Kiteworks' Datenebenen-Leitfaden zur Einhaltung des Qatar National Information Assurance Standard
Sicherung sensibler Daten mit NIAS 2.1
Einführung
Der Qatar National Information Assurance Standard (NIAS) Version 2.1 ist ein umfassendes Rahmenwerk, das entwickelt wurde, um die Datenabsicherung und -sicherheit in Organisationen innerhalb des Staates Katar zu regulieren und zu steuern. Entwickelt von der National Cyber Security Agency (NCSA), zielt dieser Standard darauf ab, Organisationen die notwendige Grundlage und Werkzeuge zur Implementierung eines robusten Informationssicherheitsmanagementsystems bereitzustellen. Der NIAS betrifft alle Organisationen, die in Katar tätig sind, insbesondere jene, die mit sensiblen oder klassifizierten Informationen umgehen, Regierungsbehörden, Betreiber kritischer Infrastrukturen, Finanzinstitute, Gesundheitsdienstleister und jede Organisation, die mit personenbezogenen Daten oder Informationen arbeitet, die für die nationale Sicherheit entscheidend sind, müssen konform sein.
Der Standard basiert auf der National Data Classification Policy und deckt eine breite Palette von Sicherheitsbereichen ab, darunter, aber nicht beschränkt auf: Sicherheitsführung, Risikomanagement, Drittanbietersicherheitsmanagement, Datenklassifizierung, Änderungsmanagement, Personalsicherheit, Vorfallmanagement, Geschäftskontinuitätsmanagement, Zugangskontrolle, kryptografische Sicherheit und physische Sicherheit. Um den NIAS zu erfüllen, müssen Organisationen zunächst ihre Informationsressourcen gemäß der National Data Classification Policy klassifizieren. Anschließend müssen sie die im Standard festgelegten Basissicherheitskontrollen implementieren, wobei zusätzliche Kontrollen für Ressourcen erforderlich sind, die auf höheren Sensibilitätsstufen klassifiziert sind.
Der NIAS wird von der NCSA durchgesetzt, und Organisationen müssen sich zertifizieren lassen, um die Einhaltung nachzuweisen. Der Standard trat mit seiner Veröffentlichung im Mai 2023 in Kraft, zeitgleich mit der Veröffentlichung der National Data Classification Policy v3.0. Der Assurance Standard hält fest, dass Organisationen voll verantwortlich für die Annahme und Implementierung des Standards sind und dass die NCSA keine Verantwortung für Schäden übernimmt, die durch uninformierte Entscheidungen bei der Annahme und Implementierung des Standards oder durch Handlungen außerhalb seines Geltungsbereichs entstehen. Angesichts der umfassenden Natur des Standards und seiner Ausrichtung auf Katars Cybersicherheitsstrategie könnte die Nichteinhaltung potenziell erhebliche Konsequenzen nach sich ziehen, die regulatorische Strafen, den Verlust von Regierungsaufträgen, Reputationsschäden und eine erhöhte Anfälligkeit für Cyberbedrohungen umfassen könnten. Darüber hinaus könnten Organisationen im Falle eines Sicherheitsvorfalls, die nicht konform sind, schwerwiegendere rechtliche und finanzielle Konsequenzen zu erwarten haben. Organisationen, die Ausnahmen oder Abweichungen vom Standard anstreben, müssen sich über offizielle Korrespondenz mit der NCSA in Verbindung setzen und Begründungen, Risikobewertungen und Managementpläne vorlegen. Die NCSA wird in Zusammenarbeit mit den zuständigen Sektorregulierungsbehörden diese Ausnahmeanträge bewerten.
Dieser Leitfaden zeigt, wie Kiteworks globale Organisationen unterstützen kann, die konform mit dem Qatar National Information Assurance Standard sein möchten.
Die Kiteworks Secure File Sharing und Governance Plattform
Das Kiteworks Private Content Network ermöglicht es Organisationen, sensible Inhalte mit vertrauenswürdigen Parteien per E-Mail, Filesharing, Dateitransfer und anderen Kanälen auf höchstem Niveau an Sicherheit, Governance und Compliance zu teilen, während sie die volle Transparenz und Kontrolle über ihre Filesharing-Aktivitäten behalten. Die Kiteworks-Plattform bietet:
Schutz unstrukturierter Daten
Kiteworks bietet umfassenden Schutz für unstrukturierte Daten durch seine fortschrittliche Content-Firewall und zero-trust Filesharing-Fähigkeiten, die sicherstellen, dass sensible unstrukturierte Daten während ihres gesamten Lebenszyklus sicher bleiben, sei es im ruhenden Zustand oder während der Übertragung über verschiedene Kommunikationskanäle.
