erstellen und verwalten. Der Bestand muss sowohl Anwender- als auch Administratorkonten enthalten. Der Bestand muss mindestens den Namen, den Anwendernamen, das Start-/Enddatum und die Abteilung der Person enthalten. Überprüft, ob alle aktiven Accounts autorisiert sind, mindestens einmal pro Quartal oder häufiger.

Eindeutige Passwörter verwenden:

Verwenden Sie eindeutige Passwörter für alle Enterprise-Assets. Die Best Practice-Implementierung umfasst mindestens ein 8-stelliges Passwort für Accounts, die MFA verwenden, und ein 14-stelliges Passwort für Accounts, die keine MFA verwenden.

Inaktive Accounts deaktivieren:

Löschen oder deaktivieren Sie alle inaktiven Accounts nach einem Zeitraum von 45 Tagen Inaktivität, sofern unterstützt.

Administratorrechte auf dedizierte Administrator-Accounts beschränken:

Beschränken Sie Administratorrechte auf dedizierte Administratorkonten für Enterprise-Assets. Führen Sie allgemeine Computeraktivitäten, wie z. B. Durchsuchen des Internets, E-Mails und Verwenden von Produktivitätssuites, vom primären, nicht privilegierten Benutzerkonto aus.

Einen Bestand von Service-Accounts einrichten und pflegen:

Einrichtung und Verwaltung eines Bestands an Servicekonten. Der Bestand muss mindestens den Abteilungsbesitzer, das Überprüfungsdatum und den Zweck enthalten. Führen Sie Prüfungen von Servicekonten durch, um sicherzustellen, dass alle aktiven Konten autorisiert sind, und zwar mindestens einmal pro Quartal oder häufiger.

Account-Verwaltung zentralisieren:

Zentralisieren Sie die Account-Verwaltung über einen Verzeichnis- oder Identitätsservice.

Richten Sie einen Zugriffsgewährungsprozess ein:

Einen möglichst automatisierten Prozess für die Gewährung des Zugriffs auf Unternehmens-Assets bei Neueinstellung, Erteilung von Rechten oder Rollenwechsel eines Anwenders einrichten und befolgen.

Richten Sie einen Zugriffswiderrufprozess ein:

Richten Sie einen möglichst automatisierten Prozess für den Widerruf des Zugriffs auf Unternehmens-Assets ein, und befolgen Sie ihn, indem Sie Accounts unmittelbar nach der Kündigung, dem Widerruf von Berechtigungen oder einem Rollenwechsel eines Anwenders deaktivieren. Um Audit-Pfade beizubehalten, kann es erforderlich sein, Accounts zu deaktivieren, anstatt sie zu löschen.

MFA für extern verfügbar gemachte Anwendungen erfordern:

Erzwingen Sie die MFA-Erzwingung für alle extern verfügbar gemachten Unternehmens- oder Drittanbieteranwendungen, sofern unterstützt. Das Erzwingen von MFA über einen Verzeichnisdienst oder SSO-Anbieter ist eine zufriedenstellende Implementierung dieser Maßnahme.

MFA für Remote-Netzwerkzugriff erfordern:

MFA für Remote-Netzwerkzugriff erfordern.

MFA für administrativen Zugriff erfordern:

MFA für alle Administratorzugriffs-Accounts (sofern unterstützt) für alle Unternehmens-Assets anfordern, unabhängig davon, ob sie vor Ort oder über einen Drittanbieter verwaltet werden.

Zur Einrichtung und Pflege eines Bestands an Authentifizierungs- und Autorisierungssystemen:

Erstellen und verwalten Sie einen Bestand der Authentifizierungs- und Autorisierungssysteme des Unternehmens, einschließlich der vor Ort oder bei einem Remote-Service Provider gehosteten Systeme. Überprüfen und aktualisieren Sie den Bestand mindestens, jährlich oder häufiger.

Zugriffssteuerung zentralisieren:

Zentralisieren Sie die Zugriffssteuerung für alle Unternehmens-Assets über einen Verzeichnisdienst oder SSO-Anbieter, sofern unterstützt.

Rollenbasierte Zugriffssteuerung definieren und verwalten:

Definieren und verwalten Sie rollenbasierte Zugriffskontrolle, indem Sie die Zugriffsrechte festlegen und dokumentieren, die für jede Rolle im Unternehmen erforderlich sind, um die ihr zugewiesenen Aufgaben erfolgreich auszuführen. Führen Sie Prüfungen der Zugriffskontrolle von Enterprise-Assets durch, um zu validieren, ob alle Berechtigungen autorisiert sind, und zwar mindestens einmal pro Jahr oder häufiger.

Einen Prozess für das Schwachstellenmanagement einrichten und aufrechterhalten:

Einen dokumentierten Schwachstellenmanagementprozess für Enterprise-Assets einrichten und aufrechterhalten. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Einen Nachbesserungsprozess einrichten und verwalten:

Erstellen und pflegen Sie eine risikobasierte Korrekturstrategie, die in einem Korrekturprozess dokumentiert ist, mit monatlichen oder häufigeren Überprüfungen.

Automatisierte Patch-Verwaltung für Betriebssystem durchführen:

Führen Sie monatlich oder häufiger Betriebssystemupdates für Enterprise-Assets durch automatisierte Patch-Verwaltung durch.

Automatisierte Verwaltung von Anwendungspatches durchführen:

Führen Sie über die automatisierte Patch-Verwaltung monatlich oder häufiger Anwendungsupdates für Enterprise-Assets durch.

Führen Sie automatisierte Schwachstellen-Scans von internen Unternehmens-Assets durch:

Führen Sie vierteljährlich oder häufiger automatisierte Schwachstellen-Scans interner Unternehmens-Assets durch. Führen Sie mit einem SCAP-konformen Tool für Schwachstellenscans sowohl authentifizierte als auch nicht authentifizierte Scans durch.

Führen Sie automatisierte Schwachstellenscans von extern verfügbar gemachten Enterprise-Assets durch:

Führen Sie mit einem SCAP-konformen Tool für Schwachstellen-Scans automatisierte Schwachstellen-Scans von extern verfügbar gemachten Unternehmens-Assets durch. Führen Sie Scans mindestens monatlich durch.

Erkannte Schwachstellen beheben:

Beheben Sie erkannte Schwachstellen in Software durch Prozesse und Tools monatlich oder häufiger, basierend auf dem Nachbesserungsprozess.

Audit-Protokollverwaltungsprozess einrichten und verwalten:

Richten Sie einen Audit-Protokollverwaltungsprozess ein, der die Protokollierungsanforderungen des Unternehmens definiert, und pflegen Sie ihn. Behandeln Sie mindestens die Erfassung, Überprüfung und Aufbewahrung von Audit-Protokollen für Enterprise-Assets. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Audit-Protokolle beibehalten:

Audit-Protokolle für mindestens 90 Tage für alle Enterprise-Assets aufbewahren.

Audit-Protokollprüfungen durchführen:

Führen Sie Überprüfungen von Audit-Protokollen durch, um Anomalien oder abnormale Ereignisse zu erkennen, die auf eine potenzielle Bedrohung hinweisen könnten. Führen Sie Prüfungen wöchentlich oder häufiger durch.

Service Provider-Protokolle sammeln:

Service Provider-Protokolle sammeln, sofern unterstützt. Beispielimplementierungen umfassen das Sammeln von Authentifizierungs- und Autorisierungsereignissen, Datenerstellungs- und -entsorgungsereignissen und Benutzerverwaltungsereignissen.

Audit-Protokolle sammeln:

Erfassen Sie Audit-Protokolle. Stellen Sie sicher, dass die Protokollierung gemäß dem Audit-Protokollverwaltungsprozess des Unternehmens für alle Enterprise-Assets aktiviert wurde.

Stellen Sie sicher, dass das Audit-Protokoll ausreichend gespeichert wird:

Stellen Sie sicher, dass Protokollierungsziele ausreichend Speicherplatz bereitstellen, um den Audit-Protokollverwaltungsprozess des Unternehmens einzuhalten.

Zeitsynchronisierung standardisieren:

Standardisieren Sie die Zeitsynchronisierung. Konfigurieren Sie mindestens zwei synchronisierte Zeitquellen für alle Enterprise-Assets, sofern unterstützt.

Detaillierte Audit-Protokolle sammeln:

Konfigurieren Sie eine detaillierte Audit-Protokollierung für Enterprise-Assets, die vertrauliche Daten enthalten. Fügen Sie Ereignisquelle, Datum, Anwendername, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente hinzu, die bei einer forensischen Untersuchung helfen könnten.

Audit-Protokolle für DNS-Abfragen sammeln:

DNS-Abfrage-Audit-Protokolle zu Enterprise-Assets sammeln, sofern angemessen und unterstützt

Audit-Protokolle für URL-Anforderung sammeln:

Erfassen Sie Audit-Protokolle für URL-Anforderungen für Enterprise-Assets, sofern angemessen und unterstützt.

Befehlszeilen-Audit-Protokolle sammeln:

Erfassen Sie Audit-Protokolle für die Befehlszeile. Beispielimplementierungen umfassen das Erfassen von Audit-Protokollen von PowerShell™, BASH™und administrativen Remote-Terminals.

Audit-Protokolle zentralisieren:

Zentralisieren Sie die Erfassung und Aufbewahrung von Audit-Protokollen für alle Unternehmens-Assets so weit wie möglich.

Stellen Sie sicher, dass nur vollständig unterstützte Browser und E-Mail-Clients verwendet werden:

Stellen Sie sicher, dass nur vollständig unterstützte Browser und E-Mail-Clients im Unternehmen ausgeführt werden dürfen, und verwenden Sie nur die aktuelle Version von Browsern und E-Mail-Clients, die vom Lieferanten bereitgestellt werden.

DNS-Filterservices verwenden:

Verwenden Sie DNS-Filterservices für alle Unternehmens-Assets, um den Zugriff auf bekannte schädliche Domänen zu blockieren.

Netzwerkbasierte URL-Filter verwalten und erzwingen:

Erzwingen und aktualisieren Sie netzwerkbasierte URL-Filter, um zu verhindern, dass ein Enterprise-Asset eine Verbindung zu potenziell schädlichen oder nicht genehmigten Websites herstellt. Beispielimplementierungen umfassen kategoriebasierte Filterung, rufbasierte Filterung oder durch die Verwendung von Sperrlisten. Erzwingt Filter für alle Enterprise-Assets.

Unnötige oder nicht autorisierte Browser- und E-Mail-Client-Erweiterungen einschränken:

Schränken Sie alle nicht autorisierten oder unnötigen Browser- oder E-Mail-Client-Plugins, Erweiterungen und Add-on-Anwendungen ein, entweder durch Deinstallation oder Deaktivierung.

DMARC implementieren:

Um die Wahrscheinlichkeit gefälschter oder geänderter E-Mails aus gültigen Domänen zu verringern, implementieren Sie DMARC-Richtlinien und -Verifizierungen, beginnend mit der Implementierung der Standards Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM).

Unnötige Dateitypen blockieren:

Blockieren Sie unnötige Dateitypen, die versuchen, auf das E-Mail-Gateway des Unternehmens zuzugreifen.

Anti-Malware-Schutz für E-Mail-Server bereitstellen und warten:

Bereitstellen und Verwalten von Anti-Malware-Schutzmaßnahmen für E-Mail-Server, z. B. Scannen von Anhängen und/oder Sandboxing.

Anti-Malware-Software bereitstellen und warten:

Anti-Malware-Software für alle Unternehmens-Assets bereitstellen und warten.

Konfigurieren Sie automatische Anti-Malware-Signaturupdates:

Konfigurieren Sie automatische Updates für Anti-Malware-Signaturdateien für alle Enterprise-Assets.

Automatische Ausführung und automatische Wiedergabe für Wechselmedien deaktivieren:

Autorun- und Autoplay-Ausführungsfunktionen für Wechseldatenträger deaktivieren.

Konfigurieren Sie das automatische Anti-Malware-Scannen von Wechseldatenträgern:

Konfigurieren Sie Anti-Malware-Software so, dass Wechseldatenträger automatisch gescannt werden.

Anti-Exploition-Funktionen aktivieren:

Aktivieren Sie nach Möglichkeit Anti-Exploit-Funktionen für Enterprise-Assets und -Software, z. B. Microsoft Data Execution Prevention (DEP), Windows Defender Exploit Guard (WDEG) oder Apple Systemintegritätsschutz (SIP) und Gateway™.

Anti-Malware-Software zentral verwalten:

Verwalten Sie Anti-Malware-Software zentral.

Verhaltensbasierte Anti-Malware-Software verwenden:

Verwenden Sie verhaltensbasierte Anti-Malware-Software.

Datenwiederherstellungsprozess einrichten und verwalten:

Datenwiederherstellungsprozess einrichten und verwalten. Behandeln Sie dabei den Umfang der Datenwiederherstellungsaktivitäten, die Priorisierung der Wiederherstellung und die Sicherheit von Sicherungsdaten. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Automatisierte Sicherungen durchführen:

Führen Sie automatisierte Sicherungen von bereichsbezogenen Enterprise-Assets durch. Führen Sie Backups wöchentlich oder häufiger aus, je nach Vertraulichkeit der Daten.

Wiederherstellungsdaten schützen:

Schützen Sie Wiederherstellungsdaten mit den gleichen Steuerungen wie die ursprünglichen Daten. Referenzverschlüsselung oder Datentrennung, basierend auf den Anforderungen.

Eine isolierte Instanz von Wiederherstellungsdaten erstellen und verwalten:

Eine isolierte Instanz von Wiederherstellungsdaten einrichten und verwalten. Beispielimplementierungen umfassen Sicherungsziele für die Versionskontrolle über Offline-, Cloud- oder externe Systeme oder Services.

Testdatenwiederherstellung:

Testen Sie die Sicherungswiederherstellung mindestens einmal pro Quartal für eine Stichprobe von bereichsbezogenen Enterprise-Assets.

Aktualität der Netzwerkinfrastruktur sicherstellen:

Stellt sicher, dass die Netzwerkinfrastruktur auf dem neuesten Stand gehalten wird. Beispielimplementierungen umfassen die Ausführung der neuesten stabilen Version von Software und/oder die Verwendung derzeit unterstützter Network-as-a-Service-Angebote (NaaS). Überprüfen Sie die Softwareversionen monatlich oder häufiger, um den Softwaresupport zu überprüfen.

Sichere Netzwerkarchitektur einrichten und pflegen:

Eine sichere Netzwerkarchitektur einrichten und aufrechterhalten Eine sichere Netzwerkarchitektur muss mindestens Segmentierung, geringste Berechtigung und Verfügbarkeit berücksichtigen.

Netzwerkinfrastruktur sicher verwalten:

Netzwerkinfrastruktur sicher verwalten. Beispielimplementierungen umfassen versiongesteuerte Infrastruktur als Code und die Verwendung sicherer Netzwerkprotokolle wie SSH und HTTPS.

Architekturdiagramm(e) erstellen und verwalten:

Architekturdiagramm(e) und/oder andere Netzwerksystemdokumentationen erstellen und pflegen. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Netzwerkauthentifizierung, Autorisierung und Auditing (AAA) zentralisieren:

Zentralisieren Sie das Netzwerk AAA.

Verwendung von sicheren Netzwerkverwaltungs- und Kommunikationsprotokollen:

Verwenden Sie sichere Protokolle für die Netzwerkverwaltung und Kommunikation (z. B. 802.1X, Wi-FiProtected Access 2 (WPA2) Enterprise oder höher).

Stellen Sie sicher, dass Remotegeräte ein VPN verwenden und eine Verbindung zur AAA-Infrastruktur eines Unternehmens herstellen:

Fordern Sie Anwender auf, sich bei vom Unternehmen verwalteten VPN- und Authentifizierungsservices zu authentifizieren, bevor sie über Endanwendergeräte auf Unternehmensressourcen zugreifen.

Einrichtung und Wartung dedizierter Rechenressourcen für alle administrativen Aufgaben:

Einrichtung und Wartung dedizierter, entweder physisch oder logisch getrennter Rechenressourcen für alle administrativen Aufgaben oder Aufgaben, die Administratorzugriff erfordern. Die Rechenressourcen müssen vom primären Netzwerk des Unternehmens getrennt werden, und dürfen nicht auf das Internet zugreifen.

Warnungen zu Sicherheitsereignissen zentralisieren:

Zentralisieren Sie Warnungen zu Sicherheitsereignissen für alle Unternehmens-Assets zur Protokollkorrelation und -analyse. Die Implementierung von Best Practices erfordert die Verwendung eines SIEM-Modells, das lieferantendefinierte Ereignis-Korrelationswarnungen enthält. Eine Log Analytics-Plattform, die mit sicherheitsrelevanten Korrelationswarnungen konfiguriert ist, erfüllt auch diese Maßnahme.

Filterung auf Anwendungsebene durchführen:

Filtern Sie auf Anwendungsebene. Beispielimplementierungen umfassen einen Filter-Proxy, eine Firewall auf Anwendungsebene oder ein Gateway.

Optimieren Sie die Warnungsschwellenwerte für Sicherheitsereignisse:

Optimieren Sie die Warnungsschwellenwerte für Sicherheits-Ereignisse monatlich oder häufiger.

Stellen Sie eine hostbasierte Angriffserkennungslösung bereit:

Stellen Sie eine hostbasierte Angriffserkennungslösung für Enterprise-Assets bereit, sofern dies angemessen ist und/oder unterstützt wird.

Stellen Sie eine Lösung zur Erkennung von Netzwerkangriffen bereit:

Stellen Sie gegebenenfalls eine Lösung zur Erkennung von Netzwerkangriffen auf Enterprise-Assets bereit. Beispielimplementierungen umfassen die Verwendung eines Netzwerkangriffserkennungssystems (Network Intrusion Detection System, NIDS) oder eines entsprechenden Cloud Service Provider-Services (CSP).

Führen Sie eine Filterung des Datenverkehrs zwischen Netzwerksegmenten durch:

Filtern Sie gegebenenfalls den Datenverkehr zwischen Netzwerksegmenten.

Zugriffssteuerung für Remote-Assets verwalten:

Verwalten Sie die Zugriffssteuerung für Assets, die remote eine Verbindung zu Enterprise-Ressourcen herstellen. Bestimmen Sie den Umfang des Zugriffs auf Unternehmensressourcen basierend auf: aktuell installierte Anti-Malware-Software; Konfigurations-Compliance mit dem sicheren Konfigurationsprozess des Unternehmens und dafür zu sorgen, dass das Betriebssystem und die Anwendungen auf dem neuesten Stand sind.

Flow-Protokolle zum Netzwerkdatenverkehr sammeln:

Erfassen Sie Flow-Protokolle und/oder Netzwerkdatenverkehr im Netzwerk, um sie zu überprüfen und von Netzwerkgeräten zu warnen.

Bereitstellen einer hostbasierten Angriffsverhinderungslösung:

Stellen Sie eine hostbasierte Angriffsverhinderungslösung für Enterprise-Assets bereit, sofern dies angemessen ist und/oder unterstützt wird. Beispielimplementierungen umfassen die Verwendung eines EDR-Clients (Endpoint Detection and Response) oder eines hostbasierten IPS-Agents.

Stellen Sie eine Lösung zur Verhinderung von Netzwerkangriffen bereit:

Gegebenenfalls eine Lösung zur Verhinderung von Netzwerkangriffen bereitstellen Beispielimplementierungen umfassen die Verwendung eines Netzwerkangriffsverhinderungssystems (Network Intrusion Prevention System, NIPS) oder eines entsprechenden CSP-Services.

Zugriffssteuerung auf Portebene bereitstellen:

Stellen Sie die Zugriffssteuerung auf Portebene bereit. Die Zugriffssteuerung auf Portebene nutzt 802.1x oder ähnliche Protokolle für die Netzwerkzugriffssteuerung, z. B. Zertifikate, und kann Anwender- und/oder Geräteauthentifizierung umfassen.

Ein Programm für das Sicherheitsbewusstsein einrichten und pflegen:

Einrichtung und Pflege eines Programms für Sicherheitsbewusstsein. Der Zweck eines Sicherheitsbewusstseinsprogramms besteht darin, die Mitarbeiter eines Unternehmens über den sicheren Umgang mit Unternehmens-Assets und -daten zu informieren. Durchführung von Schulungen bei Einstellung und mindestens jährlich. Überprüfen und aktualisieren Sie den Inhalt jährlich oder wenn wesentliche Änderungen im Unternehmen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Schulung der Belegschaft zur Erkennung von Social Engineering-Angriffen:

Schulen Sie Mitarbeiter darin, Social Engineering-Angriffe wie Phishing, Pre-Texting und Tailgating zu erkennen. 

Schulung von Belegschaftsmitgliedern in Bezug auf Best Practices für Authentifizierung:

Schulen Sie Mitarbeiter in Best Practices für die Authentifizierung. Beispielthemen sind MFA, Passwortzusammensetzung und Verwaltung von Anmeldeinformationen.

Schulung des Personals zu Best Practices für den Umgang mit Daten:

Schulung von Mitarbeitern in Bezug auf das Erkennen und ordnungsgemäße Speichern, Übertragen, Archivieren und Vernichten vertraulicher Daten. Dies umfasst auch Schulungen für Best Practices für das Löschen von Bildschirmen und Schreibtischen, z. B. das Sperren des Bildschirms, wenn sie sich von ihrem Enterprise-Asset entfernen, das Löschen physischer und virtueller Whiteboards nach Besprechungen und das sichere Speichern von Daten und Assets.

Schulung von Belegschaftsmitgliedern zu den Ursachen einer unbeabsichtigten Offenlegung von Daten:

Schulen Sie Mitarbeiter, um auf die Ursachen für eine unbeabsichtigte Offenlegung von Daten zu achten. Beispielthemen sind die Falschlieferung vertraulicher Daten, der Verlust eines tragbaren Endanwendergeräts oder die Veröffentlichung von Daten an unbeabsichtigte Zielgruppen.

Schulung von Belegschaftsmitgliedern zum Erkennen und Melden von Security Incidents:

Schulen Sie Mitarbeiter, damit sie einen potenziellen Incident erkennen und melden können. 

Schulung von Mitarbeitern in Bezug auf das Erkennen und Melden von fehlenden Sicherheitsupdates für Enterprise-Assets:

Schulen Sie die Mitarbeiter, um zu verstehen, wie veraltete Softwarepatches oder Fehler in automatisierten Prozessen und Tools überprüft und gemeldet werden können. Ein Teil dieser Schulung sollte die Benachrichtigung des IT-Personals über Fehler bei automatisierten Prozessen und Tools umfassen.

Schulung von Mitarbeitern hinsichtlich der Gefahren, die entstehen, wenn Verbindungen zu Unternehmensdaten über unsichere Netzwerke hergestellt werden und diese übertragen werden:

Schulen Sie Mitarbeiter hinsichtlich der Gefahren, die auftreten, wenn für geschäftliche Aktivitäten Verbindungen mit unsicheren Netzwerken hergestellt werden und Daten darüber übertragen werden. Wenn das Unternehmen Remote-Mitarbeiter hat, muss die Schulung Anleitungen enthalten, um sicherzustellen, dass alle Benutzer ihre Heimnetzwerkinfrastruktur sicher konfigurieren.

Durchführen einer rollenspezifischen Schulung zu Sicherheitsbewusstsein und -kompetenzen:

Führen Sie rollenspezifische Schulungen zum Sicherheitsbewusstsein und zu den Kompetenzen durch. Beispielimplementierungen umfassen Kurse zur sicheren Systemadministration für IT-Fachleute, (OWASP ™ Top 10 Schulungen zum Bewusstsein und zur Vorbeugung von Schwachstellen für Webanwendungsentwickler sowie Schulungen zum erweiterten Bewusstsein für Social Engineering für wichtige Rollen.

Einen Bestand von Service Providern erstellen und pflegen:

Einen Bestand von Service Providern erstellen und verwalten Der Bestand soll alle bekannten Service Provider auflisten, Klassifizierungen enthalten und einen Unternehmenskontakt für jeden Service Provider festlegen. Überprüfen und aktualisieren Sie den Bestand jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Richtlinie für die Verwaltung von Service Providern einrichten und pflegen:

Eine Richtlinie für die Verwaltung von Service Providern erstellen und pflegen Stellen Sie sicher, dass die Richtlinie die Klassifizierung, Bestandsaufnahme, Bewertung, Überwachung und Außerbetriebnahme von Service Providern vorschreibt. Überprüfen und aktualisieren Sie die Richtlinie jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Service Provider klassifizieren:

Service Provider klassifizieren Die Überlegungen zur Klassifizierung können mehrere Merkmale umfassen, z. B. Datensensibilität, Datenvolumen, Verfügbarkeitsanforderungen, geltende Vorschriften, inhärentes Risiko und verringertes Risiko. Klassifizierungen jährlich oder wenn wesentliche Änderungen im Unternehmen auftreten, die sich auf diesen Schutz auswirken könnten, aktualisieren und überprüfen.

Stellen Sie sicher, dass Service Provider-Verträge Sicherheitsanforderungen enthalten:

Stellen Sie sicher, dass Verträge von Service Providern Sicherheitsanforderungen enthalten. Beispielanforderungen können Mindestanforderungen an Sicherheitsprogramme, Benachrichtigungen und Reaktion auf Sicherheitsvorfälle und/oder Datenschutzverletzungen, Datenverschlüsselungsanforderungen und Verpflichtungen zur Datenentsorgung umfassen. Diese Sicherheitsanforderungen müssen mit der Verwaltungsrichtlinie des Service Providers des Unternehmens übereinstimmen. Überprüfen Sie die Verträge mit Service Providern jährlich, um sicherzustellen, dass in den Verträgen keine Sicherheitsanforderungen fehlen.

Service Provider bewerten:

Bewerten Sie Service Provider in Übereinstimmung mit der Service Provider-Verwaltungsrichtlinie des Unternehmens. Der Umfang der Bewertung kann je nach Klassifizierung variieren und umfasst möglicherweise die Überprüfung von standardisierten Bewertungsberichten, z. B. von Service Organization Control 2 (SOC 2) und Payment Card Industry (PCI) Attestation of Compliance (AoC), anwenderdefinierten Fragebögen oder anderen entsprechenden Berichten strenge Prozesse. Bewerten Sie Service Provider mindestens einmal jährlich oder mit neuen und verlängerten Verträgen.

Service Provider bewerten:

Bewerten Sie Service Provider in Übereinstimmung mit der Service Provider-Verwaltungsrichtlinie des Unternehmens. Der Umfang der Bewertung kann je nach Klassifizierung variieren und umfasst möglicherweise die Überprüfung von standardisierten Bewertungsberichten, z. B. von Service Organization Control 2 (SOC 2) und Payment Card Industry (PCI) Attestation of Compliance (AoC), anwenderdefinierten Fragebögen oder anderen entsprechenden Berichten strenge Prozesse. Bewerten Sie Service Provider mindestens einmal jährlich oder mit neuen und verlängerten Verträgen.

Service Provider für die Überwachung:

Überwachen Sie Service Provider gemäß der Service Provider-Verwaltungsrichtlinie des Unternehmens. Die Überwachung kann eine regelmäßige Neubewertung der Compliance von Service Providern, die Überwachung von Versionshinweisen von Service Providern und die Überwachung im dunklen Web umfassen.

Service Provider sicher außer Betrieb nehmen:

Service Provider sicher außer Betrieb nehmen Beispiele für Überlegungen umfassen die Deaktivierung von Benutzer- und Servicekonten, die Beendigung von Daten-Flows und die sichere Entsorgung von Unternehmensdaten innerhalb der Systeme von Service Providern.

Sicheren Anwendungsentwicklungsprozess einrichten und aufrechterhalten:

Sicheren Prozess für die Anwendungsentwicklung einrichten und aufrechterhalten Behandeln Sie dabei Themen wie: sichere Standards für das Anwendungsdesign, sichere Codierungspraktiken, Entwicklerschulungen, Schwachstellenmanagement, Sicherheit von Drittanbietercode und Testverfahren für die Anwendungssicherheit. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Wenden Sie die Prinzipien von Secure Design in Anwendungsarchitekturen an:

Wenden Sie sichere Designprinzipien in Anwendungsarchitekturen an. Zu den sicheren Designprinzipien gehören das Konzept der geringsten Berechtigung und das Erzwingen der Mediation, um jeden Vorgang des Benutzers zu validieren, wodurch das Konzept „Benutzereingaben niemals vertrauen“ propagiert wird. Beispiele umfassen das Sicherstellen, dass eine explizite Fehlerprüfung für alle Eingaben durchgeführt und dokumentiert wird, einschließlich Größe, Datentyp und zulässigen Bereiche oder Formate. Sicheres Design bedeutet auch, die Angriffsfläche für die Anwendungsinfrastruktur zu minimieren, z. B. das Deaktivieren ungeschützter Ports und Services, das Entfernen unnötiger Programme und Dateien und das Umbenennen oder Entfernen von Standardkonten.

Nutzen Sie geprüfte Module oder Services für Anwendungssicherheitskomponenten:

Nutzen Sie geprüfte Module oder Services für Anwendungssicherheitskomponenten wie Identitätsmanagement, Verschlüsselung sowie Auditing und Protokollierung. Die Verwendung von Plattformfunktionen in kritischen Sicherheitsfunktionen reduziert die Arbeitsauslastung von Entwicklern und minimiert die Wahrscheinlichkeit von Design- oder Implementierungsfehlern. Moderne Betriebssysteme bieten effektive Mechanismen für die Identifizierung, Authentifizierung und Autorisierung und machen diese Mechanismen für Anwendungen verfügbar. Verwenden Sie nur standardisierte, derzeit akzeptierte und ausführlich überprüfte Verschlüsselungsalgorithmen. Betriebssysteme bieten auch Mechanismen zum Erstellen und Verwalten sicherer Audit-Protokolle.

Sicherheitsprüfungen auf Codeebene implementieren:

Wenden Sie statische und dynamische Analysetools innerhalb des Anwendungslebenszyklus an, um zu überprüfen, ob sichere Codierungspraktiken befolgt werden.

Penetrationstests für Anwendung durchführen:

Durchführung von Penetrationstests für Anwendungen Bei kritischen Anwendungen eignen sich authentifizierte Penetrationstests besser zum Auffinden von Schwachstellen in der Geschäftslogik als Code-Scans und automatisierte Sicherheitstests.Penetrationstests beruhen auf der Fähigkeit des Testers, eine Anwendung manuell als authentifizierter und nicht authentifizierter Benutzer zu bearbeiten. 

Bedrohungsmodellierung durchführen:

Führt eine Bedrohungsmodellierung durch. Die Bedrohungsmodellierung ist der Prozess des Identifizierens und Behandelns von Designfehlern bei der Anwendungssicherheit innerhalb eines Designs, bevor Code erstellt wird. Sie wird von speziell geschulten Personen durchgeführt, die das Anwendungsdesign bewerten und die Sicherheitsrisiken für jeden Einstiegspunkt und jede Zugriffsebene messen. Das Ziel besteht darin, die Anwendung, Architektur und Infrastruktur strukturiert abzubilden, um ihre Schwachstellen zu verstehen.

