Verwendung von NIST SP 800-161 für das Cybersecurity Supply Chain Risk Management

Das National Institute of Standards and Technology (NIST) ist eine Bundesbehörde innerhalb des US-Handelsministeriums, die unter anderem für die Erstellung von Normen und Richtlinien im Bereich der Computer- und Informationstechnologie für Bundesbehörden zuständig ist. Eine solche NIST-Richtlinie ist die Special Publication (SP) 800-161. Die NIST SP 800-161, die sich derzeit in der Revision 1 befindet und 2022 aktualisiert wird, stellt ein ergänzendes Rahmenwerk zu NIST SP 800-53 dar, das die Erfassung, Bewertung, Reaktion und Überwachung von Risiken in der Cybersecurity-Lieferkette ermöglicht.

SP 800-161 integriert das Cybersecurity Supply Chain Risk Management (C-SCRM) in die Risikomanagement-Aktivitäten, indem es einen mehrstufigen, C-SCRM-spezifischen Ansatz anwendet. Sie bietet Anleitungen für die Entwicklung von C-SCRM-Strategieimplementierungsplänen, C-SCRM-Richtlinien, C-SCRM-Plänen und Risikobewertungen für Produkte und Dienstleistungen. Aufgrund seiner umfassenden Thematik ist dieser Standard zu einem weltweit anerkannten Rahmen für die Implementierung und Aufrechterhaltung von Risikomanagementkontrollen in der Lieferkette geworden.

In diesem Beitrag werden die anwendbaren Cybersecurity-Kontrollen für das Risikomanagement in der Lieferkette in der SP 800-53r5-Kontrollfamilie (SR) mit zusätzlichen NIST SP 800-161r1-Anleitungen untersucht. Es werden Best-Practice-Möglichkeiten aufgezeigt, die Sie nutzen können, um die NIST-Anforderungen für mehr Sicherheit in der Lieferkette zu erfüllen.

NIST Cybersecurity Risikomanagementkontrollen für die Lieferkette

HINWEIS: Dieser Beitrag enthält nur ausgewählte C-SCRM-Kontrollen der Kontrollfamilie für das Risikomanagement der Lieferkette (SR). Für eine vollständige Liste der Kontrollen lesen Sie bitte die [vollständige SP 800-161 Anleitung] (https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final) im Detail durch und konsultieren Sie Ihren Auditor.

Säule 1	Säule 2
SP 800-53r5 Lieferkettenspezifische Kontrollen & Anwendbare SP 800-161r1 Anleitung zum Management von Cybersecurity-Risiken	Best Practice-Fähigkeiten
SR-1 Politik und Verfahren Entwickeln, dokumentieren und verbreiten Sie: 1. Eine Richtlinie für das Risikomanagement in der Lieferkette, die: (a) Zweck, Anwendungsbereich, Rollen, Verantwortlichkeiten, Verpflichtung des Managements, Koordinierung zwischen den Organisationseinheiten und Einhaltung der Vorschriften regelt; und (b) mit den geltenden Gesetzen, Anordnungen, Direktiven, Verordnungen, Richtlinien, Standards und Leitlinien übereinstimmt; und 2. Verfahren zur Erleichterung der Umsetzung der Risikomanagementpolitik für die Lieferkette und der damit verbundenen Kontrollen des Risikomanagements für die Lieferkette; b. Benennung eines Beamten, der die Entwicklung, Dokumentation und Verbreitung der Grundsätze und Verfahren für das Risikomanagement in der Lieferkette leitet; und c. Überprüfung und Aktualisierung des aktuellen Risikomanagements der Lieferkette: 1. Politik und 2. Verfahren Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance: ...Unternehmensfunktionen, einschließlich, aber nicht beschränkt auf die Bereiche Informationssicherheit, Recht, Risikomanagement und Beschaffung, sollten die Entwicklung von C-SCRM-Richtlinien und -Verfahren überprüfen und ihnen zustimmen oder den Systemeigentümern Leitlinien für die Entwicklung systemspezifischer C-SCRM-Verfahren an die Hand geben. SR-2 Risikomanagementplan für die Lieferkette a. Entwicklung eines Plans für das Management von Risiken in der Lieferkette, die mit der Forschung und Entwicklung, dem Entwurf, der Herstellung, der Beschaffung, der Lieferung, der Integration, dem Betrieb und der Wartung sowie der Entsorgung von Systemen, Systemkomponenten oder Systemdienstleistungen verbunden sind b. Überprüfung und Aktualisierung des Plans für das Risikomanagement in der Lieferkette bei Bedarf, um Bedrohungen, organisatorischen oder umweltbedingten Änderungen Rechnung zu tragen; und c. Schutz des Risikomanagementplans für die Lieferkette vor unbefugter Offenlegung und Änderung. Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance: C-SCRM-Pläne beschreiben Implementierungen, Anforderungen, Beschränkungen und Auswirkungen auf der Systemebene. ... C-SCRM-Pläne sollten als eigenständiges Dokument entwickelt werden und nur dann in bestehende Systemsicherheitspläne integriert werden, wenn dies aufgrund von Unternehmenszwängen erforderlich ist. SR-3 Lieferkettenkontrollen und -prozesse a. Einführung eines oder mehrerer Verfahren zur Ermittlung und Behebung von Schwachstellen oder Mängeln in den Elementen und Verfahren der Lieferkette in Abstimmung mit dem Personal der Lieferkette; b. Anwendung der folgenden Kontrollen zum Schutz vor Risiken in der Lieferkette für das System, die Systemkomponente oder die Systemdienstleistung und zur Begrenzung des Schadens oder der Folgen von Ereignissen im Zusammenhang mit der Lieferkette; und c. Dokumentation der ausgewählten und implementierten Prozesse und Kontrollen in der Lieferkette im Risikomanagementplan für die Lieferkette. Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance: ... Die Ministerien und Behörden sollten ... diesen Leitfaden in Übereinstimmung mit der Executive Order 14028 zur Verbesserung der Cybersicherheit der Nation umsetzen.	Erstellen Sie ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) oder für das Risikomanagement in der Cybersecurity-Lieferkette (C-SCRM), das mit Ihren umfassenderen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance übereinstimmt. Suchen Sie nach Experten, die mit Ihrem Team zusammenarbeiten: * Definition und Implementierung von TPRM- und C-SCRM-Prozessen und -Lösungen * Auswahl von Fragebögen und Rahmenwerken zur Risikobewertung * Optimierung Ihres Programms, um den gesamten Lebenszyklus von Drittparteirisiken abzudecken - von der Beschaffung und Due-Diligence-Prüfung bis zur Kündigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens Im Rahmen dieses Prozesses sollten Sie festlegen: * Klare Rollen und Verantwortlichkeiten (z. B. RACI) * Bestandsaufnahme durch Dritte * Risikobewertung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens Bewerten Sie kontinuierlich die Effektivität Ihres TPRM-Programms entsprechend den sich ändernden Geschäftsanforderungen und -prioritäten, indem Sie die wichtigsten Leistungsindikatoren (KPIs) und Risikoindikatoren (KRIs) des Drittanbieters während des gesamten Beziehungslebenszyklus messen.
SR-4 (4) Provenienz \| Integrität der Lieferkette - Stammbaum Einsatz von Kontrollen und Analysen zur Gewährleistung der Integrität des Systems und der Systemkomponenten durch Validierung der internen Zusammensetzung und der Herkunft kritischer oder missionswichtiger Technologien, Produkte und Dienstleistungen. Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance: Die Provenienz sollte für Systeme, Systemkomponenten und zugehörige Daten während des gesamten SDLC dokumentiert werden. Unternehmen sollten in Erwägung ziehen, SBOMs für anwendbare und geeignete Klassen von Software zu erstellen, einschließlich gekaufter Software, Open-Source-Software und interner Software...	Fordern Sie im Rahmen der Due-Diligence-Prüfung von den Anbietern aktualisierte Software-Stücklisten (SBOMs) für ihre Softwareprodukte an. Auf diese Weise können Sie potenzielle Schwachstellen oder Lizenzprobleme erkennen, die sich auf die Sicherheit und Compliance Ihres Unternehmens auswirken können.
SR-5 Beschaffungsstrategien, -werkzeuge und -methoden Anwendung von Beschaffungsstrategien, Vertragsinstrumenten und Beschaffungsmethoden zum Schutz vor, zur Ermittlung und zur Minderung von Risiken in der Lieferkette. Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance: ... Die Ministerien und Behörden sollten ... diesen Leitfaden in Übereinstimmung mit der Executive Order 14028 zur Verbesserung der Cybersicherheit der Nation umsetzen.	Zentralisieren und automatisieren Sie die Verteilung, den Vergleich und die Verwaltung von Angebotsanfragen (RFPs) und Informationsanfragen (RFIs) in einer einzigen Lösung, die den Vergleich von Schlüsselattributen ermöglicht. Da alle Dienstanbieter zentralisiert und überprüft werden, sollten die Teams umfassende Anbieterprofile erstellen, die Einblicke in die demografischen Informationen eines Anbieters, Technologien von Drittanbietern, ESG-Bewertungen, jüngste Geschäfts- und Reputationseinblicke, Datenverletzungen und die jüngste finanzielle Leistung enthalten. Dieses Maß an Sorgfaltspflicht schafft einen größeren Kontext für Entscheidungen bei der Anbieterauswahl.
*SR-6 Lieferantenbeurteilungen und -überprüfungen* Bewertung und Überprüfung der Risiken im Zusammenhang mit der Lieferkette, die mit den Zulieferern oder Auftragnehmern und den von ihnen bereitgestellten Systemen, Systemkomponenten oder Systemdienstleistungen verbunden sind. Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance: Im Allgemeinen sollte ein Unternehmen alle Informationen berücksichtigen, die für die Sicherheit, Integrität, Belastbarkeit, Qualität, Vertrauenswürdigkeit oder Authentizität des Anbieters oder der von ihm angebotenen Dienstleistungen oder Produkte relevant sind. Die Unternehmen sollten in Erwägung ziehen, diese Informationen anhand eines einheitlichen Satzes von grundlegenden Faktoren und Bewertungskriterien anzuwenden, um einen gerechten Vergleich (zwischen Lieferanten und Überstunden) zu ermöglichen. Je nach dem spezifischen Kontext und dem Zweck, für den die Bewertung durchgeführt wird, kann das Unternehmen zusätzliche Faktoren auswählen. Die Qualität der Informationen (z. B. Relevanz, Vollständigkeit, Genauigkeit usw.), die für eine Bewertung herangezogen werden, ist ebenfalls ein wichtiger Aspekt. Referenzquellen für Bewertungsinformationen sollten ebenfalls dokumentiert werden...	Kontinuierliches Verfolgen und Analysieren externe Bedrohungen für Dritte. Überwachen Sie in diesem Zusammenhang das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen. Zu den Überwachungsquellen gehören in der Regel: * Kriminelle Foren, Zwiebelseiten, Dark-Web-Foren für speziellen Zugang, Bedrohungsmeldungen und Paste-Sites für durchgesickerte Zugangsdaten sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken * Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen für Tausende von Unternehmen auf der ganzen Welt Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren.
SR-8 Notifizierungsvereinbarungen Festlegung von Vereinbarungen und Verfahren mit den an der Lieferkette für das System, die Systemkomponente oder den Systemdienst beteiligten Stellen für die Meldung von Kompromittierungen der Lieferkette und von Ergebnissen von Bewertungen oder Audits. Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance: Zumindest sollten Unternehmen von ihren Lieferanten verlangen, dass sie Meldevereinbarungen mit Unternehmen innerhalb ihrer Lieferkette abschließen, die eine Rolle oder Verantwortung im Zusammenhang mit dieser kritischen Dienstleistung oder diesem kritischen Produkt haben...	Zentralisieren Sie die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass die wichtigsten Klauseln durchgesetzt werden. Zu den wichtigsten Funktionen gehören: * Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten * Workflow-Funktionen (basierend auf Benutzer oder Vertragstyp) zur Automatisierung des Vertragsmanagement-Lebenszyklus * Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen * Zentrale Verfolgung von Vertragsdiskussionen und Kommentaren * Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfpfaden für alle Zugriffe * Versionskontrolle, die Offline-Bearbeitungen von Verträgen und Dokumenten unterstützt * Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib- und Änderungszugriff ermöglichenMit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Lieferantenvertrag festgelegt und SLAs entsprechend verfolgt und verwaltet werden.
SR-13 Lieferanteninventar Entwickeln, dokumentieren und pflegen Sie ein Verzeichnis von Lieferanten, die: 1. Genaue und minimale Widerspiegelung der Tier-1-Lieferanten der Organisation, die ein Cybersicherheitsrisiko in der Lieferkette darstellen können; 2. Die Granularität des Inventars wird als notwendig erachtet, um die Kritikalität und das Risiko in der Lieferkette zu bewerten, zu verfolgen und zu melden; 3. Dokumentiert die folgenden Informationen für jeden Lieferanten der ersten Ebene (z. B. Hauptauftragnehmer): Überprüfung und Aktualisierung des Lieferanteninventars. i. Eindeutige Kennung des Beschaffungsinstruments (d.h. Vertrag, Aufgabe oder Lieferauftrag); ii. Beschreibung der gelieferten Produkte und/oder Dienstleistungen; iii. Programm, Projekt und/oder System, das die Produkte und/oder Dienstleistungen des Lieferanten verwendet; und iv. Zugewiesene Kritikalitätsstufe, die der Kritikalität des Programms, Projekts und/oder Systems (oder der Komponente des Systems) entspricht. b. Überprüfung und Aktualisierung des Lieferanteninventars. Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance: Unternehmen sind bei der Ausführung ihrer Aufgaben und Funktionen auf zahlreiche Lieferanten angewiesen. Viele Lieferanten bieten Produkte und Dienstleistungen zur Unterstützung mehrerer Missionen, Funktionen, Programme, Projekte und Systeme an. Einige Lieferanten sind kritischer als andere, basierend auf der Kritikalität der Missionen, Funktionen, Programme, Projekte und Systeme, die ihre Produkte und Dienstleistungen unterstützen, und dem Grad der Abhängigkeit des Unternehmens von dem Lieferanten. Unternehmen sollten die Kritikalitätsanalyse nutzen, um zu bestimmen, welche Produkte und Dienstleistungen kritisch sind, um die Kritikalität von Lieferanten zu bestimmen, die im Lieferanteninventar dokumentiert werden müssen...	Zentralisieren Sie alle Lieferanteninformationen in einem einzigen Lieferantenprofil, so dass alle Abteilungen, die mit Lieferanten zu tun haben, dieselben Informationen nutzen können, was die Transparenz und die Entscheidungsfindung verbessert. Importieren Sie Lieferanten über eine Tabellenkalkulationsvorlage oder über eine API-Verbindung zu einer vorhandenen Beschaffungslösung, wodurch fehleranfällige, manuelle Prozesse vermieden werden. Erfassen Sie wichtige Lieferantendetails mit einem zentralisierten und anpassbaren Aufnahmeformular und dem dazugehörigen Workflow. Dieses sollte für jeden per E-Mail-Einladung verfügbar sein, ohne dass eine Schulung oder Lösungskenntnisse erforderlich sind. Erstellen Sie umfassende Lieferantenprofile, die demografische Daten der Lieferanten, geografische Standorte, Technologien von Drittanbietern und aktuelle operative Erkenntnisse vergleichen und überwachen. Mit diesen gesammelten Daten können Sie vor allem über geografische und technologische Konzentrationsrisiken berichten und entsprechende Maßnahmen ergreifen.

Säule 1

Säule 2

SP 800-53r5 Lieferkettenspezifische Kontrollen & Anwendbare SP 800-161r1 Anleitung zum Management von Cybersecurity-Risiken

Best Practice-Fähigkeiten

SR-1 Politik und Verfahren

Entwickeln, dokumentieren und verbreiten Sie:
1. Eine Richtlinie für das Risikomanagement in der Lieferkette, die:
(a) Zweck, Anwendungsbereich, Rollen, Verantwortlichkeiten, Verpflichtung des Managements, Koordinierung zwischen den Organisationseinheiten und Einhaltung der Vorschriften regelt; und
(b) mit den geltenden Gesetzen, Anordnungen, Direktiven, Verordnungen, Richtlinien, Standards und Leitlinien übereinstimmt; und
2. Verfahren zur Erleichterung der Umsetzung der Risikomanagementpolitik für die Lieferkette und der damit verbundenen Kontrollen des Risikomanagements für die Lieferkette;
b. Benennung eines Beamten, der die Entwicklung, Dokumentation und Verbreitung der Grundsätze und Verfahren für das Risikomanagement in der Lieferkette leitet; und
c. Überprüfung und Aktualisierung des aktuellen Risikomanagements der Lieferkette:
1. Politik und
2. Verfahren

Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance:

...Unternehmensfunktionen, einschließlich, aber nicht beschränkt auf die Bereiche Informationssicherheit, Recht, Risikomanagement und Beschaffung, sollten die Entwicklung von C-SCRM-Richtlinien und -Verfahren überprüfen und ihnen zustimmen oder den Systemeigentümern Leitlinien für die Entwicklung systemspezifischer C-SCRM-Verfahren an die Hand geben.

SR-2 Risikomanagementplan für die Lieferkette

a. Entwicklung eines Plans für das Management von Risiken in der Lieferkette, die mit der Forschung und Entwicklung, dem Entwurf, der Herstellung, der Beschaffung, der Lieferung, der Integration, dem Betrieb und der Wartung sowie der Entsorgung von Systemen, Systemkomponenten oder Systemdienstleistungen verbunden sind
b. Überprüfung und Aktualisierung des Plans für das Risikomanagement in der Lieferkette bei Bedarf, um Bedrohungen, organisatorischen oder umweltbedingten Änderungen Rechnung zu tragen; und
c. Schutz des Risikomanagementplans für die Lieferkette vor unbefugter Offenlegung und Änderung.

Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance:

C-SCRM-Pläne beschreiben Implementierungen, Anforderungen, Beschränkungen und Auswirkungen auf der Systemebene. ... C-SCRM-Pläne sollten als eigenständiges Dokument entwickelt werden und nur dann in bestehende Systemsicherheitspläne integriert werden, wenn dies aufgrund von Unternehmenszwängen erforderlich ist.

SR-3 Lieferkettenkontrollen und -prozesse

a. Einführung eines oder mehrerer Verfahren zur Ermittlung und Behebung von Schwachstellen oder Mängeln in den Elementen und Verfahren der Lieferkette in Abstimmung mit dem Personal der Lieferkette;
b. Anwendung der folgenden Kontrollen zum Schutz vor Risiken in der Lieferkette für das System, die Systemkomponente oder die Systemdienstleistung und zur Begrenzung des Schadens oder der Folgen von Ereignissen im Zusammenhang mit der Lieferkette; und
c. Dokumentation der ausgewählten und implementierten Prozesse und Kontrollen in der Lieferkette im Risikomanagementplan für die Lieferkette.

Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance:

... Die Ministerien und Behörden sollten ... diesen Leitfaden in Übereinstimmung mit der Executive Order 14028 zur Verbesserung der Cybersicherheit der Nation umsetzen.

Erstellen Sie ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) oder für das Risikomanagement in der Cybersecurity-Lieferkette (C-SCRM), das mit Ihren umfassenderen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance übereinstimmt.

Suchen Sie nach Experten, die mit Ihrem Team zusammenarbeiten:
* Definition und Implementierung von TPRM- und C-SCRM-Prozessen und -Lösungen
* Auswahl von Fragebögen und Rahmenwerken zur Risikobewertung
* Optimierung Ihres Programms, um den gesamten Lebenszyklus von Drittparteirisiken abzudecken - von der Beschaffung und Due-Diligence-Prüfung bis zur Kündigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens

Im Rahmen dieses Prozesses sollten Sie festlegen:
* Klare Rollen und Verantwortlichkeiten (z. B. RACI)
* Bestandsaufnahme durch Dritte
* Risikobewertung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens

Bewerten Sie kontinuierlich die Effektivität Ihres TPRM-Programms entsprechend den sich ändernden Geschäftsanforderungen und -prioritäten, indem Sie die wichtigsten Leistungsindikatoren (KPIs) und Risikoindikatoren (KRIs) des Drittanbieters während des gesamten Beziehungslebenszyklus messen.

SR-4 (4) Provenienz | Integrität der Lieferkette - Stammbaum

Einsatz von Kontrollen und Analysen zur Gewährleistung der Integrität des Systems und der Systemkomponenten durch Validierung der internen Zusammensetzung und der Herkunft kritischer oder missionswichtiger Technologien, Produkte und Dienstleistungen.

Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance:

Die Provenienz sollte für Systeme, Systemkomponenten und zugehörige Daten während des gesamten SDLC dokumentiert werden. Unternehmen sollten in Erwägung ziehen, SBOMs für anwendbare und geeignete Klassen von Software zu erstellen, einschließlich gekaufter Software, Open-Source-Software und interner Software...

Fordern Sie im Rahmen der Due-Diligence-Prüfung von den Anbietern aktualisierte Software-Stücklisten (SBOMs) für ihre Softwareprodukte an. Auf diese Weise können Sie potenzielle Schwachstellen oder Lizenzprobleme erkennen, die sich auf die Sicherheit und Compliance Ihres Unternehmens auswirken können.

SR-5 Beschaffungsstrategien, -werkzeuge und -methoden

Anwendung von Beschaffungsstrategien, Vertragsinstrumenten und Beschaffungsmethoden zum Schutz vor, zur Ermittlung und zur Minderung von Risiken in der Lieferkette.

Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance:

... Die Ministerien und Behörden sollten ... diesen Leitfaden in Übereinstimmung mit der Executive Order 14028 zur Verbesserung der Cybersicherheit der Nation umsetzen.

Zentralisieren und automatisieren Sie die Verteilung, den Vergleich und die Verwaltung von Angebotsanfragen (RFPs) und Informationsanfragen (RFIs) in einer einzigen Lösung, die den Vergleich von Schlüsselattributen ermöglicht.

Da alle Dienstanbieter zentralisiert und überprüft werden, sollten die Teams umfassende Anbieterprofile erstellen, die Einblicke in die demografischen Informationen eines Anbieters, Technologien von Drittanbietern, ESG-Bewertungen, jüngste Geschäfts- und Reputationseinblicke, Datenverletzungen und die jüngste finanzielle Leistung enthalten.

Dieses Maß an Sorgfaltspflicht schafft einen größeren Kontext für Entscheidungen bei der Anbieterauswahl.

SR-6 Lieferantenbeurteilungen und -überprüfungen

Bewertung und Überprüfung der Risiken im Zusammenhang mit der Lieferkette, die mit den Zulieferern oder Auftragnehmern und den von ihnen bereitgestellten Systemen, Systemkomponenten oder Systemdienstleistungen verbunden sind.

Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance:

Im Allgemeinen sollte ein Unternehmen alle Informationen berücksichtigen, die für die Sicherheit, Integrität, Belastbarkeit, Qualität, Vertrauenswürdigkeit oder Authentizität des Anbieters oder der von ihm angebotenen Dienstleistungen oder Produkte relevant sind. Die Unternehmen sollten in Erwägung ziehen, diese Informationen anhand eines einheitlichen Satzes von grundlegenden Faktoren und Bewertungskriterien anzuwenden, um einen gerechten Vergleich (zwischen Lieferanten und Überstunden) zu ermöglichen. Je nach dem spezifischen Kontext und dem Zweck, für den die Bewertung durchgeführt wird, kann das Unternehmen zusätzliche Faktoren auswählen. Die Qualität der Informationen (z. B. Relevanz, Vollständigkeit, Genauigkeit usw.), die für eine Bewertung herangezogen werden, ist ebenfalls ein wichtiger Aspekt. Referenzquellen für Bewertungsinformationen sollten ebenfalls dokumentiert werden...

Kontinuierliches Verfolgen und Analysieren externe Bedrohungen für Dritte. Überwachen Sie in diesem Zusammenhang das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Zu den Überwachungsquellen gehören in der Regel:
* Kriminelle Foren, Zwiebelseiten, Dark-Web-Foren für speziellen Zugang, Bedrohungsmeldungen und Paste-Sites für durchgesickerte Zugangsdaten sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken
* Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen für Tausende von Unternehmen auf der ganzen Welt

Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren.

SR-8 Notifizierungsvereinbarungen

Festlegung von Vereinbarungen und Verfahren mit den an der Lieferkette für das System, die Systemkomponente oder den Systemdienst beteiligten Stellen für die Meldung von Kompromittierungen der Lieferkette und von Ergebnissen von Bewertungen oder Audits.

Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance:

Zumindest sollten Unternehmen von ihren Lieferanten verlangen, dass sie Meldevereinbarungen mit Unternehmen innerhalb ihrer Lieferkette abschließen, die eine Rolle oder Verantwortung im Zusammenhang mit dieser kritischen Dienstleistung oder diesem kritischen Produkt haben...

Zentralisieren Sie die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass die wichtigsten Klauseln durchgesetzt werden. Zu den wichtigsten Funktionen gehören:
* Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
* Workflow-Funktionen (basierend auf Benutzer oder Vertragstyp) zur Automatisierung des Vertragsmanagement-Lebenszyklus
* Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
* Zentrale Verfolgung von Vertragsdiskussionen und Kommentaren
* Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfpfaden für alle Zugriffe
* Versionskontrolle, die Offline-Bearbeitungen von Verträgen und Dokumenten unterstützt
* Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib- und Änderungszugriff ermöglichenMit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Lieferantenvertrag festgelegt und SLAs entsprechend verfolgt und verwaltet werden.

SR-13 Lieferanteninventar

Entwickeln, dokumentieren und pflegen Sie ein Verzeichnis von Lieferanten, die:
1. Genaue und minimale Widerspiegelung der Tier-1-Lieferanten der Organisation, die ein Cybersicherheitsrisiko in der Lieferkette darstellen können;
2. Die Granularität des Inventars wird als notwendig erachtet, um die Kritikalität und das Risiko in der Lieferkette zu bewerten, zu verfolgen und zu melden;
3. Dokumentiert die folgenden Informationen für jeden Lieferanten der ersten Ebene (z. B. Hauptauftragnehmer): Überprüfung und Aktualisierung des Lieferanteninventars.
i. Eindeutige Kennung des Beschaffungsinstruments (d.h. Vertrag, Aufgabe oder Lieferauftrag);
ii. Beschreibung der gelieferten Produkte und/oder Dienstleistungen;
iii. Programm, Projekt und/oder System, das die Produkte und/oder Dienstleistungen des Lieferanten verwendet; und
iv. Zugewiesene Kritikalitätsstufe, die der Kritikalität des Programms, Projekts und/oder Systems (oder der Komponente des Systems) entspricht.
b. Überprüfung und Aktualisierung des Lieferanteninventars.

Anwendbare SP 800-161r1 Cybersecurity Risk Management Guidance:

Unternehmen sind bei der Ausführung ihrer Aufgaben und Funktionen auf zahlreiche Lieferanten angewiesen. Viele Lieferanten bieten Produkte und Dienstleistungen zur Unterstützung mehrerer Missionen, Funktionen, Programme, Projekte und Systeme an. Einige Lieferanten sind kritischer als andere, basierend auf der Kritikalität der Missionen, Funktionen, Programme, Projekte und Systeme, die ihre Produkte und Dienstleistungen unterstützen, und dem Grad der Abhängigkeit des Unternehmens von dem Lieferanten. Unternehmen sollten die Kritikalitätsanalyse nutzen, um zu bestimmen, welche Produkte und Dienstleistungen kritisch sind, um die Kritikalität von Lieferanten zu bestimmen, die im Lieferanteninventar dokumentiert werden müssen...

Zentralisieren Sie alle Lieferanteninformationen in einem einzigen Lieferantenprofil, so dass alle Abteilungen, die mit Lieferanten zu tun haben, dieselben Informationen nutzen können, was die Transparenz und die Entscheidungsfindung verbessert.

Importieren Sie Lieferanten über eine Tabellenkalkulationsvorlage oder über eine API-Verbindung zu einer vorhandenen Beschaffungslösung, wodurch fehleranfällige, manuelle Prozesse vermieden werden.

Erfassen Sie wichtige Lieferantendetails mit einem zentralisierten und anpassbaren Aufnahmeformular und dem dazugehörigen Workflow. Dieses sollte für jeden per E-Mail-Einladung verfügbar sein, ohne dass eine Schulung oder Lösungskenntnisse erforderlich sind.

Erstellen Sie umfassende Lieferantenprofile, die demografische Daten der Lieferanten, geografische Standorte, Technologien von Drittanbietern und aktuelle operative Erkenntnisse vergleichen und überwachen. Mit diesen gesammelten Daten können Sie vor allem über geografische und technologische Konzentrationsrisiken berichten und entsprechende Maßnahmen ergreifen.

Wie Prevalent hilft, die NIST SP 800-161 Richtlinien für das Risikomanagement in der Cybersecurity Supply Chain zu erfüllen

Prevalent bietet eine zentrale, automatisierte Plattform für die Skalierung des Risikomanagements von Drittanbietern und des Risikomanagements in der Cybersecurity-Lieferkette. Mit Prevalent kann Ihr Team:

Aufbau eines Best-Practice-Programms für das Risikomanagement von Drittanbietern im Einklang mit den umfassenderen Programmen Ihres Unternehmens für die Cybersicherheit in der Lieferkette und das Risikomanagement im Unternehmen
Nutzen Sie konsolidierte Einblicke über mehrere Risikobereiche hinweg, um Ausschreibungsprozesse zu automatisieren und fundiertere Entscheidungen zur Due-Diligence-Prüfung von Lieferanten zu treffen.
Zentralisierung der Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen, um sicherzustellen, dass die wichtigsten Sicherheitsanforderungen enthalten sind, vereinbart wurden und mit wichtigen Leistungsindikatoren (KPIs) durchgesetzt werden
Aufbau eines einheitlichen Lieferanteninventars und Bewertung des inhärenten Risikos als Grundlage für die Erstellung von Profilen, die Einstufung und Kategorisierung von Dienstleistern sowie die Festlegung des geeigneten Umfangs und der Häufigkeit laufender Due-Diligence-Aktivitäten
Automatisieren Sie Risikobewertungen und Abhilfemaßnahmen in jeder Phase des Lebenszyklus von Drittanbietern
Kontinuierliche Verfolgung und Analyse externer Bedrohungen für Dritte durch Überwachung des Internets und des Dark Web auf Cyber-Bedrohungen und Schwachstellen

Wenn Sie mehr darüber erfahren möchten, wie Prevalent zur Einhaltung der NIST-Richtlinien beitragen kann, fordern Sie noch heute eine Lösungsdemo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.