SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol

Berdasarkan persyaratan kepatuhan dan risiko yang diidentifikasi dari model ancaman Anda, dapatkan dan validasikan kontrol dan tujuan kontrol yang perlu Anda terapkan pada beban kerja Anda. Validasi berkelanjutan terhadap kontrol dan tujuan kontrol dapat membantu Anda mengukur efektivitas mitigasi risiko.

Hasil yang diinginkan: Tujuan kontrol keamanan bisnis Anda ditentukan dengan jelas dan selaras dengan persyaratan kepatuhan Anda. Kontrol diimplementasikan dan diberlakukan melalui otomatisasi dan kebijakan serta terus dievaluasi untuk mengetahui efektivitasnya dalam mencapai tujuan Anda. Bukti efektivitas pada suatu titik waktu dan selama periode waktu tertentu dapat mudah dilaporkan kepada auditor.

Antipola umum:

• Persyaratan peraturan, ekspektasi pasar, dan standar industri untuk keamanan yang dapat dijamin belum dipahami dengan baik untuk bisnis Anda

• Kerangka kerja keamanan siber dan tujuan kontrol Anda tidak selaras dengan persyaratan bisnis Anda

• Implementasi kontrol tidak sepenuhnya selaras dengan tujuan kontrol Anda secara terukur

• Anda tidak menggunakan otomatisasi untuk melaporkan efektivitas kontrol Anda

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Ada banyak kerangka kerja keamanan siber umum yang bisa menjadi dasar untuk tujuan kontrol keamanan Anda. Pertimbangkan persyaratan peraturan, ekspektasi pasar, dan standar industri untuk bisnis Anda guna menentukan kerangka kerja mana yang paling memenuhi kebutuhan Anda. Contohnya termasuk AICPA SOC 2, HITRUST, PCI-DSS, ISO 27001, dan NIST SP 800-53.

Untuk tujuan kontrol yang Anda identifikasi, pahami cara layanan AWS yang Anda gunakan membantu Anda mencapai tujuan tersebut. Gunakan AWS Artifact untuk menemukan dokumentasi dan laporan yang selaras dengan kerangka kerja target Anda yang mendeskripsikan cakupan tanggung jawab yang dicakup oleh AWS dan panduan untuk cakupan yang tersisa yang menjadi tanggung jawab Anda. Untuk panduan lebih lanjut terkait layanan spesifik seiring diselaraskannya layanan tersebut dengan berbagai pernyataan kontrol kerangka kerja, lihat Panduan Kepatuhan Pelanggan AWS.

Saat Anda menentukan kontrol yang memenuhi tujuan Anda, lakukan kodifikasi pemberlakuan menggunakan kontrol preventif, dan otomatiskan mitigasi menggunakan kontrol deteksi. Bantu untuk mencegah konfigurasi dan tindakan sumber daya yang tidak mematuhi persyaratan di seluruh AWS Organizations menggunakan kebijakan kontrol layanan (SCP). Implementasikan aturan di AWS Config untuk memantau dan melaporkan sumber daya yang tidak mematuhi persyaratan, lalu alihkan aturan ke model pemberlakuan setelah perilakunya diketahui dengan jelas. Untuk menerapkan kumpulan aturan standar dan terkelola yang selaras dengan kerangka kerja keamanan siber Anda, evaluasi penggunaan standar AWS Security Hub sebagai opsi pertama Anda. Standar AWS Foundational Service Best Practices (FSBP) dan CIS AWS Foundations Benchmark adalah titik awal yang baik dengan kontrol-kontrol yang selaras dengan banyak tujuan yang tercakup dalam berbagai kerangka kerja standar. Jika Security Hub secara intrinsik tidak memiliki deteksi kontrol yang diinginkan, layanan ini dapat dilengkapi menggunakan paket kesesuaian AWS Config.

Gunakan Paket Partner APN yang direkomendasikan oleh tim AWS Global Security and Compliance Acceleration (GSCA) untuk mendapatkan bantuan dari penasihat keamanan, agensi konsultan, sistem pengumpulan dan pelaporan bukti, auditor, dan layanan pelengkap lainnya jika diperlukan.

Langkah implementasi

1. Evaluasi kerangka kerja keamanan siber umum, dan selaraskan tujuan kontrol Anda dengan kerangka kerja yang dipilih.

2. Dapatkan dokumentasi yang relevan tentang panduan dan tanggung jawab untuk kerangka kerja Anda menggunakan AWS Artifact. Pahami bagian kepatuhan mana yang termasuk dalam porsi AWS pada model tanggung jawab bersama dan bagian mana yang merupakan tanggung jawab Anda.

3. Gunakan SCP, kebijakan sumber daya, kebijakan kepercayaan peran, dan pagar pembatas lainnya untuk mencegah konfigurasi dan tindakan sumber daya yang tidak mematuhi persyaratan.

4. Evaluasi penerapan standar Security Hub dan paket kesesuaian AWS Config yang selaras dengan tujuan kontrol Anda.

Sumber daya

Praktik terbaik terkait:

• SEC03-BP01 Tentukan persyaratan akses

• SEC04-BP01 Konfigurasi pencatatan log layanan dan aplikasi

• SEC07-BP01 Pahami skema klasifikasi data Anda

• OPS01-BP03 Evaluasi persyaratan tata kelola

• OPS01-BP04 Evaluasi persyaratan kepatuhan

• PERF01-BP05 Gunakan kebijakan dan arsitektur referensi

• COST02-BP01 Kembangkan kebijakan berdasarkan keperluan organisasi Anda

Dokumen terkait:

• Panduan Kepatuhan Pelanggan AWS

Alat terkait:

• AWS Artifact