I de siste par årene har det blitt åpenbart at i den verden av informasjonssikkerhet, lovbruddet er å få bedre resultat enn forsvaret. Selv om budsjetter øke og ledelse betaler mer oppmerksomhet til den risiko for tap av data og system penetrasjon, data fortsatt være tapt og systemer er fortsatt bli penetrert. Over og over folk spør, «Hva kan vi praktisk talt gjøre for å beskytte vår informasjon?»Svaret har kommet i form av 20 information assurance kontroller kjent som CIS-Kontroller.,
CIS Kritisk sikkerhetskontroller – Versjon 7.,Kontroll
Kritisk sikkerhetskontroller for Effektiv Cyber Defense
Følgende beskrivelser av viktige Sikkerhets-Kontrollene kan bli funnet på SANS Institute ‘ s Hjemmeside:
gjennom årene, mange sikkerhets standarder og krav rammer har blitt utviklet som et forsøk på å ta risiko og enterprise systemer og kritiske data i dem., Imidlertid, de fleste av disse tiltakene har i hovedsak blitt øvelser i rapportering om overholdelse og har faktisk viderekoblet sikkerhet program ressurser fra stadig utvikling angrep som må løses. I 2008, dette var anerkjent som et alvorlig problem av det AMERIKANSKE National Security Agency (NSA), og de begynte en innsats som tok en «forbrytelse må informere defense» – tilnærming til å prioritere en liste over de kontroller som ville ha størst effekt i å forbedre risiko holdning mot reelle trusler. Et konsortium av USA, og internasjonale organisasjoner vokste raskt, og var sammen med eksperter fra det private næringsliv og i hele verden. Til slutt, anbefalinger for hva som ble Kritisk Security Controls (Kontroller) ble koordinert gjennom SANS Institute. I 2013, forvaltning og opprettholdelse av Kontrollene ble overført til Rådet på CyberSecurity (Rådet), en uavhengig, global non-profit foretak har forpliktet seg til å sikre og åpne Internett.,
Den Kritiske sikkerhetskontroller fokuserer først på å prioritere sikkerhet funksjoner som er effektiv mot de nyeste og mest Avanserte Målrettede Trusler, med en sterk vekt på «Hva som Virker» – sikkerhetskontroller hvor produkter, prosesser, arkitekturer og-tjenester er i bruk som har vist virkelige verden effektivitet. Standardisering og automatisering er en annen topp prioritet, for å få operasjonell effektivitet samtidig som kabelen vil bedre effektiviteten., Handlinger som er definert av Kontrollene er beviselig et delsett av den omfattende katalog definert av National Institute of Standards and Technology (NIST) SP 800-53. Kontrollene ikke forsøk å bytte ut arbeidet av NIST, inkludert Cybersecurity Framework utviklet som et svar på Executive Order 13636. Kontrollene i stedet prioritere og fokusere på et mindre antall av bruksklare kontroller med høy utbetalingen, som sikter mot en «må gjøre først» filosofi., Da Kontrollene ble hentet fra den mest vanlige angrep mønstre og ble sett gjennom over et svært bredt fellesskap av offentlige og private, med meget sterk konsensus om den resulterende sett av kontroller, kan de tjene som grunnlag for umiddelbar høy verdi og handling.
Anbefalt Referanser
Den Kritiske sikkerhetskontroller (versjon 7.,1) | ||||
AuditScripts Critical Security Control Executive Assessment Tool | ||||
CIS Critical Security Control v7.,9768b575″> | Implementing the 20 Critical Controls with Security Information and Event Management Systems | |||
A Small Business No Budget Implementation of the SANS 20 Critical Controls |