С чего начать внедрение ИБ большим и маленьким: изучаем CIS Controls v8

Нет времени читать?

Нет времени читать?

Мы отправим вам статью на почту

Новые рекомендации по внедрению ИБ для компаний разного масштаба.

24 июня  • 

Где кончается базовая ИБ-гигиена для небольшого бизнеса и начинается киберзащита для продвинутых? Центр интернет-безопасности (CIS) обновил рекомендации по внедрению ИБ для компаний разного масштаба в свежем гайде CIS Controls 8.

Предыдущие рекомендации CIS Controls 7.1 вышли в 2019 году. В версии 7.1 сделали упор на список практик для внедрения: что именно бизнес должен сделать для защиты. В восьмой версии этот подход сохранили и учли угрозы, связанные с “пандемийными” изменениями ИТ-ландшафта: массовой работой из дома, ростом мобильных пользователей, миграцией в облака. Например, появился отдельный раздел ― контроль безопасности сервис-провайдера (мимо такого пройти не cмогли).

Мы изучили рекомендации CIS для разных бизнесов и выделили самое интересное.

Развитие подхода CIS к внедрению ИБ

В старых версиях CIS Controls эксперты делили систему информационной безопасности на разделы по уровням: от базового к организационному. Такой подход оказался не очень удобным: небольшие компании порой зависали на базовом уровне и не добирались до важных рекомендаций следующего этапа, например, не делали бэкапы на случай атак программ-вымогателей.

Раньше на базовом уровне было всего 6 разделов, и этого оказалось недостаточно

Поэтому авторы обновленных рекомендаций приоритизировали для компаний не разделы ИБ, а список конкретных действий по защите информации.

Еще в предыдущей версии CIS Controls 7.1 все меры информационной безопасности поделили на 3 группы внедрения:

  1. Минимальное внедрение (IG 1). Это уровень базовой ИБ-гигиены для любого бизнеса. В первоначальный список попали 43 практики для защиты от массовых атак. Этих мер будет достаточно для небольших компаний с ограниченной экспертизой в области кибербезопасности.
  2. Расширенное внедрение (IG 2). В расширенном списке помимо 43 минимальных было 97 дополнительных практик ― для бизнеса с более сложной оргструктурой и несколькими профилями безопасности. Например, если часть отделов работают с конфиденциальными данными клиентов и для них нужна дополнительная защита, в том числе от направленных атак. Как правило, в таких компаниях уже есть выделенные специалисты по информационной безопасности.
  3. Максимальное внедрение (IG 3). Здесь к 140 практикам из расширенного списка добавили еще 31 действие. Полный список должен защитить от сложных направленных атак и снизить риск эксплуатации уязвимостей “нулевого дня”. Такой вариант ― для крупных и социально значимых компаний, которым нужно защищать данные большого числа пользователей и клиентов. Как правило, в таких компаниях развитая служба ИБ с разными специалистами: пентестерами, риск-менеджерами и т.п.

В CIS Controls версии 8 часть пунктов объединили и сократили количество разделов и практик.  Получилось 18 разделов, а внутри 153 практики.

В общем, получилось: для минимального внедрения достаточно 56, для расширенного — 130.

CIS 7.1 CIS 8
IG 1 43 56
IG 2 43+97 56+74
IG 3 43+97+31 56+74+23

Посмотрим на разделы и практики, попутно отметим, что появилось нового.

Disclaimer: Мы переводили основные моменты, чтобы дать общее представление о новинках. Если какие-то моменты не совсем очевидны, лучше обратиться к первоисточнику. К восьмой версии руководство обросло целой экосистемой документов на разные случаи: есть отдельные гайды для пользователей мобильных устройств, облачных решений и устройств IoT.

1. Инвентаризация и учет всех устройств

Минимальные:

  1. Создать и поддерживать детальный реестр всех устройств.
    • Список включает все оборудование, которое может хранить или обрабатывать корпоративные данные: конечные пользовательские устройства, включая мобильные и портативные, сетевое оборудование, устройства IoT и серверы, в том числе облачные.
    • В реестр записаны все девайсы, которые регулярно подключаются к корпоративной сетевой инфраструктуре физически, удаленно или виртуально, даже если они не контролируются организацией.
    • Записи реестра содержат сетевой адрес (если он статический), аппаратный адрес, имя машины, ее владельца, подразделение и разрешение на подключение к сети. Для мобильных конечных устройств собрать эту информацию помогают инструменты типа MDM.
    • Реестр пересматривается и обновляется каждые полгода или чаще.
  2. Реагировать на неавторизованные устройства.
    • Есть регламентированная процедура для обращения с неавторизованными устройствами.
    • Процедура запускается не реже 1 раза в неделю.
    • Есть правила, как поступать с неавторизованными устройствами, например: удалять из сети, запрещать удаленное подключение к сети или помещать устройство в карантин.

Расширенные:

  1. Использовать инструменты для активного обнаружения.
    • Обнаружение подключенных к сети устройств запускается по расписанию не реже раза в день.
  2. Вести журнал DHCP (протокола динамической настройки узла) для обновления реестра устройств.
    • На всех DHCP-серверах ведутся журналы. Данные в реестре обновляются раз в неделю или чаще.

Максимальные:

  1. Использовать инструменты для пассивного обнаружения устройств.
    • Результаты сканирования используются для обновления реестра устройств раз в неделю или чаще.

2. Инвентаризация и учет ПО

Минимальные:

  1. Создать и поддерживать реестр используемого ПО.
    • Реестр содержит название ПО, разработчика, дату установки/начала использования и бизнес-задачу ПО. При необходимости указаны версия, механизм развертывания и дата вывода из эксплуатации.
    • Для программ с веб- и мобильным доступом указаны их URL, магазин приложений.
    • Реестр пересматривается и обновляется каждые полгода или чаще.
  2. Проверять, что авторизованное ПО из реестра поддерживается вендором.
    • В реестре авторизованного ПО содержатся только программы, которые поддерживаются производителем.
    • Если ПО не поддерживается, но все еще используется, для него продуманы компенсирующие меры.
    • Наличие поддержки от вендора проверяется для всего ПО раз в месяц или чаще.
  3. Реагировать на неавторизованное ПО.
    • Для всех неавторизованных программ своевременно принимается решение: запретить использование или прописать исключение с анализом возможных рисков.

Расширенные:

  1. Использовать инструменты для автоматического учета ПО.
  2. Использовать белые списки авторизованного ПО.
    • Пользователи могут запускать ПО только из списка авторизованных программ.
    • Список такого ПО пересматривается раз в полгода или чаще.
  3. Использовать белые списки авторизованных библиотек.
    • Можно запускать процессы только с использованием библиотек из белого списка, с указанием конкретных файлов .dll, .ocx, .so и так далее.
    • Неавторизованные библиотеки блокируются.
    • Список пересматривается раз в полгода или чаще.

Максимальные:

  1. Использовать белые списки авторизованных скриптов.
    • Используются механизмы контроля версий и другие инструменты для использования только авторизованных скриптов в виде списка конкретных файлов .ps1, .py и так далее.
    • Неавторизованные скрипты блокируются.
    • Список пересматривается раз в полгода или чаще.

3. Защита данных

Минимальная:

  1. Наладить и поддерживать процесс управления данными.(новое)
    • В описании процесса учтены конфиденциальность данных, указаны ответственные, требования к хранению данных в зависимости от типа и прописаны процедуры уничтожения в зависимости от конфиденциальности и требований к хранению.
    • Процесс пересматривается раз в год или при наступлении серьезных организационных изменений.
  2. Создать и поддерживать реестр для учета данных.
    • Как минимум, создан реестр конфиденциальных документов.
    • Реестр пересматривается раз в год или чаще.
  3. Настроить списки для управления доступом к данным.
    • Созданы списки пользователей с уровнями доступа к локальным и удаленным файловым системам, базам данных и прикладному ПО.
  4. Продумать сохранность данных.(новое)
    • Определены минимальные и максимальные показатели допустимой потери данных (RPO) для разных типов информации.
  5. Настроить безопасное уничтожение данных.
    • Процедура уничтожения данных учитывает уровень их конфиденциальности.
  6. Шифровать данные на конечных устройствах пользователей.
    • Варианты решений: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.

Расширенная:

  1. Создать и поддерживать систему классификации данных.(новое)
    • Создана система меток для документов, например: “конфиденциально”, “секретно”, “разрешено для публикации”.
    • Процессы обработки документов учитывают классификацию.
    • Система классификации пересматривается раз в год или чаще.
  2. Документировать потоки данных.(новое)
    • Документация также фиксирует процесс обмена информацией с сервис-провайдерами.
    • Процесс пересматривается раз в год или чаще.
  3. Шифровать данные на съемных носителях.
  4. Шифровать передаваемые конфиденциальные данные.
    • Варианты решений: Transport Layer Security (TLS), Open Secure Shell (OpenSSH).
  5. Шифровать конфиденциальные данные при хранении.
    • Шифрование используется на серверах, в прикладном ПО и базах данных с конфиденциальными данными.
    • Как минимум, используется шифрование на стороне сервера (SSE).
    • Дополнительно может использоваться шифрование на стороне клиента.
  6. Сегментировать обработку и хранение данных в зависимости от уровня конфиденциальности.

Максимальная:

  1. Развернуть DLP-решение.
  2. Вести журнал доступа к конфиденциальным данным.
    • В том числе ведется история изменений и уничтожения конфиденциальных документов.

4. Защищенные конфигурации для устройств и ПО

Минимальные:

  1. Наладить и поддерживать процесс настройки безопасности для ПО и устройств.
    • Описание процесса анализируется и обновляется раз в год или чаще.
  2. Наладить и поддерживать процесс настройки безопасности для сетевой инфраструктуры.
    • Описание процесса анализируется и обновляется раз в год или чаще.
  3. Настроить автоматическую блокировку сеанса на корпоративных устройствах.
    • Для ОС общего назначения время блокировки не превышает 15 минут.
    • Для мобильных устройств время блокировки не превышает 2 минут.
  4. Установить и настроить межсетевой экран на серверах.
  5. Установить и настроить межсетевой экран на конечных устройствах пользователей.
    • По умолчанию межсетевой экран блокирует трафик, кроме явно разрешенных сервисов и портов.
  6. Внедрить лучшие практики безопасного управления устройствами и ПО.(новое)
    • Пример практики: для доступа к интерфейсам управления используются защищенные протоколы SSH, HTTPS.
  7. Проконтролировать стандартные учетные записи на устройствах и ПО.
    • Пересмотрены и обновлены настройки всех преднастроенных учетных записей, например, root, administrator и так далее.

Расширенные:

  1. Удалить или заблокировать неиспользуемые сервисы и модули на корпоративных устройствах и ПО.
  2. Настроить доверенные DNS-серверы на корпоративных устройствах.(новое)
  3. Внедрить практику автоматической блокировки на портативных устройствах пользователей.(новое)
    • Настроена блокировка на случай нескольких неудачных попыток аутентификации подряд.
    • Для ноутбуков настроено не больше 20 попыток аутентификации.
    • Для планшетов и смартфонов — не больше 10.
    • Варианты решений: Microsoft® InTune Device Lock, Apple® Configuration Profile maxFailedAttempts.
  4. Внедрить возможности удаленной очистки корпоративных данных на портативных устройствах пользователей.(новое)
    • Удаление корпоративных данных запускается в случае кражи или потери устройства.

Максимальные:

  1. Создать выделенные рабочие пространства на мобильных устройствах пользователей.(новое)
    • Варианты решений: Apple® Configuration Profile, Android™ Work Profile.

5. Управление учетными записями

Минимальное:

  1. Создать и поддерживать реестр учетных записей.
    • Реестр включает учетные данные рядовых пользователей и администраторов.
    • Реестр содержит имя, фамилию, подразделение, дату создания/закрытия учетной записи.
    • Проверка авторизованных учетных записей осуществляется каждый квартал или чаще.
  2. Использовать уникальные пароли.
    • Для учетных записей с многофакторной аутентификацией задан пароль длиной не менее 8 символов.
    • Для учетных записей без многофакторной аутентификации задан пароль длиной не менее 14 символов.
  3. Закрывать неактивные учетные записи.
    • Учетная запись закрывается, если прошло 45 дней с момента последней активности.
  4. Ограничить административные привилегии до выделенных учетных записей администраторов.
    • Стандартные офисные задачи, вроде почтовой переписки и поиска в интернете, решаются с помощью непривилегированных учетных записей.

Расширенное и максимальное:

  1. Создать и поддерживать реестр служебных учетных записей.
    • Для каждой служебной записи указано подразделение-владелец,  цели учетной записи и дата пересмотра.
  2. Внедрить централизованное управление учетными записями.
    • Для централизации используется служба каталогов или служба идентификации.

6. Управление контролем доступа

Минимальное:

  1. Наладить процессы предоставления доступа.(новое)
    • Процесс запускается при приеме нового сотрудника, изменении должности или роли (желательно автоматически).
  2. Наладить процесс отзыва прав доступа.
    • Блокирование учетных записей используется вместо удаления, чтобы сохранить журналы аудита.
  3. Запрашивать многофакторную аутентификацию для доступных извне приложений.(новое)
    • Для реализации требования может использоваться служба каталогов или технологии единого входа (SSO).
  4. Запрашивать многофакторную аутентификацию для удаленного доступа к сети.
  5. Запрашивать многофакторную аутентификацию для доступа с правами администратора.

Расширенное:

  1. Создать и поддерживать реестр систем аутентификации и авторизации.
    • В реестре учтены системы на своей площадке и на сторонних площадках провайдеров.
  2. Внедрить централизованный контроль доступа.(новое)
    • Для реализации может использоваться служба каталогов или технологии единого входа (SSO).

Максимальное:

  1. Внедрить и поддерживать управление доступом на основе ролей.(новое)
    • Для каждой роли определены и прописаны необходимые права доступа.
    • Документ пересматривается раз в год или чаще.

7. Непрерывное управление уязвимостями

Минимальное:

  1. Наладить и поддерживать процесс управления уязвимостями.(новое)
    • Есть отдельный документ по управлению уязвимостями, который пересматривается ежегодно.
  2. Наладить и поддерживать процесс решения обнаруженных проблем безопасности.
    • Документ с описанием процесса пересматривается раз в месяц или чаще.
  3. Применять автоматическое управление патчами ОС.
  4. Применять автоматическое управление патчами прикладного ПО.

Расширенное и максимальное:

  1. Запускать автоматическое сканирование на уязвимости внутренних устройств и ПО.
    • Используется совместимый со SCAP сканер.
    • Сканирование проводится раз в квартал.
    • Используется сканирование без аутентификации и с аутентификацией.
  2. Запускать автоматическое сканирование на уязвимости устройств и ПО, доступных извне.
    • Используется совместимый со SCAP сканер.
    • Сканирование проводится раз в месяц.
  3. Устранять обнаруженные уязвимости.(новое)
    • Решение обнаруженных проблем раз в месяц или чаще.

8. Управление журналами аудита

Минимальное:

  1. Наладить и поддерживать процесс управления журналами аудита.(новое)
    • Есть отдельный документ по управлению журналами, который пересматривается ежегодно.
  2. Собирать журналы аудита.
    • Логирование включено для всех корпоративных устройств и ПО.
  3. Использовать надежное хранилище для журналов аудита.

Расширенное:

  1. Стандартизировать синхронизацию времени.
  2. Собирать детализированные журналы аудита.
    • Подробные журналы ведутся для конфиденциальных данных.
    • Журналы содержат источник события, дату, имя пользователя, временную метку, исходный и конечный адрес передачи информации.
  3. Собирать журналы DNS-запросов.
  4. Собирать журналы URL-запросов.
  5. Собирать журналы командной строки.
    • Журналы ведутся для PowerShell®, BASH™, терминалов доступа и так далее.
  6. Централизовать ведение журналов аудита.(новое)
  7. Обеспечить хранение журналов аудита.
    • Срок хранения составляет не менее 90 дней.
  8. Проводить проверку и анализ журналов аудита.

Максимальное:

  1. Собирать журналы сервис-провайдера.(новое)
    • Журналы могут включать события аутентификации и авторизации, даты создания и удаления объектов, события управления пользователями.

9. Защита электронной почты и браузера

Минимальная:

  1. Использовать только браузеры и почтовые клиенты последних версий, с полной поддержкой вендора.
  2. Использовать сервисы фильтрации DNS.

Расширенная:

  1. Поддерживать сетевую фильтрацию URL.
    • Варианты реализации: фильтрация по категории, репутации домена или с помощью черных списков адресов.
  2. Запрещать неавторизованные расширения браузера и почтовых клиентов.
  3. Внедрять DMARC (идентификацию сообщений, создание отчетов и определение соответствия по доменному имени).
    • Внедрены стандарты Sender Policy Framework (SPF) и  DomainKeys Identified Mail (DKIM).
  4. Блокировать неавторизованные типы файлов во вложении.

Максимальная:

  1. Внедрять и поддерживать защиту почтового сервера от вредоносного ПО.
    • Проводится сканирование вложений, используются “песочницы”.

