Alle verfolgten
Vorschriften
- Verteidigung 1
- Automobilbranche 1
- Verbrauchergeschäfte 1
- Bildungswesen 2
- Energie 1
- Auftragnehmer des Staates 3
- Finanzdienstleistungen 7
- Behörden 10
- Gesundheitswesen 3
- Versicherung 1
- Fertigung 3
- International
- USA
- New York
- Kalifornien
- Alabama
- Massachusetts
- Kanada
- Europäische Union
- Deutschland
- Vereinigtes Königreich
Die Cybersecurity-Vorschriften des Department of Financial Services des US-Bundesstaates New York (NYDFS) (23 NYCRR 500)
- New York – USA
- Finanzdienstleistungen
- Versicherung
11
23 NYCRR Part 500 auf einen Blick
Die Absicht des Department of Financial Services des US-Bundesstaates New York (23 NYCRR 500) besteht darin, aufsichtsrechtliche Mindeststandards festzulegen, um den Schutz von Kundeninformationen zu fördern und die Informationstechnologiesysteme regulierter Stellen zu schützen.
23 NYCRR PART 500 – ANFORDERUNGEN
- 1Abschnitt 500.02: Cybersecurity-Programm
- 2Abschnitt 500.05: Penetrationstests und Schwachstellenanalysen
- 3Abschnitt 500.06: Audit-Trail
- 4Abschnitt 500.07: Zugriffsrechte
- 5Abschnitt 500.09: Risikobewertung
- 6Abschnitt 500.10: Cybersecurity-Personal und -Erkennungsprozeduren
- 7Abschnitt 500.11: Sicherheitsrichtlinie für externe Serviceanbieter
- 8Abschnitt 500.13: Beschränkungen der Datenaufbewahrung
- 9Abschnitt 500.14: Schulung und Überwachung
- 10Abschnitt 500.15: Verschlüsselung nicht öffentlicher Informationen
- 11Abschnitt 500.16: Incident-Response-Plan
- Bereitstellung von Incident-Response-Plänen, die die Abwehr von Cyberbedrohungen und Datenschutzverstößen beinhalten
- Audit Trails zur Aufzeichnung und Abwehr von Cyberangriffen
- Erstellung von Berichten zu den aktuellen Risiken, allen wesentlichen Ereignissen und den Auswirkungen auf geschützte Daten
- Durchführung von Risikobewertungen zur Ermittlung und Dokumentation von Sicherheitsmängeln und Behebungsplänen
Alabama Data Breach Notification Act of 2018 (S.B. 318)
- Alabama – USA
- Alle
3
Alabama Data Breach Notification Act of 2018 (S.B. 318) auf einen Blick
Schreibt vor, dass Entitäten bestimmte Personen über eine Sicherheitsverletzung informieren müssen, die zur unbefugten Erlangung vertraulicher personenbezogener Daten führt.
ALABAMA DATA BREACH NOTIFICATION (S.B. 318) ANFORDERUNGEN
- 1 Dritte sind verpflichtet, die betroffene Entität innerhalb von 10 Tagen nach Entdeckung einer Sicherheitsverletzung zu benachrichtigen.
- 2 Eine Benachrichtigung ist nicht erforderlich, wenn nach einer unverzüglichen Untersuchung nach Treu und Glauben festgestellt wird, dass den Personen, auf die sich die Informationen beziehen, durch die Sicherheitsverletzung mit großer Wahrscheinlichkeit kein erheblicher Schaden entsteht.
- 3 Muss dem Generalstaatsanwalt eine Kopie der Mitteilung zukommen lassen, wenn die Zahl der von der Entität benachrichtigten Personen 1.000 übersteigt.
- Arctic Wolf MDR kann helfen, einen Sicherheitsvorfall schnell zu identifizieren und Beweise für den Umfang und die Auswirkungen des Vorfalls zu liefern.
Basel III IT-Betriebskontrollen
- International
- Finanzdienstleistungen
1
Basel III auf einen Blick
Der Basler Ausschuss für Bankenaufsicht (BCBS) ist eine internationale Aufsichtsbehörde, die mehrere Standards und freiwillige Rahmenregelungen für Finanzinstitute unterhält. Basel III (und Standard 239) wirkt sich insbesondere auf die IT-Infrastruktur und den IT-Betrieb aus, da es Grundsätze für die Datenarchitektur und die IT-Infrastruktur sowie die Genauigkeit und Integrität von Risikodaten regelt.
BASEL III – ANFORDERUNGEN
- 1Um die BCBS-Grundsätze für eine wirksame Aggregation von Risikodaten und die Risikoberichterstattung zu erfüllen, müssen Finanzinstitute über eine robuste und widerstandsfähige IT-Infrastruktur verfügen, die sowohl in normalen Zeiten als auch in Stress- oder Krisenzeiten Funktionen zur Risikoaggregation und Risikoberichterstattung unterstützt.
- Sicherheitsvorfälle erkennen und darauf reagieren
- Concierge-Beratung auf dem Weg zu mehr Sicherheit für ein Unternehmen
- Bereitstellung von Nachweisen, Artefakten und Berichten über Sicherheitskontrollen und -praktiken für Audits und Überprüfungen
California Consumer Privacy Act
- Kalifornien – USA
- Alle
3
CCPA auf einen Blick
Der California Consumer Privacy Act (CCPA) vom 1. Januar 2020 ist das erste Gesetz zum Schutz der Privatsphäre von Verbrauchern in den Vereinigten Staaten. Er gibt Verbrauchern die Möglichkeit, kostenlos Auskunft darüber anzufordern, welche Informationen Unternehmen über sie sammeln. Dazu gehört auch, aus welchen Quellen und zu welchem Zweck Informationen gesammelt werden. Sie können auch verlangen, dass ihre Daten nicht verkauft werden und/oder dass ihre Daten gelöscht werden. Der kalifornische Generalstaatsanwalt sorgt für die Durchsetzung des Gesetzes, das auch Bestimmungen für zivilrechtliche Streitigkeiten und Strafen enthält.
CCPA – ANFORDERUNGEN
- 1Das CCPA gilt für alle Unternehmen, die Produkte und Dienstleistungen an Kalifornier verkaufen – und selbst das Anzeigen einer Website könnte in diesem Bundesstaat als Werbung gelten. Unternehmen mit einem Umsatz von $25 Millionen oder weniger, die Daten von weniger als 50.000 Verbrauchern sammeln und weniger als die Hälfte ihrer Einnahmen aus dem Verkauf von Verbraucherdaten erzielen, sind von dem Gesetz ausgenommen.
- 2AB 375 enthält im Vergleich zur Datenschutz-Grundverordnung nur geringe Anforderungen an die Sicherheit und die Reaktion auf Datenschutzverstößen. Unternehmen sind nach AB 375 nicht verpflichtet, Verstöße zu melden, und Verbraucher müssen Beschwerden einreichen, bevor Geldstrafen verhängt werden können. Das Gesetz legt Sanktionen für Unternehmen fest, die aufgrund einer Sicherheitsverletzung oder eines Sicherheitsmangels Verbraucherdaten preisgeben.
- 3Unternehmen sollten wissen, welche Daten AB 375 als private Daten definiert, und Maßnahmen ergreifen, um sie zu schützen. Jedes Unternehmen, das die Datenschutz-Grundverordnung einhält, muss wahrscheinlich keine weiteren Maßnahmen ergreifen, um die Datenschutzvorgaben gemäß AB 375 einzuhalten.
- Sicherheitsvorfälle erkennen und darauf reagieren
- Concierge-Beratung auf dem Weg zu mehr Sicherheit für ein Unternehmen
- Bereitstellung von Nachweisen, Artefakten und Berichten über Sicherheitskontrollen und -praktiken für Audits und Überprüfungen
CERT Resilience Management Model
- International
- Alle
6
CERT RMM auf einen Blick
CERT RMM ist ein Reifegradmodell, das die Konvergenz von Sicherheits-, Business-Continuity- und IT-Betriebsaktivitäten fördert, um Organisationen bei der aktiven Steuerung, Kontrolle und Verwaltung der betrieblichen Resilienz und des betrieblichen Risikos zu unterstützen.
CERT RMM – ANFORDERUNGEN
- 1Der Prozessbereich Asset-Definition und -Verwaltung verfolgt drei spezifische Ziele: Zur Inventarisierung, Zuordnung zu Dienstleistungen und Verwaltung von Assets. Um diese Ziele zu erreichen, muss die Organisation die folgenden Praktiken anwenden:
- 2 Einrichtung eines Verfahrens zur Identifizierung und Dokumentation von Assets.
- 3 Festlegen der Eigentums- und Verwahrungsrechte für die Assets.
- 4 Verknüpfen der Assets mit den Dienstleistungen, die sie unterstützen.
- 5 Festlegung von Resilienzanforderungen (einschließlich derjenigen zum Schutz und zur Aufrechterhaltung) von Assets und zugehörigen Dienstleistungen. (Dies wird in den Prozessbereichen zur Definition und Verwaltung von Resilienzanforderungen behandelt.)
- 6 Bereitstellung von Prozessen für das Änderungsmanagement von Vermögenswerten, wenn sich diese oder ihr Bestand ändern.
- Arctic Wolf Managed Risk hilft bei der Identifizierung und Prüfung von Assets und unterstützt bestimmte Änderungsmanagementaktivitäten.
Center for Internet Security – Kritische Sicherheitskontrollen
- International
- USA
- Alle
18
CIS auf einen Blick
Die CIS-Kontrollen ergänzen fast jedes andere Sicherheits-Framework, einschließlich NIST, ISO 27001, PCI und HIPAA, und sind eine nützliche Grundlage für die Entwicklung oder Bewertung eines Sicherheitsprogramms.
In der neuesten Version werden die CIS-Kontrollen nach Aktivitäten und nicht mehr danach, wer die Geräte verwaltet, zusammengefasst und konsolidiert, wodurch die Kontrollen von 20 auf 18 reduziert wurden. Die CIS-Kontrollen sind jetzt auch aufgabenbezogen und enthalten 153 "Schutzmaßnahmen" – früher als "Unterkontrollen" bekannt.
CIS-KONTROLLEN – ANFORDERUNGEN
- 1Inventarisierung und Kontrolle von Unternehmens-Assets
- 2Inventarisierung und Kontrolle von Software-Assets
- 3Datenschutz
- 4Sichere Konfiguration von Unternehmens-Assets und -Software
- 5Kontoverwaltung
- 6Zugriffskontrollverwaltung
- 7Kontinuierliches Vulnerability Management
- 8Audit-Protokollverwaltung
- 9E-Mail- und Webbrowser-Schutz
- 10Malware-Abwehr
- 11Datenwiederherstellung
- 12Verwaltung der Netzwerkinfrastruktur
- 13Netzwerküberwachung und -verteidigung
- 14Schulung von Sicherheitsbewusstsein und Sicherheitskompetenzen
- 15Dienstanbieterverwaltung
- 16Sicherheit der Anwendungs-Software
- 17Incident Response Management
- 18Penetrationstests
- Rund-um-die Uhr- und lückenlose Scans Ihrer gesamten IT-Umgebung auf Bedrohungen und Schwachstellen.
- Prioritätskontext zum Schweregrad von Schwachstellen, die in den Netzwerken und auf den Endgeräten des Unternehmens gefunden wurden.
- Verhinderung unnötiger Zugriffe auf kritische Systeme und Infrastruktur.
- Schaffung von Möglichkeiten, die Konfigurationseinstellungen Ihrer Server und Workstations besser zu verstehen – und zu verhindern, dass anfällige Services und Einstellungen ausgenutzt werden.
Criminal Justice Information Services
- USA
- Behörden
14
CJIS auf einen Blick
Die Criminal Justice Information Services (CJIS) haben eine Sicherheitsrichtlinie veröffentlicht, in der 13 Bereiche aufgeführt sind, die alle Behörden befolgen sollten, um die Vorschriften einzuhalten und vor böswilligen Hackern geschützt zu sein.
Behörden, die auf vertrauliche Informationen des US-Justizministeriums zugreifen oder diese verwalten, müssen sicherstellen, dass ihre Prozesse und Systeme den CJIS-Richtlinien für drahtlose Netzwerke, Datenverschlüsselung und Fernzugriff entsprechen – ganz besonders, weil Phishing, Malware und gehackte VPNs oder Anmeldedaten die häufigsten Angriffsvektoren sind, um in Regierungsnetzwerke einzudringen. Die CJIS-Anforderungen tragen dazu bei, diese Angriffsmethoden proaktiv abzuwehren und die nationale Sicherheit (und die Bürger) vor Cyberbedrohungen zu schützen.
CJIS – ANFORDERUNGEN
- 1In dem 230 Seiten starken Dokument zu den CJIS-Sicherheitsrichtlinien sind die Umsetzungsanforderungen und -standards für die folgenden 13 Bereiche definiert:
- 2Vereinbarungen zum Informationsaustausch
- Sicherheitsbewusstseins-Schulung
- 4Incident Response
- 5Audits und Rechenschaftspflicht
- 6Zugriffskontrolle
- 7Identifizierung und Authentifizierung
- 8Konfigurationsverwaltung
- 9Medienschutz
- 10Physischer Schutz
- 11System- und Kommunikationsschutz und Informationsintegrität
- 12Formelle Audits
- 13Personelle Sicherheit
- 14Mobile Audits
- Überwachung und Bereitstellung von Nachweisen und Artefakten für Zugriffskontrolle, Identifizierung und Authentifizierung usw.
- Unterstützung von Incident-Response-Maßnahmen
- Bereitstellung von Standard- und benutzerdefinierten Berichten für Audits und Überprüfungen
- Durchführung von Managed Security Awareness-Schulungen
Cybersecurity Maturity Model Certification
- USA
- Fertigung
- Behörden
5
CMMC auf einen Blick
Die Cybersecurity Maturity Model Certification (CMMC) wurde entwickelt, um die Sicherheit von Controlled Unclassified Information (CUI) zu gewährleisten, die in Netzwerken von DoD-Vertragspartnern gespeichert sind.
CMMC – ANFORDERUNGEN
- 1Stufe 1 – Erledigt: Grundlegende Cyberhygiene
- 2Stufe 2 – Dokumentiert: Unmittelbare Cyberhygiene
- 3Stufe 3 – Verwaltet: Gute Cyberhygiene
- 4Stufe 4 – Überprüft: Proaktive Cyberhygiene
- 5Stufe 5 – Optimiert: Fortgeschrittene / progressive Cyberhygiene
- Das unabhängige Analyseunternehmen Coalfire fand heraus, dass Arctic Wolf bei 84 % der CMMC 1.0-Kontrollen helfen kann.
- Wir verfügen über unabhängig geprüfte SOC-2-Type-2- und ISO-27001-2013-Zertifizierungen.
Cyber Essentials
- Vereinigtes Königreich
- Alle
6
Cyber Essentials-Zertifizierung auf einen Blick
Die Cyber Essentials-Zertifizierung ist ein von der britischen Regierung gefördertes Framework, das vom NCSC (National Cyber Security Centre) unterstützt wird. Darin werden fünf grundlegende Sicherheitskontrollen beschrieben, die Unternehmen vor 80 % der üblichen Cyberangriffe schützen können.
Die Zertifizierung soll Unternehmen jeder Größe dabei helfen, ihr Engagement für Cybersecurity zu demonstrieren, wobei der Ansatz einfach und die Kosten niedrig gehalten werden.
Der Cyber Essentials-Zertifizierungsprozess wird vom IASME-Konsortium verwaltet, das Zertifizierungsstellen für die Durchführung von Cyber Essentials- und Cyber Essentials Plus-Zertifizierungen lizenziert.
CYBER ESSENTIALS – ANFORDERUNGEN
- 1Darin werden fünf grundlegende Sicherheitskontrollen beschrieben, die Unternehmen vor 80 % der üblichen Cyberangriffe schützen können.
- 2Firewalls und Router
- 3Software-Updates
- 4Malware-Schutz
- 5Zugriffskontrolle
- 6Sichere Konfiguration
- Erkennen von und Reagieren auf Malware und andere Cybersecurity-Vorfälle
- Überwachung, Nachweise und Artefakte im Zusammenhang mit Zugriffskontrolle und Netzinfrastruktur
- Transparenz, Benchmarking, Berichte und Anleitungen zu Konfigurationen und Schwachstellen
Federal Acquisition Regulation: Defense Federal Acquisition Regulation Supplement
- USA
- Behörden
- Fertigung
8
DFARS auf einen Blick
Das Defense Federal Acquisition Regulation Supplement (DFARS), eine Ergänzung zur Federal Acquisition Regulation (FAR), verpflichtet seit dem 31. Dezember 2017 alle Auftragnehmer und Unterauftragnehmer des US-Amerikanischen Verteidigungsministeriums (Department of Defense, DoD), die kontrollierte, nicht klassifizierte Informationen (Controlled Unclassified Information, CUI) speichern oder verarbeiten, dazu, die in den DFARS genannten Mindestsicherheitsstandards einzuhalten. Die Nichteinhaltung der DFARS-Anforderungen kann zur Kündigung bestehender DoD-Verträge führen.
DFARS-ANFORDERUNGEN
- 1Die 14 Hauptabschnitte enthalten 110 detaillierte Anforderungen, die die DoD-Vertragspartner alle erfüllen müssen. Wir haben die allgemeineren Abschnitte auf sieben der am stärksten auf Infosec ausgerichteten Kategorien und 13 spezifische Anforderungen eingegrenzt, und zwar diejenigen, bei deren Bewältigung Auftragnehmer des Verteidigungsministeriums wahrscheinlich die meiste Hilfe benötigen werden:
- 2Abschnitt 3.1 – Zugriffskontrolle: Gewährung oder Verweigerung von Zugriffs- und/oder Nutzungsrechten für Informationen.
- 3Abschnitt 3.3 – Audits und Rechenschaftspflicht: Verfolgung, Überprüfung und Kontrolle der Einhaltung der Systemanforderungen.
- 4Abschnitt 3.5 – Identifizierung und Authentifizierung: Verwaltung von Benutzeridentitäten und angemessene Authentifizierung dieser Identitäten für die Verwendung mit Informationen/Verfahren.
- 5Abschnitt 3.6 – Incident Response: Einführung gut getesteter Prozesse zur Behandlung von Vorfällen (z. B. Erkennung von Bedrohungen, Analyse, Reaktion, Wiederherstellung) für die Informationssysteme der Organisation.
- 6Abschnitt 3.11 – Risikobewertung: Regelmäßige Bewertung der Risiken für Informationssysteme und Daten, um organisatorische Risiken effektiv zu verfolgen und zu verwalten.
- 7Abschnitt 3.13 – System- und Kommunikationsschutz: Überwachung, Kontrolle und Schutz der gesamten Unternehmenskommunikation.
- 8Abschnitt 3.14 – System- und Informationsintegrität: Überwachung aller Informations- und Kommunikationssysteme auf Indikatoren für bedrohlichen Verkehr und/oder Aktivitäten.
- Erstellung, Schutz, Aufbewahrung und Überprüfung von Systemprotokollen.
- Entwicklung von Maßnahmen zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Reaktion auf Zwischenfälle.
- Bewertung des mit der Verarbeitung, Speicherung und Übermittlung von kontrollierten, nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) verbundenen Betriebsrisikos.
- Überwachung, Bewertung und Behebung von Mängeln und Verringerung oder Beseitigung von Schwachstellen in Informationssystemen von Organisationen.
Federal Acquisition Regulation
- USA
- Behörden
0
FAR auf einen Blick
Die Federal Acquisition Regulation (FAR) ist ein Regelwerk, das die Regeln festlegt, welche die Regierung beim Erwerb von Waren und Dienstleistungen im Rahmen von Beschaffungsverträgen zu befolgen hat.
Insbesondere FAR 52.204-21 – eine Klausel innerhalb der FAR und ihrer Ergänzung, DFARS – enthält spezifische Cybersecurity-Vorschriften für Auftragnehmer des Staates.
Federal Acquisition Regulation: Grundlegender Schutz von Informationssystemen betroffener Auftragnehmer
- USA
- Behörden
- Fertigung
15
FAR 52.204-21 auf einen Blick
Die Federal Acquisition Regulation (FAR) ist ein Regelwerk, das die Regeln festlegt, welche die Regierung beim Erwerb von Waren und Dienstleistungen im Rahmen von Beschaffungsverträgen zu befolgen hat.
FAR 52.204-21, "Basic Safeguarding of Covered Contractor Information Systems", ist eine Vertragsklausel der Federal Acquisition Regulation (FAR), die für alle Bundesverträge gilt, nicht nur für die des Verteidigungsministeriums. Sie enthält eine Reihe von 15 Cybersecurity-Kontrollen zum Schutz von Informationssystemen von Auftragnehmern, die Informationen aus Bundesverträgen speichern, verarbeiten oder übertragen.
Diese Klausel entspricht auch der Cybersecurity Maturity Model Certification (CMMC) Stufe 1.
FAR 52.204-21 – ANFORDERUNGEN
- 1Beschränken des Zugangs zum Informationssystem auf autorisierte Benutzer.
- 2Beschränken von Informationssystemen auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen.
- 3Überprüfung und Kontrolle/Begrenzung von Verbindungen zu externen Informationssystemen und deren Nutzung.
- 4Kontrolle von Informationen, die in öffentlich zugänglichen Informationssystemen veröffentlicht oder verarbeitet werden.
- 5Identifizierung von Benutzern des Informationssystems, von Prozessen, die im Namen von Benutzern handeln, oder von Geräten.
- 6Überprüfen der Identitäten dieser Benutzer, Prozesse oder Geräte als Voraussetzung für den Zugriff auf die Informationssysteme der Organisation.
