Die Begriffe Sicherheit und Übereinstimmung werden häufig wie Synonyme verwendet. Es handelt sich jedoch um eindeutige und unterschiedliche Konzepte.
Sicherheit, womit häufig Informationssicherheit gemeint ist, wird in der Regel als ein Satz technischer, physischer und administrativer Kontrollen definiert, die Sie implementieren, um für Vertraulichkeit, Integrität und Verfügbarkeit zu sorgen. Sie sichern beispielsweise einen Host, indem Sie eingrenzen, welche Konten sich bei ihm auf welchen Wegen (SSH, direkte Konsole usw.) anmelden können. Übereinstimmung ist im Gegensatz dazu eine Reihe von Anforderungen, die erforderlich sind, um die minimalen Kontrollen zu erfüllen, die von verschiedenen Vorschriftenrahmen festgelegt wurden und eingeschränkte Leitlinien für jeden spezifischen Technologie-, Anbieter- oder Konfigurationstyp bereitstellen. Zum Beispiel hat die Zahlungskartenbranche (Payment Card Industry, PCI) Sicherheitsrichtlinien festgelegt, damit die Organisationen ihre Kundenkontodaten proaktiv besser schützen können.
Sicherheit verringert das Risiko von Datendiebstahl, Cyberangriffen oder nicht autorisiertem Zugriff, während die Übereinstimmung nachweist, dass eine Sicherheitskontrolle eingerichtet wurde, in der Regel innerhalb eines bestimmten Zeitrahmens. Sicherheit wird hauptsächlich in den Designentscheidungen aufgeführt und zeigt sich in den Technologiekonfigurationen. Übereinstimmung konzentriert sich auf die Zuordnung des Bezugs zwischen Sicherheitskontrollen und spezifischen Anforderungen. Eine Übereinstimmungszuordnung bietet eine zentrale Ansicht zur Auflistung vieler der erforderlichen Sicherheitskontrollen. Diese Kontrollen werden durch die jeweiligen Übereinstimmungsanforderungen der einzelnen Sicherheitskontrollen detaillierter aufgeführt, die von einer Domäne vorgegeben werden, wie NIST, PCI, FedRAMP, HIPAA usw.
Effektive Cybersicherheits- und Übereinstimmungsprogramme basieren auf drei Grundlagen: Mitarbeitern, Prozessen und Technologie. Oft wird fälschlicherweise angenommen, dass Technologie allein ausreicht, um alle Cybersicherheitsbedürfnisse zu erfüllen. Technologie spielt in der Tat eine umfassende und wichtige Rolle bei der Entwicklung und Ausführung eines Informationssicherheitsprogramms. Technologie ohne Prozesse und Verfahren, Sensibilisierung und Schulung führt allerdings zu einer Schwachstelle in Ihrer Organisation.
Beim Definieren Ihrer Sicherheits- und Übereinstimmungsstrategien müssen Sie Folgendes beachten:
- Alle Mitarbeiter benötigen allgemeine Sensibilisierung und Schulung, die IT-Mitarbeiter darüber hinaus spezifische Schulung.
- Der Prozess definiert, wie Aktivitäten, Rollen und Dokumentation in Ihrem Unternehmen verwendet werden, um Risiken zu minimieren. Prozesse sind nur wirksam, wenn die Mitarbeiter sie ordnungsgemäß befolgen.
- Anhand von Technologie können die Auswirkungen eines Cybersicherheitsrisikos für Ihre Organisation verhindert oder reduziert werden. Welche Technologie Sie verwenden, hängt von der Risikoakzeptanzstufe Ihrer Organisation ab.
VMware bietet Compliance-Kits an, die sowohl einen Audit-Leitfaden als auch einen Leitfaden zur Produktanwendbarkeit enthalten und so die Lücke zwischen den Compliance- und gesetzlichen Anforderungen und den Implementierungsleitfäden schließen. Weitere Informationen finden Sie unter https://core.vmware.com/compliance.
