w ciągu ostatnich kilku lat stało się oczywiste, że w świecie bezpieczeństwa informacji wykroczenie przewyższa obronę. Chociaż budżety rosną, a kierownictwo zwraca większą uwagę na ryzyko utraty danych i penetracji systemu, dane są nadal tracone, a systemy są nadal penetrowane. W kółko ludzie pytają: „co możemy praktycznie zrobić, aby chronić nasze informacje?”Odpowiedź pojawiła się w formie 20 kontroli zapewnienia informacji, znanych jako kontrole CIS.,
CIS Critical Security Controls-Wersja 7.,Kontrola
krytyczne kontrole bezpieczeństwa dla skutecznej Cyber obrony
następujące opisy krytycznych kontroli bezpieczeństwa można znaleźć na stronie internetowej Instytutu SANS:
na przestrzeni lat opracowano wiele standardów bezpieczeństwa i RAM wymagań w próbach przeciwdziałania zagrożeniom dla Systemów przedsiębiorstw i krytycznych w nich danych., Jednak większość tych wysiłków stała się zasadniczo ćwiczeniami w zakresie raportowania zgodności i faktycznie przekierowały zasoby programów bezpieczeństwa z stale zmieniających się ataków, które należy rozwiązać. W 2008 roku został uznany za poważny problem przez Amerykańską Agencję Bezpieczeństwa Narodowego (NSA) i rozpoczął wysiłki, które podjęły podejście „wykroczenie musi informować obronę”, aby nadać priorytet liście kontroli, które miałyby największy wpływ na poprawę postawy ryzyka wobec rzeczywistych zagrożeń. Konsorcjum USA, i agencje międzynarodowe szybko rosły, a dołączyli do nich eksperci z sektora prywatnego i na całym świecie. Ostatecznie zalecenia dotyczące tego, co stało się krytycznymi kontrolami bezpieczeństwa (kontrole) były koordynowane przez Instytut SANS. W 2013 roku zarządzanie i utrzymanie kontroli zostało przekazane Radzie ds. cyberbezpieczeństwa (the Council), niezależnej, globalnej organizacji non-profit zaangażowanej w bezpieczny i otwarty Internet.,
kluczowe mechanizmy kontroli bezpieczeństwa koncentrują się przede wszystkim na nadawaniu priorytetów funkcjom bezpieczeństwa, które są skuteczne w walce z najnowszymi zaawansowanymi zagrożeniami ukierunkowanymi, z silnym naciskiem na „to, co działa” – kontrole bezpieczeństwa, w których używane są produkty, procesy, architektury i usługi, które wykazały rzeczywistą skuteczność. Standaryzacja i automatyzacja to kolejny priorytet, aby uzyskać wydajność operacyjną przy jednoczesnym zwiększeniu efektywności., Działania zdefiniowane przez kontrole są wyraźnie podzbiorem kompleksowego katalogu zdefiniowanego przez Narodowy Instytut Norm i technologii (NIST) SP 800-53. Kontrola nie ma na celu zastąpienia pracy NIST, w tym ram bezpieczeństwa cybernetycznego opracowanych w odpowiedzi na zarządzenie wykonawcze 13636. Zamiast tego, kontrole mają priorytet i koncentrują się na mniejszej liczbie możliwych do podjęcia działań kontroli z wysoką wypłatą, dążąc do filozofii „must do first”., Ponieważ kontrole były oparte na najczęstszych wzorcach ataków i zostały zweryfikowane w bardzo szerokiej społeczności rządu i przemysłu, z bardzo silnym konsensusem co do wynikającego zestawu kontroli, służą one jako podstawa do natychmiastowych działań o wysokiej wartości.
Rekomendowane Referencje
krytyczne kontrole bezpieczeństwa (wersja 7.,1) | ||||
AuditScripts Critical Security Control Executive Assessment Tool | ||||
CIS Critical Security Control v7.,9768b575″> | Implementing the 20 Critical Controls with Security Information and Event Management Systems | |||
A Small Business No Budget Implementation of the SANS 20 Critical Controls |