Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik Terbaik Operasional untuk NERC CIP BCSI
Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.
Berikut ini memberikan contoh pemetaan antara North American Electric Reliability Corporation Critical Infrastructure Protection Standards (NERC CIP) untuk BES Cyber System Information (BCSI), CIP-004-7 & CIP-011-3, dan aturan terkelola. AWS Config Setiap aturan AWS Config berlaku untuk AWS sumber daya tertentu, dan terkait dengan satu atau beberapa kontrol CIP NERC yang berlaku untuk BCSI. Kontrol CIP NERC dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.
| ID Kontrol | Deskripsi Kontrol | AWS Config Aturan | Bimbingan |
|---|---|---|---|
| CIP-004-7-R6-Bagian 6.1 | Setiap Entitas yang Bertanggung Jawab harus menerapkan satu atau lebih program manajemen akses terdokumentasi untuk mengotorisasi, memverifikasi, dan mencabut akses yang disediakan ke BCSI yang berkaitan dengan “Sistem yang Berlaku” yang diidentifikasi dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES. Untuk dipertimbangkan akses ke BCSI dalam konteks persyaratan ini, seorang individu memiliki kemampuan untuk memperoleh dan menggunakan BCSI. Akses yang disediakan harus dianggap sebagai hasil dari tindakan spesifik yang diambil untuk menyediakan sarana bagi individu untuk mengakses BCSI (misalnya, dapat mencakup kunci fisik atau kartu akses, pengguna dan hak dan hak istimewa terkait, kunci enkripsi). Bagian 6.1: Sebelum penyediaan, otorisasi (kecuali telah diizinkan sesuai dengan Bagian 4.1.) berdasarkan kebutuhan, sebagaimana ditentukan oleh Entitas yang Bertanggung Jawab, kecuali untuk Keadaan Luar Biasa CIP: 6.1.1. Akses elektronik yang disediakan ke BCSI elektronik | Pastikan kontrol akses berbutir halus diaktifkan di domain Layanan Amazon OpenSearch Anda. Kontrol akses berbutir halus menyediakan mekanisme otorisasi yang disempurnakan untuk mencapai akses yang paling tidak memiliki hak istimewa ke domain Amazon. OpenSearch Ini memungkinkan kontrol akses berbasis peran ke domain, serta indeks, dokumen, dan keamanan tingkat lapangan, dukungan untuk OpenSearch dasbor multi-tenancy, dan otentikasi dasar HTTP untuk dan Kibana. OpenSearch | |
| CIP-004-7-R6-Bagian 6.1 | Setiap Entitas yang Bertanggung Jawab harus menerapkan satu atau lebih program manajemen akses terdokumentasi untuk mengotorisasi, memverifikasi, dan mencabut akses yang disediakan ke BCSI yang berkaitan dengan “Sistem yang Berlaku” yang diidentifikasi dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES. Untuk dipertimbangkan akses ke BCSI dalam konteks persyaratan ini, seorang individu memiliki kemampuan untuk memperoleh dan menggunakan BCSI. Akses yang disediakan harus dianggap sebagai hasil dari tindakan spesifik yang diambil untuk menyediakan sarana bagi individu untuk mengakses BCSI (misalnya, dapat mencakup kunci fisik atau kartu akses, pengguna dan hak dan hak istimewa terkait, kunci enkripsi). Bagian 6.1: Sebelum penyediaan, otorisasi (kecuali telah diizinkan sesuai dengan Bagian 4.1.) berdasarkan kebutuhan, sebagaimana ditentukan oleh Entitas yang Bertanggung Jawab, kecuali untuk Keadaan Luar Biasa CIP: 6.1.1. Akses elektronik yang disediakan ke BCSI elektronik | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| CIP-004-7-R6-Bagian 6.1 | Setiap Entitas yang Bertanggung Jawab harus menerapkan satu atau lebih program manajemen akses terdokumentasi untuk mengotorisasi, memverifikasi, dan mencabut akses yang disediakan ke BCSI yang berkaitan dengan “Sistem yang Berlaku” yang diidentifikasi dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES. Untuk dipertimbangkan akses ke BCSI dalam konteks persyaratan ini, seorang individu memiliki kemampuan untuk memperoleh dan menggunakan BCSI. Akses yang disediakan harus dianggap sebagai hasil dari tindakan spesifik yang diambil untuk menyediakan sarana bagi individu untuk mengakses BCSI (misalnya, dapat mencakup kunci fisik atau kartu akses, pengguna dan hak dan hak istimewa terkait, kunci enkripsi). Bagian 6.1: Sebelum penyediaan, otorisasi (kecuali telah diizinkan sesuai dengan Bagian 4.1.) berdasarkan kebutuhan, sebagaimana ditentukan oleh Entitas yang Bertanggung