Einen Prozess für die Annahme und Behebung von Softwareschwachstellen einrichten und verwalten:

Einrichtung und Pflege eines Prozesses für die Annahme und Bearbeitung von Meldungen von Softwareschwachstellen, einschließlich Bereitstellung einer Möglichkeit für externe Entitäten zur Meldung von Meldungen. Der Prozess umfasst unter anderem eine Richtlinie zur Behandlung von Schwachstellen, die den Berichterstellungsprozess, die für die Bearbeitung von Schwachstellenberichten verantwortliche Partei und einen Prozess für Aufnahme, Zuweisung, Korrektur und Korrekturtests identifiziert. Verwenden Sie als Teil des Prozesses ein Schwachstellen-Nachverfolgungssystem, das Schweregradbewertungen und Metriken zum Messen des Timings für die Identifizierung, Analyse und Behebung von Schwachstellen umfasst. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Führen Sie eine Ursachenanalyse für Sicherheitsschwachstellen durch:

Führen Sie eine Ursachenanalyse für Sicherheitsschwachstellen durch. Bei der Überprüfung von Schwachstellen ist die Ursachenanalyse die Aufgabe, zugrunde liegende Probleme zu bewerten, die zu Schwachstellen im Code führen. Sie ermöglicht es Entwicklungsteams, über die Behebung einzelner Schwachstellen bei ihrer Entstehung hinaus zu gehen.

Zum Erstellen und Verwalten eines Bestands an Softwarekomponenten von Drittparteien:

Erstellen und verwalten Sie einen aktualisierten Bestand von Drittanbieterkomponenten, die in der Entwicklung verwendet werden (häufig als „Stückliste“ bezeichnet), sowie von Komponenten, die für die zukünftige Verwendung vorgesehen sind.Dieser Bestand soll alle Risiken enthalten, die von den einzelnen Drittparteikomponenten ausgehen können.Werten Sie die Liste mindestens monatlich aus, um Änderungen oder Updates an diesen Komponenten zu identifizieren und zu überprüfen, ob die Komponente weiterhin unterstützt wird. 

Aktuelle und vertrauenswürdige Softwarekomponenten von Drittparteien verwenden:

Verwenden Sie aktuelle und vertrauenswürdige Softwarekomponenten von Drittparteien. Wählen Sie nach Möglichkeit etablierte und bewährte Frameworks und Bibliotheken, die ausreichende Sicherheit bieten.Erwerben Sie diese Komponenten aus vertrauenswürdigen Quellen, oder bewerten Sie die Software vor der Verwendung auf Schwachstellen.

Einrichtung und Pflege eines Schweregradbewertungssystems und -prozesses für Anwendungsschwachstellen:

Einrichtung und Pflege eines Schweregradbewertungssystems und -prozesses für Anwendungsschwachstellen, das bzw. der das Priorisieren der Reihenfolge erleichtert, in der erkannte Schwachstellen behoben werden. Dieser Prozess umfasst das Festlegen eines Mindestmaßes an Sicherheitsakzeptanz für die Veröffentlichung von Code oder Anwendungen. Schweregradbewertungen bieten eine systematische Methode zur Selektierung von Schwachstellen, die das Risikomanagement verbessert und sicherstellt, dass die schwerwiegendsten Fehler zuerst behoben werden. Überprüfen und aktualisieren Sie das System und den Prozess jährlich.

Standardkonfigurationsvorlagen für Härtung für Anwendungsinfrastruktur verwenden:

Verwenden Sie standardmäßige, branchenübliche Härtungskonfigurationsvorlagen für Anwendungsinfrastrukturkomponenten. Dies umfasst zugrunde liegende Server, Datenbanken und Webserver und gilt für Cloud-Container, PaaS-Komponenten (Platform as a Service) und SaaS-Komponenten. Lassen Sie nicht zu, dass die Konfigurationshärtung durch intern entwickelte Software abgeschwächt wird.

Separate Produktions- und Nicht-Produktionssysteme:

Getrennte Umgebungen für Produktions- und Nicht-Produktionssysteme verwalten

Schulung von Entwicklern in Anwendungssicherheitskonzepten und sicherer Codierung:

Stellen Sie sicher, dass alle Mitarbeiter in der Softwareentwicklung Schulungen zum Schreiben von sicherem Code für ihre spezifische Entwicklungsumgebung und ihre Zuständigkeiten erhalten. Die Schulung kann allgemeine Sicherheitsprinzipien und Standardpraktiken für die Anwendungssicherheit umfassen. Führen Sie mindestens einmal pro Jahr Schulungen durch, und entwerfen Sie so, dass die Sicherheit innerhalb des Entwicklungsteams fördert und eine Sicherheitskultur unter den Entwicklern aufgebaut wird.

Personal für die Verwaltung der Incident-Bearbeitung bestimmen:

Bestimmen Sie eine Schlüsselperson und mindestens eine Vertretung, die den Incident-Management-Prozess des Unternehmens verwalten wird. Das Managementpersonal ist für die Koordination und Dokumentation der Reaktion auf Incidents und Wiederherstellung verantwortlich. Es kann sich dabei um unternehmensinterne Mitarbeiter, Drittanbieter oder einen hybriden Ansatz handeln. Wenn Sie einen Drittanbieter verwenden, bestimmen Sie mindestens eine interne Person im Unternehmen, die die Arbeit des Drittanbieters überwacht. Prüfung jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Kontaktinformationen für die Meldung von Security Incidents festlegen und pflegen:

Kontaktinformationen für Parteien einrichten und pflegen, die über Security Incidents informiert werden müssen Zu den Kontakten können interne Mitarbeiter, Drittanbieter, Strafverfolgungsbehörden, Cyberversicherungsanbieter, relevante Regierungsbehörden, Partner des Information Sharing and Analysis Center (ISAC) oder andere Stakeholder gehören. Überprüfen Sie die Kontakte jährlich, um sicherzustellen, dass die Informationen aktuell sind.

Einrichtung und Wartung eines Enterprise-Prozesses für das Melden von Incidents:

Einrichtung und Pflege eines Unternehmensprozesses, über den Mitarbeiter Security Incidents melden können. Der Prozess umfasst den Berichterstellungszeitraum, die zu berichtenden Mitarbeiter, den Mechanismus für die Berichterstellung und die Mindestinformationen, die gemeldet werden müssen. Stellen Sie sicher, dass der Prozess für alle Mitarbeiter öffentlich verfügbar ist. Prüfung jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Einen Prozess für die Reaktion auf Incidents einrichten und verwalten:

Richten Sie einen Prozess für die Reaktion auf Incidents ein, der Rollen und Zuständigkeiten, Compliance-Anforderungen und einen Kommunikationsplan behandelt, und pflegen Sie ihn. Prüfung jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Schlüsselrollen und Zuständigkeiten zuweisen:

Weisen Sie Schlüsselrollen und Verantwortlichkeiten für die Reaktion auf Incidents zu, einschließlich Mitarbeitern aus den Bereichen Recht, IT, Informationssicherheit, Facility Management, PR, Human Resources, Incident-Beantworter und Analysten. Prüfung jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Definieren Sie Mechanismen für die Kommunikation während der Reaktion auf Incidents:

Legen Sie fest, welche primären und sekundären Mechanismen für die Kommunikation und Meldung von Security Incidents verwendet werden. Mechanismen können Telefonanrufe, E-Mails oder Briefe sein. Denken Sie daran, dass bestimmte Mechanismen, z. B. E-Mails, während eines Security Incidents betroffen sein können. Prüfung jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Routineübungen zur Reaktion auf Incidents durchführen:

Planen und führen Sie Routineübungen und -szenarien für die Reaktion auf Incidents für wichtige Mitarbeiter des Incident-Reaktionsprozesses durch, um sich auf die Reaktion auf reale Incidents vorzubereiten. In Übungen müssen Kommunikationskanäle, Entscheidungsfindung und Workflows getestet werden. Führen Sie mindestens einmal pro Jahr Tests durch.

Überprüfungen nach Incidents durchführen:

Führen Sie Überprüfungen nach Incidents durch. Überprüfungen nach Incidents tragen dazu bei, eine Wiederholung des Incidents zu verhindern, indem gelernte Lektionen und Folgemaßnahmen identifiziert werden.

Schwellenwerte für Security Incidents festlegen und verwalten:

Festlegung und Aufrechterhaltung der Schwellenwerte für Security Incidents, mindestens der Unterscheidung zwischen Incident und Event Beispiele können sein: abnormale Aktivität, Sicherheitsschwachstelle, Sicherheitslücke, Datenschutzverletzung, Datenschutz-Incident usw. Prüfung jährlich oder wenn bedeutende Unternehmensänderungen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Ein Penetrationstestprogramm einrichten und pflegen:

Einrichtung und Pflege eines Penetrationstestprogramms, das der Größe, Komplexität und Reife des Unternehmens entspricht. Zu den Merkmalen des Penetrationstestprogramms gehören Anwendungsbereiche wie Netzwerk, Webanwendung, Anwendungsprogrammierschnittstelle (API), gehostete Services und physische Steuerungen vor Ort. Häufigkeit; Einschränkungen, z. B. zulässige Stunden und ausgeschlossene Angriffstypen Informationen zum Kontaktpunkt Nachbesserung, z. B. wie Ergebnisse intern weitergeleitet werden; und retrospektive Anforderungen.

Führen Sie regelmäßige externe Penetrationstests durch:

Regelmäßige externe Penetrationstests auf Grundlage der Programmanforderungen durchführen (mindestens einmal jährlich). Externe Penetrationstests müssen Unternehmens- und Umgebungsbeobachtungen umfassen, um verwertbare Informationen zu erkennen. Penetrationstests erfordern spezielle Kompetenzen und Erfahrung und müssen von einer qualifizierten Partei durchgeführt werden. Die Tests können ein durchsichtiges Feld oder ein undurchsichtiges Feld sein.

Penetrationstest-Ergebnisse korrigieren:

Korrigieren Sie die Ergebnisse von Penetrationstests basierend auf den Richtlinien des Unternehmens für Umfang und Priorisierung der Remediation.

Sicherheitsmaßnahmen validieren:

Validiert die Sicherheitsmaßnahmen nach jedem Penetrationstest. Ändern Sie bei Bedarf Regelsätze und Fähigkeiten, um die beim Testen verwendeten Techniken zu erkennen.

Verwenden Sie ein aktives Discovery-Tool, um mit dem Netzwerk des Unternehmens verbundene Geräte zu identifizieren und den Hardware-Asset-Bestand zu aktualisieren.

Verwenden Sie ein passives Discovery-Tool, um Geräte zu identifizieren, die mit dem Netzwerk einer Organisation verbunden sind, und aktualisieren Sie automatisch den Hardware-Asset-Bestand der Organisation.

Pflegen Sie einen genauen und aktuellen Bestand aller Technologie-Assets, die Informationen speichern oder verarbeiten können. Dieser Bestand umfasst alle Hardware-Assets, unabhängig davon, ob sie mit dem Netzwerk der Organisation verbunden sind oder nicht.

Stellen Sie sicher, dass im Hardware-Asset-Bestand die Netzwerkadresse, die Hardwareadresse, der Computername, der Besitzer des Daten-Assets und die Abteilung für jedes Asset erfasst sind. Außerdem muss angegeben werden, ob das Hardware-Asset für die Verbindung mit dem Netzwerk genehmigt wurde.

Verwenden Sie die Zugriffssteuerung auf Portebene gemäß den 802.1x-Standards, um zu steuern, welche Geräte sich beim Netzwerk authentifizieren können. Das Authentifizierungssystem muss in die Bestandsdaten des Hardware-Assets eingebunden werden, um sicherzustellen, dass nur autorisierte Geräte eine Verbindung zum Netzwerk herstellen können.

Verwenden Sie Client-Zertifikate, um Hardware-Assets zu authentifizieren, die eine Verbindung zum vertrauenswürdigen Netzwerk des Unternehmens herstellen.

Führen Sie eine aktuelle Liste aller autorisierten Software, die im Unternehmen für einen Geschäftszweck in einem beliebigen Geschäftssystem erforderlich sind.

Stellen Sie sicher, dass nur Softwareanwendungen oder Betriebssysteme, die derzeit vom Lieferanten der Software unterstützt werden, dem autorisierten Softwarebestand der Organisation hinzugefügt werden. Nicht unterstützte Software muss im Bestandssystem als nicht unterstützt gekennzeichnet werden.

Verwenden Sie Softwarebestandstools im gesamten Unternehmen, um die Dokumentation aller Software in Geschäftssystemen zu automatisieren.

Das Softwarebestandssystem sollte Name, Version, Herausgeber und Installationsdatum für die gesamte Software nachverfolgen, einschließlich der von der Organisation autorisierten Betriebssysteme.

Das Softwarebestandssystem sollte in den Hardware-Asset-Bestand eingebunden werden, damit alle Geräte und die zugehörige Software von einem einzigen Ort aus nachverfolgt werden.

Verwenden Sie ein aktuelles SCAP-konformes Tool zum Scannen auf Schwachstellen, um alle Systeme im Netzwerk automatisch oder häufiger zu scannen und alle potenziellen Schwachstellen in den Systemen des Unternehmens zu identifizieren.

Führen Sie authentifizierte Schwachstellen-Scans mit Agents durch, die lokal auf jedem System ausgeführt werden, oder mit Remote-Scannern, die mit erweiterten Berechtigungen für das getestete System konfiguriert sind.

Vergleichen Sie regelmäßig die Ergebnisse von aufeinanderfolgenden Schwachstellen-Scans, um sicherzustellen, dass Schwachstellen rechtzeitig behoben wurden.

Ändern Sie vor der Bereitstellung eines neuen Assets alle Standardpasswörter in Werte, die denen von Konten auf Administratorebene entsprechen.

Wenn die Multifaktor-Authentifizierung nicht unterstützt wird (z. B. lokaler Administrator, Stamm- oder Servicekonten), verwenden Konten Passwörter, die für dieses System eindeutig sind.

Konfigurieren Sie Systeme so, dass ein Protokolleintrag und eine Warnung ausgegeben werden, wenn ein Account zu einer Gruppe mit Administratorrechten hinzugefügt oder daraus entfernt wird.

Konfigurieren Sie Systeme so, dass bei nicht erfolgreichen Anmeldungen bei einem Administratorkonto ein Protokolleintrag und eine Warnung ausgegeben werden.

Stellen Sie sicher, dass die lokale Protokollierung auf allen Systemen und Netzwerkgeräten aktiviert wurde.

Aktivieren Sie die Systemprotokollierung, um detaillierte Informationen wie Ereignisquelle, Datum, Anwender, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente aufzunehmen.

Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen. Verwenden Sie idealerweise nur die aktuelle Version der vom Lieferanten bereitgestellten Browser und E-Mail-Clients.

Jede AV-Software der Enterprise-Klasse verfügt über diese Fähigkeit. Mit einem zentral verwalteten AV können Sie individuelle Anforderungen einfach aktivieren.

Das AV ist nur so gut wie seine Signaturen. Eine rein signaturbasierte Erkennung funktioniert zwar nicht mehr, aber selbst anomaliebasierte Engines müssen regelmäßig aktualisiert werden. Stellen Sie sicher, dass die Updates automatisch bereitgestellt werden, und verwenden Sie Tools, um zu überprüfen, ob die Signaturen tatsächlich aktuell sind.

Die DISA-Härtungsleitfäden enthalten Schritt-für-Schritt-Anweisungen zum Aktivieren dieser und vieler weiterer Einstellungen.

Bei den meisten AVs ist diese Funktion standardmäßig aktiviert. Es ist jedoch wichtig zu überprüfen, ob sie tatsächlich noch aktiviert ist. Malware, die über einen USB-Stick eingeht, ist ein brauchbarer Angriffsvektor für fast jedes Unternehmen.

Aus dem gleichen Grund, aus dem Sie es nicht scannen möchten, möchten Sie auch nicht, dass es ausgeführt wird, wenn es bereitgestellt wird. Diese Einstellung lässt sich ziemlich schnell aktivieren, und die Härtungsleitfäden für CIS und DISA enthalten Schritt-für-Schritt-Anweisungen zum Deaktivieren der automatischen Ausführung. Einige SCM-Tools können schnell jeden Endpunkt in Ihrer Umgebung überprüfen, um sicherzustellen, dass diese Einstellung deaktiviert ist.

Führen Sie regelmäßig automatisierte Port-Scans für alle Systeme durch und warnen Sie, wenn nicht autorisierte Ports in einem System erkannt werden.

Vergleichen Sie die Konfiguration aller Netzwerkgeräte mit genehmigten Sicherheitskonfigurationen, die für jedes verwendete Netzwerkgerät definiert sind, und warnen Sie, wenn Abweichungen erkannt werden.

Installieren Sie die aktuelle stabile Version aller sicherheitsbezogenen Updates auf allen Netzwerkgeräten.

Stellen Sie netzwerkbasierte Angriffserkennungssysteme (IDS) bereit, um nach ungewöhnlichen Angriffsmechanismen zu suchen und Kompromittierungen dieser Systeme an allen Netzwerkgrenzen einer Organisation zu erkennen.

Entfernen Sie vertrauliche Daten oder Systeme, auf die die Organisation nicht regelmäßig zugreift, aus dem Netzwerk. Diese Systeme dürfen nur als eigenständige Systeme (vom Netzwerk getrennt) von dem Geschäftsbereich verwendet werden, der das System gelegentlich verwenden muss, oder vollständig virtualisiert und bis zur Verwendung ausgeschaltet.

Bieten Sie Mitarbeitern Schulungen an, damit sie sich der Risiken von Daten auf USB-Laufwerken bewusst sind. Stellen Sie ihnen dann die Tools zur Verfügung, um die kritischen Daten Ihrer Organisation zu schützen.

Verschlüsseln Sie alle vertraulichen Informationen während der Übertragung.

Verwaltet einen Bestand autorisierter drahtloser Zugriffspunkte, die mit dem kabelgebundenen Netzwerk verbunden sind.

Verwaltet einen Bestand aller Authentifizierungssysteme einer Organisation, einschließlich derer, die sich vor Ort oder bei einem Remote-Service Provider befinden.

Verschlüsseln oder hashen Sie alle Authentifizierungsanmeldeinformationen mit einem Salt, wenn sie gespeichert werden.

Stellen Sie sicher, dass alle Account-Anwendernamen und Anmeldeinformationen für die Authentifizierung mithilfe verschlüsselter Kanäle über Netzwerke übertragen werden.

Workstation-Sitzungen nach einem Standardzeitraum der Inaktivität automatisch sperren.

Warnen Sie, wenn Anwender vom normalen Anmeldeverhalten abweichen, z. B. Tageszeit, Standort der Workstation und Dauer.

Verwenden Sie nur standardisierte und umfassend überprüfte Verschlüsselungsalgorithmen.

Richten Sie einen Prozess für die Annahme und Bearbeitung von Meldungen über Softwareschwachstellen ein, einschließlich der Bereitstellung einer Möglichkeit für externe Entitäten, Ihre Sicherheitsgruppe zu kontaktieren.

Weisen Sie bestimmten Personen Stellenbezeichnungen und Aufgaben für die Bearbeitung von Computer- und Netzwerk-Incidents zu, und stellen Sie die Nachverfolgung und Dokumentation während des Incident bis zur Lösung sicher.

Benennen Sie Führungskräfte sowie Sicherungsmitarbeiter, die den Prozess der Incident-Bearbeitung durch wichtige Entscheidungsträger unterstützen.

Veröffentlichen Sie Informationen für alle Belegschaftsmitglieder bezüglich der Meldung von Computeranomalien und Incidents an das Incident-Bearbeitungsteam. Solche Informationen sollten in routinemäßige Aktivitäten zur Sensibilisierung der Mitarbeiter einbezogen werden.

Definieren Sie eine „Richtlinie zur Informationssicherheit“, die von der Führungsebene genehmigt wird und den Ansatz der Organisation zur Verwaltung ihrer Informationssicherheitsziele darlegt. Die Richtlinie zur Informationssicherheit wird durch themenspezifische Richtlinien unterstützt, die die Implementierung von Informationssicherheitskontrollen vorschreiben: Zugriffskontrolle; Klassifizierung (und Verarbeitung) von Informationen physische Sicherheit und Umweltsicherheit Sicherung; Informationsübertragung Schutz vor Malware Management technischer Schwachstellen kryptografische Steuerungen Kommunikationssicherheit Datenschutz und Schutz von personenbezogenen Daten Lieferantenbeziehungen und endanwenderorientierte Themen wie: 1) zulässige Verwendung von Assets; 2) Schreibtisch und Bildschirm aufräumen; 3) Informationsübertragung 4) Mobilgeräte und Telearbeit; 5) Einschränkungen bei der Installation und Verwendung von Software.

Sicherstellen, dass die Verantwortlichkeiten für den Schutz einzelner Assets im Asset-Bestand identifiziert werden. Stellen Sie sicher, dass Rollen und Verantwortlichkeiten für die Entwicklung und Implementierung von Informationssicherheit klar definiert sind.

Verwenden Sie eine genehmigte Verschlüsselungssoftware für den gesamten Datenträger, um die Festplatte aller Mobilgeräte zu verschlüsseln.

Erzwingen Sie Remotezugriffsrichtlinien für Mitarbeiter und Auftragnehmer.

Stellen Sie sicher, dass für alle Mitarbeiter und Auftragnehmer eine Hintergrundprüfung durchgeführt wird, bevor Zugriff auf die Assets des Unternehmens gewährt wird.

Stellen Sie sicher, dass alle neu eingestellten Mitarbeiter oder Auftragnehmer die Beschäftigungsbedingungen unterzeichnet und akzeptiert haben, einschließlich ihrer Verantwortung für die Informationssicherheit.

Stellen Sie sicher, dass im Hardware-Asset-Bestand die Netzwerkadresse, die Hardwareadresse, der Computername, der Besitzer des Daten-Assets und die Abteilung für jedes Asset erfasst sind. Außerdem muss angegeben werden, ob das Hardware-Asset für die Verbindung mit dem Netzwerk genehmigt wurde.

Stellen Sie sicher, dass im Hardware-Asset-Bestand die Netzwerkadresse, die Hardwareadresse, der Computername, der Besitzer des Daten-Assets und die Abteilung für jedes Asset erfasst sind. Außerdem muss angegeben werden, ob das Hardware-Asset für die Verbindung mit dem Netzwerk genehmigt wurde.

Stellen Sie sicher, dass Mitarbeiter und Auftragnehmer auf die Informationssicherheitsanforderungen für die Assets des Unternehmens aufmerksam gemacht werden, die Informationen und Informationsverarbeitungseinrichtungen und -ressourcen zugeordnet sind. Sie sind für die Nutzung von Informationsverarbeitungsressourcen und jede Nutzung, die unter ihrer Verantwortung erfolgt, verantwortlich.

Verwenden Sie Client-Zertifikate, um Hardware-Assets zu authentifizieren, die eine Verbindung zum vertrauenswürdigen Netzwerk des Unternehmens herstellen.

Für alle Remote-Anmeldezugriffe auf das Netzwerk der Organisation müssen Daten während der Übertragung verschlüsselt und die Multifaktor-Authentifizierung verwendet werden.

Wenn die Multifaktor-Authentifizierung nicht unterstützt wird (z. B. lokaler Administrator, Stamm- oder Servicekonten), verwenden Konten Passwörter, die für dieses System eindeutig sind.

Stellen Sie sicher, dass Richtlinien für die Verschlüsselung vorhanden sind und gemäß den Datenklassifizierungsanforderungen angewendet, implementiert und erzwungen werden.

Stellen Sie sicher, dass die Verwaltung von Verschlüsselungsschlüsseln gemäß einer formalen Richtlinie und eines formalen Verfahrens für den gesamten Lebenszyklus des Schlüssels erfolgt.

