Kontrolní seznam doporučení pro bezpečnost
Tento kontrolní seznam obsahuje sadu bezpečnostních doporučení, která vám pomohou zajistit bezpečnost vaší úlohy. Pokud si neprohlédnete kontrolní seznam a nezvážíte související kompromisy, můžete svůj návrh vystavit potenciálním rizikům. Důkladně zhodnoťte všechny aspekty uvedené v kontrolním seznamu, abyste zvýšili svou důvěru v zabezpečení své úlohy.
Kontrolní seznam
| Kód | Doporučení | |
|---|---|---|
| ☐ | SE:01 | Vytvořte základní úroveň zabezpečení , která je v souladu s požadavky na shodu, průmyslovými standardy a doporučeními pro platformy. Pravidelně měřte architekturu své úlohy a operace proti základní úrovni, abyste udrželi nebo zlepšili své zabezpečení v průběhu času. |
| ☐ | SE:02 SE:02 |
Udržujte bezpečný životní cyklus vývoje pomocí zesíleného, většinou automatizovaného a auditovatelného softwaru dodavatelský řetězec. Zahrňte bezpečný návrh pomocí modelování hrozeb k ochraně před implementacemi, které porušují zabezpečení. |
| ☐ | SE:03 | Klasifikujte a důsledně používejte citlivost a štítky typu informací na všechna data zátěže a systémy zapojené do zpracování dat. Použijte klasifikaci k ovlivnění návrhu, implementace a priorit zabezpečení. |
| ☐ | SE:04 | Vytvořte záměrnou segmentaci a obvody v návrhu architektury a v osazení pracovní zátěže na platformě. Strategie segmentace musí zahrnovat sítě, role a odpovědnosti, identity pracovní zátěže a organizaci zdrojů. |
| ☐ | SE:05 | Implementujte přísnou, podmíněnou a auditovatelnou správu identity a přístupu (IAM) u všech uživatelů zátěže, členů týmu a součástí systému. Omezte přístup výhradně podle potřeby. Používejte moderní průmyslové standardy pro všechny implementace ověřování a autorizace. Omezte a důsledně auditujte přístup, který není založen na identitě. |
| ☐ | SE:06 | Šifrujte data pomocí moderních standardních metod k ochraně důvěrnosti a integrity. Srovnejte rozsah šifrování s klasifikací dat a upřednostněte metody šifrování nativní platformy. |
| ☐ | SE:07 | zamknout tajemství aplikací zpevněním jejich úložiště a omezením přístupu a manipulace a auditováním těchto akcí. Spusťte spolehlivý a pravidelný proces rotace, který může improvizovat rotace v případě nouze. |
| ☐ | SE:08 | Implementujte holistickou strategii monitorování , která se opírá o moderní mechanismy detekce hrozeb, které lze integrovat s platformou. Mechanismy by měly spolehlivě upozorňovat na stanovování priorit a odesílat signály do stávajících procesů SecOps. |
| ☐ | SE:09 | Vytvořte komplexní testovací režim , který kombinuje přístupy k prevenci bezpečnostních problémů, ověřuje implementace prevence hrozeb a testuje mechanismy detekce hrozeb. |
| ☐ | SE:10 | Definujte a otestujte efektivní odpověď postupy pro incidenty, které pokrývají spektrum incidentů, od lokalizovaných problémů až po zotavení po havárii. Jasně definujte, který tým nebo jednotlivec provádí proceduru. |