Wie kann ich SOC- und NIST 800-53-Richtlinien und -Verfahren erstellen?

Suchen Sie nach Tipps zur Vorbereitung auf ein SOC 2 Audit? Fragen Sie sich, was die neuen Kontrollen in ISO 27001:2002 sind? Sind Sie nicht sicher, ob Sie ein Audit benötigen, um HIPAA-konform zu sein?

Unsere Secureframe Sprechstunden | Fragen Sie einen Experten Serie ist als offenes Forum konzipiert, in dem Teilnehmer ihre Fragen zu Sicherheit, Datenschutz und Compliance von einem unserer internen Compliance-Experten oder Audit-Partner beantworten lassen und hören können, was andere Startup-Leiter und Sicherheitsexperten denken und fragen.

Die vierte Sitzung, die am Donnerstag, den 8. Dezember stattfand, wurde von Cavan Leung, CISSP, CISA, CCSK geleitet. Cavan ist ein ehemaliger Auditor mit über acht Jahren Erfahrung darin, Unternehmen zu helfen, ihre Sicherheitslage zu verbessern. Cavan hilft nun Secureframe-Kunden, Compliance gemäß Rahmenwerken wie SOC 2, GDPR, CCPA, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, ISO 9001 und anderen zu erreichen.

Während der 30-minütigen Live Q&A beantwortete Cavan Fragen zu Themen, die von SOC Audits bis zur HIPAA-Compliance reichten. Wenn Sie es verpasst haben, fassen wir seine Antworten unten zusammen.

1. Wie kann ich meine SOC 2 Audit-Vorbereitung beschleunigen?

Cavan: Die einfache Antwort darauf ist Automatisierung. Compliance-Automatisierungstools beschleunigen den Prozess, SOC 2-konform zu werden. Vertrauen Sie auch Ihren Experten, egal ob Sie externe Berater engagieren, um Ihnen bei der Implementierung von SOC 2-Prozessen und -Kontrollen zu helfen, oder eine Plattform nutzen, die Compliance-Expertise bietet.

Es gibt viele Compliance-Automatisierungstools, aber der Vorteil von Secureframe ist, dass es alles in einem ist. Sie haben einen dedizierten Compliance-Manager für vollständige Unterstützung bei jedem Schritt des SOC 2-Compliance-Prozesses. Sie haben kontinuierliche Überwachung. Sie haben die genauen Kontrollen und Anforderungen, die vorhanden sein müssen. Die gesamte Plattform ist einfach zu bedienen und führt Sie durch den gesamten Prozess.

Wenn Sie kein automatisiertes Tool verwenden oder keinen Experten konsultieren, ist Selbstbildung der Schlüssel. Sie müssen die Anforderungen von SOC 2 verstehen und Wege finden, den Implementierungsprozess für Kontrollen zu beschleunigen, um sicherzustellen, dass Sie bereit für ein externes Audit sind.

2. Was ist der Unterschied zwischen Richtlinien und Verfahren? Außerdem, wenn ein Unternehmen sowohl SOC als auch NIST 800-53 verfolgt, ist es besser, NIST-basierte Richtlinien zu haben und diese auf SOC anzuwenden oder SOC-basierte Richtlinien und diese auf NIST anzuwenden?

Cavan: Jedes Unternehmen sollte eine Reihe von Informationssicherheitsrichtlinien haben. Der Unterschied zwischen Richtlinien und Verfahren besteht allgemein darin, dass Richtlinien im Allgemeinen eine Reihe von Richtlinien oder Regeln sind, denen das Unternehmenspersonal folgen muss (das „Was“). Verfahren sind typischerweise die Schritt-für-Schritt-Anweisungen, wie genau diese Richtlinien oder Regeln erreicht werden können (das „Wie“).

Unsere Secureframe-Plattform bietet Informationssicherheitsrichtlinien, die auf Rahmenwerke anwendbar sind. Unabhängig davon, ob Sie SOC 2, NIST oder beides verwenden, sind unsere Informationssicherheitsrichtlinien anwendbar.

Wenn Sie SOC 2 erwerben, erhalten Sie die Infosec-Richtlinien, die erforderlich sind, um die SOC-2-Kriterien zu erfüllen. Wenn Sie NIST erwerben, erhalten Sie den Kernsatz von Infosec-Richtlinien und die zusätzlichen Vorlagen, die Sie benötigen, um die Verfahrensanforderungen zu erfüllen.

3. Was sind die zusätzlichen Kontrollen, die für das ISO 27001-Update erforderlich sind?

Cavan: Es gibt 11 neue Anhang A-Kontrollen für ISO 27001:2022. Die meisten, wenn nicht alle dieser Kontrollen waren bereits implizit in ISO 27001:2013 enthalten. In der neueren Version wurden sie als individuelle Kontrollen aufgeführt, um mehr Klarheit, Transparenz und Intuitivität zu bieten.

