Kontrolný zoznam odporúčaní pre bezpečnosť
Tento kontrolný zoznam predstavuje súbor bezpečnostných odporúčaní, ktoré vám pomôžu zaistiť bezpečnosť vašej pracovnej záťaže. Ak si neprezriete kontrolný zoznam a nezvážite súvisiace kompromisy, môžete svoj dizajn vystaviť potenciálnym rizikám. Dôkladne posúďte všetky aspekty uvedené v kontrolnom zozname, aby ste zvýšili svoju dôveru v bezpečnosť vašej pracovnej záťaže.
Kontrolný zoznam
| Kód | Odporúčanie | |
|---|---|---|
| ☐ | SE:01 | Vytvorte základnú líniu zabezpečenia , ktorá je v súlade s požiadavkami na dodržiavanie predpisov, odvetvovými štandardmi a odporúčaniami platforiem. Pravidelne merajte svoju architektúru pracovného zaťaženia a operácie so základnou líniou, aby ste si udržali alebo zlepšili svoju bezpečnostnú pozíciu v priebehu času. |
| ☐ | SE:02 SE:02 |
Udržujte bezpečný životný cyklus vývoja pomocou spevneného, väčšinou automatizovaného a auditovateľného softvéru dodávateľský reťazec. Zahrňte bezpečný dizajn pomocou modelovania hrozieb na ochranu pred implementáciami, ktoré porušujú bezpečnosť. |
| ☐ | SE:03 | Klasifikujte a dôsledne používajte označenia citlivosti a typu informácií na všetky údaje pracovného zaťaženia a systémy zapojené do spracovania údajov. Použite klasifikáciu na ovplyvnenie návrhu pracovného zaťaženia, implementácie a priorít zabezpečenia. |
| ☐ | SE:04 | Vytvorte zámernú segmentáciu a obvody v návrhu architektúry a v zábere pracovného zaťaženia na platforme. Stratégia segmentácie musí zahŕňať siete, úlohy a zodpovednosti, identity pracovného zaťaženia a organizáciu zdrojov. |
| ☐ | SE:05 | Implementujte prísnu, podmienenú a auditovateľnú správu identity a prístupu (IAM) v rámci všetkých používateľov pracovného zaťaženia, členov tímu a systémových komponentov. Obmedzte prístup výlučne na podľa potreby. Používajte moderné priemyselné štandardy pre všetky implementácie autentifikácie a autorizácie. Obmedzte a dôsledne auditujte prístup, ktorý nie je založený na identite. |
| ☐ | SE:06 | Šifrujte údaje pomocou moderných štandardných metód na ochranu dôvernosti a integrity. Zosúlaďte rozsah šifrovania s klasifikáciami údajov a uprednostňujte metódy šifrovania natívnej platformy. |
| ☐ | SE:07 | Chráňte tajomstvá aplikácií posilnením ich úložiska a obmedzením prístupu a manipulácie a auditovaním týchto akcií. Spustite spoľahlivý a pravidelný proces rotácie, ktorý dokáže improvizovať rotácie v prípade núdze. |
| ☐ | SE:08 | Implementujte holistickú stratégiu monitorovania , ktorá sa opiera o moderné mechanizmy zisťovania hrozieb, ktoré možno integrovať s platformou. Mechanizmy by mali spoľahlivo upozorňovať na triedenie a odosielať signály do existujúcich procesov SecOps. |
| ☐ | SE:09 | Vytvorte komplexný testovací režim , ktorý kombinuje prístupy na predchádzanie bezpečnostným problémom, overovanie implementácií prevencie hrozieb a testovanie mechanizmov detekcie hrozieb. |
| ☐ | SE:10 | Definujte a otestujte efektívne odpoveď postupy pre incidenty , ktoré pokrývajú spektrum incidentov, od lokalizovaných problémov až po obnovu po havárii. Jasne definujte, ktorý tím alebo jednotlivec vykonáva procedúru. |