Einhaltung von NIST SP 800-161r1

CA-2 (2)Kontrollbewertungen | Spezialisierte Bewertungen
Organisationen können spezialisierte Bewertungen durchführen, darunter Verifizierung und Validierung, Systemüberwachung, Bewertungen von Insider-Bedrohungen, Tests auf böswillige Nutzer und andere Formen von Tests.

Anwendbare SP 800-161r1-Richtlinie zum Cybersicherheits-Risikomanagement:Unternehmen sollten verschiedene Bewertungstechniken und -methoden einsetzen, wie z. B. kontinuierliche Überwachung, Bewertung von Insider-Bedrohungen und Bewertung böswilliger Nutzer. Diese Bewertungsmechanismen sind kontextspezifisch und erfordern, dass das Unternehmen seine Lieferkette versteht und die erforderlichen Maßnahmen zur Bewertung und Überprüfung der Umsetzung geeigneter Schutzmaßnahmen definiert.

CA-2 (3)Kontrollbewertungen | Nutzung der Ergebnisse externer Organisationen
Organisationen können sich auf Kontrollbewertungen ihrer Organisationssysteme durch andere (externe) Organisationen stützen.

Anwendbare SP 800-161r1-Leitlinien zum Cybersicherheits-Risikomanagement:Für C-SCRM sollten Unternehmen externe Sicherheitsbewertungen für Lieferanten, Entwickler, Systemintegratoren, externe Systemdienstleister und andere IKT-/OT-bezogene Dienstleister verwenden. Externe Bewertungen umfassen Zertifizierungen, Bewertungen durch Dritte und – im föderalen Kontext – vorherige Bewertungen, die von anderen Ministerien und Behörden durchgeführt wurden. Zertifizierungen der International Enterprise for Standardization (ISO), der National Information Assurance Partnership (Common Criteria) und des Open Group Trusted Technology Forum (OTTF) können ebenfalls von nicht-föderalen und föderalen Unternehmen verwendet werden, wenn diese Zertifizierungen den Anforderungen der Behörde entsprechen.

Prevalent bietet eine umfangreiche Bibliothek mit vorgefertigten Vorlagen fürRisikobewertungen von Drittanbietern– darunter auch solche, die speziell auf NIST-Kontrollen zugeschnitten sind. Mit Prevalent können Sie Bewertungen zum Zeitpunkt der Lieferantenaufnahme, der Vertragsverlängerung oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchführen, je nach wesentlichen Änderungen in der Geschäftsbeziehung.

Die Bewertungen werden zentral verwaltet und durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt, um sicherzustellen, dass Ihr Team während des gesamten Lebenszyklus der Geschäftsbeziehung einen Überblick über die Risiken durch Dritte hat.

Wichtig ist, dass Prevalent integrierte Empfehlungen zur Abhilfe auf der Grundlage der Ergebnisse der Risikobewertung enthält, um sicherzustellen, dass Ihre Drittanbieter die Risiken rechtzeitig und zufriedenstellend angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

Im Rahmen dieses Prozesses verfolgt und analysiert Prevalent auch kontinuierlichexterne Bedrohungen für Dritte. Prevalent überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputationssanktionen und Finanzinformationen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen rationalisiert werden.

Prevalent bezieht auch operative, reputationsbezogene und finanzielle Daten von Drittanbietern ein, um Cyber-Erkenntnisse in einen Kontext zu setzen und die Auswirkungen von Vorfällen im Zeitverlauf zu messen.

Bei Bedarf können SieSOC 2-Berichteoder ISO-Anwendbarkeitserklärungen anstelle der Risikobewertungen eines Anbieters analysieren. Unser Service überprüft die Liste der im SOC 2-Bericht identifizierten Kontrolllücken, erstellt Risikopunkte für den Drittanbieter und verfolgt und meldet Mängel im Zeitverlauf.

Als Teil Ihrer umfassendenStrategie zum Vorfallsmanagementsorgt Prevalent dafür, dass Ihr Programm zur Reaktion auf Vorfälle bei DrittanbieternSicherheitsvorfälle bei Drittanbietern schnell identifizieren, darauf reagieren, darüber berichten und deren Auswirkungen mindern kann. Das Managed Services-Team von Prevalent besteht aus engagierten Experten, die Ihre Anbieter zentral verwalten, proaktive Ereignisrisikobewertungen durchführen, identifizierte Risiken bewerten, Risiken mit kontinuierlichen Cyber-Überwachungsinformationen korrelieren und im Namen Ihres Unternehmens Empfehlungen zur Behebung von Problemen aussprechen. Managed Services reduzieren den Zeitaufwand für die Identifizierung von Anbietern, die von einem Cybersicherheitsvorfall betroffen sind, die Koordination mit Anbietern und die Sicherstellung, dass Abhilfemaßnahmen ergriffen werden, erheblich.

Zu den wichtigsten Funktionen desPrevalent Third-Party Incident Response Servicegehören:

• Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
• Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
• Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
• Proaktive Lieferantenberichterstattung
• Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahl und markierten Antworten für jeden Anbieter
• Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
• Integrierte Berichtsvorlagen für interne und externe Beteiligte
• Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
• Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien, um Informationspfade zu visualisieren und gefährdete Daten aufzudecken

Prevalent analysiert auch Datenbanken, die mehrere Jahre an Daten zu Datenschutzverletzungen bei Tausenden von Unternehmen weltweit enthalten – darunter Art und Umfang der gestohlenen Daten, Compliance- und Regulierungsfragen sowie Echtzeit-Benachrichtigungen von Anbietern über Datenschutzverletzungen.

Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Drittanbieters beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe von Experten.

PM-9Risikomanagementstrategie
a. Entwicklung einer umfassenden Strategie zur Verwaltung:
1. Sicherheitsrisiken für den Betrieb und die Vermögenswerte der Organisation, für Einzelpersonen, andere Organisationen und die Nation im Zusammenhang mit dem Betrieb und der Nutzung der Systeme der Organisation; und
2. Datenschutzrisiken für Einzelpersonen, die sich aus der autorisierten Verarbeitung personenbezogener Daten ergeben;
b. Umsetzung der Risikomanagementstrategie in der gesamten Organisation; und
c. Überprüfung und Aktualisierung der Risikomanagementstrategie nach Bedarf, um organisatorischen Veränderungen Rechnung zu tragen.

Anwendbare SP 800-161r1-Leitlinien zum Cybersicherheits-Risikomanagement:Die Risikomanagementstrategie sollte Cybersicherheitsrisiken entlang der gesamten Lieferkette berücksichtigen.

PM-30Strategiezum Risikomanagement in der Lieferkette
a. Entwicklung einer organisationsweiten Strategie zum Management von Risiken in der Lieferkette, die mit der Entwicklung, Beschaffung, Wartung und Entsorgung von Systemen, Systemkomponenten und Systemdienstleistungen verbunden sind;
b. Konsistente Umsetzung der Strategie zum Risikomanagement in der Lieferkette in der gesamten Organisation; und
c. Überprüfung und Aktualisierung der Strategie zum Risikomanagement in der Lieferkette in von der Organisation festgelegten Abständen oder nach Bedarf, um organisatorischen Veränderungen Rechnung zu tragen.

Anwendbare SP 800-161r1-Leitlinien zum Cybersicherheits-Risikomanagement:Die Strategie zum Risikomanagement in der Lieferkette (auch als C-SCRM-Strategie bekannt) sollte durch einen C-SCRM-Implementierungsplan ergänzt werden, der detaillierte Initiativen und Aktivitäten für das Unternehmen mit Zeitplänen und verantwortlichen Parteien festlegt. Dieser Implementierungsplan kann ein POA&M sein oder in einem POA&M enthalten sein. Auf der Grundlage der C-SCRM-Strategie und des Implementierungsplans auf Stufe 1 sollte das Unternehmen gemeinsame C-SCRM-Kontrollen auswählen und dokumentieren, die den unternehmens-, programm- und systemspezifischen Anforderungen gerecht werden.

Prevalent unterstützt Ihr Unternehmen beim Aufbau eines umfassenden Programms für das Risikomanagement von Drittanbietern (TPRM) oder das Risikomanagement in der Cybersicherheits-Lieferkette (C-SCRM), das mit Ihren allgemeinen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance im Einklang steht.

UnsereExpertenarbeiten mit Ihrem Team zusammen an:

• Definition und Umsetzung von TPRM- und C-SCRM-Prozessen und -Lösungen
• Auswahl von Fragebögen und Rahmen für die Risikobewertung
• Optimierung Ihres Programms, um den gesamten Lebenszyklus des Risikos von Drittanbietern abzudecken - von der Beschaffung und Due-Diligence-Prüfung bis hin zur Kündigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens

Im Rahmen dieses Prozesses helfen wir Ihnen bei der Definition von:

• Klare Rollen und Verantwortlichkeiten (z. B. RACI)
• Vorräte von Dritten
• Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens

Mit Prevalent kann Ihr Team die Wirksamkeit Ihres TPRM-Programms kontinuierlich anhand sich ändernder Geschäftsanforderungen und Prioritäten bewerten und dabeidie Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs)von Drittanbietern über den gesamten Lebenszyklus der Geschäftsbeziehung hinweg messen.

PM 30 (1)Strategie zum Risikomanagement in der Lieferkette | Lieferanten von kritischen oder missionskritischen Artikeln
Identifizieren, priorisieren und bewerten Sie Lieferanten von kritischen oder missionskritischen Technologien, Produkten und Dienstleistungen.

Anwendbare SP 800-161r1-Richtlinie zum Cybersicherheits-Risikomanagement:Siehe oben.

Prevalent quantifiziertdie inhärenten Risikenfür alle Dritten. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Priorisierung von Dritten herangezogen werden, gehören:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Faktoren aus den Bereichen Dateninteraktion, Finanzen, Regulierung und Reputation.

PM-31Strategie zur kontinuierlichen Überwachung

Entwicklung einer unternehmensweiten Strategie zur kontinuierlichen Überwachung und Umsetzung von Programmen zur kontinuierlichen Überwachung, die Folgendes umfassen

a. Festlegung von unternehmensweit zu überwachenden Metriken;

b. Festlegung bestimmter Häufigkeiten für die Überwachung und Bewertung der Wirksamkeit der Kontrollen;

c. Laufende Überwachung der vom Unternehmen definierten Messgrößen in Übereinstimmung mit der Strategie der kontinuierlichen Überwachung;

d. Korrelation und Analyse der durch Kontrollbewertungen und Überwachung gewonnenen Informationen;

e. Maßnahmen zur Reaktion auf die Ergebnisse der Analyse der Kontrollbewertung und der Überwachungsinformationen; und

f. Berichterstattung über den Sicherheits- und Datenschutzstatus der Organisationssysteme an bestimmte Personen.

Verfolgen und analysieren Sie mit Prevalent kontinuierlichexterne Bedrohungen für Dritte. Wir überwachen das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputationsrisiken, Sanktionen und Finanzinformationen.

Zu den Überwachungsquellen gehören:

• Kriminelle Foren, Onion-Seiten, Dark-Web-Foren für speziellen Zugang, Threat-Feeds und Paste-Sites für durchgesickerte Zugangsdaten - sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken
• Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen bei Tausenden von Unternehmen in aller Welt

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen optimiert werden.

Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister zusammengeführt sind, wendet Prevalent eine Risikobewertung und -priorisierung gemäß einem Wahrscheinlichkeits- und Auswirkungsmodell an. Dieses Modell fasst Risiken in einer Matrix zusammen, sodass Sie die Risiken mit den größten Auswirkungen leicht erkennen und die Abhilfemaßnahmen entsprechend priorisieren können.

Anschließend können Sie Verantwortliche zuweisen und Risiken und Abhilfemaßnahmen bis zu einem für das Unternehmen akzeptablen Grad verfolgen.

RA-1Richtlinien und Verfahren
Entwickeln, dokumentieren und verbreiten:
1. Eine Risikobewertungsrichtlinie, die:
(a) Zweck, Umfang, Rollen, Verantwortlichkeiten, Engagement der Geschäftsleitung, Koordination zwischen den Organisationseinheiten und Compliance behandelt; und
(b) mit den geltenden Gesetzen, Durchführungsverordnungen, Richtlinien, Vorschriften, Richtlinien, Standards und Leitlinien im Einklang steht; und
2. Verfahren zur Erleichterung der Umsetzung der Risikobewertungsrichtlinie und der damit verbundenen Risikobewertungskontrollen;
b. Benennung eines Beauftragten für die Entwicklung, Dokumentation und Verbreitung der Risikobewertungsrichtlinie und -verfahren; und
c. Überprüfung und Aktualisierung der aktuellen Risikobewertung:
1. Richtlinie und
2. Verfahren.

Anwendbare SP 800-161r1-Leitlinien zum Cybersicherheits-Risikomanagement:Risikobewertungen sollten auf Unternehmens-, Missions-/Programm- und Betriebsebene durchgeführt werden. Die Risikobewertung auf Systemebene sollte sowohl die Infrastruktur der Lieferkette (z. B. Entwicklungs- und Testumgebungen sowie Liefersysteme) als auch die Informationssysteme/Komponenten umfassen, die die Lieferkette durchlaufen. Risikobewertungen auf Systemebene überschneiden sich erheblich mit dem SDLC und sollten die umfassenderen RMF-Aktivitäten des Unternehmens ergänzen, die während des SDLC stattfinden. Eine Kritikalitätsanalyse stellt sicher, dass missionskritische Funktionen und Komponenten aufgrund ihrer Auswirkungen auf die Mission im Falle einer Kompromittierung eine höhere Priorität erhalten. Die Richtlinie sollte für die Lieferkette relevante Cybersicherheitsrollen umfassen, die für die Durchführung und Koordinierung von Risikobewertungen im gesamten Unternehmen gelten (siehe Abschnitt 2 für die Auflistung und Beschreibung der Rollen). Es sollten die entsprechenden Rollen innerhalb von Lieferanten, Entwicklern, Systemintegratoren, externen Systemdienstleistern und anderen IKT-/OT-bezogenen Dienstleistern definiert werden.

Siehe PM-9 Risikomanagementstrategie

RA-2 (1)Sicherheitskategorisierung | Priorisierung nach Auswirkungsgrad
Führen Sie eine Priorisierung der Organisationssysteme nach Auswirkungsgrad durch, um zusätzliche Details zum Auswirkungsgrad der Systeme zu erhalten.

Anwendbare SP 800-161r1-Richtlinie zum Cybersicherheits-Risikomanagement:Die Sicherheitskategorisierung ist für C-SCRM auf den Stufen 1, 2 und 3 von entscheidender Bedeutung. Zusätzlich zur Kategorisierung gemäß [FIPS 199] sollte die Sicherheitskategorisierung für C-SCRM auf der Kritikalitätsanalyse basieren, die im Rahmen des SDLC durchgeführt wird. Eine detaillierte Beschreibung der Kritikalitätsanalyse finden Sie in Abschnitt 2 und [NISTIR 8179].

SiehePM 30 (1)Strategie zum Risikomanagement in der Lieferkette | Lieferanten von kritischen oder missionskritischen Artikeln

RA-3 (1)Risikobewertung | Risikobewertung der Lieferkette
(a) Bewertung der mit Systemen, Komponenten und Dienstleistungen verbundenen Risiken der Lieferkette; und
(b) Aktualisierung der Risikobewertung der Lieferkette, wenn sich wesentliche Änderungen an der betreffenden Lieferkette ergeben oder wenn Änderungen am System, an den Betriebsumgebungen oder anderen Bedingungen eine Änderung der Lieferkette erforderlich machen könnten.

Anwendbare SP 800-161r1-Leitlinien zum Cybersicherheits-Risikomanagement:Risikobewertungen sollten eine Analyse der Kritikalität, Bedrohungen, Schwachstellen, Wahrscheinlichkeit und Auswirkungen umfassen, wie in Anhang C ausführlich beschrieben. Zu den zu überprüfenden und zu erfassenden Daten gehören C-SCRM-spezifische Rollen, Prozesse und die Ergebnisse der Beschaffung, Implementierung und Integration von Systemen/Komponenten und Diensten. Risikobewertungen sollten auf den Stufen 1, 2 und 3 durchgeführt werden. Risikobewertungen auf höheren Stufen sollten in erster Linie aus einer Synthese verschiedener Risikobewertungen bestehen, die auf niedrigeren Stufen durchgeführt und zum Verständnis der Gesamtauswirkungen auf die jeweilige Stufe (z. B. auf Unternehmens- oder Missions-/Funktionsstufe) verwendet werden. C-SCRM-Risikobewertungen sollten Risikobewertungen, die als fortlaufende Aktivitäten während des gesamten SDLC durchgeführt werden, ergänzen und informieren, und die Prozesse sollten angemessen auf ERM-Prozesse und Governance abgestimmt oder in diese integriert werden.

Die Prevalent TPRM-Plattform umfasst eine umfangreiche Bibliothek mit vorgefertigten Vorlagen fürRisikobewertungen von Drittanbietern– darunter auch solche, die speziell auf NIST-Kontrollen zugeschnitten sind. Die Bewertungen können bei der Aufnahme eines Lieferanten, bei Vertragsverlängerungen oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden, je nach den wesentlichen Änderungen.

Die Bewertungen werden zentral verwaltet und durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt, um sicherzustellen, dass Ihr Team während des gesamten Lebenszyklus der Geschäftsbeziehung einen Überblick über die Risiken durch Dritte hat.

Wichtig ist, dass Prevalent integrierte Empfehlungen zur Abhilfe auf der Grundlage der Ergebnisse der Risikobewertung enthält, um sicherzustellen, dass Ihre Drittanbieter die Risiken rechtzeitig und zufriedenstellend angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

RA-3 (2)Risikobewertung | Nutzung von All-Source Intelligence
Nutzen Sie All-Source Intelligence zur Unterstützung der Risikoanalyse.

RA-3 (3)Risikobewertung | Dynamische Bedrohungserkennung
Bestimmen Sie kontinuierlich die aktuelle Cyber-Bedrohungslage.

RA-3 (4)Risikobewertung | Predictive Cyber Analytics
Nutzen Sie fortschrittliche Automatisierungs- und Analysefunktionen, um Risiken vorherzusagen und zu identifizieren.

Anwendbare SP 800-161r1-Richtlinie zum Cybersicherheits-Risikomanagement:SieheRA-3 (1)

Mit Prevalent können Sieexterne Bedrohungen für Dritte kontinuierlich verfolgen und analysieren. Dazu überwachen wir das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Zu den Überwachungsquellen gehören:

• Kriminelle Foren, Onion-Seiten, Dark-Web-Foren für speziellen Zugang, Threat-Feeds und Paste-Sites für durchgesickerte Zugangsdaten - sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken
• Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen bei Tausenden von Unternehmen in aller Welt

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen optimiert werden.

RA-7Risikoreaktions-
Reagieren Sie auf Ergebnisse aus Sicherheits- und Datenschutzbewertungen, Überwachungen und Audits entsprechend der Risikotoleranz Ihrer Organisation.

Anwendbare SP 800-161r1-Leitlinien zum Cybersicherheits-Risikomanagement:Unternehmen sollten Fähigkeiten zur Reaktion auf Cybersicherheitsrisiken entlang der gesamten Lieferkette in ihre allgemeine Reaktionsstrategie integrieren und sicherstellen, dass diese Reaktionen mit der Risikotoleranz des Unternehmens im Einklang stehen und innerhalb deren Grenzen liegen. Die Risikoreaktion sollte die Identifizierung von Risikoreaktionen, die Bewertung von Alternativen und Entscheidungen zur Risikoreaktion umfassen.

Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister zusammengeführt sind, wendet Prevalent eine Risikobewertung und -priorisierung gemäß einem Wahrscheinlichkeits- und Auswirkungsmodell an. Dieses Modell fasst Risiken in einer Matrix zusammen, sodass Sie die Risiken mit den größten Auswirkungen leicht erkennen und die Abhilfemaßnahmen entsprechend priorisieren können.

Weisen Sie schließlich Verantwortliche zu und verfolgen Sie Risiken und Abhilfemaßnahmen in der Plattform auf einem für das Unternehmen akzeptablen Niveau.

RA-9Kritikalitätsanalyse
Identifizieren Sie kritische Systemkomponenten und -funktionen, indem Sie eine Kritikalitätsanalyse an definierten Entscheidungspunkten im Systementwicklungslebenszyklus durchführen.

Anwendbare SP 800-161r1-Leitlinien zum Cybersicherheits-Risikomanagement:Unternehmen sollten eine Kritikalitätsanalyse als Voraussetzung für die Bewertung von Aktivitäten zum Cybersicherheits-Risikomanagement in der Lieferkette durchführen. Zunächst sollten Unternehmen eine Kritikalitätsanalyse als Teil des Frame-Schritts des C-SCRM-Risikomanagementprozesses durchführen. Anschließend wird die Kritikalitätsanalyse anhand der Ergebnisse der Aktivitäten im Rahmen des Bewertungsschritts (z. B. Kritikalitätsanalyse, Bedrohungsanalyse, Schwachstellenanalyse und Strategien zur Risikominderung) aktualisiert und angepasst. Zwischen der Kritikalitätsanalyse und anderen Aktivitäten im Rahmen des Bewertungsschritts besteht eine symbiotische Beziehung, da sie sich gegenseitig ergänzen und verbessern. Um eine qualitativ hochwertige Kritikalitätsanalyse zu gewährleisten, sollten Unternehmen diese iterativ während des gesamten SLDC und gleichzeitig auf allen drei Ebenen anwenden. Unternehmen sollten von ihren Hauptauftragnehmern verlangen, diese Kontrolle umzusetzen, und diese Anforderung an die entsprechenden Unterauftragnehmer weitergeben. Ministerien und Behörden sollten außerdem Anhang F zur Ergänzung dieser Leitlinien gemäß der Executive Order 14028, „Improving the Nation’s Cybersecurity” (Verbesserung der Cybersicherheit der Nation), heranziehen.

SiehePM 30 (1)Strategie zum Risikomanagement in der Lieferkette | Lieferanten von kritischen oder missionskritischen Artikeln

SR-1Richtlinien und Verfahren
Entwickeln, dokumentieren und verbreiten:
1. Eine Richtlinie zum Risikomanagement in der Lieferkette, die:
(a) Zweck, Umfang, Rollen, Verantwortlichkeiten, Engagement der Geschäftsleitung, Koordination zwischen den Organisationseinheiten und Compliance behandelt; und
(b) mit den geltenden Gesetzen, Durchführungsverordnungen, Richtlinien, Vorschriften, Standards und Leitlinien im Einklang steht; und
2. Verfahren zur Erleichterung der Umsetzung der Richtlinie zum Risikomanagement in der Lieferkette und der damit verbundenen Kontrollen zum Risikomanagement in der Lieferkette;
b. Benennung eines Beauftragten für die Entwicklung, Dokumentation und Verbreitung der Richtlinie und der Verfahren zum Risikomanagement in der Lieferkette; und
c. Überprüfung und Aktualisierung des aktuellen Risikomanagements in der Lieferkette:
1. Richtlinie und
2. Verfahren

Anwendbare SP 800-161r1-Richtlinien zum Cybersicherheits-Risikomanagement:C-SCRM-Richtlinien werden auf Stufe 1 für das gesamte Unternehmen und auf Stufe 2 für bestimmte Aufgaben und Funktionen entwickelt. C-SCRM-Richtlinien können je nach Tiefe und Detailgrad auf den Stufen 1, 2 und 3 umgesetzt werden. C-SCRM-Verfahren werden auf Ebene 2 für bestimmte Aufgaben und Funktionen und auf Ebene 3 für bestimmte Systeme entwickelt. Unternehmensfunktionen, einschließlich, aber nicht beschränkt auf Informationssicherheit, Recht, Risikomanagement und Beschaffung, sollten die Entwicklung von C-SCRM-Richtlinien und -Verfahren überprüfen und genehmigen oder den Systemverantwortlichen Leitlinien für die Entwicklung systemspezifischer C-SCRM-Verfahren zur Verfügung stellen.

Siehe PM-9 Risikomanagementstrategie

SR-2Risikomanagementplan für die Lieferkette
a. Entwicklung eines Plans zum Management von Risiken in der Lieferkette, die mit der Forschung und Entwicklung, dem Design, der Herstellung, dem Erwerb, der Lieferung, der Integration, dem Betrieb und der Wartung sowie der Entsorgung von Systemen, Systemkomponenten oder Systemdienstleistungen verbunden sind
b. Überprüfung und Aktualisierung des Risikomanagementplans für die Lieferkette nach Bedarf, um Bedrohungen, organisatorischen oder umweltbedingten Veränderungen Rechnung zu tragen; und
c. Schutz des Risikomanagementplans für die Lieferkette vor unbefugter Offenlegung und Änderung.

Anwendbare SP 800-161r1-Richtlinien zum Cybersicherheits-Risikomanagement:C-SCRM-Pläne beschreiben Implementierungen, Anforderungen, Einschränkungen und Auswirkungen auf Systemebene. C-SCRM-Pläne werden von den anderen Risikobewertungsaktivitäten des Unternehmens beeinflusst und können die in Stufe 1 und Stufe 2 definierten gemeinsamen Kontrollgrundlagen übernehmen und anpassen. C-SCRM-Pläne, die auf Ebene 3 definiert sind, arbeiten mit der C-SCRM-Strategie und den Richtlinien des Unternehmens (Ebene 1 und Ebene 2) sowie dem C-SCRM-Implementierungsplan (Ebene 1 und Ebene 2) zusammen, um einen systematischen und ganzheitlichen Ansatz für das Cybersicherheits-Risikomanagement in der Lieferkette des gesamten Unternehmens zu bieten. C-SCRM-Pläne sollten als eigenständiges Dokument entwickelt und nur dann in bestehende Systemsicherheitspläne integriert werden, wenn dies aufgrund von Unternehmensbeschränkungen erforderlich ist.

Siehe PM-9 Risikomanagementstrategie

SR-3Kontrollen und Prozesse der Lieferkette
a. Einrichtung eines oder mehrerer Prozesse zur Identifizierung und Behebung von Schwachstellen oder Mängeln in den Elementen und Prozessen der Lieferkette in Abstimmung mit den Mitarbeitern der Lieferkette;
b. Einsatz der folgenden Kontrollen zum Schutz vor Risiken für das System, die Systemkomponenten oder die Systemdienste, die von der Lieferkette ausgehen, und zur Begrenzung der Schäden oder Folgen von Ereignissen im Zusammenhang mit der Lieferkette; und
c. Dokumentation der ausgewählten und implementiertenLieferkettenprozesse und -kontrollen im Risikomanagementplan für die Lieferkette.

Anwendbare SP 800-161r1-Leitlinien zum Cybersicherheits-Risikomanagement:Abschnitt 2 und Anhang C dieses Dokuments enthalten detaillierte Leitlinien zur Umsetzung dieser Kontrollmaßnahme. Ministerien und Behörden sollten Anhang F zu Rate ziehen, um diese Leitlinien gemäß der Durchführungsverordnung 14028 zur Verbesserung der Cybersicherheit der Nation umzusetzen.

Siehe PM-9 Risikomanagementstrategie

SR-4 (4)Herkunft | Integrität der Lieferkette – Herkunfts
Kontrollen und Analysen einsetzen, um die Integrität des Systems und der Systemkomponenten sicherzustellen, indem die interne Zusammensetzung und Herkunft kritischer oder missionskritischer Technologien, Produkte und Dienstleistungen validiert wird.

Anwendbare SP 800-161r1-Richtlinie zum Cybersicherheits-Risikomanagement:Die Herkunft sollte für Systeme, Systemkomponenten und zugehörige Daten während des gesamten SDLC dokumentiert werden. Unternehmen sollten die Erstellung von SBOMs für anwendbare und geeignete Softwareklassen in Betracht ziehen, darunter gekaufte Software, Open-Source-Software und interne Software. SBOMs sollten ausschließlich unter Verwendung von NTIA-unterstützten SBOM-Formaten erstellt werden, die die Mindestanforderungen für SBOM-Elemente gemäß [NTIA SBOM] EO 14028 NTIA erfüllen. Unternehmen, die SBOMs erstellen, sollten die Mindestanforderungen für SBOM-Elemente gemäß [NTIA SBOM] als Rahmen für die Einbeziehung der primären Komponenten verwenden. SBOMs sollten mit einem überprüfbaren und vertrauenswürdigen Schlüssel digital signiert werden. SBOMs können eine entscheidende Rolle dabei spielen, Unternehmen die Aufrechterhaltung der Herkunft zu ermöglichen. Mit zunehmender Reife von SBOMs sollten Unternehmen jedoch sicherstellen, dass sie bestehende C-SCRM-Fähigkeiten (z. B. Schwachstellenmanagementpraktiken und Risikobewertungen von Anbietern) nicht vernachlässigen, weil sie fälschlicherweise davon ausgehen, dass SBOMs diese Aktivitäten ersetzen. SBOMs und die verbesserte Transparenz, die sie Organisationen bieten sollen, sind komplementäre Funktionen und keine Ersatzfunktionen. Organisationen, die die von SBOMs bereitgestellten Daten möglicherweise nicht angemessen erfassen, analysieren und darauf reagieren, werden ihre allgemeine C-SCRM-Situation wahrscheinlich nicht verbessern. Bundesbehörden sollten Anhang F zu Rate ziehen, um diese Leitlinien gemäß der Executive Order 14028 zur Verbesserung der Cybersicherheit der Nation umzusetzen.

Im Rahmen des Due-Diligence-Prozesses ermöglicht Prevalent Anbietern, aktualisierteSoftware-Stücklisten (SBOMs)für ihre Softwareprodukte bereitzustellen. Auf diese Weise können Sie potenzielle Schwachstellen oder Lizenzprobleme identifizieren, die sich auf die Sicherheit und Compliance Ihres Unternehmens auswirken könnten.

SR-5Beschaffungsstrategien, -instrumente und -methoden
Einsatz von Beschaffungsstrategien, Vertragsinstrumenten und Beschaffungsmethoden zum Schutz vor, zur Identifizierung und zur Minderung von Risiken in der Lieferkette.

Anwendbare SP 800-161r1-Leitlinien zum Cybersicherheits-Risikomanagement:Abschnitt 3 und SA-Kontrollen bieten zusätzliche Leitlinien zu Beschaffungsstrategien, -instrumenten und -methoden. Ministerien und Behörden sollten Anhang F zu Rate ziehen, um diese Leitlinien gemäß der Durchführungsverordnung 14028 zur Verbesserung der Cybersicherheit der Nation umzusetzen.

Mit Prevalent kann Ihr Team die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs) in einer einzigen Lösung zentralisieren und automatisieren, die den Vergleich wichtiger Merkmale ermöglicht.

Da alle Dienstleister zentralisiert und überprüft werden, erstellt die Prevalent-Plattformumfassende Anbieterprofile, die Einblicke in die demografischen Daten eines Anbieters, Technologien von Drittanbietern, ESG-Bewertungen, aktuelle Geschäfts- und Reputationsinformationen, die Geschichte von Datenverstößen und die aktuelle finanzielle Performance enthalten.

Dieses Maß an Sorgfalt schafft einen besseren Kontext für Entscheidungen zurLieferantenauswahl.

SR-6Lieferantenbewertungen und -überprüfungen
Bewerten und überprüfen Sie die mit Lieferanten oder Auftragnehmern verbundenen Risiken in der Lieferkette sowie die von ihnen bereitgestellten Systeme, Systemkomponenten oder Systemdienstleistungen.

Anwendbare SP 800-161r1-Leitlinien zum Cybersicherheits-Risikomanagement:Im Allgemeinen sollte ein Unternehmen alle Informationen berücksichtigen, die für die Sicherheit, Integrität, Widerstandsfähigkeit, Qualität, Vertrauenswürdigkeit oder Authentizität des Lieferanten oder der von ihm angebotenen Dienstleistungen oder Produkte relevant sind. Unternehmen sollten diese Informationen anhand einer Reihe einheitlicher grundlegender Faktoren und Bewertungskriterien anwenden, um einen fairen Vergleich (zwischen Lieferanten und im Zeitverlauf) zu ermöglichen. Je nach dem spezifischen Kontext und Zweck, für den die Bewertung durchgeführt wird, kann das Unternehmen zusätzliche Faktoren auswählen. Die Qualität der Informationen (z. B. ihre Relevanz, Vollständigkeit, Genauigkeit usw.), auf die sich eine Bewertung stützt, ist ebenfalls ein wichtiger Gesichtspunkt. Referenzquellen für Bewertungsinformationen sollten ebenfalls dokumentiert werden. Das C-SCRM PMO kann dabei helfen, Anforderungen, Methoden und Instrumente für die Lieferantenbewertungen des Unternehmens zu definieren. Ministerien und Behörden sollten Anhang E für weitere Leitlinien zu Basisrisikofaktoren und zur Dokumentation von Bewertungen sowie Anhang F zur Umsetzung dieser Leitlinien gemäß der Executive Order 14028, „Improving the Nation’s Cybersecurity” (Verbesserung der Cybersicherheit der Nation), heranziehen.

SieheRA-3 (1)Risikobewertung | Risikobewertung der Lieferkette

SR-8Benachrichtigungsvereinbarungen
Vereinbarungen und Verfahren mit den an der Lieferkette für das System, die Systemkomponente oder den Systemdienst beteiligten Stellen für die Benachrichtigung über Beeinträchtigungen der Lieferkette sowie über die Ergebnisse von Bewertungen oder Audits festlegen.

Anwendbare SP 800-161r1-Richtlinie zum Cybersicherheits-Risikomanagement:Unternehmen sollten von ihren Lieferanten mindestens verlangen, dass sie Benachrichtigungsvereinbarungen mit Unternehmen innerhalb ihrer Lieferkette treffen, die eine Rolle oder Verantwortung in Bezug auf diese kritischen Dienstleistungen oder Produkte haben. Ministerien und Behörden sollten Anhang F zu Rate ziehen, um diese Richtlinie gemäß der Durchführungsverordnung 14028 zur Verbesserung der Cybersicherheit der Nation umzusetzen.

Mit Prevalent kann Ihr Team die Verteilung, Besprechung, Aufbewahrung und Überprüfung vonLieferantenverträgenzentralisieren, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass wichtige Klauseln eingehalten werden.

Zu den wichtigsten Fähigkeiten gehören:

• Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
• Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
• Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
• Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
• Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
• Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
• Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Mit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Anbietervertrag festgelegt und die SLAs entsprechend verfolgt und verwaltet werden.

SR-13Lieferanteninventar
Entwickeln, dokumentieren und pflegen Sie ein Lieferanteninventar, das:
1. die Tier-1-Lieferanten des Unternehmens, die ein Cybersicherheitsrisiko in der Lieferkette darstellen können, genau und minimalistisch widerspiegelt;
2. den Anforderungen an die Detailgenauigkeit entspricht, die für die Bewertung der Kritikalität und des Lieferkettenrisikos, die Nachverfolgung und die Berichterstattung als notwendig erachtet werden;
3. Dokumentiert die folgenden Informationen für jeden Tier-1-Lieferanten (z. B. Hauptauftragnehmer): Überprüfung und Aktualisierung des Lieferantenbestands.
i. Eindeutige Identifizierung des Beschaffungsinstruments (d. h. Vertrag, Aufgabe oder Lieferauftrag);
ii. Beschreibung der gelieferten Produkte und/oder Dienstleistungen;
iii. Programm, Projekt und/oder System, das die Produkte und/oder Dienstleistungen des Lieferanten nutzt; und
iv. Zugewiesene Kritikalitätsstufe, die mit der Kritikalität des Programms, Projekts und/oder Systems (oder einer Komponente des Systems) übereinstimmt.
b. Überprüfung und Aktualisierung des Lieferantenbestands.

Anwendbare SP 800-161r1-Richtlinie zum Cybersicherheits-Risikomanagement:Unternehmen sind bei der Erfüllung ihrer Aufgaben und Funktionen auf zahlreiche Lieferanten angewiesen. Viele Lieferanten bieten Produkte und Dienstleistungen zur Unterstützung mehrerer Aufgaben, Funktionen, Programme, Projekte und Systeme an. Einige Lieferanten sind wichtiger als andere, je nach der Kritikalität der Aufgaben, Funktionen, Programme, Projekte und Systeme, die ihre Produkte und Dienstleistungen unterstützen, und dem Grad der Abhängigkeit des Unternehmens vom Lieferanten. Unternehmen sollten eine Kritikalitätsanalyse durchführen, um zu ermitteln, welche Produkte und Dienstleistungen für die Bestimmung der Kritikalität von Lieferanten, die im Lieferantenverzeichnis dokumentiert werden sollen, von entscheidender Bedeutung sind. Hinweise zur Durchführung einer Kritikalitätsanalyse finden Sie in Abschnitt 2, Anhang C und RA-9.

Die Prevalent TPRM-Plattform zentralisiert alle Lieferanteninformationen in einem einzigen Lieferantenprofil, sodass alle Abteilungen, die mit Lieferanten zusammenarbeiten, auf dieselben Informationen zurückgreifen können, was die Transparenz und Entscheidungsfindung verbessert.

Importieren Sie Lieferanten über eine Tabellenkalkulationsvorlage oder über eine API-Verbindung zu einer vorhandenen Beschaffungslösung, wodurch fehleranfällige, manuelle Prozesse vermieden werden.

Erfassen Sie wichtige Lieferantendetails mit einem zentralisierten und anpassbaren Aufnahmeformular und dem dazugehörigen Workflow. Dieser ist für jeden per E-Mail-Einladung verfügbar, ohne dass eine Schulung oder Lösungskenntnisse erforderlich sind.

Mit Prevalent können Sieumfassende Lieferantenprofileerstellen, in denen Sie demografische Daten, geografische Standorte, Technologien von Drittanbietern und aktuelle betriebliche Erkenntnisse vergleichen und überwachen können. Mit diesen gesammelten Daten können Sie insbesondere Risiken im Zusammenhang mit geografischer und technologischer Konzentration aufzeigen und entsprechende Maßnahmen ergreifen.