Blog
/
Cyber-Resilienz

Grundlegendes zu den EU-Compliance-Mandaten

Illumio Editorial
,
May 19, 2020
23 min. Lesedauer

Konformität, Konformität, Sicherheit, Sicherheit? Theoretisch geben die Mandate der Branchen, in denen wir tätig sind und mit denen wir zusammenarbeiten, Leitlinien vor und definieren Rahmenbedingungen, die darauf abzielen, die geltenden Sicherheitsformen — ob Cybersicherheit oder andere — abzudecken.


Dies kann zu unterschiedlichen Auffassungen, zu einer Dichotomie bei der Interpretation — oder zumindest zu Diskussionen über die Anwendung der Einzelheiten des Mandats führen. Wir haben wahrscheinlich alle den Begriff „Ankreuzen“ gehört, wenn es um die Einhaltung von Vorschriften geht, entweder als eine Art nicht um es zu behandeln, oder als wegwerfenden, augenzwinkernden Kommentar von langmütigen Fachleuten, die daran gearbeitet haben, die verschiedenen Compliance-Mandate die für ihre jeweilige Branche oder Region gelten.


Ich habe eine persönliche Sichtweise, die durch einige der oben genannten Erfahrungen und durch die enge Zusammenarbeit mit Organisationen und Einzelpersonen geprägt ist, die viel Zeit damit verbracht haben, sich mit Compliance-Rahmenbedingungen auseinanderzusetzen. Oft habe ich festgestellt, dass die praktische Anwendung der Einhaltung von Vorschriften einfacher, unkomplizierter und weniger komplex ist, wenn „im Geist“ des Mandats gearbeitet wird und nicht die trockeneren technischen Details. Natürlich sind die Details je nach Art der Konformität mehr oder weniger wichtig, aber oft ist es wichtig, den Text durchzusehen, um der „Bedeutung“ einer bestimmten Kontrolle auf den Grund zu gehen. Die Absicht hinter der Regel und was das für eine Erhöhung oder Verbesserung der Sicherheit bedeutet, ist meine bevorzugte Art, damit umzugehen.


Im Kern und unter Bezugnahme auf meinen früheren Kommentar ist Compliance wirklich dazu da, ein grundlegendes Sicherheitsniveau oder eine allgemeine Verbesserung der Körperhaltung zu gewährleisten und die Möglichkeit zu bieten, diese Haltung zuverlässig zu überprüfen.


Als Vorbehalt: Es gibt Unterschiede in den spezifischen Details, die bestimmte Mandate ausdrücken. Zum Beispiel PCI DSS enthält spezifische Details zur Protokollierung und Dateiüberwachung, wohingegen die NIS-Richtlinie (die EU-spezifisch ist) bietet eine weitaus umfassendere Anleitung und mehr Variationen auf lokaler, länderspezifischer Ebene.


In ähnlicher Weise kann meine Erfahrung mit der Interpretation eines Abschlussprüfers oder einer Prüfungsstelle dem oft entsprechen — ein guter Prüfer achtet mehr auf Absicht und Effizienz als nur auf die technischen Details. Das hängt natürlich direkt davon ab, wie spezifisch das Mandat ist (wie oben), und das ist nur meine eigene direkte Erfahrung.


Sie fragen sich vielleicht, wo passt Illumio rein? Der rote Faden zwischen unserem Unternehmen und den oben genannten Leitungsgremien ist, dass alle ein gemeinsames Ziel verfolgen: den Schutz hochwertiger Vermögenswerte und Daten. Alle Compliance-Vorschriften, die wir für Daten und Cybersicherheitspraktiken sehen, und in einigen kritischen Infrastrukturen basieren im Kern auf einer gemeinsamen Argumentation. Der Schutz der Daten oder der Systeme, die diese Daten verarbeiten und übertragen — seien es Kreditkarteninformationen, personenbezogene Daten (PII), Zahlungsaufzeichnungen, Vermögensdaten oder die Kontrollsysteme für diese und andere — steht im Mittelpunkt jedes Compliance-Mandats. Allerdings beinhaltet dieser Schutz immer einen Aspekt der Trennung oder Mikrosegmentierung. Das Ziel: Begrenzung der Angriffsfläche, des Explosionsradius eines Kompromisses oder der Einsatz einer vollen Zero-Trust-Modell des Zugriffs und der Konnektivität, um die kritischen Systeme und Daten in irgendeiner Form von den Bereichen mit niedrigerer Priorität/weniger kritischen Bereichen fernzuhalten.

Illumio Screenshot


Zu diesem Zweck wird sich diese Blogserie darauf konzentrieren, die Details der verschiedenen Compliance-Bereiche zu durchgehen, wobei — was entscheidend ist — zu jedem Blogbeitrag ein Kontrapunkt von einem erfahrenen, externen Experten in diesem Bereich erstellt wird. Das hilft mir, meinen eigenen Kommentar farblich zu gestalten, ermöglicht aber auch einige spezifische Details darüber, wie jedes Mandat auf Regierungs- oder Drittanbieterebene unterschiedlich interpretiert und geprüft werden kann (einschließlich der Beiträge der Prüfer selbst).


Vielen Dank im Voraus an alle, die dazu beitragen!


Wir werden uns in erster Linie auf EU-spezifische Compliance-Mandate konzentrieren, da diese erheblich von denen für die Vereinigten Staaten abweichen können. Daher werde ich nicht im Detail auf Mandate wie HIPAA, NIST und Sarbanes-Oxley eingehen. Ich werde auch die PCI-DSS-Seite der Dinge in Ruhe lassen, wie wir es getan haben wichtige Informationen zur PCI-Konformität schon hier bei Illumio.


Damit werden die in dieser Reihe behandelten Bereiche in einige ähnliche Regelungsbereiche unterteilt:

Kritische Infrastruktur — NIS-Richtlinie, LPM
In diesem Blogbeitrag wird die relativ neue NIS-Richtlinie (Netzwerk- und Informationssystemrichtlinie) behandelt, wie sie für EU-Länder gilt. Dies ist aufgrund seines breiten Aufgabenbereichs, seiner Beziehung zur DSGVO und seiner relativ offenen und lokalen Auslegung ein interessantes Mandat. In diesem Beitrag wird auch ausführlich auf den offeneren Charakter der NIS-Richtlinie eingegangen; es geht eher um Leitlinien als um vorgeschriebene Kontrollen. Dies knüpft an die früheren Punkte in diesem Beitrag an, die sich auf die Absicht der Einhaltung und ihrer Umsetzung.

Damit in Zusammenhang steht auch das französische Gesetz zum Schutz kritischer Informationsinfrastrukturen (LPM), das in die Erarbeitung der NIS-Richtlinie einflußt — ein ausgereifteres Mandat speziell für kritische Infrastrukturen mit einigen interessanten Kontrollen.

Finanzen/Zahlungen — SWIFT, ECB SIPS
Hier behandeln wir die Finanzmandate, SWIFT, eines der ersten, zu dessen Schutz die Illumio-Plattform verwendet wurde, und die EU-spezifischen SIPS-Compliance-Richtlinien (Europäische Zentralbank — Systematisch wichtige Zahlungssysteme) der EZB.

Umgang mit Daten — ISO 27001, GDPR
In diesem Beitrag werden wir über Datenverwaltung und -kontrolle, den Schutz personenbezogener Daten und die Hosting-Systeme sprechen. Dies ist ein weiterer Bereich mit einer Vielzahl potenzieller Implikationen und Interpretationen. Die DSGVO ist beispielsweise tangential mit den spezifischeren Cybersicherheitsstandards verknüpft und gleichzeitig eng mit der NIS-Richtlinie verknüpft.


Ich freue mich darauf, die Erkenntnisse und das Fachwissen von Compliance-Spezialisten weiterzugeben und zu erklären, wie Illumio jedem Unternehmen helfen kann, seine Compliance-Ziele zu erreichen.

Verwandte Themen

Einhaltung

In Verbindung stehende Artikel

Kontinuierliches Testen der Wirksamkeit Ihrer Zero-Trust-Kontrollen
Cyber-Resilienz

Kontinuierliches Testen der Wirksamkeit Ihrer Zero-Trust-Kontrollen

Eine ganzheitliche Zero-Trust-Strategie sollte jede dieser fünf Säulen berücksichtigen und abdecken.

Lesen Sie mehr
Die Entwicklung des Systemdesigns: Von schreibgeschützten Schnittstellen zur Multi-Cloud-Automatisierung
Cyber-Resilienz

Die Entwicklung des Systemdesigns: Von schreibgeschützten Schnittstellen zur Multi-Cloud-Automatisierung

Verschaffen Sie sich einen Einblick in die Entwicklung des Systemdesigns und verteilter Systeme — und in die Herausforderungen und Chancen, die vor Ihnen liegen.

Lesen Sie mehr
EU-Compliance-Mandate verstehen: Telekommunikations-5G und darüber hinaus
Cyber-Resilienz

EU-Compliance-Mandate verstehen: Telekommunikations-5G und darüber hinaus

In Teil 5 dieser Serie untersuchen wir die erweiterte Angriffsfläche, die 5G mit sich bringt, sowie die Vorschriften zur Einhaltung der Telekommunikationsvorschriften, die sich rasant weiterentwickeln.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr