С чего начать внедрение ИБ большим и маленьким: изучаем CIS Controls v8

Где кончается базовая ИБ-гигиена для небольшого бизнеса и начинается киберзащита для продвинутых? Центр интернет-безопасности (CIS) обновил рекомендации по внедрению ИБ для компаний разного масштаба в свежем гайде CIS Controls 8.

Предыдущие рекомендации CIS Controls 7.1 вышли в 2019 году. В версии 7.1 сделали упор на список практик для внедрения: что именно бизнес должен сделать для защиты. В восьмой версии этот подход сохранили и учли угрозы, связанные с “пандемийными” изменениями ИТ-ландшафта: массовой работой из дома, ростом мобильных пользователей, миграцией в облака. Например, появился отдельный раздел ― контроль безопасности сервис-провайдера (мимо такого пройти не cмогли).

Мы изучили рекомендации CIS для разных бизнесов и выделили самое интересное.

Развитие подхода CIS к внедрению ИБ

В старых версиях CIS Controls эксперты делили систему информационной безопасности на разделы по уровням: от базового к организационному. Такой подход оказался не очень удобным: небольшие компании порой зависали на базовом уровне и не добирались до важных рекомендаций следующего этапа, например, не делали бэкапы на случай атак программ-вымогателей.

Поэтому авторы обновленных рекомендаций приоритизировали для компаний не разделы ИБ, а список конкретных действий по защите информации.

Еще в предыдущей версии CIS Controls 7.1 все меры информационной безопасности поделили на 3 группы внедрения:

1. Минимальное внедрение (IG 1). Это уровень базовой ИБ-гигиены для любого бизнеса. В первоначальный список попали 43 практики для защиты от массовых атак. Этих мер будет достаточно для небольших компаний с ограниченной экспертизой в области кибербезопасности.
2. Расширенное внедрение (IG 2). В расширенном списке помимо 43 минимальных было 97 дополнительных практик ― для бизнеса с более сложной оргструктурой и несколькими профилями безопасности. Например, если часть отделов работают с конфиденциальными данными клиентов и для них нужна дополнительная защита, в том числе от направленных атак. Как правило, в таких компаниях уже есть выделенные специалисты по информационной безопасности.
3. Максимальное внедрение (IG 3). Здесь к 140 практикам из расширенного списка добавили еще 31 действие. Полный список должен защитить от сложных направленных атак и снизить риск эксплуатации уязвимостей “нулевого дня”. Такой вариант ― для крупных и социально значимых компаний, которым нужно защищать данные большого числа пользователей и клиентов. Как правило, в таких компаниях развитая служба ИБ с разными специалистами: пентестерами, риск-менеджерами и т.п.

В CIS Controls версии 8 часть пунктов объединили и сократили количество разделов и практик.  Получилось 18 разделов, а внутри 153 практики.

В общем, получилось: для минимального внедрения достаточно 56, для расширенного — 130.

Посмотрим на разделы и практики, попутно отметим, что появилось нового.

Disclaimer: Мы переводили основные моменты, чтобы дать общее представление о новинках. Если какие-то моменты не совсем очевидны, лучше обратиться к первоисточнику. К восьмой версии руководство обросло целой экосистемой документов на разные случаи: есть отдельные гайды для пользователей мобильных устройств, облачных решений и устройств IoT.

1. Инвентаризация и учет всех устройств

Минимальные:

1. Создать и поддерживать детальный реестр всех устройств.
   • Список включает все оборудование, которое может хранить или обрабатывать корпоративные данные: конечные пользовательские устройства, включая мобильные и портативные, сетевое оборудование, устройства IoT и серверы, в том числе облачные.
   • В реестр записаны все девайсы, которые регулярно подключаются к корпоративной сетевой инфраструктуре физически, удаленно или виртуально, даже если они не контролируются организацией.
   • Записи реестра содержат сетевой адрес (если он статический), аппаратный адрес, имя машины, ее владельца, подразделение и разрешение на подключение к сети. Для мобильных конечных устройств собрать эту информацию помогают инструменты типа MDM.
   • Реестр пересматривается и обновляется каждые полгода или чаще.
2. Реагировать на неавторизованные устройства.
   • Есть регламентированная процедура для обращения с неавторизованными устройствами.
   • Процедура запускается не реже 1 раза в неделю.
   • Есть правила, как поступать с неавторизованными устройствами, например: удалять из сети, запрещать удаленное подключение к сети или помещать устройство в карантин.

Расширенные:

3. Использовать инструменты для активного обнаружения.
   • Обнаружение подключенных к сети устройств запускается по расписанию не реже раза в день.
4. Вести журнал DHCP (протокола динамической настройки узла) для обновления реестра устройств.
   • На всех DHCP-серверах ведутся журналы. Данные в реестре обновляются раз в неделю или чаще.

Максимальные:

5. Использовать инструменты для пассивного обнаружения устройств.
   • Результаты сканирования используются для обновления реестра устройств раз в неделю или чаще.

2. Инвентаризация и учет ПО

Минимальные:

1. Создать и поддерживать реестр используемого ПО.
   • Реестр содержит название ПО, разработчика, дату установки/начала использования и бизнес-задачу ПО. При необходимости указаны версия, механизм развертывания и дата вывода из эксплуатации.
   • Для программ с веб- и мобильным доступом указаны их URL, магазин приложений.
   • Реестр пересматривается и обновляется каждые полгода или чаще.
2. Проверять, что авторизованное ПО из реестра поддерживается вендором.
   • В реестре авторизованного ПО содержатся только программы, которые поддерживаются производителем.
   • Если ПО не поддерживается, но все еще используется, для него продуманы компенсирующие меры.
   • Наличие поддержки от вендора проверяется для всего ПО раз в месяц или чаще.
3. Реагировать на неавторизованное ПО.
   • Для всех неавторизованных программ своевременно принимается решение: запретить использование или прописать исключение с анализом возможных рисков.

Расширенные:

4. Использовать инструменты для автоматического учета ПО.
5. Использовать белые списки авторизованного ПО.
   • Пользователи могут запускать ПО только из списка авторизованных программ.
   • Список такого ПО пересматривается раз в полгода или чаще.
6. Использовать белые списки авторизованных библиотек.
   • Можно запускать процессы только с использованием библиотек из белого списка, с указанием конкретных файлов .dll, .ocx, .so и так далее.
   • Неавторизованные библиотеки блокируются.
   • Список пересматривается раз в полгода или чаще.

Максимальные:

7. Использовать белые списки авторизованных скриптов.
   • Используются механизмы контроля версий и другие инструменты для использования только авторизованных скриптов в виде списка конкретных файлов .ps1, .py и так далее.
   • Неавторизованные скрипты блокируются.
   • Список пересматривается раз в полгода или чаще.

3. Защита данных

Минимальная:

1. Наладить и поддерживать процесс управления данными.(новое)
   • В описании процесса учтены конфиденциальность данных, указаны ответственные, требования к хранению данных в зависимости от типа и прописаны процедуры уничтожения в зависимости от конфиденциальности и требований к хранению.
   • Процесс пересматривается раз в год или при наступлении серьезных организационных изменений.
2. Создать и поддерживать реестр для учета данных.
   • Как минимум, создан реестр конфиденциальных документов.
   • Реестр пересматривается раз в год или чаще.
3. Настроить списки для управления доступом к данным.
   • Созданы списки пользователей с уровнями доступа к локальным и удаленным файловым системам, базам данных и прикладному ПО.
4. Продумать сохранность данных.(новое)
   • Определены минимальные и максимальные показатели допустимой потери данных (RPO) для разных типов информации.
5. Настроить безопасное уничтожение данных.
   • Процедура уничтожения данных учитывает уровень их конфиденциальности.
6. Шифровать данные на конечных устройствах пользователей.
   • Варианты решений: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.

Расширенная:

7. Создать и поддерживать систему классификации данных.(новое)
   • Создана система меток для документов, например: “конфиденциально”, “секретно”, “разрешено для публикации”.
   • Процессы обработки документов учитывают классификацию.
   • Система классификации пересматривается раз в год или чаще.
8. Документировать потоки данных.(новое)
   • Документация также фиксирует процесс обмена информацией с сервис-провайдерами.
   • Процесс пересматривается раз в год или чаще.
9. Шифровать данные на съемных носителях.
10. Шифровать передаваемые конфиденциальные данные.
    • Варианты решений: Transport Layer Security (TLS), Open Secure Shell (OpenSSH).
11. Шифровать конфиденциальные данные при хранении.
    • Шифрование используется на серверах, в прикладном ПО и базах данных с конфиденциальными данными.
    • Как минимум, используется шифрование на стороне сервера (SSE).
    • Дополнительно может использоваться шифрование на стороне клиента.
12. Сегментировать обработку и хранение данных в зависимости от уровня конфиденциальности.

Максимальная:

13. Развернуть DLP-решение.
14. Вести журнал доступа к конфиденциальным данным.
    • В том числе ведется история изменений и уничтожения конфиденциальных документов.

4. Защищенные конфигурации для устройств и ПО

Минимальные:

1. Наладить и поддерживать процесс настройки безопасности для ПО и устройств.
   • Описание процесса анализируется и обновляется раз в год или чаще.
2. Наладить и поддерживать процесс настройки безопасности для сетевой инфраструктуры.
   • Описание процесса анализируется и обновляется раз в год или чаще.
3. Настроить автоматическую блокировку сеанса на корпоративных устройствах.
   • Для ОС общего назначения время блокировки не превышает 15 минут.
   • Для мобильных устройств время блокировки не превышает 2 минут.
4. Установить и настроить межсетевой экран на серверах.
5. Установить и настроить межсетевой экран на конечных устройствах пользователей.
   • По умолчанию межсетевой экран блокирует трафик, кроме явно разрешенных сервисов и портов.
6. Внедрить лучшие практики безопасного управления устройствами и ПО.(новое)
   • Пример практики: для доступа к интерфейсам управления используются защищенные протоколы SSH, HTTPS.
7. Проконтролировать стандартные учетные записи на устройствах и ПО.
   • Пересмотрены и обновлены настройки всех преднастроенных учетных записей, например, root, administrator и так далее.

Расширенные:

8. Удалить или заблокировать неиспользуемые сервисы и модули на корпоративных устройствах и ПО.
9. Настроить доверенные DNS-серверы на корпоративных устройствах.(новое)
10. Внедрить практику автоматической блокировки на портативных устройствах пользователей.(новое)
    • Настроена блокировка на случай нескольких неудачных попыток аутентификации подряд.
    • Для ноутбуков настроено не больше 20 попыток аутентификации.
    • Для планшетов и смартфонов — не больше 10.
    • Варианты решений: Microsoft® InTune Device Lock, Apple® Configuration Profile maxFailedAttempts.
11. Внедрить возможности удаленной очистки корпоративных данных на портативных устройствах пользователей.(новое)
    • Удаление корпоративных данных запускается в случае кражи или потери устройства.

Максимальные:

12. Создать выделенные рабочие пространства на мобильных устройствах пользователей.(новое)
    • Варианты решений: Apple® Configuration Profile, Android™ Work Profile.

5. Управление учетными записями

Минимальное:

1. Создать и поддерживать реестр учетных записей.
   • Реестр включает учетные данные рядовых пользователей и администраторов.
   • Реестр содержит имя, фамилию, подразделение, дату создания/закрытия учетной записи.
   • Проверка авторизованных учетных записей осуществляется каждый квартал или чаще.
2. Использовать уникальные пароли.
   • Для учетных записей с многофакторной аутентификацией задан пароль длиной не менее 8 символов.
   • Для учетных записей без многофакторной аутентификации задан пароль длиной не менее 14 символов.
3. Закрывать неактивные учетные записи.
   • Учетная запись закрывается, если прошло 45 дней с момента последней активности.
4. Ограничить административные привилегии до выделенных учетных записей администраторов.
   • Стандартные офисные задачи, вроде почтовой переписки и поиска в интернете, решаются с помощью непривилегированных учетных записей.

Расширенное и максимальное:

5. Создать и поддерживать реестр служебных учетных записей.
   • Для каждой служебной записи указано подразделение-владелец,  цели учетной записи и дата пересмотра.
6. Внедрить централизованное управление учетными записями.
   • Для централизации используется служба каталогов или служба идентификации.

6. Управление контролем доступа

Минимальное:

1. Наладить процессы предоставления доступа.(новое)
   • Процесс запускается при приеме нового сотрудника, изменении должности или роли (желательно автоматически).
2. Наладить процесс отзыва прав доступа.
   • Блокирование учетных записей используется вместо удаления, чтобы сохранить журналы аудита.
3. Запрашивать многофакторную аутентификацию для доступных извне приложений.(новое)
   • Для реализации требования может использоваться служба каталогов или технологии единого входа (SSO).
4. Запрашивать многофакторную аутентификацию для удаленного доступа к сети.
5. Запрашивать многофакторную аутентификацию для доступа с правами администратора.

Расширенное:

6. Создать и поддерживать реестр систем аутентификации и авторизации.
   • В реестре учтены системы на своей площадке и на сторонних площадках провайдеров.
7. Внедрить централизованный контроль доступа.(новое)
   • Для реализации может использоваться служба каталогов или технологии единого входа (SSO).

Максимальное:

8. Внедрить и поддерживать управление доступом на основе ролей.(новое)
   • Для каждой роли определены и прописаны необходимые права доступа.
   • Документ пересматривается раз в год или чаще.

7. Непрерывное управление уязвимостями

Минимальное:

1. Наладить и поддерживать процесс управления уязвимостями.(новое)
   • Есть отдельный документ по управлению уязвимостями, который пересматривается ежегодно.
2. Наладить и поддерживать процесс решения обнаруженных проблем безопасности.
   • Документ с описанием процесса пересматривается раз в месяц или чаще.
3. Применять автоматическое управление патчами ОС.
4. Применять автоматическое управление патчами прикладного ПО.

Расширенное и максимальное:

5. Запускать автоматическое сканирование на уязвимости внутренних устройств и ПО.
   • Используется совместимый со SCAP сканер.
   • Сканирование проводится раз в квартал.
   • Используется сканирование без аутентификации и с аутентификацией.
6. Запускать автоматическое сканирование на уязвимости устройств и ПО, доступных извне.
   • Используется совместимый со SCAP сканер.
   • Сканирование проводится раз в месяц.
7. Устранять обнаруженные уязвимости.(новое)
   • Решение обнаруженных проблем раз в месяц или чаще.

8. Управление журналами аудита

Минимальное:

1. Наладить и поддерживать процесс управления журналами аудита.(новое)
   • Есть отдельный документ по управлению журналами, который пересматривается ежегодно.
2. Собирать журналы аудита.
   • Логирование включено для всех корпоративных устройств и ПО.
3. Использовать надежное хранилище для журналов аудита.

Расширенное:

4. Стандартизировать синхронизацию времени.
5. Собирать детализированные журналы аудита.
   • Подробные журналы ведутся для конфиденциальных данных.
   • Журналы содержат источник события, дату, имя пользователя, временную метку, исходный и конечный адрес передачи информации.
6. Собирать журналы DNS-запросов.
7. Собирать журналы URL-запросов.
8. Собирать журналы командной строки.
   • Журналы ведутся для PowerShell®, BASH™, терминалов доступа и так далее.
9. Централизовать ведение журналов аудита.(новое)
10. Обеспечить хранение журналов аудита.
    • Срок хранения составляет не менее 90 дней.
11. Проводить проверку и анализ журналов аудита.

Максимальное:

12. Собирать журналы сервис-провайдера.(новое)
    • Журналы могут включать события аутентификации и авторизации, даты создания и удаления объектов, события управления пользователями.

9. Защита электронной почты и браузера

Минимальная:

1. Использовать только браузеры и почтовые клиенты последних версий, с полной поддержкой вендора.
2. Использовать сервисы фильтрации DNS.

Расширенная:

3. Поддерживать сетевую фильтрацию URL.
   • Варианты реализации: фильтрация по категории, репутации домена или с помощью черных списков адресов.
4. Запрещать неавторизованные расширения браузера и почтовых клиентов.
5. Внедрять DMARC (идентификацию сообщений, создание отчетов и определение соответствия по доменному имени).
   • Внедрены стандарты Sender Policy Framework (SPF) и  DomainKeys Identified Mail (DKIM).
6. Блокировать неавторизованные типы файлов во вложении.

Максимальная:

7. Внедрять и поддерживать защиту почтового сервера от вредоносного ПО.
   • Проводится сканирование вложений, используются “песочницы”.

10. Защита от вредоносных программ

Минимальный:

1. Внедрять и поддерживать решения для защиты от вредоносных программ.(новое)
2. Настроить автоматическое обновление сигнатур защиты от вредоносных программ.
3. Запретить автозапуск для съемных носителей.

Расширенный и максимальный:

4. Настроить автоматическое сканирование на вредоносное ПО для съемных носителей.
5. Включить защиту от использования эксплойтов.
   • Варианты решений: Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG), Apple® System Integrity Protection (SIP), Gatekeeper™.
6. Внедрить централизованное управление защитой от вредоносного ПО.
7. Использовать защиту от вредоносного ПО на базе поведенческого анализа.(новое)

11. Восстановление данных

Минимальное:

1. Наладить и поддерживать процесс восстановления данных.(новое)
   • Создан документ, в котором прописана область применения процедур восстановления данных, указаны приоритеты и меры защиты для резервных копий.
   • Документ пересматривается раз в год или чаще.
2. Настроить автоматическое резервное копирование.
   • Резервные  копии создаются раз в неделю или чаще, в зависимости от важности информации.
3. Защитить данные для восстановления.
   • Используется шифрование и разделение копий на разные площадки для хранения.
4. Создать и поддерживать резервную копию данных на отдельном носителе.
   • Резервные копии хранятся в облаке или на сторонней площадке.

Расширенное и максимальное:

5. Тестировать восстановление данных.
   • Тесты проводятся раз в квартал или чаще.

12. Управление сетевой инфраструктурой

Минимальное:

1. Следить, чтобы сетевая инфраструктура не устарела.
   • Пересмотр последних версий ПО проводится раз в месяц или чаще.

Расширенный:

2. Создать и поддерживать безопасную сетевую архитектуру.
   • В сетевой архитектуре продумана сегментация сети, разграничение привилегий и доступность инфраструктуры.
3. Внедрить лучшие практики безопасного управления сетевой инфраструктурой.
4. Внедрить и поддерживать диаграммы архитектуры сети или подобную документацию.
   • Документация пересматривается ежегодно или чаще.
5. Внедрить централизованную сетевую аутентификацию, авторизацию и аудит (AAA).(новое)
6. Использовать безопасные протоколы для управления сетью и обмена информацией.
   • Например: 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise.
7. Следить за подключением удаленных устройств  к системе ААА через VPN.(новое)
   • Пользователям необходимо сначала подключиться к VPN и сервисам ААА, чтобы получить доступ к корпоративной инфраструктуре и конечным устройствам.

Максимальный:

8. Создать и поддерживать выделенные вычислительные ресурсы для всех задач администратора.
   • Ресурсы для работы под учетной записью администратора находятся в отдельном сетевом сегменте, физически или логически.

13. Сетевой мониторинг и защита

Расширенный:

1. Централизовать оповещение о событиях безопасности.
   • Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.
2. Внедрить IDS (систему обнаружения вторжений) на стороне сервера.(новое)
3. Внедрить сетевое IDS-решение.
4. Фильтровать трафик между сетевыми сегментами.
5. Управлять доступом для удаленных устройств.
   • Подключенные устройства проверяются на соответствие политикам безопасности.
   • Сервисы и устройства для удаленного подключения используют ПО последней версии с установленными обновлениями.
6. Собирать журналы потоков сетевого трафика.

Максимальный:

7. Внедрить IPS (систему предотвращения вторжений) на стороне сервера.(новое)
8. Внедрить сетевое IPS-решение.
9. Внедрить контроль доступа на уровне сетевых портов.
   • На уровне портов для подключения используется протокол 802.1x или проверка сертификатов.
10. Внедрить фильтрацию на уровне прикладного ПО.
11. Настроить пороги срабатывания систем в ответ на события безопасности.

14. Осведомленность персонала и тренинги в области ИБ

Минимальные:

1. Создать и поддерживать программу повышения грамотности в области кибербезопасности.
   • Инструктаж по информационной безопасности проводится при приеме на работу и повторяется раз в год или чаще.
   • Учебные материалы пересматриваются раз в год или чаще.
2. Обучить сотрудников распознавать атаки с использованием социальной инженерии.
3. Обучить сотрудников лучшим практикам аутентификации.
   • Сотрудники получают знания о многофакторной аутентификации, создании сильных паролей и управлении учетными записями.
4. Обучить сотрудников лучшим практикам обращения с корпоративными данными.
   • Сотрудники обучаются блокировать рабочие станции, стирать информацию с флипчартов и виртуальных досок после совещаний и хранить данные в защищенном месте.
5. Ознакомить сотрудников с кейсами непреднамеренной утечки данных.
   • Сотрудники разбирают ситуации ошибочной отправки и публикации конфиденциальных данных, потери рабочих устройств и съемных носителей.
6. Обучить сотрудников распознавать инциденты безопасности и сообщать о них.
7. Обучить сотрудников, как проверить наличие важных обновлений безопасности на собственных рабочих устройствах.(новое)
8. Информировать сотрудников о рисках использования незащищенных сетевых соединений для обмена корпоративными данными.(новое)
   • Для удаленных сотрудников тренинг включает обучение настройке безопасности своей домашней сети.

Расширенные и максимальные:

9. Провести направленные тренинги по информационной безопасности в соответствии с ролями в организации.
   • Отдельные тренинги проводятся для ИТ-специалистов, разработчиков, менеджеров среднего и высшего звена.

15. Контроль безопасности сервис-провайдера(новое)

Минимальный:

1. Создать и поддерживать реестр сервис-провайдеров.
   • Список включает контакты с каждым провайдером и обновляется ежегодно или чаще.

Расширенный:

2. Создать и поддерживать политику контроля безопасности сервис-провайдера.
3. Классифицировать сервис-провайдеров.
   • Классификация может включать уровень конфиденциальности хранимых данных, объем ресурсов, требования к доступности, известные риски, корректирующие и предупреждающие меры защиты от рисков.
4. Проверить в контрактах обязательства в области кибербезопасности со стороны сервис-провайдера.
   • Соглашение может включать порядок оповещения о событиях безопасности и порядок решения инцидентов, требования к шифрованию данных и уничтожению информации.
   • Соглашение пересматривается ежегодно.

Максимальный:

5. Провести оценку сервис-провайдеров.
   • Как инструмент оценки можно использовать соответствие стандартам SOC 2, PCI DSS и другим подобным.
6. Внедрить мониторинг работы сервис-провайдеров.
7. Продумать безопасную миграцию от сервис-провайдера.
   • План миграции включает договоренности о деактивации учетных записей, остановке потоков данных, безопасном удалении корпоративной информации из систем провайдера.

16. Управление безопасностью разработки прикладного ПО

Расширенный:

1. Наладить и поддерживать процесс безопасной разработки ПО.
   • Описание процесса включает стандарты безопасного проектирования ПО, стандарты безопасного написания кода, регулярное обучение разработчиков, управление уязвимостями, контроль сторонней разработки и процедуры тестирования ПО.
2. Наладить и поддерживать процесс обнаружения и устранения уязвимостей в ПО.
   • Определен порядок фиксации замечаний по безопасности и последующего исправления багов с указанием ответственных.
   • Используется система обнаружения уязвимостей с рейтингом критичности и отслеживанием метрик: сколько времени требуется на обнаружение, анализ и устранение уязвимостей.
3. Проводить анализ первопричин уязвимостей прикладного ПО.(новое)
   • Найдены глубинные причины уязвимостей, которые позволяют в уменьшить количество критичных замечаний по безопасности.
4. Создать и поддерживать реестр компонентов ПО, принадлежащих сторонним производителям.
   • Обновления и свежие версии компонентов в реестре отслеживаются раз в месяц или чаще.
5. Использовать последние версии компонентов ПО от доверенных сторонних производителей.
   • Компоненты ПО скачиваются из проверенных источников и проверяются на безопасность перед установкой.
6. Создать и поддерживать классификацию уязвимостей ПО по степени критичности.
   • Наиболее критичные замечания исправляются в первую очередь.
   • Определен минимально допустимый уровень уязвимостей, без соблюдения которого релиз не выходит.
7. Использовать стандартные шаблоны конфигураций аппаратной защиты для инфраструктуры прикладного ПО.
   • Используются лучшие практики для  конфигураций аппаратной защиты, в том числе серверов, баз данных, контейнеров.
8. Отделять продакшен-окружение.
   • Продакшен-окружение отделено от тестового, стейджа и пре-продакшена.
9. Обучить разработчиков практикам безопасной разработки ПО.
   • Разработчики проходят обучение по информационной безопасности раз в год или чаще.
   • В командах поддерживается культура безопасной разработки.
10. Использовать принципы безопасного проектирования в архитектуре приложений.
    • Используются лучшие практики, такие как: валидация полей ввода, минимизация площади атаки, контроль стандартных учетных записей на сервере.
    • Проверки безопасности проводятся для любого пользовательского ввода.
11. Использовать проверенные модули или службы для компонентов безопасности приложений.
    • Используются проверенные модули для шифрования, ведения журналов и управления идентификацией пользователей.
    • Для обеспечения критичных компонентов безопасности используются платформенные функции.

Максимальный:

12. Использовать проверки безопасности на уровне кода.
    • Инструменты статического и динамического анализа встроены в жизненный цикл разработки.
13. Проводить тестирование на проникновение для приложений.(новое)
    • Для поиска уязвимостей в бизнес-логике критичных приложений вместо сканирования кода или автоматических тестов безопасности используется тестирование на проникновение с аутентификацией.
14. Проводить моделирование угроз.(новое)

17. Управление реакцией на инциденты ИБ

Минимальное:

1. Назначить ответственных за решение инцидентов.
   • Назначены минимум 1 ответственный и 1 замещающий среди сотрудников или от сторонней компании-аутсорсера.
   • В случае передачи инцидентов безопасности на аутсорсинг, от организации назначен ответственный за коммуникацию с аутсорсером.
   • Передана ответственность за  координацию процесса работы с инцидентами и документирование результатов в процессе решения инцидента.
2. Создать и поддерживать список контактов для обращения по поводу инцидентов безопасности.
   • Составлен список заинтересованных лиц, которые должны получить уведомление об инциденте.
   • Список пересматривается раз в год или чаще.
3. Наладить и поддерживать процессы приема и обработки обращений об инцидентах безопасности.
   • Процесс включает временные рамки реагирования на инцидент, механизм обращения, минимальную информацию для создания инцидента.
   • Процедура известна всем сотрудникам компании.

Расширенное:

4. Наладить и поддерживать процессы ответа на обращения по поводу инцидентов.
   • Процесс включает роли и обязанности, показатели работы и план коммуникации по поводу инцидента.
5. Прописать ключевые роли и обязанности.
   • План регулирования инцидентов включает сценарии с привлечением юристов, специалистов по ИТ и ИБ, служб PR, HR и аналитиков, если необходимо.
6. Определить механизмы коммуникации в процессе решения инцидентов.(новое)
   • План учитывает, какое средство коммуникации в разных случаях является приоритетным: мессенджер, электронная почта, телефон.
7. Проводить регулярные учения по решению инцидентов безопасности.
   • Учебные сценарии включают взаимодействие заинтересованных лиц и позволяют тестировать постановку задач, процессы коммуникации и принятия решений.
8. Проводить разбор и анализ решений инцидентов.(новое)

Максимальное:

9. Создать и поддерживать классификацию инцидентов.
   • Сценарий реагирования разработан для разных событий безопасности: подозрительной активности, обнаруженной уязвимости, утечки информации и так далее.

18. Тестирование на проникновение

Расширенное:

1. Создать и поддерживать программу тестирования на проникновение.
2. Проводить регулярные внешние тесты на проникновение.
3. Устранять уязвимости, найденные в результате тестов на проникновение.

Максимальное:

4. Подтвердить эффективность мер безопасности по итогам теста.(новое)
5. Проводить регулярные внутренние тесты на проникновение.

С полными рекомендациями на английском можно ознакомиться здесь: CIS Controls 8.

На наш взгляд, список интересный, хоть и не обошелся без слишком общих и размытых формулировок.  Если заметили что-то интересное, ― давайте обсудим в комментариях.