Документ описывает критические контроли безопасности CIS и их применение для оценки и внедрения мер кибербезопасности. Включены различные политики для управления активами, уязвимостями и реагирования на инциденты, а также ссылки на ресурсы для дальнейшего изучения. Основная цель документа — повышение уровня безопасности через практические рекомендации и стандарты.

1. CIS Critical Security Controls
аудит, внедрение, автоматизация
Вячеслав Аксёнов
Enterprise Security Architect | Information Security Trainer
linkedin
Telegram-канал itsec.by

2. 2/91
https://www.cisecurity.org
некоммерческая организация, миссия которой «выявлять,
разрабатывать, утверждать, продвигать и поддерживать лучшие
практические решения для обеспечения кибербезопасности»

3. 3/x
https://www.cisecurity.org/controls/v8
Инвентаризация и контроль аппаратного обеспечения
Инвентаризация и контроль программного обеспечения
Защита данных
Безопасная конфигурация аппаратного и программного обеспечения
Управление учетными записями
Управление доступом
Непрерывное управление уязвимостями
Управление журналами аудита
Защита электронной почты и веб-браузера
Защита от вредоносных программ
Восстановление данных
Управление сетевой инфраструктурой
Мониторинг и защита сети
Осведомленность и обучение навыкам в области безопасности
Управление поставщиками услуг
Обеспечение безопасности прикладного программного обеспечения
Управление реагированием на инциденты
Тестирование на проникновение
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

4. 4/91
Группы внедрения

5. 5/91
Меры защиты

6. 6/91
Политики
Наименование политики CIS Controls
Enterprise Asset Management Policy 1.1, 1.2
Software Asset Management Policy 2.1, 2.2, 2.3
Data Management Policy Template 3.1, 3.2, 3.3, 3.4, 3.5, 3.6
Secure Configuration Management Policy 3.3, 4.1, 4.2, 4.3, 4.4, 4.5, 4.6,
4.7, 7.3, 7.4, 8.2, 8.3, 9.1, 9.2,
10.3, 12.1
Account and Credential Management Policy 5.1, 5.2, 5.3, 5.4, 6.1, 6.2, 6.3,
6.4, 6.5
Vulnerability Management Policy 7.1, 7.2, 7.3, 7.4
Audit Log Management Policy 3.3, 3.4, 3.6, 8.1, 8.2, 8.3
Malware Defense Policy 2.3, 7.3, 7.4, 10.1, 10.2, 10.3,
17.3
Service Provider Management Policy 15.1
Data Recovery Policy 3.1, 3.3, 3.4, 3.6, 11.1, 11.2, 11.3,
11.4
Incident Response Policy 17.1, 17.2, 17.3, 17.4, 17.5, 17.6
https://www.cisecurity.org/controls/v8

7. 7/91
Рекомендации по настройкам безопасности
https://www.cisecurity.org/cis-benchmarks/

8. https://learn.cisecurity.org/cis-ram

9. https://www.cisecurity.org/controls/cis-controls-navigator/
Сопоставление требований (маппинги)

10. CIS Controls Self Assessment Tool
https://www.cisecurity.org/controls/cis-controls-self-assessment-tool-cis-csat

11. 11/31
Cyber Security Evaluation Tool (CSET)
Приложение, для проведения
систематического аудита и оценки ICT.
https://www.cisa.gov/uscert/ics/Downloading-and-Installing-CSET

12. 12/91
Дополнительные материалы
https://drive.google.com/drive/folders/1Pl9lXFAKDucT-ImXx5O2t2q93Vxb-cas

13. 13/91
Спасибо за внимание!
Вячеслав Аксёнов
Enterprise Security Architect | Information Security Trainer
linkedin
Telegram-канал itsec.by