Главная » Блоги Экспертов И ИТ-Компаний » ИБ. Лучшие практики CIS. 20 ключевых мер защиты

ИБ. Лучшие практики CIS. 20 ключевых мер защиты

tytle.png
Недавно международное ИТ сообщество CIS (Center for Internet Security) обновили свой документ с лучшими практиками (20 CISControls) мер защиты от актуальных угроз ИБ.  В обновлении немного поменялись формулировки мер защиты, угроз которым они противостоят, а также добавлен новый подход к приоритизации мер, под названием – группы реализации ImplementationGroup, о которых надо рассказать подробнее:
Изначально TOP 20 CIS Critical control – это был набор групп мер приоритезированных по критичности и рекомендованному порядку их применения. Причем первые Basic меры считались основами кибер гигиены, которые должны внедрить все компании (подробнее в моих предыдущих заметках)
all.png
Но оказалось, что для некоторых малых и ограниченных в ресурсах компаний не по силам даже Basic группы меры. К тому же раньше не учитывалась разная степень риска в разных организациях.  Поэтому решено было разделить меры на группы реализации IG1, IG2, IG3
         Implementationgroup1 - IG1
IG1.pngОрганизация применяющие IG1 – в основном малый (иногда средний бизнес), с ограниченным опытом в ИТ и кибербезопасности. Основная задача этих организаций - сохранить бизнес в рабочем состоянии, а основной ущерб - от простоя.  Как правило обрабатывают не критичные данные своих сотрудников и финансовую информацию. Если же организации малого бизнеса обрабатывают критичные данные, то должны выполнять меры следующих групп.
Меры защиты, реализуемые в рамках группы IG1, должны осуществляться в варианте требующем минимум компетенций в области ИБ и рассчитаны на коробочные решения оборудования и ПО для малого бизнеса.
         Implementationgroup2 – IG2
IG2.pngВ организациях, применяющих IG2 как правило есть выделенные работники отвечающие за управление ИБ и защиты ИТ инфраструктуры. В таких организациях есть процессы и подразделения разной степени критичности. Некоторые подразделения могут быть нацелены в первую очередь на выполнение требований законодательства (compliance).  
Организации группы IG2 как правило обрабатывают важную информацию своих клиентов и контрагентов и устойчивы к коротким перерывам в обслуживании. Основное беспокойство вызывает потеря репутации в случае инцидентов.
Частные меры группы IG2, помогают ответственным за безопасность лицам, справляться с возрастающей сложностью процессов и операций. Установки и настройки некоторых меры будут зависеть от имеющегося в компании уровня технологий и экспертизы.
         Implementationgroup3 – IG3
IG3.pngВ организациях группы IG3 тысячи работников, в том числе имеются эксперты по безопасности, которые специализируются на различных аспектах кибербезопасность (например, управление рисками, тестирование на проникновение, безопасность приложений). Системы и данные организаций группы IG3 содержат конфиденциальную информацию или функции, которые строго регулируются или должны соответствовать требованиям.
Организации группы IG3 должны обеспечивать доступность услуг, конфиденциальность и целостность данных. Успешные атаки могут нанести большой вред обществу. Меры защиты, выбранные для IG3, направлены на противодействие целевым и новым атакам от нарушителей с высоким потенциалом.
Пример, таблицы соответствия мер “Инвентаризация и контроль ПО” и групп применения. 
example%2BIG.png
Не правда ли, похоже на уже привычные по документам ФТСЭК / NISTбазовые наборы мер в зависимости от класса систем.  Кстати, у CISуже есть таблицы соответствия CISControlsNISTCSF, а значит легко можно сделать аналогичную таблицу соответствия мерам из приказов ФСТЭК.
Далее можно использовать лучшее что есть в CISControls– порядок реализации мер начиная с наиболее важных, рекомендации по реализации процедур и использованию решений по автоматизации мер, метрики для контроля эффективности мер.  При этом всё это в общем то не будет противоречить российскому законодательству по ИБ.


Источник: https://sborisov.blogspot.com/2019/04/cis-20.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
7 месяцев назад | тэги: CIS, top 20, ИБ, лучшие практики
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>