V posledních pár letech se stalo zřejmé, že ve světě informační bezpečnosti, trestný čin je překonal obranu. Přestože zvýšení rozpočtů a správy věnuje více pozornosti rizika ztrátě dat a systém penetrace, data jsou stále ubývá a systémy jsou stále pronikl. Znovu a znovu se lidé ptají: „co můžeme prakticky udělat pro ochranu našich informací?“Odpověď přišla ve formě 20 kontrol zajištění informací známých jako kontroly CIS.,
CIS Critical Security Controls-verze 7.,Ovládání
Kritické Bezpečnostní Kontroly pro Efektivní Kybernetickou Obranu
Následující popisy nejdůležitějších Bezpečnostních prvků lze nalézt na SANS Ústavu Stránky:
v Průběhu let, mnoho bezpečnostní normy a požadavky rámce byly vyvinuty ve snaze řešit rizika pro podnikové systémy a kritická data v nich., Většina z těchto snah se však v podstatě stala cvičeními při podávání zpráv o dodržování předpisů a ve skutečnosti odklonila prostředky bezpečnostního programu od neustále se vyvíjejících útoků, které je třeba řešit. V roce 2008, to byla uznána jako vážný problém tím, že AMERICKÁ Národní Bezpečnostní Agentura (NSA), a začali snaze, že se „trestný čin musí informovat obrany“ přístup k upřednostňování seznam kontrol, které budou mít největší dopad na zlepšení riziko držení těla proti reálných hrozeb. Konsorcium USA, a Mezinárodní agentury rychle rostly a připojili se k nim odborníci ze soukromého průmyslu a po celém světě. Nakonec byla doporučení ohledně toho, co se stalo kritickými bezpečnostními kontrolami (kontrolami), koordinována prostřednictvím Institutu SANS. V roce 2013 bylo vedení a udržování kontrol převedeno na radu pro kybernetickou bezpečnost (Rada), nezávislý, globální neziskový subjekt zavázaný k bezpečnému a otevřenému internetu.,
Kritické Bezpečnostní Kontroly se zaměřuje nejprve na stanovení priorit bezpečnostních funkcí, které jsou účinné proti nejnovější Pokročilé Cílené Hrozby, s důrazem na to, „Co Funguje“ – bezpečnostních kontrol, kde se produkty, procesy, architektury a služby jsou v provozu, který prokázal skutečný svět účinnosti. Standardizace a automatizace je další nejvyšší prioritou, získat provozní efektivitu a zároveň zlepšit efektivitu., Akce definované kontrolami jsou prokazatelně podmnožinou komplexního katalogu definovaného Národním institutem pro normy a technologie (NIST) SP 800-53. Kontroly se nepokoušejí nahradit práci NIST, včetně rámce kybernetické bezpečnosti vyvinutého v reakci na výkonný příkaz 13636. Ovládací prvky místo toho upřednostňují a zaměřují se na menší počet akčních ovládacích prvků s vysokou výplatou, s cílem filozofie“ musí udělat první“., Vzhledem k tomu, že kontroly byly odvozeny z nejběžnějších vzorců útoků a byly prověřeny ve velmi širokém Společenství vlády a průmyslu, s velmi silným konsensem o výsledné sadě kontrol, slouží jako základ pro okamžité vysoce hodnotné akce.
Doporučené Odkazy
Kritické Bezpečnostní Kontroly (verze 7.,1) | ||||
AuditScripts Critical Security Control Executive Assessment Tool | ||||
CIS Critical Security Control v7.,9768b575″> | Implementing the 20 Critical Controls with Security Information and Event Management Systems | |||
A Small Business No Budget Implementation of the SANS 20 Critical Controls |