Essential Cybersecurity Controls (ECC) in Saudi-Arabien

Essential Cybersecurity Controls

Bei der Entwicklung der Essential Cybersecurity Controls wurde der Bedarf an Cybersicherheit aller Unternehmen und Sektoren im Königreich Saudi-Arabien berücksichtigt. Es gibt Mindestanforderungen an die Cybersicherheit, die Unternehmen erfüllen müssen.

Die Kontrollen sollen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten- und Technologiebestände von Unternehmen gewährleisten. Sie beruhen auf den vier Säulen Mitarbeiter, Technologie, Verfahren und Strategie.

Die Essential Cybersecurity Controls sind in fünf Abschnitte unterteilt:

• Governance
• Schutz
• Resilienz
• Drittanbieter- und Cloud-Computing sowie
• ICS-Cybersicherheit.

Die Essential Cybersecurity Controls weisen unter anderem die folgenden Schwerpunkte und Herausforderungen auf:

• Die Cybersicherheitskontrollen stellen die Mindeststandards dar, die „alle Unternehmen und Sektoren im Königreich Saudi-Arabien“ erfüllen müssen.
• Nicht alle Kontrollen gelten für alle Unternehmen. Die Gültigkeit dieses Rahmenwerks hängt von der Art der Geschäftsaktivitäten ab, denen das Unternehmen nachgeht. Zum Beispiel unterliegt ein Unternehmen, das eine in der Cloud gehostete Lösung nutzt, dem Unterabschnitt 4.2, Cloud-Computing und Cybersicherheit von gehosteten Lösungen. Unternehmen wird daher geraten, zu prüfen, ob sie den Bestimmungen der ECC-Kontrollen unterliegen.

Leitfaden von Thales zu den saudi-arabischen ECC

Die Entwicklung der ECC ist ein wesentlicher und bedeutsamer Schritt hin zu einer Verbesserung der Cybersicherheitslage im Königreich Saudi-Arabien. Unternehmen, die diesen Kontrollen unterliegen, können von hochkarätigen Industrielösungen profitieren und bestehende Rahmenwerke wie das Cybersecurity Framework des NIST als Orientierung nutzen.

Thales, ein weltweit führender Anbieter von Cybersicherheitslösungen und -diensten, unterstützt Unternehmen in Saudi-Arabien bei der Einhaltung der Essential Cybersecurity Controls

Der Abschnitt Governance der Cybersicherheitskontrollen

Thales bietet eine Vielzahl an Fachdienstleistungen im Bereich Datenschutz, die Sie effektiv bei Ihren Investitionen und deren erfolgreicher Bereitstellung unterstützen. Zu diesen Diensten gehören:

• Workshops, um sie mit Best Practices, den aktuellsten Sicherheitstrends und -verfahren, dem Umgang mit Governance-Risiken und Compliance sowie der Umsetzung von Datenschutzmaßnahmen vertraut zu machen.
• Strategien und Konzepte zur Identifizierung von Stakeholdern und Zuweisung von Rollen und Aufgaben
• Bereitstellung und Aktivitäten wie Produktschulungen vor Ort sowie Installation und Anpassung der Produkte von Thales.
• Beurteilungen, um Ihr Unternehmen bei der Vorbereitung auf kommende Sicherheitsaudits zu unterstützen und gleichzeitig bestehende Umgebungs- und Geschäftsanforderungen zu prüfen.

Bewährte Sicherheitslösungen

Zur Sicherung der Integrität und der Vertraulichkeit sensibler Daten sowie zu deren Schutz vor Verlust, Beschädigung, unbefugter Vernichtung und unrechtmäßigen Zugriff hat sich eine Kombination aus leistungsstarker Zugriffsverwaltung und Authentifizierung in Kombination mit transparenter Verschlüsselung, integrierter Verwaltung der kryptographischen Schlüssel und Sicherheitsintelligenz bewährt. Thales bietet die folgenden Lösungen an, die Unternehmen bei der Einhaltung der saudi-arabischen Essential Cybersecurity Controls unterstützen.

Datenerkennung und -klassifizierung

Beim Schutz sensibler Daten muss zunächst herausgefunden werden, wo im Unternehmen sich diese Daten befinden. Anschließend müssen diese Daten als sensibel klassifiziert und typisiert werden (z. B. PII, Finanzdaten, IP, HHI, vertrauliche Kundendaten usw.), damit Sie die am besten geeigneten Datenschutztechniken anwenden können. Außerdem ist es wichtig, die Daten regelmäßig zu überwachen und zu bewerten, damit sichergestellt ist, dass keine neuen Daten übersehen werden und Ihr Unternehmen nicht gegen Bestimmungen verstößt.

