Was die neuen Richtlinien von CERT-In zur Cyber-Sicherheitsaudit für indische PSUs und Unternehmen bedeuten

Das Indian Computer Emergency Response Team (Cert-In) hat am 25. Juli neue verbindliche Richtlinien für die Durchführung von Cyber-Sicherheitsaudits veröffentlicht, die sowohl private als auch öffentliche Organisationen betreffen. Erstmals wurden alle Bereiche des privaten und öffentlichen Sektors unter das Mandat eines CERT-In-Audits gestellt. Darüber hinaus hat CERT-In klare Richtlinien festgelegt, die alle Aspekte von Risikoanalysen/Audits für Auditoren und geprüfte Unternehmen abdecken.

Was hat sich gemäß dem neuen Mandat geändert?

Hier sind einige der wichtigsten Direktiven, die von CERT-In vorgegeben wurden:

· Unternehmen, die digitale Systeme besitzen oder verwalten, müssen mindestens einmal jährlich ein Drittaudit der Cybersicherheit durchführen lassen.

· Verantwortung des Managements: Die oberste Führung sollte das Auditprogramm, den Umfang und die von der Organisation zur Behebung in den Audits hervorgehobener Schwachstellen ergriffenen Maßnahmen überprüfen und genehmigen, und zwar in einem festgelegten Zeitrahmen.

· Verantwortung des Asset-Besitzers: Risikobehandlungstechniken wie Beibehalten, Vermeiden, Übertragen und Reduzieren für gemeldete Schwachstellen oder Beobachtungen in Anwendungen oder Infrastruktur müssen vom Leiter der geprüften Organisation genehmigt und akzeptiert werden. Darüber hinaus müssen Ausnahmen von gemeldeten Schwachstellen oder Beobachtungen in der Anwendung vom Leiter der Organisation genehmigt werden, der Eigentümer der Anwendung ist.

· Die Audits sollten kontextbezogen und relevant für das betreffende Unternehmen in Bezug auf Risiken und operatives Umfeld sein. Das bedeutet, dass das Audit unter Berücksichtigung des Geschäftskontexts, des Risikoumfelds und der Bedrohungslandschaft des Unternehmens durchgeführt werden muss.

· Organisationen sollten einen eingeschränkten Fernzugriff auf die Cyber-Infrastruktur sicherstellen. Der Fernverkehr sollte getunnelt, verschlüsselt und geloggt werden, um Missbrauch zu vermeiden.

· Organisationen sollten das Inventar aller autorisierten Assets (sowohl Software als auch Hardware) pflegen und überwachen. Für alle Assets sollte ein geeignetes Patch-Management-System eingerichtet sein, um die von der Organisation verwendete anfällige Software, Anwendungen und Firmware zu patchen.

· Organisationen müssen das Prinzip der minimalen Rechtevergabe über die Assets der Organisation implementieren.

· Die Verantwortung zur Aufrechterhaltung einer effizienten und robusten Cyber-Sicherheitslage liegt letztendlich bei der geprüften Organisation

· Regulierungsbehörden haben das Ermessen, bei Bedarf häufigere Audits pro Jahr vorzuschreiben.

· Die Prüfungsorganisation muss die bestehenden Richtlinien der Organisation gegen die Industriestandards und Best Practices überprüfen und, falls erforderlich, notwendige Verbesserungen vorschlagen, und die geprüften Organisationen müssen bestätigen, dass Anwendungen mit sicheren Praktiken entworfen und entwickelt wurden, bevor eine Bewertung beginnt.

· Die Audits sollten die Entdeckung aller bekannten Schwachstellen auf der Grundlage umfassender Standards/Rahmenwerke wie ISO/IEC, Cyber Security Audit Baseline Requirements, CSA-Cloud Controls Matrix (CCM) für Cloud-Sicherheit, Open Source Security Testing Methodology Manual (OSSTMM3), OWASP-Web-Security-Testing-Guide für Webanwendungssicherheitstests, OWASP Application Security Verification Standard (ASVS) zur Etablierung und Überprüfung von Anwendungssicherheitskontrollen, OWASP Mobile Security Testing Guide (MSTG) für Mobile-App-Audits, OWASP DevSecOps Maturity Model zur Beurteilung der Sicherheit der Continuous Integration / Continuous Deployment (CI/CD)-Pipeline sowie des anwendbaren regulatorischen Rahmens und der von Agenturen wie CERT-In, Regierung und Regulierungsbehörden von Zeit zu Zeit herausgegebenen Richtlinien umfassen.

· Das Audit sollte nach jeder wesentlichen Änderung der Infrastruktur und Anwendung basierend auf der beteiligten Kritikalität durchgeführt werden.

Was fällt unter den Geltungsbereich des neuen Mandats?

Der Umfang der Audits sollte die Prüfung der gesamten Cyber-Infrastruktur umfassen, einschließlich Systemen, Anwendungen (sowohl Web/Mobil), Software, Netzwerk-Infrastruktur, Operational Technology (OT) / Industrial Control Systems (ICS)-Umgebung, Cloud-Architektur, Application Programming Interfaces (APIs), Datenbanken und Hosting-Infrastruktur, Code-Review, Anwendungssicherheit, Datensicherheit, Testen der Reaktionsfähigkeit auf Vorfälle der geprüften Einheit.

Gemäß CERT-In sollten die Arten von Cyber-Sicherheitsaudits und -bewertungen, einschließlich, aber nicht beschränkt auf die unten genannten, mindestens einmal jährlich durchgeführt werden:

· Compliance Audits

· Risikoanalysen

· Schwachstellenbewertungen

· Penetrationstests

· Netzwerk-Infrastruktur-Audits

· Betriebsnahe Audits

· Überprüfung und Bewertung der IT-Sicherheitsrichtlinie gegenüber Sicherheitsbest Practices.

· Informationssicherheitstests

· Quellcode-Review

· Prozesssicherheitstests

· Kommunikationssicherheitstests

· Anwendungssicherheitstests  

· Sicherheitstests für mobile Anwendungen  

· Wireless Sicherheitsprüfungen

· Physische Sicherheitstests

· Red-Team-Bewertung

· Digitale Forensik-Bereitschaftsbewertung

· Cloud-Sicherheitstests

· Industrial Control Systems/Operational Technology Sicherheitstests

· Bewertung der Cyber-Sicherheitslage von industriellen Kontrollsystemen (ICS) und Netzwerken der Betriebstechnologie (OT), die speziell entworfen wurden, um Schwachstellen und potenzielle Bedrohungen zu identifizieren, die kritische industrielle Prozesse stören könnten, und somit die Sicherheit, Produktion und Gesamtverfügbarkeit des Systems in einer Einrichtung zu beeinträchtigen.

· Internet der Dinge (IOT)/Industrie Internet der Dinge Sicherheitstests (IIOT)

· Protokollverwaltung und Wartungsaudit

· Endpunkt-Sicherheitsbewertung

· Künstliche Intelligenz (AI)-Systemaudits

· Anbieter-Risikomanagement-Audits

· Blockchain-Sicherheitsaudit  

· SBOM (Software Bill of Materials), QBOM (Quantum Bill of Materials), und

· AIBOM (Artificial Intelligence Bill of Materials) Audits   

Um mehr über diese Richtlinien zu erfahren oder eine Risikobewertungskonsultation zu buchen, sprechen Sie mit einem Shieldworkz-Risikobewertungsexperten. 

Erfahren Sie mehr über IEC 62443-basierte Risikobewertung und Methoden zur Sicherheitsstufenanhebung.

Erfahren Sie mehr über unser umfassendes OT- und IoT-Sicherheitsdienstleistungsportfolio.