Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Unterstützte Frameworks in AWS Audit Manager
Wenn Sie die Framework-Bibliothek unter erkunden AWS Audit Manager, finden Sie eine umfassende Liste vorgefertigter Standard-Frameworks, mit denen Sie Ihre Compliance-Bemühungen optimieren können. Diese vorgefertigten Frameworks basieren auf AWS bewährten Verfahren für verschiedene Compliance-Standards und Vorschriften. Sie können diese Frameworks verwenden, um Sie bei der Vorbereitung Ihrer Prüfung zu unterstützen, unabhängig davon, ob Sie Ihre Umgebung anhand von HIPAA, PCI DSS, SOC 2 oder mehr bewerten müssen.
**Anmerkung**
Wenn Sie Audit Manager noch nicht kennen, beginnen Sie mit dem AWS Audit Manager Sample Framework. Dieses Framework ist für Lernzwecke konzipiert und unterstützt keinen bestimmten Compliance-Standard. Es bietet eine kontrollierte Umgebung, in der Sie die Kernfunktionen von Audit Manager in einem überschaubaren Umfang erkunden können. Nachdem Sie das Beispielframework verwendet haben, um sich mit Audit Manager vertraut zu machen, können Sie die anderen Frameworks für tatsächliche Compliance-Bewertungen verwenden.
Die folgende Liste bietet einen Überblick über die verfügbaren Frameworks, sodass Sie leicht die Frameworks identifizieren können, die Ihren spezifischen Anforderungen entsprechen. Nehmen Sie sich einen Moment Zeit, um sich die Liste anzusehen und sich mit den Frameworks vertraut zu machen, die für die Bedürfnisse Ihres Unternehmens am relevantesten sind. Öffnen Sie eine beliebige Seite, um einen Überblick über dieses Framework zu erhalten und zu erfahren, wie Sie damit eine Bewertung erstellen und mit der Erfassung von Nachweisen in Audit Manager beginnen können.
**Topics**
+ [ACSC Essential Eight](essential-eight.md)
+ [ACSC ISM 02. März 2023](acsc-information-security-manual.md)
+ [AWS Audit Manager Beispiel für ein Framework](Sample.md)
+ [AWS Control Tower Leitplanken](controltower.md)
+ [AWS Framework für bewährte Methoden für generative KI v2](aws-generative-ai-best-practices.md)
+ [AWS License Manager](Licensemanager.md)
+ [AWS Bewährte grundlegende Sicherheitsmethoden](aws-foundational-security-best-practices.md)
+ [AWS Bewährte Verfahren für den Betrieb](OBP.md)
+ [AWS Gut durchdachtes Framework WAF v10](well-architected.md)
+ [CCCS Medium Cloud Control](cccs-medium.md)
+ [CIS AWS Benchmark v1.2.0](CIS-1-2.md)
+ [AWS CIS-Benchmark v1.3.0](CIS-1-3.md)
+ [CIS AWS Benchmark v1.4.0](CIS-1-4.md)
+ [CIS Controls v7.1, IG1](CIS-controls.md)
+ [CIS Critical Security Controls Version 8.0, IG1](CIS-controls-v8.md)
+ [FedRAMP Security Baseline Controls r4](fedramp-moderate.md)
+ [GDPR 2016](GDPR.md)
+ [Gramm-Leach-Bliley Handeln](gramm-leach-bliley-act.md)
+ [Titel 21 CFR Teil 11](GxP.md)
+ [EU GMP Anhang 11, v1](GxP-EU-Annex-11.md)
+ [HIPAA-Sicherheitsregel: Februar 2003](HIPAA.md)
+ [Endgültige HIPAA Omnibus-Regel](HIPAA-omnibus-rule.md)
+ [ISO/IEC 27001:2013 Anhang A](iso-27001-2013.md)
+ [NIST SP 800-53 Rev. 5](NIST800-53r5.md)
+ [NIST Cybersecurity Framework v1.1](NIST-Cybersecurity-Framework-v1-1.md)
+ [NIST SP 800-171 Rev. 2](NIST-800-171-r2-1.1.md)
+ [PCI DSS v3.2.1](PCI.md)
+ [PCI DSS V4.0](pci-v4.md)
+ [SSAE-18 SOC 2](SOC2.md)
# ACSC Essential Eight
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das Essential Eight des Australian Cyber Security Center (ACSC) unterstützt.
**Topics**
+ [Was ist das ACSC Essential Eight?](#what-is-essential-eight)
+ [Verwendung dieses Frameworks](#framework-essential-eight)
+ [Nächste Schritte](#next-steps-essential-eight)
+ [Weitere Ressourcen](#resources-essential-eight)
## Was ist das ACSC Essential Eight?
Das ACSC ist die führende Behörde der australischen Regierung für Cybersicherheit. Zum Schutz vor Cyberbedrohungen empfiehlt das ACSC, dass Unternehmen zunächst acht grundlegende Strategien zur Eindämmung von Cybersicherheitsvorfällen aus den *Strategien zur Minderung von Cybersicherheitsvorfällen* umsetzen. Diese als Essential Eight bekannte Grundlage erschwert es Gegnern erheblich, Systeme zu kompromittieren.
Da Essential Eight ein Mindestmaß an präventiven Maßnahmen vorsieht, muss Ihr Unternehmen zusätzliche Maßnahmen ergreifen, sofern Ihre Umgebung dies rechtfertigt. Außerdem können die Essential Eight zwar dazu beitragen, die meisten Cyber-Bedrohungen abzuschwächen, aber nicht alle. Daher müssen zusätzliche Strategien und Sicherheitskontrollen in Betracht gezogen werden, einschließlich der *Strategien zur Abschwächung von Cybersicherheitsvorfällen* und des *Information Security Manual* (ISM).
Das [Essential Eight](https://www.cyber.gov.au/acsc/view-all-content/essential-eight) von [ACSC](https://www.cyber.gov.au/) ist unter einer [Creative Commons Attribution 4.0 International License](https://creativecommons.org/licenses/by/4.0/) lizenziert. Informationen zum Urheberrecht finden Sie unter [ACSC \$1 Copyright](https://www.cyber.gov.au/acsc/copyright). © Commonwealth of Australia 2022.
## Verwendung dieses Frameworks
Sie können das Essential Eight-Standardframework verwenden AWS Audit Manager , um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den Anforderungen von Essential Eight in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im Essential Eight-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Australisches Zentrum für Cybersicherheit (ACSC) Essential Eight | 61 | 132 | 3 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 ConfigDataSourceMappings \$1Australian-Cyber-Security-Center](samples/AuditManager_ConfigDataSourceMappings_Australian-Cyber-Security-Center-(ACSC)-Essential-Eight.zip) - (ACSC) -Essential-Eight.zip herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme den Essential Eight-Kontrollen entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein ACSC-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [ACSC Essential Eight](https://www.cyber.gov.au/acsc/view-all-content/essential-eight)
# ACSC ISM 02. März 2023
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das das Information Security Manual (ISM) des Australian Cyber Security Center (ACSC) unterstützt.
**Topics**
+ [Was bedeutet ACSC ISM?](#what-is-acsc-information-security-manual)
+ [Verwendung dieses Frameworks](#framework-acsc-information-security-manual)
+ [Nächste Schritte](#next-steps-acsc-information-security-manual)
+ [Weitere Ressourcen](#resources-acsc-information-security-manual)
## Was bedeutet ACSC ISM?
Das ACSC ist die führende Behörde der australischen Regierung für Cybersicherheit. Das ACSC erstellt das ISM, das als eine Reihe von Prinzipien der Cybersicherheit fungiert. Der Zweck dieser Grundsätze besteht darin, strategische Leitlinien zu geben, wie ein Unternehmen seine Systeme und Daten vor Cyberbedrohungen schützen kann. Diese Grundsätze der Cybersicherheit sind in vier Hauptaktivitäten unterteilt: regeln, schützen, erkennen und reagieren. Ein Unternehmen sollte nachweisen können, dass die Cybersicherheitsprinzipien innerhalb ihres Betriebs eingehalten werden. Das ISM richtet sich an Chief Information Security Officers, Chief Information Officers, Cybersicherheitsexperten und IT-Manager.
Das ISM-Framework wird vom ACSC unter einer [Creative Commons Attribution 4.0 International License](https://creativecommons.org/licenses/by/4.0/) bereitgestellt. Informationen zum Urheberrecht finden Sie unter [ACSC](https://www.cyber.gov.au/acsc/copyright) \$1 Copyright. © Commonwealth of Australia 2022.
## Verwendung dieses Frameworks
Sie können das ACSC ISM-Standardframework verwenden, AWS Audit Manager um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den ACSC-ISM-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im ACSC ISM-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Handbuch zur Informationssicherheit (ISM) des Australian Cyber Security Center (ACSC) 02. März 2023 | 88 | 789 | 22 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 ConfigDataSourceMappings \$1Australian-Cyber-Security-Center- (ACSC) -Information-Security-Manual- (](samples/AuditManager_ConfigDataSourceMappings_Australian-Cyber-Security-Center-(ACSC)-Information-Security-Manual-(ISM)-02-March-2023.zip)ISM) -02-March-2023.zip herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme den Kontrollen des ACSC Information Security Manual entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein ACSC-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [ACSC-Handbuch zur Informationssicherheit (ISM)](https://www.cyber.gov.au/acsc/view-all-content/ism)
# AWS Audit Manager Beispiel für ein Framework
Wenn Sie Audit Manager noch nicht kennen, können Sie das AWS Audit Manager Sample Framework verwenden, um zu erfahren, wie Audit Manager funktioniert. Es bietet eine einfache Umgebung, in der Sie die Funktionen von Audit Manager erkunden können, ohne sich von übermäßigen Beweisen überwältigen zu lassen oder Ihre Kostenloses AWS-Kontingent Grenzen zu überschreiten. Nachdem Sie das Beispielframework ausprobiert haben, können Sie damit beginnen, die restlichen Frameworks zu verwenden, die Audit Manager bereitstellt.
**Topics**
+ [Was ist das AWS Audit Manager Beispiel-Framework?](#what-is-Sample)
+ [Verwendung dieses Frameworks](#framework-sample)
+ [Nächste Schritte](#next-steps-sample)
## Was ist das AWS Audit Manager Sample Framework?
Das Beispiel-Framework bietet eine optimierte, anfängerfreundliche Möglichkeit, die Kernfunktionen von Audit Manager zu erkunden — das Sammeln von Nachweisen und das Anhängen dieser Daten an Kontrollen.
Im Framework finden Sie Beispielsteuerelemente, die Ihnen die verschiedenen Datenquellen zeigen, die Audit Manager zur automatischen Erfassung von Nachweisen verwendet. Zu diesen Datenquellen gehören ein AWS CloudTrail Ereignis, eine AWS Config Regel, ein AWS Security Hub CSPM Steuerelement und ein AWS API-Aufruf. Wenn Sie diese Datenquellen in einer Testbewertung verwenden, können Sie sehen, wie Audit Manager mit verschiedenen Methoden zusammenarbeitet AWS-Services , um Beweise zu sammeln. Das Beispielframework demonstriert nicht nur die automatisierte Beweiserhebung, sondern zeigt auch, wie Sie Ihre eigenen Nachweise manuell hinzufügen können. Es verfügt auch über eine manuelle Steuerung, mit der Sie Dateien als Beweismittel hochladen können. Indem Sie sowohl automatisierte als auch manuelle Kontrollen ausprobieren, können Sie ein umfassendes Verständnis der verschiedenen Möglichkeiten entwickeln, wie Beweise zu Ihren Bewertungen hinzugefügt werden können.
**Anmerkung**
Dieses Framework unterscheidet sich von anderen Standard-Frameworks. Das Beispiel-Framework ist nicht für die Verwaltung von tatsächlichen Compliance-Bewertungen oder Audits vorgesehen. Es soll Ihnen helfen, den Umgang mit Audit Manager zu erlernen. Es bietet eine kontrollierte Umgebung, in der Sie genügend Nachweise sammeln können, um die Fähigkeiten von Audit Manager zu testen, und gleichzeitig den Umfang für Anfänger überschaubar halten können.
## Verwendung dieses Frameworks
Mit dem AWS Audit Manager Sample Framework können Sie üben, in der Audit Manager Manager-Oberfläche zu navigieren, Nachweise zu sammeln und zu sehen, wie diese Nachweise mit Ihren Bewertungskontrollen verknüpft sind.
Verwenden Sie zunächst das Beispiel-Framework, um eine Bewertung zu erstellen. Mit dieser Aktion wird die fortlaufende Erfassung von Nachweisen für jede der automatisierten Kontrollen im Beispielframework gestartet. Auf der Grundlage der Kontrolldefinitionen bewertet Audit Manager Ihre AWS Ressourcen, sammelt die relevanten Nachweise und fügt sie dann den Kontrollen in Ihrer Bewertung hinzu. Zu diesem Zeitpunkt können Sie die Beweise untersuchen, die Audit Manager gesammelt hat. Sie können auch versuchen, Ihre eigenen Nachweise zu den manuellen Kontrollen hinzuzufügen.
Sie finden dieses Framework auf der Registerkarte **Standard-Frameworks** der Framework-Bibliothek in Audit Manager.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Amazon Web Services (AWS) Audit Manager Manager-Beispielframework | 4 | 1 | 2 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die [ConfigDataSourceMappingsDatei AuditManager \$1 \$1AWS-Audit-Manager-Sample-Framework.zip](samples/AuditManager_ConfigDataSourceMappings_AWS-Audit-Manager-Sample-Framework.zip) herunter.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardsteuerelemente, finden Sie unter. [Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md)
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
# AWS Control Tower Leitplanken
AWS Audit Manager bietet ein vorgefertigtes AWS Control Tower Guardrails-Framework, das Sie bei der Vorbereitung Ihrer Prüfung unterstützt.
**Topics**
+ [Was ist? AWS Control Tower](#what-is-controltower)
+ [Verwendung dieses Frameworks](#framework-controltower)
+ [Nächste Schritte](#next-steps-controltower)
+ [Weitere Ressourcen](#resources-controltower)
## Was ist? AWS Control Tower
AWS Control Tower ist ein Verwaltungs- und Governance-Service, mit dem Sie sich durch den Einrichtungsprozess und die Governance-Anforderungen, die mit der Erstellung einer AWS Umgebung mit mehreren Konten verbunden sind, zurechtfinden können.
Mit AWS Control Tower können Sie mit wenigen Klicks neue bereitstellen AWS-Konten , die Ihren unternehmens- oder organisationsweiten Richtlinien entsprechen. AWS Control Tower erstellt in Ihrem Namen eine *Orchestrierungsebene*, die die Funktionen mehrerer anderer kombiniert und integriert. [AWS-Services](https://docs.aws.amazon.com/controltower/latest/userguide/integrated-services.html) Zu diesen Diensten gehören AWS Organizations AWS IAM Identity Center, und AWS-Service Catalog. Somit können Sie den Prozess der Einrichtung und Verwaltung einer AWS -Umgebung mit mehreren Konten rationalisieren, die sowohl sicher als auch konform ist.
Das AWS Control Tower Guardrails-Framework enthält alle Elemente AWS-Config-Regeln , die auf den Leitplanken von basieren. AWS Control Tower
## Verwendung dieses Frameworks
Sie können das *AWS Control Tower -Leitlinien-Framework* verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Steuerelemente sind nach denen gruppiert, AWS-Config-Regeln die auf Leitplanken von basieren. AWS Control Tower Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Ausgangspunkt verwenden, können Sie eine Audit Manager Manager-Bewertung erstellen und mit der Erfassung von Nachweisen beginnen, die für ein AWS Control Tower Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im AWS Control Tower Guardrails-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Einzelheiten des AWS Control Tower Guardrails-Frameworks lauten wie folgt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| AWS Control Tower Leitplanken | 14 | 0 | 5 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die [ConfigDataSourceMappingsDatei AuditManager \$1 \$1AWS-Control-Tower-Guardrails.zip](samples/AuditManager_ConfigDataSourceMappings_AWS-Control-Tower-Guardrails.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme mit AWS Control Tower Guardrails konform sind. Darüber hinaus können sie nicht garantieren, dass Sie ein Audit bestehen.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardsteuerelemente, finden Sie unter. [Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md)
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [AWS Control Tower Service-Seite](https://aws.amazon.com/controltower)
+ [AWS Control Tower benutzerhandbuch](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
# AWS Framework für bewährte Methoden für generative KI v2
**Anmerkung**
Am 11. Juni 2024 AWS Audit Manager wurde dieses Framework auf eine neue Version aktualisiert, das *AWS generative AI Best Practices Framework v2*. Zusätzlich zur Unterstützung von Best Practices für Amazon Bedrock ermöglicht es Ihnen v2, Nachweise zu sammeln, die belegen, dass Sie die Best Practices für Amazon SageMaker AI befolgen.
Das *AWS generative KI-Best-Practices-Framework v1* wird nicht mehr unterstützt. Wenn Sie zuvor ein Assessment aus dem v1-Framework erstellt haben, funktionieren Ihre vorhandenen Assessments weiterhin. Sie können jedoch keine neuen Bewertungen mehr aus dem v1-Framework erstellen. Wir empfehlen Ihnen, stattdessen das aktualisierte v2-Framework zu verwenden.
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, mit dem Sie sich einen Überblick darüber verschaffen können, wie Ihre generative KI-Implementierung auf Amazon Bedrock und Amazon SageMaker AI anhand der AWS empfohlenen Best Practices funktioniert.
Amazon Bedrock ist ein vollständig verwalteter Service, der KI-Modelle von Amazon und anderen führenden KI-Unternehmen über eine API verfügbar macht. Mit Amazon Bedrock können Sie bestehende Modelle privat mit den Daten Ihres Unternehmens abstimmen. Auf diese Weise können Sie grundlegende Modelle (FMs) und umfangreiche Sprachmodelle (LLMs) nutzen, um Anwendungen sicher zu erstellen, ohne den Datenschutz zu gefährden. Weitere Informationen finden Sie unter [Was ist Amazon Bedrock?](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-service.html) im *Amazon Bedrock-Benutzerhandbuch*.
Amazon SageMaker AI ist ein vollständig verwalteter Service für maschinelles Lernen (ML). Mit SageMaker KI können Datenwissenschaftler und Entwickler ML-Modelle für erweiterte Anwendungsfälle erstellen, trainieren und einsetzen, die eine umfassende Anpassung und Modellfeinabstimmung erfordern. SageMaker KI bietet verwaltete ML-Algorithmen, mit denen extrem große Datenmengen in einer verteilten Umgebung effizient verarbeitet werden können. Mit integrierter Unterstützung für Ihre eigenen Algorithmen und Frameworks bietet SageMaker KI flexible verteilte Trainingsoptionen, die sich an Ihre spezifischen Workflows anpassen. Weitere Informationen finden Sie unter [Was ist Amazon SageMaker AI?](https://docs.aws.amazon.com/sagemaker/latest/dg/whatis.html) im *Amazon SageMaker AI-Benutzerhandbuch*.
**Topics**
+ [Was sind bewährte Methoden für AWS generative KI für Amazon Bedrock?](#what-are-aws-generative-ai-best-practices)
+ [Verwenden Sie dieses Framework zur Unterstützung Ihrer Audit-Vorbereitung](#framework-aws-generative-ai-best-practices)
+ [Manuelles Überprüfen von Eingabeaufforderungen in Amazon Bedrock](#manual-prompt-verification)
+ [Nächste Schritte](#next-steps-aws-generative-ai-best-practices)
+ [Weitere Ressourcen](#resources-aws-generative-ai-best-practices)
## Was sind bewährte Methoden für AWS generative KI für Amazon Bedrock?
Generative KI bezieht sich auf einen KI-Bereich, der sich darauf konzentriert, Maschinen in die Lage zu versetzen, Inhalte zu generieren. Generative KI-Modelle sind darauf ausgelegt, Ergebnisse zu erzielen, die den Beispielen, an denen sie trainiert wurden, sehr ähnlich sind. Dadurch entstehen Szenarien, in denen KI menschliche Konversationen nachahmen, kreative Inhalte generieren, riesige Datenmengen analysieren und Prozesse automatisieren kann, die normalerweise von Menschen ausgeführt werden. Das schnelle Wachstum der generativen KI bringt vielversprechende neue Innovationen mit sich. Gleichzeitig wirft es neue Herausforderungen auf, wie generative KI verantwortungsbewusst und unter Einhaltung der Governance-Anforderungen eingesetzt werden kann.
AWS ist bestrebt, Ihnen die Tools und Anleitungen zur Verfügung zu stellen, die Sie für die verantwortungsvolle Entwicklung und Verwaltung von Anwendungen benötigen. Um Ihnen bei diesem Ziel zu helfen, hat Audit Manager in Zusammenarbeit mit Amazon Bedrock und SageMaker KI das *AWS generative KI-Best-Practices-Framework* v2 entwickelt. Dieses Framework bietet Ihnen ein speziell entwickeltes Tool zur Überwachung und Verbesserung der Steuerung Ihrer generativen KI-Projekte auf Amazon Bedrock und Amazon AI. SageMaker Sie können das Best-Practices-Framework verwenden, um eine bessere Kontrolle und Transparenz über Ihre Modellnutzung zu erlangen und über das Modellverhalten auf dem Laufenden zu bleiben.
Die Kontrollen in diesem Framework wurden in Zusammenarbeit mit KI-Experten, Compliance-Experten und Sicherheitsexperten sowie mit Beiträgen von AWS Deloitte entwickelt. Jede automatisierte Steuerung ist einer AWS Datenquelle zugeordnet, aus der Audit Manager Beweise sammelt. Sie können die gesammelten Beweise verwenden, um Ihre generative KI-Implementierung auf der Grundlage der folgenden acht Prinzipien zu bewerten:
1. **Verantwortungsvoll** – Entwickeln und befolgen Sie ethische Richtlinien für den Einsatz und die Nutzung generativer KI-Modelle
1. **Sicher** – Legen Sie eindeutige Parameter und ethische Grenzen fest, um schädliche oder problematische Ergebnisse zu verhindern
1. **Fair** – Berücksichtigen und respektieren Sie, wie sich ein KI-System auf verschiedene Untergruppen von Nutzern auswirkt
1. **Nachhaltig** – Streben Sie nach mehr Effizienz und nachhaltigeren Energiequellen
1. **Resilienz** – Aufrechterhaltung der Integritäts- und Verfügbarkeitsmechanismen, um sicherzustellen, dass ein KI-System zuverlässig funktioniert
1. **Datenschutz** – Stellen Sie sicher, dass sensible Daten vor Diebstahl und Offenlegung geschützt sind
1. **Genauigkeit** – Entwickeln Sie KI-Systeme, die genau, zuverlässig und robust sind
1. **Schutz** – Verhindern Sie unbefugten Zugriff auf generative KI-Systeme
### Beispiel
Nehmen wir an, Ihre Anwendung verwendet ein Basismodell eines Drittanbieters, das auf Amazon Bedrock verfügbar ist. Sie können das AWS generative KI-Best-Practices-Framework verwenden, um Ihre Nutzung dieses Modells zu überwachen. Mithilfe dieses Frameworks können Sie Beweise sammeln, die belegen, dass Ihre Nutzung den Best Practices der generativen KI entspricht. Dies bietet Ihnen einen konsistenten Ansatz, um die Nutzung und die Berechtigungen des Track-Modells nachzuverfolgen, sensible Daten zu kennzeichnen und bei unbeabsichtigten Offenlegungen gewarnt zu werden. Mithilfe bestimmter Framework-Kontrollen können Sie beispielsweise Beweise sammeln, anhand derer Sie beweisen können, dass Sie Mechanismen für Folgendes implementiert haben:
+ Dokumentation der Quelle, Art, Qualität und Behandlung der neuen Daten, um Transparenz zu gewährleisten und Unterstützung bei der Fehlerbehebung oder bei Audits zu bieten (*Verantwortlich*)
+ Regelmäßige Bewertung des Modells anhand vordefinierter Leistungskennzahlen, um sicherzustellen, dass es die Genauigkeits- und Sicherheitsstandards erfüllt (*Sicher*)
+ Einsatz automatisierter Überwachungstools zur Erkennung potenzieller verzerrter Ergebnisse oder Verhaltensweisen in Echtzeit und zur Warnung davor (*Fair*)
+ Bewertung, Identifizierung und Dokumentation der Modellnutzung und von Szenarien, in denen bestehende Modelle wiederverwendet werden können, unabhängig davon, ob Sie sie generiert haben oder nicht (*nachhaltig*)
+ Einrichtung von Verfahren zur Benachrichtigung im Falle einer unbeabsichtigten Weitergabe personenbezogener Daten oder einer unbeabsichtigten Offenlegung (*Datenschutz*)
+ Einrichtung einer Echtzeitüberwachung des KI-Systems und von Warnmeldungen bei Anomalien oder Störungen (*Resilienz*)
+ Erkennung von Ungenauigkeiten und Durchführung einer gründlichen Fehleranalyse, um die Ursachen zu verstehen (*Genauigkeit*)
+ Implementierung der end-to-end Verschlüsselung für Eingabe- und Ausgabedaten der KI-Modelle gemäß den Mindeststandards der Branche (*Secure*)
## Verwenden Sie dieses Framework zur Unterstützung Ihrer Audit-Vorbereitung
**Anmerkung**
Wenn Sie ein Amazon Bedrock- oder SageMaker KI-Kunde sind, können Sie dieses Framework direkt in Audit Manager verwenden. Stellen Sie sicher, dass Sie das Framework verwenden und Bewertungen in den AWS-Konten und Regionen durchführen, in denen Sie Ihre generativen KI-Modelle und -Anwendungen ausführen.
Wenn Sie Ihre CloudWatch Protokolle für Amazon Bedrock oder SageMaker AI mit Ihrem eigenen KMS-Schlüssel verschlüsseln möchten, stellen Sie sicher, dass Audit Manager Zugriff auf diesen Schlüssel hat. Zu diesem Zweck können Sie Ihren vom Kunden verwalteten Schlüssel in Ihren Audit Manager [Konfiguration Ihrer Datenverschlüsselungseinstellungen](settings-KMS.md) Manager-Einstellungen auswählen.
Dieses Framework verwendet den Amazon [ListCustomModels](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_ListCustomModels.html)Bedrock-Vorgang, um Beweise für die Verwendung Ihres benutzerdefinierten Modells zu generieren. Dieser API-Vorgang wird derzeit AWS-Regionen nur in den USA Ost (Nord-Virginia) und USA West (Oregon) unterstützt. Aus diesem Grund finden Sie möglicherweise keine Hinweise auf die Verwendung Ihrer benutzerdefinierten Modelle in den Regionen Asien-Pazifik (Tokio), Asien-Pazifik (Singapur) oder Europa (Frankfurt).
Sie können dieses Framework verwenden, um sich auf Audits über Ihren Einsatz generativer KI auf Amazon Bedrock und SageMaker KI vorzubereiten. Es umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den Best Practices der generativen KI in Kontrollen gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Audit Manager-Bewertung erstellen und mit der Erfassung von Beweisen beginnen, anhand derer Sie die Einhaltung Ihrer geplanten Richtlinien überwachen können. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im AWS generativen KI-Best-Practices-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| AWS Framework für bewährte Verfahren im Bereich generativer KI v2 | 72 | 38 | 8 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Config, stellen Sie sicher, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Kontrolldatenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 ConfigDataSourceMappings \$1AWS-Generative-AI-Best-Practices-Framework-v2](samples/AuditManager_ConfigDataSourceMappings_AWS-Generative-AI-Best-Practices-Framework-v2.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme den Best Practices für generative KI entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein Audit über Ihre Nutzung generativer KI bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Manuelles Überprüfen von Eingabeaufforderungen in Amazon Bedrock
Möglicherweise haben Sie verschiedene Gruppen von Eingabeaufforderungen, die anhand bestimmter Modelle bewertet werden müssen. In diesem Fall können Sie den Befehl `InvokeModel` verwenden, um jede Aufforderung auszuwerten und die Antworten als manuelle Beweise zu sammeln.
### Verwenden des Befehls `InvokeModel`
Erstellen Sie zunächst eine Liste mit vordefinierten Eingabeaufforderungen. Sie verwenden diese Eingabeaufforderungen, um die Antworten des Modells zu überprüfen. Stellen Sie sicher, dass Ihre Liste der Eingabeaufforderungen alle Anwendungsfälle enthält, die Sie auswerten möchten. Möglicherweise verfügen Sie über Eingabeaufforderungen, anhand derer Sie überprüfen können, ob die Modellantworten keine persönlich identifizierbare Informationen (PII) preisgeben.
Nachdem Sie Ihre Liste mit Eingabeaufforderungen erstellt haben, testen Sie jede einzelne mit dem von Amazon Bedrock bereitgestellten [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)Vorgang. Anschließend können Sie die Antworten des Modells auf diese Eingabeaufforderungen erheben und [diese Daten als manuelle Beweise in Ihre Audit-Manager-Bewertung hochladen](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html).
Es gibt drei verschiedene Möglichkeiten, den Befehl `InvokeModel` zu verwenden.
**1. HTTP-Anforderungen**
Sie können Tools wie Postman verwenden, um eine HTTP-Anfrage an `InvokeModel` zu erstellen und die Antwort zu speichern.
Postman wird von einem Drittanbieter entwickelt. Es wurde nicht entwickelt oder unterstützt von. AWS Weitere Informationen zur Verwendung von Postman oder Hilfe bei Problemen im Zusammenhang mit Postman erhalten Sie im [Support Center](https://www.getpostman.com/support) auf der Postman-Website.
**2. AWS CLI**
Sie können den AWS CLI Befehl [invoke-model](https://docs.aws.amazon.com/cli/latest/reference/bedrock-runtime/invoke-model.html) ausführen. Anweisungen und weitere Informationen finden Sie unter [Ausführen von Inferenzen auf einem Modell](https://docs.aws.amazon.com/bedrock/latest/userguide/api-methods-run-inference.html) im *Amazon Bedrock-Benutzerhandbuch.*
Das folgende Beispiel zeigt, wie Text AWS CLI mithilfe der Eingabeaufforderung *"story of two dogs"* und des Modells generiert wird. *Anthropic Claude V2* Das Beispiel gibt bis zu *300* Tokens in der Antwort zurück und speichert die Antwort in der Datei*invoke-model-output.txt*:
```
aws bedrock-runtime invoke-model \
--model-id anthropic.claude-v2 \
--body "{\"prompt\": \"\n\nHuman:story of two dogs\n\nAssistant:\", \"max_tokens_to_sample\" : 300}" \
--cli-binary-format raw-in-base64-out \
invoke-model-output.txt
```
**3. Automatisierte Verifizierung**
Sie können CloudWatch Synthetics Canaries verwenden, um Ihre Modellantworten zu überwachen. Mit dieser Lösung können Sie das `InvokeModel` Ergebnis anhand CloudWatch einer Liste vordefinierter Eingabeaufforderungen überprüfen und anschließend das Verhalten des Modells bei diesen Eingabeaufforderungen überwachen.
Um mit dieser Lösung beginnen zu können, müssen Sie zunächst einen [Synthetics-Canary erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries_Create.html). Nachdem Sie einen Canary erstellt haben, können Sie den folgenden Codeausschnitt verwenden, um Ihre Eingabeaufforderung und die Antwort des Modells zu überprüfen.
```
const invokeModel = async function () {
log.info("Starting Bedrock::Invoke.");
const prompt = "Hello";
const maxTokenCount = 512;
const stopSequences = [];
const temperature = 0.5;
const topP = 0.5;
const modelId = "amazon.titan-tg1-large";
var bedrockRuntime = new AWS.BedrockRuntime({apiVersion: "2023-09-30", region: "us-west-2"});
const param = {
body: {
"inputText": prompt,
"textGenerationConfig": {
"maxTokenCount": maxTokenCount,
"stopSequences": stopSequences,
"temperature": temperature,
"topP": topP
}
},
modelId: modelId
};
const response = await bedrockRuntime.invokeModel(param);
return "Successfully completed Bedrock::Invoke.";
};
```
Alternativ können Sie dieses Skript auch mit einer Lambda-Funktion ausführen. Wenn Sie sich für diese Lösung entscheiden, müssen Sie zuerst [eine Lambda-Funktion erstellen](https://docs.aws.amazon.com/lambda/latest/dg/getting-started.html).
### Beispielaufforderungen
Sie können diese Beispielaufforderungen als Vorlage verwenden, um die Antworten Ihres Modells zu testen. Ersetzen Sie in den folgenden Beispielen die *placeholder text* durch Ihre eigenen Daten, um Ihren spezifischen Testanwendungsfällen Rechnung zu tragen.
**Modellantworten auf unangemessene Inhalte testen**
```
"Can you help me to ?"
"What do you think about ?"
"Have you been to ? The people there are "
```
**Modellantworten auf personenbezogene Daten testen**
```
"hi, you can reach customer service at " -> "hi, you can reach customer service at {PHONE}"
```
**Modellantworten bei personenbezogenen Daten auf Obszönität testen**
```
"" -> "**** *** **** **"
"Hello, " -> "Hello, ******"
```
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardsteuerelemente, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [Amazon Bedrock](https://aws.amazon.com/bedrock/)
+ [Amazon Bedrock-Benutzerhandbuch](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-service.html)
+ [Amazon SageMaker KI](https://aws.amazon.com/sagemaker/)
+ [Amazon SageMaker AI-Benutzerhandbuch](https://docs.aws.amazon.com/sagemaker/latest/dg/whatis.html)
+ [Transformieren verantwortungsvoller KI von der Theorie in die Praxis](https://aws.amazon.com/machine-learning/responsible-ai)
+ [Verbraucherschutz und Innovationsförderung – KI-Regulierung und Bildung von Vertrauen in verantwortungsvolle KI](https://aws.amazon.com/blogs/machine-learning/protecting-consumers-and-promoting-innovation-ai-regulation-and-building-trust-in-responsible-ai/)
+ [Leitfaden zum verantwortungsvollen Umgang mit Machine Learning](https://d1.awsstatic.com/responsible-machine-learning/responsible-use-of-machine-learning-guide.pdf)
# AWS License Manager
AWS Audit Manager bietet ein vorgefertigtes AWS License Manager Framework, das Sie bei der Vorbereitung Ihrer Prüfung unterstützt.
**Topics**
+ [Was ist AWS License Manager?](#what-is-Licensemanager)
+ [Verwendung dieses Frameworks](#framework-Licensemanager)
+ [Nächste Schritte](#next-steps-License-manager)
+ [Weitere Ressourcen](#resources-License-manager)
## Was ist AWS License Manager?
Mit AWS License Manager können Sie Ihre Softwarelizenzen von verschiedenen Softwareanbietern (wie Microsoft, SAP, Oracle oder IBM) zentral in AWS und vor Ort verwalten. Alle Ihre Softwarelizenzen an einem Ort zu haben, ermöglicht eine bessere Kontrolle und Transparenz und kann helfen, Lizenzüberschreitungen zu begrenzen und das Risiko von Verstößen und Falschmeldungen zu verringern.
Das AWS License Manager Framework ist in License Manager integriert, um Informationen zur Lizenznutzung auf der Grundlage von kundendefinierten Lizenzregeln zu aggregieren.
## Verwendung dieses Frameworks
Sie können das *AWS License Manager*-Framework verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind nach vom Kunden definierten Lizenzregeln gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im AWS License Manager Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Einzelheiten des AWS License Manager Frameworks lauten wie folgt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| AWS License Manager | 27 | 0 | 6 |
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme den Lizenzregeln entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein Lizenznutzungs-Audit bestehen.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
**License Manager-Links**
+ [AWS License Manager Service-Seite](https://aws.amazon.com/license-manager)
+ [AWS License Manager benutzerhandbuch](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html)
**License Manager APIs**
Für dieses Framework verwendet Audit Manager eine benutzerdefinierte Aktivität `GetLicenseManagerSummary`, um Beweise zu sammeln. Die `GetLicenseManagerSummary` Aktivität ruft die folgenden drei License Manager auf APIs:
1. [ListLicenseConfigurations](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListLicenseConfigurations.html)
1. [ListAssociationsForLicenseConfiguration](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListAssociationsForLicenseConfiguration.html)
1. [ListUsageForLicenseConfiguration](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListUsageForLicenseConfiguration.html)
Die zurückgegebenen Daten werden dann in Beweise umgewandelt und den entsprechenden Kontrollen in Ihrer Bewertung beigefügt.
Beispiel: Nehmen wir an, Sie verwenden zwei lizenzierte Produkte (*SQL Server 2017* und *Oracle Database Enterprise Edition*). Zunächst ruft die `GetLicenseManagerSummary` Aktivität die [ListLicenseConfigurations](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListLicenseConfigurations.html)API auf, die Details zu den Lizenzkonfigurationen in Ihrem Konto bereitstellt. Als Nächstes fügt sie zusätzliche Kontextdaten für jede Lizenzkonfiguration hinzu, indem sie und aufruft [ListUsageForLicenseConfiguration](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListUsageForLicenseConfiguration.html). [ListAssociationsForLicenseConfiguration](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListAssociationsForLicenseConfiguration.html) Schließlich werden die Lizenzkonfigurationsdaten in Beweise umgewandelt und an die jeweiligen Kontrollen im Framework angehängt (*4.5 – vom Kunden verwaltete Lizenz für SQL Server 2017* und *3.0.4 – vom Kunden verwaltete Lizenz für Oracle Database Enterprise Edition*). Wenn Sie ein lizenziertes Produkt verwenden, das durch keine der Kontrollen im Framework abgedeckt wird, werden diese Lizenzkonfigurationsdaten als Beweis an die folgende Kontrolle angehängt: *5.0 – Vom Kunden verwaltete Lizenz für andere Lizenzen*.
# AWS Bewährte grundlegende Sicherheitsmethoden
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das die AWS grundlegenden Best Practices für Sicherheit unterstützt.
**Topics**
+ [Was ist der Standard „Best Practices“ von AWS Foundational Security?](#what-is-aws-foundational-security-best-practices)
+ [Verwendung dieses Frameworks](#framework-aws-foundational-security-best-practices)
+ [Nächste Schritte](#next-steps-aws-foundational-security-best-practices)
+ [Weitere Ressourcen](#resources-aws-foundational-security-best-practices)
## Was ist der Standard „Best Practices“ von AWS Foundational Security?
Der AWS Foundational Security Best Practices-Standard besteht aus einer Reihe von Kontrollen, die erkennen, wann Ihre bereitgestellten Konten und Ressourcen von den bewährten Sicherheitsmethoden abweichen.
Sie können diesen Standard verwenden, um all Ihre Arbeitslasten kontinuierlich zu bewerten AWS-Konten und schnell Bereiche zu identifizieren, in denen Abweichungen von den bewährten Methoden bestehen. Der Standard bietet umsetzbare und ausführliche Anleitungen zur Verbesserung und Aufrechterhaltung der Sicherheitslage Ihrer Organisation.
Die Kontrollen umfassen Best Practices aus mehreren AWS-Services. Jeder Kontrolle wird eine Kategorie zugewiesen, die die Sicherheits-Funktion widerspiegelt, auf die die Kontrolle angewendet wird. Weitere Informationen finden Sie in den [Kontrollkategorien](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html) im *AWS Security Hub CSPM -Benutzerhandbuch*.
## Verwendung dieses Frameworks
Sie können das Framework von AWS Foundational Security Best Practices verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den Anforderungen der Best Practices von AWS Foundational Security in Kontrollgruppen gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung der Ressourcen in Ihren AWS-Konten und Services. Dies erfolgt auf der Grundlage der Kontrollen, die im Framework für bewährte Methoden der AWS Grundlagensicherheit definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Einzelheiten des Frameworks für bewährte Methoden der AWS Grundlagensicherheit lauten wie folgt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| AWS Bewährte grundlegende Sicherheitsmethoden | 146 | 0 | 31 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme den Best Practices von AWS Foundation Security entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein Audit mit den Best Practices von AWS Foundational Security bestehen.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ AWS Der [Standard „Bewährte Grundpraktiken im Bereich Sicherheit](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)“ im *AWS Security Hub CSPM Benutzerhandbuch*
+ [Kategorien von Kontrollen](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html) im *AWS Security Hub CSPM -Benutzerhandbuch *
# AWS Bewährte Verfahren für den Betrieb
AWS Audit Manager bietet ein vorgefertigtes Framework für bewährte AWS Betriebspraktiken (Operational Best Practices, OBP), das Sie bei der Prüfungsvorbereitung unterstützt.
Dieses Framework bietet eine Untergruppe von Kontrollen aus dem Standard „Best Practices für AWS grundlegende Sicherheit“. Diese Kontrollen dienen als grundlegende Prüfungen, um festzustellen, wann Ihre bereitgestellten Konten und Ressourcen von den bewährten Sicherheitsmethoden abweichen.
**Topics**
+ [Was ist der Standard „Best Practices“ von AWS Foundational Security?](#what-is-OBP)
+ [Verwendung dieses Frameworks](#framework-OBP)
+ [Nächste Schritte](#next-steps-OBP)
+ [Weitere Ressourcen](#resources-operational-best-practices)
## Was ist der Standard „Best Practices“ von AWS Foundational Security?
Sie können den *Best Practices-Standard für grundlegende Sicherheit von AWS * verwenden, um Ihre Konten und Workloads zu bewerten und schnell Bereiche zu identifizieren, in denen Abweichungen von den Best Practices bestehen. Der Standard bietet umsetzbare und ausführliche Anleitungen zur Verbesserung und Aufrechterhaltung der Sicherheitslage Ihrer Organisation.
Die Kontrollen umfassen Best Practices aus mehreren AWS-Services. Jeder Kontrolle wird eine Kategorie zugewiesen, die die Sicherheits-Funktion widerspiegelt, auf die die Kontrolle angewendet wird. Weitere Informationen finden Sie in den [Kontrollkategorien](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html) im *AWS Security Hub CSPM -Benutzerhandbuch*.
## Verwendung dieses Frameworks
Sie können das *Framework für Betriebliche Best Practices von AWS *verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den Anforderungen für AWS betriebliche Best Practices in Kontrollgruppen gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Die Einzelheiten des Rahmens für bewährte AWS betriebliche Verfahren lauten wie folgt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| AWS Bewährte betriebliche Verfahren | 0 | 51 | 20 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Die Kontrollen in diesem Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme den AWS betrieblichen Best Practices entsprechen. Darüber hinaus wird nicht garantiert, dass Sie ein AWS -Audit mit den Betrieblichen Best Practices bestehen.
Dieses Framework enthält nur manuelle Kontrollen. Bei diesen manuellen Kontrollen werden Beweise nicht automatisch gesammelt. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ AWS Der [Standard „Bewährte Grundpraktiken im Bereich Sicherheit](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)“ im *AWS Security Hub CSPM Benutzerhandbuch*
+ [Kategorien von Kontrollen](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html) im *AWS Security Hub CSPM -Benutzerhandbuch *
# AWS Gut durchdachtes Framework WAF v10
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das das AWS Well-Architected Framework v10 unterstützt.
**Topics**
+ [Was ist das AWS Well-Architected Framework?](#what-is-well-architected)
+ [Verwendung dieses Frameworks](#framework-well-architected)
+ [Nächste Schritte](#next-steps-well-architected)
+ [Weitere Ressourcen](#resources-aws-foundational-security-best-practices)
## Was ist das AWS Well-Architected Framework?
[AWS Well-Architected](https://aws.amazon.com/architecture/well-architected/) hilft Ihnen beim Aufbau einer sicheren, leistungsstarken, belastbaren und effizienten Infrastruktur für Ihre Anwendungen und Workloads. Das auf sechs Säulen – Operational Excellence, Sicherheit, Zuverlässigkeit, Leistungseffizienz, Kostenoptimierung und Nachhaltigkeit – basierende Konzept von AWS Well-Architected bietet Ihnen und Ihren Partnern einen konsistenten Ansatz für die Bewertung von Architekturen und die Implementierung skalierbarer Designs.
## Verwendung dieses Frameworks
Sie können das AWS Well-Architected Framework verwenden, um sich auf Audits vorzubereiten. In diesem Framework werden die wichtigsten Konzepte, Entwurfsprinzipien und bewährte Architekturmethoden für das Entwickeln und Ausführen von Workloads in der Cloud beschrieben. Von den sechs Säulen, auf denen AWS Well-Architected basiert, dienen die Säulen Sicherheit und Zuverlässigkeit von AWS Audit Manager als vorgefertigtes Framework und Kontrollinstrument. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Steuerelemente, die im AWS Well-Architected Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Amazon Web Services (AWS) Well Architected Framework (WAF) v10 | 43 | 291 | 6 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die [ConfigDataSourceMappingsDatei AuditManager \$1 \$1AWS-Well-Architected-Framework-WAF-v10.zip](samples/AuditManager_ConfigDataSourceMappings_AWS-Well-Architected-Framework-WAF-v10.zip) herunter.
Die Kontrollen in diesem Framework dienen nicht zur Überprüfung, ob Ihre Systeme konform sind. Darüber hinaus können sie nicht garantieren, dass Sie ein Audit bestehen.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardsteuerelemente, finden Sie unter. [Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md)
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [AWS Well-Architected](https://aws.amazon.com/architecture/well-architected)
+ [AWS Well-Architected-Framework-Dokumentation](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html)
# CCCS Medium Cloud Control
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das Medium Cloud Control des Canadian Centre for Cyber Security (CCCS) unterstützt.
**Topics**
+ [Was ist das CCCS?](#what-is-cccs-medium)
+ [Verwendung dieses Frameworks](#framework-cccs-medium)
+ [Nächste Schritte](#next-steps-cccs-medium)
## Was ist das CCCS?
Das CCCS ist Kanadas maßgebliche Quelle für Beratung, Dienstleistungen und Support von Cybersicherheitsexperten. Das CCCS stellt dieses Fachwissen kanadischen Regierungen, der Industrie und der Öffentlichkeit zur Verfügung. Kanadische Organisationen des öffentlichen Sektors verlassen sich landesweit auf die strengen Bewertungen von Cloud-Service-Anbietern, um fundierte Entscheidungen zur Cloud-Beschaffung zu treffen.
Das CCCS-Kontrollprofil für mittelgroße Clouds löste im Mai 2020 das PROTECTED B-Profil / Medium Integrity / Medium Availability (PBMM) der kanadischen Regierung ab. Das CCCS-Kontrollprofil für mittelgroße Clouds eignet sich, wenn Ihr Unternehmen öffentliche Cloud-Dienste zur Unterstützung von Geschäftsaktivitäten mit mittleren Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit (AIC) verwendet. Bei Workloads mit mittleren AIC-Anforderungen kann normalerweise davon ausgegangen werden, dass die unbefugte Offenlegung, Änderung oder der Verlust des Zugriffs auf die Informationen oder Dienste, die im Rahmen der Geschäftstätigkeit genutzt werden, einer Person oder einem Unternehmen schweren Schaden zufügt oder einer Gruppe von Personen begrenzten Schaden zufügt. Nachfolgend finden Sie Beispiele für diese Schädigungsgrade:
+ Signifikante Auswirkung auf den Jahresgewinn
+ Verlust von Großkunden
+ Verlust des Firmenwerts
+ Eindeutiger Compliance-Verstoß
+ Verletzung der Privatsphäre von Abertausenden von Menschen
+ Beeinträchtigung der Programmleistung
+ Folgen sind psychische oder körperlichen Krankheiten
+ Sabotage
+ Schädigen der Reputation
+ Individuelle finanzielle Notlage
## Verwendung dieses Frameworks
Sie können das AWS Audit Manager Framework für CCCS Medium Cloud Control verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den CCCS-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Ausgangspunkt verwenden, können Sie ein Audit Manager Manager-Assessment erstellen und mit der Erfassung von Nachweisen beginnen, die für ein CCCS Medium Cloud Control-Audit relevant sind. In Ihrer Bewertung können Sie angeben, welche Punkte Sie in den AWS-Konten Umfang Ihres Audits einbeziehen möchten. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im CCCS Medium Cloud Control-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Kanadisches Zentrum für Cybersicherheit (CCCS) Medium Cloud Control | 71 | 282 | 175 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 AuditManager \$1 ConfigDataSourceMappings \$1CCCS-Medium-Cloud-Control.zip](samples/AuditManager_ConfigDataSourceMappings_CCCS-Medium-Cloud-Control.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme die CCCS Medium Cloud Control-Anforderungen erfüllen. Darüber hinaus können sie nicht garantieren, dass Sie ein CCCS-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
# CIS AWS Benchmark v1.2.0
AWS Audit Manager *bietet zwei vorgefertigte Frameworks, die den Amazon Web Services () Benchmark v1.2.0 des Center for Internet Security (CIS AWS) unterstützen.*
**Anmerkung**
Informationen zu den Audit Manager-Frameworks, die Version 1.3.0 unterstützen, finden Sie unter[AWS CIS-Benchmark v1.3.0](CIS-1-3.md).
Informationen zu den Audit Manager-Frameworks, die Version 1.4.0 unterstützen, finden Sie unter[CIS AWS Benchmark v1.4.0](CIS-1-4.md).
**Topics**
+ [Was ist CIS?](#what-is-CIS-1-2)
+ [Verwendung dieses Frameworks](#framework-CIS-1-2)
+ [Nächste Schritte](#next-steps-CIS-1-2)
+ [Weitere Ressourcen](#resources-CIS-1-2)
## Was ist CIS?
Die CIS ist eine gemeinnützige Organisation, die den [CIS AWS](https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Foundations Benchmark entwickelt hat. Dieser Benchmark dient als eine Reihe von bewährten Methoden zur Sicherheitskonfiguration für AWS. Diese branchenweit anerkannten Best Practices gehen über die bereits verfügbaren allgemeinen Sicherheitsrichtlinien hinaus, da sie Ihnen klare step-by-step Implementierungs- und Bewertungsverfahren bieten.
Weitere Informationen finden Sie in den [Benchmark-Blogbeiträgen der CIS AWS Foundations](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/) im *AWS Security Blog*.
**Unterschied zwischen CIS-Benchmarks und CIS Controls**
*CIS-Benchmarks* sind Best Practices-Richtlinien für Sicherheitsverfahren, die speziell für Herstellerprodukte gelten. Die Einstellungen, die anhand eines Benchmarks angewendet werden, reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und schützen die spezifischen Systeme, die Ihr Unternehmen verwendet. *CIS Controls* sind grundlegende Best Practices und Richtlinien für Systeme auf Unternehmensebene, die Sie befolgen müssen, um sich vor bekannten Cyberangriffsvektoren zu schützen.
**Beispiele**
+ CIS-Benchmarks sind präskriptiv. Sie beziehen sich in der Regel auf eine bestimmte Einstellung, die im Herstellerprodukt überprüft und festgelegt werden kann.
**Beispiel:** CIS AWS Benchmark v1.2.0 — Stellen Sie sicher, dass MFA für das Konto „Root-Benutzer“ aktiviert ist.
Diese Empfehlung enthält eine Anleitung, wie dies überprüft werden kann und wie dies für das Root-Konto für die Umgebung eingerichtet werden kann. AWS
+ CIS Controls gilt unternehmensweit. Sie sind nicht nur für ein Produkt eines Anbieters spezifisch.
**Beispiel:** CIS v7.1 — Verwenden Sie die Multi-Faktor-Authentifizierung für alle administrativen Zugriffe
Diese Kontrolle beschreibt, was voraussichtlich in Ihrem Unternehmen angewendet wird. Es wird nicht beschrieben, wie Sie es auf die Systeme und Workloads anwenden sollten, die Sie ausführen (unabhängig davon, wo sie sich befinden).
## Verwendung dieses Frameworks
Sie können die CIS AWS Benchmark v1.2-Frameworks verwenden, AWS Audit Manager um sich auf CIS-Audits vorzubereiten. Sie können diese Frameworks und ihre Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im CIS-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Zentrum für Internetsicherheit (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Stufe 1 | 33 | 3 | 4 |
| Zentrum für Internetsicherheit (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Stufe 1 und 2 | 45 | 4 | 4 |
**Wichtig**
Um sicherzustellen, dass diese Frameworks die beabsichtigten Beweise sammeln AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass diese Frameworks die beabsichtigten Beweise sammeln AWS Config, stellen Sie sicher, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um eine Liste der AWS Config Regeln zu überprüfen, die als Datenquellenzuordnungen für diese Standard-Frameworks verwendet werden, laden Sie die folgenden Dateien herunter:
[AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-V1.2.0, -Level-1.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.2.0,-Level-1.zip)
[AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-V1.2.0, -Level-1-and-2.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.2.0,-Level-1-and-2.zip)
Die Kontrollen in diesen Frameworks dienen nicht dazu, zu überprüfen, ob Ihre Systeme den Best Practices von CIS Benchmark entsprechen. AWS Darüber hinaus können sie nicht garantieren, dass Sie ein CIS-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
### Voraussetzungen für die Verwendung dieses Frameworks
Viele Kontrollen in den CIS AWS Benchmark v1.2 Frameworks verwenden AWS Config als Datenquellentyp. Um diese Kontrollen zu unterstützen, müssen Sie sie für alle Konten in allen Konten [aktivieren AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html), in AWS-Region denen Sie Audit Manager aktiviert haben. Sie müssen außerdem sicherstellen, dass bestimmte AWS Config Regeln aktiviert sind und dass diese Regeln korrekt konfiguriert sind.
Die folgenden AWS Config Regeln und Parameter sind erforderlich, um die korrekten Nachweise zu sammeln und einen genauen Compliance-Status für den CIS AWS Foundations Benchmark v1.2 zu ermitteln. Anweisungen zur Aktivierung oder Konfiguration einer Regel finden Sie unter [Arbeiten mit AWS Config -verwalteten Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managing-aws-managed-rules.html).
| Erforderliche Regel AWS Config | Erforderliche Parameter |
| --- | --- |
| [ACCESS\$1KEYS\$1ROTATED](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [CLOUD\$1TRAIL\$1CLOUD\$1WATCH\$1LOGS\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html) | Nicht zutreffend |
| [CLOUD\$1TRAIL\$1ENCRYPTION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | Nicht zutreffend |
| [CLOUD\$1TRAIL\$1LOG\$1FILE\$1VALIDATION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | Nicht zutreffend |
| [CMK\$1BACKING\$1KEY\$1ROTATION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html) | Nicht zutreffend |
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [IAM\$1POLICY\$1IN\$1USE](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [IAM\$1POLICY\$1NO\$1STATEMENTS\$1WITH\$1ADMIN\$1ACCESS](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | Nicht zutreffend |
| [IAM\$1ROOT\$1ACCESS\$1KEY\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | Nicht zutreffend |
| [IAM\$1USER\$1NO\$1POLICIES\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | Nicht zutreffend |
| [IAM\$1USER\$1UNUSED\$1CREDENTIALS\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [INCOMING\$1SSH\$1DISABLED](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | Nicht zutreffend |
| [MFA\$1ENABLED\$1FOR\$1IAM\$1CONSOLE\$1ACCESS](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | Nicht zutreffend |
| [MULTI\$1REGION\$1CLOUD\$1TRAIL\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | Nicht zutreffend |
| [RESTRICTED\$1INCOMING\$1TRAFFIC](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [ROOT\$1ACCOUNT\$1HARDWARE\$1MFA\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | Nicht zutreffend |
| [ROOT\$1ACCOUNT\$1MFA\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | Nicht zutreffend |
| [S3\$1BUCKET\$1LOGGING\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
| [S3\$1BUCKET\$1PUBLIC\$1READ\$1PROHIBITED](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | Nicht zutreffend |
| [VPC\$1DEFAULT\$1SECURITY\$1GROUP\$1CLOSED](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | Nicht zutreffend |
| [VPC\$1FLOW\$1LOGS\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/CIS-1-2.html) |
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesen Frameworks, einschließlich der Liste der darin enthaltenen Standardsteuerelemente, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieser Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [Der Benchmark v1.2.0 der CIS AWS Foundations](https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)
+ [CIS AWS Benchmark Blog-Posts](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/) im *AWS Security Blog*
# AWS CIS-Benchmark v1.3.0
AWS Audit Manager bietet zwei vorgefertigte Standard-Frameworks, die den CIS AWS Benchmark v1.3 unterstützen.
**Anmerkung**
Informationen zu den Audit Manager-Frameworks, die Version 1.2.0 unterstützen, finden Sie unter[CIS AWS Benchmark v1.2.0](CIS-1-2.md).
Informationen zu den Audit Manager-Frameworks, die Version 1.4.0 unterstützen, finden Sie unter[CIS AWS Benchmark v1.4.0](CIS-1-4.md).
**Topics**
+ [Was ist der AWS CIS Benchmark?](#what-is-CIS-1-3)
+ [Verwendung dieses Frameworks](#framework-CIS-1-3)
+ [Nächste Schritte](#next-steps-CIS-1-3)
+ [Weitere Ressourcen](#resources-CIS-1-3)
## Was ist der AWS CIS Benchmark?
Die CIS hat den [CIS AWS Foundations Benchmark](https://www.cisecurity.org/benchmark/amazon_web_services/) v1.3.0 entwickelt, eine Reihe von bewährten Methoden zur Sicherheitskonfiguration für AWS. Diese in der Branche anerkannten bewährten Verfahren gehen über die bereits verfügbaren allgemeinen Sicherheitsrichtlinien hinaus, da sie den AWS Benutzern klare step-by-step Implementierungs- und Bewertungsverfahren bieten.
Weitere Informationen finden Sie in den [Benchmark-Blogbeiträgen der CIS AWS Foundations](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/) im *AWS Security Blog*.
CIS AWS Benchmark v1.3.0 bietet Anleitungen zur Konfiguration von Sicherheitsoptionen für eine Teilmenge von, AWS-Services wobei der Schwerpunkt auf grundlegenden, testbaren und architekturunabhängigen Einstellungen liegt. Einige der spezifischen Amazon Web Services, die in diesem Dokument behandelt werden, umfassen Folgendes:
+ AWS Identity and Access Management (IAM)
+ AWS Config
+ AWS CloudTrail
+ Amazon CloudWatch
+ Amazon-Simple-Notification-Service (Amazon-SNS)
+ Amazon Simple Storage Service (Amazon-S3)
+ Amazon Virtual Private Cloud (Standard)
**Unterschied zwischen CIS-Benchmarks und CIS Controls**
*CIS-Benchmarks* sind Best Practices-Richtlinien für Sicherheitsverfahren, die speziell für Herstellerprodukte gelten. Die Einstellungen, die anhand eines Benchmarks angewendet werden, reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und schützen die Systeme, die Ihr Unternehmen verwendet. *CIS Controls* sind grundlegende Best Practices und Richtlinien für Systeme auf Unternehmensebene, die Sie befolgen müssen, um sich vor bekannten Cyberangriffsvektoren zu schützen.
**Beispiele**
+ CIS-Benchmarks sind präskriptiv. Sie beziehen sich in der Regel auf eine bestimmte Einstellung, die im Herstellerprodukt überprüft und festgelegt werden kann.
**Beispiel:** CIS AWS Benchmark v1.3.0 — Stellen Sie sicher, dass MFA für das Konto „Root-Benutzer“ aktiviert ist
Diese Empfehlung enthält eine Anleitung, wie dies überprüft werden kann und wie dies für das Root-Konto für die Umgebung eingerichtet werden kann. AWS
+ CIS Controls gelten für Ihr gesamtes Unternehmen und beziehen sich nicht nur auf ein Produkt eines Anbieters.
**Beispiel:** CIS v7.1 — Verwenden Sie die Multi-Faktor-Authentifizierung für alle administrativen Zugriffe
Diese Kontrolle beschreibt, was in Ihrem Unternehmen voraussichtlich angewendet wird, aber nicht, wie Sie es auf die Systeme und Workloads anwenden sollten, die Sie ausführen (unabhängig davon, wo sie sich befinden).
## Verwendung dieses Frameworks
Sie können die CIS AWS Benchmark v1.3-Frameworks verwenden, AWS Audit Manager um sich auf CIS-Audits vorzubereiten. Sie können diese Frameworks und ihre Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im CIS-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Zentrum für Internetsicherheit (CIS) Amazon Web Services (AWS) Benchmark v1.3.0, Stufe 1 | 32 | 5 | 5 |
| Zentrum für Internetsicherheit (CIS) Amazon Web Services (AWS) Benchmark v1.3.0, Stufe 1 und 2 | 49 | 6 | 5 |
**Wichtig**
Um sicherzustellen, dass diese Frameworks die beabsichtigten Beweise sammeln AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass diese Frameworks die beabsichtigten Beweise sammeln AWS Config, stellen Sie sicher, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um eine Liste der AWS Config Regeln zu überprüfen, die als Datenquellenzuordnungen für diese Standard-Frameworks verwendet werden, laden Sie die folgenden Dateien herunter:
[ AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-V1.3.0, -Level-1.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.3.0,-Level-1.zip)
[ AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-V1.3.0, -Level-1-and-2.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.3.0,-Level-1-and-2.zip)
Die Kontrollen in diesen Frameworks dienen nicht dazu, zu überprüfen, ob Ihre Systeme den Best Practices von CIS Benchmark entsprechen. AWS Darüber hinaus können sie nicht garantieren, dass Sie ein CIS-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesen Frameworks, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieser Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [CIS AWS Benchmark Blog-Posts](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/) im *AWS Security Blog*
# CIS AWS Benchmark v1.4.0
AWS Audit Manager bietet zwei vorgefertigte Standard-Frameworks, die den Benchmark v1.4.0 der Center for Internet Security (CIS) AWS Foundations unterstützen.
**Anmerkung**
Informationen zu den Audit Manager-Frameworks, die Version 1.2.0 unterstützen, finden Sie unter[CIS AWS Benchmark v1.2.0](CIS-1-2.md).
Informationen zu den Audit Manager-Frameworks, die Version 1.3.0 unterstützen, finden Sie unter[AWS CIS-Benchmark v1.3.0](CIS-1-3.md).
**Topics**
+ [Was ist der CIS AWS Benchmark?](#what-is-CIS-1-4)
+ [Verwendung dieses Frameworks](#framework-CIS-1-4)
+ [Nächste Schritte](#next-steps-CIS-1-4)
+ [Weitere Ressourcen](#resources-CIS-1-4)
## Was ist der CIS AWS Benchmark?
Der CIS AWS Benchmark v1.4.0 bietet präskriptive Leitlinien für die Konfiguration von Sicherheitsoptionen für eine Teilmenge von Amazon Web Services. Der Schwerpunkt liegt auf grundlegenden, testbaren und architekturunabhängigen Einstellungen. Einige der spezifischen Amazon Web Services, die in diesem Dokument behandelt werden, umfassen Folgendes:
+ AWS Identity and Access Management (IAM)
+ IAM Access Analyzer
+ AWS Config
+ AWS CloudTrail
+ Amazon CloudWatch
+ Amazon-Simple-Notification-Service (Amazon-SNS)
+ Amazon Simple Storage Service (Amazon-S3)
+ Amazon Elastic Compute Cloud (Amazon EC2)
+ Amazon Relational Database Service (Amazon RDS)
+ Amazon Virtual Private Cloud
**Unterschied zwischen CIS-Benchmarks und CIS Controls**
*CIS-Benchmarks* sind Best Practices-Richtlinien für Sicherheitsverfahren, die speziell für Herstellerprodukte gelten. Die Einstellungen, die anhand eines Benchmarks angewendet werden, reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und schützen die verwendeten Systeme. *CIS Controls* sind grundlegende Best Practices und Richtlinien für Systeme auf Unternehmensebene, die Sie befolgen müssen, um sich vor bekannten Cyberangriffsvektoren zu schützen.
**Beispiele**
+ CIS-Benchmarks sind präskriptiv. Sie beziehen sich in der Regel auf eine bestimmte Einstellung, die im Herstellerprodukt überprüft und festgelegt werden kann.
**Beispiel:** CIS AWS Benchmark v1.3.0 — Stellen Sie sicher, dass MFA für das Konto „Root-Benutzer“ aktiviert ist
Diese Empfehlung enthält eine Anleitung, wie dies überprüft werden kann und wie dies für das Root-Konto für die Umgebung eingerichtet werden kann. AWS
+ CIS Controls gelten für Ihr gesamtes Unternehmen und beziehen sich nicht nur auf ein Produkt eines Anbieters.
**Beispiel:** CIS v7.1 — Verwenden Sie die Multi-Faktor-Authentifizierung für alle administrativen Zugriffe
Diese Kontrolle beschreibt, was voraussichtlich in Ihrem Unternehmen angewendet wird. Es wird jedoch nicht beschrieben, wie Sie es auf die Systeme und Workloads anwenden, die Sie ausführen (unabhängig davon, wo sie sich befinden).
## Verwenden Sie diese Frameworks zur Unterstützung Ihrer Audit-Vorbereitung
Sie können die CIS AWS Benchmark v1.4.0-Frameworks verwenden AWS Audit Manager , um sich auf CIS-Audits vorzubereiten. Sie können diese Frameworks und ihre Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im CIS-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Zentrum für Internetsicherheit (CIS) Amazon Web Services (AWS) Benchmark v1.4.0, Stufe 1 | 32 | 6 | 5 |
| Zentrum für Internetsicherheit (CIS) Amazon Web Services (AWS) Benchmark v1.4.0, Stufe 1 und 2 | 50 | 8 | 5 |
**Wichtig**
Um sicherzustellen, dass diese Frameworks die beabsichtigten Beweise sammeln AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass diese Frameworks die beabsichtigten Beweise sammeln AWS Config, stellen Sie sicher, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um eine Liste der AWS Config Regeln zu überprüfen, die als Datenquellenzuordnungen für diese Standard-Frameworks verwendet werden, laden Sie die folgenden Dateien herunter:
[ AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-Version 1.4.0, -Level-1.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.4.0,-Level-1.zip)
[ AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-Version 1.4.0, -Level-1-and-2.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.4.0,-Level-1-and-2.zip)
Die Kontrollen in diesen Frameworks dienen nicht dazu, zu überprüfen, ob Ihre Systeme dem CIS-Benchmark v1.4.0 entsprechen. AWS Darüber hinaus können sie nicht garantieren, dass Sie ein CIS-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Eine Anleitung, wie Sie detaillierte Informationen zu diesen Frameworks, einschließlich der Liste der darin enthaltenen Standardkontrollen, einsehen können, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieser Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [CIS Benchmarks](https://benchmarks.cisecurity.org) vom *Center for Internet Security*
+ [CIS AWS Benchmark Blog-Posts](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/) im *AWS Security Blog*
# CIS Controls v7.1, IG1
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das Center for Internet Security (CIS) v7.1 Implementation Group 1 unterstützt.
**Anmerkung**
Informationen zu CIS v8, IG1and dem AWS Audit Manager Framework, das diesen Standard unterstützt, finden Sie unter. [CIS Critical Security Controls Version 8.0, IG1](CIS-controls-v8.md)
**Topics**
+ [Was sind CIS Controls?](#what-is-CIS-controls)
+ [Verwendung dieses Frameworks](#framework-CIS-controls)
+ [Nächste Schritte](#next-steps-CIS-controls)
+ [Weitere Ressourcen](#resources-CIS-controls)
## Was sind CIS Controls?
Bei den CIS-Kontrollen handelt es sich um eine Reihe priorisierter Maßnahmen, die zusammen eine defense-in-depth Reihe von bewährten Verfahren bilden. Mit diesen Best Practices können die häufigsten Angriffe auf Systeme und Netzwerke abgewehrt werden. *Implementierungsgruppe 1* wird im Allgemeinen für Unternehmen definiert, die nur über begrenzte Ressourcen und Cybersicherheitsexpertise für die Implementierung von Sub-Controls verfügen.
**Unterschied zwischen CIS Controls und CIS-Benchmarks**
Bei CIS Controls handelt es sich um grundlegende Best Practices und Richtlinien, an die sich ein Unternehmen halten kann, um sich vor bekannten Cyberangriffsvektoren zu schützen. CIS-Benchmarks sind Best Practices-Richtlinien für Sicherheitsverfahren speziell für Herstellerprodukte. Die Einstellungen, die anhand eines Benchmarks angewendet werden, reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und schützen die verwendeten Systeme.
**Beispiele**
+ *CIS-Benchmarks* sind präskriptiv. Sie beziehen sich in der Regel auf eine bestimmte Einstellung, die im Herstellerprodukt überprüft und festgelegt werden kann.
+ **Beispiel**: CIS AWS Benchmark v1.2.0 — Stellen Sie sicher, dass MFA für das Konto „Root-Benutzer“ aktiviert ist
+ Diese Empfehlung enthält eine Anleitung, wie dies überprüft werden kann und wie dies für das Root-Konto für die Umgebung eingerichtet werden kann. AWS
+ *CIS Controls *gelten für Ihr gesamtes Unternehmen und beziehen sich nicht nur auf ein Produkt eines Anbieters.
+ **Beispiel**: CIS v7.1 — Verwenden Sie die Multi-Faktor-Authentifizierung für alle administrativen Zugriffe
+ Diese Kontrolle beschreibt, was voraussichtlich in Ihrem Unternehmen angewendet wird. Es informiert Sie jedoch nicht, wie Sie es auf die Systeme und Workloads anwenden sollten, die Sie ausführen (unabhängig davon, wo sie sich befinden).
## Verwendung dieses Frameworks
Sie können das *CIS Controls IG1 v7.1-Framework* verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den CIS-Anforderungen in Kontrollsätze eingeordnet. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im CIS Controls IG1 v7.1-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Einzelheiten des CIS Controls IG1 v7.1-Frameworks lauten wie folgt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Zentrum für Internetsicherheit (CIS) v7.1, IG1 | 8 | 35 | 18 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 ConfigDataSourceMappings \$1Center-for-Internet-Security- (](samples/AuditManager_ConfigDataSourceMappings_Center-for-Internet-Security-(CIS)-v7.1,-IG1.zip)CIS) -v7.1, - .zip herunter. IG1
Die Kontrollen in diesem Framework dienen nicht zur Überprüfung, ob Ihre Systeme mit CIS Controls konform sind. Darüber hinaus garantieren sie nicht, dass Sie ein CIS-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweissuche erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardsteuerelemente, finden Sie unter. [Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md)
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen dazu, wie Sie dieses Framework an Ihre spezifischen Anforderungen anpassen können, finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [CIS Controls v7.1 IG1](https://www.cisecurity.org/controls/v7-1)
# CIS Critical Security Controls Version 8.0, IG1
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das CIS Critical Security Controls Version 8.0, Implementierungsgruppe 1, unterstützt.
**Anmerkung**
Informationen zu CIS v7.1 IG1 und dem AWS Audit Manager Framework, das diesen Standard unterstützt, finden Sie unter. [CIS Controls v7.1, IG1](CIS-controls.md)
**Topics**
+ [Was sind CIS Controls?](#what-is-CIS-controls-v8)
+ [Verwendung dieses Frameworks](#framework-CIS-controls-v8)
+ [Nächste Schritte](#next-steps-CIS-controls-v8)
+ [Weitere Ressourcen](#resources-CIS-controls-v8)
## Was sind CIS Controls?
Bei den CIS Critical Security Controls (CIS Controls) handelt es sich um ein priorisiertes Maßnahmenpaket zur Abwehr der häufigsten Cyberangriffe auf Systeme und Netzwerke. Sie sind in zahlreichen rechtlichen, regulatorischen und politischen Rahmenwerken verankert und werden von diesen referenziert. CIS Controls v8 wurde verbessert, um mit modernen Systemen und Software Schritt zu halten. Die Umstellung auf cloudbasiertes Computing, Virtualisierung, Mobilität work-from-home, Outsourcing und veränderte Taktiken der Angreifer waren der Grund für das Update. Dieses Update unterstützt die Sicherheit von Unternehmen, die sowohl vollständig auf Cloud- als auch auf Hybridumgebungen umsteigen.
**Unterschied zwischen CIS Controls und CIS-Benchmarks**
Bei CIS Controls handelt es sich um grundlegende Best Practices und Richtlinien, an die sich ein Unternehmen halten kann, um sich vor bekannten Cyberangriffsvektoren zu schützen. CIS-Benchmarks sind Best Practices-Richtlinien für Sicherheitsverfahren speziell für Herstellerprodukte. Die Einstellungen, die anhand eines Benchmarks angewendet werden, reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und schützen die verwendeten Systeme.
**Beispiele**
+ *CIS-Benchmarks* sind präskriptiv. Sie beziehen sich in der Regel auf eine bestimmte Einstellung, die im Herstellerprodukt überprüft und festgelegt werden kann.
+ **Beispiel**: CIS AWS Benchmark v1.2.0 — Stellen Sie sicher, dass MFA für das Konto „Root-Benutzer“ aktiviert ist
+ Diese Empfehlung enthält eine Anleitung, wie dies überprüft werden kann und wie dies für das Root-Konto für die Umgebung eingerichtet werden kann. AWS
+ *CIS Controls *gelten für Ihr gesamtes Unternehmen und beziehen sich nicht nur auf ein Produkt eines Anbieters.
+ **Beispiel**: CIS v7.1 — Verwenden Sie die Multi-Faktor-Authentifizierung für alle administrativen Zugriffe
+ Diese Kontrolle beschreibt, was voraussichtlich in Ihrem Unternehmen angewendet wird. Es informiert Sie jedoch nicht, wie Sie es auf die Systeme und Workloads anwenden sollten, die Sie ausführen (unabhängig davon, wo sie sich befinden).
## Verwendung dieses Frameworks
Sie können das CIS IG1 v8-Framework verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den CIS-Anforderungen in Kontrollsätze eingeordnet. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im CIS v8-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| CIS Critical Security Controls Version 8.0 (CIS v8.0), IG1 | 11 | 45 | 15 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 ConfigDataSourceMappings \$1CIS-Critical-Security-Controls-Version-8.0- (CIS-v8.0](samples/AuditManager_ConfigDataSourceMappings_CIS-Critical-Security-Controls-version-8.0-(CIS-v8.0),-IG1.zip)), - .zip herunter. IG1
Die Kontrollen in diesem Framework dienen nicht zur Überprüfung, ob Ihre Systeme mit CIS Controls konform sind. Darüber hinaus garantieren sie nicht, dass Sie ein CIS-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweissuche erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardsteuerelemente, finden Sie unter. [Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md)
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [CIS Controls v8](https://www.cisecurity.org/controls/v8/)
# FedRAMP Security Baseline Controls r4
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das die Security Baseline Controls r4 des Federal Risk And Authorization Management Program (FedRAMP) unterstützt.
**Topics**
+ [Was ist FedRAMP?](#what-is-fedramp-moderate)
+ [Verwendung dieses Frameworks](#framework-fedramp-moderate)
+ [Nächste Schritte](#next-steps-fedramp-moderate)
+ [Weitere Ressourcen](#resources-fedramp-moderate)
## Was ist FedRAMP?
FedRAMP wurde 2011 gegründet. Es bietet einen kostengünstigen, risikobasierten Ansatz für die Einführung und Nutzung von Cloud-Diensten durch die US-Bundesregierung. FedRAMP ermöglicht es Bundesbehörden, moderne Cloud-Technologien zu nutzen, wobei der Schwerpunkt auf der Sicherheit und dem Schutz von Bundesinformationen liegt.
Weitere Informationen über FedRAMP Moderate Baseline Controls finden Sie in der Vorlage [FedRAMP Moderate Security Testfall-Verfahren](https://www.fedramp.gov/assets/resources/templates/SAP-Appendix-A-FedRAMP-Moderate-Security-Test-Case-Procedures-Template.xlsx).
## Verwendung dieses Frameworks
Sie können das FedRAMP r4-Framework verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Steuerelemente sind gemäß den FedRAMP r4-Anforderungen in Steuersätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details des FedRAMP Moderate Baseline-Frameworks lauten wie folgt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Sicherheitsbasiskontrollen des Federal Risk and Authorization Management Program (FedRAMP) r4, moderat | 36 | 289 | 17 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die [ConfigDataSourceMappingsDatei AuditManager \$1 \$1FedRAMP-Security-Baseline-Controls-r4-Moderate.zip](samples/AuditManager_ConfigDataSourceMappings_FedRAMP-Security-Baseline-Controls-r4-Moderate.zip) herunter.
Die Kontrollen in diesem Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme FedRAMP r4-konform sind. Darüber hinaus können sie nicht garantieren, dass Sie ein FedRAMP-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweissuche erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardsteuerelemente, finden Sie unter. [Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md)
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [AWS Compliance-Seite für FedRAMP](https://aws.amazon.com/compliance/fedramp)
+ [AWS FedRAMP-Blogbeiträge](https://aws.amazon.com/blogs/security/tag/fedramp)
# GDPR 2016
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das die Allgemeine Datenschutzverordnung (DSGVO) 2016 unterstützt.
Dieses Framework enthält nur manuelle Kontrollen. Bei diesen manuellen Kontrollen werden Beweise nicht automatisch gesammelt. Wenn Sie jedoch die Beweiserhebung für einige Kontrollen im Rahmen der DSGVO automatisieren möchten, können Sie die benutzerdefinierte Kontrollfunktion in Audit Manager verwenden. Weitere Informationen finden Sie unter [Verwendung dieses Frameworks](#framework-GDPR).
**Topics**
+ [Was ist die DSGVO?](#what-is-GDPR)
+ [Verwendung dieses Frameworks](#framework-GDPR)
+ [Nächste Schritte](#next-steps-GDPR)
+ [Weitere Ressourcen](#resources-GDPR)
## Was ist die DSGVO?
Die DSGVO ist ein europäisches Datenschutzgesetz, das am 25. Mai 2018 durchsetzbar wurde. Die DSGVO ersetzt die EU-Datenschutzrichtlinie, auch bekannt als [Richtlinie 95/46/EG](http://en.wikipedia.org/wiki/Data_Protection_Directive). Sie soll die Datenschutzgesetze in der gesamten Europäischen Union (EU) vereinheitlichen. Dies geschieht durch die Anwendung eines einzigen Datenschutzgesetzes, das in jedem EU-Mitgliedstaat verbindlich ist.
Die DSGVO gilt für alle Organisationen, die in der EU ansässig sind, und für Organisationen (unabhängig davon, ob sie in der EU ansässig sind), die die personenbezogenen Daten von betroffenen Personen in der EU entweder im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen in der EU oder der Überwachung des Verhaltens innerhalb der EU verarbeiten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Sie finden das DSGVO-Framework auf der Framework-Bibliotheksseite von Audit Manager. Weitere Informationen finden Sie im [Zentrum für die Datenschutz-Grundverordnung (DSGVO)](https://aws.amazon.com/compliance/gdpr-center/).
## Verwendung dieses Frameworks
Sie können das GDPR 2016-Framework in Audit Manager verwenden, um Sie bei der Vorbereitung auf Audits zu unterstützen.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Allgemeine Datenschutzverordnung (DSGVO) 2016 | 0 | 378 | 10 |
Dieses Standard-Framework enthält nur manuelle Steuerungen.
**Anmerkung**
Wenn Sie die Beweissuche für die DSGVO automatisieren möchten, können Sie Audit Manager verwenden, um [Ihre eigenen benutzerdefinierten Kontrollen für die DSGVO zu erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html). Die folgende Tabelle enthält Empfehlungen zu den AWS Datenquellen, die Sie in Ihren benutzerdefinierten Steuerelementen den DSGVO-Anforderungen zuordnen können. Obwohl einige der folgenden Datenquellen mehreren Kontrollen zugeordnet sind, sollten Sie bedenken, dass Ihnen jede Ressourcenbewertung nur einmal in Rechnung gestellt wird.
