Документ охватывает внедрение и аудит критических контролей безопасности CIS, включая инвентаризацию оборудования, защиту данных и управление уязвимостями. Он предоставляет рекомендации по настройкам безопасности и упоминает различные политики управления активами и инцидентами. Также включены ссылки на инструменты для самооценки и аудита кибербезопасности.

1. CIS Critical Security Controls
аудит, внедрение, автоматизация
Вячеслав Аксёнов
Enterprise Security Architect | Information Security Trainer
linkedin
Telegram-канал itsec.by

2. 2/91
https://www.cisecurity.org
некоммерческая организация, миссия которой «выявлять,
разрабатывать, утверждать, продвигать и поддерживать лучшие
практические решения для обеспечения кибербезопасности»

3. 3/x
https://www.cisecurity.org/controls/v8
Инвентаризация и контроль аппаратного обеспечения
Инвентаризация и контроль программного обеспечения
Защита данных
Безопасная конфигурация аппаратного и программного обеспечения
Управление учетными записями
Управление доступом
Непрерывное управление уязвимостями
Управление журналами аудита
Защита электронной почты и веб-браузера
Защита от вредоносных программ
Восстановление данных
Управление сетевой инфраструктурой
Мониторинг и защита сети
Осведомленность и обучение навыкам в области безопасности
Управление поставщиками услуг
Обеспечение безопасности прикладного программного обеспечения
Управление реагированием на инциденты
Тестирование на проникновение
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

4. 4/91
Группы внедрения

5. 5/91
Меры защиты

6. 6/91
Политики
Наименование политики CIS Controls
Enterprise Asset Management Policy 1.1, 1.2
Software Asset Management Policy 2.1, 2.2, 2.3
Data Management Policy Template 3.1, 3.2, 3.3, 3.4, 3.5, 3.6
Secure Configuration Management Policy 3.3, 4.1, 4.2, 4.3, 4.4, 4.5, 4.6,
4.7, 7.3, 7.4, 8.2, 8.3, 9.1, 9.2,
10.3, 12.1
Account and Credential Management Policy 5.1, 5.2, 5.3, 5.4, 6.1, 6.2, 6.3,
6.4, 6.5
Vulnerability Management Policy 7.1, 7.2, 7.3, 7.4
Audit Log Management Policy 3.3, 3.4, 3.6, 8.1, 8.2, 8.3
Malware Defense Policy 2.3, 7.3, 7.4, 10.1, 10.2, 10.3,
17.3
Service Provider Management Policy 15.1
Data Recovery Policy 3.1, 3.3, 3.4, 3.6, 11.1, 11.2, 11.3,
11.4
Incident Response Policy 17.1, 17.2, 17.3, 17.4, 17.5, 17.6
https://www.cisecurity.org/controls/v8

7. 7/91
Рекомендации по настройкам безопасности
https://www.cisecurity.org/cis-benchmarks/

8. https://learn.cisecurity.org/cis-ram

9. https://www.cisecurity.org/controls/cis-controls-navigator/
Сопоставление требований (маппинги)

10. CIS Controls Self Assessment Tool
https://www.cisecurity.org/controls/cis-controls-self-assessment-tool-cis-csat

11. 11/31
Cyber Security Evaluation Tool (CSET)
Приложение, для проведения
систематического аудита и оценки ICT.
https://www.cisa.gov/uscert/ics/Downloading-and-Installing-CSET

12. 12/91
Дополнительные материалы
https://drive.google.com/drive/folders/1Pl9lXFAKDucT-ImXx5O2t2q93Vxb-cas

13. 13/91
Спасибо за внимание!
Вячеслав Аксёнов
Enterprise Security Architect | Information Security Trainer
linkedin
Telegram-канал itsec.by