i de sidste par år er det blevet tydeligt, at lovovertrædelsen i verden af informationssikkerhed overgår forsvaret. Selvom budgetterne øges, og ledelsen lægger større vægt på risikoen for datatab og systemindtrængning, går data stadig tabt, og systemer trænger stadig ind. Igen og igen spørger folk: “hvad kan vi praktisk talt gøre for at beskytte vores information?”Svaret er kommet i form af 20 informationssikringskontroller kendt som CIS-kontrollerne.,
CIS kritiske sikkerhedskontroller – Version 7.,Kontrol
Kritisk sikkerhedskontrol for Effektiv Cyber Forsvar
De følgende beskrivelser af de Kritiske sikkerhedskontrol, kan findes på SANS Institute ‘ s Hjemmeside:
i Løbet af de år, mange sikkerheds standarder og krav, der rammer er blevet udviklet i et forsøg på at imødegå risici til virksomhedens systemer og vigtige data i dem., Men, de fleste af disse bestræbelser er hovedsagelig blevet øvelser i rapportering om overholdelse og har faktisk omdirigeret sikkerhed program ressourcer fra de konstant udvikling angreb, der skal løses. I 2008 blev dette anerkendt som et alvorligt problem af det amerikanske nationale sikkerhedsagentur (NSA), og de begyndte en indsats, der tog en “lovovertrædelse skal informere forsvar”-tilgang til at prioritere en liste over de kontroller, der ville have størst indflydelse på at forbedre risikopositionen mod trusler i den virkelige verden. Et konsortium af U. S., og internationale agenturer voksede hurtigt, og fik følgeskab af eksperter fra den private industri og rundt om i verden. I sidste ende blev anbefalinger til, hvad der blev den kritiske sikkerhedskontrol (kontrollerne) koordineret gennem SANS Institute. I 2013 blev forvaltningen og opretholdelsen af kontrollerne overført til Council on CyberSecurity (Rådet), en uafhængig, global non-profit enhed forpligtet til et sikkert og åbent Internet.,
Den Kritiske sikkerhedskontrol fokuserer først på prioritering af sikkerhed funktioner, der er effektiv mod de nyeste Avancerede Målrettede Trusler, med en stærk vægt på “Hvad der Virker” – sikkerhedskontrol, hvor produkter, processer, arkitekturer og services er i brug, der har vist virkelige verden effektivitet. Standardisering og automatisering er en anden topprioritet for at opnå driftseffektivitet og samtidig forbedre effektiviteten., De handlinger, der er defineret af kontrollerne, er påviseligt en delmængde af det omfattende katalog, Der er defineret af National Institute of Standards and Technology (NIST) SP 800-53. Kontrollerne forsøger ikke at erstatte NIST ‘ s arbejde, herunder Cybersikkerhedsrammen udviklet som svar på bekendtgørelse 13636. Kontrollerne prioriterer i stedet og fokuserer på et mindre antal Handlingsrettede kontroller med høj udbetaling, der sigter mod en “must do first”-filosofi., Da kontrollerne stammer fra de mest almindelige angrebsmønstre og blev undersøgt på tværs af et meget bredt samfund af regering og industri, med meget stærk enighed om det resulterende sæt kontroller, tjener de som grundlag for øjeblikkelig handling af høj værdi.
Anbefalet Referencer
Den Kritiske sikkerhedskontrol (version 7.,1) | ||||
AuditScripts Critical Security Control Executive Assessment Tool | ||||
CIS Critical Security Control v7.,9768b575″> | Implementing the 20 Critical Controls with Security Information and Event Management Systems | |||
A Small Business No Budget Implementation of the SANS 20 Critical Controls |