- 7Reinigen oder Vernichten von Medien von Informationssystemen, die Informationen aus Bundesverträgen enthalten, vor der Entsorgung oder Freigabe zur Wiederverwendung.
- 8Beschränken des physischen Zugangs zu den Informationssystemen, der Ausrüstung und den entsprechenden Betriebsumgebungen der Organisation auf autorisierte Personen.
- 9Begleitung von Besuchern und Überwachung von Besucheraktivitäten; Führung von Audit-Logs über den physischen Zugang; Kontrolle und Verwaltung der physischen Zugangsgeräte.
- 10Überwachen, Kontrollieren und Schützen der Unternehmenskommunikation.
- 11Implementieren von physisch oder logisch von internen Netzen getrennten Teilnetzen für öffentlich zugängliche Systemkomponenten.
- 12Zeitnahes Erkennen, Melden und Korrigieren von Fehlern in Informationen und Informationssystemen.
- 13Schutz vor bösartigem Code an geeigneten Stellen im Informationssystem der Organisation.
- 14Aktualisieren der Schutzmechanismen gegen bösartigen Code, wenn neue Versionen verfügbar sind.
- 15Durchführen von regelmäßigen Scans des Informationssystems und Echtzeit-Scans von Dateien aus externen Quellen.
- Erstellung, Schutz, Aufbewahrung und Überprüfung von Systemprotokollen.
- Entwicklung von Maßnahmen zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Reaktion auf Zwischenfälle.
- Bewertung des mit der Verarbeitung, Speicherung und Übermittlung von kontrollierten, nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) verbundenen Betriebsrisikos.
- Überwachung, Bewertung und Behebung von Mängeln und Verringerung oder Beseitigung von Schwachstellen in Informationssystemen von Organisationen.
Family Educational Rights and Privacy Act (FERPA)
- USA
- Bildung
3
FERPA auf einen Blick
FERPA räumt den Eltern von Schülern unter 18 Jahren bestimmte Rechte in Bezug auf die Schülerdaten ein, die mit Erreichen des 18. Geburtstags auf die Schüler übergehen.
FERPA – ANFORDERUNGEN
- 1Einsicht in die von der Einrichtung geführten Schülerakten
- 2Bitte um Berichtigung von Aufzeichnungen, die sie für unrichtig halten
- 3Erteilen der schriftlichen Erlaubnis zur Weitergabe der Unterlagen
- Durchführung kontinuierlicher Schwachstellenprüfungen in internen und externen Netzwerken und auf Endgeräten
- Identifizierung und Priorisierung von Schwachstellen auf der Grundlage von Bedrohungsrisiko, Assets und Schweregrad
- Überwachung des Systemzugriffs, der Authentifizierung und anderer Sicherheitskontrollen, um Richtlinienverstöße zu erkennen
- Erkennung und Untersuchung neuer Geräte, sobald sie ins Netzwerk eingehen
Federal Financial Institutions Examination Council
- USA
- Finanzdienstleistungen
6
FFIEC auf einen Blick
Der Federal Financial Institutions Examination Council (FFIEC) ist das behördenübergreifende Gremium der US-Regierung. Es ist befugt, einheitliche Grundsätze, Standards und Berichtsformulare für die bundesweite Prüfung von Finanzinstituten festzulegen. Die FFIEC-Richtlinien gelten für bundesstaatlich beaufsichtigte Finanzinstitute.
FFIEC – ANFORDERUNGEN
- 1Zu den Zielen gehören die Ermittlung des inhärenten Risikoprofils des Instituts und die Bestimmung des Reifegrads der Organisation.
- 2Bereich 1: Cyber Risk Management und Überwachung
- 3Bereich 2: Threat Intelligence und Zusammenarbeit
- 4Bereich 3: Cybersecurity-Kontrollen
- 5Bereich 4: Verwaltung externer Abhängigkeiten
- 6Bereich 5: Cyber Incident Management und Resilienz
- Risiko-Management und Managed Detection and Response durch Sicherheitsexperten
- Bereitstellung von speziellem Sicherheitsfachwissen für Ihr IT-Team
- Kontinuierliche Cybersecurity-Überwachung und Schwachstellenanalysen rund um die Uhr
- Weitere Informationen zu jedem Bereich, Kontrollziel und jeder Kontrolltätigkeit finden Sie in der vollständigen Zusammenfassung der FFIEC-NCUA Compliance.
Federal Information Security Modernization Act von 2014
- USA
- Behörden
8
FISMA 2014 auf einen Blick
Der Federal Information Security Modernization Act von 2014 (FISMA 2014) regelt die Rolle des Department of Homeland Security bei der Verwaltung der Umsetzung von Informationssicherheitsrichtlinien für zivile Bundesbehörden der Exekutive, bei der Überwachung der Einhaltung dieser Richtlinien durch die Behörden und bei der Unterstützung des Office of Management and Budget (OMB) bei der Entwicklung dieser Richtlinien.
FISMA – ANFORDERUNGEN
- 1NIST entwickelt die Standards und Richtlinien für FISMA-Compliance anhand eines risikobasierten Ansatzes. Es wird ein Framework mit sieben Kernschritten verwendet, von denen sich einige auf spezifische NIST Special Publications (SPs) beziehen:
- 2Vorbereiten: Durchführung der wesentlichen Aktivitäten zur Vorbereitung auf das Risiko-Management nach dem Framework.
- 3Kategorisieren: Klassifizierung der zu schützenden Informationen und Systeme
- 4Auswählen: Festlegung der Basiskontrollen zum Schutz der kategorisierten Systeme und Daten.
- 5Implementieren: Bereitstellung und Dokumentation der entsprechenden Kontrollen.
- 6Bewerten: Bestimmung, ob die Kontrollen korrekt funktionieren und zu den gewünschten Ergebnissen führen.
- 7Autorisieren: Autorisierung des Betriebs des Systems auf Grundlage der Risikobestimmung.
- 8Überwachen: Kontinuierliche Überwachung und Bewertung der Wirksamkeit der Sicherheitskontrollen.
- Überwachung von Zugriffs- und Kontoänderungen an in den Anwendungsbereich fallenden Anwendungen in der Cloud
- Überwachung von Änderungen der Anwendungskonfiguration
Federal Trade Commission’s Standards for Safeguarding Customer Information
- USA
- Automobilbranche
- Finanzdienstleistungen
9
FTC Safeguards Rule auf einen Blick
Die FTC Safeguards Rule gilt für eine Vielzahl von Unternehmen, die Finanzdienstleistungen jeglicher Art für Kunden erbringen und nicht von anderen Behörden im Rahmen des GLBA reguliert werden – darunter Autohäuser, Einzelhändler, die Kreditkarten anbieten, und andere.
Die Safeguards Rule verpflichtet diese Unternehmen, ein Informationssicherheitsprogramm zum Schutz von Kundendaten zu entwickeln, umzusetzen und aufrechtzuerhalten.
Die überarbeitete Safeguards Rule umfasst neun Schlüsselkomponenten:
- 1Organisationen müssen eine "qualifizierte Person" benennen, die als Aufsichtsperson für ihr Cybersecurity-Programm fungiert und dem Vorstand schriftlich Bericht erstattet.
- 2Sie müssen regelmäßige Risikobewertungen sowohl ihrer eigenen Sicherheitssysteme als auch der Sicherheitssysteme ihrer Lieferanten durchführen, um sicherzustellen, dass alle Kunden- und Auftraggeberdaten verschlüsselt aufbewahrt werden.
- 3Sie müssen Sicherheitsvorkehrungen treffen, um die ermittelten Risiken zu kontrollieren, z. B. Identitäts- und Zugriffsverwaltung, Verschlüsselung und Multi-Faktor-Authentifizierung.
- 4Sie müssen die Wirksamkeit der Schlüsselkontrollen testen und überwachen, z. B. durch kontinuierliche Überwachung und Schwachstellenanalysen.
- 5Sie müssen sicherstellen, dass alle Mitarbeiter eine Schulung zum Thema Sicherheit erhalten, die bei Bedarf aktualisiert und an neue und geänderte Risiken angepasst wird.
- 6Sie müssen von ihren eigenen Dienstleistern verlangen, dass sie durch Auswahl, Vertragsbedingungen und Bewertungen angemessene Sicherheitsvorkehrungen treffen.
- 7Sie müssen ihr Sicherheitsprogramm auf der Grundlage der Ergebnisse ihrer Überwachung und etwaiger Änderungen der Geschäftsabläufe kontinuierlich anpassen.
- 8Sie müssen einen schriftlichen Incident-Response-Plan erstellen, in dem die Aufgaben, Zuständigkeiten und Abhilfemaßnahmen im Falle eines Vorfalls beschrieben werden.
- 9Schließlich muss die qualifizierte Person schriftlich über den Gesamtstatus des Sicherheitsprogramms berichten.
- Die Lösungen von Arctic Wolf für Security Operations rationalisieren viele der im Rahmen der Safeguards Rule erforderlichen Aktivitäten.
- Arctic Wolf MDR ermöglicht die Überwachung der wichtigsten Sicherheitskontrollen, einschließlich Zugriffskontrollen, Bestandsaufnahme des Systems, Multi-Faktor-Authentifizierung und mehr.
- Arctic Wolf Managed Risk bietet regelmäßige Schwachstellenanalysen.
- Arctic Wolf Managed Awareness bietet Schulungen zum Thema Sicherheit für Mitarbeiter
- Arctic Wolf MDR und Tetra können eine Schlüsselrolle in einem Incident-Response-Plan spielen.
- Berichte und Anleitungen des Concierge Security Teams können die Risikobewertung und die qualifizierte Person bei der Verwaltung des gesamten Informationssicherheitsprogramms unterstützen.
Datenschutz-Grundverordnung
- Europäische Union
- Alle
5
DSGVO auf einen Blick
Die von der Europäischen Kommission aufgestellte Datenschutz-Grundverordnung (DSGVO) regelt den Datenschutz für Unternehmen, die personenbezogene Daten von EU-Bürgern speichern oder verarbeiten. Neben dem Schutz personenbezogener Daten räumt die Datenschutz-Grundverordnung Verbrauchern weitreichende Rechte in Bezug auf ihre Daten ein und sieht hohe Strafen für die Nichteinhaltung vor. Sie müssen keine Geschäftsniederlassung in der Europäischen Union haben, um der DSGVO zu unterliegen.
DSGVO – ANFORDERUNGEN
- 1 Ernennung eines Datenschutzbeauftragten
- 2 Anwendung des Konzepts "Privacy by design"
- 3 Implementierung von Datenschutzmaßnahmen
- 4 Benachrichtigung der Aufsichtsbehörden über Datenschutzverstöße innerhalb von 72 Stunden
- 5Die DSGVO gibt den Verbrauchern auch das Recht, auf ihre Daten zuzugreifen, über gesammelte Daten informiert zu werden, die Verarbeitung ihrer Daten einzuschränken und vieles mehr.
