Die CIS 18 (Critical Information Security Controls 18) ist ein Satz von Kontrollen, der vom Center for Internet Security (CIS) festgelegt wurde. Dies beschreibt, wie D&M den Schutz gegen Cyber-Bedrohungen umsetzt.
1. Inventarisierung und Kontrolle von Hardware-Assets:
Wir verwalten aktiv (inventarisieren, verfolgen und korrigieren) alle Hardware-Geräte im Netzwerk.
2. Inventarisierung und Kontrolle von Software-Assets:
Wir verwalten aktiv (inventarisieren, verfolgen und korrigieren) alle Software im Netzwerk.
3. Kontinuierliches Schwachstellenmanagement:
Wir erfassen, bewerten und handeln kontinuierlich auf Basis neuer Informationen, um Schwachstellen zu identifizieren, zu beheben und das Zeitfenster für Angreifer zu minimieren.
4. Kontrollierte Nutzung administrativer Berechtigungen:
Wir verfügen über Prozesse und Werkzeuge zur Verfolgung/Kontrolle/Verhinderung/Korrektur der Nutzung, Zuweisung und Konfiguration von administrativen Berechtigungen auf Computern, Netzwerken und Anwendungen.
5. Sichere Konfiguration von Hardware und Software auf Mobilgeräten, Laptops, Workstations und Servern:
Wir haben die Sicherheitskonfiguration von Mobilgeräten, Laptops, Servern und Workstations etabliert, implementiert und aktiv verwaltet (verfolgt, berichtet und korrigiert), indem wir einen strikten Konfigurationsmanagement- und Änderungskontrollprozess einsetzen, um zu verhindern, dass Angreifer anfällige Dienste und Einstellungen ausnutzen.
6. Wartung, Überwachung und Analyse von Audit-Protokollen:
Wir sammeln, verwalten und analysieren Audit-Protokolle von Ereignissen, die dabei helfen können, einen Angriff zu erkennen, zu verstehen oder sich davon zu erholen.
7. Schutz von E-Mail und Webbrowsern:
Wir minimieren die Angriffsfläche und die Möglichkeiten für Angreifer, menschliches Verhalten durch die Interaktion mit Webbrowsern und E-Mail-Systemen zu manipulieren.
8. Malware-Abwehr:
Wir verfügen über Kontrollen zur Verhinderung, Erkennung und Reaktion auf Malware.
9. Einschränkung und Kontrolle von Netzwerkports, Protokollen und Diensten:
Wir verwalten (verfolgen/kontrollieren/korrigieren) den laufenden Betrieb von Ports, Protokollen und Diensten auf vernetzten Geräten, um die für Angreifer verfügbaren Schwachstellenfenster zu minimieren.
10. Datenwiederherstellungsfähigkeiten:
Wir verfügen über Prozesse und Werkzeuge, um kritische Informationen ordnungsgemäß zu sichern, mit einer bewährten Methodik zur zeitgerechten Wiederherstellung dieser Daten.
11. Sichere Konfiguration von Netzwerkgeräten wie Firewalls, Routern und Switches:
Wir haben die Sicherheitskonfiguration von Netzwerkinfrastrukturgeräten etabliert, implementiert und aktiv verwaltet (verfolgt, berichtet und korrigiert), indem wir einen strikten Konfigurationsmanagement- und Änderungskontrollprozess einsetzen, um zu verhindern, dass Angreifer anfällige Dienste und Einstellungen ausnutzen.
12. Perimeter-Abwehr:
Wir haben den Informationsfluss zwischen Netzwerken unterschiedlicher Vertrauensstufen erkannt/verhindert/korrigiert, mit einem Fokus auf sicherheitsgefährdende Daten.
13. Datenschutz:
Wir verfügen über Prozesse und Werkzeuge zur Verhinderung von Datenexfiltration, zur Minderung der Auswirkungen exfiltrierter Daten sowie zur Gewährleistung der Privatsphäre und Integrität sensibler Informationen.
14. Zugangskontrolle auf Basis des Informationsbedarfs:
Wir verfügen über Prozesse und Werkzeuge zur Verfolgung/Kontrolle/Verhinderung/Korrektur des sicheren Zugriffs auf kritische Assets gemäß der formalen Feststellung, welche Personen, Computer und Anwendungen einen Bedarf und ein Recht auf Zugriff auf diese Assets haben, basierend auf einer genehmigten Klassifizierung.
15. Kontrolle des drahtlosen Zugangs:
Wir verfügen über Prozesse und Werkzeuge zur Verfolgung/Kontrolle/Verhinderung/Korrektur der sicherheitsrelevanten Nutzung von drahtlosen lokalen Netzwerken (LANs), Zugangspunkten und drahtlosen Client-Systemen.
16. Kontoüberwachung und -kontrolle:
Wir verwalten aktiv den Lebenszyklus von System- und Anwendungskonten – deren Erstellung, Nutzung, Inaktivität und Löschung – um die Möglichkeiten für Angreifer, diese auszunutzen, zu minimieren.
17. Bewertung von Sicherheitskompetenzen und geeignete Schulungen zur Schließung von Lücken:
Wir verfügen über Prozesse und Werkzeuge, um den Schulungsbedarf der Mitarbeitenden zu ermitteln und entsprechende Schulungen durchzuführen.
18. Reaktion auf Vorfälle und Incident Management:
Wir haben eine Incident-Response-Fähigkeit etabliert und aufrechterhalten.