Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de fonctionnement pour NERC CIP BCSI
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre les normes de protection des infrastructures critiques (NERC CIP) de la North American Electric Reliability Corporation pour les informations sur les cybersystèmes BES (BCSI), CIP-004-7 et CIP-011-3, et les règles gérées. AWS Config Chaque règle de AWS configuration s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles NERC CIP applicables au BCSI. Un contrôle NERC CIP peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
ID du contrôle | Description du contrôle | AWS Config Règle | Conseils |
---|---|---|---|
CIP-004-7-R6-Partie 6.1 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de gestion des accès documentés pour autoriser, vérifier et révoquer l'accès accordé au BCSI relatif aux « systèmes applicables » identifiés dans le tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information), qui incluent collectivement chacune des parties des exigences applicables du tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information). Pour obtenir l'accès au BCSI dans le cadre de cette exigence, une personne peut à la fois obtenir et utiliser le BCSI. L'accès accordé doit être considéré comme le résultat des mesures spécifiques prises pour fournir à une ou plusieurs personnes les moyens d'accéder au BCSI (par exemple, cela peut inclure des clés physiques ou des cartes d'accès, des utilisateurs et des droits et privilèges associés, des clés de chiffrement). Partie 6.1 : avant de fournir un accès à un utilisateur, autorisez-le (sauf si déjà autorisé conformément à la partie 4.1.) à y accéder selon ses besoins, conformément à la notion d'entité responsable, excepté en cas de circonstances exceptionnelles du CIP : 6.1.1. Fournir un accès électronique au BCSI électronique | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des OpenSearch tableaux de bord mutualisés et l'authentification HTTP de base pour Kibana et Kibana. OpenSearch | |
CIP-004-7-R6-Partie 6.1 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de gestion des accès documentés pour autoriser, vérifier et révoquer l'accès accordé au BCSI relatif aux « systèmes applicables » identifiés dans le tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information), qui incluent collectivement chacune des parties des exigences applicables du tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information). Pour obtenir l'accès au BCSI dans le cadre de cette exigence, une personne peut à la fois obtenir et utiliser le BCSI. L'accès accordé doit être considéré comme le résultat des mesures spécifiques prises pour fournir à une ou plusieurs personnes les moyens d'accéder au BCSI (par exemple, cela peut inclure des clés physiques ou des cartes d'accès, des utilisateurs et des droits et privilèges associés, des clés de chiffrement). Partie 6.1 : avant de fournir un accès à un utilisateur, autorisez-le (sauf si déjà autorisé conformément à la partie 4.1.) à y accéder selon ses besoins, conformément à la notion d'entité responsable, excepté en cas de circonstances exceptionnelles du CIP : 6.1.1. Fournir un accès électronique au BCSI électronique | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
CIP-004-7-R6-Partie 6.1 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de gestion des accès documentés pour autoriser, vérifier et révoquer l'accès accordé au BCSI relatif aux « systèmes applicables » identifiés dans le tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information), qui incluent collectivement chacune des parties des exigences applicables du tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information). Pour obtenir l'accès au BCSI dans le cadre de cette exigence, une personne peut à la fois obtenir et utiliser le BCSI. L'accès accordé doit être considéré comme le résultat des mesures spécifiques prises pour fournir à une ou plusieurs personnes les moyens d'accéder au BCSI (par exemple, cela peut inclure des clés physiques ou des cartes d'accès, des utilisateurs et des droits et privilèges associés, des clés de chiffrement). Partie 6.1 : avant de fournir un accès à un utilisateur, autorisez-le (sauf si déjà autorisé conformément à la partie 4.1.) à y accéder selon ses besoins, conformément à la notion d'entité responsable, excepté en cas de circonstances exceptionnelles du CIP : 6.1.1. Fournir un accès électronique au BCSI électronique | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
CIP-004-7-R6-Partie 6.1 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de gestion des accès documentés pour autoriser, vérifier et révoquer l'accès accordé au BCSI relatif aux « systèmes applicables » identifiés dans le tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information), qui incluent collectivement chacune des parties des exigences applicables du tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information). Pour obtenir l'accès au BCSI dans le cadre de cette exigence, une personne peut à la fois obtenir et utiliser le BCSI. L'accès accordé doit être considéré comme le résultat des mesures spécifiques prises pour fournir à une ou plusieurs personnes les moyens d'accéder au BCSI (par exemple, cela peut inclure des clés physiques ou des cartes d'accès, des utilisateurs et des droits et privilèges associés, des clés de chiffrement). Partie 6.1 : avant de fournir un accès à un utilisateur, autorisez-le (sauf si déjà autorisé conformément à la partie 4.1.) à y accéder selon ses besoins, conformément à la notion d'entité responsable, excepté en cas de circonstances exceptionnelles du CIP : 6.1.1. Fournir un accès électronique au BCSI électronique | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
CIP-004-7-R6-Partie 6.1 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de gestion des accès documentés pour autoriser, vérifier et révoquer l'accès accordé au BCSI relatif aux « systèmes applicables » identifiés dans le tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information), qui incluent collectivement chacune des parties des exigences applicables du tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information). Pour obtenir l'accès au BCSI dans le cadre de cette exigence, une personne peut à la fois obtenir et utiliser le BCSI. L'accès accordé doit être considéré comme le résultat des mesures spécifiques prises pour fournir à une ou plusieurs personnes les moyens d'accéder au BCSI (par exemple, cela peut inclure des clés physiques ou des cartes d'accès, des utilisateurs et des droits et privilèges associés, des clés de chiffrement). Partie 6.1 : avant de fournir un accès à un utilisateur, autorisez-le (sauf si déjà autorisé conformément à la partie 4.1.) à y accéder selon ses besoins, conformément à la notion d'entité responsable, excepté en cas de circonstances exceptionnelles du CIP : 6.1.1. Fournir un accès électronique au BCSI électronique | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
CIP-004-7-R6-Partie 6.1 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de gestion des accès documentés pour autoriser, vérifier et révoquer l'accès accordé au BCSI relatif aux « systèmes applicables » identifiés dans le tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information), qui incluent collectivement chacune des parties des exigences applicables du tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information). Pour obtenir l'accès au BCSI dans le cadre de cette exigence, une personne peut à la fois obtenir et utiliser le BCSI. L'accès accordé doit être considéré comme le résultat des mesures spécifiques prises pour fournir à une ou plusieurs personnes les moyens d'accéder au BCSI (par exemple, cela peut inclure des clés physiques ou des cartes d'accès, des utilisateurs et des droits et privilèges associés, des clés de chiffrement). Partie 6.1 : avant de fournir un accès à un utilisateur, autorisez-le (sauf si déjà autorisé conformément à la partie 4.1.) à y accéder selon ses besoins, conformément à la notion d'entité responsable, excepté en cas de circonstances exceptionnelles du CIP : 6.1.1. Fournir un accès électronique au BCSI électronique | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
CIP-004-7-R6-Partie 6.1 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de gestion des accès documentés pour autoriser, vérifier et révoquer l'accès accordé au BCSI relatif aux « systèmes applicables » identifiés dans le tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information), qui incluent collectivement chacune des parties des exigences applicables du tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information). Pour obtenir l'accès au BCSI dans le cadre de cette exigence, une personne peut à la fois obtenir et utiliser le BCSI. L'accès accordé doit être considéré comme le résultat des mesures spécifiques prises pour fournir à une ou plusieurs personnes les moyens d'accéder au BCSI (par exemple, cela peut inclure des clés physiques ou des cartes d'accès, des utilisateurs et des droits et privilèges associés, des clés de chiffrement). Partie 6.1 : avant de fournir un accès à un utilisateur, autorisez-le (sauf si déjà autorisé conformément à la partie 4.1.) à y accéder selon ses besoins, conformément à la notion d'entité responsable, excepté en cas de circonstances exceptionnelles du CIP : 6.1.1. Fournir un accès électronique au BCSI électronique | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
CIP-004-7-R6-Partie 6.1 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de gestion des accès documentés pour autoriser, vérifier et révoquer l'accès accordé au BCSI relatif aux « systèmes applicables » identifiés dans le tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information), qui incluent collectivement chacune des parties des exigences applicables du tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information). Pour obtenir l'accès au BCSI dans le cadre de cette exigence, une personne peut à la fois obtenir et utiliser le BCSI. L'accès accordé doit être considéré comme le résultat des mesures spécifiques prises pour fournir à une ou plusieurs personnes les moyens d'accéder au BCSI (par exemple, cela peut inclure des clés physiques ou des cartes d'accès, des utilisateurs et des droits et privilèges associés, des clés de chiffrement). Partie 6.1 : avant de fournir un accès à un utilisateur, autorisez-le (sauf si déjà autorisé conformément à la partie 4.1.) à y accéder selon ses besoins, conformément à la notion d'entité responsable, excepté en cas de circonstances exceptionnelles du CIP : 6.1.1. Fournir un accès électronique au BCSI électronique | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
CIP-004-7-R6-Partie 6.1 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de gestion des accès documentés pour autoriser, vérifier et révoquer l'accès accordé au BCSI relatif aux « systèmes applicables » identifiés dans le tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information), qui incluent collectivement chacune des parties des exigences applicables du tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information). Pour obtenir l'accès au BCSI dans le cadre de cette exigence, une personne peut à la fois obtenir et utiliser le BCSI. L'accès accordé doit être considéré comme le résultat des mesures spécifiques prises pour fournir à une ou plusieurs personnes les moyens d'accéder au BCSI (par exemple, cela peut inclure des clés physiques ou des cartes d'accès, des utilisateurs et des droits et privilèges associés, des clés de chiffrement). Partie 6.1 : avant de fournir un accès à un utilisateur, autorisez-le (sauf si déjà autorisé conformément à la partie 4.1.) à y accéder selon ses besoins, conformément à la notion d'entité responsable, excepté en cas de circonstances exceptionnelles du CIP : 6.1.1. Fournir un accès électronique au BCSI électronique | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
CIP-004-7-R6-Partie 6.1 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de gestion des accès documentés pour autoriser, vérifier et révoquer l'accès accordé au BCSI relatif aux « systèmes applicables » identifiés dans le tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information), qui incluent collectivement chacune des parties des exigences applicables du tableau R6 du CIP-004-7 (Access Management for BES Cyber System Information). Pour obtenir l'accès au BCSI dans le cadre de cette exigence, une personne peut à la fois obtenir et utiliser le BCSI. L'accès accordé doit être considéré comme le résultat des mesures spécifiques prises pour fournir à une ou plusieurs personnes les moyens d'accéder au BCSI (par exemple, cela peut inclure des clés physiques ou des cartes d'accès, des utilisateurs et des droits et privilèges associés, des clés de chiffrement). Partie 6.1 : avant de fournir un accès à un utilisateur, autorisez-le (sauf si déjà autorisé conformément à la partie 4.1.) à y accéder selon ses besoins, conformément à la notion d'entité responsable, excepté en cas de circonstances exceptionnelles du CIP : 6.1.1. Fournir un accès électronique au BCSI électronique | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Activez la rotation des clés pour vous assurer que les clés ont fait l'objet d'une rotation une fois la fin de leur période de chiffrement atteinte. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK). | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | La numérisation d'images Amazon Elastic Container Repository (ECR) permet d'identifier les vulnérabilités logicielles dans vos images de conteneur. L'activation de la numérisation d'images dans les référentiels ECR ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Activez l'immuabilité des balises Elastic Container Repository (ECR) pour éviter que les balises de vos images ECR ne soient écrasées. Jusqu'à présent, les balises pouvaient être écrasées, ce qui nécessitait l'utilisation de méthodes manuelles pour identifier une image de manière unique. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos flux Amazon Kinesis Streams. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données au repos, assurez-vous que les clés principales du client (CMK) nécessaires ne sont pas programmées pour être supprimées dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour recueillir des informations sur les connexions et les activités des utilisateurs sur votre cluster Amazon Redshift, assurez-vous que la journalisation des audits est activée. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Les notifications d'événements Amazon S3 peuvent alerter le personnel concerné de toute modification accidentelle ou intentionnelle des objets de votre compartiment. Voici quelques exemples d'alertes : création d'un nouvel objet, suppression d'un objet, restauration d'un objet, objets perdus ou répliqués. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période). | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Les noms d'utilisateur par défaut étant connus de tous, leur modification peut contribuer à réduire la surface d'attaque de votre ou de vos clusters de base de données Amazon Relational Database Service (Amazon RDS). | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Les noms d'utilisateur par défaut étant connus de tous, leur modification peut contribuer à réduire la surface d'attaque de votre ou de vos instances de base de données Amazon Relational Database Service (Amazon RDS). | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Les noms d'utilisateur par défaut étant connus de tous, leur modification peut réduire la surface d'attaque de votre ou de vos clusters Amazon Redshift. | |
CIP-011-3-R1-Partie 1.2 | Chaque entité responsable doit mettre en place un ou plusieurs programmes de protection des informations documentés qui incluent collectivement chacune des parties des exigences applicables du tableau R1 du CIP-011-3 (Information Protection). Partie 1.2 : les méthodes à utiliser pour protéger et gérer de manière sécurisée le BCSI afin d'atténuer les risques en termes de confidentialité. | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for NERC CIP BCSI.