CIS-Steuerung 3 für den Datenschutz

Das CIS (Center for Internet Security), das sich aus zahlreichen Branchenexperten und führenden Köpfen von Regierungsbehörden zusammensetzt, verfügt über einen Satz von 18 universellen, branchenunabhängigen Richtlinien bzw. „kritischen Sicherheitskontrollen“, die Organisationen zur Cyberabwehr implementieren, pflegen und durchsetzen sollten.

Dieser Artikel betrifft CIS-Kontrolle 3 – eine der sechs wichtigsten Kontrollen, die das CIS als „Basiskontrolle“ betrachtet.

Datenschutz vs. Datenverschlüsselung

Unternehmensdaten sind nicht mehr auf physische Umgebungen beschränkt, sondern existieren vor Ort, in der Cloud und in Hybridumgebungen – und werden häufig an externe Online-Partner oder -Dienste weitergegeben. Persönliche und sensible Informationen wie Kundendaten, Finanzdaten, Gesundheitsdaten, IP und mehr sind stark reguliert durch Datenschutz- und Schutzgesetze und Standards.

Datenschutz bedeutet nicht nur Datenverschlüsselung. Um die Anforderungen an Schutz und Privatsphäre zu erfüllen, müssen Unternehmen über traditionelle Cybersicherheitsmethoden hinausblicken und sich auf die ordnungsgemäße Datenerfassung, -nutzung, Management, Selbstbehaltund mehr. Sie müssen die Daten während ihres gesamten Lebenszyklus ordnungsgemäß verwalten.

CIS Control 3 Sicherheitsvorkehrungen

1. Etablieren und pflegen Sie einen Datenmanagementprozess
   — Sicherheitsfunktion: Identifizieren
   Diese Prozesse müssen die Sensibilitätsstufen der Daten ansprechen, wem gehören die Daten, Grenzwerte für die Datenaufbewahrungund Datenentsorgung für eine Organisation auf der Grundlage der Vertraulichkeit.
2. Erstellen und pflegen Sie ein Dateninventar
   — Sicherheitsfunktion: Identifizieren
   Bei der Bestandsaufnahme müssen sensible Daten im Vordergrund stehen.
3. Konfigurieren von Datenzugriffskontrolllisten
   — Sicherheitsfunktion: Schützen
   Stellen Sie sicher, dass jeder Benutzer Zugriffsberechtigungen für die Systeme, Datenbanken und Anwendungen, die sie für ihre Arbeit benötigen – und nicht mehr.
4. Erzwingen Sie die Datenaufbewahrung
   — Sicherheitsfunktion: Schützen
   Definieren und erzwingen Sie die Aufbewahrung sowohl für Mindest- als auch für Höchstzeiträume.
5. Daten sicher entsorgen
   — Sicherheitsfunktion: Schützen
   Definieren und erzwingen Sie die Datenentsorgung entsprechend der Vertraulichkeitsstufe.
6. Daten auf Endbenutzergeräten verschlüsseln
   — Sicherheitsfunktion: Schützen
   Reduzieren Sie das Risiko eines Datenverlusts auf gestohlenen oder kompromittierten Geräten, indem Sie die Daten verschlüsseln.
7. Erstellen und pflegen Sie ein Datenklassifizierungsschema
   — Sicherheitsfunktion: Identifizieren
   Definieren und pflegen Sie eine Sensitivitätsbasiertes Klassifizierungsframework, Klassifizierung von Daten nach Etiketten die für das Unternehmen relevant sind. CIS empfiehlt beispielsweise „vertraulich“, „sensibel“ und „öffentlich“.
8. Dokumentdatenflüsse
   — Sicherheitsfunktion: Identifizieren
   Bilden Sie den Datenfluss innerhalb einer Organisation ab, um die Daten noch besser zu schützen.
9. Daten auf Wechselmedien verschlüsseln
   — Sicherheitsfunktion: Schützen
   Bei Wechselmedien besteht ein höheres Risiko für Datenverlust durch Diebstahl oder Missbrauch.
10. Verschlüsseln Sie vertrauliche Daten während der Übertragung
    — Sicherheitsfunktion: Schützen
    Verschlüsseln Sie Daten während der Übertragung und stellen Sie sicher, dass die Verschlüsselung ordnungsgemäß authentifiziert ist.
11. Verschlüsseln Sie sensible Daten im Ruhezustand
    — Sicherheitsfunktion: Schützen
    Setzen Sie mindestens eine serverseitige Verschlüsselung ein und fügen Sie zusätzlich eine clientseitige Verschlüsselung hinzu.
12. Segmentieren Sie die Datenverarbeitung und -speicherung basierend auf der Sensibilität
    — Sicherheitsfunktion: Schützen
    Stellen Sie sicher, dass Daten nur entsprechend ihrer Sensibilität verarbeitet und gespeichert werden
13. Implementieren Sie eine Lösung zur Verhinderung von Datenverlust
    — Sicherheitsfunktion: Schützen
    Schützen Sie sich vor Datenverlust, indem Sie automatisierte Tools wie ein hostbasiertes DLP-Tool (Data Loss Prevention) verwenden.
14. Protokollieren Sie den Zugriff auf vertrauliche Daten
    — Sicherheitsfunktion: Erkennen
    Führen Sie Aufzeichnungen über den Zugriff auf vertrauliche Daten, um im Falle einer Sicherheitsverletzung die Reaktion auf Vorfälle zu vereinfachen.

