SEC01-BP03 Kontrollziele identifizieren und validieren - AWS Well-Architected Framework
Implementierungsleitfaden Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC01-BP03 Kontrollziele identifizieren und validieren

Entsprechend Ihren Compliance-Anforderungen und Risiken, die aus Ihrem Bedrohungsmodell identifiziert werden, können Sie die Kontrollziele und Kontrollen ableiten und validieren, die Sie für Ihre Workload benötigen. Die laufende Validierung von Kontrollzielen und Kontrollen hilft Ihnen, die Effektivität der Risikominderung zu messen.

Gewünschtes Ergebnis: Die Kontrollziele Ihres Unternehmens sind klar definiert und auf Ihre Compliance-Anforderungen abgestimmt. Kontrollen werden durch Automatisierung und Richtlinien implementiert und durchgesetzt und kontinuierlich auf ihre Wirksamkeit bei der Erreichung Ihrer Ziele überprüft. Die Belege für die Wirksamkeit sowohl zu einem bestimmten Zeitpunkt als auch über einen bestimmten Zeitraum hinweg sind jederzeit für Prüfer abrufbar.

Typische Anti-Muster:

  • Regulatorische Anforderungen, Markterwartungen und Branchenstandards für verlässliche Sicherheit sind in Ihrem Unternehmen nicht hinreichend vertraut.

  • Ihr Framework für die Cybersicherheit und Ihre Kontrollziele sind nicht an den Anforderungen Ihres Unternehmens ausgerichtet.

  • Die Implementierung der Kontrollen ist nicht messbar auf Ihre Kontrollziele ausgerichtet.

  • Sie verwenden keine Automatisierung zur Berichterstattung über die Wirksamkeit Ihrer Kontrollen.

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Hoch

Implementierungsleitfaden

Es gibt zahlreiche gängige Frameworks für die Cybersicherheit, die die Grundlage für Ihre Sicherheitskontrollziele bilden können. Berücksichtigen Sie die regulatorischen Anforderungen, die Markterwartungen und die Branchenstandards für Ihr Unternehmen, um festzustellen, welches Framework Ihre Anforderungen am besten erfüllt. Zu den Beispielen gehören AICPASOC2, HITRUST, PCI- DSS, ISO27001 und NIST SP 800-53.

Machen Sie sich im Hinblick auf die von Ihnen festgelegten Kontrollziele ein Bild davon, wie die von Ihnen in Anspruch genommenen AWS Dienste Ihnen dabei helfen, diese Ziele zu erreichen. Hier finden AWS ArtifactSie Dokumentationen und Berichte, die auf Ihre Ziel-Frameworks abgestimmt sind und den Zuständigkeitsbereich beschreiben, für den Sie zuständig sind, AWS sowie Anleitungen für den verbleibenden Bereich, für den Sie verantwortlich sind. Weitere servicespezifische Anleitungen, die sich an verschiedenen Regelwerken orientieren, finden Sie unter AWS Customer Compliance Guides.

Während Sie die Kontrollen zur Erreichung Ihrer Ziele definieren, kodifizieren Sie die Durchsetzung mithilfe von präventiven Kontrollen und automatisieren die Abschwächung mithilfe von detektivischen Kontrollen. Mithilfe von Richtlinien zur Servicesteuerung (SCP) können Sie verhindern, dass Ressourcenkonfigurationen und Aktionen in Ihrem AWS Organizations Unternehmen nicht den Vorschriften entsprechen. Implementieren Sie Regeln in AWS Config zur Überwachung und Berichterstattung über nicht konforme Ressourcen und wechseln Sie dann zu einem Durchsetzungsmodell, sobald Sie von deren Verhalten überzeugt sind. Wenn Sie vordefinierte und verwaltete Regeln bereitstellen möchten, die sich an Ihren Cybersicherheits-Rahmenbedingungen orientieren, sollten Sie die Verwendung von AWS Security Hub -Standards als erste Wahl in Betracht ziehen. Der Standard AWS Foundational Service Best Practices (FSBP) und der CIS AWS Foundations Benchmark sind gute Ausgangspunkte für Kontrollen, die auf viele Ziele ausgerichtet sind, die in mehreren Standard-Frameworks gemeinsam sind. In Fällen, in denen Security Hub nicht intrinsisch die gewünschten Kontrollmeldungen verfügt, kann es durch AWS Config -Konformitätspakete ergänzt werden.

Nutzen Sie die vom AWS Global Security and Compliance Acceleration (GSCA) -Team empfohlenen APNPartnerpakete, um bei Bedarf Unterstützung von Sicherheitsberatern, Beratungsagenturen, Systemen zur Erfassung und Berichterstattung von Nachweisen, Auditoren und anderen ergänzenden Dienstleistungen zu erhalten.

Implementierungsschritte

  1. Bewerten Sie gängige Frameworks für Cybersicherheit und richten Sie Ihre Kontrollziele an den ausgewählten Frameworks aus.

  2. Besorgen Sie sich relevante Unterlagen zu Anleitungen und Verantwortlichkeiten bei der Verwendung AWS Artifact Ihres Frameworks. Finden Sie heraus, für welche Aspekte der Einhaltung der AWS Vorschriften das Modell der gemeinsamen Verantwortung gilt und für welche Bereiche Sie verantwortlich sind.

  3. Verwenden Sie SCPs Ressourcenrichtlinien, Rollenvertrauensrichtlinien und andere Schutzmaßnahmen, um unzulässige Ressourcenkonfigurationen und Aktionen zu verhindern.

  4. Evaluieren Sie den Einsatz von Security Hub Hub-Standards und AWS Config Konformitätspaketen, die Ihren Kontrollzielen entsprechen.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Tools: