au cours des deux dernières années, il est devenu évident que dans le monde de la sécurité de l’information, l’infraction surpasse la défense. Même si les budgets augmentent et que la direction accorde plus d’attention aux risques de perte de données et de pénétration des systèmes, les données sont toujours perdues et les systèmes sont toujours pénétrés. De plus en plus de gens demandent: « Que pouvons-nous pratiquement faire pour protéger nos Informations?” La réponse est venue sous la forme de 20 contrôles d’assurance de l’information connus sous le nom de contrôles CIS.,
les contrôles de sécurité critiques CIS – Version 7.,Contrôle
contrôles de sécurité critiques pour une cyberdéfense efficace
Les descriptions suivantes des contrôles de sécurité critiques se trouvent sur le site web de L’institut SANS:
Au fil des ans, de nombreux cadres de normes et d’exigences de sécurité ont été élaborés dans les domaines suivants: tente de faire face aux risques pour les systèmes d’entreprise et les données critiques Qu’ils contiennent., Cependant, la plupart de ces efforts sont devenus essentiellement des exercices de rapports sur la conformité et ont en fait détourné les ressources du programme de sécurité des attaques en constante évolution qui doivent être traitées. En 2008, cela a été reconnu comme un problème grave par la National Security Agency (NSA) des États-Unis, et ils ont commencé un effort qui a adopté une approche « offense must inform defense” pour hiérarchiser une liste des contrôles qui auraient le plus grand impact dans l’amélioration de la posture de risque contre les menaces du monde réel. Un consortium de états-UNIS, et les agences internationales se sont rapidement développées, et ont été rejointes par des experts de l’industrie privée et du monde entier. En fin de compte, les recommandations pour ce qui est devenu les contrôles de sécurité critiques (les contrôles) ont été coordonnées par L’Institut SANS. En 2013, la gestion et le maintien des contrôles ont été transférés au Council on CyberSecurity (le Conseil), une entité mondiale indépendante à but non lucratif engagée en faveur d’un Internet sécurisé et ouvert.,
Les contrôles de sécurité critiques se concentrent d’abord sur la priorité des fonctions de sécurité efficaces contre les dernières menaces ciblées avancées, en mettant fortement l’accent sur « ce qui fonctionne” – des contrôles de sécurité lorsque des produits, des processus, des architectures et des services sont utilisés qui ont démontré une efficacité réelle. La normalisation et l’automatisation sont une autre priorité absolue, pour gagner en efficacité opérationnelle tout en améliorant l’efficacité., Les actions définies par les contrôles sont manifestement un sous-ensemble du catalogue complet défini par le National Institute of Standards and Technology (NIST) SP 800-53. Les contrôles ne visent pas à remplacer les travaux du NIST, y compris le cadre de cybersécurité élaboré en réponse au décret exécutif 13636. Les contrôles priorisent plutôt et se concentrent sur un plus petit nombre de contrôles exploitables avec un gain élevé, visant une philosophie « must do first”., Étant donné que les contrôles ont été dérivés des schémas d’attaque les plus courants et ont été examinés par une très large communauté de gouvernements et d’industries, avec un très fort consensus sur l’ensemble de contrôles résultant, ils servent de base à une action immédiate de grande valeur.
Références
 |
Le Critique Contrôles de Sécurité (version 7.,1) | |||
 |
AuditScripts Critical Security Control Executive Assessment Tool | |||
|
CIS Critical Security Control v7.,9768b575″>
|
Implementing the 20 Critical Controls with Security Information and Event Management Systems | ||
|
A Small Business No Budget Implementation of the SANS 20 Critical Controls |