Glossar für Übereinstimmungsbegriffe
Übereinstimmung führt bestimmte wichtige Begriffe und Definitionen ein.
Begriff | Definition |
---|---|
CJIS |
Criminal Justice Information Services (Informationsdienst Strafrechtspflege). Im Kontext der Übereinstimmung stellt der CJIS eine Sicherheitsrichtlinie zusammen, die vorgibt, welche Sicherheitsvorkehrungen lokale, bundesstaatliche und nationale Strafrechts- und Vollzugsbehörden treffen müssen, um sensible Informationen wie Fingerabdrücke und Angaben zu Vorstrafen zu schützen. |
DISA STIG |
Defense Information Systems Agency Security Technical Implementation Guide (Verteidigungsinformationssystembehörde – technisches Sicherheitsimplementierungshandbuch). Die Defense Information Systems Agency (DISA) ist die Behörde, die für die Aufrechterhaltung des Sicherheitsstatus der IT-Infrastruktur des Verteidigungsministeriums (Department of Defense, DoD) verantwortlich ist. DISA führt diese Aufgabe durch Entwicklung und Einsatz von Security Technical Implementation Guides (STIGs) aus. |
FedRAMP | Federal Risk and Authorization Management Program (Bundesprogramm für Risiko- und Autorisierungsmanagement). FedRAMP ist ein US-Regierungsprogramm, das einen standardisierten Ansatz für die Sicherheitsbeurteilung, Autorisierung und fortlaufende Überwachung von Cloudprodukten und -services bereitstellt. |
HIPAA |
Health Insurance Portability and Accountability Act (Gesetz zur Übertragbarkeit und Rechenschaftspflicht für Gesundheitsversicherungen). Der HIPAA wurde 1996 vom US-Kongress verabschiedet und legt Folgendes fest:
Dieser letzte Punkt ist für die Dokumentation von vSphere-Sicherheit besonders wichtig. |
NCCoE |
National Cybersecurity Center of Excellence (Nationales Kompetenzzentrum für Cybersicherheit). NCCoE ist eine Organisation der US-Regierung, die Lösungen für Cybersicherheitsprobleme von US-Unternehmen entwickelt und öffentlich bereitstellt. Das Zentrum stellt ein Team aus Mitarbeitern von Cybersicherheit-Technologieunternehmen, anderen Bundesbehörden und Akademikern zusammen, um die einzelnen Probleme zu bearbeiten. |
NIST |
National Institute of Standards and Technology (Nationales Institut für Standards und Technologie). Das NIST ist eine nichtregulatorische Bundesbehörde, die 1901 innerhalb des US-Handelsministeriums gegründet wurde. Das NIST hat die Aufgabe, die Innovation und industrielle Wettbewerbsfähigkeit der USA zu fördern, indem Messtechniken, Standards und Technologie so vorangetrieben werden, dass sie die wirtschaftliche Sicherheit erhöhen und unsere Lebensqualität verbessern. |
PAG |
Product Applicability Guide (Produktanwendbarkeitshandbuch). Ein Dokument, das den Organisationen allgemeine Leitlinien an die Hand gibt, wenn sie die Lösungen eines Unternehmens zur Einhaltung der Übereinstimmungsanforderungen erwägen. |
PCI DSS |
Payment Card Industry Data Security Standard (Datensicherheitsstandard der Zahlungskartenindustrie). Eine Reihe von Sicherheitsstandards, mit denen sichergestellt werden soll, dass alle Unternehmen, die Kreditkarteninformationen annehmen, verarbeiten, speichern oder übertragen, eine sichere Umgebung bereitstellen. |
VVD/VCF-Übereinstimmungslösungen |
VMware Validated Design/VMware Cloud Foundation. Die VMware Validated Designs stellen umfangreiche und umfassend getestete Entwürfe bereit, um ein softwaredefiniertes Datencenter errichten und betreiben zu können. Anhand von VVD/VCF-Übereinstimmungslösungen können Kunden die Übereinstimmungsanforderungen zahlreicher Regierungs- und Branchenbestimmungen erfüllen. |