Governance und Compliance
Kiteworks reduziert das Compliance-Risiko und die Kosten, indem es fortschrittliche Content-Governance-Funktionen in einer einzigen Plattform konsolidiert. Egal, ob Mitarbeiter Inhalte per E-Mail senden und empfangen, Dateien teilen, automatisierte Dateitransfers, APIs oder Web-Formulare nutzen, es ist abgedeckt.
Einfachheit und Benutzerfreundlichkeit
Kiteworks bietet eine benutzerfreundliche Oberfläche, die sicheres Filesharing und Zusammenarbeit vereinfacht, sodass Anwender problemlos sensible Inhalte senden, empfangen und verwalten können, ohne die Sicherheit zu gefährden. Das intuitive Design der Plattform und die nahtlose Integration in bestehende Arbeitsabläufe sorgen für hohe Benutzerakzeptanz und minimieren die Lernkurve für Organisationen, die robuste Datenschutzmaßnahmen implementieren.
Die Kiteworks-Plattform und der Qatar National Information Assurance Standard
Datenklassifizierungslabel [DL]
Dieses Domäne bietet eine hochrangige Datenkennzeichnungsmethodik für alle Organisationen, um Daten und Informationsressourcen hinsichtlich ihres Klassifizierungsniveaus zu verstehen und zu verwalten. Die Domäne erklärt die Methodik und die Prozesse für eine effektive Datenkennzeichnung. Der Grund für die Kennzeichnung von Informationsressourcen gemäß ihren Klassifizierungsstufen besteht darin, sicherzustellen, dass die Organisation und die zugewiesenen Benutzer der Informationsressourcen in der Lage sind, die Ressourcen korrekt zu identifizieren und angemessen zuzuweisen, um die Informationsressourcen zu schützen.
| Domänenanforderungen | Kiteworks-Lösung |
|---|---|
| DL 1. *Dienen Sie als Kennzeichnungsbehörde für die Daten und Informationen, die sie sammelt oder verwaltet. DL 2. *Bewerten Sie alle Informationsressourcen gemäß [IAP-NAT-DCLS]. Alle Ressourcen, die mit einer Vertraulichkeitsbewertung von C1, C2, C3 oder C4 bewertet werden, MÜSSEN entsprechend mit dem Datenlabel Intern, Eingeschränkt, Geheim oder Streng Geheim gekennzeichnet werden. DL 3. *Kennzeichnen Sie Informationsressourcen standardmäßig als „Intern“, es sei denn, sie sind speziell für die öffentliche Freigabe oder Nutzung bestimmt oder auf ein höheres Vertraulichkeitsniveau bewertet. DL 4. Richten Sie das Datenkennzeichnungssystem ein, um die “Need-To-Know”-Anforderung zu unterstützen, sodass Informationen vor unbefugter Offenlegung und Nutzung geschützt werden. |
Kiteworks unterstützt die Compliance durch sein robustes, inhaltsbasiertes Risikorahmenwerk. Dieses System ermöglicht es Organisationen, ihre Informationsressourcen effektiv gemäß den IAP-NAT-DCLS-Bewertungen zu klassifizieren und zu verwalten. Kiteworks erlaubt die Konfiguration der Ressourcenklassifizierung basierend auf verschiedenen Attributen wie Ordnerpfad, Sensibilitätslabels, Dateityp und Ersteller, in Übereinstimmung mit den Vertraulichkeitsbewertungen des Standards von C1 bis C4 (Intern, Eingeschränkt, Geheim oder Streng Geheim). Die Plattform kann so eingestellt werden, dass Informationsressourcen standardmäßig als „Intern“ gekennzeichnet werden, es sei denn, es wird anders angegeben, um die Standardkennzeichnungsanforderung des Standards zu erfüllen. Darüber hinaus unterstützen rollenbasierte Zugriffskontrollen und die Standardprinzipien des geringsten Privilegs die „Need-to-Know“-Anforderung, um sicherzustellen, dass Informationen vor unbefugter Offenlegung und Nutzung geschützt sind. Dieser umfassende Ansatz zur Datenkennzeichnung und Zugriffskontrolle ermöglicht es Organisationen, als effektive Kennzeichnungsbehörden für ihre gesammelten und verwalteten Daten zu dienen. |
Personalsicherheit [PS]
Das Ziel dieser Domäne ist es sicherzustellen, dass das Personal (Mitarbeiter, Anbieter, Auftragnehmer und andere), das in den Organisationen eingesetzt wird, sich seiner Sicherheitsverantwortung bewusst ist und geeignete Kontrollen vorhanden sind, um Risiken zu mindern, die sich aus dem menschlichen Element ergeben.
| Domänenanforderungen | Kiteworks-Lösung |
|---|---|
| PS 3. *Erhalten, verwalten und aufbewahren Sie Informationen über das Personal mit gebührender Sorgfalt und Sorgfaltspflicht, im Einklang mit den Anforderungen für den Umgang mit personenbezogenen Informationen, wie im Gesetz zum Schutz der Privatsphäre und des Datenschutzes festgelegt. PS 7. Stellen Sie sicher, dass angemessene Kontrollen vorhanden sind, um zu verhindern, dass Personal (Mitarbeiter, Anbieter, Auftragnehmer und Besucher) unbefugte Offenlegungen vornimmt, Informationen missbraucht oder verfälscht, gemäß den Sicherheitsrichtlinien der Organisation. PS 8. Stellen Sie sicher, dass die Zugriffsrechte der Benutzer auf die Informationen beschränkt sind, die sie benötigen, um ihre Arbeitsanforderungen gemäß den Prinzipien des geringsten Privilegs und der Notwendigkeit zu erfüllen. PS 12. *Stellen Sie sicher, dass eine Änderungsanforderung von der Personalabteilung generiert wird, wenn eine Änderung der Aufgaben oder die Beendigung des Vertrags eines Mitarbeiters, Auftragnehmers oder Dritten erfolgt. Dies stellt sicher, dass Mitarbeiter, Auftragnehmer und Dritte die Ressourcen der Organisation zurückgeben und der physische und logische Zugang entsprechend geändert/entfernt wird. |
Die robusten Datenschutzfunktionen von Kiteworks, einschließlich Verschlüsselung im ruhenden Zustand und während der Übertragung, Zugriffskontrollen und detaillierte Prüfprotokolle, stellen sicher, dass Personalinformationen sicher verwaltet und aufbewahrt werden, im Einklang mit Datenschutzgesetzen. Der mehrschichtige Sicherheitsansatz der Plattform, einschließlich SafeVIEW-Dateibetrachter und DLP-Scans, verhindert effektiv unbefugte Offenlegungen und Informationsmissbrauch. Die Implementierung von rollenbasierten Zugriffskontrollen und dem Prinzip des geringsten Privilegs stellt sicher, dass die Benutzerzugriffsrechte streng auf arbeitsbezogene Anforderungen beschränkt sind, gemäß dem „Need-to-have“-Prinzip. Die Integrationsmöglichkeiten von Kiteworks mit LDAP und Active Directory erleichtern das automatische Benutzermanagement, einschließlich der schnellen Aktualisierung von Zugriffsrechten bei Rollenänderungen oder Beendigung des Arbeitsverhältnisses. Dieses umfassende Set an Funktionen ermöglicht es Organisationen, die Sicherheit von Personalinformationen streng zu kontrollieren und Risiken im Zusammenhang mit dem menschlichen Element im Informationsmanagement zu mindern. |
Vorfallmanagement [IM]
Ein Informationssicherheitsvorfall ist ein Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit eines Informationssystems oder Netzwerks beeinträchtigt, durch eine Handlung, die gegen vorgeschriebene Sicherheitsrichtlinien und/oder geltende Gesetze oder Vorschriften verstößt. Für die Zwecke dieses Standards wird ein Vorfall als Verletzung oder drohende Verletzung von Computersicherheitsrichtlinien, akzeptablen Nutzungsrichtlinien oder Standard-Sicherheitspraktiken definiert. Dieser Standard soll als Referenz für das Management, die Verwaltung und andere technische und operative Mitarbeiter der Organisation dienen, um die Entwicklung einer Informationssicherheitsvorfallmanagementfähigkeit zu erleichtern und zur Vorbereitung, Erkennung und Reaktion auf Informationssicherheitsvorfälle verwendet werden.
| Domänenanforderungen | Kiteworks-Lösung |
|---|---|
| IM 2. Etablieren Sie eine Informationssicherheitsvorfallreaktionsfähigkeit, basierend auf dem [IAP-NAT-DCLS], die eine regelmäßige Risikobewertung (von Bedrohungen, Schwachstellen und Asset-Wert) von Daten, Prozessen, Systemen und Netzwerken gemäß diesem Informationssicherheitsstandard durchführen kann. IM 3. *Definieren Sie Verfahren zur Erkennung, Bewertung und Reaktion auf Vorfälle. IM 7. Koordinieren Sie sich mit der NCSA, um ein Vorfallsrepository in der Organisation zu erstellen. |
Die umfassenden Protokollierungs- und Überwachungsfunktionen von Kiteworks, einschließlich eines Intrusion Detection Systems (IDS) und Anomalieerkennung, bieten eine starke Grundlage für die Etablierung einer effektiven Informationssicherheitsvorfallreaktionsfähigkeit. Diese Funktionen ermöglichen Echtzeit-Benachrichtigungen und detaillierte Prüfprotokolle, die eine schnelle Erkennung, Bewertung und Reaktion auf potenzielle Vorfälle erleichtern. Die SIEM-Integration des Systems verbessert die Vorfallmanagementfähigkeiten weiter, indem sie eine schnelle Bewertung von Bedrohungen, Schwachstellen und Asset-Werten ermöglicht. Kiteworks koordiniert sich nicht direkt mit der NCSA, jedoch können die standardisierten, detaillierten Aktivitätsprotokolle leicht exportiert oder in externe Systeme integriert werden, um die Erstellung eines organisatorischen Vorfallsrepositorys zu unterstützen. Dies unterstützt Organisationen dabei, sich effektiv auf Informationssicherheitsvorfälle vorzubereiten, sie zu erkennen und darauf zu reagieren, im Einklang mit dem IAP-NAT-DCLS und dem Informationssicherheitsstandard. |
Protokollierung und Sicherheitsüberwachung [SM]
Das Ziel dieser Domäne ist es, Anforderungen für die Protokollierung und Überwachung bereitzustellen, um unbefugte Daten-, Anwendungs- und Ressourcenzugriffe zu identifizieren und unbefugte Änderungen oder Missbrauch von Zugriffsprivilegien zu erkennen.
| Domänenanforderungen | Kiteworks-Lösung |
|---|---|
| SM 1. *Ein angemessenes Set technischer Kontrollimplementierungen oder Prozesse existiert für die Protokollierung, Identifizierung und kontinuierliche Überwachung von Zugriffen, Änderungen, Befehlsausführungen auf alle Informationsressourcen zum Schutz geschäftssensibler Informationen. SM 2. *Überwachungspraktiken sind gemäß der Kritikalität der Infrastruktur, Daten und Anwendungen etabliert. Es wird EMPFOHLEN, ein 7/24-Monitoring für C3-, I3- und A3-klassifizierte Infrastrukturen bereitzustellen und sicherzustellen, dass Überwachungsverantwortlichkeiten gemäß Klausel PS 9, Abschnitt 4-6, Personalsicherheit [PS] zugewiesen sind. SM 4. *Sie ermöglichen die Protokollierung auf allen Infrastrukturen und Datenverarbeitungseinrichtungen sowie Anwendungen, die mit dem Zugriff, der Übertragung, Verarbeitung, Sicherheit, Speicherung und/oder Handhabung von Informationen mit einer Vertraulichkeitsbewertung von C2 und höher verbunden sind. SM 5. Sie klassifizieren alle Sicherheitsprotokolle mit einer Vertraulichkeitsbewertung von C3, während Anwendungs- und Systemprotokolle gemäß der Vertraulichkeitsbewertung des Systems klassifiziert werden. SM 6. Protokolle, die personenbezogene Informationen enthalten, haben angemessene Datenschutzmaßnahmen gemäß dem vorgeschlagenen Informationsschutzgesetz. SM 7. *Diese Protokolle werden für mindestens hundertzwanzig (120) Tage und maximal je nach Kritikalitätsbewertungen und sektorspezifischen Gesetzen und Vorschriften aufbewahrt. SM 8. Organisationen MÜSSEN die Prüfprotokollierung oder Protokollerfassung aktivieren, um Datum, Uhrzeit, Authentifizierungsaktivität mit eindeutigen Benutzer- und Systemkennungen aufzuzeichnen, einschließlich aller Fehl- oder Änderungsaktionen, einschließlich der ausgegebenen Befehle und generierten Ausgaben, um genügend Informationen bereitzustellen, um Vorfälle zu rekonstruieren und das System in seinen ursprünglichen Zustand zu versetzen. |