CipherTrust Data Discovery and Classification von Thales erkennt schnell und präzise strukturierte sowie unstrukturierte Daten on-premises und in der Cloud. Diese Lösung unterstützt sowohl agentenlose als auch agentenbasierte Bereitstellungsmodelle. Sie verfügt über integrierte Templates, die eine schnelle Identifizierung regulierter Daten ermöglichen, Sicherheitsrisiken sichtbar machen und dazu beitragen, Lücken bei der Einhaltung von Bestimmungen aufzudecken. Ein straffer Workflow zeigt auf, wo die Sicherheitslücken liegen und reduziert die Zeit, die für deren Behebung aufgewendet werden muss. Detaillierte Berichte unterstützen Compliance-Programme und erleichtern die Kommunikation auf Geschäftsleitungsebene.

Schutz sensibler Data-at-Rest

Trennung von Benutzern mit privilegiertem Zugriff und sensiblen Benutzerdaten

Mit der CipherTrust Data Security Platform können Unternehmen eine starke Aufgabentrennung zwischen privilegierten Administratoren und Dateneigentümern schaffen. CipherTrust Transparent Encryption verschlüsselt Dateien, aber nicht die Metadaten. So können IT-Administratoren – einschließlich Hypervisoren sowie Cloud-, Speicher- und Serveradministratoren – ihre Systemverwaltungsaufgaben erledigen, ohne dass sie Zugriff auf die sensiblen Daten haben, die auf den Systemen gespeichert sind, die sie verwalten.

Trennung administrativer Aufgaben.

Es können strenge Richtlinien zur Aufgabentrennung durchgesetzt werden, um sicherzustellen, dass ein Administrator nicht die vollständige Kontrolle über Datensicherheitsaktivitäten, kryptographische Schlüssel oder die Verwaltung hat. Darüber hinaus unterstützt der CipherTrust Manager Zwei-Faktor-Authentifizierung für Administratorzugriffe.

Engmaschige Kontrolle privilegierter Zugriffe.

Die CipherTrust Data Security Platform kann sehr granulare Zugriffsverwaltungsrichtlinien nach dem Least-Privilege-Prinzip durchsetzen und ermöglicht so den Schutz der Daten vor Missbrauch durch privilegierte Benutzer und APT-Angriffen. Granulare Richtlinien für die Verwaltung des privilegierten Benutzerzugriffs können nach Benutzer, Prozess, Dateityp, Tageszeit und anderen Parametern angewendet werden. Mit den Erzwingungsoptionen kann nicht nur die Berechtigung zum Zugriff auf Klartextdaten kontrolliert werden, sondern auch, welche Dateisystembefehle einem Benutzer zur Verfügung stehen.

Leistungsstarke Zugriffsverwaltung und Authentifizierung

Die Zugriffsverwaltungs- und Authentifizierungslösungen von Thales bieten die erforderlichen Sicherheitsmechanismen und Berichtsfunktionen, die Unternehmen für die Einhaltung von Datensicherheitsvorschriften benötigen. Unsere Lösungen schützen sensible Daten, indem Sie geeignete Zugriffskontrollen durchsetzen, sobald Benutzer auf Anwendungen zugreifen, in denen sensible Daten gespeichert sind. Sie unterstützen eine große Bandbreite an Authentifizierungsmethoden sowie richtlinien- und rollenbasierten Zugriff und helfen Unternehmen dabei, das Risiko von Datenschutzverletzungen aufgrund kompromittierter oder gestohlener Zugangsdaten oder deren Missbrauch durch Insider zu senken.

Dank intelligentem Single-Sign-on und Step-up-Authentifizierung können Organisationen die Benutzerfreundlichkeit erhöhen. Endbenutzer müssen sich nur bei Bedarf authentifizieren. Unternehmen können mithilfe umfangreicher Berichtsfunktionen detaillierte Audit-Protokolle aller Zugriffs- und Authentifizierungsereignisse erstellen. So ist die Einhaltung zahlreicher Vorschriften gewährleistet.

Schutz sensibler Data-in-Motion

Die High Speed Encryptors (HSEs) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Layer 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet. Mit unseren HSE-Lösungen können Kunden Daten, Videos, Sprach- und Metadaten besser vor Lauschangriffen, Überwachung und offenem und verborgenen Abfangen schützen.