In den letzten Jahren ist es offensichtlich geworden, dass in der Welt der Informationssicherheit die Straftat die Verteidigung übertrifft. Obwohl die Budgets steigen und das Management den Risiken von Datenverlust und Systemdurchdringung mehr Aufmerksamkeit schenkt, gehen Daten immer noch verloren und Systeme werden immer noch durchdrungen. Immer wieder fragen die Leute: „Was können wir praktisch tun, um unsere Informationen zu schützen?“Die Antwort ist in Form von 20 Informationssicherungskontrollen gekommen, die als CIS-Kontrollen bekannt sind.,
Die CIS Critical Security Controls – Version 7.,Kontrolle
Kritische Sicherheitskontrollen für eine effektive Cyberverteidigung
Die folgenden Beschreibungen der kritischen Sicherheitskontrollen finden Sie auf der Website des SANS-Instituts:
Im Laufe der Jahre wurden viele Sicherheitsstandards und-anforderungsrahmen in versuche, Risiken für Unternehmenssysteme und die darin enthaltenen kritischen Daten anzugehen., Die meisten dieser Bemühungen sind jedoch im Wesentlichen zu Übungen bei der Berichterstattung über Compliance geworden und haben die Ressourcen des Sicherheitsprogramms tatsächlich von den sich ständig weiterentwickelnden Angriffen abgelenkt, die angegangen werden müssen. Im Jahr 2008 wurde dies von der US National Security Agency (NSA) als ernstes Problem anerkannt, und sie begannen eine Anstrengung, die einen Ansatz „Offensive must Inform Defense“ verfolgte, um eine Liste der Kontrollen zu priorisieren, die den größten Einfluss auf die Verbesserung der Risikohaltung gegen reale Bedrohungen haben würden. Ein Konsortium von U. S., und internationale Agenturen schnell wuchs, und wurde von Experten aus der privaten Industrie und rund um den Globus verbunden. Letztendlich wurden Empfehlungen für die kritischen Sicherheitskontrollen (die Kontrollen) über das SANS-Institut koordiniert. Im Jahr 2013 wurde die Verwaltung und Aufrechterhaltung der Kontrollen an den Rat für Cybersicherheit (den Rat) übertragen, eine unabhängige, globale gemeinnützige Einrichtung, die sich für ein sicheres und offenes Internet einsetzt.,
Die kritischen Sicherheitskontrollen konzentrieren sich zunächst auf die Priorisierung von Sicherheitsfunktionen, die gegen die neuesten fortschrittlichen gezielten Bedrohungen wirksam sind, mit einem starken Schwerpunkt auf „Was funktioniert“ – Sicherheitskontrollen, bei denen Produkte, Prozesse, Architekturen und Dienste verwendet werden, die eine echte Wirksamkeit gezeigt haben. Standardisierung und Automatisierung haben ebenfalls oberste Priorität, um die betriebliche Effizienz zu steigern und gleichzeitig die Effektivität zu verbessern., Die durch die Kontrollen definierten Maßnahmen sind nachweislich eine Teilmenge des umfassenden Katalogs, der vom National Institute of Standards and Technology (NIST) SP 800-53 definiert wurde. Die Kontrollen versuchen nicht, die Arbeit von NIST zu ersetzen, einschließlich des Cybersicherheitsrahmens, der als Reaktion auf die Executive Order 13636 entwickelt wurde. Die Kontrollen stattdessen priorisieren und konzentrieren sich auf eine kleinere Anzahl von umsetzbaren Kontrollen mit hoher Auszahlung, mit dem Ziel einer „must do first“ Philosophie., Da die Kontrollen von den häufigsten Angriffsmustern abgeleitet wurden und in einer sehr breiten Gemeinschaft von Regierung und Industrie überprüft wurden, mit sehr starkem Konsens über die daraus resultierenden Kontrollen, dienen sie als Grundlage für sofortige hochwertige Maßnahmen.
Empfohlene Referenzen
Die kritischen Sicherheitskontrollen (Version 7.,1) | ||||
AuditScripts Critical Security Control Executive Assessment Tool | ||||
CIS Critical Security Control v7.,9768b575″> | Implementing the 20 Critical Controls with Security Information and Event Management Systems | |||
A Small Business No Budget Implementation of the SANS 20 Critical Controls |