Frameworks & Methodik
Die AYSOLI Security Baseline basiert auf weltweit anerkannten Standards und Best Practices. Hier erfährst du mehr über die eingesetzten Frameworks.
STRIDE-LM
STRIDE ist ein Modell zur Identifizierung von Computersicherheitsbedrohungen. Wir nutzen die erweiterte Variante STRIDE-LM, um moderne Cloud- und Netzwerk-Architekturen abzubilden.
MITRE ATT&CK®
ATT&CK ist eine weltweit zugängliche Wissensdatenbank für Taktiken und Techniken von Angreifern, die auf realen Beobachtungen basiert. Sie hilft uns, die Perspektive der Angreifer einzunehmen.
Offizielle Website besuchenOWASP
Die Open Web Application Security Project® (OWASP) Top 10 ist ein Standard-Dokument für Entwickler und Applikationssicherheit. Es repräsentiert einen breiten Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen.
OWASP Top 10 erkundenCIS Controls
Die Center for Internet Security (CIS) Controls sind eine priorisierte Reihe von Sicherheitsmaßnahmen, die einen wirksamen Schutz gegen die häufigsten Cyberangriffe bieten.
Offizielle Website besuchenNIST CSF
Das Cybersecurity Framework des National Institute of Standards and Technology (NIST) bietet einen Leitfaden für die organisatorische Cybersicherheit und das Risikomanagement.
Offizielle Website besuchenNIST AI RMF
Das NIST AI Risk Management Framework (AI RMF 1.0, veröffentlicht 2023) ist ein eigenständiges Framework neben dem NIST CSF. Es unterstützt Organisationen dabei, Risiken von KI-Systemen zu erkennen, zu bewerten und zu minimieren – mit Fokus auf Vertrauenswürdigkeit, Fairness, Transparenz und Sicherheit.
Controls Bibliothek
Die Controls Bibliothek enthält alle Sicherheitsmassnahmen der Plattform mit Mapping auf CIS v8, NIST CSF und NIST AI RMF. Mit dem Framework-Filter lassen sich Controls gezielt nach Standard anzeigen – gruppiert nach CIS-Kontrollgruppe (1–18), NIST-CSF-Funktion (GV · ID · PR · DE · RS · RC) oder AI-RMF-Kategorie.
Security Assessment
Das Security Assessment bewertet den Sicherheitsstatus einer Organisation in zwei Stufen. Der Quick Check (ca. 27 Fragen) liefert eine erste Standortbestimmung über sieben Domains. Das Deep Assessment vertieft anschliessend offene oder teilweise erfüllte Punkte mit gezielten Nachfragen.
TLP 2.0
Das Traffic Light Protocol (TLP) ist ein von FIRST (Forum of Incident Response and Security Teams) definierter Standard zur Klassifizierung sensibler Informationen. TLP legt fest, mit wem Informationen geteilt werden dürfen. Version 2.0 umfasst fünf Klassifizierungsstufen.
Keine Einschränkung
Informationen können ohne Einschränkung verbreitet werden. Empfänger können diese Information frei weitergeben, ohne dabei Quellen oder Formatierungen berücksichtigen zu müssen.
Community-Weitergabe
Informationen sind für die gesamte Community bestimmt. Sie können innerhalb der Community, aber nicht öffentlich oder ausserhalb davon geteilt werden.
Eingeschränkte Weitergabe
Informationen dürfen innerhalb der empfangenden Organisation an Personen weitergegeben werden, die sie benötigen. Eine Weitergabe ausserhalb der Organisation ist nicht erlaubt.
Nur direkte Empfänger
Wie TLP:AMBER, jedoch noch restriktiver: Informationen dürfen ausschliesslich an die direkten Empfänger weitergegeben werden – nicht an andere Personen innerhalb der Organisation.
Keine Weitergabe
Informationen dürfen nicht weitergegeben werden. Sie sind nur für die direkt beteiligten Personen bestimmt. Mündliche oder persönliche Kommunikation ist inbegriffen.