Einhaltung von DEFCON 658

Zusammenfassung

DEFCON 658 ist ein Beschaffungsprotokoll zur Cybersicherheit. Es verlangt, dass sich alle Lieferanten des britischen Verteidigungsministeriums, die sich an Ausschreibungen für neue Verträge beteiligen, die die Übermittlung von MODII beinhalten, an die Vorgaben von DEFCON 658 halten und die in DEFSTAN 05-138 geforderten Standards befolgen müssen. Insbesondere gelten die Vorschriften von DEFCON 658 auch für die Lieferketten (Unterauftragnehmer) der Lieferanten selbst.

Nicht-Einhaltung

DEFCON 658 gilt für alle Lieferanten innerhalb der gesamten Lieferkette des britischen Verteidigungsministeriums, die MODII handhaben. Unternehmen, die die entsprechenden Anforderungen nicht erfüllen, dürfen nicht an Verträgen mit dem Ministerium teilhaben.

Überblick über die Einhaltung der Vorschriften

DEF STAN 05-138 definiert die Vorkehrungen, die Lieferanten des Verteidigungsministeriums ergreifen müssen, je nachdem welcher der insgesamt fünf Stufen des Cyberrisikos der jeweilige Vertrag zugeordnet wird. Dazu gehören, wie unten aufgeführt, verschiedene Kontrollmaßnahmen insbesondere zum Schutz sensibler Daten.

Thales bietet Sicherheitslösungen an, die Sie dabei unterstützen, die angegebenen Maßnahmen umzusetzen. Beachten Sie bitte, dass diese Kontrollmaßnahmen auf Grundlage der mit dem Vertrag assoziierten Risiken (niedrig, mittel, hoch) definiert werden. Die Lösungen von Thales hingegen wenden ähnliche Kontrollen simultan an und sind daher nachstehend zusammengefasst aufgeführt.

Kontrollmaßnahmen

L.07 Definition und Umsetzung einer Richtlinie zur Kontrolle des Zugriffs auf Informationen und informationsverarbeitende Einrichtungen.
M.06 Gewährleistung, dass das Unternehmen die Verantwortlichen für die Datenbestände identifiziert hat und dass diese Verantwortlichen den Zugriff auf die ihnen anvertrauten Datenbestände kontrollieren
L.12 Definition und Umsetzung einer Richtlinie zur Verwaltung der Zugriffsrechte von Benutzerkonten.

Lösungen von Thales

Thales bietet eine umfangreiche Auswahl an Lösungen an, mit denen Unternehmen sich in allen Bereichen, in denen Daten geschützt werden müssen, auf DEFCON 658 vorbereiten und dessen Einhaltung umsetzen können. Das gilt für Daten, die gespeichert, übertragen und verwendet werden. Diese Lösungen beinhalten Folgendes:

• Erkennung und Klassifizierung sensibler Daten
• Zugriffsverwaltung und Authentifizierung
• Verschlüsselung von gespeicherten und übermittelten Daten
• Zertifizierter Schutz kryptographischer Schlüssel
• Tokenisierung mit dynamischer Datenmaskierung

Erfassung und Klassifizierung sensibler Daten

Beim Schutz sensibler Daten muss zunächst in Erfahrung gebracht werden, wo im Unternehmen sich diese Daten befinden. Anschließend müssen diese Daten als sensibel klassifiziert und typisiert werden (z. B. PII, Finanzdaten, IP, HHI, vertrauliche Kundendaten usw.), damit Sie die am besten geeigneten Datenschutztechniken anwenden können. Außerdem ist es wichtig, die Daten regelmäßig zu überwachen und zu bewerten, damit neue Daten nicht übersehen werden und Ihr Unternehmen nicht gegen Bestimmungen verstößt.

CipherTrust Data Discovery and Classification von Thales erkennt schnell und präzise strukturierte sowie unstrukturierte Daten on-premises und in der Cloud. Diese Lösung unterstützt sowohl agentenlose als auch agentenbasierte Bereitstellungsmodelle. Sie verfügt über integrierte Templates, die eine schnelle Identifizierung regulierter Daten ermöglichen, Sicherheitsrisiken sichtbar machen und dazu beitragen, Lücken bei der Einhaltung von Bestimmungen aufzudecken. Ein straffer Workflow zeigt auf, wo die Sicherheitslücken liegen, und reduziert die Zeit, die für deren Behebung aufgewendet werden muss. Detaillierte Berichte unterstützen Compliance-Programme und erleichtern die Kommunikation auf Geschäftsleitungsebene.

Schutz sensibler Data-at-Rest

Trennung von Benutzern mit privilegiertem Zugriff und sensiblen Benutzerdaten

Mit der CipherTrust Data Security Platform können Unternehmen eine starke Aufgabentrennung zwischen privilegierten Administratoren und Dateneigentümern schaffen. CipherTrust Transparent Encryption verschlüsselt Dateien, aber nicht die Metadaten. So können IT-Administratoren – einschließlich Hypervisoren sowie Cloud-, Speicher- und Serveradministratoren – ihre Systemverwaltungsaufgaben erledigen, ohne dass sie Zugriff auf die sensiblen Daten haben, die auf den Systemen gespeichert sind, die sie verwalten.

Trennung administrativer Aufgaben.

Es können strenge Richtlinien zur Aufgabentrennung durchgesetzt werden, um sicherzustellen, dass ein Administrator nicht die vollständige Kontrolle über Datensicherheitsaktivitäten, kryptographische Schlüssel oder die Verwaltung hat. Darüber hinaus unterstützt der CipherTrust Manager Zwei-Faktor-Authentifizierung für Administratorzugriffe.

Engmaschige Kontrolle privilegierter Zugriffe.

Die CipherTrust Data Security Platform kann sehr granulare Zugriffsverwaltungsrichtlinien nach dem Least-Privilege-Prinzip durchsetzen und ermöglicht so den Schutz der Daten vor Missbrauch durch privilegierte Benutzer und APT-Angriffen. Granulare Richtlinien für die Verwaltung des privilegierten Benutzerzugriffs können nach Benutzer, Prozess, Dateityp, Tageszeit und anderen Parametern angewendet werden. Mit den Enforcement-Optionen kann nicht nur die Berechtigung zum Zugriff auf Klartextdaten kontrolliert werden, sondern auch, welche Dateisystembefehle einem Benutzer zur Verfügung stehen.

Leistungsstarke Zugriffsverwaltung und Authentifizierung

Die Zugriffsverwaltungs- und Authentifizierungslösungen von Thales bieten die erforderlichen Sicherheitsmechanismen und Berichtsfunktionen, die Unternehmen für die Einhaltung von Datensicherheitsvorschriften benötigen. Unsere Lösungen schützen sensible Daten, indem Sie geeignete Zugriffskontrollen durchsetzen, sobald Benutzer auf Anwendungen zugreifen, in denen sensible Daten gespeichert sind. Sie unterstützen eine große Bandbreite an Authentifizierungsmethoden sowie richtlinien- und rollenbasierten Zugriff und helfen Unternehmen dabei, das Risiko von Datenschutzverletzungen aufgrund kompromittierter oder gestohlener Zugangsdaten oder deren Missbrauch durch Insider zu senken.

Dank intelligentem Single-Sign-on und Step-up-Authentifizierung können Organisationen die Benutzerfreundlichkeit erhöhen. Endbenutzer müssen sich nur bei Bedarf authentifizieren. Unternehmen können mithilfe umfangreicher Berichtsfunktionen detaillierte Audit-Protokolle aller Zugriffs- und Authentifizierungsereignisse erstellen. So ist die Einhaltung zahlreicher Vorschriften gewährleistet.

Kontrollmaßnahmen

L.10 Definition und Umsetzung einer Informationssicherheitsrichtlinie sowie entsprechender Prozesse und Verfahren.
M.04 Definition und Umsetzung einer Richtlinie für die sichere Speicherung und Handhabung von sowie den sicheren Zugriff auf sensible Daten.

Lösungen von Thales

Detaillierte Sicherheitsrichtlinien. Die CipherTrust Data Security Platform stellt zentrale Kontrollen bereit, die eine kontinuierliche und wiederholbare Verwaltung der Verschlüsselung, Zugriffsrichtlinien und Sicherheitsintelligenz für all ihre strukturierten und unstrukturierten Daten bieten. Sie ist als nach FIPS 140-2 und Common Criteria zertifiziert virtuelle oder physische Appliance erhältlich.

Erweiterbarkeit. Die CipherTrust Data Security Platform basiert auf einer erweiterbaren Infrastruktur und kann individuell bereitgestellt werden. Sie bietet effiziente zentrale Schlüssel- und Richtlinienverwaltung.

Robuste Sicherheit für sensible Daten. Thales trägt durch CipherTrust Transparent Encryption mit integrierter Schlüsselverwaltung für Data-at-Rest, CipherTrust Application Data Protection, CipherTrust Tokenization und weiteren Funktionen zum Schutz sensibler Daten bei. Diese Techniken sorgen dafür, dass die Daten für alle diejenigen unbrauchbar und wertlos sind, die nicht über die entsprechenden Schlüssel verfügen, um sie zu dekodieren.

Kontrollmaßnahmen

L.16 Definition und Umsetzung einer Richtlinie für Incident Management, die Erkennung, Behebung und Wiederherstellung umfassen muss.

Lösungen von Thales

Sicherheitsintelligenz. Die CipherTrust Data Security Platform stellt Sicherheitsintelligenz-Protokolle bereit, die definieren, welche Prozesse und Benutzer anhand welcher Richtlinien Zugriff auf geschützte Daten erhalten und ob Zugriff gewährt oder verwehrt wird. Diese Verwaltungsprotokolle decken sogar auf, wenn ein berechtigter Benutzer einen Befehl wie „Benutzer wechseln“ eingibt, um einen anderen Benutzer zu imitieren und dessen Zugangsdaten möglicherweise unrechtmäßig zu verwenden. Die Weitergabe dieser Protokolle an eine SIEM-Plattform (Security Information and Event Management) hilft dabei, anomale Muster in Prozessen und Benutzerzugriffen aufzudecken, die weitere Untersuchungen erforderlich machen können. Damit ist z. B. gemeint, dass Administratoren plötzlich auf viel größere Datenmengen als gewöhnlich zugreifen oder versuchen, Dateien ohne die entsprechende Berechtigung herunterzuladen. Diese Ereignisse weisen möglicherweise auf einen ATP-Angriff oder böswillige Insideraktivitäten hin.

Kontrollmaßnahmen

M.16 Definition und Umsetzung einer Richtlinie zu Sicherung der Unternehmensdaten, wenn einzelne Mitarbeiter die Beschäftigung in Ihrem Unternehmen beenden.

Lösungen von Thales

Kontrolle der Zugangsberechtigungen und Protokolle zur Sicherheitsintelligenz. Die engmaschigen Zugriffsverwaltungsrichtlinien der CipherTrust Data Security Platform können auf einzelne Benutzer angewandt werden. Außerdem können die Zugriffsrechte widerrufen werden, wenn ein Mitarbeiter das Unternehmen verlässt. Die Protokolle von CipherTrust’s Security Intelligence erfassen alle Vorfälle, bei denen der Zugriff auf sensible Daten verweigert wird.