Decenijama su CIS kritične sigurnosne kontrole (CIS kontrole) pojednostavljivale napore preduzeća da ojačaju svoju poziciju cyber bezbjednosti propisivanjem prioritetnih mjera sigurnosti za odbranu od uobičajenih cyber prijetnji.
U ovom članku ćemo pregledati priču o CIS kontrolama prije nego što bliže pogledamo trenutnu verziju.
Kratka istorija CIS kontrola
Rani dani
Prvi put su predstavljeni kao SANS Critical Security Controls (SANS Top 20) 2008. godine od strane međunarodnog konzorcijuma koji okuplja kompanije, vladine agencije, institucije i pojedince iz svih dijelova ekosistema koji su se udružili kako bi stvorili, usvojili i podržali kontrole. U 2015. godini, Centar za internet sigurnost, Inc. (CIS) je zvanično preuzeo vlasništvo nad CIS kontrolama sa verzijom 6. Ideja koja stoji iza CIS kontrola bila je da se poduzećima pruže praktične smjernice kako bi smisleno poboljšale svoje sposobnosti sajber odbrane.
Vremenom je uvedeno nekoliko ažuriranja kako bi se održalo korak s rastućim cyber prijetnjama i organizacijskim potrebama. CIS kontrole se ažuriraju i pregledaju kroz proces zasnovan na konsenzusu. Praktičari iz vlade, industrije i akademske zajednice donose duboko tehničko razumijevanje sa višestrukih gledišta (npr. ranjivost, prijetnja, odbrambena tehnologija, dobavljači alata, upravljanje preduzećem) i udružuju svoje znanje kako bi identificirali najefikasnije tehničke sigurnosne kontrole potrebne za zaustavljanje napada. oni posmatraju.
Verzija 7.1: Fokus na određivanju prioriteta
Jedan od najvećih pomaka u CIS kontrolama dogodio se u verziji 7.1 kada je CIS uveo koncept Implementacijskih grupa (IG) — IG1, IG2 i IG3 — kao novi način određivanja prioriteta CIS kontrola. Ovi IG-ovi pružaju jednostavan i pristupačan način za preduzeća različitih veličina da usmjere svoje oskudne sigurnosne resurse dok i dalje koriste vrijednost CIS Controls programa, zajednice i komplementarnih alata i radnih pomagala.
Verzija 8: 18 je nova 20
U maju 2021., CIS je predstavio verziju 8 kontrola, nudeći pojednostavljeni i fokusiraniji pristup cyber sigurnosti od svog prethodnika. Verzija 8 je kombinovala i konsolidovala CIS kontrole prema aktivnostima, a ne prema tome ko je upravljao uređajima, smanjivši broj kontrola sa 20 na 18 i uvodeći CIS zaštitne mere (umesto pod-kontrola). Ova značajna promjena olakšala je preduzećima da efikasno izrade strategije i implementiraju sigurnosne mjere. Verzija 8 je takođe pomjerila svoj pristup sa odbrambenih strategija usmjerenih na uređaje na strategije usmjerene na podatke koje imaju za cilj zaštitu podataka bez obzira na njihovu lokaciju, uključujući javne i privatne cloud zajedno s lokalnim sistemima. Ova verzija je takođe zvanično definisala IG1 kao esencijalnu cyber higijenu, polaznu tačku i minimalni standard informacione bezbjednosti za sva preduzeća.
Verzija 8.1: Upravljanje i usklađenost
Premotajte tri godine naprijed do objavljivanja Controls v8.1 u junu 2024. Ovo novo iterativno ažuriranje nastoji dodatno pojednostaviti operacije i poboljšati kontekst, koegzistenciju i konzistentnost.
Trenutna verzija CIS Critical Security Controls
CIS kontrole v8.1 je iterativno ažuriranje verzije 8. Kao dio našeg procesa za razvoj CIS kontrola, uspostavljamo „principe dizajna“ koji nas vode kroz bilo koja manja ili veća ažuriranja dokumenta. Naši principi dizajna za ovu reviziju su kontekst, jasnoća i konzistentnost. Kontekst proširuje obim i praktičnu primjenjivost CIS zaštitnih mjera tako što uključuje konkretne primjere i dodatna objašnjenja. Jasnoća je usklađena s drugim glavnim sigurnosnim okvirima u mjeri u kojoj je to praktično, uz očuvanje jedinstvenih karakteristika CIS kontrola. Dosljednost održava kontinuitet za postojeće korisnike CIS kontrola, osiguravajući male ili nikakve promjene zbog ovog ažuriranja.
Evo širokih promjena koje smo napravili za svaki princip dizajna:
Kontekst
Ažurirali smo CIS kontrole novim klasama sredstava kako bismo bolje uskladili specifične dijelove infrastrukture preduzeća na koje se primjenjuje svaka CIS zaštita. Nove klase zahtijevaju nove definicije, pa smo takođe poboljšali opise nekoliko CIS zaštitnih mjera za više detalja, praktičnosti i jasnoće.
Koegzistencija
CIS kontrole su se uvijek usklađivale s evoluirajućim industrijskim standardima i okvirima, i to će nastaviti činiti. Ovo je osnovni princip rada kontrola; pomaže svim korisnicima kontrola. Izdanje Nacionalnog instituta za standarde i tehnologiju (NIST) Cybersecurity Framework (CSF) 2.0 zahtijevalo je ažurirana mapiranja i ažurirane sigurnosne funkcije.
Dosljednost
Tradicionalno, svako iterativno ažuriranje CIS kontrola trebalo bi da minimizira ometanje korisnika kontrola. To znači da nijedan IG nije izmijenjen u ovom ažuriranju, a duh bilo koje CIS zaštitne mjere ostaje isti. Osim toga, nove klase sredstava i definicije trebale su se dosljedno primjenjivati u svim kontrolama, a pritom su dodana neka manja ažuriranja.
Imajući na umu ove principe, proširili smo CIS kontrole v8.1 na sljedeća ažuriranja:
- Preusmjerena mapiranja sigurnosnih funkcija NIST CSF da odgovaraju NIST CSF 2.0
- Uključene nove i proširene definicije pojmovnika za rezervirane riječi koje se koriste u svim kontrolama (npr. plan, proces, osjetljivi podaci)
- Revidirane klase sredstava zajedno s novim mapiranjem CIS zaštitnih mjera
- Ispravljene manje greške u kucanju u CIS Safeguard opisima
- Dodato pojašnjenje za nekoliko anemičnih opisa CIS Safeguard-a
Dodali smo i sigurnosnu funkciju “Upravljanje”. Preduzeća ne mogu usmjeriti svoj program cyber-sigurnosti ka postizanju svojih ciljeva bez strukture koju obezbjeđuje efikasno upravljanje. CIS Controls v8.1 posebno identifikuje teme upravljanja kao preporuke koje preduzeća mogu primeniti da poboljšaju svoje upravljanje svojim programom sajber bezbednosti.
CIS kontrole imaju za cilj da pojednostave proces dizajniranja, implementacije, mjerenja i upravljanja sigurnošću preduzeća. Ovo uključuje pojednostavljenje jezika kako bi se smanjilo dupliranje, fokusiranje na mjerljive radnje sa definisanim metrikama i osiguravanje da je svaki CIS zaštitni mehanizam jasan i koncizan. CIS nastavlja da balansira između potrebe za rješavanjem trenutnih izazova cyber sigurnosti i održavanja stabilne, temeljne strategije cyber odbrane, uz istovremeno izbjegavanje pretjerano složenih ili nedostupnih tehnologija. Tehnologija se stalno mijenja, a tim CIS Controls svjestan je razvoja vještačke inteligencije , proširene stvarnosti i ambijentalnog računarstva koji rade na preoblikovanju naše poslovne infrastrukture na suptilne i radikalne načine. Držimo oba oka otvorena i već radimo na idejama za verziju 9 CIS kontrola.
CIS Controls ekosistem
Kako se CIS kontrole ažuriraju na buduće verzije, uvijek paralelno ažuriramo naše resurse i alate. Ispod je lista onoga što smo do sada ažurirali, a ima još toga kako idemo naprijed. Obavezno provjerite ove resurse kao i druge na našoj web stranici .
Verzija 8.1 Izdanja
Vodiči
- Kontrole v8.1 PDF
- Kontrole v8.1 Excel
- Kontrole v8.1 Dnevnik promjena
- Kontrole v8.1 Grupa implementacije 4-pager
- Vodič za industrijske upravljačke sisteme
- Uspostavljanje osnovne cyber higijene
- Vodič za klasu imovine
- Vodič kroz grupe za implementaciju (IG)
- Putokaz za CIS kritične sigurnosne kontrole
Mapiranja
- CIS Critical Security Controls Navigator : Želite li vidjeti kako se CIS kontrole uklapaju u vaš širi sigurnosni program? Koristite ovaj alat da istražite kako se oni mapiraju s drugim sigurnosnim standardima.
- HPH CPGs
- CSA Cloud Controls Matrix v4
- PCI DSS v4.0
- NYDFS 23 NYCRR dio 500
- NIST SP 800-53 Rev 5 Umjerene i niske osnovne vrijednosti
- ISO/IEC 27001:2022
- CMMC 2.0
- CISA-ine međusektorske CPG-ove v1.0.1
- NIST SP 800-171 Rev 2
- NIST CSF 2.0
Ažuriranja alata
- Specifikacija za procjenu CIS kontrola
- CIS kontroliše OSCAL repozitorijum na CIS WorkBench / Home
Cyber sigurnost nije jednokratni poduhvat – to je stalni proces prilagođavanja i poboljšanja. Ažuriranje vaše organizacije na CIS Controls v8.1 ne samo da će pomoći u suočavanju s trenutnim izazovima, već će i postaviti čvrst temelj za buduće nadogradnje vaših strategija cyber sigurnosti.
Izvor:Help Net Security