- Gewährleistung der Datensicherheit durch Vulnerability Management, Erkennung und Reaktion sowie Benutzerschulung
- Anleitung und Beratung durch das CST zu anderen Datensicherheitsmaßnahmen, die Organisationen umsetzen können
- Erleichterung der raschen Meldung von Datenschutzverstößen durch sofortige Erkennung und Reaktion
Gramm-Leach-Bliley Act
- USA
- Finanzdienstleistungen
8
GLBA auf einen Blick
Gemäß Gramm-Leach-Bliley Act (GLBA) müssen Organisationen, die als "Finanzinstitute" definiert sind, Kundendaten sicher und vertraulich behandeln. Die Safeguards Rule, einer der drei Abschnitte des GLBA, wurde am 9. Dezember 2021 aktualisiert. Mit dieser Aktualisierung stellt die Federal Trade Commission (FTC) fest, dass eine Organisation, die "eine Tätigkeit ausübt, die finanzieller Natur ist oder mit solchen finanziellen Tätigkeiten zusammenhängt", als "Finanzinstitut" gilt und die Vorschriften einhalten muss.
Die wichtigsten Änderungen der Safeguards Rule treten am 6. Dezember 2022 in Kraft. Wer muss die Safeguards Rule einhalten?
Betrachten Sie die folgenden Beispiele von Organisationen, die gemäß der Safeguards Rule als "Finanzinstitute" gelten:
- Einzelhändler, die Kreditkarten ausgeben
- Autohäuser, die Autos langfristig – länger als 90 Tage – leasen
- Organisationen, die Immobilien oder persönliches Eigentum begutachten
- Berater, die Personen unterstützen, die mit einem Finanzinstitut verbunden sind
- Unternehmen, die im Auftrag von Kunden Schecks drucken und verkaufen oder Geld überweisen
- Unternehmen, die Bargelddienste anbieten
- Ersteller von Einkommensteuererklärungen
- Reisebüros
- Abrechnungsdienstleistungen für Immobilien
- Hypothekenmakler
- Hochschulen und Universitäten, die Mittel aus Title IV annehmen
GLBA – ANFORDERUNGEN
-
1Die Safeguards Rule schreibt vor, dass Finanzinstitute die von ihnen gesammelten Verbraucherdaten schützen müssen.
Die Anforderungen umfassen:- Benennung einer Person oder Gruppe, die ein Informationssicherheitsprogramm koordiniert.
- Identifizierung und Bewertung von Risiken für Kundendaten und Bewertung der Wirksamkeit der bestehenden Kontrollen.
- Umsetzung, Überwachung und Prüfung eines Programms zur Gefahrenabwehr.
- Evaluierung des Programms, wenn sich die Geschäftsabläufe oder andere Umstände ändern.
- Sicherstellung, dass Dienstleister die entsprechenden Sicherheitsvorkehrungen treffen können.
- 2Die Privacy of Consumer Information Rule (Privacy Rule) schreibt vor, dass beaufsichtigte Unternehmen die Verbraucher über ihre Praktiken bei der Datenerfassung informieren und ihnen ihre Rechte auf Widerspruch erläutern müssen. Die Vorschrift enthält Anforderungen an den Inhalt der Bekanntmachungen, die Zustellungsmethoden und die Häufigkeit.
- Verschaffen Sie sich einen umfassenden Überblick über Bedrohungen, die auf Kundendaten auf Remote-Endgeräten, im Unternehmensnetzwerk und in Cloud-Anwendungen abzielen.
- Bedrohungserkennung und -abwehr 24/7/365 auf Angriffe auf nicht-öffentliche Kundendaten (NPI)
- Proaktive Bewertungen von Cyberrisiken und strategische Sicherheitsberatung zur Stärkung des Sicherheitsniveaus des Unternehmens
Health Insurance Portability and Accountability Act
- USA
- Gesundheitswesen
7
HIPAA auf einen Blick
Das US-Gesundheitsministerium schuf 1996 den Health Insurance Portability and Accountability Act (HIPAA), um die Vertraulichkeit und Integrität elektronischer geschützter Gesundheitsdaten (ePHI) zu schützen. Mit dem Health Information Technology for Economic and Clinical Health Act (HITECH) von 2009 wurden verpflichtende Prüfungen und Geldstrafen bei Nichteinhaltung der Vorschriften eingeführt.
HIPAA – ANFORDERUNGEN
- 1Der HIPAA verlangt die Umsetzung von drei Arten von Sicherheitsvorkehrungen: 1) administrativ, 2) physisch und 3) technisch.
- 2Administrative Schutzvorkehrungen
- 3Erfordert eine Risikoanalyse, um festzustellen, welche Sicherheitsmaßnahmen für Ihre Organisation angemessen und geeignet sind, einschließlich der folgenden Aktivitäten: Bewertung der Wahrscheinlichkeit und der Auswirkungen potenzieller Risiken für ePHI, Umsetzung geeigneter Sicherheitsmaßnahmen zur Bewältigung der in der Risikoanalyse ermittelten Risiken, Dokumentation der gewählten Sicherheitsmaßnahmen und gegebenenfalls der Gründe für die Annahme dieser Maßnahmen sowie Aufrechterhaltung kontinuierlicher, angemessener und geeigneter Sicherheitsvorkehrungen
- 4Physische Sicherheitskontrollen und -maßnahmen
- 5Umfasst Maßnahmen für den Zugang zur Einrichtung und deren Kontrolle: Abgedeckte Einrichtungen und Geschäftspartner müssen den physischen Zugang zu Einrichtungen begrenzen und gleichzeitig den autorisierten Zugang zu ePHI ermöglichen; Sicherheit von Arbeitsplätzen und Geräten: Abgedeckte Einrichtungen und Geschäftspartner müssen: Richtlinien und Verfahren zur Festlegung der ordnungsgemäßen Nutzung von und des Zugangs zu Arbeitsplätzen und elektronischen Medien implementieren. Richtlinien und Verfahren für die Übertragung, Entfernung, Entsorgung und Wiederverwendung von elektronischen Medien einführen.
- 6Technische Sicherheitsvorkehrungen
- 7Einbinden von Maßnahmen – einschließlich Firewalls, Verschlüsselung und Datensicherung – die zur Sicherung von ePHI zu ergreifen sind. Diese Sicherheitsvorkehrungen umfassen Folgendes: Zugriffskontrollen: Umsetzung von technischen Richtlinien und Verfahren, die nur befugten Personen den Zugriff auf ePHI ermöglichen. Audit-Kontrollen: Einführung von Hardware-, Software- und/oder Verfahrensmechanismen zur Aufzeichnung und Überprüfung des Zugriffs auf Informationssysteme, die ePHI enthalten oder verwenden. Integritätskontrollen: Umsetzung von Richtlinien und Verfahren, um sicherzustellen, dass ePHI nicht unzulässig verändert oder vernichtet wurden und werden. Übertragungssicherheit: Umsetzung technischer Sicherheitsmaßnahmen zum Schutz vor unerlaubtem Zugriff auf ePHI, die über ein elektronisches Netz übertragen werden.
- Das unabhängige Analyseunternehmen Coalfire fand heraus, dass Arctic Wolf bei elf der zwölf technischen Schutzmaßnahmen helfen kann und einen Compliance-Mehrwert bietet.
- Vereinfachung der HIPPA-Compliance durch benutzerdefinierte Berichte.
- Überwachung des Zugriffs auf elektronische Gesundheitsinformationen (ePHI) vor Ort und in der Cloud.
- Echtzeit-Warnungen bei unerlaubtem Zugriff auf ePHI-Daten.
- Überwachung des Endbenutzer- und Verwaltungszugriffs und der Konfigurationsänderungen auf allen Systemen, die ePHI-Daten erstellen, empfangen, verwalten und übertragen.
- Überwachung der Aktivitäten aktiver und inaktiver Benutzerkonten, Eskalation der Deprovisionierung inaktiver Konten durch manuelle/automatische Mittel.
- Überprüfen von Änderungen in Active Directory (AD), Gruppenrichtlinien, Exchange und Dateiservern und Markieren nicht autorisierter Aktionen.
- Überwachen fehlgeschlagener/erfolgreicher An-/Abmeldungen und aller Passwortänderungen, um übermäßige Anrufe beim Helpdesk zu vermeiden.
- Untersuchen aller Angriffsvektoren (z. B. Phishing, Ransomware usw.) und Erzeugen von Sicherheitsvorfälle, um Reaktionsmaßnahmen einzuleiten.
- Überprüfen anomaler Anmeldeaktivitäten und Änderungen, einschließlich der Vorher/Nachher-Werte für eine sofortige Datenwiederherstellung.
- Scannen von Endgeräten auf ungepatchte Schwachstellen und Sammeln von Protokollinformationen von Endgerätesicherheitslösungen, wenn unerlaubter Zugriff oder fortgeschrittene Malware entdeckt wird.
- Überwachen und Melden von Benutzeran- und -abmeldungen in Active Directory, aller Benutzeraktivitäten auf Endgeräten und kontinuierliche Überwachung des Netzwerkverkehrs, um anomale Aktivitäten zu erkennen.
- Erstellen von Berichten über das Anlegen und Löschen von Konten, Richtlinien zur Datenaufbewahrung, Admin-Sperren, Konfigurationsänderungen und darüber, wer, was, wo und wann diese Änderungen vorgenommen hat.
Healthcare Information Trust Alliance
- USA
- Gesundheitswesen
4
HITRUST auf einen Blick
Die Healthcare Information Trust Alliance (HITRUST) entwickelte das Common Security Framework (CSF) auf der Grundlage einer Vielzahl von bundes- und landesweiten Vorschriften, Frameworks und Standards. Das HITRUST CSF bietet überwachten Organisationen im Gesundheitswesen eine Reihe gemeinsamer Standards, die sie übernehmen und zur Bewertung ihrer Anbieter verwenden können.
HITRUST CSF – ANFORDERUNGEN
- 1 Organisatorische Faktoren wie geografische Reichweite und Geschäftsvolumen
- 2 Regulatorische Faktoren, die auf den spezifischen Compliance-Anforderungen der Organisation beruhen, einschließlich Sektor und Geografie
- 3 Systemfaktoren, die sich auf die Risiken des Daten-Managements auswirken, z. B. Datenspeicherung und -übertragung, Internetzugang, Zugriff durch Dritte, Anzahl der Nutzer und Anzahl der täglichen Transaktionen
- 4Das Framework sieht auch alternative Management-, technische oder betriebliche Kontrollen vor, die unter bestimmten Bedingungen angewendet werden können.
- Arctic Wolf MDR erstellt Berichte über die HITRUST-Kontrollen, die als unsere Dienste zu Protokollquellen in Bezug auf Authentifizierung und Autorisierung dargestellt werden.
IRS Pub 1075
- USA
- Behörden
9
IRS Pub 1075 auf einen Blick
Internal Revenue Service Publication 1075 (IRS 1075) ist eine Anleitung für US-Behörden und deren Beauftragte, die Zugang zu Bundessteuerinformationen (Federal Tax Information, FTI) haben, um sicherzustellen, dass sie Richtlinien, Praktiken und Kontrollen zum Schutz der Vertraulichkeit anwenden. IRS 1075 zielt darauf ab, das Risiko des Verlusts, der Verletzung oder des Missbrauchs von FTI im Besitz von externen Behörden zu minimieren.
IRS PUB 1075 – ANFORDERUNGEN
- 1Zum Schutz von FTI schreibt IRS 1075 Sicherheits- und Datenschutzkontrollen für Anwendungen, Plattformen und Rechenzentrumsdienste vor.
- 2Einige der erforderlichen Kontrollen sind die folgenden elektronischen und physischen Maßnahmen:
- 3Anforderungen an Aufzeichnungen: Führen eines dauerhaften Systems aller FTI-Aufzeichnungen und aller damit zusammenhängenden Daten, einschließlich der Zugriffsrechte.
- 4Sichere Aufbewahrung: Einzelheiten über die physische und elektronische Sicherheit des Ortes, an dem FTI-Daten gespeichert werden. Dazu gehören Dinge wie Sperrbereiche, autorisierter Zugang, Schlösser und Schlüssel, Tresore, Transportsicherheit, Sicherheit von Computern und Speichermedien.
- 5Zugriffsbeschränkung: Einzelheiten über den Zugriff auf FTI-Daten.
- 6Anforderungen an die Berichterstattung: Regelmäßige Berichte wie SAR (Safeguard Activity Report) und SPR (Safeguard Procedures Report) müssen an die IRS geschickt werden.
- 7Schulungen und Inspektionen: Sensibilisierung für die Sicherheit und jährliche Zertifizierung der Mitarbeiter. Jährliche Inspektionen sind ebenfalls erforderlich, um die ordnungsgemäße Umsetzung zu überprüfen.
- 8Entsorgung: Angemessene Standards für die Entsorgung von FTI-Daten für physische und elektronische Medien.
- 9Sicherheit von Computersystemen: Der wahrscheinlich komplexeste und detaillierteste Abschnitt dieser Verordnung bezieht sich auf alles im Zusammenhang mit Zugriffskontrolle, Kryptographie, E-Mails, Netzwerken bis hin zu drahtlosen Technologien und allen neuen Technologien.
- Arctic Wolf kann Nachweise und Artefakte in Bezug auf Datenzugriff, Sicherheitsschulungen für Mitarbeiter und Unterstützung für Sicherheitsprogramme für Computersysteme liefern.
Internationale Organisation für Normung: Standard für Informationssicherheit
- International
- Alle
15
ISO 27002 auf einen Blick
Dieses Dokument, "Internationale Organisation für Normung: IT-Sicherheitsverfahren 2022", bietet eine Reihe von allgemeinen Informationssicherheitskontrollen sowie Leitlinien für deren Umsetzung. Dieses Dokument ist für die Verwendung durch Organisationen bestimmt:
A) Im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) auf Basis von ISO/IEC 27001
B) Zur Durchführung von Informationssicherheitskontrollen auf Basis international anerkannter Best Practices
C) Zur Entwicklung organisationsspezifischer Richtlinien für das Management der Informationssicherheit.
ISO 27002:2022 – ANFORDERUNGEN
- 1In Anhang A von ISO 27001 sind 114 Sicherheitskontrollen aufgeführt, die in 14 Kontrollgruppen unterteilt sind, von denen jede in den Klauseln 5–18 von ISO 27002 näher erläutert wird:
- 2A.5 Weisungen und Richtlinien zur Informationssicherheit
- 3A.6 Organisatorische Sicherheitsmaßnahmen und Managementprozess
- 4A.7 Personelle Sicherheit
- 5A.8 Verantwortung und Klassifizierung von Informationswerten
- 6A.9 Zugriffskontrolle
- 7A.10 Kryptographie
- 8A.11 Physische Sicherheit und öffentliche Versorgungsdienste
- 9A.12 Betriebssicherheit
- 10A.13 Kommunikationssicherheit
- 11A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen
- 12A.15 Lieferantenbeziehungen
- 13A.16 Umgang mit Sicherheitsvorfällen
- 14A.17 Informationssicherheitsaspekte beim Business Continuity Management
- 15A.18 Compliance
- Arctic Wolf kann Nachweise und Artefakte im Zusammenhang mit Asset-Management, Zugriffskontrolle, Systemwartung und mehr liefern. Arctic Wolf MDR bietet Unterstützung bei Informationssicherheitsvorfällen.
International Traffic in Arms Regulations
- USA
- Verteidigung
6
ITAR auf einen Blick
Die International Traffic in Arms Regulations (ITAR) der Vereinigten Staaten regeln die Herstellung, den Verkauf und den Vertrieb von Verteidigungs- und Raumfahrtprodukten und -dienstleistungen.
ITAR – ANFORDERUNGEN
- Die Vorschriften sind einfach: Nur US-Bürger haben Zugang zu Gütern auf der USML-Liste. In der USML gibt es 21 Kategorien von Verteidigungsartikeln.
- 2Befolgen Sie diese Grundprinzipien, um Ihre ITAR-Daten zu sichern:
- 3-Vertrauliche Daten entdecken und klassifizieren
- 4- Daten und Berechtigungen zuordnen
- 5- Zugriffskontrolle verwalten
- 6- Daten, Dateiaktivitäten und Benutzerverhalten überwachen
- Daten, Dateiaktivitäten und Benutzerverhalten überwachen
- Assets systemübergreifend auditieren
- Zugriffskontrollen und Zugriffsaktivitäten überwachen und protokollieren
IT-Sicherheitsgesetz 2.0
- Deutschland
- Alle
6
KRITIS auf einen Blick
In Deutschland gelten für Betreiber kritischer Infrastrukturen besondere Vorschriften nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Beeinträchtigung zu dauerhaften Versorgungsengpässen, erheblichen Beeinträchtigungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen würde. Welche davon als kritische Infrastrukturen zu betrachten sind, regelt die KRITIS-Verordnung im BSI-Gesetz.
Mit dem IT-Sicherheitsgesetz 2.0 wurde im Mai 2021 neben den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzen und Versicherungen auch die Abfallwirtschaft in den Kreis der potenziellen Betreiber kritischer Infrastrukturen aufgenommen.
IT-SICHERHEITSGESETZ 2.0 – ANFORDERUNGEN
- 1Wurde aufgrund einer Überprüfung festgestellt, dass ein Unternehmen eindeutig der kritischen Infrastruktur zuzuordnen ist, muss es nach den Vorschriften des BSI-Gesetzes die folgenden Anforderungen erfüllen:
- 2Meldung und Registrierung beim BSI als Betreiber kritischer Infrastrukturen.
- 3Einrichtung eines Ansprechpartners als Schnittstelle zum BSI
- 4Zuverlässige Erkennung kritischer Sicherheitsvorfälle und unverzügliche Meldung an das BSI
- 5Implementierung von IT-Sicherheit nach dem Stand der Technik
- 6Durchführung eines IT-Sicherheitsaudits alle zwei Jahre
- Sicherheitsvorfälle erkennen und darauf reagieren
- Concierge-Beratung auf dem Weg zu mehr Sicherheit für ein Unternehmen
- Bereitstellung von Nachweisen, Artefakten und Berichten über Sicherheitskontrollen und -praktiken für Audits und Überprüfungen
Massachusetts General Law Chapter 93H: Security Breach
- Massachussets – USA
- Alle
9
Massachusetts General Law Chapter 93H: Security Breach auf einen Blick
Chapter 93H schreibt vor, dass eine Person oder Behörde, die Daten besitzt oder lizenziert, die personenbezogene Informationen über einen Einwohner des Commonwealth enthalten, so schnell wie möglich und ohne unangemessene Verzögerung den Generalstaatsanwalt, das Office of Consumer Affairs and Business Regulation (OCABR) und die betroffenen Einwohner benachrichtigen muss, wenn eine solche Person oder Behörde (1) von einer Sicherheitsverletzung weiß oder Grund zu der Annahme hat oder (2) weiß oder Grund zu der Annahme hat, dass die personenbezogenen Informationen eines solchen Einwohners von einer unbefugten Person erworben oder verwendet oder für einen unerlaubten Zweck genutzt wurden.
MASSACHUSETTS GENERAL LAW CHAPTER 93H – ANFORDERUNGEN
- 1Die Mitteilung an den Generalstaatsanwalt und das OCABR muss neben der Art des Verstoßes und der Anzahl der Einwohner des Bundesstaates folgende Angaben enthalten:
- 2 Name und Anschrift der Person oder Stelle, die von der Sicherheitsverletzung betroffen war
- 3 Name und Titel der Person oder Stelle, die den Sicherheitsverstoß meldet
- 4 Ihre Beziehung zu der Person oder Stelle, die von der Sicherheitsverletzung betroffen war
- 5 Art der Person oder Stelle, die den Sicherheitsverstoß meldet
- 6 Die für den Sicherheitsverstoß verantwortliche Person, falls bekannt
- 7 Die Art der gefährdeten personenbezogenen Informationen, einschließlich, aber nicht beschränkt auf Sozialversicherungsnummer, Führerscheinnummer, Kontonummer, Kredit- oder Debitkartennummer oder andere Daten
- 8 Ob die Person oder Behörde ein WISP schriftliches Informationssicherheitsprogramm unterhält
- 9 Alle Schritte, die die Person oder Behörde im Zusammenhang mit dem Vorfall unternommen hat oder zu unternehmen gedenkt, einschließlich der Angabe, ob sie das schriftliche Informationssicherheitsprogramm aktualisiert hat.
- Arctic Wolf MDR kann helfen, einen Sicherheitsvorfall schnell zu identifizieren, darauf zu reagieren und Nachweise für den Umfang und die Auswirkungen des Vorfalls zu liefern.
National Credit Union Administration
- USA
- Finanzdienstleistungen
2
NCUA auf einen Blick
Die National Credit Union Administration (NCUA) verfolgt bei der Prüfung und Beaufsichtigung von Kreditgenossenschaften einen risikobasierten Ansatz.
Alle bundesweit versicherten Kreditgenossenschaften werden regelmäßig von der NCUA geprüft. Um sowohl die Einhaltung der geltenden Gesetze und Vorschriften als auch die Sicherheit und Solidität zu gewährleisten, wird bei jeder Prüfung das Informationssicherheitsprogramm der Kreditgenossenschaft überprüft.
NCUA – ANFORDERUNGEN
- 1Obwohl die NCUA für ihre risikobasierte Prüfung eine Vielzahl von Ressourcen und Frameworks verwendet, sollten die von der NCUA beaufsichtigten Kreditgenossenschaften die Compliance-Standards des Federal Financial Institutions Examination Council (FFIEC) befolgen.
- Weitere Informationen von der NCUA finden Sie hier oder in den FFIEC Compliance Standards.