Die umfassenden Protokollierungs- und Überwachungsfunktionen von Kiteworks bieten eine solide Grundlage zur Identifizierung unbefugter Zugriffe und zur Erkennung von Missbrauch von Zugriffsprivilegien. Das System führt detaillierte Prüfprotokolle aller Aktivitäten, unterstützt Echtzeitüberwachung über das CISO-Dashboard und integriert sich in SIEM-Systeme für kontinuierliche, 24/7-Überwachung kritischer Infrastrukturen und sensibler Daten. Kiteworks protokolliert alle Systeminteraktionen, unabhängig von der Datenklassifizierung, und stellt so eine umfassende Abdeckung für Informationen mit einer Bewertung von C2 und höher sicher. Obwohl Protokolle nicht explizit als C3 klassifiziert werden, behandelt Kiteworks alle Protokolle als hochsensibel und schützt sie mit starker Verschlüsselung und strengen Zugriffskontrollen. Die konfigurierbaren Protokollaufbewahrungszeiträume des Systems, mit der Möglichkeit, Protokolle für 120 Tage oder länger aufzubewahren, unterstützen regulatorische Anforderungen. Darüber hinaus erfassen detaillierte Prüfprotokolle alle wesentlichen Aktivitätsdetails und bieten die notwendigen Informationen für die Vorfallrekonstruktion und forensische Analyse. Dieser umfassende Ansatz zur Protokollierung und Überwachung ermöglicht es Organisationen, ihre sensiblen Informationsressourcen effektiv zu schützen und die Einhaltung der Anforderungen des Standards zu gewährleisten. |
Datenaufbewahrung und Archivierung [DR]
Das Ziel der Domäne ist es, Anweisungen zur Festlegung der Aufbewahrungsfrist für Informationen und der notwendigen Sicherheitskontrollen zum Schutz von Informationen während ihrer Lebensdauer bereitzustellen.
| Domänenanforderungen | Kiteworks-Lösung |
|---|---|
| DR 2. *Daten, die aufbewahrt werden müssen, werden unter Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit gespeichert und können für definierte zukünftige Zwecke abgerufen werden. DR 4. Prozesse für Backup, Archivierung und Wiederherstellung von Daten haben entsprechende Verfahren, die sicherstellen, dass die Integrität und Vertraulichkeit der Daten erhalten bleibt. DR 5. *Archivierte Daten behalten ihre Klassifizierungskennzeichnungen und sind entsprechend gesichert. DR 6. Die eingesetzte Archivierungstechnologie wird regelmäßig überprüft, um sicherzustellen, dass sie nicht von Veralterung betroffen ist und archivierte Daten in einem Zustand gehalten werden, der eine erfolgreiche Wiederherstellung ermöglicht. |
Die Plattform verwendet doppelte Verschlüsselung (Datei- und Festplattenebene) für Daten im ruhenden Zustand, zusammen mit Verschlüsselung während der Übertragung und starken Zugriffskontrollen, um die Vertraulichkeit, Integrität und Verfügbarkeit der aufbewahrten Daten sicherzustellen. Diese Sicherheitsmaßnahmen erstrecken sich auf Backup- und Wiederherstellungsprozesse und gewährleisten den Datenschutz während des gesamten Lebenszyklus der Daten. Das inhaltsbasierte Risikorahmenwerk ermöglicht die Beibehaltung von Datenklassifizierungen auch im archivierten Zustand, wobei Sicherheitsmaßnahmen konsequent basierend auf diesen Klassifizierungen angewendet werden. Kiteworks unterstützt moderne Archivierungspraktiken durch seine fortschrittlichen Datenmanagementfunktionen. Regelmäßige Systemaktualisierungen stellen sicher, dass die Datenspeicher- und Wiederherstellungsfähigkeiten aktuell und effektiv bleiben, wodurch das Risiko technologischer Veralterung gemindert wird. Dieser umfassende Ansatz zur Datenaufbewahrung und Archivierung ermöglicht es Organisationen, ihre Informationsressourcen sicher für definierte zukünftige Zwecke zu erhalten. |
Die in diesem Leitfaden bereitgestellten Informationen stellen keine Rechtsberatung dar und sind nicht dazu bestimmt; vielmehr sind alle Informationen, Inhalte und Materialien in diesem Leitfaden nur für allgemeine Informationszwecke bestimmt. Informationen in diesem Leitfaden stellen möglicherweise nicht die aktuellsten rechtlichen oder sonstigen Informationen dar. Add-on-Optionen sind in diesem Leitfaden enthalten und erforderlich, um die Compliance zu unterstützen.