Lösungen – Branchen – Compliance

ALLE VORSCHRIFTEN ANZEIGEN

Alle verfolgten
Vorschriften

Vorschriften
38
Branchen
  • Verteidigung 1
  • Automobilbranche 1
  • Verbrauchergeschäfte 1
  • Bildungswesen 2
  • Energie 1
  • Auftragnehmer des Staates 3
  • Finanzdienstleistungen 7
  • Behörden 10
  • Gesundheitswesen 3
  • Versicherung 1
  • Fertigung 3
Orte
  • International
  • USA
  • New York
  • Kalifornien
  • Alabama
  • Massachusetts
  • Kanada
  • Europäische Union
  • Deutschland
  • Vereinigtes Königreich
Vorschriften filtern (38)
  • Name
  • Branche

    • Alle Branchen
    • Verteidigung

    • Automobilbranche

    • Verbrauchergeschäfte

    • Bildung

    • Energie

    • Auftragnehmer des Staates

    • Finanzdienstleistungen

    • Behörden

    • Gesundheitswesen

    • Versicherung

    • Fertigung

    • Anwenden
  • Ort

    • Alle Orte
    • International

    • USA

      • New York

      • Kalifornien

      • Alabama

      • Massachusetts

    • Kanada

    • Europäische Union

      • Deutschland

    • Vereinigtes Königreich

    • Anwenden
23 NYCRR Part 500
Die Cybersecurity-Vorschriften des Department of Financial Services des US-Bundesstaates New York (NYDFS) (23 NYCRR 500)
Finanzdienstleistungen, Versicherung
New York – USA
23 NYCRR Part 500

Die Cybersecurity-Vorschriften des Department of Financial Services des US-Bundesstaates New York (NYDFS) (23 NYCRR 500)

23 NYCRR Part 500 auf einen Blick

Die Absicht des Department of Financial Services des US-Bundesstaates New York (23 NYCRR 500) besteht darin, aufsichtsrechtliche Mindeststandards festzulegen, um den Schutz von Kundeninformationen zu fördern und die Informationstechnologiesysteme regulierter Stellen zu schützen.

Anforderungen

23 NYCRR PART 500 – ANFORDERUNGEN

  • 1Abschnitt 500.02: Cybersecurity-Programm
  • 2Abschnitt 500.05: Penetrationstests und Schwachstellenanalysen
  • 3Abschnitt 500.06: Audit-Trail
  • 4Abschnitt 500.07: Zugriffsrechte
  • 5Abschnitt 500.09: Risikobewertung
  • 6Abschnitt 500.10: Cybersecurity-Personal und -Erkennungsprozeduren
  • 7Abschnitt 500.11: Sicherheitsrichtlinie für externe Serviceanbieter
  • 8Abschnitt 500.13: Beschränkungen der Datenaufbewahrung
  • 9Abschnitt 500.14: Schulung und Überwachung
  • 10Abschnitt 500.15: Verschlüsselung nicht öffentlicher Informationen
  • 11Abschnitt 500.16: Incident-Response-Plan
WIE ARCTIC WOLF HELFEN KANN
  • Bereitstellung von Incident-Response-Plänen, die die Abwehr von Cyberbedrohungen und Datenschutzverstößen beinhalten
  • Audit Trails zur Aufzeichnung und Abwehr von Cyberangriffen
  • Erstellung von Berichten zu den aktuellen Risiken, allen wesentlichen Ereignissen und den Auswirkungen auf geschützte Daten
  • Durchführung von Risikobewertungen zur Ermittlung und Dokumentation von Sicherheitsmängeln und Behebungsplänen
Alabama Data Breach Notification Act of 2018 (S.B. 318)
Alabama Data Breach Notification Act of 2018 (S.B. 318)
Alle
Alabama – USA
Alabama Data Breach Notification Act of 2018 (S.B. 318)

Alabama Data Breach Notification Act of 2018 (S.B. 318)

Alabama Data Breach Notification Act of 2018 (S.B. 318) auf einen Blick

Schreibt vor, dass Entitäten bestimmte Personen über eine Sicherheitsverletzung informieren müssen, die zur unbefugten Erlangung vertraulicher personenbezogener Daten führt.

Anforderungen

ALABAMA DATA BREACH NOTIFICATION (S.B. 318) ANFORDERUNGEN

  • 1 Dritte sind verpflichtet, die betroffene Entität innerhalb von 10 Tagen nach Entdeckung einer Sicherheitsverletzung zu benachrichtigen.
  • 2 Eine Benachrichtigung ist nicht erforderlich, wenn nach einer unverzüglichen Untersuchung nach Treu und Glauben festgestellt wird, dass den Personen, auf die sich die Informationen beziehen, durch die Sicherheitsverletzung mit großer Wahrscheinlichkeit kein erheblicher Schaden entsteht.
  • 3 Muss dem Generalstaatsanwalt eine Kopie der Mitteilung zukommen lassen, wenn die Zahl der von der Entität benachrichtigten Personen 1.000 übersteigt.
WIE ARCTIC WOLF HELFEN KANN
  • Arctic Wolf MDR kann helfen, einen Sicherheitsvorfall schnell zu identifizieren und Beweise für den Umfang und die Auswirkungen des Vorfalls zu liefern.
Basel III
Basel III IT-Betriebskontrollen
Finanzdienstleistungen
International
Basel III

Basel III IT-Betriebskontrollen

Basel III auf einen Blick

Der Basler Ausschuss für Bankenaufsicht (BCBS) ist eine internationale Aufsichtsbehörde, die mehrere Standards und freiwillige Rahmenregelungen für Finanzinstitute unterhält. Basel III (und Standard 239) wirkt sich insbesondere auf die IT-Infrastruktur und den IT-Betrieb aus, da es Grundsätze für die Datenarchitektur und die IT-Infrastruktur sowie die Genauigkeit und Integrität von Risikodaten regelt.

Anforderungen

BASEL III – ANFORDERUNGEN

  • 1Um die BCBS-Grundsätze für eine wirksame Aggregation von Risikodaten und die Risikoberichterstattung zu erfüllen, müssen Finanzinstitute über eine robuste und widerstandsfähige IT-Infrastruktur verfügen, die sowohl in normalen Zeiten als auch in Stress- oder Krisenzeiten Funktionen zur Risikoaggregation und Risikoberichterstattung unterstützt.
WIE ARCTIC WOLF HELFEN KANN
  • Sicherheitsvorfälle erkennen und darauf reagieren
  • Concierge-Beratung auf dem Weg zu mehr Sicherheit für ein Unternehmen
  • Bereitstellung von Nachweisen, Artefakten und Berichten über Sicherheitskontrollen und -praktiken für Audits und Überprüfungen
CCPA
California Consumer Privacy Act
Alle
Kalifornien – USA
CCPA

California Consumer Privacy Act

CCPA auf einen Blick

Der California Consumer Privacy Act (CCPA) vom 1. Januar 2020 ist das erste Gesetz zum Schutz der Privatsphäre von Verbrauchern in den Vereinigten Staaten. Er gibt Verbrauchern die Möglichkeit, kostenlos Auskunft darüber anzufordern, welche Informationen Unternehmen über sie sammeln. Dazu gehört auch, aus welchen Quellen und zu welchem Zweck Informationen gesammelt werden. Sie können auch verlangen, dass ihre Daten nicht verkauft werden und/oder dass ihre Daten gelöscht werden. Der kalifornische Generalstaatsanwalt sorgt für die Durchsetzung des Gesetzes, das auch Bestimmungen für zivilrechtliche Streitigkeiten und Strafen enthält.

Anforderungen

CCPA – ANFORDERUNGEN

  • 1Das CCPA gilt für alle Unternehmen, die Produkte und Dienstleistungen an Kalifornier verkaufen – und selbst das Anzeigen einer Website könnte in diesem Bundesstaat als Werbung gelten. Unternehmen mit einem Umsatz von $25 Millionen oder weniger, die Daten von weniger als 50.000 Verbrauchern sammeln und weniger als die Hälfte ihrer Einnahmen aus dem Verkauf von Verbraucherdaten erzielen, sind von dem Gesetz ausgenommen.
  • 2AB 375 enthält im Vergleich zur Datenschutz-Grundverordnung nur geringe Anforderungen an die Sicherheit und die Reaktion auf Datenschutzverstößen. Unternehmen sind nach AB 375 nicht verpflichtet, Verstöße zu melden, und Verbraucher müssen Beschwerden einreichen, bevor Geldstrafen verhängt werden können. Das Gesetz legt Sanktionen für Unternehmen fest, die aufgrund einer Sicherheitsverletzung oder eines Sicherheitsmangels Verbraucherdaten preisgeben.
  • 3Unternehmen sollten wissen, welche Daten AB 375 als private Daten definiert, und Maßnahmen ergreifen, um sie zu schützen. Jedes Unternehmen, das die Datenschutz-Grundverordnung einhält, muss wahrscheinlich keine weiteren Maßnahmen ergreifen, um die Datenschutzvorgaben gemäß AB 375 einzuhalten.
WIE ARCTIC WOLF HELFEN KANN
  • Sicherheitsvorfälle erkennen und darauf reagieren
  • Concierge-Beratung auf dem Weg zu mehr Sicherheit für ein Unternehmen
  • Bereitstellung von Nachweisen, Artefakten und Berichten über Sicherheitskontrollen und -praktiken für Audits und Überprüfungen
CERT RMM
CERT Resilience Management Model
Alle
International
CERT RMM

CERT Resilience Management Model

CERT RMM auf einen Blick

CERT RMM ist ein Reifegradmodell, das die Konvergenz von Sicherheits-, Business-Continuity- und IT-Betriebsaktivitäten fördert, um Organisationen bei der aktiven Steuerung, Kontrolle und Verwaltung der betrieblichen Resilienz und des betrieblichen Risikos zu unterstützen.

Anforderungen

CERT RMM – ANFORDERUNGEN

  • 1Der Prozessbereich Asset-Definition und -Verwaltung verfolgt drei spezifische Ziele: Zur Inventarisierung, Zuordnung zu Dienstleistungen und Verwaltung von Assets. Um diese Ziele zu erreichen, muss die Organisation die folgenden Praktiken anwenden:
  • 2 Einrichtung eines Verfahrens zur Identifizierung und Dokumentation von Assets.
  • 3 Festlegen der Eigentums- und Verwahrungsrechte für die Assets.
  • 4 Verknüpfen der Assets mit den Dienstleistungen, die sie unterstützen.
  • 5 Festlegung von Resilienzanforderungen (einschließlich derjenigen zum Schutz und zur Aufrechterhaltung) von Assets und zugehörigen Dienstleistungen. (Dies wird in den Prozessbereichen zur Definition und Verwaltung von Resilienzanforderungen behandelt.)
  • 6 Bereitstellung von Prozessen für das Änderungsmanagement von Vermögenswerten, wenn sich diese oder ihr Bestand ändern.
WIE ARCTIC WOLF HELFEN KANN
  • Arctic Wolf Managed Risk hilft bei der Identifizierung und Prüfung von Assets und unterstützt bestimmte Änderungsmanagementaktivitäten.
CIS
Center for Internet Security – Kritische Sicherheitskontrollen
Alle
International, USA
CIS

Center for Internet Security – Kritische Sicherheitskontrollen

CIS auf einen Blick

Die CIS-Kontrollen ergänzen fast jedes andere Sicherheits-Framework, einschließlich NIST, ISO 27001, PCI und HIPAA, und sind eine nützliche Grundlage für die Entwicklung oder Bewertung eines Sicherheitsprogramms.

In der neuesten Version werden die CIS-Kontrollen nach Aktivitäten und nicht mehr danach, wer die Geräte verwaltet, zusammengefasst und konsolidiert, wodurch die Kontrollen von 20 auf 18 reduziert wurden. Die CIS-Kontrollen sind jetzt auch aufgabenbezogen und enthalten 153 "Schutzmaßnahmen" – früher als "Unterkontrollen" bekannt.

Hier erfahren Sie mehr über die neuesten Updates.

Anforderungen

CIS-KONTROLLEN – ANFORDERUNGEN

  • 1Inventarisierung und Kontrolle von Unternehmens-Assets
  • 2Inventarisierung und Kontrolle von Software-Assets
  • 3Datenschutz
  • 4Sichere Konfiguration von Unternehmens-Assets und -Software
  • 5Kontoverwaltung
  • 6Zugriffskontrollverwaltung
  • 7Kontinuierliches Vulnerability Management
  • 8Audit-Protokollverwaltung
  • 9E-Mail- und Webbrowser-Schutz
  • 10Malware-Abwehr
  • 11Datenwiederherstellung
  • 12Verwaltung der Netzwerkinfrastruktur
  • 13Netzwerküberwachung und -verteidigung
  • 14Schulung von Sicherheitsbewusstsein und Sicherheitskompetenzen
  • 15Dienstanbieterverwaltung
  • 16Sicherheit der Anwendungs-Software
  • 17Incident Response Management
  • 18Penetrationstests
WIE ARCTIC WOLF HELFEN KANN
  • Rund-um-die Uhr- und lückenlose Scans Ihrer gesamten IT-Umgebung auf Bedrohungen und Schwachstellen.
  • Prioritätskontext zum Schweregrad von Schwachstellen, die in den Netzwerken und auf den Endgeräten des Unternehmens gefunden wurden.
  • Verhinderung unnötiger Zugriffe auf kritische Systeme und Infrastruktur.
  • Schaffung von Möglichkeiten, die Konfigurationseinstellungen Ihrer Server und Workstations besser zu verstehen – und zu verhindern, dass anfällige Services und Einstellungen ausgenutzt werden.
CJIS
Criminal Justice Information Services
Behörden
USA
CJIS

Criminal Justice Information Services

CJIS auf einen Blick

Die Criminal Justice Information Services (CJIS) haben eine Sicherheitsrichtlinie veröffentlicht, in der 13 Bereiche aufgeführt sind, die alle Behörden befolgen sollten, um die Vorschriften einzuhalten und vor böswilligen Hackern geschützt zu sein.

Behörden, die auf vertrauliche Informationen des US-Justizministeriums zugreifen oder diese verwalten, müssen sicherstellen, dass ihre Prozesse und Systeme den CJIS-Richtlinien für drahtlose Netzwerke, Datenverschlüsselung und Fernzugriff entsprechen – ganz besonders, weil Phishing, Malware und gehackte VPNs oder Anmeldedaten die häufigsten Angriffsvektoren sind, um in Regierungsnetzwerke einzudringen. Die CJIS-Anforderungen tragen dazu bei, diese Angriffsmethoden proaktiv abzuwehren und die nationale Sicherheit (und die Bürger) vor Cyberbedrohungen zu schützen.

Anforderungen

CJIS – ANFORDERUNGEN

  • 1In dem 230 Seiten starken Dokument zu den CJIS-Sicherheitsrichtlinien sind die Umsetzungsanforderungen und -standards für die folgenden 13 Bereiche definiert:
  • 2Vereinbarungen zum Informationsaustausch
  • Sicherheitsbewusstseins-Schulung
  • 4Incident Response
  • 5Audits und Rechenschaftspflicht
  • 6Zugriffskontrolle
  • 7Identifizierung und Authentifizierung
  • 8Konfigurationsverwaltung
  • 9Medienschutz
  • 10Physischer Schutz
  • 11System- und Kommunikationsschutz und Informationsintegrität
  • 12Formelle Audits
  • 13Personelle Sicherheit
  • 14Mobile Audits
WIE ARCTIC WOLF HELFEN KANN
  • Überwachung und Bereitstellung von Nachweisen und Artefakten für Zugriffskontrolle, Identifizierung und Authentifizierung usw.
  • Unterstützung von Incident-Response-Maßnahmen
  • Bereitstellung von Standard- und benutzerdefinierten Berichten für Audits und Überprüfungen
  • Durchführung von Managed Security Awareness-Schulungen
CMMC
Cybersecurity Maturity Model Certification
Fertigung, Behörden
USA
CMMC

Cybersecurity Maturity Model Certification

CMMC auf einen Blick

Die Cybersecurity Maturity Model Certification (CMMC) wurde entwickelt, um die Sicherheit von Controlled Unclassified Information (CUI) zu gewährleisten, die in Netzwerken von DoD-Vertragspartnern gespeichert sind.

Anforderungen

CMMC – ANFORDERUNGEN

  • 1Stufe 1 – Erledigt: Grundlegende Cyberhygiene
  • 2Stufe 2 – Dokumentiert: Unmittelbare Cyberhygiene
  • 3Stufe 3 – Verwaltet: Gute Cyberhygiene
  • 4Stufe 4 – Überprüft: Proaktive Cyberhygiene
  • 5Stufe 5 – Optimiert: Fortgeschrittene / progressive Cyberhygiene
WIE ARCTIC WOLF HELFEN KANN
  • Das unabhängige Analyseunternehmen Coalfire fand heraus, dass Arctic Wolf bei 84 % der CMMC 1.0-Kontrollen helfen kann.
  • Wir verfügen über unabhängig geprüfte SOC-2-Type-2- und ISO-27001-2013-Zertifizierungen.
Cyber Essentials-Zertifizierung
Cyber Essentials
Alle
Vereinigtes Königreich
Cyber Essentials-Zertifizierung

Cyber Essentials

Cyber Essentials-Zertifizierung auf einen Blick

Die Cyber Essentials-Zertifizierung ist ein von der britischen Regierung gefördertes Framework, das vom NCSC (National Cyber Security Centre) unterstützt wird. Darin werden fünf grundlegende Sicherheitskontrollen beschrieben, die Unternehmen vor 80 % der üblichen Cyberangriffe schützen können.

Die Zertifizierung soll Unternehmen jeder Größe dabei helfen, ihr Engagement für Cybersecurity zu demonstrieren, wobei der Ansatz einfach und die Kosten niedrig gehalten werden.

Der Cyber Essentials-Zertifizierungsprozess wird vom IASME-Konsortium verwaltet, das Zertifizierungsstellen für die Durchführung von Cyber Essentials- und Cyber Essentials Plus-Zertifizierungen lizenziert.

Anforderungen

CYBER ESSENTIALS – ANFORDERUNGEN

  • 1Darin werden fünf grundlegende Sicherheitskontrollen beschrieben, die Unternehmen vor 80 % der üblichen Cyberangriffe schützen können.
  • 2Firewalls und Router
  • 3Software-Updates
  • 4Malware-Schutz
  • 5Zugriffskontrolle
  • 6Sichere Konfiguration
WIE ARCTIC WOLF HELFEN KANN
  • Erkennen von und Reagieren auf Malware und andere Cybersecurity-Vorfälle
  • Überwachung, Nachweise und Artefakte im Zusammenhang mit Zugriffskontrolle und Netzinfrastruktur
  • Transparenz, Benchmarking, Berichte und Anleitungen zu Konfigurationen und Schwachstellen
DFARS
Federal Acquisition Regulation: Defense Federal Acquisition Regulation Supplement
Behörden, Fertigung
USA
DFARS

Federal Acquisition Regulation: Defense Federal Acquisition Regulation Supplement

DFARS auf einen Blick

Das Defense Federal Acquisition Regulation Supplement (DFARS), eine Ergänzung zur Federal Acquisition Regulation (FAR), verpflichtet seit dem 31. Dezember 2017 alle Auftragnehmer und Unterauftragnehmer des US-Amerikanischen Verteidigungsministeriums (Department of Defense, DoD), die kontrollierte, nicht klassifizierte Informationen (Controlled Unclassified Information, CUI) speichern oder verarbeiten, dazu, die in den DFARS genannten Mindestsicherheitsstandards einzuhalten. Die Nichteinhaltung der DFARS-Anforderungen kann zur Kündigung bestehender DoD-Verträge führen.

Anforderungen

DFARS-ANFORDERUNGEN

  • 1Die 14 Hauptabschnitte enthalten 110 detaillierte Anforderungen, die die DoD-Vertragspartner alle erfüllen müssen. Wir haben die allgemeineren Abschnitte auf sieben der am stärksten auf Infosec ausgerichteten Kategorien und 13 spezifische Anforderungen eingegrenzt, und zwar diejenigen, bei deren Bewältigung Auftragnehmer des Verteidigungsministeriums wahrscheinlich die meiste Hilfe benötigen werden:
  • 2Abschnitt 3.1 – Zugriffskontrolle: Gewährung oder Verweigerung von Zugriffs- und/oder Nutzungsrechten für Informationen.
  • 3Abschnitt 3.3 – Audits und Rechenschaftspflicht: Verfolgung, Überprüfung und Kontrolle der Einhaltung der Systemanforderungen.
  • 4Abschnitt 3.5 – Identifizierung und Authentifizierung: Verwaltung von Benutzeridentitäten und angemessene Authentifizierung dieser Identitäten für die Verwendung mit Informationen/Verfahren.
  • 5Abschnitt 3.6 – Incident Response: Einführung gut getesteter Prozesse zur Behandlung von Vorfällen (z. B. Erkennung von Bedrohungen, Analyse, Reaktion, Wiederherstellung) für die Informationssysteme der Organisation.
  • 6Abschnitt 3.11 – Risikobewertung: Regelmäßige Bewertung der Risiken für Informationssysteme und Daten, um organisatorische Risiken effektiv zu verfolgen und zu verwalten.
  • 7Abschnitt 3.13 – System- und Kommunikationsschutz: Überwachung, Kontrolle und Schutz der gesamten Unternehmenskommunikation.
  • 8Abschnitt 3.14 – System- und Informationsintegrität: Überwachung aller Informations- und Kommunikationssysteme auf Indikatoren für bedrohlichen Verkehr und/oder Aktivitäten.
WIE ARCTIC WOLF HELFEN KANN
  • Erstellung, Schutz, Aufbewahrung und Überprüfung von Systemprotokollen.
  • Entwicklung von Maßnahmen zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Reaktion auf Zwischenfälle.
  • Bewertung des mit der Verarbeitung, Speicherung und Übermittlung von kontrollierten, nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) verbundenen Betriebsrisikos.
  • Überwachung, Bewertung und Behebung von Mängeln und Verringerung oder Beseitigung von Schwachstellen in Informationssystemen von Organisationen.
FAR
Federal Acquisition Regulation
Behörden
USA
FAR

Federal Acquisition Regulation

FAR auf einen Blick

Die Federal Acquisition Regulation (FAR) ist ein Regelwerk, das die Regeln festlegt, welche die Regierung beim Erwerb von Waren und Dienstleistungen im Rahmen von Beschaffungsverträgen zu befolgen hat.

Insbesondere FAR 52.204-21 – eine Klausel innerhalb der FAR und ihrer Ergänzung, DFARS – enthält spezifische Cybersecurity-Vorschriften für Auftragnehmer des Staates.

FAR 52.204-21
Federal Acquisition Regulation: Grundlegender Schutz von Informationssystemen betroffener Auftragnehmer
Behörden, Fertigung
USA
FAR 52.204-21

Federal Acquisition Regulation: Grundlegender Schutz von Informationssystemen betroffener Auftragnehmer

FAR 52.204-21 auf einen Blick

Die Federal Acquisition Regulation (FAR) ist ein Regelwerk, das die Regeln festlegt, welche die Regierung beim Erwerb von Waren und Dienstleistungen im Rahmen von Beschaffungsverträgen zu befolgen hat.

FAR 52.204-21, "Basic Safeguarding of Covered Contractor Information Systems", ist eine Vertragsklausel der Federal Acquisition Regulation (FAR), die für alle Bundesverträge gilt, nicht nur für die des Verteidigungsministeriums. Sie enthält eine Reihe von 15 Cybersecurity-Kontrollen zum Schutz von Informationssystemen von Auftragnehmern, die Informationen aus Bundesverträgen speichern, verarbeiten oder übertragen.

Diese Klausel entspricht auch der Cybersecurity Maturity Model Certification (CMMC) Stufe 1.

Anforderungen

FAR 52.204-21 – ANFORDERUNGEN

  • 1Beschränken des Zugangs zum Informationssystem auf autorisierte Benutzer.
  • 2Beschränken von Informationssystemen auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen.
  • 3Überprüfung und Kontrolle/Begrenzung von Verbindungen zu externen Informationssystemen und deren Nutzung.
  • 4Kontrolle von Informationen, die in öffentlich zugänglichen Informationssystemen veröffentlicht oder verarbeitet werden.
  • 5Identifizierung von Benutzern des Informationssystems, von Prozessen, die im Namen von Benutzern handeln, oder von Geräten.
  • 6Überprüfen der Identitäten dieser Benutzer, Prozesse oder Geräte als Voraussetzung für den Zugriff auf die Informationssysteme der Organisation.
  • 7Reinigen oder Vernichten von Medien von Informationssystemen, die Informationen aus Bundesverträgen enthalten, vor der Entsorgung oder Freigabe zur Wiederverwendung.
  • 8Beschränken des physischen Zugangs zu den Informationssystemen, der Ausrüstung und den entsprechenden Betriebsumgebungen der Organisation auf autorisierte Personen.
  • 9Begleitung von Besuchern und Überwachung von Besucheraktivitäten; Führung von Audit-Logs über den physischen Zugang; Kontrolle und Verwaltung der physischen Zugangsgeräte.
  • 10Überwachen, Kontrollieren und Schützen der Unternehmenskommunikation.
  • 11Implementieren von physisch oder logisch von internen Netzen getrennten Teilnetzen für öffentlich zugängliche Systemkomponenten.
  • 12Zeitnahes Erkennen, Melden und Korrigieren von Fehlern in Informationen und Informationssystemen.
  • 13Schutz vor bösartigem Code an geeigneten Stellen im Informationssystem der Organisation.
  • 14Aktualisieren der Schutzmechanismen gegen bösartigen Code, wenn neue Versionen verfügbar sind.
  • 15Durchführen von regelmäßigen Scans des Informationssystems und Echtzeit-Scans von Dateien aus externen Quellen.
WIE ARCTIC WOLF HELFEN KANN
  • Erstellung, Schutz, Aufbewahrung und Überprüfung von Systemprotokollen.
  • Entwicklung von Maßnahmen zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Reaktion auf Zwischenfälle.
  • Bewertung des mit der Verarbeitung, Speicherung und Übermittlung von kontrollierten, nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) verbundenen Betriebsrisikos.
  • Überwachung, Bewertung und Behebung von Mängeln und Verringerung oder Beseitigung von Schwachstellen in Informationssystemen von Organisationen.
FERPA
Family Educational Rights and Privacy Act (FERPA)
Bildung
USA
FERPA

Family Educational Rights and Privacy Act (FERPA)

FERPA auf einen Blick

FERPA räumt den Eltern von Schülern unter 18 Jahren bestimmte Rechte in Bezug auf die Schülerdaten ein, die mit Erreichen des 18. Geburtstags auf die Schüler übergehen.

Anforderungen

FERPA – ANFORDERUNGEN

  • 1Einsicht in die von der Einrichtung geführten Schülerakten
  • 2Bitte um Berichtigung von Aufzeichnungen, die sie für unrichtig halten
  • 3Erteilen der schriftlichen Erlaubnis zur Weitergabe der Unterlagen
WIE ARCTIC WOLF HELFEN KANN
  • Durchführung kontinuierlicher Schwachstellenprüfungen in internen und externen Netzwerken und auf Endgeräten
  • Identifizierung und Priorisierung von Schwachstellen auf der Grundlage von Bedrohungsrisiko, Assets und Schweregrad
  • Überwachung des Systemzugriffs, der Authentifizierung und anderer Sicherheitskontrollen, um Richtlinienverstöße zu erkennen
  • Erkennung und Untersuchung neuer Geräte, sobald sie ins Netzwerk eingehen
FFIEC
Federal Financial Institutions Examination Council
Finanzdienstleistungen
USA
FFIEC

Federal Financial Institutions Examination Council

FFIEC auf einen Blick

Der Federal Financial Institutions Examination Council (FFIEC) ist das behördenübergreifende Gremium der US-Regierung. Es ist befugt, einheitliche Grundsätze, Standards und Berichtsformulare für die bundesweite Prüfung von Finanzinstituten festzulegen. Die FFIEC-Richtlinien gelten für bundesstaatlich beaufsichtigte Finanzinstitute.

Anforderungen

FFIEC – ANFORDERUNGEN

  • 1Zu den Zielen gehören die Ermittlung des inhärenten Risikoprofils des Instituts und die Bestimmung des Reifegrads der Organisation.
  • 2Bereich 1: Cyber Risk Management und Überwachung
  • 3Bereich 2: Threat Intelligence und Zusammenarbeit
  • 4Bereich 3: Cybersecurity-Kontrollen
  • 5Bereich 4: Verwaltung externer Abhängigkeiten
  • 6Bereich 5: Cyber Incident Management und Resilienz
WIE ARCTIC WOLF HELFEN KANN
  • Risiko-Management und Managed Detection and Response durch Sicherheitsexperten
  • Bereitstellung von speziellem Sicherheitsfachwissen für Ihr IT-Team
  • Kontinuierliche Cybersecurity-Überwachung und Schwachstellenanalysen rund um die Uhr
  • Weitere Informationen zu jedem Bereich, Kontrollziel und jeder Kontrolltätigkeit finden Sie in der vollständigen Zusammenfassung der FFIEC-NCUA Compliance.
FISMA 2014
Federal Information Security Modernization Act von 2014
Behörden
USA
FISMA 2014

Federal Information Security Modernization Act von 2014

FISMA 2014 auf einen Blick

Der Federal Information Security Modernization Act von 2014 (FISMA 2014) regelt die Rolle des Department of Homeland Security bei der Verwaltung der Umsetzung von Informationssicherheitsrichtlinien für zivile Bundesbehörden der Exekutive, bei der Überwachung der Einhaltung dieser Richtlinien durch die Behörden und bei der Unterstützung des Office of Management and Budget (OMB) bei der Entwicklung dieser Richtlinien.

Anforderungen

FISMA – ANFORDERUNGEN

  • 1NIST entwickelt die Standards und Richtlinien für FISMA-Compliance anhand eines risikobasierten Ansatzes. Es wird ein Framework mit sieben Kernschritten verwendet, von denen sich einige auf spezifische NIST Special Publications (SPs) beziehen:
  • 2Vorbereiten: Durchführung der wesentlichen Aktivitäten zur Vorbereitung auf das Risiko-Management nach dem Framework.
  • 3Kategorisieren: Klassifizierung der zu schützenden Informationen und Systeme
  • 4Auswählen: Festlegung der Basiskontrollen zum Schutz der kategorisierten Systeme und Daten.
  • 5Implementieren: Bereitstellung und Dokumentation der entsprechenden Kontrollen.
  • 6Bewerten: Bestimmung, ob die Kontrollen korrekt funktionieren und zu den gewünschten Ergebnissen führen.
  • 7Autorisieren: Autorisierung des Betriebs des Systems auf Grundlage der Risikobestimmung.
  • 8Überwachen: Kontinuierliche Überwachung und Bewertung der Wirksamkeit der Sicherheitskontrollen.
WIE ARCTIC WOLF HELFEN KANN
  • Überwachung von Zugriffs- und Kontoänderungen an in den Anwendungsbereich fallenden Anwendungen in der Cloud
  • Überwachung von Änderungen der Anwendungskonfiguration
FTC Safeguards Rule
Federal Trade Commission’s Standards for Safeguarding Customer Information
Automobilbranche, Finanzdienstleistungen
USA
FTC Safeguards Rule

Federal Trade Commission’s Standards for Safeguarding Customer Information

FTC Safeguards Rule auf einen Blick

Die FTC Safeguards Rule gilt für eine Vielzahl von Unternehmen, die Finanzdienstleistungen jeglicher Art für Kunden erbringen und nicht von anderen Behörden im Rahmen des GLBA reguliert werden – darunter Autohäuser, Einzelhändler, die Kreditkarten anbieten, und andere.

Die Safeguards Rule verpflichtet diese Unternehmen, ein Informationssicherheitsprogramm zum Schutz von Kundendaten zu entwickeln, umzusetzen und aufrechtzuerhalten.

Anforderungen

Die überarbeitete Safeguards Rule umfasst neun Schlüsselkomponenten:

  • 1Organisationen müssen eine "qualifizierte Person" benennen, die als Aufsichtsperson für ihr Cybersecurity-Programm fungiert und dem Vorstand schriftlich Bericht erstattet.
  • 2Sie müssen regelmäßige Risikobewertungen sowohl ihrer eigenen Sicherheitssysteme als auch der Sicherheitssysteme ihrer Lieferanten durchführen, um sicherzustellen, dass alle Kunden- und Auftraggeberdaten verschlüsselt aufbewahrt werden.
  • 3Sie müssen Sicherheitsvorkehrungen treffen, um die ermittelten Risiken zu kontrollieren, z. B. Identitäts- und Zugriffsverwaltung, Verschlüsselung und Multi-Faktor-Authentifizierung.
  • 4Sie müssen die Wirksamkeit der Schlüsselkontrollen testen und überwachen, z. B. durch kontinuierliche Überwachung und Schwachstellenanalysen.
  • 5Sie müssen sicherstellen, dass alle Mitarbeiter eine Schulung zum Thema Sicherheit erhalten, die bei Bedarf aktualisiert und an neue und geänderte Risiken angepasst wird.
  • 6Sie müssen von ihren eigenen Dienstleistern verlangen, dass sie durch Auswahl, Vertragsbedingungen und Bewertungen angemessene Sicherheitsvorkehrungen treffen.
  • 7Sie müssen ihr Sicherheitsprogramm auf der Grundlage der Ergebnisse ihrer Überwachung und etwaiger Änderungen der Geschäftsabläufe kontinuierlich anpassen.
  • 8Sie müssen einen schriftlichen Incident-Response-Plan erstellen, in dem die Aufgaben, Zuständigkeiten und Abhilfemaßnahmen im Falle eines Vorfalls beschrieben werden.
  • 9Schließlich muss die qualifizierte Person schriftlich über den Gesamtstatus des Sicherheitsprogramms berichten.
WIE ARCTIC WOLF HELFEN KANN
  • Die Lösungen von Arctic Wolf für Security Operations rationalisieren viele der im Rahmen der Safeguards Rule erforderlichen Aktivitäten.
  • Arctic Wolf MDR ermöglicht die Überwachung der wichtigsten Sicherheitskontrollen, einschließlich Zugriffskontrollen, Bestandsaufnahme des Systems, Multi-Faktor-Authentifizierung und mehr.
  • Arctic Wolf Managed Risk bietet regelmäßige Schwachstellenanalysen.
  • Arctic Wolf Managed Awareness bietet Schulungen zum Thema Sicherheit für Mitarbeiter
  • Arctic Wolf MDR und Tetra können eine Schlüsselrolle in einem Incident-Response-Plan spielen.
  • Berichte und Anleitungen des Concierge Security Teams können die Risikobewertung und die qualifizierte Person bei der Verwaltung des gesamten Informationssicherheitsprogramms unterstützen.
DSGVO
Datenschutz-Grundverordnung
Alle
Europäische Union
DSGVO

Datenschutz-Grundverordnung

DSGVO auf einen Blick

Die von der Europäischen Kommission aufgestellte Datenschutz-Grundverordnung (DSGVO) regelt den Datenschutz für Unternehmen, die personenbezogene Daten von EU-Bürgern speichern oder verarbeiten. Neben dem Schutz personenbezogener Daten räumt die Datenschutz-Grundverordnung Verbrauchern weitreichende Rechte in Bezug auf ihre Daten ein und sieht hohe Strafen für die Nichteinhaltung vor. Sie müssen keine Geschäftsniederlassung in der Europäischen Union haben, um der DSGVO zu unterliegen.

Anforderungen

DSGVO – ANFORDERUNGEN

  • 1 Ernennung eines Datenschutzbeauftragten
  • 2 Anwendung des Konzepts "Privacy by design"
  • 3 Implementierung von Datenschutzmaßnahmen
  • 4 Benachrichtigung der Aufsichtsbehörden über Datenschutzverstöße innerhalb von 72 Stunden
  • 5Die DSGVO gibt den Verbrauchern auch das Recht, auf ihre Daten zuzugreifen, über gesammelte Daten informiert zu werden, die Verarbeitung ihrer Daten einzuschränken und vieles mehr.
WIE ARCTIC WOLF HELFEN KANN
  • Gewährleistung der Datensicherheit durch Vulnerability Management, Erkennung und Reaktion sowie Benutzerschulung
  • Anleitung und Beratung durch das CST zu anderen Datensicherheitsmaßnahmen, die Organisationen umsetzen können
  • Erleichterung der raschen Meldung von Datenschutzverstößen durch sofortige Erkennung und Reaktion
GLBA
Gramm-Leach-Bliley Act
Finanzdienstleistungen
USA
GLBA

Gramm-Leach-Bliley Act

GLBA auf einen Blick

Gemäß Gramm-Leach-Bliley Act (GLBA) müssen Organisationen, die als "Finanzinstitute" definiert sind, Kundendaten sicher und vertraulich behandeln. Die Safeguards Rule, einer der drei Abschnitte des GLBA, wurde am 9. Dezember 2021 aktualisiert. Mit dieser Aktualisierung stellt die Federal Trade Commission (FTC) fest, dass eine Organisation, die "eine Tätigkeit ausübt, die finanzieller Natur ist oder mit solchen finanziellen Tätigkeiten zusammenhängt", als "Finanzinstitut" gilt und die Vorschriften einhalten muss.

Die wichtigsten Änderungen der Safeguards Rule treten am 6. Dezember 2022 in Kraft. Wer muss die Safeguards Rule einhalten?

Betrachten Sie die folgenden Beispiele von Organisationen, die gemäß der Safeguards Rule als "Finanzinstitute" gelten:

  • Einzelhändler, die Kreditkarten ausgeben
  • Autohäuser, die Autos langfristig – länger als 90 Tage – leasen
  • Organisationen, die Immobilien oder persönliches Eigentum begutachten
  • Berater, die Personen unterstützen, die mit einem Finanzinstitut verbunden sind
  • Unternehmen, die im Auftrag von Kunden Schecks drucken und verkaufen oder Geld überweisen
  • Unternehmen, die Bargelddienste anbieten
  • Ersteller von Einkommensteuererklärungen
  • Reisebüros
  • Abrechnungsdienstleistungen für Immobilien
  • Hypothekenmakler
  • Hochschulen und Universitäten, die Mittel aus Title IV annehmen

Anforderungen

GLBA – ANFORDERUNGEN

  • 1Die Safeguards Rule schreibt vor, dass Finanzinstitute die von ihnen gesammelten Verbraucherdaten schützen müssen.
    Die Anforderungen umfassen:
    • Benennung einer Person oder Gruppe, die ein Informationssicherheitsprogramm koordiniert.
    • Identifizierung und Bewertung von Risiken für Kundendaten und Bewertung der Wirksamkeit der bestehenden Kontrollen.
    • Umsetzung, Überwachung und Prüfung eines Programms zur Gefahrenabwehr.
    • Evaluierung des Programms, wenn sich die Geschäftsabläufe oder andere Umstände ändern.
    • Sicherstellung, dass Dienstleister die entsprechenden Sicherheitsvorkehrungen treffen können.
  • 2Die Privacy of Consumer Information Rule (Privacy Rule) schreibt vor, dass beaufsichtigte Unternehmen die Verbraucher über ihre Praktiken bei der Datenerfassung informieren und ihnen ihre Rechte auf Widerspruch erläutern müssen. Die Vorschrift enthält Anforderungen an den Inhalt der Bekanntmachungen, die Zustellungsmethoden und die Häufigkeit.
WIE ARCTIC WOLF HELFEN KANN
  • Verschaffen Sie sich einen umfassenden Überblick über Bedrohungen, die auf Kundendaten auf Remote-Endgeräten, im Unternehmensnetzwerk und in Cloud-Anwendungen abzielen.
  • Bedrohungserkennung und -abwehr 24/7/365 auf Angriffe auf nicht-öffentliche Kundendaten (NPI)
  • Proaktive Bewertungen von Cyberrisiken und strategische Sicherheitsberatung zur Stärkung des Sicherheitsniveaus des Unternehmens
HIPAA
Health Insurance Portability and Accountability Act
Gesundheitswesen
USA
HIPAA

Health Insurance Portability and Accountability Act

HIPAA auf einen Blick

Das US-Gesundheitsministerium schuf 1996 den Health Insurance Portability and Accountability Act (HIPAA), um die Vertraulichkeit und Integrität elektronischer geschützter Gesundheitsdaten (ePHI) zu schützen. Mit dem Health Information Technology for Economic and Clinical Health Act (HITECH) von 2009 wurden verpflichtende Prüfungen und Geldstrafen bei Nichteinhaltung der Vorschriften eingeführt.

Anforderungen

HIPAA – ANFORDERUNGEN

  • 1Der HIPAA verlangt die Umsetzung von drei Arten von Sicherheitsvorkehrungen: 1) administrativ, 2) physisch und 3) technisch.
  • 2Administrative Schutzvorkehrungen
  • 3Erfordert eine Risikoanalyse, um festzustellen, welche Sicherheitsmaßnahmen für Ihre Organisation angemessen und geeignet sind, einschließlich der folgenden Aktivitäten: Bewertung der Wahrscheinlichkeit und der Auswirkungen potenzieller Risiken für ePHI, Umsetzung geeigneter Sicherheitsmaßnahmen zur Bewältigung der in der Risikoanalyse ermittelten Risiken, Dokumentation der gewählten Sicherheitsmaßnahmen und gegebenenfalls der Gründe für die Annahme dieser Maßnahmen sowie Aufrechterhaltung kontinuierlicher, angemessener und geeigneter Sicherheitsvorkehrungen
  • 4Physische Sicherheitskontrollen und -maßnahmen
  • 5Umfasst Maßnahmen für den Zugang zur Einrichtung und deren Kontrolle: Abgedeckte Einrichtungen und Geschäftspartner müssen den physischen Zugang zu Einrichtungen begrenzen und gleichzeitig den autorisierten Zugang zu ePHI ermöglichen; Sicherheit von Arbeitsplätzen und Geräten: Abgedeckte Einrichtungen und Geschäftspartner müssen: Richtlinien und Verfahren zur Festlegung der ordnungsgemäßen Nutzung von und des Zugangs zu Arbeitsplätzen und elektronischen Medien implementieren. Richtlinien und Verfahren für die Übertragung, Entfernung, Entsorgung und Wiederverwendung von elektronischen Medien einführen.
  • 6Technische Sicherheitsvorkehrungen
  • 7Einbinden von Maßnahmen – einschließlich Firewalls, Verschlüsselung und Datensicherung – die zur Sicherung von ePHI zu ergreifen sind. Diese Sicherheitsvorkehrungen umfassen Folgendes: Zugriffskontrollen: Umsetzung von technischen Richtlinien und Verfahren, die nur befugten Personen den Zugriff auf ePHI ermöglichen. Audit-Kontrollen: Einführung von Hardware-, Software- und/oder Verfahrensmechanismen zur Aufzeichnung und Überprüfung des Zugriffs auf Informationssysteme, die ePHI enthalten oder verwenden. Integritätskontrollen: Umsetzung von Richtlinien und Verfahren, um sicherzustellen, dass ePHI nicht unzulässig verändert oder vernichtet wurden und werden. Übertragungssicherheit: Umsetzung technischer Sicherheitsmaßnahmen zum Schutz vor unerlaubtem Zugriff auf ePHI, die über ein elektronisches Netz übertragen werden.
WIE ARCTIC WOLF HELFEN KANN
  • Das unabhängige Analyseunternehmen Coalfire fand heraus, dass Arctic Wolf bei elf der zwölf technischen Schutzmaßnahmen helfen kann und einen Compliance-Mehrwert bietet.
  • Vereinfachung der HIPPA-Compliance durch benutzerdefinierte Berichte.
  • Überwachung des Zugriffs auf elektronische Gesundheitsinformationen (ePHI) vor Ort und in der Cloud.
  • Echtzeit-Warnungen bei unerlaubtem Zugriff auf ePHI-Daten.
  • Überwachung des Endbenutzer- und Verwaltungszugriffs und der Konfigurationsänderungen auf allen Systemen, die ePHI-Daten erstellen, empfangen, verwalten und übertragen.
  • Überwachung der Aktivitäten aktiver und inaktiver Benutzerkonten, Eskalation der Deprovisionierung inaktiver Konten durch manuelle/automatische Mittel.
  • Überprüfen von Änderungen in Active Directory (AD), Gruppenrichtlinien, Exchange und Dateiservern und Markieren nicht autorisierter Aktionen.
  • Überwachen fehlgeschlagener/erfolgreicher An-/Abmeldungen und aller Passwortänderungen, um übermäßige Anrufe beim Helpdesk zu vermeiden.
  • Untersuchen aller Angriffsvektoren (z. B. Phishing, Ransomware usw.) und Erzeugen von Sicherheitsvorfälle, um Reaktionsmaßnahmen einzuleiten.
  • Überprüfen anomaler Anmeldeaktivitäten und Änderungen, einschließlich der Vorher/Nachher-Werte für eine sofortige Datenwiederherstellung.
  • Scannen von Endgeräten auf ungepatchte Schwachstellen und Sammeln von Protokollinformationen von Endgerätesicherheitslösungen, wenn unerlaubter Zugriff oder fortgeschrittene Malware entdeckt wird.
  • Überwachen und Melden von Benutzeran- und -abmeldungen in Active Directory, aller Benutzeraktivitäten auf Endgeräten und kontinuierliche Überwachung des Netzwerkverkehrs, um anomale Aktivitäten zu erkennen.
  • Erstellen von Berichten über das Anlegen und Löschen von Konten, Richtlinien zur Datenaufbewahrung, Admin-Sperren, Konfigurationsänderungen und darüber, wer, was, wo und wann diese Änderungen vorgenommen hat.
HITRUST
Healthcare Information Trust Alliance
Gesundheitswesen
USA
HITRUST

Healthcare Information Trust Alliance

HITRUST auf einen Blick

Die Healthcare Information Trust Alliance (HITRUST) entwickelte das Common Security Framework (CSF) auf der Grundlage einer Vielzahl von bundes- und landesweiten Vorschriften, Frameworks und Standards. Das HITRUST CSF bietet überwachten Organisationen im Gesundheitswesen eine Reihe gemeinsamer Standards, die sie übernehmen und zur Bewertung ihrer Anbieter verwenden können.

Anforderungen

HITRUST CSF – ANFORDERUNGEN

  • 1 Organisatorische Faktoren wie geografische Reichweite und Geschäftsvolumen
  • 2 Regulatorische Faktoren, die auf den spezifischen Compliance-Anforderungen der Organisation beruhen, einschließlich Sektor und Geografie
  • 3 Systemfaktoren, die sich auf die Risiken des Daten-Managements auswirken, z. B. Datenspeicherung und -übertragung, Internetzugang, Zugriff durch Dritte, Anzahl der Nutzer und Anzahl der täglichen Transaktionen
  • 4Das Framework sieht auch alternative Management-, technische oder betriebliche Kontrollen vor, die unter bestimmten Bedingungen angewendet werden können.
WIE ARCTIC WOLF HELFEN KANN
  • Arctic Wolf MDR erstellt Berichte über die HITRUST-Kontrollen, die als unsere Dienste zu Protokollquellen in Bezug auf Authentifizierung und Autorisierung dargestellt werden.
IRS Pub 1075
IRS Pub 1075
Behörden
USA
IRS Pub 1075

IRS Pub 1075

IRS Pub 1075 auf einen Blick

Internal Revenue Service Publication 1075 (IRS 1075) ist eine Anleitung für US-Behörden und deren Beauftragte, die Zugang zu Bundessteuerinformationen (Federal Tax Information, FTI) haben, um sicherzustellen, dass sie Richtlinien, Praktiken und Kontrollen zum Schutz der Vertraulichkeit anwenden. IRS 1075 zielt darauf ab, das Risiko des Verlusts, der Verletzung oder des Missbrauchs von FTI im Besitz von externen Behörden zu minimieren.

Anforderungen

IRS PUB 1075 – ANFORDERUNGEN

  • 1Zum Schutz von FTI schreibt IRS 1075 Sicherheits- und Datenschutzkontrollen für Anwendungen, Plattformen und Rechenzentrumsdienste vor.
  • 2Einige der erforderlichen Kontrollen sind die folgenden elektronischen und physischen Maßnahmen:
  • 3Anforderungen an Aufzeichnungen: Führen eines dauerhaften Systems aller FTI-Aufzeichnungen und aller damit zusammenhängenden Daten, einschließlich der Zugriffsrechte.
  • 4Sichere Aufbewahrung: Einzelheiten über die physische und elektronische Sicherheit des Ortes, an dem FTI-Daten gespeichert werden. Dazu gehören Dinge wie Sperrbereiche, autorisierter Zugang, Schlösser und Schlüssel, Tresore, Transportsicherheit, Sicherheit von Computern und Speichermedien.
  • 5Zugriffsbeschränkung: Einzelheiten über den Zugriff auf FTI-Daten.
  • 6Anforderungen an die Berichterstattung: Regelmäßige Berichte wie SAR (Safeguard Activity Report) und SPR (Safeguard Procedures Report) müssen an die IRS geschickt werden.
  • 7Schulungen und Inspektionen: Sensibilisierung für die Sicherheit und jährliche Zertifizierung der Mitarbeiter. Jährliche Inspektionen sind ebenfalls erforderlich, um die ordnungsgemäße Umsetzung zu überprüfen.
  • 8Entsorgung: Angemessene Standards für die Entsorgung von FTI-Daten für physische und elektronische Medien.
  • 9Sicherheit von Computersystemen: Der wahrscheinlich komplexeste und detaillierteste Abschnitt dieser Verordnung bezieht sich auf alles im Zusammenhang mit Zugriffskontrolle, Kryptographie, E-Mails, Netzwerken bis hin zu drahtlosen Technologien und allen neuen Technologien.
WIE ARCTIC WOLF HELFEN KANN
  • Arctic Wolf kann Nachweise und Artefakte in Bezug auf Datenzugriff, Sicherheitsschulungen für Mitarbeiter und Unterstützung für Sicherheitsprogramme für Computersysteme liefern.
ISO 27002
Internationale Organisation für Normung: Standard für Informationssicherheit
Alle
International
ISO 27002

Internationale Organisation für Normung: Standard für Informationssicherheit

ISO 27002 auf einen Blick

Dieses Dokument, "Internationale Organisation für Normung: IT-Sicherheitsverfahren 2022", bietet eine Reihe von allgemeinen Informationssicherheitskontrollen sowie Leitlinien für deren Umsetzung. Dieses Dokument ist für die Verwendung durch Organisationen bestimmt:

A) Im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) auf Basis von ISO/IEC 27001

B) Zur Durchführung von Informationssicherheitskontrollen auf Basis international anerkannter Best Practices

C) Zur Entwicklung organisationsspezifischer Richtlinien für das Management der Informationssicherheit.

Anforderungen

ISO 27002:2022 – ANFORDERUNGEN

  • 1In Anhang A von ISO 27001 sind 114 Sicherheitskontrollen aufgeführt, die in 14 Kontrollgruppen unterteilt sind, von denen jede in den Klauseln 5–18 von ISO 27002 näher erläutert wird:
  • 2A.5 Weisungen und Richtlinien zur Informationssicherheit
  • 3A.6 Organisatorische Sicherheitsmaßnahmen und Managementprozess
  • 4A.7 Personelle Sicherheit
  • 5A.8 Verantwortung und Klassifizierung von Informationswerten
  • 6A.9 Zugriffskontrolle
  • 7A.10 Kryptographie
  • 8A.11 Physische Sicherheit und öffentliche Versorgungsdienste
  • 9A.12 Betriebssicherheit
  • 10A.13 Kommunikationssicherheit
  • 11A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen
  • 12A.15 Lieferantenbeziehungen
  • 13A.16 Umgang mit Sicherheitsvorfällen
  • 14A.17 Informationssicherheitsaspekte beim Business Continuity Management
  • 15A.18 Compliance
WIE ARCTIC WOLF HELFEN KANN
  • Arctic Wolf kann Nachweise und Artefakte im Zusammenhang mit Asset-Management, Zugriffskontrolle, Systemwartung und mehr liefern. Arctic Wolf MDR bietet Unterstützung bei Informationssicherheitsvorfällen.
ITAR
International Traffic in Arms Regulations
Verteidigung
USA
ITAR

International Traffic in Arms Regulations

ITAR auf einen Blick

Die International Traffic in Arms Regulations (ITAR) der Vereinigten Staaten regeln die Herstellung, den Verkauf und den Vertrieb von Verteidigungs- und Raumfahrtprodukten und -dienstleistungen.

Anforderungen

ITAR – ANFORDERUNGEN

WIE ARCTIC WOLF HELFEN KANN
  • Daten, Dateiaktivitäten und Benutzerverhalten überwachen
  • Assets systemübergreifend auditieren
  • Zugriffskontrollen und Zugriffsaktivitäten überwachen und protokollieren
KRITIS
IT-Sicherheitsgesetz 2.0
Alle
Deutschland
KRITIS

IT-Sicherheitsgesetz 2.0

KRITIS auf einen Blick

In Deutschland gelten für Betreiber kritischer Infrastrukturen besondere Vorschriften nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Beeinträchtigung zu dauerhaften Versorgungsengpässen, erheblichen Beeinträchtigungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen würde. Welche davon als kritische Infrastrukturen zu betrachten sind, regelt die KRITIS-Verordnung im BSI-Gesetz.

Mit dem IT-Sicherheitsgesetz 2.0 wurde im Mai 2021 neben den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzen und Versicherungen auch die Abfallwirtschaft in den Kreis der potenziellen Betreiber kritischer Infrastrukturen aufgenommen.

Anforderungen

IT-SICHERHEITSGESETZ 2.0 – ANFORDERUNGEN

  • 1Wurde aufgrund einer Überprüfung festgestellt, dass ein Unternehmen eindeutig der kritischen Infrastruktur zuzuordnen ist, muss es nach den Vorschriften des BSI-Gesetzes die folgenden Anforderungen erfüllen:
  • 2Meldung und Registrierung beim BSI als Betreiber kritischer Infrastrukturen.
  • 3Einrichtung eines Ansprechpartners als Schnittstelle zum BSI
  • 4Zuverlässige Erkennung kritischer Sicherheitsvorfälle und unverzügliche Meldung an das BSI
  • 5Implementierung von IT-Sicherheit nach dem Stand der Technik
  • 6Durchführung eines IT-Sicherheitsaudits alle zwei Jahre
WIE ARCTIC WOLF HELFEN KANN
  • Sicherheitsvorfälle erkennen und darauf reagieren
  • Concierge-Beratung auf dem Weg zu mehr Sicherheit für ein Unternehmen
  • Bereitstellung von Nachweisen, Artefakten und Berichten über Sicherheitskontrollen und -praktiken für Audits und Überprüfungen
Massachusetts General Law Chapter 93H: Security Breach
Massachusetts General Law Chapter 93H: Security Breach
Alle
Massachussets – USA
Massachusetts General Law Chapter 93H: Security Breach

Massachusetts General Law Chapter 93H: Security Breach

Massachusetts General Law Chapter 93H: Security Breach auf einen Blick

Chapter 93H schreibt vor, dass eine Person oder Behörde, die Daten besitzt oder lizenziert, die personenbezogene Informationen über einen Einwohner des Commonwealth enthalten, so schnell wie möglich und ohne unangemessene Verzögerung den Generalstaatsanwalt, das Office of Consumer Affairs and Business Regulation (OCABR) und die betroffenen Einwohner benachrichtigen muss, wenn eine solche Person oder Behörde (1) von einer Sicherheitsverletzung weiß oder Grund zu der Annahme hat oder (2) weiß oder Grund zu der Annahme hat, dass die personenbezogenen Informationen eines solchen Einwohners von einer unbefugten Person erworben oder verwendet oder für einen unerlaubten Zweck genutzt wurden.

Anforderungen

MASSACHUSETTS GENERAL LAW CHAPTER 93H – ANFORDERUNGEN

  • 1Die Mitteilung an den Generalstaatsanwalt und das OCABR muss neben der Art des Verstoßes und der Anzahl der Einwohner des Bundesstaates folgende Angaben enthalten:
  • 2 Name und Anschrift der Person oder Stelle, die von der Sicherheitsverletzung betroffen war
  • 3 Name und Titel der Person oder Stelle, die den Sicherheitsverstoß meldet
  • 4 Ihre Beziehung zu der Person oder Stelle, die von der Sicherheitsverletzung betroffen war
  • 5 Art der Person oder Stelle, die den Sicherheitsverstoß meldet
  • 6 Die für den Sicherheitsverstoß verantwortliche Person, falls bekannt
  • 7 Die Art der gefährdeten personenbezogenen Informationen, einschließlich, aber nicht beschränkt auf Sozialversicherungsnummer, Führerscheinnummer, Kontonummer, Kredit- oder Debitkartennummer oder andere Daten
  • 8 Ob die Person oder Behörde ein WISP schriftliches Informationssicherheitsprogramm unterhält
  • 9 Alle Schritte, die die Person oder Behörde im Zusammenhang mit dem Vorfall unternommen hat oder zu unternehmen gedenkt, einschließlich der Angabe, ob sie das schriftliche Informationssicherheitsprogramm aktualisiert hat.
WIE ARCTIC WOLF HELFEN KANN
  • Arctic Wolf MDR kann helfen, einen Sicherheitsvorfall schnell zu identifizieren, darauf zu reagieren und Nachweise für den Umfang und die Auswirkungen des Vorfalls zu liefern.
NCUA
National Credit Union Administration
Finanzdienstleistungen
USA
NCUA

National Credit Union Administration

NCUA auf einen Blick

Die National Credit Union Administration (NCUA) verfolgt bei der Prüfung und Beaufsichtigung von Kreditgenossenschaften einen risikobasierten Ansatz.

Alle bundesweit versicherten Kreditgenossenschaften werden regelmäßig von der NCUA geprüft. Um sowohl die Einhaltung der geltenden Gesetze und Vorschriften als auch die Sicherheit und Solidität zu gewährleisten, wird bei jeder Prüfung das Informationssicherheitsprogramm der Kreditgenossenschaft überprüft.

Anforderungen

NCUA – ANFORDERUNGEN

WIE ARCTIC WOLF HELFEN KANN
  • Risiko-Management und Managed Detection and Response durch Sicherheitsexperten
  • Bereitstellung von speziellem Sicherheitsfachwissen für Ihr IT-Team
  • Kontinuierliche Cybersecurity-Überwachung und Schwachstellenanalysen rund um die Uhr
  • Weitere Informationen zu jedem Bereich, Kontrollziel und jeder Kontrolltätigkeit finden Sie in der vollständigen Zusammenfassung der FFIEC-NCUA Compliance.
NERC CIP
Federal Energy Regulatory Commission/North American Electric Reliability Corporation – Critical Infrastructure Protection
Energie
USA, Kanada
NERC CIP

Federal Energy Regulatory Commission/North American Electric Reliability Corporation – Critical Infrastructure Protection

NERC CIP auf einen Blick

North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) zum Schutz kritischer Infrastrukturen umfasst eine Reihe von Standards zur Regulierung, Durchsetzung, Überwachung und Verwaltung der Sicherheit des Bulk Electric System (BES) in Nordamerika. Diese Normen gelten speziell für die Cybersecurity-Aspekte des BES. Die NERC CIP-Standards bieten ein Cybersecurity-Framework, um kritische Anlagen zu identifizieren und zu schützen, die die effiziente und zuverlässige Stromversorgung des nordamerikanischen BES beeinflussen können.

Anforderungen

NERC CIP – ANFORDERUNGEN

  • 1CIP-002-5.1a Cybersecurity – Kategorisierung von BES-Cybersystemen
  • 2CIP-003-8 Cybersecurity – Sicherheitsverwaltungskontrollen
  • 3CIP-004-6 Cybersecurity – Personal und Schulung
  • 4CIP-005-6 Cybersecurity – Elektronische Sicherheitsperimeter
  • 5CIP-006-6 Cybersicherheit – Physische Sicherheit von BES-Cybersystemen
  • 6CIP-007-6 Cybersecurity – System-Sicherheitsverwaltung
  • 7CIP-008-6 Cybersecurity – Berichterstattung über Cybersecurity-Vorfälle und Reaktionsplanung
  • 8CIP-009-6 Cybersecurity – Wiederherstellungspläne für BES-Cybersysteme
  • 9CIP-010-3 Cybersecurity – Verwaltung von Konfigurationsänderungen und Schwachstellenanalyse
  • 10CIP-011-2 Cybersicherheit – Informationsschutz
  • 11CIP-013-1 Cybersicherheit – Risiko-Management in der Lieferkette
WIE ARCTIC WOLF HELFEN KANN
  • Unterstützung von Incident-Response-Maßnahmen
  • Überwachung und Bereitstellung von Nachweisen und Artefakten zum System- und Sicherheits-Management
  • Transparenz, Benchmarking und Berichte zu Schwachstellen, Fehlkonfigurationen und Risiken
  • Durchführung von Managed Security Awareness-Schulungen
NIST 800-171B
Schutz von Controlled Unclassified Information (CUI) in nicht-bundesstaatlichen Systemen und Organisationen: Erhöhte Sicherheitsanforderungen für kritische Programme und Assets von hohem Wert
Alle, Auftragnehmer des Staates, Behörden
USA
NIST 800-171B

Schutz von Controlled Unclassified Information (CUI) in nicht-bundesstaatlichen Systemen und Organisationen: Erhöhte Sicherheitsanforderungen für kritische Programme und Assets von hohem Wert

NIST 800-171B auf einen Blick

NIST SP 800-171B ist eine völlig neue Veröffentlichung, die 33 erweiterte Sicherheitsanforderungen einführt, welche dazu beitragen sollen, DoD-Vertragspartner (insbesondere ihre hochwertigen Assets und kritischen Programme einschließlich CUI) vor modernen Angriffstaktiken und -techniken im Zusammenhang mit Advanced Persistent Threats (APTs) zu schützen.

Die erhöhten Sicherheitsanforderungen gelten nur dann für ein nicht-bundesstaatliches System oder eine nicht-bundesstaatliche Organisation, wenn sie von einer Bundesbehörde in einem Vertrag, einem Zuschuss oder einer anderen Vereinbarung vorgeschrieben werden.

Anforderungen

NIST SP 800-171B – ANFORDERUNGEN

  • 11. Doppelte Autorisierung, um kritische oder vertrauliche System- und Organisationsoperationen auszuführen.
  • 2Beschränkung des Zugriffs auf Systeme und Systemkomponenten auf die Informationsressourcen, die der Organisation gehören, von ihr bereitgestellt oder ausgegeben werden.
  • 3Einsatz von Lösungen für sichere Informationsübertragung zur Kontrolle des Informationsflusses zwischen Sicherheitsdomänen auf verbundenen Systemen.
  • 4Sensibilisierungsschulungen zur Erkennung von und Reaktion auf Bedrohungen durch Social Engineering, Advanced Persistent Threats, Sicherheitsverletzungen und verdächtige Verhaltensweisen; Aktualisierung der Schulungen mindestens einmal jährlich oder bei wesentlichen Änderungen der Bedrohungslage.
  • 5Einbindung praktischer Übungen in Sensibilisierungsschulungen, die sich an aktuellen Bedrohungsszenarien orientieren, und Rückmeldung an die an der Schulung beteiligten Personen und ihre Vorgesetzten.
  • 6Einrichtung und Pflege einer maßgeblichen Quelle und eines Repositorys, um eine vertrauenswürdige Quelle und Rechenschaftspflicht für genehmigte und implementierte Systemkomponenten zu schaffen.
  • 7Einsatz automatischer Mechanismen, um das Vorhandensein von fehlkonfigurierten oder nicht autorisierten Systemkomponenten zu erkennen und die Komponenten entweder zu entfernen oder sie in ein Quarantäne- oder Abhilfe-Netzwerk zu stellen, das Patches, eine Neukonfiguration oder andere Abhilfemaßnahmen ermöglicht.
  • 8Verwenden von automatisierten Erkennungs- und Verwaltungswerkzeugen, um eine aktuelle, vollständige, genaue und leicht verfügbare Bestandsaufnahme der Systemkomponenten zu pflegen.
  • 9Identifizierung und Authentifizierung von Systemen und Systemkomponenten vor dem Aufbau einer Netzwerkverbindung unter Verwendung einer bidirektionalen Authentifizierung, die kryptografisch basiert und wiederholungssicher ist.
  • 10Verwenden von Passwort-Managern für die Erstellung, Rotation und Verwaltung von Passwörtern für Systeme und Systemkomponenten, die keine Multifaktor-Authentifizierung oder komplexe Kontoverwaltung unterstützen.
  • 11Verwendung automatischer Mechanismen, um Systemkomponenten daran zu hindern, sich mit Organisationssystemen zu verbinden, wenn die Komponenten nicht bekannt, authentifiziert, in einem ordnungsgemäß konfigurierten Zustand oder in einem Vertrauensprofil sind.
  • 12Einrichtung und Aufrechterhaltung eines Security Operations Center in Vollzeit.
  • 13Einrichtung und Aufrechterhaltung eines Teams für die Reaktion auf Cybervorfälle, das innerhalb von 24 Stunden an jeden von der Organisation angegebenen Ort entsandt werden kann.
  • 14Verstärkte Überprüfung der Vertrauenswürdigkeit des Personals (Vetting) und ständige Neubewertung der Vertrauenswürdigkeit jedes Einzelnen.
  • 15Sicherstellen, dass Organisationssysteme geschützt werden, wenn nachteilige Informationen über die Vertrauenswürdigkeit von Personen mit Zugang zu CUI auftauchen.
  • 16Nutzung von Threat Intelligence als Grundlage für die Entwicklung von System- und Sicherheitsarchitekturen, die Auswahl von Sicherheitslösungen, die Überwachung, die Suche nach Bedrohungen sowie für Reaktions- und Wiederherstellungsmaßnahmen.
  • 17Aufbau und Pflege einer Fähigkeit zur Suche nach Cyberbedrohungen, um nach Anzeichen für eine Gefährdung von Organisationssystemen zu suchen und Bedrohungen, die sich bestehenden Kontrollen entziehen, zu erkennen, zu verfolgen und zu unterbinden.
  • 18Nutzung fortschrittlicher Automatisierungs- und Analysefunktionen, um Risiken für Organisationen, Systeme oder Systemkomponenten vorherzusagen und zu erkennen.
  • 19Dokumentation oder Referenzierung der Risikogrundlage für die Auswahl der Sicherheitslösung im System-Sicherheitsplan und Identifizierung der System- und Sicherheitsarchitektur, der Systemkomponenten, der Isolation der Grenzen oder der Schutzmechanismen und Abhängigkeiten von externen Dienstleistern.
  • 20Mindestens einmal pro Jahr Bewertung der Wirksamkeit der Sicherheitslösungen, um den zu erwartenden Risiken für das System und die Organisation auf der Grundlage aktueller und gesammelter Threat Intelligence zu begegnen.
  • 21Bewertung, Reaktion und Überwachung von Risiken in der Lieferkette im Zusammenhang mit Organisationssystemen.
  • 22Entwicklung und bedarfsgerechte Aktualisierung eines Plans für das Management von Lieferkettenrisiken im Zusammenhang mit Organisationssystemen.
  • 23Mindestens einmal jährlich Penetrationstests mit automatischen Scanning-Tools und Ad-hoc-Tests mit menschlichen Experten.
  • 24Einsatz verschiedener Systemkomponenten, um die Verbreitung von bösartigem Code einzudämmen.
  • 25Verringerung der Angriffsfläche von Organisationssystemen und Systemkomponenten durch Unvorhersehbarkeit, bewegliche Ziele oder Nicht-Persistenz.
  • 26Einsatz technischer und verfahrenstechnischer Mittel zur Verwirrung von Gegnern durch eine Kombination aus Irreführung, Verunreinigung oder Desinformation.
  • 27Anwendung physischer und logischer Isolationstechniken in der System- und Sicherheitsarchitektur.
  • 28Verwendung von Trust Roots, formaler Verifikation oder kryptographischen Signaturen zur Überprüfung der Integrität und Korrektheit von sicherheitskritischer oder wesentlicher Software.
  • 29Kontinuierliche Überwachung von Personen und Systemkomponenten auf anomales oder verdächtiges Verhalten.
  • 30Sicherstellen, dass Systeme, Komponenten und Geräte des Internets der Dinge (IoT), der Betriebstechnologie (OT) und des Industrial Internet of Things (IIoT) den Sicherheitsanforderungen entsprechen, die an Organisationssysteme gestellt werden, oder in zweckspezifischen Netzwerken isoliert sind.
  • 31Mindestens zweimal jährlich Aktualisierung von Organisationssystemen und Systemkomponenten aus einem bekannten, vertrauenswürdigen Zustand aktualisieren.
  • 32Regelmäßige Überprüfungen der persistenten Organisationsspeicherorte und Löschen von CUI, die nicht mehr benötigt werden, im Einklang mit den Bundesrichtlinien zur Aufbewahrung von Unterlagen und den Entsorgungsplänen.
  • 33Nutzung von Informationen über Bedrohungsindikatoren, die für die zu schützenden Informationen und Systeme relevant sind, sowie von wirksamen Abhilfemaßnahmen, die von externen Organisationen eingeholt wurden, um die Erkennung von Eindringlingen und die Suche nach Bedrohungen zu unterstützen.
WIE ARCTIC WOLF HELFEN KANN
  • Durchführung von Sensibilisierungsschulungen und Übungen, die vom Concierge Security Team aktualisiert und verwaltet werden
  • Scannen von Netzwerken und Umgebungen, um Systemressourcen zu auditieren und Fehlkonfigurationen und andere Schwachstellen zu ermitteln
  • Bereitstellung von Protokollen, Aufzeichnungen und Nachweisen in Bezug auf Autorisierungs- und Zugangsrichtlinien und -verfahren
NIST 800-53
Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen
Alle, Auftragnehmer des Staates, Behörden
USA
NIST 800-53

Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen

NIST 800-53 auf einen Blick

Der Hauptunterschied zwischen NIST 800-171 und 800-53 besteht darin, dass 800-171 sich auf nicht-bundesstaatliche Netzwerke bezieht, während NIST 800-53 direkt für alle Bundesorganisationen gilt.

Anforderungen

NIST 800-53 – ANFORDERUNGEN

  • 1 Siehe die Anforderungen von NIST SP 800-171.
WIE ARCTIC WOLF HELFEN KANN
  • Vereinfachung der Compliance mit NIST 800- 171 durch benutzerdefinierte Berichte
  • Schutz von CUI durch Überwachung der gesamten Kommunikation und des Datenverkehrs auf bösartige Aktivitäten
  • Unterstützung der Incident Response
  • 24/7-Überwachung mit unbegrenzter Protokollquelle
NIST CSF
National Institute of Standards and Technology Cybersecurity Framework
Alle
USA
NIST CSF

National Institute of Standards and Technology Cybersecurity Framework

NIST CSF auf einen Blick

Das NIST Cybersecurity Framework (NIST CSF) nutzt und integriert branchenführende Cybersecurity-Praktiken, die von Organisationen wie NIST und ISO entwickelt wurden. Das NIST CSF umfasst eine risikobasierte Zusammenstellung von Richtlinien, die Organisationen bei der Identifizierung, Umsetzung und Verbesserung von Cybersecurity-Praktiken helfen können, und schafft eine gemeinsame Sprache für die interne und externe Kommunikation rund um Cybersecurity-Fragen.

Das NIST CSF hat den geringsten Abdeckungsgrad der großen Cybersecurity-Frameworks und eignet sich daher am besten für kleinere oder nicht überwachte Unternehmen. Das NIST CSF wird häufig als Berichtsinstrument für die Sicherheitsberichterstattung an die Geschäftsleitung verwendet, da die fünf übergeordneten Kategorien Identifizieren, Erkennen, Schützen, Reagieren und Wiederherstellen es einfacher machen, komplexe Themen aus dieser Perspektive zu berichten.

Anforderungen

NIST CSF – ANFORDERUNGEN

  • 1Identifizieren
  • 2Schützen
  • 3Erkennen
  • 4Reagieren
  • 5Wiederherstellen
WIE ARCTIC WOLF HELFEN KANN
  • Die Security-Operations-Lösungen von Arctic Wolf decken alle fünf NIST-Funktionen ab:
  • MDR bietet Unterstützung für Erkennung, Reaktion und Wiederherstellung
  • Managed Risk hilft Unternehmen, ihre Assets und Risiken zu identifizieren und ihre Umgebung zu schützen.
  • Managed Security Awareness setzt Menschen ein, um Sicherheit in den fünf Funktionen zu gewährleisten
  • Incident Response hilft Unternehmen, die von einem Vorfall betroffen sind, zu reagieren und sich zu erholen
NIST SP 800-171
National Institute for Standards and Technology (NIST) Special Publication (SP) 800-171
Alle, Auftragnehmer des Staates, Behörden
USA
NIST SP 800-171

National Institute for Standards and Technology (NIST) Special Publication (SP) 800-171

NIST SP 800-171 auf einen Blick

Mit der Executive Order 13556 wurde das Controlled Unclassified Information-Programm (CUI) ins Leben gerufen, um die Art und Weise zu standardisieren, wie Auftragnehmer des Staates mit nicht klassifizierten Informationen umgehen, die geschützt werden müssen, wie z. B. persönlich identifizierbaren Informationen oder sensiblen Regierungs-Assets.

Anforderungen

NIST SP 800-171 – ANFORDERUNGEN

  • 1Abschnitt 3.1 – Zugriffskontrolle
  • 2Abschnitt 3.3 – Audits und Rechenschaftspflicht
  • 3Abschnitt 3.4 – Konfigurationsverwaltung
  • 4Abschnitt 3.5 – Identifizierung und Authentifizierung
  • 5Abschnitt 3.6 – Incident Response
  • 6Abschnitt 3.7 – Wartung
  • 7Abschnitt 3.8 – Medienschutz
  • 8Abschnitt 3.9 – Physischer Schutz
  • 9Abschnitt 3.10 – Personelle Sicherheit
  • 10Abschnitt 3.11 – Risikobewertung
  • 11Abschnitt 3.12 – Sicherheitsbewertung
  • 12Abschnitt 3.13 – System- und Kommunikationsschutz
  • 13Abschnitt 3.14 – System- und Informationsintegrität
WIE ARCTIC WOLF HELFEN KANN
  • Vereinfachung der Compliance mit NIST 800- 171 durch benutzerdefinierte Berichte
  • Schutz von CUI durch Überwachung der gesamten Kommunikation und des Datenverkehrs auf bösartige Aktivitäten
  • Unterstützung der Incident Response
  • 24/7-Überwachung mit unbegrenzter Protokollquelle
PCI-DSS
Payment Card Industry Data Security Standard
Verbrauchergeschäfte
International, USA
PCI-DSS

Payment Card Industry Data Security Standard

PCI-DSS auf einen Blick

Obwohl PCI-DSS in den Vereinigten Staaten nicht staatlich angeordnet ist, handelt es sich doch um einen Branchenstandard, der vom Payment Card Industry Security Standard Council (PCI-SSC) zum Schutz von Karteninhaberdaten vorgeschrieben ist.

Im März 2022 veröffentlichte der PCI SSC den PCI Data Security Standard v4.0, der die Version 3.2.1 ersetzt, um auf neue Bedrohungen und Technologien einzugehen und innovative Methoden zur Bekämpfung neuer Bedrohungen zu ermöglichen.

Anforderungen

PCI-DSS – ANFORDERUNGEN

  • 1PCI-DSS 1: Installieren und Pflegen von Firewall-Konfigurationen zum Schutz von Daten.
  • 2PCI-DSS 2: Keine Verwendung von durch Anbieter bereitgestellten Standards für Passwörter und Sicherheitsparameter.
  • 3PCI-DSS 3: Schutz gespeicherter Daten von Karteninhabern.
  • 4PCI-DSS 4: Verschlüsselte Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
  • 5PCI-DSS 5: Schutz aller Systeme vor Malware und regelmäßige Aktualisierung der AV-Software.
  • 6PCI-DSS 6: Entwicklung und Pflege sicherer Systeme und Anwendungen.
  • 7PCI-DSS 7: Beschränkung des Zugriffs auf Karteninhaberdaten nach geschäftlichen Notwendigkeiten.
  • 8PCI-DSS 8: Identifizierung und Authentifizierung des Zugriffs auf Systemkomponenten.
  • 9PCI-DSS 9: Beschränkung des physischen Zugriffs auf Karteninhaberdaten.
  • 10PCI-DSS 10: Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten.
  • 11PCI-DSS 11: Regelmäßige Tests von Sicherheitssystemen und -prozessen.
  • 12PCI-DSS 12: Pflegen einer Richtlinie zur Informationssicherheit.
WIE ARCTIC WOLF HELFEN KANN
  • Vereinfachung der Compliance mit PCI-DSS 3.2 durch benutzerdefinierte Berichte
  • Überwachung des Zugriffs auf Karteninhaberdaten vor Ort und in der Cloud
  • Echtzeitwarnungen basierend auf Geschäftsrisiken durch Zahlungskartendaten
  • Durchführung kontinuierlicher Schwachstellenprüfungen in internen und externen Netzwerken und auf Endgeräten
  • Implementierung sicherer Konfigurationsrichtlinien auf der Grundlage von Sicherheitskontroll-Benchmarks wie CIS
  • Identifizierung und Priorisierung von Schwachstellen auf der Grundlage von Bedrohungsrisiko, Assets und Schweregrad
  • Überwachung des Systemzugriffs, der Authentifizierung und anderer Sicherheitskontrollen, um Richtlinienverstöße zu erkennen
  • Automatische Erkennung und Untersuchung neuer Geräte, sobald sie ins Netzwerk eingehen
  • Erstellung, Zuweisung, Nachverfolgung und Verifizierung von Aktionen zur Behebung
  • Demonstration von Compliance und Kommunikation von Fortschritten mithilfe von Berichten, Analysen und Live-Dashboards vom Arctic Wolf Concierge Security Team
PHIPA
Personal Health Information Protection Act
Gesundheitswesen
Kanada
PHIPA

Personal Health Information Protection Act

PHIPA auf einen Blick

Der Personal Health Information Protection Act, auch bekannt als PHIPA, wurde im November 2004 in Ontario erlassen. PHIPA ist eine von zwei Komponenten des Health Information Protection Act 2004

Anforderungen

PHIPA – ANFORDERUNGEN

  • 1Der PHIPA enthält Meldepflichten sowohl für Bevollmächtigte als auch für Verwahrstellen. Wenn personenbezogene Gesundheitsdaten, die von einem Bevollmächtigten im Auftrag einer Verwahrstelle verwaltet werden, gestohlen werden, verloren gehen oder Unbefugten zugänglich werden, muss der Bevollmächtigte die Verwahrstelle bei der ersten angemessenen Gelegenheit über die Verletzung informieren.
  • 2Der PHIPA verpflichtet Verwahrstellen außerdem, Personen bei der ersten angemessenen Gelegenheit zu benachrichtigen, wenn personenbezogene Gesundheitsdaten gestohlen werden, verloren gehen oder Unbefugten zugänglich sind.
WIE ARCTIC WOLF HELFEN KANN
  • Arctic Wolf MDR erstellt Berichte über die PHIPA-Kontrollen, die als unsere Dienste zu Protokollquellen in Bezug auf Authentifizierung und Autorisierung dargestellt werden. Es ist zu beachten, dass in Kanada jede Provinz ihr eigenes Mandat und ihre eigenen Kontrollen im Bereich der Gesundheitsversorgung hat.
SCF
Secure Controls Framework
Alle
International
SCF

Secure Controls Framework

SCF auf einen Blick

Das Secure Controls Framework (SCF) ist ein umfassender Katalog von Kontrollen, der es Unternehmen ermöglichen soll, sichere Prozesse, Systeme und Anwendungen zu entwickeln, aufzubauen und zu pflegen. Das SCF befasst sich sowohl mit der Cybersecurity als auch mit dem Schutz der Privatsphäre, sodass diese Grundsätze auf strategischer, operativer und taktischer Ebene "eingebaut" werden sollen.

Anforderungen

SCF – ANFORDERUNGEN:

  • 1Ziel des SCF ist es, Organisationen aller Größenordnungen bei der Umsetzung dieser vier Grundsätze der Cybersecurity und des Datenschutzes zu unterstützen:
  • 2VERTRAULICHKEIT – Vertraulichkeit bedeutet, dass der Zugang zu Informationen und deren Offenlegung eingeschränkt wird, sodass nur befugte Benutzer und Dienste darauf zugreifen können.
  • 3INTEGRITÄT – Bei der Integrität geht es darum, dass vertrauliche Daten nicht auf unerlaubte und unentdeckte Weise geändert oder gelöscht worden sind.
  • 4VERFÜGBARKEIT – Verfügbarkeit bedeutet, den rechtzeitigen und zuverlässigen Zugang zu Informationen und deren Nutzung sicherzustellen.
  • 5SICHERHEIT – Sicherheit betrifft die Verringerung des Risikos, das mit eingebetteten Technologien verbunden ist, die versagen oder von böswilligen Akteuren manipuliert werden könnten.
  • 6Der SCF umfasst 32 Bereiche. Es gibt über 1.000 Kontrollen, die innerhalb dieser Bereiche kategorisiert sind, um die Verwaltung zu erleichtern. Jeder Bereich hat einen dreibuchstabigen Bezeichner, der in den Namen der Kontrollen enthalten ist, damit leicht zu erkennen ist, worauf der Fokus der Kontrolle liegt.
WIE ARCTIC WOLF HELFEN KANN
  • Die Security-Operations-Lösungen von Arctic Wolf liefern Nachweise und Artefakte für alle SCF-Bereiche. Arctic Wolf kann Überwachung, Vulnerability Management, Schulungen zum Sicherheitsbewusstsein und mehr anbieten.
SHIELD Act
Stop Hacks and Improve Electronic Data Security Act des US-Bundesstaates New York
Alle
New York – USA
SHIELD Act

Stop Hacks and Improve Electronic Data Security Act des US-Bundesstaates New York

SHIELD Act auf einen Blick

Der Stop Hacks and Improve Electronic Data Security (SHIELD) Act trat am 21. März 2020 in Kraft. Das Gesetz verpflichtet Unternehmen, die private Informationen über Einwohner sammeln, angemessene Cybersecurity-Vorkehrungen zu treffen, um diese zu schützen.

Anforderungen

SHIELD – ANFORDERUNGEN

  • 1Administrative Schutzmaßnahmen wie die Benennung von Mitarbeitern, die das Sicherheitsprogramm koordinieren, vorhersehbare externe und Insider-Risiken identifizieren, bestehende Schutzmaßnahmen bewerten, Cybersecurity-Schulungen für Mitarbeiter durchführen und Drittanbieter auswählen und verwalten, die in der Lage sind, angemessene Schutzmaßnahmen aufrechtzuerhalten.
  • 2Technische Sicherheitsvorkehrungen wie Risikobewertungen des Netzdesigns, des Softwaredesigns und der Informationsverarbeitung, Übertragung und Speicherung, Umsetzung von Maßnahmen zur Erkennung, Verhinderung und Reaktion auf Systemausfälle sowie regelmäßige Tests und Überwachung der wichtigsten Kontrollen.
  • 3Physische Schutzmaßnahmen wie Erkennung, Verhinderung und Reaktion auf Eindringlinge sowie Schutz vor unerlaubtem Zugriff auf private Informationen (oder deren Verwendung) während oder nach der Erfassung, dem Transport und der Vernichtung oder Entsorgung der Informationen.
WIE ARCTIC WOLF HELFEN KANN
  • Überwachen der Umgebung auf Bedrohungen und regelmäßiges Feedback zum Sicherheitsniveau.
  • Bereitstellung interner und externer Fähigkeiten Schwachstellenanalyse und Vulnerability Management, um Risiken zu verstehen.
  • Funktion als Dienstleister für die Überwachung Ihrer Systeme und die Schwachstellenanalyse und das Vulnerability Management in diesen Systemen.
SOC 2 Type 2
Service Organization Control 2 Type 2
Alle
International, USA
SOC 2 Type 2

Service Organization Control 2 Type 2

SOC 2 Type 2 auf einen Blick

Ein SOC-2-Type-2-Bericht ist ein SOC-Audit (Service Organization Control) darüber, wie ein Anbieter von Cloud-basierten Diensten mit vertraulichen Daten umgeht. Er deckt sowohl die Eignung der Kontrollen eines Unternehmens als auch deren operative Wirksamkeit ab.

SOC 2 ist ein beliebtes Sicherheits- und Risiko-Framework zur Bewertung der Sicherheit, aber Unternehmen könnten stattdessen auch ISO/IEC 27001 oder HITRUST verwenden.

Anforderungen

SOC 2 TYPE 2 – ANFORDERUNGEN

  • 1Die SOC-2-Compliance basiert auf spezifischen Kriterien für die korrekte Verwaltung von Kundendaten, die aus fünf Trust Services-Kategorien bestehen: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
  • 2Die grundlegendste Checkliste für die Einhaltung von SOC 2 (die einen Prüfer zufrieden stellt) ist in den Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Kriterien für Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz) enthalten und sollte diese Kontrollen berücksichtigen:
  • 3Logische und physische Zugangskontrollen: Wie Sie den logischen und physischen Zugang beschränken und verwalten, um unerlaubten Zugang zu verhindern
  • 4Systembetrieb: Wie Sie Ihre Systemabläufe verwalten, um Abweichungen von festgelegten Verfahren zu erkennen und abzumildern
  • 5Änderungs-Management: Wie Sie einen kontrollierten Änderungs-Managementprozess einführen und unautorisierte Änderungen verhindern
  • 6Risikominderung: Wie Sie Maßnahmen zur Risikominderung bei Geschäftsunterbrechungen und bei der Nutzung von Anbieterdiensten ermitteln und entwickeln
WIE ARCTIC WOLF HELFEN KANN
  • Überwachung und Bereitstellung von Nachweisen und Artefakten über das Verhalten von Zugriffskontrollen und Systemoperationen
  • Unterstützung des Risiko-Managements durch Vulnerability Management und Tracking
SOPIPA
Student Online Personal Information Protection Act
Bildung
Kalifornien – USA
SOPIPA

Student Online Personal Information Protection Act

SOPIPA auf einen Blick

Der im Januar 2016 in Kraft getretene SOPIPA gilt für Einrichtungen, die Websites, Online-Dienste sowie Online- und mobile Apps betreiben, welche in erster Linie für schulische Bildungszwecke konzipiert und vermarktet werden. Sie verpflichtet diese Betreiber, angemessene Sicherheitsmaßnahmen zum Schutz von Schülerdaten zu ergreifen, und verbietet ihnen, die Daten weiterzugeben oder sie für Werbung zu anderen als Bildungszwecken zu verwenden.

Anforderungen

SOPIPA – ANFORDERUNGEN

  • 1Abgesehen von der Nichtweitergabe von Schülerdaten werden die Unternehmen durch folgende Maßnahmen zur Einhaltung der Sicherheits- und Löschungsanforderungen angehalten:
  • 2Implementierung und Aufrechterhaltung von Sicherheitsverfahren zum Schutz der gesammelten Informationen vor unerlaubtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung.
  • 3Löschen der erfassten Informationen eines Schülers (gemäß der Definition von SOPIPA), wenn die Schule oder der Bezirk die Löschung von Daten unter der Kontrolle der Schule oder des Bezirks verlangt.
WIE ARCTIC WOLF HELFEN KANN
  • Die Security-Operations-Lösungen von Arctic Wolf unterstützen die Sicherheitsverfahren, die zum Schutz der erfassten Informationen entwickelt wurden, und können Nachweise und Artefakte zur Dokumentation der Verfahren liefern.
SOX
Sarbanes-Oxley Act
Finanzdienstleistungen
International, USA
SOX

Sarbanes-Oxley Act

SOX auf einen Blick

Mit SOX wurden regulatorische Anforderungen für alle US-amerikanischen Aktiengesellschaften, ausländischen Unternehmen mit bei der Securities and Exchange Commission registrierten Wertpapieren sowie Wirtschaftsprüfungsgesellschaften geschaffen und erweitert. Das vorrangige Ziel dabei ist es, betrügerische Finanzberichterstattung zu verhindern und Anleger zu schützen.

Anforderungen

SOX – ANFORDERUNGEN

  • 1Abschnitt 302 schreibt vor, dass leitende Angestellte persönlich schriftlich bestätigen müssen, dass die Jahresabschlüsse des Unternehmens "den Offenlegungsanforderungen der SEC entsprechen und in allen wesentlichen Aspekten ein den tatsächlichen Verhältnissen entsprechendes Bild der Geschäftstätigkeit und der Finanzlage des Emittenten vermitteln". Führungskräfte, die Abschlüsse unterschreiben, von denen sie wissen, dass sie unrichtig sind, machen sich strafbar und können sogar zu Gefängnisstrafen verurteilt werden.
  • 2Paragraph 404 verlangt, dass das Management und Auditoren interne Kontrollen und Berichterstattungsverfahren definieren, um die Korrektheit dieser Kontrollen sicherzustellen. Einige Kritiker dieses Gesetzes bemängeln, dass sich die Anforderungen in Paragraph 404 negativ auf börsennotierte Unternehmen auswirken können, da die Einrichtung und Aufrechterhaltung der notwendigen internen Kontrollen oft sehr teuer ist.
  • 3Paragraph 802 enthält die drei Regeln, die sich auf Aufzeichnungen auswirken. Die erste befasst sich mit der Vernichtung und Fälschung von Aufzeichnungen. Die zweite definiert streng die Aufbewahrungsfrist für die Speicherung von Aufzeichnungen. Die dritte Regel beschreibt die spezifischen Geschäftsunterlagen, die Unternehmen aufbewahren müssen, einschließlich der elektronischen Kommunikation.
WIE ARCTIC WOLF HELFEN KANN
  • Analyse, Priorisierung und Management von Schwachstellen
  • Verwalten, Überwachen und Analysieren von Audit-Logs
  • Durchführung regelmäßiger Risikobewertungen zur Ermittlung von sicherheitsrelevanten Schwachstellen

Aktuellen Ort verwenden

  • Legende
  • INTERNATIONALE
    VORSCHRIFT

  • LANDESSPEZIFISCHE
    VORSCHRIFT

  • SPEZIFISCHE VORSCHRIFT EINES
    US-BUNDESSTAATES / EU-MITGLIEDS

ALLE VORSCHRIFTEN ANZEIGEN

Karte mit zwei Fingern bewegen

Erkunden Sie die komplexe Welt der Vorschriften

Die Einhaltung von Vorschriften kann überwältigend sein. Mehrere Frameworks. Sich überschneidende Anforderungen. Arctic Wolf hilft Ihnen, sich zurechtzufinden.

VORSCHRIFTEN ERKUNDEN

Klicken Sie auf eine Region, um deren Vorschriften anzuzeigen

"Bevor wir mit Arctic Wolf zusammenarbeiteten, war es unglaublich schwierig, einen klaren Überblick über unsere Infrastruktur zu bekommen. Die Zusammenarbeit mit dem Concierge Security® Team von Arctic Wolf ermöglicht es uns, die Transparenz zu wahren und Compliance-Verpflichtungen zu erfüllen."

Dr. Jason A. Thomas,

Chief Operating Officer und Chief Information Officer, Jackson Parish Hospital

WIE ARCTIC WOLF HILFT

Arctic Wolf hilft Tausenden von
Teams, Compliance zu erreichen

24x7x365-Scannen

24x7x365-
Scannen

24x7x365-Scannen Ihrer gesamten IT-Umgebung auf Bedrohungen und Schwachstellen.

Prioritätskontext

Prioritäts-
kontext

Prioritätskontext zum Schweregrad von Schwachstellen, die in den Netzwerken und auf den Endgeräten des Unternehmens gefunden wurden.

Unnötigen Zugriff verhindern

Unnötigen Zugriff
verhindern

Verhinderung unnötiger Zugriffe auf kritische Systeme und Infrastruktur.

Assets besser verstehen

Assets besser
verstehen

Schaffung von Möglichkeiten, die Konfigurationseinstellungen Ihrer Server und Workstations besser zu verstehen – und zu verhindern, dass anfällige Services und Einstellungen ausgenutzt werden.

Ressourcen

Arctic Wolf hilft Ihnen, sich zurechtzufinden

Leitfaden

Leitfaden zur Einhaltung der Cybersicherheit

Webinar

Finden Sie sich im komplexen Cybersecurity-Compliance-Umfeld zurecht

CyberScoop Exec Video-Panel

Die Grundlagen der Cybersecurity-Compliance

Möchten Sie Ihre Compliance-Verpflichtungen verstehen und erfüllen?

Demo anfordern