Stellen Sie sicher, dass die Clear Desk-Richtlinie von Mitarbeitern und Auftragnehmern angepasst wird.

Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen. Verwenden Sie idealerweise nur die aktuelle Version der vom Lieferanten bereitgestellten Browser und E-Mail-Clients.

Stellen Sie sicher, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients in der Organisation ausgeführt werden dürfen. Verwenden Sie idealerweise nur die aktuelle Version der vom Lieferanten bereitgestellten Browser und E-Mail-Clients.

Stellen Sie sicher, dass die lokale Protokollierung auf allen Systemen und Netzwerkgeräten aktiviert wurde.

Stellen Sie sicher, dass Protokolle sicher vor nicht autorisiertem Zugriff geschützt sind.

Erzwingen Sie eine detaillierte Audit-Protokollierung für den Zugriff auf vertrauliche Daten oder Änderungen an vertraulichen Daten (mit Tools wie der Überwachung der Dateiintegrität oder der Überwachung von Sicherheitsinformationen und Ereignissen).

Stellen Sie sicher, dass offizielle Richtlinien, Verfahren und Kontrollen für die Übertragung vorhanden sind, um die Übertragung von Informationen durch die Verwendung aller Arten von Kommunikationseinrichtungen zu schützen.

Stellt sicher, dass die Anforderungen im Zusammenhang mit der Informationssicherheit in den Anforderungen für neue Informationssysteme oder für die Erweiterung vorhandener Informationssysteme enthalten sind.

Stellen Sie sicher, dass geschäftskritische Anwendungen überprüft und getestet werden, um sicherzustellen, dass Änderungen an den Betriebsplattformen keine nachteiligen Auswirkungen auf den Unternehmensbetrieb oder die Sicherheit haben.

Stellen Sie sicher, dass Änderungen an Softwarepaketen nicht empfohlen oder auf erforderliche Änderungen beschränkt werden und dass alle Änderungen streng kontrolliert werden.

Stellen Sie sicher, dass während des Entwicklungslebenszyklus Sicherheitstests wie sichere Codeüberprüfungen und Schwachstellen-Scans durchgeführt werden. Stellt sicher, dass identifizierte Schwachstellen dokumentiert und Nachbesserungen durchgeführt werden.

Stellen Sie sicher, dass Systemabnahmetests Tests von Informationssicherheitsanforderungen und der Einhaltung sicherer Systementwicklungspraktiken umfassen.

Stellen Sie sicher, dass Systemabnahmetests Tests von Informationssicherheitsanforderungen und der Einhaltung sicherer Systementwicklungspraktiken umfassen.

Stellen Sie sicher, dass Informationssicherheitskontrollen mit dem Lieferanten besprochen und gelöst werden, bevor Sie Geschäfte tätigen oder dem Lieferanten Zugriff auf Assets gewähren.

Stellen Sie sicher, dass vor der Geschäftsabwicklung Risikobewertungen durchgeführt werden und Lieferanten und Lieferanten Zugriff auf Assets und Sicherheitskontrollen und -anforderungen gewährt werden, die in der Lieferanten-/Lieferantenvereinbarung vereinbart und dokumentiert werden.

Stellt sicher, dass der Lieferant regelmäßig überwacht und überprüft, um sicherzustellen, dass die Informationssicherheits-Bedingungen der Vereinbarungen eingehalten werden und dass Incidents und Probleme im Zusammenhang mit der Informationssicherheit ordnungsgemäß verwaltet werden.

Stellt sicher, dass eine Drittpartei-Risikobewertung durchgeführt wird, wenn sich die Bereitstellung von Services ändert. Sicherstellen, dass Änderungen an der Bereitstellung von Services durch Lieferanten, einschließlich der Wartung und Verbesserung vorhandener Richtlinien, Verfahren und Kontrollen zur Informationssicherheit, verwaltet werden.

Stellen Sie sicher, dass ein offizielles Incident-Management-Programm vorhanden ist und dass alle Mitarbeiter und Drittparteien darin geschult werden, wie Security Incidents erkannt und gemeldet werden.

Stellen Sie sicher, dass ein formelles Management von Informationssicherheitsereignissen vorhanden ist, das eine vereinbarte Klassifizierungsskala für Sicherheitsereignisse und Incidents für die Berichterstellung und Eskalation enthält. Stellen Sie sicher, dass das Klassifizierungsschema für Bedrohungen und Risiken dokumentiert wird. Stellt sicher, dass Benachrichtigungen über die Reaktion auf Incidents verwaltet werden. Stellen Sie sicher, dass die Auswirkungsschwellenwerte für die Kategorisierung von Incidents dokumentiert sind.

Stellt sicher, dass auf Incidents im Zusammenhang mit der Informationssicherheit reagiert und gemäß den dokumentierten Verfahren verwaltet wird.

Sicherstellen, dass das Incident-Management-Programm Verfahren zur Überwachung von Incidents enthält, um Incidents zu dokumentieren und sicherzustellen, dass Sicherheits-Ereignisse regelmäßig analysiert werden, um die Anzahl zukünftiger Incidents zu reduzieren.

Stellen Sie sicher, dass Informationssicherheit und die Kontinuität des Informationssicherheitsmanagements geplant und im Geschäftskontinuitätsplan oder im Notfallwiederherstellungsplan enthalten sind.

Stellen Sie sicher, dass Geschäftskontinuitäts- oder Notfallwiederherstellungspläne offiziell dokumentiert werden.

Stellen Sie sicher, dass der Geschäftskontinuitätsplan oder der Notfallwiederherstellungsplan jährlich sind, um zu validieren, dass angemessene Sicherheitskontrollen in ungünstigen Situationen gültig und effektiv sind.

Stellen Sie sicher, dass Failover- und Wiederherstellungskomponenten wie vorgesehen funktionieren.

Stellen Sie sicher, dass Datensätze und Daten vor Verlust, Zerstörung, Verfälschung, nicht autorisiertem Zugriff und nicht autorisierter Veröffentlichung in Übereinstimmung mit gesetzlichen, behördlichen, vertraglichen und geschäftlichen Anforderungen geschützt sind.

Sicherstellen, dass der Datenschutz und der Schutz personenbezogener Daten gemäß Gesetzen und Vorschriften geschützt und gehandhabt werden, falls zutreffend.

Stellt sicher, dass regelmäßig Tests der bereichsbezogenen Systemkonfiguration im Hinblick auf Compliance- und gesetzliche Anforderungen durchgeführt werden. Sicherstellen, dass Baseline-Konfigurationsstandards für Systeme dokumentiert sind und auf Best Practices der Branche basieren

Stellen Sie sicher, dass der Kündigungsprozess so formalisiert ist, dass er die Rückgabe aller zuvor ausgegebenen physischen und elektronischen Assets umfasst, die sich im Besitz der Organisation befinden oder ihr anvertraut wurden.

• HR-Profile [sn_hr_core_profile]
• Asset [alm_asset]

Stellt sicher, dass Software-Assets verwaltet und regelmäßig aktualisiert werden.

• Software Asset Management Core
• Software Asset Management Professional Core

• Softwareinstallation [cmdb_sam_sw_install]
• Softwaremodelle [cmdb_software_product_model]

Verwenden Sie einen Risikobewertungsprozess, um die Behebung erkannter Schwachstellen zu priorisieren.

Deinstallieren oder deaktivieren Sie alle nicht autorisierten Browser- oder E-Mail-Client-Plugins oder Add-on-Anwendungen.

• Software Asset Management Core
• Software Asset Management Professional Core

• Softwareinstallation [cmdb_sam_sw_install]
• Softwaremodelle [cmdb_software_product_model]

Etablieren Sie sichere Codierungspraktiken, die für die verwendete Programmiersprache und Entwicklungsumgebung geeignet sind.

Stellen Sie sicher, dass schriftliche Pläne für die Reaktion auf Incidents vorhanden sind, die die Rollen der Mitarbeiter sowie die Phasen der Incident-Bearbeitung/des Incident-Managements definieren.