Czym Są CIS Critical Security Controls Implementation Groups? - Security Bez Tabu

Czym Są CIS Critical Security Controls Implementation Groups?

Czym są CIS IG i do czego ta wiedza się nam przyda?

Implementation Groups (IGs) są zalecanymi wytycznymi w zakresie ustalania priorytetów wdrażania krytycznych kontroli bezpieczeństwa CIS (CIS Controls). Aby pomóc przedsiębiorstwom każdej wielkości, IGs dzielą się na trzy grupy. Opierają się one na profilu ryzyka i zasobach, którymi przedsiębiorstwo dysponuje w celu wdrożenia CIS Controls.

Każdy IG identyfikuje zestaw zabezpieczeń, które musi wdrożyć. W CIS Controls v8 dostępne są łącznie 153 zabezpieczenia.

Poniżej znajdziesz opisaną i wyjaśnioną każdą z Implementation Groups.

CIS Critical Security Controls Implementation Group 1

CIS Controls v8 definiuje grupę wdrożeniową 1 (IG1) jako niezbędną higienę cybernetyczną i reprezentuje wyłaniający się minimalny standard bezpieczeństwa informacji dla wszystkich przedsiębiorstw. IG1 jest wstępem do CIS Controls składa się z podstawowego zestawu 56 Zabezpieczeń cyberobrony. Zabezpieczenia zawarte w IG1 są tym, co każde przedsiębiorstwo powinno stosować w celu obrony przed najczęstszymi atakami.

W większości przypadków przedsiębiorstwa IG1 są zazwyczaj małymi lub średnimi przedsiębiorstwami z ograniczoną wiedzą w zakresie IT i bezpieczeństwa cybernetycznego, które można poświęcić na ochronę zasobów IT i personelu. Wspólną troską tych przedsiębiorstw jest utrzymanie działalności operacyjnej, ponieważ mają one ograniczoną tolerancję na przestoje.

Wrażliwość danych, które starają się chronić, jest niska i dotyczy głównie informacji pracowniczych i finansowych. Zabezpieczenia wybrane dla IG1 powinny być możliwe do wdrożenia przy ograniczonej wiedzy na temat cyberbezpieczeństwa i mieć na celu udaremnienie ogólnych, nieukierunkowanych ataków. Te zabezpieczenia będą również zwykle zaprojektowane do pracy w połączeniu z gotowym sprzętem i oprogramowaniem dla małych lub domowych biur.

CIS Critical Security Controls Implementation Group 2

IG2 składa się z 74 dodatkowych Zabezpieczeń i opiera się na 56 Zabezpieczeniach określonych w IG1.

74 Zabezpieczenia wybrane dla IG2 mogą pomóc zespołom ds. bezpieczeństwa radzić sobie ze zwiększoną złożonością operacyjną. Prawidłowa instalacja i konfiguracja niektórych Zabezpieczeń będzie zależeć od technologii klasy korporacyjnej i specjalistycznej wiedzy specjalistycznej.

Przedsiębiorstwo IG2 zatrudnia osoby odpowiedzialne za zarządzanie i ochronę infrastruktury IT. Przedsiębiorstwa te zazwyczaj obsługują wiele działów o różnych profilach ryzyka w zależności od funkcji stanowiska i misji. Jednostki małych przedsiębiorstw mogą mieć obciążenia związane z przestrzeganiem przepisów. Przedsiębiorstwa IG2 często przechowują i przetwarzają poufne informacje o klientach lub przedsiębiorstwach i są w stanie wytrzymać krótkie przerwy w świadczeniu usług. Głównym problemem jest utrata zaufania publicznego w przypadku naruszenia.

CIS Critical Security Controls Implementation Group 3

IG3 składa się z dodatkowych 23 Zabezpieczeń. Opiera się na zabezpieczeniach określonych w IG1 (56) i IG2 (74), w sumie 153 zabezpieczeniach w CIS Controls v8.

Przedsiębiorstwo IG3 zwykle zatrudnia ekspertów ds. bezpieczeństwa, którzy specjalizują się w różnych aspektach cyberbezpieczeństwa (np. zarządzanie ryzykiem, testy penetracyjne, bezpieczeństwo aplikacji). Aktywa i dane IG3 zawierają poufne informacje lub funkcje, które podlegają nadzorowi regulacyjnemu i zgodności. Przedsiębiorstwo IG3 musi zająć się dostępnością usług oraz poufnością i integralnością wrażliwych danych. Udane ataki mogą spowodować znaczne szkody dla dobra publicznego.

Zabezpieczenia wybrane dla IG3 muszą ograniczać ukierunkowane ataki wyrafinowanego przeciwnika i zmniejszać wpływ ataków typu zero-day.

Podsumowanie

Zrozumienie oraz umiejętność rozróżnienia Implementation Group pomoże Ci w wyborze odpowiednich zabezpieczeń dla Twojej organizacji oraz przy wdrażaniu CIS Benchmarks. Warto zaznajomić się z narzędziami i standardami propagowanymi przez CIS, ze względu na ich międzynarodowość oraz wysoką pozycję na rynku.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *