Die CIS-Kontrollen und das Risikomanagement für Drittparteien
Die kritischen Sicherheitskontrollen des Center for Internet Security® (CIS) bestehen aus 18 empfohlenen Kontrollen und 153 Unterkontrollen (auch "Schutzmaßnahmen" genannt), die IT-Sicherheitsteams dabei helfen sollen, die Auswirkungen von Cybersicherheitsvorfällen zu verringern.
Die 18 CIS-Kontrollen und 153 Sicherheitsvorkehrungen sind in drei Implementierungsgruppen (IGs) unterteilt:
- IG1 umfasst Schutzmaßnahmen, die von der CIS als "wesentliche Cyber-Hygiene" angesehen werden und "mit begrenztem Fachwissen im Bereich der Cybersicherheit umsetzbar sein sollten und darauf abzielen, allgemeine, nicht gezielte Angriffe zu vereiteln".
- IG2 umfasst Schutzmaßnahmen für Teams, die mit erhöhter operativer Komplexität zu tun haben
- IG3 enthält Sicherheitsvorkehrungen zur Abwehr ausgefeilter Cyberangriffe
CIS klassifiziert jeden Safeguard nach NIST-Sicherheitsfunktionen, um die Zuordnung zu den einzelnen NIST-Kernfunktionen zu vereinfachen: Identifizieren, Erkennen, Schützen, Reagieren und Wiederherstellen.
Es gibt zwei Hauptkontrollen, die sich auf das Risikomanagement von Drittanbietern (TPRM) beziehen - Kontrolle 15: Service Provider Management und Kontrolle 17: Incident Response Management. Die Prevalent TPRM-Plattform macht es leicht, die Implementierung der Schutzmaßnahmen für jede Kontrolle zu beschleunigen und zu vereinfachen.
Relevante Anforderungen
-
Entwicklung eines Verfahrens zur Bewertung von Dienstleistern, die über sensible Daten verfügen oder für kritische IT-Plattformen oder -Prozesse eines Unternehmens verantwortlich sind, um sicherzustellen, dass diese Anbieter diese Plattformen und Daten angemessen schützen
-
Einrichtung eines Programms zur Entwicklung und Aufrechterhaltung einer Fähigkeit zur Reaktion auf Zwischenfälle (z. B. Richtlinien, Pläne, Verfahren, definierte Rollen, Schulung und Kommunikation), um einen Angriff vorzubereiten, zu erkennen und schnell darauf zu reagieren
Adressierung der CIS-Kontrolle 15: Verwaltung der Dienstanbieter
Kontrolle 15 Überblick: "Entwicklung eines Verfahrens zur Bewertung von Dienstleistern, die über sensible Daten verfügen oder für kritische IT-Plattformen oder -Prozesse eines Unternehmens verantwortlich sind, um sicherzustellen, dass diese Anbieter diese Plattformen und Daten angemessen schützen."
| Absicherung | Wie wir helfen |
|---|---|
| 15.1 Erstellung und Pflege eines Inventars von Dienstleistern
Sicherheitsfunktion: Identifizieren "Erstellung und Pflege eines Inventars von Dienstleistern. In diesem Verzeichnis sind alle bekannten Dienstanbieter aufzuführen, einschließlich der Klassifizierung(en), und für jeden Dienstanbieter ist ein Ansprechpartner im Unternehmen zu benennen. Das Verzeichnis ist jährlich zu überprüfen und zu aktualisieren, oder wenn wesentliche Änderungen im Unternehmen eintreten, die sich auf diese Schutzmaßnahme auswirken könnten. |
Prevalent enables organizations to build a centralized service provider inventory by importing vendors via a spreadsheet template or through an API connection to an existing procurement solution. Teams throughout the enterprise can populate key supplier details with a centralized and customizable intake form and associated workflow. This is available to everyone via email invitation, without requiring any training or solution expertise.
Da alle Dienstanbieter zentralisiert werden, können Teams umfassende Anbieterprofile erstellen, die Einblicke in die demografischen Informationen eines Anbieters, Technologien von Drittanbietern, ESG-Bewertungen, aktuelle Geschäfts- und Reputationsdaten, Datenverletzungen und die aktuelle finanzielle Leistung enthalten. |
| 15.2 Einführung und Aufrechterhaltung einer Politik zur Verwaltung von Dienstleistern
Sicherheitsfunktion: Identifizieren "Erstellen und pflegen Sie eine Richtlinie zur Verwaltung von Dienstleistern. Stellen Sie sicher, dass die Richtlinie die Klassifizierung, Bestandsaufnahme, Bewertung, Überwachung und Stilllegung von Dienstanbietern regelt. Überprüfen und aktualisieren Sie die Richtlinie jährlich oder wenn wesentliche Änderungen im Unternehmen auftreten, die sich auf diese Schutzmaßnahme auswirken könnten. |
Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) zu entwickeln, das auf bewährten Verfahren und umfassender praktischer Erfahrung basiert.
Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm so zu optimieren, dass es den gesamten Lebenszyklus des Risikos von Drittanbietern abdeckt - von der Beschaffung und Due Diligence bis hin zur Kündigung und Ausgliederung. Als Teil dieses Prozesses kann Prevalent Ihnen bei der Definition helfen:
|
| 15.3 Klassifizierung von Dienstanbietern
Sicherheitsfunktion: Identifizieren "Klassifizierung von Dienstanbietern. Bei der Klassifizierung können ein oder mehrere Merkmale berücksichtigt werden, wie z. B. Datensensibilität, Datenvolumen, Verfügbarkeitsanforderungen, geltende Vorschriften, inhärentes Risiko und gemindertes Risiko. Aktualisieren und überprüfen Sie die Klassifizierungen jährlich oder wenn wesentliche Änderungen im Unternehmen eintreten, die sich auf diesen Safeguard auswirken könnten." |
Prevalent offers a pre-contract due diligence assessment with clear scoring based on eight criteria to capture, track and quantify inhärente Risiken for all third parties. Criteria includes:
Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team Lieferanten automatisch klassifizieren und einstufen, geeignete Stufen für die weitere Sorgfalt festlegen und den Umfang der laufenden Bewertungen bestimmen. |
| 15.4 Sicherstellen, dass die Verträge mit den Dienstleistern Sicherheitsanforderungen enthalten
Sicherheitsfunktion: Schützen "Sicherstellen, dass Verträge mit Dienstleistern Sicherheitsanforderungen enthalten. Zu den Anforderungen können beispielsweise Mindestanforderungen an das Sicherheitsprogramm, die Benachrichtigung über Sicherheitsvorfälle und/oder Datenverletzungen und die Reaktion darauf, Anforderungen an die Datenverschlüsselung und Verpflichtungen zur Datenentsorgung gehören. Diese Sicherheitsanforderungen müssen mit den Richtlinien des Unternehmens zur Verwaltung von Dienstleistern übereinstimmen. Überprüfen Sie die Verträge mit den Dienstleistern jährlich, um sicherzustellen, dass die Verträge keine Sicherheitsanforderungen enthalten." |
Prevalent centralizes the distribution, discussion, retention and review of Lieferantenverträge and offers workflow capabilities to automate the contract lifecycle from onboarding to offboarding. This ensures that key security requirements are built into the vendor contract, agreed upon, and enforced throughout the relationship with key performance indicators (KPIs).
Zu den wichtigsten Fähigkeiten gehören:
|
| 15.5 Bewertung von Dienstleistern
Sicherheitsfunktion: Identifizieren Sie "Bewertung von Dienstleistern in Übereinstimmung mit den Richtlinien des Unternehmens zur Verwaltung von Dienstleistern. Der Umfang der Bewertung kann je nach Klassifizierung(en) variieren und kann die Überprüfung von standardisierten Bewertungsberichten, wie Service Organization Control 2 (SOC 2) und Payment Card Industry (PCI) Attestation of Compliance (AoC), kundenspezifische Fragebögen oder andere angemessen strenge Verfahren umfassen. Überprüfen Sie die Dienstleister mindestens einmal jährlich oder bei neuen und erneuerten Verträgen. |
Prevalent automates Risikobewertungen die Sichtbarkeit, Effizienz und Reichweite Ihres Risikomanagementprogramms für Dritte in jeder Phase des Lebenszyklus von Dritten zu erweitern.
Mit einer Bibliothek von mehr als 750 standardisierten Bewertungen - auch für PCI -, Anpassungsmöglichkeiten und integrierten Workflows und Abhilfemaßnahmen automatisiert die Lösung alles von der Erhebung und Analyse bis zur Risikobewertung und Berichterstattung. Mit Prevalent können Sie auf einfache Weise Informationen über eine breite Palette von Anbieterkontrollen sammeln und korrelieren, um Bedrohungen für das Informationsmanagement zu ermitteln, basierend auf der durch die inhärente Risikobewertung ermittelten Kritikalität der Drittpartei. Die Ergebnisse der Bewertungen und der kontinuierlichen Überwachung werden in einem einzigen Risikoregister mit Heatmap-Berichten zusammengefasst, das die Risiken auf der Grundlage von Wahrscheinlichkeit und Auswirkungen misst und kategorisiert. Mit diesem Einblick können die Teams die Folgen eines Risikos leicht erkennen und haben fertige Empfehlungen für die Abhilfe für Dritte, um die Risiken zu mindern. Bei Drittanbietern, die einen SOC-2-Bericht anstelle einer vollständigen Risikobewertung des Anbieters einreichen, prüft Prevalent die Liste der im SOC-2-Bericht identifizierten Kontrolllücken, erstellt innerhalb der Plattform Risikopositionen für den Drittanbieter und verfolgt und berichtet über die Mängel. |
| 15.6 Daten von Dienstanbietern überwachen
Sicherheitsfunktion: Erkennen "Überwachung von Dienstanbietern in Übereinstimmung mit den Richtlinien des Unternehmens zur Verwaltung von Dienstanbietern. Die Überwachung kann eine regelmäßige Neubewertung der Konformität von Dienstanbietern, die Überwachung der Versionshinweise von Dienstanbietern und die Überwachung des Dark Web umfassen." |
Prevalent continuously tracks and analyzes externe Bedrohungen für DritteDie Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.
Zu den Überwachungsquellen gehören:
Da es sich nicht bei allen Bedrohungen um direkte Cyberangriffe handelt, bezieht Prevalent auch Daten aus den folgenden Quellen mit ein, um den Cyberergebnissen mehr Kontext zu verleihen:
Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu rationalisieren. |
| 15.7 Daten von Dienstanbietern sicher stilllegen
Sicherheitsfunktion: Schützen "Sichere Stilllegung von Dienstanbietern. Zu den Beispielen gehören die Deaktivierung von Benutzer- und Dienstkonten, die Beendigung von Datenflüssen und die sichere Entsorgung von Unternehmensdaten in den Systemen von Dienstanbietern." |
The Prevalent Platform automates contract assessments and Offboarding Verfahren zur Verringerung des Risikos für Ihr Unternehmen nach Vertragsabschluss.
|
Adressierung der CIS-Kontrolle 15: Verwaltung der Dienstanbieter
Kontrolle 15 Überblick "Ein Programm zur Entwicklung und Aufrechterhaltung einer Fähigkeit zur Reaktion auf Zwischenfälle (z.B. Richtlinien, Pläne, Verfahren, definierte Rollen, Schulung und Kommunikation) zur Vorbereitung, Erkennung und schnellen Reaktion auf einen Angriff.
| Absicherung | Wie wir helfen |
|---|---|
| 17.1 Bestimmen Sie das Personal, das die Übergabe von Vorfällen verwaltet
Sicherheitsfunktion: Reagieren "Benennen Sie eine Schlüsselperson und mindestens einen Stellvertreter, die den Prozess der Vorfallbearbeitung im Unternehmen leiten werden. Das Managementpersonal ist für die Koordinierung und Dokumentation der Reaktions- und Wiederherstellungsmaßnahmen bei Vorfällen verantwortlich und kann aus internen Mitarbeitern des Unternehmens, Drittanbietern oder einem gemischten Ansatz bestehen. Wenn Sie einen Drittanbieter beauftragen, benennen Sie mindestens eine Person innerhalb des Unternehmens, die die Arbeit des Drittanbieters beaufsichtigt. Jährliche Überprüfung oder bei wesentlichen Änderungen im Unternehmen, die sich auf diese Sicherheitsmaßnahme auswirken könnten. 17.2 Einrichtung und Pflege von Kontaktinformationen für die Meldung von Sicherheitsvorfällen Sicherheitsfunktion: Reagieren "Erstellen und pflegen Sie Kontaktinformationen für Parteien, die über Sicherheitsvorfälle informiert werden müssen. Zu den Kontaktpersonen können interne Mitarbeiter, Drittanbieter, Strafverfolgungsbehörden, Anbieter von Cyberversicherungen, relevante Regierungsbehörden, Partner des Information Sharing and Analysis Center (ISAC) oder andere Interessengruppen gehören. Überprüfen Sie die Kontakte jährlich, um sicherzustellen, dass die Informationen aktuell sind. 17.3 Einrichtung und Aufrechterhaltung eines Unternehmensprozesses für die Meldung von Zwischenfällen Sicherheitsfunktion: Reagieren "Einrichtung und Pflege eines unternehmensweiten Verfahrens für die Meldung von Sicherheitsvorfällen durch die Belegschaft. Der Prozess umfasst den Zeitrahmen für die Meldung, das Personal, an das zu melden ist, den Mechanismus für die Meldung und die Mindestinformationen, die zu melden sind. Stellen Sie sicher, dass der Prozess für alle Mitarbeiter öffentlich zugänglich ist. Jährliche Überprüfung oder wenn wesentliche Änderungen im Unternehmen eintreten, die sich auf diese Sicherheitsmaßnahme auswirken könnten. 17.4 Einrichtung und Aufrechterhaltung eines Verfahrens zur Reaktion auf Zwischenfälle Sicherheitsfunktion: Reagieren "Einen Prozess zur Reaktion auf Vorfälle einrichten und aufrechterhalten, der Rollen und Verantwortlichkeiten, Compliance-Anforderungen und einen Kommunikationsplan umfasst. Jährliche Überprüfung oder bei wesentlichen Änderungen im Unternehmen, die sich auf diese Sicherheitsvorkehrung auswirken könnten." 17.5 Zuweisung von Schlüsselrollen und Verantwortlichkeiten Sicherheitsfunktion: Reagieren "Zuweisung von Schlüsselrollen und Zuständigkeiten für die Reaktion auf Vorfälle, einschließlich Personal aus den Bereichen Recht, IT, Informationssicherheit, Einrichtungen, Öffentlichkeitsarbeit, Personalwesen, Reaktion auf Vorfälle und Analysten, soweit zutreffend. Jährliche Überprüfung oder wenn wesentliche Änderungen im Unternehmen eintreten, die sich auf diese Schutzmaßnahme auswirken könnten." 17.6 Definieren Sie Mechanismen für die Kommunikation während der Reaktion auf Vorfälle Sicherheitsfunktion: Reagieren "Legen Sie fest, welche primären und sekundären Mechanismen zur Kommunikation und Berichterstattung während eines Sicherheitsvorfalls verwendet werden sollen. Zu den Mechanismen können Telefonanrufe, E-Mails oder Briefe gehören. Denken Sie daran, dass bestimmte Mechanismen, wie z. B. E-Mails, bei einem Sicherheitsvorfall beeinträchtigt werden können. Überprüfen Sie die Sicherheitsvorkehrungen jährlich oder wenn wesentliche Änderungen im Unternehmen auftreten, die sich auf diese Sicherheitsvorkehrungen auswirken könnten." |
Prevalent ermöglicht es Ihrem Team, die Auswirkungen schnell zu erkennen, darauf zu reagieren, darüber zu berichten und sie zu mindern. Zwischenfälle mit Drittanbietern durch die zentrale Verwaltung von Anbietern, die Durchführung von Ereignisbewertungen, die Bewertung identifizierter Risiken, den Abgleich mit kontinuierlicher Cyberüberwachung und den Zugriff auf Leitlinien zur Behebung von Mängeln. Zu den wichtigsten Funktionen gehören:
Durch die Zentralisierung der Reaktion auf Vorfälle von Drittanbietern in einem einzigen System, das von einem einzigen Prozess für das Vorfallsmanagement im Unternehmen geleitet wird, können IT-, Sicherheits-, Rechts-, Datenschutz- und Compliance-Teams gemeinsam an der Risikominderung arbeiten. |