Важнейшие меры безопасности в СНГ для эффективной киберзащиты - The CIS Critical Security Controls for Effective Cyber Defense
В Центр безопасности в Интернете. Критические средства контроля безопасности для эффективной киберзащиты. публикация лучшая практика руководящие принципы для компьютерная безопасность. Проект был начат в начале 2008 года в связи с огромной потерей данных, с которой столкнулись организации на базе оборонной промышленности США.[1] Издание изначально было разработано Институт SANS. Затем право собственности было передано Совету по кибербезопасности (CCS) в 2013 году, а затем передано Центр Интернет-безопасности (CIS) в 2015 году. Первоначально он был известен как Руководство по консенсусному аудиту, а также известен как CIS CSC, CIS 20, CCS CSC, SANS Top 20 или CAG 20.
Цели
Рекомендации состоят из 20 ключевых действий, называемых критическими мерами безопасности (CSC), которые организации должны реализовать для блокирования или смягчения известных атак. Элементы управления спроектированы таким образом, что в основном автоматизированные средства могут использоваться для их внедрения, обеспечения соблюдения и мониторинга.[2] Элементы управления безопасностью дают серьезные практические рекомендации по кибербезопасности, написанные на языке, который легко понимается ЭТО персонал.[3] Цели рекомендаций по консенсусному аудиту включают:
- Использование киберпреступлений для информирования киберзащиты с упором на области с высокой отдачей
- Обеспечение того, чтобы инвестиции в безопасность были направлены на противодействие самым серьезным угрозам
- Максимальное использование автоматизации для обеспечения контроля безопасности, тем самым устраняя человеческие ошибки
- Использование процесса консенсуса для сбора лучших идей[4]
Управление
Версия 3.0 была выпущена 13 апреля 2011 года. Версия 5.0 была выпущена 2 февраля 2014 года Советом по кибербезопасности (CCS).[5]Версия 6.0 была выпущена 15 октября 2015 года и состоит из следующих элементов управления безопасностью. Версия 6.1 была выпущена 31 августа 2016 года и имеет тот же приоритет, что и версия 6. Версия 7 была выпущена 19 марта 2018 года.[6]Версия 7.1 выпущена 4 апреля 2019 года.[7]
CSC 1: Инвентаризация авторизованных и неавторизованных устройствCSC 2: Инвентаризация авторизованного и неавторизованного программного обеспеченияCSC 3: Непрерывная оценка уязвимости и устранениеCSC 4: Контролируемое использование административных привилегийCSC 5: Безопасные конфигурации оборудования и программного обеспечения на мобильных устройствах, ноутбуках, рабочих станциях и серверахCSC 6: Ведение, мониторинг и анализ журналов аудитаCSC 7: Защита электронной почты и веб-браузераCSC 8: Защита от вредоносных программCSC 9: Ограничение и контроль сетевых портов, протоколов и службCSC 10: Возможность восстановления данныхCSC 11: Безопасные конфигурации для сетевых устройств, таких как межсетевые экраны, маршрутизаторы и коммутаторы.CSC 12: Граничная защитаCSC 13: Защита данныхCSC 14: Контролируемый доступ, основанный на необходимости знатьCSC 15: Контроль беспроводного доступаCSC 16: Мониторинг и контроль учетных записейCSC 17: Оценка навыков безопасности и соответствующее обучение для заполнения пробеловCSC 18: Безопасность прикладного программного обеспеченияCSC 19: Реагирование на инциденты и управлениеCSC 20: Тесты на проникновение и упражнения красной команды
По сравнению с версией 5, версия 6 / 6.1 изменила приоритет элементов управления и изменил эти два элемента управления:
- «Проектирование безопасных сетей» было CSC 19 в версии 5, но было удалено в версии 6 / 6.1.
- «CSC 7: Защита электронной почты и веб-браузера» был добавлен в версию 6 / 6.1.
В версии 7[8], элементы управления 3, 4 и 5 были перетасованы. Элементы управления 1–6 считаются «основными», 7–16 - «основополагающими», а 17–20 - «организационными». Также выпущен CIS RAM[9], метод оценки рисков информационной безопасности, помогающий внедрить CIS Controls.