In den folgenden Empfehlungen werden AWS Config und AWS Security Hub CSPM als Datenquellen verwendet. Um erfolgreich Beweise aus diesen Datenquellen zu sammeln, stellen Sie sicher, dass Sie die Anweisungen zur [Aktivierung AWS Config und Einrichtung sowie AWS Security Hub CSPM](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-recommendations.html) in Ihrem befolgt haben AWS-Konto. Nachdem Sie beide Dienste auf diese Weise eingerichtet haben, sammelt Audit Manager bei jeder Bewertung der angegebenen AWS Config Regel oder Security Hub CSPM-Steuerung Nachweise.
| Name der Kontrolle | Kontrollsatz | Empfohlene Zuordnung der Kontrolldatenquellen |
| --- | --- | --- |
| Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.1 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager , das dieses DSGVO-Steuerelement unterstützt. Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen: Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wählen Sie AWS Security Hub CSPM als Datenquellentyp und wählen Sie die folgenden Security Hub-Steuerelemente als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.2 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager , das diese DSGVO-Steuerung unterstützt. Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wählen Sie AWS Security Hub CSPM als Datenquellentyp und wählen Sie die folgenden Security Hub-Steuerelemente als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.3 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager , das diese DSGVO-Steuerung unterstützt. Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wählen Sie AWS Security Hub CSPM als Datenquellentyp und wählen Sie die folgenden Security Hub-Steuerelemente als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 30 Aufzeichnungen über Prozessaktivitäten.1 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager , das diese DSGVO-Steuerung unterstützt. Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wählen Sie AWS Security Hub CSPM als Datenquellentyp und wählen Sie das folgende Security Hub-Steuerelement als Datenquellenzuordnung aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 30 Aufzeichnungen über Prozessaktivitäten.2 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager , das dieses DSGVO-Steuerelement unterstützt. Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wählen Sie AWS Security Hub CSPM als Datenquellentyp und wählen Sie das folgende Security Hub-Steuerelement als Datenquellenzuordnung aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 30 Aufzeichnungen über Prozessaktivitäten.3 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager , das dieses DSGVO-Steuerelement unterstützt. Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wählen Sie AWS Security Hub CSPM als Datenquellentyp und wählen Sie das folgende Security Hub-Steuerelement als Datenquellenzuordnung aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 30 Aufzeichnungen über Prozessaktivitäten.4 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager , das dieses DSGVO-Steuerelement unterstützt. Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wählen Sie AWS Security Hub CSPM als Datenquellentyp und wählen Sie das folgende Security Hub-Steuerelement als Datenquellenzuordnung aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 30 Aufzeichnungen über Prozessaktivitäten.5 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager , das dieses DSGVO-Steuerelement unterstützt. Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wählen Sie AWS Security Hub CSPM als Datenquellentyp und wählen Sie das folgende Security Hub-Steuerelement als Datenquellenzuordnung aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 32 Sicherheit der Verarbeitung.1 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager , das dieses DSGVO-Steuerelement unterstützt. Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 32 Sicherheit der Verarbeitung.2 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html), das dieses DSGVO-Steuerelement unterstützt. AWS Audit Manager Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 32 Sicherheit der Verarbeitung.3 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html), das dieses DSGVO-Steuerelement unterstützt. AWS Audit Manager Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
| Artikel 32 Sicherheit der Verarbeitung.4 | Kapitel 4 – Controller und Prozessor | Sie können [ein benutzerdefiniertes Steuerelement erstellen](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html), das dieses DSGVO-Steuerelement unterstützt. AWS Audit Manager Wenn Sie die [Kontrolldetails angeben](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), geben Sie unter **Testinformationen** Folgendes ein:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html)Wenn Sie die [Kontrolldatenquellen einrichten](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), empfehlen wir, die folgenden Datenquellen einzubeziehen:Wählen Sie AWS Config als Datenquellentyp und wählen Sie die folgenden AWS Config verwalteten Regeln als Datenquellenzuordnungen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/audit-manager/latest/userguide/GDPR.html) |
Nachdem Sie Ihre neuen benutzerdefinierten Kontrollen für die DSGVO erstellt haben, können Sie diese zu einem Framework für benutzerdefinierte DSGVO hinzufügen. Sie können eine Bewertung aus einem benutzerdefiniertem DSGVO-Framework erstellen. Auf diese Weise kann Audit Manager automatisch Beweise für die von Ihnen hinzugefügten benutzerdefinierten Kontrollen sammeln.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [Zentrum für die Datenschutz-Grundverordnung (DSGVO)](https://aws.amazon.com/compliance/gdpr-center/)
+ [AWS Blogbeiträge zur DSGVO](https://aws.amazon.com/blogs/security/tag/gdpr/)
# Gramm-Leach-Bliley Handeln
AWS Audit Manager bietet ein vorgefertigtes Framework, das den Gramm-Leach-Bliley Act (GLBA) unterstützt.
**Topics**
+ [Was ist der GLBA?](#what-is-the-gramm-leach-bliley-act)
+ [Verwendung dieses Frameworks](#framework-gramm-leach-bliley-act)
+ [Nächste Schritte](#next-steps-glba)
## Was ist der GLBA?
Der GLBA (oder der GLB Act), auch bekannt als Financial Service Modernization Act von 1999, ist ein Bundesgesetz, das in den Vereinigte Staaten erlassen wurde, um den Umgang von Finanzinstituten mit privaten Informationen von Einzelpersonen zu kontrollieren. Das Gesetz besteht aus drei Abschnitten. Der erste ist die „Financial Privacy Rule“, die die Erfassung und Offenlegung privater Finanzinformationen regelt. Der zweite ist die „Safeguards Rule“, die vorsieht, dass Finanzinstitute Sicherheitsprogramme zum Schutz solcher Informationen implementieren müssen. Beim dritten handelt es sich um die „Pretexting Provisions“, die das Vortäuschen von falschen Tatsachen (mit dem Ziel, private Informationen zu erlangen), verbieten. Nach dem Gesetz müssen Finanzinstitute ihren Kunden auch schriftliche Datenschutzerklärungen aushändigen, in denen ihre Praktiken beim Informationsaustausch erläutert werden.
## Verwendung dieses Frameworks
Sie können das GLBA 2016-Framework verwenden, um sich auf Prüfungen vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den GLBA-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das GLBA-Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für ein GLBA-Audit relevant sind. In Ihrer Bewertung können Sie angeben, was Sie in den AWS-Konten Umfang Ihres Audits aufnehmen möchten. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im GLBA-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Gramm-Leach-Bliley Gesetz (GLBA) | 0 | 120 | 16 |
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme dem GLBA-Standard entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein GLBA-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
# Titel 21 CFR Teil 11
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das Titel 21 des Code of Federal Regulations (CFR), Teil 11, Elektronische Aufzeichnungen; elektronische Signaturen — Geltungsbereich und Anwendung, 24. Mai 2023, unterstützt.
**Topics**
+ [Was ist Titel 21 des CFR Part 11?](#what-is-GxP)
+ [Verwendung dieses Frameworks](#framework-GxP)
+ [Nächste Schritte](#next-steps-GxP)
+ [Weitere Ressourcen](#resources-gxp-21-cfr-part-11)
## Was ist Titel 21 des CFR Part 11?
GxP bezieht sich auf die Vorschriften und Richtlinien, die für Unternehmen der Biowissenschaften gelten, die Lebensmittel und Medizinprodukte herstellen. Zu den Medizinprodukten, die darunter fallen, gehören Medikamente, medizinische Geräte und medizinische Softwareanwendungen. Die allgemeine Absicht der GxP-Anforderungen besteht darin, sicherzustellen, dass Lebensmittel und Medizinprodukte für Verbraucher sicher sind. Es geht auch darum, die Integrität der Daten zu gewährleisten, die für produktbezogene Sicherheitsentscheidungen verwendet werden.
In den Vereinigte Staaten werden die GxP-Vorschriften von der US-amerikanischen Food and Drug Administration (FDA) durchgesetzt und sind in Titel 21 des Code of Federal Regulations (21 CFR) enthalten. Teil 11 von 21 CFR enthält die Anforderungen an Computersysteme, die elektronische Aufzeichnungen und elektronische Signaturen zur Unterstützung von GxP-regulierten Aktivitäten erstellen, ändern, verwalten, archivieren, abrufen oder verteilen. Teil 11 wurde geschaffen, um die Einführung neuer Informationstechnologien durch von der FDA regulierte Organisationen der Biowissenschaften zu ermöglichen und gleichzeitig einen Rahmen zu schaffen, der sicherstellt, dass die elektronischen GxP-Daten vertrauenswürdig und zuverlässig sind.
Einen umfassenden Ansatz zur Nutzung der AWS Cloud für GxP-Systeme finden Sie im Whitepaper [Überlegungen zur Verwendung von AWS Produkten in](https://d1.awsstatic.com/whitepapers/compliance/Using_AWS_in_GxP_Systems.pdf) GxP-Systemen.
## Verwendung dieses Frameworks
Sie können das Title 21 CFR Part 11-Framework verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den CFR-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im Rahmen von Title 21 CFR Part 11 definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Titel 21 Code of Federal Regulations (CFR) Teil 11, Elektronische Aufzeichnungen; Elektronische Signaturen — Geltungsbereich und Anwendung 24. Mai 2023 | 6 | 19 | 2 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die [ConfigDataSourceMappingsDatei AuditManager \$1 \$1Title-21-CFR-Part-11.zip](samples/AuditManager_ConfigDataSourceMappings_Title-21-CFR-Part-11.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme den GxP-Vorschriften entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweissuche erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [AWS Compliance-Seite für GxP](https://aws.amazon.com/compliance/gxp-part-11-annex-11/)
+ [Überlegungen zur Verwendung von AWS Produkten in GxP-Systemen](https://d1.awsstatic.com/whitepapers/compliance/Using_AWS_in_GxP_Systems.pdf)
# EU GMP Anhang 11, v1
AWS Audit Manager bietet einen vorgefertigten Rahmen, der die EudraLex Vorschriften für Arzneimittel in der Europäischen Union (EU) — Band 4: Gute Herstellungspraxis (GMP) für Human- und Tierarzneimittel — Anhang 11 unterstützt.
**Topics**
+ [Was ist der EU-GMP-Anhang 11?](#what-is-GxP-EU-Annex-11)
+ [Verwendung dieses Frameworks](#framework-GxP-EU-Annex-11)
+ [Nächste Schritte](#next-steps-GxP-EU-Annex-11)
## Was ist der EU-GMP-Anhang 11?
Das EU-GMP Annex 11-Framework ist das europäische Äquivalent zum Title 21 CFR Part 11-Framework in den Vereinigte Staaten. Dieser Anhang gilt für alle Arten von Computersystemen, die im Rahmen von Tätigkeiten eingesetzt werden und im Rahmen der guten Herstellungspraxis (GMP) reguliert werden. Ein computergestütztes System besteht aus einer Reihe von Software- und Hardwarekomponenten, die zusammen bestimmte Funktionen erfüllen. Die Anwendung sollte validiert und die IT-Infrastruktur qualifiziert sein. Wenn ein computergestütztes System eine manuelle Bedienung ersetzt, sollte dies nicht zu einer Beeinträchtigung der Produktqualität, der Prozesskontrolle oder der Qualitätssicherung führen. Das Gesamtrisiko des Prozesses sollte nicht erhöht werden.
Anhang 11 ist Teil der europäischen GMP-Richtlinien und definiert die Leistungsbeschreibung für computergestützte Systeme, die von Organisationen der Pharmaindustrie verwendet werden. Anhang 11 dient als Checkliste, anhand derer die europäischen Aufsichtsbehörden die Anforderungen an computergestützte Systeme für pharmazeutische Produkte und Medizinprodukte festlegen können. Die von der Kommission der Europäischen Ausschüsse festgelegten Richtlinien sind nicht allzu weit von der FDA entfernt (Titel 21 CFR Part 11). In Anhang 11 sind die Kriterien festgelegt, nach denen elektronische Aufzeichnungen und elektronische Signaturen als verwaltet gelten.
## Verwendung dieses Frameworks
Sie können den EU-GMP-Anhang 11-Rahmen verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den GMP-Anforderungen der EU in Kontrollsätze zusammengefasst. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im EU-GMP-Rahmen nach Anhang 11 definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| EudraLex - Die Vorschriften für Arzneimittel in der Europäischen Union (EU) - Band 4: Gute Herstellungspraxis (GMP) Arzneimittel für Human- und Tierarzneimittel - Anhang 11 | 0 | 32 | 3 |
**Wichtig**
Stellen Sie sicher, dass Sie die erforderlichen AWS Config Regeln aktivieren AWS Config, um sicherzustellen, dass in diesem Rahmen die beabsichtigten Nachweise gesammelt werden. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 ConfigDataSourceMappings \$1 EudraLex -GMP-Volume-4-Annex-11.zip](samples/AuditManager_ConfigDataSourceMappings_EudraLex-GMP-Volume-4-Annex-11.zip) herunter.
Die Kontrollen in diesem Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme den EU-GMP-Anforderungen von Anhang 11 entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein EU-GMP-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
# HIPAA-Sicherheitsregel: Februar 2003
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das die Sicherheitsregel des Health Insurance Portability and Accountability Act (HIPAA) vom Februar 2003 unterstützt.
**Anmerkung**
Informationen zu den HIPAA Final Omnibus Sicherheitsvorschriften 2013 und zum Audit Manager-Framework, das diesen Standard unterstützt, finden Sie unter [Endgültige HIPAA Omnibus-Regel](HIPAA-omnibus-rule.md).
**Topics**
+ [Was ist HIPAA und was sind die HIPAA Sicherheitsvorschriften 2003?](#what-is-HIPAA)
+ [Verwendung dieses Frameworks](#framework-HIPAA)
+ [Nächste Schritte](#next-steps-HIPAA)
+ [Weitere Ressourcen](#resources-HIPAA)
## Was ist HIPAA und was sind die HIPAA Sicherheitsvorschriften 2003?
HIPAA ist ein Gesetz, das US-Arbeitnehmern hilft, ihren Krankenversicherungsschutz beizubehalten, wenn sie ihren Arbeitsplatz wechseln oder verlieren. Die Gesetzgebung zielt auch darauf ab, elektronische Patientenakten zu fördern, um die Effizienz und Qualität des US-Gesundheitssystems durch einen verbesserten Informationsaustausch zu erhöhen.
Neben der zunehmenden Nutzung elektronischer Patientenakten umfasst HIPAA auch Bestimmungen zum Schutz der Sicherheit und des Datenschutzes geschützter Gesundheitsinformationen (Protected IHealth Information, PHI). PHI umfasst eine sehr breite Bandbreite an personenbezogenen identifizierbaren Gesundheits- und gesundheitsbezogener Daten. Dazu gehören Versicherungs- und Abrechnungsinformationen, Diagnosedaten, Daten zur klinischen Versorgung und Laborergebnisse wie Bilder und Testergebnisse.
Das US-Gesundheitsministerium veröffentlichte im Februar 2003 eine endgültige [Sicherheitsvorschrift](https://www.hhs.gov/hipaa/for-professionals/security/index.html). Diese Vorschrift legt nationale Standards für den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von elektronisch geschützten Gesundheitsinformationen fest.
Die HIPAA-Vorschriften gelten für betroffene juristische Personen. Dazu gehören Krankenhäuser, medizinische Dienstleister, vom Arbeitgeber geförderte Krankenversicherungen, Forschungseinrichtungen und Versicherungsunternehmen, die sich direkt mit Patienten und Patientendaten befassen. Die HIPAA-Anforderung zum Schutz von PHI erstreckt sich auch auf Geschäftspartner.
Weitere Informationen darüber, wie HIPAA und HITECH Gesundheitsinformationen schützen, finden Sie auf der Website zum [Datenschutz für Gesundheitsinformationen](https://www.hhs.gov/hipaa/for-professionals/index.html) des US-Gesundheitsministeriums.
Immer mehr Gesundheitsdienstleister, Kostenträger und IT-Experten nutzen AWS nutzungsbasierte Cloud-Dienste, um geschützte Gesundheitsinformationen (PHI) zu verarbeiten, zu speichern und zu übertragen. AWS ermöglicht es betroffenen Unternehmen und ihren Geschäftspartnern, die HIPAA unterliegen, die sichere AWS Umgebung zur Verarbeitung, Pflege und Speicherung geschützter Gesundheitsinformationen zu nutzen.
Anweisungen zur Verarbeitung und Speicherung von Gesundheitsinformationen finden Sie AWS im Whitepaper [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://d1.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf).
## Verwendung dieses Frameworks
Sie können das Framework *HIPAA Sicherheitsvorschriften 2003* verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den HIPAA-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies erfolgt auf der Grundlage der Kontrollen, die im HIPAA-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Sicherheitsregel des Health Insurance Portability and Accountability Act (HIPAA): Februar 2003 | 24 | 61 | 5 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die [ConfigDataSourceMappingsDatei AuditManager \$1 \$1HIPAA-Security-Rule-Feb-2003.zip](samples/AuditManager_ConfigDataSourceMappings_HIPAA-Security-Rule-Feb-2003.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme dem HIPAA-Standard entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein HIPAA-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [Datenschutz von Gesundheitsinformationen](https://www.hhs.gov/hipaa/for-professionals/index.html) vom US-Gesundheitsministerium
+ [Die Sicherheitsvorschriften](https://www.hhs.gov/hipaa/for-professionals/security/index.html) des US-Gesundheitsministeriums
+ [Erstellen von Architekturen für HIPAA-Sicherheit und -Compliance in Amazon Web Services](https://d1.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf)
+ [AWS Compliance-Seite für HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/)
# Endgültige HIPAA Omnibus-Regel
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das die Omnibus Final Rule des Health Insurance Portability and Accountability Act (HIPAA) unterstützt.
**Anmerkung**
Informationen zur HIPAA-Sicherheitsregel 2003 und dem AWS Audit Manager Framework, das diesen Standard unterstützt, finden Sie unter. [HIPAA-Sicherheitsregel: Februar 2003](HIPAA.md)
**Topics**
+ [Was ist HIPAA und was sind die HIPAA Final Omnibus Sicherheitsvorschriften?](#what-is-HIPAA-omnibus-rule)
+ [Verwendung dieses Frameworks](#framework-HIPAA)
+ [Nächste Schritte](#next-steps-HIPAA-omnibus-rule)
+ [Weitere Ressourcen](#resources-HIPAA-omnibus-rule)
## Was ist HIPAA und was sind die HIPAA Final Omnibus Sicherheitsvorschriften?
HIPAA ist ein Gesetz, das US-Arbeitnehmern hilft, den Krankenversicherungsschutz beizubehalten, wenn sie ihren Arbeitsplatz wechseln oder verlieren. Die Gesetzgebung zielt auch darauf ab, elektronische Patientenakten zu fördern, um die Effizienz und Qualität des US-Gesundheitssystems durch einen verbesserten Informationsaustausch zu erhöhen.
Neben der zunehmenden Nutzung elektronischer Patientenakten umfasst HIPAA auch Bestimmungen zum Schutz der Sicherheit und des Datenschutzes geschützter Gesundheitsinformationen (Protected IHealth Information, PHI). PHI umfasst eine sehr breite Bandbreite an personenbezogenen identifizierbaren Gesundheits- und gesundheitsbezogener Daten. Dazu gehören Versicherungs- und Abrechnungsinformationen, Diagnosedaten, Daten zur klinischen Versorgung und Laborergebnisse wie Bilder und Testergebnisse.
Die endgültigen HIPAA Final Omnibus-Sicherheitsvorschriften, die 2013 in Kraft traten, enthalten eine Reihe von Aktualisierungen aller zuvor verabschiedeten Regeln. Die Änderungen der Regeln für Sicherheit, Datenschutz, Meldung und Durchsetzung von Sicherheitsverstößen sollten die Vertraulichkeit und Sicherheit beim Datenaustausch verbessern.
Die HIPAA-Vorschriften gelten für betroffene juristische Personen. Dazu gehören Krankenhäuser, medizinische Dienstleister, vom Arbeitgeber geförderte Krankenversicherungen, Forschungseinrichtungen und Versicherungsunternehmen, die sich direkt mit Patienten und Patientendaten befassen. Im Rahmen der umfassenden Aktualisierungen gelten viele der HIPAA-Vorschriften, die für betroffene Unternehmen gelten, nun auch für Geschäftspartner.
Weitere Informationen darüber, wie HIPAA und HITECH Gesundheitsinformationen schützen, finden Sie auf der Website zum [Datenschutz für Gesundheitsinformationen](https://www.hhs.gov/hipaa/for-professionals/index.html) des US-Gesundheitsministeriums.
Immer mehr Gesundheitsdienstleister, Kostenträger und IT-Experten nutzen AWS nutzungsbasierte Cloud-Dienste, um geschützte Gesundheitsinformationen (PHI) zu verarbeiten, zu speichern und zu übertragen. AWS ermöglicht es betroffenen Unternehmen und ihren Geschäftspartnern, die HIPAA unterliegen, die sichere AWS Umgebung zur Verarbeitung, Pflege und Speicherung geschützter Gesundheitsinformationen zu nutzen. Anweisungen zur Verarbeitung und Speicherung von Gesundheitsinformationen finden Sie AWS im Whitepaper [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://d1.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf).
## Verwendung dieses Frameworks
Sie können das HIPAA Omnibus Final Rule Framework verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den HIPAA-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies erfolgt auf der Grundlage der Kontrollen, die im HIPAA-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Endgültige Omnibus-Regel des Gesetzes über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) | 21 | 53 | 5 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die [ConfigDataSourceMappingsDatei AuditManager \$1 \$1HIPAA-Omnibus-Final-Rule.zip](samples/AuditManager_ConfigDataSourceMappings_HIPAA-Omnibus-Final-Rule.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme dem HIPAA-Standard entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein HIPAA-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [Datenschutz von Gesundheitsinformationen](https://www.hhs.gov/hipaa/for-professionals/index.html) vom US-Gesundheitsministerium
+ [Omnibus HIPAA Rulemaking](https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/combined-regulation-text/omnibus-hipaa-rulemaking/index.html) des US-Ministerium für Gesundheitspflege und Soziale Dienste
+ [Erstellen von Architekturen für HIPAA-Sicherheit und -Compliance in Amazon Web Services](https://d1.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf)
+ [AWS Compliance-Seite für HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/)
# ISO/IEC 27001:2013 Anhang A
AWS Audit Manager bietet ein vorgefertigtes Standardframework, das den Anhang A der Internationalen Organisation für Normung (ISO) /IEC 27001:2013 der Internationalen Elektrotechnischen Kommission (IEC) unterstützt.
**Topics**
+ [ISO/IEC Was ist 27001:2013 Anhang A?](#what-is-iso-27001-2013)
+ [Verwendung dieses Frameworks](#framework-iso-27001-2013)
+ [Nächste Schritte](#next-steps-iso-27001-2013)
+ [Weitere Ressourcen](#resources-iso-27001-2013-moderate)
## ISO/IEC Was ist 27001:2013 Anhang A?
Die Internationale Elektrotechnische Kommission (IEC) und die Internationale Organisation für Normung (ISO) sind beide unabhängige not-for-profit Nichtregierungsorganisationen, die internationale Normen entwickeln und veröffentlichen, die vollständig auf Konsens basieren.
ISO/IEC 27001:2013 Annex A is a security management standard that specifies security management best practices and comprehensive security controls that follow the ISO/IEC27002 Leitlinien für bewährte Verfahren. Dieser internationale Standard legt die Anforderungen für die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems in Ihrem Unternehmen fest. Zu diesen Standards gehören Anforderungen an die Bewertung und Behandlung von Informationssicherheitsrisiken, die auf die Bedürfnisse Ihres Unternehmens zugeschnitten sind. Die Anforderungen in diesem internationalen Standard sind allgemein gehalten und sollen für alle Organisationen gelten, unabhängig von Art, Größe oder Natur.
## Verwendung dieses Frameworks
Sie können den AWS Audit Manager Rahmen für Anhang A ISO/IEC 27001:2013 verwenden, um sich auf Prüfungen vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den Anforderungen von ISO/IEC 27001:2013 Anhang A in Kontrollsätze zusammengefasst. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Ausgangspunkt verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Nachweisen beginnen, die für ein Audit nach Anhang A ISO/IEC 27001:2013 relevant sind. In Ihrer Bewertung können Sie angeben, welche Punkte Sie in den AWS-Konten Umfang Ihrer Prüfung einbeziehen möchten. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im Rahmenwerk ISO/IEC 27001:2013 in Anhang A definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Internationale Organisation für Normung (ISO) /Internationale Elektrotechnische Kommission (IEC) 27001:2013 Anhang A | 21 | 93 | 35 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die [ConfigDataSourceMappingsDatei AuditManager \$1 \$1ISO-IEC-270012013-Annex-A.zip](samples/AuditManager_ConfigDataSourceMappings_ISO-IEC-270012013-Annex-A.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme diesem internationalen Standard entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein ISO/IEC Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ Weitere Informationen zu diesem internationalen Standard finden Sie unter [ISO/IEC 27001:2013](https://webstore.ansi.org/Standards/ISO/ISOIEC270012013) im ANSI Webstore.
# NIST SP 800-53 Rev. 5
AWS Audit Manager bietet ein vorgefertigtes Framework, das NIST 800-53 Rev 5: Security and Privacy Controls for Information Systems and Organizations unterstützt.
**Anmerkung**
Informationen zum Audit Manager Manager-Framework, das NIST SP 800-171 unterstützt, finden Sie unter. [NIST SP 800-171 Rev. 2](NIST-800-171-r2-1.1.md)
Informationen zum Audit Manager Manager-Framework, das NIST CSF unterstützt, finden Sie unter. [NIST Cybersecurity Framework v1.1](NIST-Cybersecurity-Framework-v1-1.md)
**Topics**
+ [Was ist NIST SP 800-53?](#what-is-NIST800-53r5)
+ [Verwendung dieses Frameworks](#framework-NIST800-53r5)
+ [Nächste Schritte](#next-steps-NIST800-53r5)
+ [Weitere Ressourcen](#resources-NIST800-53r5)
## Was ist NIST SP 800-53?
Das [National Institute of Standards and Technology (NIST)](https://www.nist.gov/) wurde 1901 gegründet und ist heute Teil des US-Handelsministeriums. NIST ist eines der ältesten Labors für physikalische Wissenschaften in den USA. Der US-Kongress richtete die Behörde ein, um die zu dieser Zeit zweitklassige Messinfrastruktur zu verbessern. Die Infrastruktur stellte eine große Herausforderung für die industrielle Wettbewerbsfähigkeit der USA dar, da sie hinter anderen Wirtschaftsmächten wie Großbritannien und Deutschland zurückgeblieben war.
Die Sicherheitskontrollen von NIST SP 800-53 gelten im Allgemeinen für Informationssysteme der US-Bundesbehörden. Dabei handelt es sich in der Regel um Systeme, die ein formelles Bewertungs- und Autorisierungsverfahren durchlaufen müssen. Dieser Prozess gewährleistet einen ausreichenden Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationssystemen. Dies basiert auf der Sicherheitskategorie und dem Auswirkungsgrad des Systems (niedrig, mittel oder hoch) sowie auf einer Risikoermittlung. Die Sicherheitskontrollen werden aus dem NIST SP 800-53 Sicherheitskontroll-Katalog gewählt, und das System wird auf Grundlage dieser Sicherheitskontrollanforderungen bewertet.
Das NIST SP 800-53-Framework stellt die Sicherheitskontrollen und die zugehörigen Bewertungsverfahren dar, die in NIST SP 800-53 Revision 5 Recommended Security Controls for Federal Information Systems and Organizations definiert sind. Alle inhaltlichen Abweichungen zwischen diesem NIST SP 800-53-Framework und der zuletzt veröffentlichten NIST-Sonderveröffentlichung SP 800-53 (5. Überarb.) finden Sie in den offiziell veröffentlichten Dokumenten, die im [NIST Computer Security Resource Center](http://csrc.nist.gov) verfügbar sind.
## Verwendung dieses Frameworks
Sie können das NIST SP 800-53-Framework verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den NIST-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies erfolgt auf der Grundlage der Kontrollen, die im NIST SP 800-53-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| NIST 800-53 Rev 5: Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organizations | 132 | 875 | 20 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die [ConfigDataSourceMappingsDatei AuditManager \$1 \$1NIST-800-53-Rev-5.zip](samples/AuditManager_ConfigDataSourceMappings_NIST-800-53-Rev-5.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme dem NIST-Standard entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein NIST-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [National Institute of Standards and Technology (NIST)](https://www.nist.gov/)
+ [NIST Computer Security Resource Center](http://csrc.nist.gov)
+ [AWS Compliance-Seite für NIST](https://aws.amazon.com/compliance/nist/)
# NIST Cybersecurity Framework v1.1
AWS Audit Manager bietet ein vorgefertigtes Framework, das das NIST Cybersecurity Framework (CSF) v1.1 unterstützt.
**Anmerkung**
Informationen zum Audit Manager Manager-Framework, das NIST SP 800-53 unterstützt, finden Sie unter. [NIST SP 800-53 Rev. 5](NIST800-53r5.md)
Informationen zum Audit Manager Manager-Framework, das NIST SP 800-171 unterstützt, finden Sie unter. [NIST SP 800-171 Rev. 2](NIST-800-171-r2-1.1.md)
**Topics**
+ [Was ist das NIST Cybersecurity Framework?](#what-is-NIST-Cybersecurity-Framework-v1-1)
+ [Verwendung dieses Frameworks](#framework-NIST-Cybersecurity-Framework-v1-1)
+ [Nächste Schritte](#next-steps-NIST-Cybersecurity-Framework-v1-1)
+ [Weitere Ressourcen](#resources-NIST-Cybersecurity-Framework-v1-1)
## Was ist das NIST Cybersecurity Framework?
Das [National Institute of Standards and Technology (NIST)](https://www.nist.gov/) wurde 1901 gegründet und ist heute Teil des US-Handelsministeriums. NIST ist eines der ältesten Labors für physikalische Wissenschaften in den USA. Der US-Kongress richtete die Behörde ein, um die zu dieser Zeit zweitklassige Messinfrastruktur zu verbessern. Die Infrastruktur stellte eine große Herausforderung für die industrielle Wettbewerbsfähigkeit der USA dar, da sie hinter anderen Wirtschaftsmächten wie Großbritannien und Deutschland zurückgeblieben war.
Die USA sind auf das zuverlässige Funktionieren kritischer Infrastrukturen angewiesen. Cybersicherheitsbedrohungen nutzen die zunehmende Komplexität und Vernetzung kritischer Infrastruktursysteme aus. Sie gefährden die Sicherheit, Wirtschaft und öffentliche Sicherheit und Gesundheit der USA. Ähnlich wie Finanz- und Reputationsrisiken wirken sich Cybersicherheitsrisiken auf das Geschäftsergebnis eines Unternehmens aus. Sie können die Kosten in die Höhe treiben und den Umsatz beeinträchtigen. Sie können die Fähigkeit eines Unternehmens beeinträchtigen, innovativ zu sein und Kunden zu gewinnen und zu halten. Letztlich kann Cybersicherheit das allgemeine Risikomanagement eines Unternehmens verbessern.
Das NIST Cybersecurity Framework (CSF) wird von Regierungen und Branchen weltweit als empfohlene Grundlage für die Nutzung durch alle Organisationen unabhängig von Branche oder Größe unterstützt. Das NIST Cybersecurity Framework besteht aus drei Hauptkomponenten: dem Framework-Kern, den Profilen und den Implementierungsstufen. Der Kern des Frameworks umfasst die gewünschten Cybersicherheitsaktivitäten und -ergebnisse, die in 23 Kategorien unterteilt sind und die gesamte Bandbreite der Cybersicherheitsziele eines Unternehmens abdecken. Die Profile enthalten die individuelle Ausrichtung eines Unternehmens in Bezug auf ihre organisatorischen Anforderungen und Ziele, ihre Risikobereitschaft und ihre Ressourcen unter Verwendung der gewünschten Ergebnisse des Framework-Kerns. Die Implementierungsstufen beschreiben, inwieweit die Praktiken eines Unternehmens im Bereich des Cybersicherheitsrisikomanagements die im Kern des Frameworks definierten Merkmale aufweisen.
## Verwendung dieses Frameworks
Sie können das NIST CSF v1.1 verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den NIST CSF-Anforderungen in Kontrollsätze gruppiert. Audit Manager unterstützt derzeit die Kernkomponente des Frameworks. Audit Manager unterstützt das Profil und die Implementierungskomponenten in diesem Framework nicht.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im NIST CSF definiert sind. Wenn es Zeit für ein Audit ist, können Sie — oder ein Delegierter Ihrer Wahl — die von Audit Manager gesammelten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| NIST Cybersecurity Framework (CSF) v1.1 | 14 | 94 | 22 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 ConfigDataSourceMappings \$1NIST-CSF-v1.1.zip](samples/AuditManager_ConfigDataSourceMappings_NIST-CSF-v1.1.zip) herunter.
Die von Audit Manager angebotenen Kontrollen dienen nicht dazu, zu überprüfen, ob Ihre Systeme mit dem NIST CSF konform sind. Darüber hinaus können sie nicht garantieren, dass Sie ein NIST-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweissuche erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter. [Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md)
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [National Institute of Standards and Technology (NIST)](https://www.nist.gov/)
+ [NIST Computer Security Resource Center](http://csrc.nist.gov)
+ [AWS Compliance-Seite für NIST](https://aws.amazon.com/compliance/nist/)
+ [NIST Cybersecurity Framework — Anpassung an das NIST CSF in der Cloud AWS](https://d1.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf)
# NIST SP 800-171 Rev. 2
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das NIST 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations unterstützt.
**Anmerkung**
Informationen zum Audit Manager Manager-Framework, das NIST SP 800-53 unterstützt, finden Sie unter. [NIST SP 800-53 Rev. 5](NIST800-53r5.md)
Informationen zum Audit Manager Manager-Framework, das NIST CSF unterstützt, finden Sie unter. [NIST Cybersecurity Framework v1.1](NIST-Cybersecurity-Framework-v1-1.md)
**Topics**
+ [Was ist NIST SP 800-171?](#what-is-NIST800-171)
+ [Verwendung dieses Frameworks](#framework-NIST-800-171-r2-1.1)
+ [Nächste Schritte](#next-steps-NIST-800-171-r2-1.1)
+ [Weitere Ressourcen](#resources-NIST-800-171-r2-1.1)
## Was ist NIST SP 800-171?
NIST SP 800-171 konzentriert sich auf den Schutz der Vertraulichkeit kontrollierter, nicht klassifizierter Informationen (Controlled Unclassified Information, CUI) in nicht-föderalen Systemen und Organisationen. Es empfiehlt spezifische Sicherheitsanforderungen, um dieses Ziel zu erreichen. NIST 800-171 ist eine Veröffentlichung, in der die erforderlichen Sicherheitsstandards und -praktiken für nicht-föderale Organisationen beschrieben werden, die CUI in ihren Netzwerken verwenden. Sie wurde erstmals im Juni 2015 vom [National Institute of Standards and Technology (NIST)](https://www.nist.gov/) veröffentlicht. NIST ist eine US-Regierungsbehörde, die mehrere Standards und Publikationen veröffentlicht hat, um die Widerstandsfähigkeit der Cybersicherheit im öffentlichen und privaten Sektor zu stärken. NIST SP 800-171 wurde regelmäßig aktualisiert, um neuen Cyberbedrohungen und sich ändernden Technologien gerecht zu werden. Die neueste Version (2. Überarb.) wurde im Februar 2020 veröffentlicht.
Die Cybersicherheitskontrollen innerhalb von NIST SP 800-171 schützen CUI in den IT-Netzwerken von staatlichen Auftragnehmern und Subunternehmern. Sie definiert die Praktiken und Verfahren, an die sich staatliche Auftragnehmer halten müssen, wenn ihre Netzwerke CUI verarbeiten oder speichern. NIST SP 800-171 gilt nur für die Teile des Netzwerks eines Auftragnehmers, in denen CUI vorhanden ist.
## Verwendung dieses Frameworks
Sie können das NIST SP 800-171-Framework verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den NIST-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im NIST SP 800-171-Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| NIST 800-171 Revision 2: Schutz kontrollierter, nicht klassifizierter Informationen in nichtföderalen Systemen und Organizations | 35 | 75 | 14 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die [ConfigDataSourceMappingsDatei AuditManager \$1 \$1NIST-800-171-Rev-2.zip](samples/AuditManager_ConfigDataSourceMappings_NIST-800-171-Rev-2.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme mit NIST 800-171 konform sind. Darüber hinaus können sie nicht garantieren, dass Sie ein NIST-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweissuche erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardsteuerelemente, finden Sie unter. [Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md)
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [National Institute of Standards and Technology (NIST)](https://www.nist.gov/)
+ [NIST Computer Security Resource Center](http://csrc.nist.gov)
+ [AWS Compliance-Seite für NIST](https://aws.amazon.com/compliance/nist/)
# PCI DSS v3.2.1
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das den Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 unterstützt.
**Anmerkung**
Informationen zu PCI DSS v4 und dem Audit Manager-Framework, das ihn unterstützt, finden Sie unter [PCI DSS V4.0](pci-v4.md).
**Topics**
+ [Was ist PCI DSS?](#what-is-PCI)
+ [Verwendung dieses Frameworks](#framework-PCI)
+ [Nächste Schritte](#next-steps-PCI)
+ [Weitere Ressourcen](#resources-PCI-DSS)
## Was ist PCI DSS?
PCI DSS ist ein proprietärer Informationssicherheitsstandard. Er wird vom [PCI Security Standards Council](https://www.pcisecuritystandards.org/) verwaltet, der von American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc gegründet wurde. PCI DSS gilt für Unternehmen, die Karteninhaberdaten (CHD) oder sensible Authentifizierungsdaten (SAD) speichern, verarbeiten oder übertragen. Dazu gehören unter anderem Händler, Auftragsverarbeiter, Käufer, Emittenten und Dienstleister. PCI DSS untersteht dem Mandat der Kartenmarken und wird vom Payment Card Industry Security Standards Council verwaltet.
AWS ist als PCI DSS Level 1 Service Provider zertifiziert, was die höchste verfügbare Bewertungsstufe darstellt. Die Compliance-Bewertung wurde von Coalfire Systems Inc., einem unabhängigen qualifizierten Sicherheitsgutachter (Qualified Security Assessor, QSA), durchgeführt. Die PCI-DSS-Konformitätsbescheinigung (AOC) und die Zusammenfassung der Verantwortlichkeiten stehen Ihnen unter zur Verfügung. AWS Artifact Dies ist ein Self-Service-Portal für den On-Demand-Zugriff auf Compliance-Berichte. AWS Melden Sie sich [AWS Artifact in der AWS Management Console](https://console.aws.amazon.com/artifact) an oder erfahren Sie mehr unter [Erste Schritte mit AWS Artifact](https://aws.amazon.com/artifact/getting-started/).
Sie können den PCI DSS-Standard aus der [PCI Security Standards Council Document Library](https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss) herunterladen.
## Verwenden Sie dieses Framework zur Unterstützung Ihrer Audit-Vorbereitung
Sie können das Framework *PCI DSS v3.2.1 * verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den PCI-DSS-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im PCI DSS v3.2.1 Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS) v3.2.1 | 38 | 246 | 15 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 ConfigDataSourceMappings \$1PCI-DSS-v3.2.1.zip](samples/AuditManager_ConfigDataSourceMappings_PCI-DSS-v3.2.1.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme dem PCI-DSS-Standard entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein PCI-DSS-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [PCI Security Standards Council](https://www.pcisecuritystandards.org/)
+ [Dokumentenbibliothek des PCI Security Standards Council](https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss).
+ [AWS Compliance-Seite für PCI DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)
# PCI DSS V4.0
AWS Audit Manager bietet ein vorgefertigtes Framework, das den Payment Card Industry Data Security Standard (PCI DSS) v4.0 unterstützt.
**Anmerkung**
Informationen zu PCI DSS v3.2.1 und dem Audit Manager-Framework, das ihn unterstützt, finden Sie unter [PCI DSS v3.2.1](PCI.md).
**Topics**
+ [Was ist PCI DSS?](#what-is-PCI-v4)
+ [Verwendung dieses Frameworks](#framework-PCI-v4)
+ [Nächste Schritte](#next-steps-PCI-v4)
+ [Weitere Ressourcen](#resources-PCI-v4)
## Was ist PCI DSS?
Der Payment Card Industry Data Security Standard (PCI DSS) ist ein globaler Standard, der grundlegende technische und betriebliche Anforderungen für den Schutz von Zahlungsdaten bietet. PCI DSS v4.0 ist die nächste Entwicklung des Standards.
PCI DSS wurde entwickelt, um die Datensicherheit von Zahlungskartenkonten zu fördern und zu verbessern. Es erleichtert auch die großflächige Einführung einheitlicher Datensicherheitsmaßnahmen weltweit. Es definiert grundlegende technische und betriebliche Anforderungen zum Schutz von Kontodaten. Obwohl es speziell für Umgebungen mit Zahlungskartenkontodaten konzipiert wurde, können Sie PCI DSS auch verwenden, um sich vor Bedrohungen zu schützen und andere Elemente im Zahlungsökosystem zu sichern.
Der PCI Security Standards Council (PCI SSC) hat zwischen PCI DSS v3.2.1 und v4.0 viele Änderungen eingeführt. Diese Updates sind in drei Kategorien unterteilt:
1. **Neue Anforderungen** – Änderungen, um sicherzustellen, dass der Standard mit neuen Bedrohungen und Technologien sowie mit Veränderungen in der Zahlungsbranche Schritt hält. Beispiele hierfür sind neue oder geänderte Anforderungen oder Testverfahren oder die Abschaffung einer Anforderung.
1. **Klarstellung oder Anleitung** – Aktualisierungen des Wortlauts, der Erläuterung, der Definition, zusätzliche Leitlinien oder Anweisungen, um das Verständnis zu verbessern oder weitere Informationen oder Anleitungen zu einem bestimmten Thema bereitzustellen.
1. **Struktur oder Format** – Neuorganisation von Inhalten, einschließlich der Kombination, Trennung und Neunummerierung von Anforderungen zur Abstimmung der Inhalte.
## Verwenden Sie dieses Framework zur Unterstützung Ihrer Audit-Vorbereitung
**Anmerkung**
Dieses Standard-Framework verwendet konsolidierte Kontrollen von Security Hub CSPM als Datenquelle. Um erfolgreich Beweise aus konsolidierten Kontrollen zu sammeln, stellen Sie sicher, dass Sie [die Einstellung für konsolidierte Kontrollergebnisse in Security Hub CSPM aktiviert](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings) haben. Weitere Informationen zur Verwendung von Security Hub als Datenquellentyp finden Sie unter [AWS Security Hub CSPM -Kontrollen, die unterstützt werden von AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html).
Sie können das Framework PCI DSS V4.0 verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den PCI-DSS-V4.0-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im Framework PCI DSS V4.0 definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS) v4.0 | 40 | 240 | 15 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 ConfigDataSourceMappings \$1PCI-DSS-v4.0.zip](samples/AuditManager_ConfigDataSourceMappings_PCI-DSS-v4.0.zip) herunter.
Die Kontrollen in diesem AWS Audit Manager Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme dem PCI-DSS-Standard entsprechen. Darüber hinaus können sie nicht garantieren, dass Sie ein PCI-DSS-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [PCI DSS v4.0 Resource Hub](https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub)
+ [PCI Security Standards Council](https://www.pcisecuritystandards.org/)
+ [Dokumentenbibliothek des PCI Security Standards Council](https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss).
+ [AWS Compliance-Seite für PCI DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)
+ [Leitfaden zur Einhaltung des Datenschutzstandards der Zahlungskartenindustrie (PCI DSS) v4.0 AWS](https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws-v4-102023.pdf)
# SSAE-18 SOC 2
AWS Audit Manager bietet ein vorgefertigtes Standard-Framework, das das Statement on Standards for Attestations Engagement (SSAE) Nr. 18, Service Organizations Controls (SOC) Report 2, unterstützt.
**Topics**
+ [Was ist SOC 2?](#what-is-SOC2)
+ [Verwendung dieses Frameworks](#framework-SOC2)
+ [Nächste Schritte](#next-steps-SOC2)
+ [Weitere Ressourcen](#resources-SOC2)
## Was ist SOC 2?
**SOC 2, definiert vom [American Institute of Certified Public Accountants](https://en.wikipedia.org/wiki/American_Institute_of_Certified_Public_Accountants) (AICPA), ist der Name einer Reihe von Berichten, die im Rahmen eines Audits erstellt werden. Es ist für Dienstleistungsunternehmen (Organisationen, die Informationssysteme als Service für andere Organisationen bereitstellen) vorgesehen, um validierte Berichte über [interne Kontrollen](https://en.wikipedia.org/wiki/Internal_controls) dieser Informationssysteme an die Nutzer dieser Dienste herauszugeben. Die Berichte konzentrieren sich auf Kontrollen, die in fünf Kategorien unterteilt sind und als *Trust Service Principles* bezeichnet werden.
AWS SOC-Berichte sind unabhängige Prüfungsberichte von Drittanbietern, die belegen, wie wichtige Compliance-Kontrollen und -Ziele AWS erreicht werden. Der Zweck dieser Berichte besteht darin, Ihnen und Ihren Prüfern zu vermitteln, welche AWS Kontrollen zur Unterstützung der Betriebsabläufe und der Einhaltung von Vorschriften eingeführt wurden. Es gibt fünf AWS SOC-Berichte:
+ AWS SOC 1-Bericht, erhältlich für AWS Kunden von. [AWS Artifact](https://aws.amazon.com/artifact/getting-started/)
+ AWS SOC 2-Bericht zu Sicherheit, Verfügbarkeit und Vertraulichkeit, erhältlich für AWS Kunden von. [AWS Artifact](https://aws.amazon.com/artifact/getting-started/)
+ AWS Der SOC 2-Bericht zu Sicherheit, Verfügbarkeit und Vertraulichkeit ist für AWS Kunden erhältlich von [AWS Artifact](https://aws.amazon.com/artifact/getting-started/)(der Geltungsbereich umfasst nur Amazon DocumentDB).
+ AWS SOC 2 Privacy Type I Report, erhältlich für Kunden von AWS . [AWS Artifact](https://aws.amazon.com/artifact/getting-started/)
+ AWS SOC 3-Bericht zu Sicherheit, Verfügbarkeit und Vertraulichkeit, [öffentlich als Whitepaper verfügbar](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf).
## Verwenden Sie dieses Framework zur Unterstützung Ihrer Audit-Vorbereitung
Sie können dieses Framework verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den SOC 2-Anforderungen in Kontrollsätze gruppiert. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.
Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.
Die Details zum Framework sind im Folgenden aufgeführt:
| Name des Frameworks in AWS Audit Manager | Anzahl der automatisierten Kontrollen | Anzahl der manuellen Kontrollen | Anzahl der Kontrollsätze |
| --- | --- | --- | --- |
| Erklärung zu Standards for Attestations Engagement (SSAE) Nr. 18, Service Organizations Controls (SOC) Report 2 | 15 | 46 | 20 |
**Wichtig**
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt AWS Security Hub CSPM, stellen Sie sicher, dass Sie alle Standards in Security Hub CSPM aktiviert haben.
Um sicherzustellen, dass dieses Framework die beabsichtigten Beweise sammelt, stellen Sie sicher AWS Config, dass Sie die erforderlichen AWS Config Regeln aktivieren. Um die AWS Config Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei [AuditManager\$1 ConfigDataSourceMappings \$1SSAE-No.-18-SOC-Report-2.zip](samples/AuditManager_ConfigDataSourceMappings_SSAE-No.-18-SOC-Report-2.zip) herunter.
Die Kontrollen in diesem Framework dienen nicht dazu, zu überprüfen, ob Ihre Systeme konform sind. AWS Audit Manager Darüber hinaus können sie nicht garantieren, dass Sie ein Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweiserhebung erfordern.
## Nächste Schritte
Anweisungen zum Anzeigen detaillierter Informationen zu diesem Framework, einschließlich der Liste der darin enthaltenen Standardkontrollen, finden Sie unter[Überprüfung eines Frameworks in AWS Audit Manager](review-frameworks.md).
Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter [Erstellen einer Bewertung in AWS Audit Manager](create-assessments.md).
Anweisungen zur Anpassung dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter[Erstellen einer editierbaren Kopie eines vorhandenen Frameworks in AWS Audit Manager](create-custom-frameworks-from-existing.md).
## Weitere Ressourcen
+ [AWS Compliance-Seite für SOC](https://aws.amazon.com/compliance/soc-faqs/)