„CIS Controls v7.1” to zestaw rekomendacji i najlepszych praktyk bezpieczeństwa dla małych, średnich i dużych przedsiębiorstw. Dokument został napisany przez zrzeszoną społeczność ekspertów zatrudnionych w organizacjach z sektora rządowego, ochrony zdrowia, przemysłu i innych. Każdy obszar zabezpieczeń został przygotowany przez profesjonalistów specjalizujących się np. w zarządzaniu ryzykiem, testach penetracyjnych, bezpieczeństwie aplikacji itp. Jest to więc pozycja prawie obowiązkowa dla każdej nawet najmniejszej organizacji, która może porównać, to co zrobiła dla siebie, aby lepiej chronić własny biznes z tym, co jeszcze powinna wdrożyć.

Zalecenia zostały posegregowane według kolorów dla trzech grup:

  • Kolor zielony to podstawowe porady dla małych firm i małych urzędów.
  • Kolor żółty wskazuje na zalecenia dla średnich firm i instytucji publicznych.
  • Kolor niebieski to zalecenia dla dużych organizacji z dużym budżetem na bezpieczeństwo.

Rekomendacje dotyczą 20 głównych obszarów, do których zaliczamy:

  • Inwentaryzację i zarządzanie sprzętem.
  • Inwentaryzację i zarządzanie oprogramowaniem (w tym licencjami).
  • Zarządzanie aktualizacjami bezpieczeństwa / podatnościami.
  • Zarządzanie i kontrolowanie dostępem do uprawnień administracyjnych.
  • Konfigurację sprzętu i oprogramowania w celu uzyskania lepszej ochrony na urządzeniach mobilnych, laptopach, stacjach roboczych i serwerach.

bezpieczeństwo dla małych i średnich firm
Kolor zielony to zalecenia niezbędne dla małych firm. Kolor pomarańczowy to zalecenia, które powinny wdrożyć średnie organizacje. Kolorem niebieskim oznaczono zalecenia dla dużych firm.

  • Monitorowanie i analizę logów.
  • Ochronę poczty e-mail i przeglądarek internetowych.
  • Ochronę przed złośliwym oprogramowaniem.
  • Możliwości odzyskiwania danych.
  • Bezpieczną konfigurację urządzeń sieciowych (zapory, routery i przełączniki).
  • Ochronę sieci.
  • Ochronę danych.
  • Dostęp do sieci i segmentację sieci.
  • Dostęp do Wi-Fi.
  • Monitorowanie i kontrolę kont użytkowników.
  • Wdrożenie szkoleń w zakresie bezpieczeństwa.
  • Bezpieczeństwo aplikacji.
  • Reakcję na zdarzenia i zarządzanie incydentami.
  • Testy penetracyjne i red teaming.

CIS Controls v7.1 to lektura długa, ponieważ bezpieczeństwa nie da się zrobić w jedno popołudnie. Dokument został napisany w sposób zrozumiały, nieskomplikowany. Pracownicy nawet małej organizacji nie muszą przekopywać się przez setki zaleceń, które ich nie dotyczą. Jest to też lektura, która powinna zaciekawić szczególnie osoby zaczynające z bezpieczeństwem lub pracowników IT, którzy chcą poszerzyć swoją wiedzę o zarządzaniu, monitorowaniu, kontrolowaniu, zbieraniu logów, zabezpieczaniu.

Szczegółowy dokument dostępny do pobrania po wypełnieniu wniosku na stronie: https://learn.cisecurity.org/cis-controls-download

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz