SEC01-BP03 Identifier et valider les objectifs de contrôle
Fixez et validez les objectifs de contrôle et les contrôles que vous devez appliquer à votre charge de travail en fonction de vos exigences de conformité et des risques identifiés à partir de votre modèle de menace. La validation continue des objectifs de contrôle et des contrôles permet de mesurer l’efficacité de l’atténuation des risques.
Résultat souhaité : les objectifs de contrôle de sécurité de votre entreprise sont bien définis et conformes à vos exigences de conformité. Des contrôles sont mis en œuvre et appliqués par le biais de l’automatisation et des politiques. Leur efficacité dans le cadre de la réalisation de vos objectifs est évaluée en continu. Les preuves de l’efficacité à un moment donné et au cours d’une période spécifique peuvent être facilement transmises aux auditeurs.
Anti-modèles courants :
-
Les exigences réglementaires, les attentes du marché et les normes du secteur en matière de sécurité assurable ne sont pas bien comprises pour votre entreprise
-
Vos cadres de cybersécurité et vos objectifs de contrôle ne sont pas adaptés aux exigences de votre entreprise
-
La mise en œuvre des contrôles n’est pas étroitement liée à vos objectifs de contrôle de manière mesurable
-
Vous n’utilisez pas l’automatisation pour rendre compte de l’efficacité de vos contrôles
Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé
Directives d’implémentation
De nombreux cadres de cybersécurité courants peuvent constituer la base de vos objectifs en matière de contrôle de sécurité. Tenez compte des exigences réglementaires, des attentes du marché et des normes du secteur pour votre entreprise afin de déterminer les cadres les plus adaptés à vos besoins. Les exemples incluent AICPA SOC 2
En ce qui concerne les objectifs de contrôle que vous identifiez, comprenez comment les services AWS que vous consommez vous aident à atteindre ces objectifs. Utilisez AWS Artifact
Lorsque vous définissez les contrôles destinés à vous permettre d’atteindre vos objectifs, codifiez l’application à l’aide de contrôles préventifs et automatisez les mesures d’atténuation à l’aide de contrôles de détection. Aidez à prévenir les configurations de ressources et les actions non conformes dans l’ensemble de vos AWS Organizations à l’aide de politiques de contrôle des services (SCP). Mettez en œuvre des règles dans AWS Config
Utilisez les groupes de partenaires APN
Étapes d’implémentation
-
Évaluez les cadres de cybersécurité courants et alignez vos objectifs de contrôle sur ceux que vous aurez choisis.
-
Obtenez la documentation pertinente sur les directives et les responsabilités relatives à votre cadre en utilisant AWS Artifact. Déterminez quels aspects de la conformité relèvent de la partie AWS du modèle de responsabilité partagée et quels éléments relèvent de votre responsabilité.
-
Utilisez les SCP, les politiques de ressources, les politiques d’approbation des rôles et d’autres barrières de protection pour empêcher les configurations de ressources et les actions non conformes.
-
Évaluez le déploiement des normes Security Hub et des packs de conformité AWS Config qui correspondent à vos objectifs de contrôle.
Ressources
Bonnes pratiques associées :
Documents connexes :
Outils associés :