Compliance und Rechtsrahmen

Richtlinien und Best Practices, die heutige Organisationen beeinflussen.

Entdecken Sie Exposure Command

Inhaltsübersicht

Gartner® Innovation Insight: Attack Surface Management

Laden Sie den Bericht Gartner® Innovation Insight for Attack Surface Management 2024 herunter.

Bericht lesen

Was ist ein Compliance- und Rechtsrahmen?

Compliance- und Rechtsrahmen sind Zusammenstellungen von Richtlinien und Best Practices. Organisationen befolgen diese Richtlinien, um regulatorische Anforderungen zu erfüllen, Prozesse zu verbessern, die Sicherheit zu stärken und andere Geschäftsziele zu erreichen (z. B. die Umwandlung in ein börsennotiertes Unternehmen oder den Verkauf von Cloud-Lösungen an Regierungsbehörden).

Diese Frameworks bieten uns eine gemeinsame Sprache, die vom Serverraum bis zur Chefetage genutzt werden kann. Diese Standards werden genutzt von:

  • Internen Prüfern und anderen internen Stakeholdern, um die in ihrer eigenen Organisation vorhandenen Kontrollen zu evaluieren.
  • Externen Prüfern, um die in einer Organisation vorhandenen Kontrollen zu evaluieren und zu bescheinigen.
  • Dritten (potenziellen Kunden, Investoren usw.), um die potenziellen Risiken einer Partnerschaft mit einer Organisation einzuschätzen.

Die Einhaltung von Vorschriften innerhalb eines regulatorischen Frameworks ist ein fortlaufender Prozess. Ihre Umgebung ändert sich ständig, und die Effektivität einer Maßnahme kann zusammenbrechen. Regelmäßiges Monitoring und Reporting sind unerlässlich, und in jedem Framework wird genau beschrieben, was „regelmäßiges Monitoring“ umfasst.

Hier finden Sie einige der regulatorischen Frameworks, auf die Sie stoßen könnten:

Sarbanes-Oxley (SOX)

  • Warum existiert es? Der Sarbanes-Oxley Act von 2002 wurde verabschiedet, um Betrug zu bekämpfen, nachdem Bilanzskandale bei Enron, WorldCom und Tyco das Vertrauen der Anleger erschüttert hatten. Diese Kontrollen sind für börsennotierte Unternehmen verpflichtend.
  • Wie wirkt es sich auf ein Cybersecurity-Team aus? Es gibt verschiedene Sicherheitsanforderungen für Anwendungen und Systeme, die Finanzdaten verarbeiten. Anforderungen im Bereich des Access Managements, allgemeine IT-Kontrollen (ITGCs) und Kontrollen auf der Entitätsebene müssen möglicherweise vom Informationssicherheit-Team verwaltet werden.
  • Welche Arten von Organisationen nutzen dieses Framework? Börsennotierte Unternehmen oder Unternehmen, die einen möglichen Börsengang (IPO) in Betracht ziehen. 

PCI DSS

  • Warum existiert es? Der Payment Card Industry Data Security Standard (PCI DSS) existiert, um die Sicherheit der Karteninhaberdaten zu schützen. Diese Kontrollen sind für Organisationen, die Kreditkartendaten verarbeiten, verpflichtend. Die Standards bestehen aus mehreren Levels, und das Ausmaß, in dem Ihre Organisation mit Kreditkartendaten interagiert, bestimmt, welches Level an PCI-Compliance Ihre Organisation erreichen muss. Zum Beispiel sind Banken, Händler und Service-Anbieter aufgrund der Art des Geschäfts an höhere Standards gebunden.
  • Wie wirkt es sich auf ein Cybersecurity-Team aus? Abgesehen von der Durchsetzung bestimmter Verfahren und Kontrollen basierend auf Ihrem PCI DSS-Level müssen Sie möglicherweise Fragebögen zur Selbsteinschätzung ausfüllen, vierteljährliche Netzwerkscans durchführen und unabhängige Sicherheitsaudits vor Ort durchführen lassen. 
  • Welche Arten von Organisationen nutzen dieses Framework? Händler, Banken, die Zahlungskarten ausgeben, Prozessoren, Entwickler und andere Anbieter.

NIST

  • Warum existiert es? Im Gegensatz zu SOX ist NIST kein einheitlicher Satz von Kontrollen. NIST, oder das National Institute of Standards and Technology, ist eine US-Bundesbehörde im Handelsministerium, die Bereiche wie Fertigung, Qualitätskontrolle und Sicherheit abdeckt. Diese Behörde arbeitete mit Experten der Sicherheitsbranche, anderen Regierungsbehörden und Akademikern zusammen, um eine Reihe von Kontrollen und Ausgleichsmechanismen zu entwickeln, die Betreibern kritischer Infrastruktur helfen sollen, Cybersecurity-Risiken zu bewältigen. Heute nutzen viele Organisationen die NIST-Richtlinien, um Risiken zu verwalten und zu reduzieren, die ihre Umgebung und ihre Kunden beeinflussen könnten. Im Gegensatz zu einigen anderen Frameworks ist NIST freiwillig, jedoch können Kunden verlangen, dass bestimmte Kontrollen vorhanden sind, bevor sie eine Partnerschaft mit Ihnen eingehen.
  • Wie wirkt es sich auf ein Cybersecurity-Team aus? Wenn Sie dem Informationssicherheits-Team einer Organisation angehören, die NIST nutzt, werden Sie eine bedeutende Rolle bei der Identifizierung, Definition und Durchsetzung der durch den Standard geregelten Kontrollen spielen. Wenn Sie beispielsweise festlegen, wie Ihre Organisation mit Schwachstellenscans umgehen wird, können Sie den Leitlinien in NIST 800-53 Risk Assessment RA 5 folgen, die Best Practices für die Häufigkeit der Scans, die Art der durchzuführenden Scans, den Umgang mit den Ergebnissen dieser Scans und mehr darlegen.
  • Welche Art von Organisationen nutzen dieses Framework? Dies wird in der Regel von großen Unternehmen und Regierungsbehörden genutzt, kann aber für jede Organisation, die an der Bewertung und Reduzierung von Cyberrisiken interessiert ist, ein hilfreicher Rahmen sein.

SSAE-16

  • Warum existiert es? Statement on Standards for Attestation Engagements No. 16 (SSAE-16) überwacht und setzt Kontrollen in Bezug auf Anwendungen und Anwendungsinfrastruktur, die die Finanzberichterstattung beeinflussen. Es umfasst Geschäftsprozesskontrollen und IT-Kontrollen. Service Organization Controls (SOC) 1-Berichte, früher bekannt als SAS 70-Berichte, nutzen das SSAE-16-Framework.
  • Wie wirkt es sich auf ein Cybersecurity-Team aus? Das SSAE-16-Framework skizziert viele allgemeine Best Practices, ist jedoch auch ein verpflichtender Bestandteil des SOX-Compliance-Prozesses. In Organisationen, die unter SOX fallen (wie oben erwähnt, umfasst dies börsennotierte Unternehmen oder Unternehmen, die kurz vor einem Börsengang stehen), müssen bestimmte Stakeholder SOC 1-Berichte für alle Anwendungen prüfen, die als relevant für die SOX-Compliance angesehen werden (in der Regel sind dies Anwendungen, die Finanzdaten verarbeiten). Nachdem die Berichte geprüft wurden, müssen diese Stakeholder entscheiden, ob die Organisation die gemeldeten verbundenen Risiken akzeptieren kann.
  • Welche Art von Organisationen nutzen dieses Framework? Unternehmen, die üblicherweise SOC 1 Reports erhalten, oder Unternehmen, die Anwendungen zur Verarbeitung von Finanzinformationen bereitstellen, die letztendlich die Finanzberichte beeinflussen.

AT-101

  • Warum existiert es? SOC 2-Berichte basieren auf dem AT-101 -Prüfungsstandard. SOC 2-Berichte prüfen das Design oder die Wirksamkeit der Sicherheits-, Verfügbarkeits-, Verarbeitungsintegritäts-, Vertraulichkeits- und/oder Datenschutzkontrollen. Alle SOC 2 Reports müssen Sicherheitskontrollen abdecken. Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und/oder Datenschutzkontrollen sind optionale Prinzipien, die ein Unternehmen einbeziehen kann, wenn diese Kontrollen integraler Bestandteil der Bereitstellung eines Dienstes sind. AT-101 SOC 2 Reports basieren auf den Trust Service Principles, die mit den oben aufgeführten Sicherheitskontrollen verbunden sind.
  • Wie wirkt es sich auf ein Cybersecurity-Team aus? Die Überprüfung von SOC 2 Reports anderer Organisationen kann aufzeigen, wie die Zusammenarbeit mit ihnen Risiken in Ihre Umgebung einführen könnte.
  • Welche Art von Organisationen nutzen dieses Framework? Software-as-a-Service (SaaS)-Anbieter, Cloud-Computing-Unternehmen und andere technologiebezogene Dienstleister erhalten häufig SOC 2-Berichte für ihre Lösungen.

FedRAMP

  • Warum existiert es? FedRAMP ist eine standardisierte Methode für Regierungsbehörden, um die Risiken von Cloud-basierten Lösungen zu bewerten. Es folgt dem Ansatz „einmal machen, mehrfach nutzen“, wodurch bestehende Sicherheitsbewertungen und -pakete in mehreren Behörden wiederverwendet werden können. Da die kontinuierliche Überwachung von Cloud-Produkten und -Diensten im Mittelpunkt des Frameworks steht, kann sie die Echtzeitsicherheitssichtbarkeit für Organisationen verbessern.
  • Wie wirkt es sich auf ein Cybersecurity-Team aus? Wenn Sie in einer Regierungsbehörde arbeiten, werden Sie FedRAMP-Pakete verwenden, um zu entscheiden, ob es sinnvoll ist, bestimmte Cloud-basierte Lösungen einzusetzen.
  • Welche Art von Organisationen nutzen dieses Framework? Cloud-Lösungsanbieter, die an Bundesbehörden verkaufen möchten, müssen den FedRAMP-Zertifizierungsprozess durchlaufen.

ISO (International Organization for Standardization)

  • Warum existiert es? ISO existiert als eine internationale Normenreihe. Innerhalb der ISO gibt es verschiedene Unter-Frameworks, und das Unter-Framework, das für Ihre Organisation/Branche am relevantesten ist, hängt von Ihren Zielen ab. Zum Beispiel würde ein Fertigungsunternehmen wahrscheinlich das Unterframework ISO 9000 verwenden, da die Kontrollen in diesem Framework auf das Qualitätsmanagement ausgerichtet sind. Eine Unternehmen, das seine Prozesse im Bereich der Informationssicherheits-Managementsysteme verbessern möchte, würde von den in ISO 27000 beschriebenen Kontrollen eine nützlichere Anleitung erhalten. Weitere Informationen zu den ISO-Standards und dazu, welche für Ihre Organisation am relevantesten sind, finden Sie auf ISO.org.
  • Wie wirkt es sich auf ein Cybersecurity-Team aus? Ihr Team kann dieses Framework nutzen, um das Qualitätsmanagement und die Sicherheit zu verbessern und darüber Bericht zu erstatten.
  • Welche Arten von Organisationen nutzen dieses Framework? Jede Organisation, ob öffentlich oder privat, könnte dieses Framework verwenden, um das Qualitätsmanagement und die Sicherheit zu verbessern und darüber Bericht zu erstatten.

Privacy Shield (ersetzte US-EU Safe Harbor)

  • Warum existiert es? Der US-EU Safe Harbor wurde geschaffen, um sicherzustellen, dass US-Unternehmen bei der Übermittlung europäischer Daten in die USA die Datenschutzstandards der Europäischen Union einhalten. Es wurde 2015 von einem europäischen Gericht im Zusammenhang mit der Kontroverse um Edward Snowden und die NSA-Leaks für ungültig erklärt. Das Privacy Shield Framework wurde als Ersatz eingeführt. Es existiert, um das Risiko einer Manipulation der Daten während der Übertragung zwischen diesen beiden geografischen Regionen zu schützen oder zu mindern. Es ermöglicht US-Unternehmen, personenbezogene Daten aus der EU leichter zu empfangen, gemäß den EU-Datenschutzgesetzen, die den Schutz europäischer Bürger gewährleisten sollen; dies fördert einen freieren Datenaustausch, was dem Handel zugutekommt.
  • Welche Art von Organisationen nutzen dieses Framework? Organisationen, die personenbezogene Daten zwischen der EU und den USA erfassen, speichern oder verarbeiten. US-Unternehmen können sich selbst bescheinigen, dass sie die EU-Datenschutzstandards einhalten, um die Übertragung europäischer Daten in die USA zu ermöglichen.
  • Wie wirkt es sich auf ein Cybersecurity-Team aus? Ihr Team könnte in den Prozess des Beitritts zum Privacy Shield Framework und der Durchsetzung der damit verbundenen Kontrollen eingebunden sein.

HIPAA/HITECH

  • Warum existiert es? HIPAA/HITECH setzt Sicherheitsmaßnahmen zum Schutz von persönlichen Gesundheitsinformationen (Personal Health Information, PHI) durch.
  • Welche Art von Organisationen nutzen dieses Framework? Jeder, der persönliche Gesundheitsinformationen (PHI) sammelt, speichert oder verarbeitet, einschließlich Krankenhäuser, medizinische Dienstleister und Versicherungsunternehmen.
  • Wie wirkt es sich auf ein Cybersecurity-Team aus? Wenn Sie diese Informationen sammeln, müssen Sie über Kontrollen verfügen, um Datenschutz sicherzustellen.

Dies sind nur einige der Compliance- und Rechtsrahmen, die Ihre Organisation möglicherweise einhalten muss. Die Einhaltung von Compliance ist ein fortlaufender Prozess, aber regelmäßiges Monitoring und Reporting können dazu beitragen, dass die Einhaltung dieser Frameworks (und die Aufrechterhaltung einer sicheren Umgebung) zu einem Standardbestandteil der Geschäftsabläufe wird. 

Erfahren Sie mehr über Vorschriften & Compliance

Compliance: Aktuelles aus dem Blog

Verwandte Themen

Third-Party-Risikomanagement (TPRM)

Governance, Risiko und Compliance
Lesen

Datenschutzgrundverordnung

Governance, Risiko und Compliance
Lesen

Zero-Trust-Sicherheit

Governance, Risiko und Compliance
Lesen

SOC (Service Organization Controls)-Berichte

Governance, Risiko und Compliance
Lesen

Informationssicherheit – Risikomanagement

Governance, Risiko und Compliance
Lesen

Was ist Cybersecurity-Risikomanagement?

Governance, Risiko und Compliance
Lesen

Cloud-Compliance

Governance, Risiko und Compliance
Lesen

CIS Critical Security Controls

Governance, Risiko und Compliance
Lesen

Cloud Risk Management

Governance, Risiko und Compliance
Lesen

Shared Responsibility Model: Modell der gemeinsamen Verantwortung

Governance, Risiko und Compliance
Lesen
Weitere Themen anzeigen Weitere Themen anzeigen