Ein Beispiel für eine neue Kontrolle ist das Konfigurationsmanagement - also die Sicherstellung, dass wenn Sie Ihre Cloud-Infrastruktur konfigurieren, diese durch entsprechende Änderungsmanagementprozesse geht. Das war bereits Teil einer bestehenden Kontrolle der Version von 2013, aber sie wurde in der Version von 2022 getrennt, um sie klarer zu machen.

Weitere Kontrollen umfassen Überwachungsaktivitäten, die die meisten Organisationen beispielsweise im Rahmen der Überwachung ihrer Cloud-Infrastruktur durchführen. Eine weitere ist Bedrohungsaufklärung, um sicherzustellen, dass Sie die Fähigkeit haben, Bedrohungen und Schwachstellen zu überwachen.

Im Folgenden sind alle 11 neuen Kontrollen aufgeführt:

1. Bedrohungsaufklärung: Informationen zu Informationssicherheitsbedrohungen werden gesammelt und analysiert, um Bedrohungsaufklärung zu erzeugen.
2. Informationssicherheit für die Nutzung von Cloud-Diensten: Prozesse für Erwerb, Nutzung, Verwaltung und Beendigung von Cloud-Diensten werden gemäß den Informationssicherheitsanforderungen der Organisation etabliert.
3. IKT-Geschäftskontinuität (Informations- und Kommunikationstechnologie): Die IKT-Bereitschaft wird basierend auf Geschäftskontinuitätszielen und IKT-Kontinuitätsanforderungen geplant, implementiert, gewartet und getestet.
4. Physische Sicherheitsüberwachung: Räumlichkeiten werden kontinuierlich auf unbefugten physischen Zugriff überwacht.
5. Konfigurationsmanagement: Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken werden etabliert, dokumentiert, implementiert, überwacht und überprüft.
6. Informationslöschung: Informationen, die in Informationssystemen, Geräten oder anderen Speichermedien gespeichert sind, werden gelöscht, wenn sie nicht mehr benötigt werden.
7. Datenausblendung: Datenausblendung wird in Übereinstimmung mit den themenspezifischen Richtlinien der Organisation zu Zugangskontrolle und anderen themenspezifischen Richtlinien sowie den geschäftlichen Anforderungen unter Berücksichtigung der geltenden Gesetzgebung verwendet.
8. Verhinderung von Datenlecks: Maßnahmen zur Verhinderung von Datenlecks werden auf Systeme, Netzwerke und andere Geräte angewendet, die sensible Informationen verarbeiten, speichern oder übertragen.
9. Überwachungsaktivitäten: Netzwerke, Systeme und Anwendungen werden auf anomales Verhalten überwacht und geeignete Maßnahmen ergriffen, um potenzielle Informationssicherheitsvorfälle zu bewerten.
10. Webfilterung: Der Zugriff auf externe Webseiten wird verwaltet, um die Exposition gegenüber bösartigen Inhalten zu verringern.
11. Sicheres Codieren: Sichere Codierungsprinzipien werden bei der Softwareentwicklung angewendet.

4. Was ist die beste Vorgehensweise, wenn man überlegt, Sicherheitsrichtlinien hinzuzufügen?

Cavan: Sie müssen wissen, was Sie dazu veranlasst, neue Sicherheitsrichtlinien zu erstellen. Möglicherweise versuchen Sie, die Anforderungen bestimmter Compliance-Rahmenwerke zu erfüllen. Oder vielleicht verlangt ein Kunde, dass bestimmte Richtlinien vorhanden sind, bevor ein Geschäft zustande kommen kann.

Sobald Sie das „Warum“ der Umsetzung neuer Richtlinien verstanden haben, müssen Sie bewerten, welche Richtlinien Sie bereits in Kraft haben und dann neue Abschnitte oder Formulierungen in Ihre bestehenden Richtlinien aufnehmen oder neue Richtlinien erstellen. Auf diese Weise vermeiden Sie redundante oder widersprüchliche Formulierungen in Ihren Informationssicherheitsrichtlinien.

5. Wonach suchen die meisten Startups in Bezug auf Audit-Zertifizierungen und Compliance?

Cavan: Wenn Sie hauptsächlich in Nordamerika tätig sind, ist das beliebteste Compliance-Rahmenwerk SOC 2. Im Wesentlichen ist SOC 2 eine Reihe von Informationssicherheitsanforderungen, die eine Organisation erfüllen muss. Es ist ein Attest, keine Zertifizierung. Das bedeutet, dass ein externer Prüfer erforderlich ist, um Sie anhand der SOC 2-Anforderungen zu prüfen. Sobald der Prüfer fertig ist, gibt er eine Einschätzung darüber ab, ob Ihre Kontrollen effektiv und zuverlässig gestaltet und betrieben werden. Deshalb wird es als Attest bezeichnet: Es ist eine Meinung einer Wirtschaftsprüfungsgesellschaft darüber, ob Sie SOC 2-konform sind oder nicht.

