Опубликована 7 версия рекомендаций CIS Controls

Представлена новая версия руководства по кибербезопасности CIS Controls Version 7, включающая в себя 20 рекомендаций по защите информационных технологий.

В 7 версию руководства были внесены некоторые изменения. В частности, был изменен приоритет некоторых рекомендаций (рекомендации в руководстве отсортированы по степени важности) для того, чтобы лучше отражать текущую ситуацию в мире киберугроз.

Помимо этого, все рекомендации в CIS Controls V7 были разделены на 3 категории: базовые, основополагающие и организационные.

В категории «Базовые» (CIS Controls 1-6) содержатся рекомендации по ключевым элементам управления, которые должны быть реализованы в каждой организации для обеспечения необходимой киберзащиты.

В категорию «Основополагающих» (CIS Controls 7-16) попали меры по кибербезопасности, обеспечивающие четкие преимущества в области защиты от киберугроз для различных организаций.

Категория «Организационные» (CIS Controls 17-20) ориентирована в основном на людей и процессы, связанные с кибербезопасностью. В ней описаны такие меры по обеспечению безопасности, как правильная работа с персоналом и рекомендации по реагированию на инциденты.

Рекомендации CIS Controls обеспечивают четкое, приоритетное руководство, помогающее организациям решать самые распространенные проблемы в сфере киберугроз.

Юрий Миронов, руководитель отдела информационной безопасности ООО «ХайТэк»:

– Новая версия руководства CIS Controls учитывает опыт и экспертизу более 300 ведущих специалистов по защите информационных систем от киберугроз. На мой, взгляд, безусловно, это полезный документ, который может быть интересен и востребован администраторами информационной безопасности систем, открытых в интернет. Это могут быть, скажем, информационные ресурсы страховых компаний, банков, медиа и т.д.

В целом, можно отметить, что авторы документа актуализировали рекомендации в соответствии с современными киберугрозами и приблизили их к сегодняшним реалиям. Новая версия руководства более структурирована: все рекомендации в ней разделены на три основные категории, что, на мой взгляд, позволит специалистам по кибербезопасности при внедрении этих практик действовать от простого к сложному.

Важно понимать, что сегодня существует большое количество опенсорс-проектов с лучшими практиками по управлению продуктами. В том числе, есть ряд авторитетных документов по менеджменту информационной безопасности. Например, широко применяются рекомендации, прописанные в серии международных стандартов ISO/IEC 27000, которые к настоящему времени гостированы в России: применительно к информационной безопасности это стандарты ISO/IEC 27001 и ISO/IEC 27002. Как мне кажется, большинство подобных документов содержит ценные рекомендации, и специалисты по информационной безопасности должны выбирать из них наиболее подходящие и применимые для защиты своих систем.

Владимир Фоменко, основатель хостинговой компании King Servers

На самом деле список рекомендаций гораздо шире - 20 разделов и 171 рекомендация. В обновленной версии добавились новые рекомендации и разделение на категории, что сделало список более удобным. Руководство актуально для всех организаций и выполнение указанных рекомендаций позволит противостоять большей части кибер-угроз, актуальных на сегодняшний день. Для обеспечения актуальности и применимости этого руководства к широкому списку организаций CIS основывали список рекомендаций на основании отзывов от 300 независимых специалистов по ИБ. Также не стоит забывать, что рекомендации ориентированы на широкий круг организаций и не могут учитывать все нюансы инфраструктуры отдельной компании. Для обеспечения полной безопасности все же понадобится производить аудит безопасности в индивидуальном порядке и совершенствовать систему безопасности компании