Jawab, kecuali untuk Keadaan Luar Biasa CIP: 6.1.1. Akses elektronik yang disediakan ke BCSI elektronik | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| CIP-004-7-R6-Bagian 6.1 | Setiap Entitas yang Bertanggung Jawab harus menerapkan satu atau lebih program manajemen akses terdokumentasi untuk mengotorisasi, memverifikasi, dan mencabut akses yang disediakan ke BCSI yang berkaitan dengan “Sistem yang Berlaku” yang diidentifikasi dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES. Untuk dipertimbangkan akses ke BCSI dalam konteks persyaratan ini, seorang individu memiliki kemampuan untuk memperoleh dan menggunakan BCSI. Akses yang disediakan harus dianggap sebagai hasil dari tindakan spesifik yang diambil untuk menyediakan sarana bagi individu untuk mengakses BCSI (misalnya, dapat mencakup kunci fisik atau kartu akses, pengguna dan hak dan hak istimewa terkait, kunci enkripsi). Bagian 6.1: Sebelum penyediaan, otorisasi (kecuali telah diizinkan sesuai dengan Bagian 4.1.) berdasarkan kebutuhan, sebagaimana ditentukan oleh Entitas yang Bertanggung Jawab, kecuali untuk Keadaan Luar Biasa CIP: 6.1.1. Akses elektronik yang disediakan ke BCSI elektronik | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| CIP-004-7-R6-Bagian 6.1 | Setiap Entitas yang Bertanggung Jawab harus menerapkan satu atau lebih program manajemen akses terdokumentasi untuk mengotorisasi, memverifikasi, dan mencabut akses yang disediakan ke BCSI yang berkaitan dengan “Sistem yang Berlaku” yang diidentifikasi dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES. Untuk dipertimbangkan akses ke BCSI dalam konteks persyaratan ini, seorang individu memiliki kemampuan untuk memperoleh dan menggunakan BCSI. Akses yang disediakan harus dianggap sebagai hasil dari tindakan spesifik yang diambil untuk menyediakan sarana bagi individu untuk mengakses BCSI (misalnya, dapat mencakup kunci fisik atau kartu akses, pengguna dan hak dan hak istimewa terkait, kunci enkripsi). Bagian 6.1: Sebelum penyediaan, otorisasi (kecuali telah diizinkan sesuai dengan Bagian 4.1.) berdasarkan kebutuhan, sebagaimana ditentukan oleh Entitas yang Bertanggung Jawab, kecuali untuk Keadaan Luar Biasa CIP: 6.1.1. Akses elektronik yang disediakan ke BCSI elektronik | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| CIP-004-7-R6-Bagian 6.1 | Setiap Entitas yang Bertanggung Jawab harus menerapkan satu atau lebih program manajemen akses terdokumentasi untuk mengotorisasi, memverifikasi, dan mencabut akses yang disediakan ke BCSI yang berkaitan dengan “Sistem yang Berlaku” yang diidentifikasi dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES. Untuk dipertimbangkan akses ke BCSI dalam konteks persyaratan ini, seorang individu memiliki kemampuan untuk memperoleh dan menggunakan BCSI. Akses yang disediakan harus dianggap sebagai hasil dari tindakan spesifik yang diambil untuk menyediakan sarana bagi individu untuk mengakses BCSI (misalnya, dapat mencakup kunci fisik atau kartu akses, pengguna dan hak dan hak istimewa terkait, kunci enkripsi). Bagian 6.1: Sebelum penyediaan, otorisasi (kecuali telah diizinkan sesuai dengan Bagian 4.1.) berdasarkan kebutuhan, sebagaimana ditentukan oleh Entitas yang Bertanggung Jawab, kecuali untuk Keadaan Luar Biasa CIP: 6.1.1. Akses elektronik yang disediakan ke BCSI elektronik | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| CIP-004-7-R6-Bagian 6.1 | Setiap Entitas yang Bertanggung Jawab harus menerapkan satu atau lebih program manajemen akses terdokumentasi untuk mengotorisasi, memverifikasi, dan mencabut akses yang disediakan ke BCSI yang berkaitan dengan “Sistem yang Berlaku” yang diidentifikasi dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES. Untuk dipertimbangkan akses ke BCSI dalam konteks persyaratan ini, seorang individu memiliki kemampuan untuk memperoleh dan menggunakan BCSI. Akses yang disediakan harus dianggap sebagai hasil dari tindakan spesifik yang diambil untuk menyediakan sarana bagi individu untuk mengakses BCSI (misalnya, dapat mencakup kunci fisik atau kartu akses, pengguna dan hak dan hak istimewa terkait, kunci enkripsi). Bagian 6.1: Sebelum penyediaan, otorisasi (kecuali telah diizinkan sesuai dengan