- Risiko-Management und Managed Detection and Response durch Sicherheitsexperten
- Bereitstellung von speziellem Sicherheitsfachwissen für Ihr IT-Team
- Kontinuierliche Cybersecurity-Überwachung und Schwachstellenanalysen rund um die Uhr
- Weitere Informationen zu jedem Bereich, Kontrollziel und jeder Kontrolltätigkeit finden Sie in der vollständigen Zusammenfassung der FFIEC-NCUA Compliance.
Federal Energy Regulatory Commission/North American Electric Reliability Corporation – Critical Infrastructure Protection
- USA
- Kanada
- Energie
11
NERC CIP auf einen Blick
North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) zum Schutz kritischer Infrastrukturen umfasst eine Reihe von Standards zur Regulierung, Durchsetzung, Überwachung und Verwaltung der Sicherheit des Bulk Electric System (BES) in Nordamerika. Diese Normen gelten speziell für die Cybersecurity-Aspekte des BES. Die NERC CIP-Standards bieten ein Cybersecurity-Framework, um kritische Anlagen zu identifizieren und zu schützen, die die effiziente und zuverlässige Stromversorgung des nordamerikanischen BES beeinflussen können.
NERC CIP – ANFORDERUNGEN
- 1CIP-002-5.1a Cybersecurity – Kategorisierung von BES-Cybersystemen
- 2CIP-003-8 Cybersecurity – Sicherheitsverwaltungskontrollen
- 3CIP-004-6 Cybersecurity – Personal und Schulung
- 4CIP-005-6 Cybersecurity – Elektronische Sicherheitsperimeter
- 5CIP-006-6 Cybersicherheit – Physische Sicherheit von BES-Cybersystemen
- 6CIP-007-6 Cybersecurity – System-Sicherheitsverwaltung
- 7CIP-008-6 Cybersecurity – Berichterstattung über Cybersecurity-Vorfälle und Reaktionsplanung
- 8CIP-009-6 Cybersecurity – Wiederherstellungspläne für BES-Cybersysteme
- 9CIP-010-3 Cybersecurity – Verwaltung von Konfigurationsänderungen und Schwachstellenanalyse
- 10CIP-011-2 Cybersicherheit – Informationsschutz
- 11CIP-013-1 Cybersicherheit – Risiko-Management in der Lieferkette
- Unterstützung von Incident-Response-Maßnahmen
- Überwachung und Bereitstellung von Nachweisen und Artefakten zum System- und Sicherheits-Management
- Transparenz, Benchmarking und Berichte zu Schwachstellen, Fehlkonfigurationen und Risiken
- Durchführung von Managed Security Awareness-Schulungen
Schutz von Controlled Unclassified Information (CUI) in nicht-bundesstaatlichen Systemen und Organisationen: Erhöhte Sicherheitsanforderungen für kritische Programme und Assets von hohem Wert
- USA
- Alle
- Auftragnehmer des Staates
- Behörden
33
NIST 800-171B auf einen Blick
NIST SP 800-171B ist eine völlig neue Veröffentlichung, die 33 erweiterte Sicherheitsanforderungen einführt, welche dazu beitragen sollen, DoD-Vertragspartner (insbesondere ihre hochwertigen Assets und kritischen Programme einschließlich CUI) vor modernen Angriffstaktiken und -techniken im Zusammenhang mit Advanced Persistent Threats (APTs) zu schützen.
Die erhöhten Sicherheitsanforderungen gelten nur dann für ein nicht-bundesstaatliches System oder eine nicht-bundesstaatliche Organisation, wenn sie von einer Bundesbehörde in einem Vertrag, einem Zuschuss oder einer anderen Vereinbarung vorgeschrieben werden.
NIST SP 800-171B – ANFORDERUNGEN
- 11. Doppelte Autorisierung, um kritische oder vertrauliche System- und Organisationsoperationen auszuführen.
- 2Beschränkung des Zugriffs auf Systeme und Systemkomponenten auf die Informationsressourcen, die der Organisation gehören, von ihr bereitgestellt oder ausgegeben werden.
- 3Einsatz von Lösungen für sichere Informationsübertragung zur Kontrolle des Informationsflusses zwischen Sicherheitsdomänen auf verbundenen Systemen.
- 4Sensibilisierungsschulungen zur Erkennung von und Reaktion auf Bedrohungen durch Social Engineering, Advanced Persistent Threats, Sicherheitsverletzungen und verdächtige Verhaltensweisen; Aktualisierung der Schulungen mindestens einmal jährlich oder bei wesentlichen Änderungen der Bedrohungslage.
- 5Einbindung praktischer Übungen in Sensibilisierungsschulungen, die sich an aktuellen Bedrohungsszenarien orientieren, und Rückmeldung an die an der Schulung beteiligten Personen und ihre Vorgesetzten.
- 6Einrichtung und Pflege einer maßgeblichen Quelle und eines Repositorys, um eine vertrauenswürdige Quelle und Rechenschaftspflicht für genehmigte und implementierte Systemkomponenten zu schaffen.
- 7Einsatz automatischer Mechanismen, um das Vorhandensein von fehlkonfigurierten oder nicht autorisierten Systemkomponenten zu erkennen und die Komponenten entweder zu entfernen oder sie in ein Quarantäne- oder Abhilfe-Netzwerk zu stellen, das Patches, eine Neukonfiguration oder andere Abhilfemaßnahmen ermöglicht.
- 8Verwenden von automatisierten Erkennungs- und Verwaltungswerkzeugen, um eine aktuelle, vollständige, genaue und leicht verfügbare Bestandsaufnahme der Systemkomponenten zu pflegen.
- 9Identifizierung und Authentifizierung von Systemen und Systemkomponenten vor dem Aufbau einer Netzwerkverbindung unter Verwendung einer bidirektionalen Authentifizierung, die kryptografisch basiert und wiederholungssicher ist.
- 10Verwenden von Passwort-Managern für die Erstellung, Rotation und Verwaltung von Passwörtern für Systeme und Systemkomponenten, die keine Multifaktor-Authentifizierung oder komplexe Kontoverwaltung unterstützen.
- 11Verwendung automatischer Mechanismen, um Systemkomponenten daran zu hindern, sich mit Organisationssystemen zu verbinden, wenn die Komponenten nicht bekannt, authentifiziert, in einem ordnungsgemäß konfigurierten Zustand oder in einem Vertrauensprofil sind.
- 12Einrichtung und Aufrechterhaltung eines Security Operations Center in Vollzeit.
- 13Einrichtung und Aufrechterhaltung eines Teams für die Reaktion auf Cybervorfälle, das innerhalb von 24 Stunden an jeden von der Organisation angegebenen Ort entsandt werden kann.
- 14Verstärkte Überprüfung der Vertrauenswürdigkeit des Personals (Vetting) und ständige Neubewertung der Vertrauenswürdigkeit jedes Einzelnen.
- 15Sicherstellen, dass Organisationssysteme geschützt werden, wenn nachteilige Informationen über die Vertrauenswürdigkeit von Personen mit Zugang zu CUI auftauchen.
- 16Nutzung von Threat Intelligence als Grundlage für die Entwicklung von System- und Sicherheitsarchitekturen, die Auswahl von Sicherheitslösungen, die Überwachung, die Suche nach Bedrohungen sowie für Reaktions- und Wiederherstellungsmaßnahmen.
- 17Aufbau und Pflege einer Fähigkeit zur Suche nach Cyberbedrohungen, um nach Anzeichen für eine Gefährdung von Organisationssystemen zu suchen und Bedrohungen, die sich bestehenden Kontrollen entziehen, zu erkennen, zu verfolgen und zu unterbinden.
- 18Nutzung fortschrittlicher Automatisierungs- und Analysefunktionen, um Risiken für Organisationen, Systeme oder Systemkomponenten vorherzusagen und zu erkennen.
- 19Dokumentation oder Referenzierung der Risikogrundlage für die Auswahl der Sicherheitslösung im System-Sicherheitsplan und Identifizierung der System- und Sicherheitsarchitektur, der Systemkomponenten, der Isolation der Grenzen oder der Schutzmechanismen und Abhängigkeiten von externen Dienstleistern.
- 20Mindestens einmal pro Jahr Bewertung der Wirksamkeit der Sicherheitslösungen, um den zu erwartenden Risiken für das System und die Organisation auf der Grundlage aktueller und gesammelter Threat Intelligence zu begegnen.
- 21Bewertung, Reaktion und Überwachung von Risiken in der Lieferkette im Zusammenhang mit Organisationssystemen.
- 22Entwicklung und bedarfsgerechte Aktualisierung eines Plans für das Management von Lieferkettenrisiken im Zusammenhang mit Organisationssystemen.
- 23Mindestens einmal jährlich Penetrationstests mit automatischen Scanning-Tools und Ad-hoc-Tests mit menschlichen Experten.
- 24Einsatz verschiedener Systemkomponenten, um die Verbreitung von bösartigem Code einzudämmen.
- 25Verringerung der Angriffsfläche von Organisationssystemen und Systemkomponenten durch Unvorhersehbarkeit, bewegliche Ziele oder Nicht-Persistenz.
- 26Einsatz technischer und verfahrenstechnischer Mittel zur Verwirrung von Gegnern durch eine Kombination aus Irreführung, Verunreinigung oder Desinformation.
- 27Anwendung physischer und logischer Isolationstechniken in der System- und Sicherheitsarchitektur.
- 28Verwendung von Trust Roots, formaler Verifikation oder kryptographischen Signaturen zur Überprüfung der Integrität und Korrektheit von sicherheitskritischer oder wesentlicher Software.
- 29Kontinuierliche Überwachung von Personen und Systemkomponenten auf anomales oder verdächtiges Verhalten.
- 30Sicherstellen, dass Systeme, Komponenten und Geräte des Internets der Dinge (IoT), der Betriebstechnologie (OT) und des Industrial Internet of Things (IIoT) den Sicherheitsanforderungen entsprechen, die an Organisationssysteme gestellt werden, oder in zweckspezifischen Netzwerken isoliert sind.
- 31Mindestens zweimal jährlich Aktualisierung von Organisationssystemen und Systemkomponenten aus einem bekannten, vertrauenswürdigen Zustand aktualisieren.
- 32Regelmäßige Überprüfungen der persistenten Organisationsspeicherorte und Löschen von CUI, die nicht mehr benötigt werden, im Einklang mit den Bundesrichtlinien zur Aufbewahrung von Unterlagen und den Entsorgungsplänen.
- 33Nutzung von Informationen über Bedrohungsindikatoren, die für die zu schützenden Informationen und Systeme relevant sind, sowie von wirksamen Abhilfemaßnahmen, die von externen Organisationen eingeholt wurden, um die Erkennung von Eindringlingen und die Suche nach Bedrohungen zu unterstützen.
- Durchführung von Sensibilisierungsschulungen und Übungen, die vom Concierge Security Team aktualisiert und verwaltet werden
- Scannen von Netzwerken und Umgebungen, um Systemressourcen zu auditieren und Fehlkonfigurationen und andere Schwachstellen zu ermitteln
- Bereitstellung von Protokollen, Aufzeichnungen und Nachweisen in Bezug auf Autorisierungs- und Zugangsrichtlinien und -verfahren
Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen
- USA
- Alle
- Auftragnehmer des Staates
- Regierungsbehörden
1
NIST 800-53 auf einen Blick
Der Hauptunterschied zwischen NIST 800-171 und 800-53 besteht darin, dass 800-171 sich auf nicht-bundesstaatliche Netzwerke bezieht, während NIST 800-53 direkt für alle Bundesorganisationen gilt.
NIST 800-53 – ANFORDERUNGEN
- 1 Siehe die Anforderungen von NIST SP 800-171.
- Vereinfachung der Compliance mit NIST 800- 171 durch benutzerdefinierte Berichte
- Schutz von CUI durch Überwachung der gesamten Kommunikation und des Datenverkehrs auf bösartige Aktivitäten
- Unterstützung der Incident Response
- 24/7-Überwachung mit unbegrenzter Protokollquelle
National Institute of Standards and Technology Cybersecurity Framework
- USA
- ALLE
5
NIST CSF auf einen Blick
Das NIST Cybersecurity Framework (NIST CSF) nutzt und integriert branchenführende Cybersecurity-Praktiken, die von Organisationen wie NIST und ISO entwickelt wurden. Das NIST CSF umfasst eine risikobasierte Zusammenstellung von Richtlinien, die Organisationen bei der Identifizierung, Umsetzung und Verbesserung von Cybersecurity-Praktiken helfen können, und schafft eine gemeinsame Sprache für die interne und externe Kommunikation rund um Cybersecurity-Fragen.
Das NIST CSF hat den geringsten Abdeckungsgrad der großen Cybersecurity-Frameworks und eignet sich daher am besten für kleinere oder nicht überwachte Unternehmen. Das NIST CSF wird häufig als Berichtsinstrument für die Sicherheitsberichterstattung an die Geschäftsleitung verwendet, da die fünf übergeordneten Kategorien Identifizieren, Erkennen, Schützen, Reagieren und Wiederherstellen es einfacher machen, komplexe Themen aus dieser Perspektive zu berichten.
NIST CSF – ANFORDERUNGEN
- 1Identifizieren
- 2Schützen
- 3Erkennen
- 4Reagieren
- 5Wiederherstellen
- Die Security-Operations-Lösungen von Arctic Wolf decken alle fünf NIST-Funktionen ab:
- MDR bietet Unterstützung für Erkennung, Reaktion und Wiederherstellung
- Managed Risk hilft Unternehmen, ihre Assets und Risiken zu identifizieren und ihre Umgebung zu schützen.
- Managed Security Awareness setzt Menschen ein, um Sicherheit in den fünf Funktionen zu gewährleisten
- Incident Response hilft Unternehmen, die von einem Vorfall betroffen sind, zu reagieren und sich zu erholen
National Institute for Standards and Technology (NIST) Special Publication (SP) 800-171
- USA
- Alle
- Auftragnehmer des Staates
- Regierungsbehörden
13
NIST SP 800-171 auf einen Blick
Mit der Executive Order 13556 wurde das Controlled Unclassified Information-Programm (CUI) ins Leben gerufen, um die Art und Weise zu standardisieren, wie Auftragnehmer des Staates mit nicht klassifizierten Informationen umgehen, die geschützt werden müssen, wie z. B. persönlich identifizierbaren Informationen oder sensiblen Regierungs-Assets.
NIST SP 800-171 – ANFORDERUNGEN
- 1Abschnitt 3.1 – Zugriffskontrolle
- 2Abschnitt 3.3 – Audits und Rechenschaftspflicht
- 3Abschnitt 3.4 – Konfigurationsverwaltung
- 4Abschnitt 3.5 – Identifizierung und Authentifizierung
- 5Abschnitt 3.6 – Incident Response
- 6Abschnitt 3.7 – Wartung
- 7Abschnitt 3.8 – Medienschutz
- 8Abschnitt 3.9 – Physischer Schutz
- 9Abschnitt 3.10 – Personelle Sicherheit
- 10Abschnitt 3.11 – Risikobewertung
- 11Abschnitt 3.12 – Sicherheitsbewertung
- 12Abschnitt 3.13 – System- und Kommunikationsschutz
- 13Abschnitt 3.14 – System- und Informationsintegrität
- Vereinfachung der Compliance mit NIST 800- 171 durch benutzerdefinierte Berichte
- Schutz von CUI durch Überwachung der gesamten Kommunikation und des Datenverkehrs auf bösartige Aktivitäten
- Unterstützung der Incident Response
- 24/7-Überwachung mit unbegrenzter Protokollquelle
Payment Card Industry Data Security Standard
- International
- USA
- Verbrauchergeschäfte
12
PCI-DSS auf einen Blick
Obwohl PCI-DSS in den Vereinigten Staaten nicht staatlich angeordnet ist, handelt es sich doch um einen Branchenstandard, der vom Payment Card Industry Security Standard Council (PCI-SSC) zum Schutz von Karteninhaberdaten vorgeschrieben ist.
Im März 2022 veröffentlichte der PCI SSC den PCI Data Security Standard v4.0, der die Version 3.2.1 ersetzt, um auf neue Bedrohungen und Technologien einzugehen und innovative Methoden zur Bekämpfung neuer Bedrohungen zu ermöglichen.
PCI-DSS – ANFORDERUNGEN
- 1PCI-DSS 1: Installieren und Pflegen von Firewall-Konfigurationen zum Schutz von Daten.
- 2PCI-DSS 2: Keine Verwendung von durch Anbieter bereitgestellten Standards für Passwörter und Sicherheitsparameter.
- 3PCI-DSS 3: Schutz gespeicherter Daten von Karteninhabern.
- 4PCI-DSS 4: Verschlüsselte Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
- 5PCI-DSS 5: Schutz aller Systeme vor Malware und regelmäßige Aktualisierung der AV-Software.
- 6PCI-DSS 6: Entwicklung und Pflege sicherer Systeme und Anwendungen.
- 7PCI-DSS 7: Beschränkung des Zugriffs auf Karteninhaberdaten nach geschäftlichen Notwendigkeiten.
- 8PCI-DSS 8: Identifizierung und Authentifizierung des Zugriffs auf Systemkomponenten.
- 9PCI-DSS 9: Beschränkung des physischen Zugriffs auf Karteninhaberdaten.
- 10PCI-DSS 10: Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten.
- 11PCI-DSS 11: Regelmäßige Tests von Sicherheitssystemen und -prozessen.
- 12PCI-DSS 12: Pflegen einer Richtlinie zur Informationssicherheit.
- Vereinfachung der Compliance mit PCI-DSS 3.2 durch benutzerdefinierte Berichte
- Überwachung des Zugriffs auf Karteninhaberdaten vor Ort und in der Cloud
- Echtzeitwarnungen basierend auf Geschäftsrisiken durch Zahlungskartendaten
- Durchführung kontinuierlicher Schwachstellenprüfungen in internen und externen Netzwerken und auf Endgeräten
- Implementierung sicherer Konfigurationsrichtlinien auf der Grundlage von Sicherheitskontroll-Benchmarks wie CIS
- Identifizierung und Priorisierung von Schwachstellen auf der Grundlage von Bedrohungsrisiko, Assets und Schweregrad
- Überwachung des Systemzugriffs, der Authentifizierung und anderer Sicherheitskontrollen, um Richtlinienverstöße zu erkennen
- Automatische Erkennung und Untersuchung neuer Geräte, sobald sie ins Netzwerk eingehen
- Erstellung, Zuweisung, Nachverfolgung und Verifizierung von Aktionen zur Behebung
- Demonstration von Compliance und Kommunikation von Fortschritten mithilfe von Berichten, Analysen und Live-Dashboards vom Arctic Wolf Concierge Security Team
Personal Health Information Protection Act
- Kanada
- Gesundheitswesen
2
PHIPA auf einen Blick
Der Personal Health Information Protection Act, auch bekannt als PHIPA, wurde im November 2004 in Ontario erlassen. PHIPA ist eine von zwei Komponenten des Health Information Protection Act 2004
PHIPA – ANFORDERUNGEN
- 1Der PHIPA enthält Meldepflichten sowohl für Bevollmächtigte als auch für Verwahrstellen. Wenn personenbezogene Gesundheitsdaten, die von einem Bevollmächtigten im Auftrag einer Verwahrstelle verwaltet werden, gestohlen werden, verloren gehen oder Unbefugten zugänglich werden, muss der Bevollmächtigte die Verwahrstelle bei der ersten angemessenen Gelegenheit über die Verletzung informieren.
- 2Der PHIPA verpflichtet Verwahrstellen außerdem, Personen bei der ersten angemessenen Gelegenheit zu benachrichtigen, wenn personenbezogene Gesundheitsdaten gestohlen werden, verloren gehen oder Unbefugten zugänglich sind.
- Arctic Wolf MDR erstellt Berichte über die PHIPA-Kontrollen, die als unsere Dienste zu Protokollquellen in Bezug auf Authentifizierung und Autorisierung dargestellt werden. Es ist zu beachten, dass in Kanada jede Provinz ihr eigenes Mandat und ihre eigenen Kontrollen im Bereich der Gesundheitsversorgung hat.
Secure Controls Framework
- International
- ALLE
6
SCF auf einen Blick
Das Secure Controls Framework (SCF) ist ein umfassender Katalog von Kontrollen, der es Unternehmen ermöglichen soll, sichere Prozesse, Systeme und Anwendungen zu entwickeln, aufzubauen und zu pflegen. Das SCF befasst sich sowohl mit der Cybersecurity als auch mit dem Schutz der Privatsphäre, sodass diese Grundsätze auf strategischer, operativer und taktischer Ebene "eingebaut" werden sollen.
SCF – ANFORDERUNGEN:
- 1Ziel des SCF ist es, Organisationen aller Größenordnungen bei der Umsetzung dieser vier Grundsätze der Cybersecurity und des Datenschutzes zu unterstützen:
- 2VERTRAULICHKEIT – Vertraulichkeit bedeutet, dass der Zugang zu Informationen und deren Offenlegung eingeschränkt wird, sodass nur befugte Benutzer und Dienste darauf zugreifen können.
- 3INTEGRITÄT – Bei der Integrität geht es darum, dass vertrauliche Daten nicht auf unerlaubte und unentdeckte Weise geändert oder gelöscht worden sind.
- 4VERFÜGBARKEIT – Verfügbarkeit bedeutet, den rechtzeitigen und zuverlässigen Zugang zu Informationen und deren Nutzung sicherzustellen.
- 5SICHERHEIT – Sicherheit betrifft die Verringerung des Risikos, das mit eingebetteten Technologien verbunden ist, die versagen oder von böswilligen Akteuren manipuliert werden könnten.
- 6Der SCF umfasst 32 Bereiche. Es gibt über 1.000 Kontrollen, die innerhalb dieser Bereiche kategorisiert sind, um die Verwaltung zu erleichtern. Jeder Bereich hat einen dreibuchstabigen Bezeichner, der in den Namen der Kontrollen enthalten ist, damit leicht zu erkennen ist, worauf der Fokus der Kontrolle liegt.
- Die Security-Operations-Lösungen von Arctic Wolf liefern Nachweise und Artefakte für alle SCF-Bereiche. Arctic Wolf kann Überwachung, Vulnerability Management, Schulungen zum Sicherheitsbewusstsein und mehr anbieten.
Stop Hacks and Improve Electronic Data Security Act des US-Bundesstaates New York
- New York – USA
- Alle
3
SHIELD Act auf einen Blick
Der Stop Hacks and Improve Electronic Data Security (SHIELD) Act trat am 21. März 2020 in Kraft. Das Gesetz verpflichtet Unternehmen, die private Informationen über Einwohner sammeln, angemessene Cybersecurity-Vorkehrungen zu treffen, um diese zu schützen.
SHIELD – ANFORDERUNGEN
- 1Administrative Schutzmaßnahmen wie die Benennung von Mitarbeitern, die das Sicherheitsprogramm koordinieren, vorhersehbare externe und Insider-Risiken identifizieren, bestehende Schutzmaßnahmen bewerten, Cybersecurity-Schulungen für Mitarbeiter durchführen und Drittanbieter auswählen und verwalten, die in der Lage sind, angemessene Schutzmaßnahmen aufrechtzuerhalten.
- 2Technische Sicherheitsvorkehrungen wie Risikobewertungen des Netzdesigns, des Softwaredesigns und der Informationsverarbeitung, Übertragung und Speicherung, Umsetzung von Maßnahmen zur Erkennung, Verhinderung und Reaktion auf Systemausfälle sowie regelmäßige Tests und Überwachung der wichtigsten Kontrollen.
- 3Physische Schutzmaßnahmen wie Erkennung, Verhinderung und Reaktion auf Eindringlinge sowie Schutz vor unerlaubtem Zugriff auf private Informationen (oder deren Verwendung) während oder nach der Erfassung, dem Transport und der Vernichtung oder Entsorgung der Informationen.
- Überwachen der Umgebung auf Bedrohungen und regelmäßiges Feedback zum Sicherheitsniveau.
- Bereitstellung interner und externer Fähigkeiten Schwachstellenanalyse und Vulnerability Management, um Risiken zu verstehen.
- Funktion als Dienstleister für die Überwachung Ihrer Systeme und die Schwachstellenanalyse und das Vulnerability Management in diesen Systemen.
Service Organization Control 2 Type 2
- International
- USA
- Alle
6
SOC 2 Type 2 auf einen Blick
Ein SOC-2-Type-2-Bericht ist ein SOC-Audit (Service Organization Control) darüber, wie ein Anbieter von Cloud-basierten Diensten mit vertraulichen Daten umgeht. Er deckt sowohl die Eignung der Kontrollen eines Unternehmens als auch deren operative Wirksamkeit ab.
SOC 2 ist ein beliebtes Sicherheits- und Risiko-Framework zur Bewertung der Sicherheit, aber Unternehmen könnten stattdessen auch ISO/IEC 27001 oder HITRUST verwenden.
SOC 2 TYPE 2 – ANFORDERUNGEN
- 1Die SOC-2-Compliance basiert auf spezifischen Kriterien für die korrekte Verwaltung von Kundendaten, die aus fünf Trust Services-Kategorien bestehen: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
- 2Die grundlegendste Checkliste für die Einhaltung von SOC 2 (die einen Prüfer zufrieden stellt) ist in den Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Kriterien für Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz) enthalten und sollte diese Kontrollen berücksichtigen:
- 3Logische und physische Zugangskontrollen: Wie Sie den logischen und physischen Zugang beschränken und verwalten, um unerlaubten Zugang zu verhindern
- 4Systembetrieb: Wie Sie Ihre Systemabläufe verwalten, um Abweichungen von festgelegten Verfahren zu erkennen und abzumildern
- 5Änderungs-Management: Wie Sie einen kontrollierten Änderungs-Managementprozess einführen und unautorisierte Änderungen verhindern
- 6Risikominderung: Wie Sie Maßnahmen zur Risikominderung bei Geschäftsunterbrechungen und bei der Nutzung von Anbieterdiensten ermitteln und entwickeln
- Überwachung und Bereitstellung von Nachweisen und Artefakten über das Verhalten von Zugriffskontrollen und Systemoperationen
- Unterstützung des Risiko-Managements durch Vulnerability Management und Tracking
Student Online Personal Information Protection Act
- Kalifornien – USA
- Bildung
3
SOPIPA auf einen Blick
Der im Januar 2016 in Kraft getretene SOPIPA gilt für Einrichtungen, die Websites, Online-Dienste sowie Online- und mobile Apps betreiben, welche in erster Linie für schulische Bildungszwecke konzipiert und vermarktet werden. Sie verpflichtet diese Betreiber, angemessene Sicherheitsmaßnahmen zum Schutz von Schülerdaten zu ergreifen, und verbietet ihnen, die Daten weiterzugeben oder sie für Werbung zu anderen als Bildungszwecken zu verwenden.
SOPIPA – ANFORDERUNGEN
- 1Abgesehen von der Nichtweitergabe von Schülerdaten werden die Unternehmen durch folgende Maßnahmen zur Einhaltung der Sicherheits- und Löschungsanforderungen angehalten:
- 2Implementierung und Aufrechterhaltung von Sicherheitsverfahren zum Schutz der gesammelten Informationen vor unerlaubtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung.
- 3Löschen der erfassten Informationen eines Schülers (gemäß der Definition von SOPIPA), wenn die Schule oder der Bezirk die Löschung von Daten unter der Kontrolle der Schule oder des Bezirks verlangt.
- Die Security-Operations-Lösungen von Arctic Wolf unterstützen die Sicherheitsverfahren, die zum Schutz der erfassten Informationen entwickelt wurden, und können Nachweise und Artefakte zur Dokumentation der Verfahren liefern.
Sarbanes-Oxley Act
- International
- USA
- Finanzdienstleistungen
3
SOX auf einen Blick
Mit SOX wurden regulatorische Anforderungen für alle US-amerikanischen Aktiengesellschaften, ausländischen Unternehmen mit bei der Securities and Exchange Commission registrierten Wertpapieren sowie Wirtschaftsprüfungsgesellschaften geschaffen und erweitert. Das vorrangige Ziel dabei ist es, betrügerische Finanzberichterstattung zu verhindern und Anleger zu schützen.
SOX – ANFORDERUNGEN
- 1Abschnitt 302 schreibt vor, dass leitende Angestellte persönlich schriftlich bestätigen müssen, dass die Jahresabschlüsse des Unternehmens "den Offenlegungsanforderungen der SEC entsprechen und in allen wesentlichen Aspekten ein den tatsächlichen Verhältnissen entsprechendes Bild der Geschäftstätigkeit und der Finanzlage des Emittenten vermitteln". Führungskräfte, die Abschlüsse unterschreiben, von denen sie wissen, dass sie unrichtig sind, machen sich strafbar und können sogar zu Gefängnisstrafen verurteilt werden.
- 2Paragraph 404 verlangt, dass das Management und Auditoren interne Kontrollen und Berichterstattungsverfahren definieren, um die Korrektheit dieser Kontrollen sicherzustellen. Einige Kritiker dieses Gesetzes bemängeln, dass sich die Anforderungen in Paragraph 404 negativ auf börsennotierte Unternehmen auswirken können, da die Einrichtung und Aufrechterhaltung der notwendigen internen Kontrollen oft sehr teuer ist.
- 3Paragraph 802 enthält die drei Regeln, die sich auf Aufzeichnungen auswirken. Die erste befasst sich mit der Vernichtung und Fälschung von Aufzeichnungen. Die zweite definiert streng die Aufbewahrungsfrist für die Speicherung von Aufzeichnungen. Die dritte Regel beschreibt die spezifischen Geschäftsunterlagen, die Unternehmen aufbewahren müssen, einschließlich der elektronischen Kommunikation.
- Analyse, Priorisierung und Management von Schwachstellen
- Verwalten, Überwachen und Analysieren von Audit-Logs
- Durchführung regelmäßiger Risikobewertungen zur Ermittlung von sicherheitsrelevanten Schwachstellen
Aktuellen Ort verwenden
Legende
INTERNATIONALE
VORSCHRIFTLANDESSPEZIFISCHE
VORSCHRIFTSPEZIFISCHE VORSCHRIFT EINES
US-BUNDESSTAATES / EU-MITGLIEDS
ALLE VORSCHRIFTEN ANZEIGEN
Erkunden Sie die komplexe Welt der Vorschriften
Die Einhaltung von Vorschriften kann überwältigend sein. Mehrere Frameworks. Sich überschneidende Anforderungen. Arctic Wolf hilft Ihnen, sich zurechtzufinden.
VORSCHRIFTEN ERKUNDENKlicken Sie auf eine Region, um deren Vorschriften anzuzeigen
"Bevor wir mit Arctic Wolf zusammenarbeiteten, war es unglaublich schwierig, einen klaren Überblick über unsere Infrastruktur zu bekommen. Die Zusammenarbeit mit dem Concierge Security® Team von Arctic Wolf ermöglicht es uns, die Transparenz zu wahren und Compliance-Verpflichtungen zu erfüllen."
Dr. Jason A. Thomas,
Chief Operating Officer und Chief Information Officer, Jackson Parish Hospital
Arctic Wolf hilft Tausenden von
Teams, Compliance zu erreichen
24x7x365-
Scannen
24x7x365-Scannen Ihrer gesamten IT-Umgebung auf Bedrohungen und Schwachstellen.
Prioritäts-
kontext
Prioritätskontext zum Schweregrad von Schwachstellen, die in den Netzwerken und auf den Endgeräten des Unternehmens gefunden wurden.
Unnötigen Zugriff
verhindern
Verhinderung unnötiger Zugriffe auf kritische Systeme und Infrastruktur.
Assets besser
verstehen
Schaffung von Möglichkeiten, die Konfigurationseinstellungen Ihrer Server und Workstations besser zu verstehen – und zu verhindern, dass anfällige Services und Einstellungen ausgenutzt werden.
Legal Disclaimer:
Diese Informationen werden zu Informationszwecken zur Verfügung gestellt und stellen keine Rechtsberatung dar und sollten nicht als solche interpretiert werden. Wenden Sie sich an Ihren eigenen Rechtsberater, um Ihre rechtlichen Verpflichtungen zu bestimmen und die Wirksamkeit Ihrer Compliance-Programme zu bewerten. Bei den Produkten und Dienstleistungen von Arctic Wolf handelt es sich nicht um Lösungen für Compliance, sondern um Werkzeuge, die Ihre Compliance-Programme unterstützen können.