Авторы
Рекомендации по консенсусному аудиту (CAG) были составлены консорциумом из более чем 100 участников.[10] от правительственных агентств США, коммерческих судебных экспертов и пера тестеры.[11] В состав авторов первоначального проекта вошли члены:
- Красная и синяя команды Агентства национальной безопасности США
- Министерство внутренней безопасности США, US-CERT
- Группа по архитектуре защиты компьютерных сетей Министерства обороны США
- Совместная целевая группа Министерства обороны США - Глобальные сетевые операции (JTF-GNO)
- Центр киберпреступности Министерства обороны США (DC3)
- Национальная лаборатория Лос-Аламоса Министерства энергетики США и три других национальных лаборатории.
- Государственный департамент США, Управление по информационной безопасности США
- ВВС США
- Исследовательская лаборатория армии США
- Министерство транспорта США, Офис ИТ-директора
- Министерство здравоохранения и социальных служб США, Офис CISO
- Счетная палата правительства США (GAO)
- Корпорация МИТЕР
- В Институт SANS[1]
Заметные результаты
Начиная с 2009 года, Государственный департамент США начал дополнять свою программу оценки рисков, частично используя Консенсусные рекомендации по аудиту. Согласно оценкам Департамента, в первый год проведения оценки сайтов с использованием этого подхода департамент снизил общий риск для своей ключевой несекретной сети почти на 90 процентов для зарубежных сайтов и на 89 процентов для местных сайтов.[12]
внешние ссылки
- Веб-сайт «Двадцать важнейших элементов управления безопасностью для эффективной киберзащиты» (Центр интернет-безопасности)
- Прямая ссылка на CIS CSC версии 6 pdf (Центр интернет-безопасности)
- Прямая ссылка на CIS CSC версии 6.1 pdf (Центр интернет-безопасности)
- Технический документ «Выполнение согласованных рекомендаций по аудиту (CAG) с помощью Symantec ™ Risk Automation Suite» (технический документ от Symantec Corporation)
- Статья «Ускоренный переход к согласованному руководству аудита № 8 (CAG 8)» (статья опубликована в блоге, спонсируемом Lieberman Software Corporation)
- Технический документ "Введение в CIS Controls - SANS Back to Basics" (технический документ из Tripwire, Inc. )
- "Почему агентства пренебрегают 20 критическими средствами контроля"
- «20 элементов управления, которых нет»
- Ссылка на CIS RAM Скачать (автор Центр Интернет-безопасности и Лаборатория безопасности HALOCK[13])
использованная литература
- ^ а б «Gilligan Group Inc., история вопроса и участники CAG»
- ^ «Понимание заинтересованных сторон в сфере технологий: их успехи и проблемы», Джон М. Гиллиган, Форум Software Assurance, 4 ноября 2009 г.
- ^ «Рекомендации по консенсусному аудиту: обзор» от Lieberman Software Corporation
- ^ «Рекомендации по консенсусному аудиту: время« остановить кровотечение »», Джон М. Гиллиган, 10-й полугодовой форум Software Assurance, 12 марта 2009 г.
- ^ «Архивная копия». Архивировано из оригинал 22 марта 2014 г.. Получено Двадцать первое марта, 2014.CS1 maint: заархивированная копия как заголовок (ссылка на сайт)
- ^ Версия 7 на cisecurity.org
- ^ Версия 7.1 на cisecurity.org
- ^ «CIS Controls Version 7 - что старого, что нового». CIS® (Центр Интернет-безопасности, Inc.).
- ^ "FAQ RAM CIS". CIS® (Центр Интернет-безопасности, Inc.).
- ^ Джеймс Тарала и Дженнифер Адамс, "Рекомендации по аудиту консенсуса: радикальное повышение безопасности систем HIT"[постоянная мертвая ссылка ]
- ^ Веб-сайт SANS, «20 критических мер безопасности»
- ^ "Слушания в Подкомитете по государственному управлению, организации и закупкам Комитета по надзору и правительственной реформе, Палата представителей, Сто одиннадцатый Конгресс, вторая сессия, 24 марта 2010 г." Федеральная информационная безопасность: текущие проблемы и будущие политические соображения '"
- ^ «HALOCK Security Labs: CIS RAM». Оперативная память СНГ.