10. Защита от вредоносных программ

Минимальный:

  1. Внедрять и поддерживать решения для защиты от вредоносных программ.(новое)
  2. Настроить автоматическое обновление сигнатур защиты от вредоносных программ.
  3. Запретить автозапуск для съемных носителей.

Расширенный и максимальный:

  1. Настроить автоматическое сканирование на вредоносное ПО для съемных носителей.
  2. Включить защиту от использования эксплойтов.
    • Варианты решений: Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG), Apple® System Integrity Protection (SIP), Gatekeeper™.
  3. Внедрить централизованное управление защитой от вредоносного ПО.
  4. Использовать защиту от вредоносного ПО на базе поведенческого анализа.(новое)

11. Восстановление данных

Минимальное:

  1. Наладить и поддерживать процесс восстановления данных.(новое)
    • Создан документ, в котором прописана область применения процедур восстановления данных, указаны приоритеты и меры защиты для резервных копий.
    • Документ пересматривается раз в год или чаще.
  2. Настроить автоматическое резервное копирование.
    • Резервные  копии создаются раз в неделю или чаще, в зависимости от важности информации.
  3. Защитить данные для восстановления.
    • Используется шифрование и разделение копий на разные площадки для хранения.
  4. Создать и поддерживать резервную копию данных на отдельном носителе.
    • Резервные копии хранятся в облаке или на сторонней площадке.

Расширенное и максимальное:

  1. Тестировать восстановление данных.
    • Тесты проводятся раз в квартал или чаще.

12. Управление сетевой инфраструктурой

Минимальное:

  1. Следить, чтобы сетевая инфраструктура не устарела.
    • Пересмотр последних версий ПО проводится раз в месяц или чаще.

Расширенный:

  1. Создать и поддерживать безопасную сетевую архитектуру.
    • В сетевой архитектуре продумана сегментация сети, разграничение привилегий и доступность инфраструктуры.
  2. Внедрить лучшие практики безопасного управления сетевой инфраструктурой.
  3. Внедрить и поддерживать диаграммы архитектуры сети или подобную документацию.
    • Документация пересматривается ежегодно или чаще.
  4. Внедрить централизованную сетевую аутентификацию, авторизацию и аудит (AAA).(новое)
  5. Использовать безопасные протоколы для управления сетью и обмена информацией.
    • Например: 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise.
  6. Следить за подключением удаленных устройств  к системе ААА через VPN.(новое)
    • Пользователям необходимо сначала подключиться к VPN и сервисам ААА, чтобы получить доступ к корпоративной инфраструктуре и конечным устройствам.

Максимальный:

  1. Создать и поддерживать выделенные вычислительные ресурсы для всех задач администратора.
    • Ресурсы для работы под учетной записью администратора находятся в отдельном сетевом сегменте, физически или логически.

13. Сетевой мониторинг и защита

Расширенный:

  1. Централизовать оповещение о событиях безопасности.
    • Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.
  2. Внедрить IDS (систему обнаружения вторжений) на стороне сервера.(новое)
  3. Внедрить сетевое IDS-решение.
  4. Фильтровать трафик между сетевыми сегментами.
  5. Управлять доступом для удаленных устройств.
    • Подключенные устройства проверяются на соответствие политикам безопасности.
    • Сервисы и устройства для удаленного подключения используют ПО последней версии с установленными обновлениями.
  6. Собирать журналы потоков сетевого трафика.

Максимальный:

  1. Внедрить IPS (систему предотвращения вторжений) на стороне сервера.(новое)
  2. Внедрить сетевое IPS-решение.
  3. Внедрить контроль доступа на уровне сетевых портов.
    • На уровне портов для подключения используется протокол 802.1x или проверка сертификатов.
  4. Внедрить фильтрацию на уровне прикладного ПО.
  5. Настроить пороги срабатывания систем в ответ на события безопасности.

14. Осведомленность персонала и тренинги в области ИБ

Минимальные:

  1. Создать и поддерживать программу повышения грамотности в области кибербезопасности.
    • Инструктаж по информационной безопасности проводится при приеме на работу и повторяется раз в год или чаще.
    • Учебные материалы пересматриваются раз в год или чаще.
  2. Обучить сотрудников распознавать атаки с использованием социальной инженерии.
  3. Обучить сотрудников лучшим практикам аутентификации.
    • Сотрудники получают знания о многофакторной аутентификации, создании сильных паролей и управлении учетными записями.
  4. Обучить сотрудников лучшим практикам обращения с корпоративными данными.
    • Сотрудники обучаются блокировать рабочие станции, стирать информацию с флипчартов и виртуальных досок после совещаний и хранить данные в защищенном месте.
  5. Ознакомить сотрудников с кейсами непреднамеренной утечки данных.
    • Сотрудники разбирают ситуации ошибочной отправки и публикации конфиденциальных данных, потери рабочих устройств и съемных носителей.
  6. Обучить сотрудников распознавать инциденты безопасности и сообщать о них.
  7. Обучить сотрудников, как проверить наличие важных обновлений безопасности на собственных рабочих устройствах.(новое)
  8. Информировать сотрудников о рисках использования незащищенных сетевых соединений для обмена корпоративными данными.(новое)
    • Для удаленных сотрудников тренинг включает обучение настройке безопасности своей домашней сети.

Расширенные и максимальные:

  1. Провести направленные тренинги по информационной безопасности в соответствии с ролями в организации.
    • Отдельные тренинги проводятся для ИТ-специалистов, разработчиков, менеджеров среднего и высшего звена.

15. Контроль безопасности сервис-провайдера(новое)

Минимальный:

  1. Создать и поддерживать реестр сервис-провайдеров.
    • Список включает контакты с каждым провайдером и обновляется ежегодно или чаще.

Расширенный:

  1. Создать и поддерживать политику контроля безопасности сервис-провайдера.
  2. Классифицировать сервис-провайдеров.
    • Классификация может включать уровень конфиденциальности хранимых данных, объем ресурсов, требования к доступности, известные риски, корректирующие и предупреждающие меры защиты от рисков.
  3. Проверить в контрактах обязательства в области кибербезопасности со стороны сервис-провайдера.
    • Соглашение может включать порядок оповещения о событиях безопасности и порядок решения инцидентов, требования к шифрованию данных и уничтожению информации.
    • Соглашение пересматривается ежегодно.

Максимальный:

  1. Провести оценку сервис-провайдеров.
    • Как инструмент оценки можно использовать соответствие стандартам SOC 2, PCI DSS и другим подобным.
  2. Внедрить мониторинг работы сервис-провайдеров.
  3. Продумать безопасную миграцию от сервис-провайдера.
    • План миграции включает договоренности о деактивации учетных записей, остановке потоков данных, безопасном удалении корпоративной информации из систем провайдера.

16. Управление безопасностью разработки прикладного ПО

Расширенный:

  1. Наладить и поддерживать процесс безопасной разработки ПО.
    • Описание процесса включает стандарты безопасного проектирования ПО, стандарты безопасного написания кода, регулярное обучение разработчиков, управление уязвимостями, контроль сторонней разработки и процедуры тестирования ПО.
  2. Наладить и поддерживать процесс обнаружения и устранения уязвимостей в ПО.
    • Определен порядок фиксации замечаний по безопасности и последующего исправления багов с указанием ответственных.
    • Используется система обнаружения уязвимостей с рейтингом критичности и отслеживанием метрик: сколько времени требуется на обнаружение, анализ и устранение уязвимостей.
  3. Проводить анализ первопричин уязвимостей прикладного ПО.(новое)
    • Найдены глубинные причины уязвимостей, которые позволяют в уменьшить количество критичных замечаний по безопасности.
  4. Создать и поддерживать реестр компонентов ПО, принадлежащих сторонним производителям.
    • Обновления и свежие версии компонентов в реестре отслеживаются раз в месяц или чаще.
  5. Использовать последние версии компонентов ПО от доверенных сторонних производителей.
    • Компоненты ПО скачиваются из проверенных источников и проверяются на безопасность перед установкой.
  6. Создать и поддерживать классификацию уязвимостей ПО по степени критичности.
    • Наиболее критичные замечания исправляются в первую очередь.
    • Определен минимально допустимый уровень уязвимостей, без соблюдения которого релиз не выходит.
  7. Использовать стандартные шаблоны конфигураций аппаратной защиты для инфраструктуры прикладного ПО.
    • Используются лучшие практики для  конфигураций аппаратной защиты, в том числе серверов, баз данных, контейнеров.
  8. Отделять продакшен-окружение.
    • Продакшен-окружение отделено от тестового, стейджа и пре-продакшена.
  9. Обучить разработчиков практикам безопасной разработки ПО.
    • Разработчики проходят обучение по информационной безопасности раз в год или чаще.
    • В командах поддерживается культура безопасной разработки.
  10. Использовать принципы безопасного проектирования в архитектуре приложений.
    • Используются лучшие практики, такие как: валидация полей ввода, минимизация площади атаки, контроль стандартных учетных записей на сервере.
    • Проверки безопасности проводятся для любого пользовательского ввода.
  11. Использовать проверенные модули или службы для компонентов безопасности приложений.
    • Используются проверенные модули для шифрования, ведения журналов и управления идентификацией пользователей.
    • Для обеспечения критичных компонентов безопасности используются платформенные функции.

Максимальный:

  1. Использовать проверки безопасности на уровне кода.
    • Инструменты статического и динамического анализа встроены в жизненный цикл разработки.
  2. Проводить тестирование на проникновение для приложений.(новое)
    • Для поиска уязвимостей в бизнес-логике критичных приложений вместо сканирования кода или автоматических тестов безопасности используется тестирование на проникновение с аутентификацией.
  3. Проводить моделирование угроз.(новое)

17. Управление реакцией на инциденты ИБ

Минимальное:

  1. Назначить ответственных за решение инцидентов.
    • Назначены минимум 1 ответственный и 1 замещающий среди сотрудников или от сторонней компании-аутсорсера.
    • В случае передачи инцидентов безопасности на аутсорсинг, от организации назначен ответственный за коммуникацию с аутсорсером.
    • Передана ответственность за  координацию процесса работы с инцидентами и документирование результатов в процессе решения инцидента.
  2. Создать и поддерживать список контактов для обращения по поводу инцидентов безопасности.
    • Составлен список заинтересованных лиц, которые должны получить уведомление об инциденте.
    • Список пересматривается раз в год или чаще.
  3. Наладить и поддерживать процессы приема и обработки обращений об инцидентах безопасности.
    • Процесс включает временные рамки реагирования на инцидент, механизм обращения, минимальную информацию для создания инцидента.
    • Процедура известна всем сотрудникам компании.

Расширенное:

  1. Наладить и поддерживать процессы ответа на обращения по поводу инцидентов.
    • Процесс включает роли и обязанности, показатели работы и план коммуникации по поводу инцидента.
  2. Прописать ключевые роли и обязанности.
    • План регулирования инцидентов включает сценарии с привлечением юристов, специалистов по ИТ и ИБ, служб PR, HR и аналитиков, если необходимо.
  3. Определить механизмы коммуникации в процессе решения инцидентов.(новое)
    • План учитывает, какое средство коммуникации в разных случаях является приоритетным: мессенджер, электронная почта, телефон.
  4. Проводить регулярные учения по решению инцидентов безопасности.
    • Учебные сценарии включают взаимодействие заинтересованных лиц и позволяют тестировать постановку задач, процессы коммуникации и принятия решений.
  5. Проводить разбор и анализ решений инцидентов.(новое)

Максимальное:

  1. Создать и поддерживать классификацию инцидентов.
    • Сценарий реагирования разработан для разных событий безопасности: подозрительной активности, обнаруженной уязвимости, утечки информации и так далее.

18. Тестирование на проникновение

Расширенное:

  1. Создать и поддерживать программу тестирования на проникновение.
  2. Проводить регулярные внешние тесты на проникновение.
  3. Устранять уязвимости, найденные в результате тестов на проникновение.

Максимальное:

  1. Подтвердить эффективность мер безопасности по итогам теста.(новое)
  2. Проводить регулярные внутренние тесты на проникновение.

С полными рекомендациями на английском можно ознакомиться здесь: CIS Controls 8.

На наш взгляд, список интересный, хоть и не обошелся без слишком общих и размытых формулировок.  Если заметили что-то интересное, ― давайте обсудим в комментариях.

Расскажите друзьям и коллегам о статье
  • Поделиться
  • Поделиться
  • Поделиться

Последние статьи

22 июля
Сергей Жильцов

Распространенные уязвимости контейнеров и десятка правил для их защиты.

15 июля
Станислав Миллер

Новые рекомендации по внедрению ИБ для компаний разного масштаба.

24 июня
DataLine

Подпишитесь на нашу рассылку

Получайте свежие и полезные материалы и приглашения на наши мероприятия