Außerhalb Nordamerikas ist das beliebteste Compliance-Rahmenwerk ISO 27001. Es ist weltweit anerkannt. Im Gegensatz zu SOC 2 ist ISO 27001 eine Zertifizierung. Das bedeutet, dass Sie nach einer externen Prüfung durch eine akkreditierte ISO-Prüfstelle ein Zertifikat erhalten, das besagt, dass Ihre Organisation ein ISMS eingerichtet hat und die Anforderungen von ISO 27001 erfüllt.

Das ist der Hauptunterschied zwischen den beiden aus geschäftlicher und prüfungstechnischer Sicht.

6. Wer kann eine HIPAA-Prüfung durchführen und wie sieht dieser Prozess aus?

Cavan: HIPAA ist ein Gesetz. Wann immer Sie PHI verarbeiten, sei es als Covered Entity (wie ein Krankenhaus oder eine Klinik) oder als Geschäftspartner (wie ein Anbieter eines Krankenhauses, der PHI in dessen Auftrag verarbeitet), müssen Sie das HIPAA-Gesetz befolgen. Es gibt keine offizielle Zertifizierung für HIPAA. Viele Unternehmen führen eine externe HIPAA-Prüfung durch, um die zusätzliche Sicherheit zu bekommen, dass sie das Gesetz so einhalten, wie sie sollten, aber Sie müssen keine externe Prüfung durchführen, um HIPAA-konform zu sein.

Viele Prüfungsunternehmen bieten ein Bündel für mehrere Rahmenwerke an, wie zum Beispiel SOC 2 und HIPAA. Wenn eine Organisation bereits eine SOC-Prüfung durchführt, wird sie oft auch für HIPAA geprüft, um zusätzliche Sicherheit zu erhalten.

7. Mein Unternehmen stellt Software für Finanzinstitute bereit und wir streben zum ersten Mal eine SOC 2-Zertifizierung an. Was benötigt unser Informationssicherheitsprogramm für SOC 2 im Vergleich zur NIST-Zertifizierung?

Cavan: Das hängt letztendlich von der Nachfrage Ihrer Geschäftspartner und Kunden ab. SOC 2 ist großartig. Es ist ein allgemeines Informationssicherheitsrahmenwerk, das für viele Arten von Organisationen anwendbar ist. Abhängig davon, welcher NIST — es gibt NIST CSF, NIST 800-53 und andere — sie sind mehr auf den föderalen Bereich zugeschnitten. Wenn Sie also mit Bundesbehörden zusammenarbeiten, würde die Nachfrage Sie zu NIST oder FedRAMP führen. Daher würde ich Ihnen empfehlen, dies aus der Perspektive der Nachfrage zu betrachten. Wenn Kunden oder Geschäftspartner SOC 2 anfordern, dann holen Sie sich SOC 2. Wenn sie NIST 800-53 verlangen, dann holen Sie sich das.

Wenn Sie ein Informationssicherheits-Compliance-Programm nur so implementieren und verfolgen möchten — und das sollte jede Organisation unabhängig von der Nachfrage tun — sind SOC 2 und NIST CSF beide großartige Ausgangspunkte. Beide Rahmenwerke beinhalten allgemeine, hochrangige Informationssicherheitskontrollen und -prozesse, die in vielen Branchen funktionieren. Sobald Sie diese etabliert haben, können Sie spezifischere und detailliertere Kontrollen für ein Rahmenwerk wie FedRAMP aufbauen.

Zum Beispiel gibt es bei SOC 2 die Anforderung, eine Authentifizierungskontrolle zu haben, wie eine eindeutige Benutzer-ID und ein Passwort oder SSH-Schlüssel. In einem detaillierteren Rahmenwerk wie FedRAMP gibt es spezifischere Kontrollen, wie die Authentifizierung über ein Passwort mit mindestens 8 Zeichen und einer bestimmten Komplexität.

8. Welche Qualifikationen sollte eine Prüfungsfirma haben?

Cavan: Allgemein gesagt, hängt es vom Rahmenwerk ab. Zum Beispiel verlangt ISO 27001, dass eine Prüfungsfirma akkreditiert ist, bevor sie ISO-Prüfungen durchführen kann. SOC 2 verlangt, dass eine Prüfungsfirma die Regeln und Richtlinien der AICPA befolgt. Ein Wirtschaftsprüfer muss auch die Meinung abgeben. PCI erfordert einen QSA zur Durchführung der Prüfung. Unterschiedliche Rahmenwerke haben also unterschiedliche Richtlinien oder Qualifikationen für Prüfer.

Bevor Sie sich für eine Prüfungsfirma entscheiden, sollten Sie recherchieren, ob diese akkreditiert ist oder einem Aufsichtsorgan wie der AICPA oder anderen notwendigen Richtlinien folgt.

Sie sollten auch Erfahrung, Ruf, Kosten, Portfolio-Kunden und deren Fähigkeit, die Erwartungen bezüglich des Zeitrahmens für die Durchführung der Prüfung zu erfüllen, berücksichtigen.

Bleiben Sie dran für die nächsten Secureframe Office Hours | Fragen Sie einen Experten

Wir werden auch 2023 regelmäßig Secureframe Office Hours veranstalten. Bleiben Sie dran für Updates.