Zeitschrift

So entwerfen Sie eine Sicherheitsarchitektur

2. Klassifizieren und kategorisieren Sie die Systeme der Universität

Als Nächstes klassifizieren und kategorisieren Sie die Systeme und Daten, die Ihre Organisation verwendet. Dabei kann es sich um eine umfassende Analyse aller IT- und Datenbestände handeln, oder im Fall von Zero-Trust-Architekturen könnte sie sich enger auf die „Schutzoberfläche“ kritischer Vermögenswerte Ihrer Institution konzentrieren. In beiden Fällen liegt der Schwerpunkt dieser Bemühungen darauf, jedem System eine Klassifizierung zuzuweisen (normalerweise basierend auf der Datensensitivität) und Systeme basierend auf ähnlichen Attributen zu kategorisieren, damit Sie gemeinsame Steuerelemente zuweisen können.

3. Führen Sie eine umfassende Bedrohungsmodellierung durch

Bei der Bedrohungsmodellierung muss ein Unternehmen Risiken für Daten und IT-Ressourcen im Kontext seines gesamten Geschäfts- und Regulierungsumfelds berücksichtigen. In dieser Phase hilft es, einen wiederholbaren Prozess für die Risikobewertung und die Identifizierung der zu überprüfenden Systeme mit der höchsten Priorität einzurichten.

Ein wiederholbarer Risikobewertungsprozess wie das NIST Risk Management Framework in Verbindung mit einer geeigneten Systemklassifizierung und -kategorisierung hilft Ihrer Institution, Sicherheitskontrollen im Laufe der Zeit konsistent zu identifizieren und zuzuweisen.

ENTDECKEN: Zukunftssichere Infrastruktursicherheitsstrategie der Hochschulen.

4. Sicherheitskontrollen auswählen und implementieren

Nachdem Ihre Systeme klassifiziert und Risiken bewertet wurden, sollten Sie ein gutes Gespür für Ihre höchsten Prioritäten bei der Auswahl der Kontrollen haben. Sicherheitskontrollen sind Maßnahmen, die sicherstellen, dass eine bestimmte Sicherheitsrichtlinie durchgesetzt oder Verstöße gemeldet werden. Sicherheitskontrollen können technischer, administrativer oder physischer Natur sein und werden oft in Familien eingeteilt. Die NIST-Sonderveröffentlichung 800-53 identifiziert 18 diskrete Kontrollfamilien, die vom physischen Zugriff bis zur System- und Informationsintegrität reichen.

Um Sicherheitskontrollen erfolgreich zu implementieren, müssen IT-Teams diese Kontrollen in technische Konfigurationen, Verwaltungsprozesse oder physische Kontrollen übersetzen. Glücklicherweise können mehrere Ressourcen dabei helfen. Das US-Verteidigungsministerium veröffentlicht Security Technical Implementation Guides, die Schritt-für-Schritt-Anleitungen für die Implementierung von Steuerungsfamilien auf verschiedenen Plattformen enthalten. Darüber hinaus bietet das Center for Internet Security Basiskonfigurationen für viele Systeme an. Diese Benchmarks können verwendet werden, um ein System anfänglich zu konfigurieren und es im Laufe der Zeit auf die Einhaltung eines bestimmten Satzes von Kontrollen zu überwachen.

In dieser Phase ist es wichtig, nicht nur die Kontrollen, sondern auch die Metriken zu berücksichtigen, die zur genauen Bewertung der Effektivität der Sicherheitsarchitektur erforderlich sind. Das Messen der Baseline-Compliance, der Patch-Kadenz oder der Ergebnisse von Schwachstellen-Scans im Laufe der Zeit kann Ihnen helfen zu verstehen, wo Ihre Architektur effektiv arbeitet und wo sie Aufmerksamkeit erfordert.

ENTDECKEN: So vermeiden Sie Sicherheitsverletzungen in der IT-Abteilung.

5. Überwachung, Anpassung und kontinuierliche Verbesserung der Kontrollen

Schließlich muss eine Organisation die Wirksamkeit ihrer Sicherheitskontrollen im Laufe der Zeit überwachen und bewerten. Die NIST-Sonderveröffentlichung 800-137 bietet eine Anleitung, die die Sicherheitsüberwachung in das Risikomanagement-Framework integriert, und bietet technische, geschäftliche und exekutive Einblicke in die Sicherheitslage. Es beschreibt eine Familie von Tools zur kontinuierlichen Überwachung der Informationssicherheit und ihre wichtigsten Anforderungen.

Die Integration sowohl mit Helpdesk- und Bestandssystemen als auch mit Sicherheitsinformations- und Ereignisverwaltungs- und Protokollaggregationstools ist von entscheidender Bedeutung. Tools, die das Security Content Automation Protocol unterstützen, können SCAP-fähige Endpunkte kontinuierlich überwachen und warnen, wenn sie von einer festgelegten Baseline abweichen.

About the author

vrforumpro

Leave a Comment