Komponenten der CIS-Kontrollen – und Compliance

CIS Control 3 verfügt über Komponenten, die sich direkt auf die Einhaltung einer Reihe von Schutz- und Datenschutzbestimmungen auswirken, einschließlich, aber nicht beschränkt auf:

• HIPAA
• FISMA
• PCI DSS
• NIST 800-53

Organisationen, die CIS-Kontrollen implementieren, sind in einer besseren Position, die Einhaltung dieser Vorschriften zu gewährleisten. Die NIST-Rahmenwerk für Cybersicherheit, das auch Richtlinien für Unternehmen bereitstellt, die ihre Sicherheitslage stärken möchten, stimmt auch mit vielen der CIS CSC-Komponenten überein.

BigID, Datensicherheit und CIS Control 3

Um die Sicherheitsvorkehrungen von CIS Control 3 zu erfüllen, müssen Unternehmen ihre Daten entsprechend ihrer Sensibilität verstehen – und diese Fähigkeit kommt nur mit Kenntnis Ihrer Daten – ermöglicht vollständige Transparenz in persönliche, sensible und kritische Daten, wo immer sie vorhanden sind, in der Cloud oder vor Ort.

Mit BigIDs fortgeschrittene Klassifizierungstechniken und Abdeckung können Unternehmen ein genaues, umfassendes und aktuelles Inventar aller Datenbestände erstellen, egal wo diese vorhanden sind – in der Cloud oder vor Ort.

BigID identifiziert automatisch ungenutzte, doppelte, ähnliche oder redundante Daten, um unerwünschte Offenlegung zu reduzieren und den Datenverkehr zu minimieren. Mit zusätzlichen Apps für Zugriff auf Informationen, Datenaufbewahrung, Datenbereinigungund Verzeichnis der Verarbeitungstätigkeiten (RoPA)können Organisationen:

• Erkennen Sie anfällige, risikoreiche und übermäßig exponierte Daten
• Aktivieren Sie Aufbewahrungsrichtlinien und Geschäftsregeln – und wenden Sie diese konsistent auf alle Datentypen und -quellen an
• Priorisieren Sie die Sanierungsmaßnahmen, um zu ermitteln, welche Daten zur Entfernung markiert werden müssen
• Automatisieren Sie die Generierung von Datenflüssen, die Datenübertragungen umfassen

Darüber hinaus ermöglicht BigID Teams die Orchestrierung von Workflows, sodass die richtigen Personen die richtigen Maßnahmen für die richtigen Daten ergreifen können. Übernehmen Sie die Kontrolle und markieren Sie Daten zur Verschlüsselung, Behebung, Entfernung und mehr mit BigID und seinem Ökosystem aus Integrationen mit Tools aus Ihrem gesamten Technologie-Stack.

Erfahren Sie mehr darüber, wie BigID Unternehmen beim Datenschutz gemäß den CIS Controls unterstützt. Planen Sie noch heute eine Demo.

Autor

BigID

Lernen Sie das Autorenkollektiv von BigID kennen, ein vielfältiges Team aus Produktvermarktern, Fachexperten und Textern, die sich mit Datenschutz, Sicherheit und Governance bestens auskennen. Unser kollaborativer Ansatz nutzt eine Fülle von Branchenkenntnissen, um aufschlussreiche und informative Inhalte zu erstellen und sicherzustellen, dass Sie in dieser sich ständig weiterentwickelnden Landschaft informiert bleiben.