Bagian 4.1.) berdasarkan kebutuhan, sebagaimana ditentukan oleh Entitas yang Bertanggung Jawab, kecuali untuk Keadaan Luar Biasa CIP: 6.1.1. Akses elektronik yang disediakan ke BCSI elektronik | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| CIP-004-7-R6-Bagian 6.1 | Setiap Entitas yang Bertanggung Jawab harus menerapkan satu atau lebih program manajemen akses terdokumentasi untuk mengotorisasi, memverifikasi, dan mencabut akses yang disediakan ke BCSI yang berkaitan dengan “Sistem yang Berlaku” yang diidentifikasi dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES. Untuk dipertimbangkan akses ke BCSI dalam konteks persyaratan ini, seorang individu memiliki kemampuan untuk memperoleh dan menggunakan BCSI. Akses yang disediakan harus dianggap sebagai hasil dari tindakan spesifik yang diambil untuk menyediakan sarana bagi individu untuk mengakses BCSI (misalnya, dapat mencakup kunci fisik atau kartu akses, pengguna dan hak dan hak istimewa terkait, kunci enkripsi). Bagian 6.1: Sebelum penyediaan, otorisasi (kecuali telah diizinkan sesuai dengan Bagian 4.1.) berdasarkan kebutuhan, sebagaimana ditentukan oleh Entitas yang Bertanggung Jawab, kecuali untuk Keadaan Luar Biasa CIP: 6.1.1. Akses elektronik yang disediakan ke BCSI elektronik | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| CIP-004-7-R6-Bagian 6.1 | Setiap Entitas yang Bertanggung Jawab harus menerapkan satu atau lebih program manajemen akses terdokumentasi untuk mengotorisasi, memverifikasi, dan mencabut akses yang disediakan ke BCSI yang berkaitan dengan “Sistem yang Berlaku” yang diidentifikasi dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES. Untuk dipertimbangkan akses ke BCSI dalam konteks persyaratan ini, seorang individu memiliki kemampuan untuk memperoleh dan menggunakan BCSI. Akses yang disediakan harus dianggap sebagai hasil dari tindakan spesifik yang diambil untuk menyediakan sarana bagi individu untuk mengakses BCSI (misalnya, dapat mencakup kunci fisik atau kartu akses, pengguna dan hak dan hak istimewa terkait, kunci enkripsi). Bagian 6.1: Sebelum penyediaan, otorisasi (kecuali telah diizinkan sesuai dengan Bagian 4.1.) berdasarkan kebutuhan, sebagaimana ditentukan oleh Entitas yang Bertanggung Jawab, kecuali untuk Keadaan Luar Biasa CIP: 6.1.1. Akses elektronik yang disediakan ke BCSI elektronik | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| CIP-004-7-R6-Bagian 6.1 | Setiap Entitas yang Bertanggung Jawab harus menerapkan satu atau lebih program manajemen akses terdokumentasi untuk mengotorisasi, memverifikasi, dan mencabut akses yang disediakan ke BCSI yang berkaitan dengan “Sistem yang Berlaku” yang diidentifikasi dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-004-7 Tabel R6 — Manajemen Akses untuk Informasi Sistem Cyber BES. Untuk dipertimbangkan akses ke BCSI dalam konteks persyaratan ini, seorang individu memiliki kemampuan untuk memperoleh dan menggunakan BCSI. Akses yang disediakan harus dianggap sebagai hasil dari tindakan spesifik yang diambil untuk menyediakan sarana bagi individu untuk mengakses BCSI (misalnya, dapat mencakup kunci fisik atau kartu akses, pengguna dan hak dan hak istimewa terkait, kunci enkripsi). Bagian 6.1: Sebelum penyediaan, otorisasi (kecuali telah diizinkan sesuai dengan Bagian 4.1.) berdasarkan kebutuhan, sebagaimana ditentukan oleh Entitas yang Bertanggung Jawab, kecuali untuk Keadaan Luar Biasa CIP: 6.1.1. Akses elektronik yang disediakan ke BCSI elektronik | Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau Amazon Virtual Private Cloud (Amazon VPC) yang Anda sediakan. IDs | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensyal yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan (CMK) AWS yang dimiliki. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pemindaian gambar Amazon Elastic Container Repository (ECR) membantu mengidentifikasi kerentanan perangkat lunak dalam gambar kontainer Anda. Mengaktifkan pemindaian gambar pada repositori ECR menambahkan lapisan verifikasi untuk integritas dan keamanan gambar yang disimpan. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Aktifkan Kekekalan Tag Elastic Container Repository (ECR) untuk mencegah tag gambar pada gambar ECR Anda ditimpa. Sebelumnya, tag dapat ditimpa yang membutuhkan metodologi manual untuk mengidentifikasi gambar secara unik. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Mengaktifkan akses baca saja ke wadah Amazon Elastic Container Service (ECS) dapat membantu mematuhi prinsip hak istimewa yang paling rendah. Opsi ini dapat mengurangi vektor serangan karena sistem file instance container tidak dapat dimodifikasi kecuali jika memiliki izin baca-tulis eksplisit. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. Node-to-nodeenkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan Elastic Load Balancers (ELBs) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Kinesis Streams Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan yang diperlukan (CMKs) tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci (AWS KMS). Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan pencatatan audit diaktifkan di domain OpenSearch Layanan Amazon Anda. Pencatatan audit memungkinkan Anda melacak aktivitas pengguna di OpenSearch domain Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeks OpenSearch, dan kueri penelusuran yang masuk. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena data sensitif dapat ada dan membantu melindungi data dalam perjalanan, pastikan HTTPS diaktifkan untuk koneksi ke domain OpenSearch Layanan Amazon Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara Amazon OpenSearch dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. Node-to-nodeenkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk menangkap informasi tentang koneksi dan aktivitas pengguna di klaster Amazon Redshift, pastikan pencatatan audit diaktifkan. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pemberitahuan peristiwa Amazon S3 dapat memberi tahu personel terkait tentang modifikasi yang tidak disengaja atau disengaja pada objek bucket Anda. Contoh peringatan meliputi: objek baru adalah pembuatan, penghapusan objek, restorasi objek, objek yang hilang dan direplikasi. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Pastikan kebijakan siklus hidup Amazon S3 dikonfigurasi untuk membantu menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek (misalnya, mengalihkan objek ke kelas penyimpanan lain, mengarsipkannya, atau menghapusnya setelah jangka waktu tertentu). | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Untuk membantu melindungi data saat istirahat, pastikan topik Amazon Simple Notification Service (Amazon SNS) Anda memerlukan enkripsi AWS menggunakan Key Management Service AWS (KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena nama pengguna default adalah pengetahuan publik, mengubah nama pengguna default dapat membantu mengurangi permukaan serangan untuk kluster database Amazon Relational Database Service (Amazon RDS) Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena nama pengguna default adalah pengetahuan publik, mengubah nama pengguna default dapat membantu mengurangi permukaan serangan untuk instans database Amazon Relational Database Service (Amazon RDS) Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Karena nama pengguna default adalah pengetahuan publik, mengubah nama pengguna default dapat membantu mengurangi permukaan serangan untuk klaster Amazon Redshift Anda. | |
| CIP-011-3-R1-Bagian 1.2 | Setiap Entitas yang Bertanggung Jawab harus melaksanakan satu atau lebih program perlindungan informasi terdokumentasi yang secara kolektif mencakup masing-masing bagian persyaratan yang berlaku dalam CIP-011-3 Tabel R1 — Perlindungan Informasi. Bagian 1.2: Metode untuk melindungi dan menangani BCSI dengan aman untuk mengurangi risiko membahayakan kerahasiaan. | Aturan ini memeriksa untuk melihat apakah Daftar Kontrol Akses (ACLs) digunakan untuk kontrol akses di Bucket Amazon S3. ACLs adalah mekanisme kontrol akses lama untuk bucket Amazon S3 yang AWS mendahului Identity and Access Management (IAM). Sebagai gantinya ACLs, ini adalah praktik terbaik untuk menggunakan kebijakan IAM atau kebijakan bucket S3 untuk mengelola akses ke bucket S3 Anda dengan lebih mudah. |
Templat
Template tersedia di GitHub: Praktik Terbaik Operasional untuk NERC CIP BCSI
