Zum Start ins neue Jahr lohnt es sich, einen Blick auf die folgenden Meilensteine zu werfen, mit denen Ihre Organisation die Einsatzmöglichkeiten von ArcGIS noch besser ausschöpfen kann.
FedRAMP MODERATE
Das Jahresende 2022 bedeutete auch den Abschluss eines über 20 Wochen laufenden, unabhängig durchgeführten Prüfverfahrens von ArcGIS Online. Als nächster Schritt wurde bereits der behördliche Autorisierungsprozess eingeleitet, welcher innerhalb der kommenden Monate vollzogen wird. Ihre Daten in ArcGIS Online werden in Übereinstimmung mit FedRAMP-Sicherheitskontrollen der Stufe „Moderate“ gespeichert. Für unsere Kund:innen ist keine Migration notwendig, da die Sicherheitsverbesserungen bereits für alle Organisationen auf ArcGIS Online implementiert sind. Damit ist ein großer Meilenstein erreicht, der vielen Kunden ermöglicht, ihre Nutzung der ArcGIS Online Cloud-Services zu erweitern. Denn die Einstufung als FedRAMP Moderate – mit mehr als dreimal so vielen Sicherheitskontrollen wie ISO 27001 – bestätigt, dass ArcGIS Online für die Handhabung sensibler Informationen geeignet ist. Nehmen Sie das als Anstoß und sprechen Sie die Sicherheitsverantwortlichen Ihrer Organisation darauf an, welche neuen Projekte sich ab sofort mit ArcGIS Online realisieren lassen.
TECHNICAL PAPER ZU DATENSCHUTZ
Eine überarbeitete Version des Papers über Best Practices für Datenschutz bei der Positionsfreigabe (Esri Inc.) ist jetzt verfügbar. Die Änderungen beinhalten Anpassungen an Produkte und Vorschriften, die sich mit der Zeit geändert haben. Dazu gehören auch erweiterte Empfehlungen für Sicherheits- und Datenschutzeinstellungen, zu denen Sie am Ende des Dokuments eine Zusammenfassung finden.
VULNERABILITY AUDIT
Als CVE Numbering Authority (CNA) wurde Esri kürzlich von der NIST National Vulnerability Database (NVD) geprüft und mit der höchstmöglichen Einstufung „Provider“ ausgezeichnet. Damit wurden sowohl die Standards bei der Kommunikation über Auswirkungen von Softwaresicherheitslücken in Esri Produkten mittels CVSS v3.1 Scores als auch die Verwendung der Common Weakness Enumeration (CWE) als Grundlage zur Identifizierung, Behebung und Vorbeugung von Produktschwachstellen bewertet. Weniger als 1 Prozent der Softwareunternehmen weltweit erhalten diese hohe Einschätzung bezüglich der Bereitstellung von Informationen über Schwachstellen, wie Esri sie ihren Kund:innen bietet. Weitere Informationen über das Programm und die Prüfergebnisse finden Sie hier.
Anstehende weitere Sicherheitsmaßnahmen für das laufende Jahr:
- CLOUD SECURITY ALLIANCE: Innerhalb der nächsten Monate werden die Antworten im ArcGIS Online Cloud Security Alliance CAIQ im Rahmen der neuen Version 4.0.2 umfassend aktualisiert. Außerdem stehen Aktualisierungen für weitere cloudbasierte Service-Angebote an.
- SICHERE CYBER-LIEFERKETTEN: Die Gewährleistung einer sicheren Cyber-Lieferkette durch Softwareanbieter zur Risikominimierung auf Kundenseite nimmt einen immer größeren Stellenwert ein. Esri durchläuft derzeit aktiv eine Gap-Analyse für Open Trusted Technology Provider Standard (O-TTPS) / International Organization for Standardization (ISO) 20243. Die selbstbewertete Zertifizierung für ArcGIS Online wird voraussichtlich im ersten Quartal 2023 abgeschlossen sein. Im Laufe des Jahres 2023 werden weitere Nachweise für die sichere Cyber-Lieferkette der Produkte von Esri folgen.
- ARCGIS ENTERPRISE SECURITY HARDENING GUIDE: Obwohl es bereits einen Security Hardening Guide gemäß DISA STIG für ArcGIS Server gibt, hat sich Esri im Sinne der schnelleren Einbeziehung von ArcGIS Enterprise dazu entschieden, am Jahresanfang 2023 einen generellen Security Hardening Guide für das Produkt herauszugeben.
- SICHERHEIT IM EU-RAUM: In der zweiten Hälfte 2023 werden die Prozesse für ArcGIS Online European Union (EU) auf die ISO 27001 abgestimmt, mit dem Ziel der Zertifizierung im Jahr 2024.
- ERWEITERUNG DES TRUST CENTERS: Wegen dieser zahlreichen Neuerungen wird die Compliance-Seite im ArcGIS Trust Center innerhalb der nächsten Wochen und über das Jahr hinweg erweitert sowie um noch ausstehende Zertifizierungen und Standards sukzessiv ergänzt.
2023 kündigt sich für Kund:innen von Esri als spannendes Jahr mit vielen neuen Möglichkeiten an. Mit den strengeren Standards für Sicherheit und Datenschutz können Sie ein neues, effizientes Gleichgewicht zwischen lokal bereitgestellter und cloudbasierter Anwendung von räumlichen Technologien finden – Cloud-Services nur für öffentliche Inhalte zu nutzen ist Schnee von gestern. Welche der sich neu öffnenden Wege für die Strategien Ihrer Organisation schlagen Sie ein? Kontaktieren Sie uns gerne, wenn Sie Fragen haben.
Dieser Blog-Beitrag ist eine Übersetzung des englischen Beitrags: Implemented and Upcoming 2023 ArcGIS Security & Privacy Advancements
