Sicherheitskontrollen

Sicherheitskontrollen sind die Bausteine eines Verteidigungsprogramms. Sie werden meist nach Funktion (präventiv, detektiv, korrektiv, abschreckend, kompensierend, wiederherstellend) und nach Typ (administrativ wie Richtlinien, technisch wie Firewalls und EDR, physisch wie Schlösser und Ausweise) klassifiziert. Rahmenwerke wie NIST SP 800-53, ISO/IEC 27001/27002 und CIS Controls liefern Kataloge, die Organisationen risiko- und regulierungsbasiert auswählen und anpassen. Wirksame Programme verknüpfen Kontrollen mit Bedrohungen und Assets, messen ihre operative Wirksamkeit und entwickeln den Katalog mit Umfeld und Bedrohungslage weiter.