Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SEC01-BP03 Identificare e convalidare gli obiettivi di controllo

In base ai requisiti di conformità e ai rischi identificati dal modello di rischio, individua e convalida gli obiettivi di controllo e i controlli da applicare al carico di lavoro. La convalida continua degli obiettivi di controllo e dei controlli aiuta a misurare l'efficacia della mitigazione dei rischi.

Risultato desiderato: gli obiettivi di controllo della sicurezza della tua azienda sono ben definiti e in linea con i requisiti di conformità. I controlli vengono implementati e applicati attraverso l'automazione e le policy e vengono costantemente valutati per verificarne l'efficacia nel raggiungimento degli obiettivi. Le prove dell'efficacia, sia in un determinato momento che in un determinato periodo di tempo, sono prontamente comunicate ai revisori.

Anti-pattern comuni:

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

I framework di sicurezza informatica comunemente utilizzati sono molti e possono costituire la base per gli obiettivi di controllo della sicurezza. Per determinare quale sia il framework più adatto alle tue esigenze, considera i requisiti normativi, le aspettative del mercato e gli standard di settore dell'azienda. Gli esempi includono AICPASOC2, PCI- HITRUST, ISO27001 e SP DSS 800-53. NIST

Per quanto riguarda gli obiettivi di controllo che identificate, cercate di capire in che modo AWS i servizi che utilizzate vi aiutano a raggiungerli. AWS ArtifactUtilizzateli per trovare documentazione e report in linea con i vostri framework di riferimento, che descrivano l'ambito di responsabilità coperto AWS e linee guida per il restante ambito di vostra responsabilità. Per ulteriori indicazioni specifiche sui servizi in linea con le varie dichiarazioni di controllo del framework, consulta le AWS Customer Compliance Guides.

Nel definire i controlli che raggiungono i tuoi obiettivi, codifica l'applicazione utilizzando i controlli preventivi e automatizza le mitigazioni mediante i controlli di rilevamento. Contribuite a prevenire configurazioni e azioni delle risorse non conformi durante l'utilizzo delle politiche di controllo del servizio (). AWS Organizations SCP Implementa le regole in AWS Config al fine di monitorare e segnalare le risorse non conformi, quindi passa a un modello di applicazione delle regole una volta che sei sicuro del loro comportamento. Per implementare set di regole predefinite e gestite in linea con i tuoi framework di sicurezza informatica, prendi in considerazione l'uso degli standard AWS Security Hub come prima opzione. Lo standard AWS Foundational Service Best Practices (FSBP) e il CIS AWS Foundations Benchmark sono buoni punti di partenza con controlli allineati a molti obiettivi condivisi tra più framework standard. Se Security Hub non dispone a livello intrinseco dei rilevamenti di controllo desiderati, è possibile integrarlo mediante i pacchetti di conformitàAWS Config.

Utilizzate i APNPartner Bundle consigliati dal team di AWS Global Security and Compliance Acceleration (GSCA) per ottenere assistenza da consulenti di sicurezza, agenzie di consulenza, sistemi di raccolta e rendicontazione delle prove, revisori e altri servizi complementari, quando necessario.

Passaggi dell'implementazione

Risorse

Best practice correlate:

Documenti correlati:

Strumenti correlati: