Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Erläuterung der EU-Compliance-Mandate

Illumio Editorial
Illumio Editorial
19Mai 2020
23 min. lesen

Compliance, Compliance, Sicherheit, sicher? Theoretisch geben die Mandate, die die Branchen regeln, in denen wir arbeiten und mit denen wir arbeiten, eine Orientierung und definieren Rahmenbedingungen, die darauf abzielen, Leitplanken für die anwendbaren Formen der Sicherheit – Cyber oder anderweitig – zu schaffen.


Dies kann zu unterschiedlichen Ansichten, zu einer Dichotomie bei der Auslegung – oder zumindest zu einem Diskussionspunkt über die Anwendung der Details des Mandats – führen. Wir haben wahrscheinlich alle den Begriff "Tick-Box-Übung" gehört, wenn es um Compliance geht, entweder als eine Möglichkeit, es nicht zu behandeln, oder als wegwerfender, augenzwinkernder Kommentar von leidgeprüften Fachleuten, die daran gearbeitet haben, die verschiedenen Compliance-Mandate umzusetzen, die für ihre jeweilige Branche oder Region gelten.


Ich habe eine persönliche Meinung, die durch einige der oben genannten Erfahrungen und durch die enge Zusammenarbeit mit Organisationen und Einzelpersonen geprägt wurde, die viel Zeit damit verbracht haben, über Compliance-Rahmenwerke nachzudenken. Oft habe ich festgestellt, dass die praktische Anwendung der Einhaltung von Vorschriften einfacher, unkomplizierter und weniger komplex ist, indem man im "Geist" des Mandats arbeitet und nicht in den trockenen, technischen Details. Natürlich sind die Details je nach Compliance-Typ mehr oder weniger wichtig, aber oft ist es wichtig, den Text zu durchschauen, um zur "Bedeutung" eines bestimmten Steuerelements zu gelangen. Die Absicht hinter der Regel und was das für eine Erhöhung oder Verbesserung der Sicherheit bedeutet, ist meine bevorzugte Methode, dies zu handhaben.


Im Kern, und in Bezug auf meinen früheren Kommentar, ist Compliance wirklich dazu da, ein grundlegendes Sicherheitsniveau oder eine allgemeine Verbesserung der Haltung zu gewährleisten und die Möglichkeit zu bieten, diese Haltung zuverlässig zu überprüfen.


Als Vorbehalt dazu gibt es Unterschiede in den spezifischen Details, die die gegebenen Mandate zum Ausdruck bringen. So bietet PCI DSS beispielsweise spezifische Details zur Protokollierung und Dateiüberwachung, während die NIS-Richtlinie (die EU-spezifisch ist) eine weitaus breitere Anleitung und mehr Unterschiede auf lokaler Ebene pro Land bietet.


In ähnlicher Weise kann meine Erfahrung mit der Interpretation eines Auditors oder einer Auditoreninstanz oft damit übereinstimmen – ein guter Auditor wird mehr auf Absicht und Wirksamkeit achten als nur auf die technischen Details. Dies hängt natürlich direkt damit zusammen, wie spezifisch das Mandat ist (wie oben), und das ist nur meine eigene direkte Erfahrung.


Sie fragen sich vielleicht, wo Illumio hineinpasst? Die Gemeinsamkeit unseres Unternehmens und der oben genannten Leitungsgremien besteht darin, dass alle das gemeinsame Ziel haben, hochwertige Vermögenswerte und Daten zu schützen. Alle Compliance-Mandate, die wir für Daten, Cybersicherheitspraktiken und in einigen kritischen Infrastrukturen sehen, haben eine gemeinsame Argumentation. Der Schutz von Daten oder der Systeme, die diese Daten verarbeiten und übertragen – seien es Kreditkarteninformationen, personenbezogene Daten (PII), Zahlungsaufzeichnungen, Asset-Daten oder die Kontrollsysteme für diese und andere – steht im Mittelpunkt jedes Compliance-Mandats. Allerdings hat dieser Schutz immer einen Aspekt der Trennung oder Mikrosegmentierung. Das Ziel: die Angriffsfläche, den Explosionsradius einer Kompromittierung zu begrenzen oder sich für ein vollständiges Zero-Trust-Modell für Zugriff und Konnektivität zu entscheiden, um die kritischen Systeme und Daten in irgendeiner Form von den Bereichen mit niedrigerer Priorität/weniger kritischer Bedeutung fernzuhalten.

Illumio Screenshot


Zu diesem Zweck konzentriert sich diese Blogserie darauf, die Details der verschiedenen Compliance-Bereiche zu durchforsten, wobei – entscheidend – ein Kontrapunkt zu jedem Blogbeitrag eines erfahrenen, externen Fachmanns in diesem Bereich gesetzt wird. Dies hilft bei der Färbung meines eigenen Kommentars, ermöglicht aber auch einige spezifische Details über die unterschiedliche Art und Weise, wie jedes Mandat auf Regierungs- oder Drittebene interpretiert und geprüft werden kann (einschließlich des Inputs der Prüfer selbst).


Vielen Dank im Voraus an alle, die dazu beigetragen haben!


Wir konzentrieren uns in erster Linie auf EU-/EU-spezifische Compliance-Mandate, da diese sich erheblich von denen für die Vereinigten Staaten unterscheiden können. Daher werde ich nicht im Detail auf Mandate wie HIPAA, NIST und Sarbanes-Oxley eingehen. Auch die PCI-DSS-Seite lasse ich in Ruhe, da wir hier bei Illumio bereits wichtige Informationen zur PCI-Konformität haben.


Damit werden die in dieser Reihe behandelten Bereiche in einige ähnliche Regierungsbereiche gruppiert:

Kritische Infrastrukturen – NIS-Richtlinie, LPM
In diesem Blogbeitrag geht es um die relativ neue NIS-Richtlinie (Netz- und Informationssystemrichtlinie), wie sie für die EU-Länder gilt. Dies ist aufgrund seines breiten Aufgabenbereichs, seines Bezugs zur DSGVO und seiner relativ offenen und lokalen Auslegung ein interessantes Mandat. In diesem Beitrag wird auch ausführlich über den offeneren Charakter der NIS-Richtlinie berichtet. Leitlinien anstelle von vorgeschriebenen Kontrollen, was mit den früheren Punkten in diesem Beitrag über die Absicht der Einhaltung und ihrer Umsetzung zusammenhängt.

Ebenfalls damit verbunden und in die Schaffung der NIS-Richtlinie eingeflossen ist das französische Gesetz zum Schutz kritischer Informationsinfrastrukturen (LPM) – ein ausgereifteres Mandat für kritische Infrastrukturen mit einigen interessanten Kontrollen.

Finanzen/Zahlungsverkehr – SWIFT, EZB SIPS
Hier behandeln wir die Finanzmandate, SWIFT, eines der ersten, zu dessen Schutz die Illumio-Plattform eingesetzt wurde, und die EU-spezifischen SIPS-Compliance-Leitlinien der EZB (European Central Bank – Systematic Important Payment Systems).

Datenverarbeitung – ISO 27001, DSGVO
In diesem Beitrag werden wir uns mit Data Governance und -Kontrolle, dem Schutz personenbezogener Daten und den Hosting-Systemen befassen. Dies ist ein weiterer Bereich mit einem breiten Spektrum an möglichen Implikationen und Interpretationen. Die DSGVO zum Beispiel, die tangential mit den spezifischeren Cybersicherheitsstandards verbunden ist, aber auch eng mit der NIS-Richtlinie gekoppelt ist.


Ich freue mich darauf, Einblicke und Fachwissen von Compliance-Spezialisten zu teilen und zu erklären, wie Illumio jedem Unternehmen helfen kann, seine Compliance-Ziele zu erreichen.

Verwandte Themen

Compliance

Verwandte Artikel

Was Common Criteria ist und wie man sich zertifizieren lässt
Cyber Resilience

Was Common Criteria ist und wie man sich zertifizieren lässt

Illumio Core hat eine weitere wichtige staatliche Sicherheitszertifizierung namens Common Criteria erhalten. Illumio war der erste Anbieter von Unternehmenssicherheit, der von der National Information Assurance Partnership (NIAP) zertifiziert wurde

Read more
KI sollte man nicht trauen: Warum das Verständnis transformativ sein kann
Cyber Resilience

KI sollte man nicht trauen: Warum das Verständnis transformativ sein kann

Erfahren Sie, warum der CTO und Mitbegründer von Illumio glaubt, dass die KI-"Tech-Grenze" kleiner ist, als es scheint – und wie dies die Art und Weise beeinflusst, wie wir KI nutzen.

Read more
Sicherheit im Rechenzentrum – die große Kluft
Cyber Resilience

Sicherheit im Rechenzentrum – die große Kluft

Warum ein intelligentes System mit dynamischen Sicherheitsprotokollen für Rechenzentren der Schlüssel zur Minderung von Sicherheitsrisiken ist.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more