Sicherheitskontrollen der Infrastruktur

Kontrolle IS-01: Umsetzung der Richtlinien, Prozesse und Kontrollen, die für die Erstellung, Konfiguration, Aktualisierung und den Betrieb von Umgebungen erforderlich sind.

IS-02 kontrollieren: Protokollieren und überwachen Sie Ereignisse wie Zugriffskontrolle, Zugriffserhöhung, Änderung von Berechtigungen und Objektausführung.

Kontrolle IS-03: Beschränke den Zugriff auf nur zugelassene Endpunkte, verlange eine mehrstufige Authentifizierung und integriere ein Identitäts- und Zugriffsmanagement- oder Single Sign-On-System. Verwende für alle Konten (z. B. Benutzer, Administrator, Dienst, Anwendung) das Prinzip der geringsten Berechtigung und des Wissensbedarfs (Need-to-know).

Kontrolle IS-04: Protokolliere und überwache alle Konten, ob für Nutzer oder Dienste, auf ungewöhnliches Verhalten und unberechtigte Up- oder Downloads. Protokolliere und überwache alle Zugriffe auf Administrationskonten und Aktionen mit Hilfe von Sicherheitsmanagement-Tools und Security Operation Centern. Überwache Downloads kontinuierlich auf Volumen und ungewöhnliche Verhaltensmuster.

Kontrolle IS-05: Führe ein Bestandsverzeichnis für alle Werkzeuge, Skripte und APIs, die von der Entwicklungsorganisation verwendet werden. Überprüfe die Authentizität und Integrität der Informationen im Bestandsverzeichnis anhand von Ursprungs- und Herkunftsinformationen.

Kontrolle IS-06: Pflege von Patches und Updates für alle Anwendungen, Systeme und ...