Что такое CIS Controls и для чего они нужны?

CIS Controls – это набор проверенных практик кибербезопасности, разработанный Center for Internet Security для защиты организаций от наиболее распространенных угроз. Они охватывают ключевые аспекты ИТ-инфраструктуры и применимы к компаниям любого размера.

Автор: Дмитрий Костров, эксперт по информационной безопасности

Актуальная версия 8.1 (2024 г.) сохраняет ориентированный на практику подход, заданный в редакции 7.1 (2019 г.), но адаптирована под современные условия – удаленную работу, облачные сервисы и мобильность. В числе нововведений – отдельный раздел, посвященный контролю безопасности поставщиков услуг.

Изначально инициатива появилась в 2008 г. как ответ на крупные утечки данных в оборонной отрасли США. Первый вариант, разработанный SANS Institute, был известен как SANS Top 20. Впоследствии проект перешел под управление Центра интернет-безопасности, который с 2015 г. продолжает его развитие.

Структура и уровни внедрения

С выходом восьмой версии число разделов сократилось до 18, а перечень мер безопасности уточнен и доведен до 153 конкретных практик.

Каждая мера относится к одной из трех групп: IG1, IG2 или IG3.

• IG1 формирует базовую кибергигиену и ориентирована на организации с ограниченным опытом в области кибербезопасности.
• IG2 подходит для компаний, работающих с несколькими подразделениями и разнородными профилями рисков, и помогает справляться с возрастающей операционной сложностью.
• IG3 рассчитана на организации, имеющие собственных ИТ-специалистов и экспертов по киберзащите либо обрабатывающие конфиденциальные данные. Цель этой группы – минимизировать последствия сложных кибератак.

Не все меры безопасности применимы ко всем типам организаций – руководитель, отвечающий за кибербезопасность, может выбирать их ориентируясь на уровень IG, соответствующий возможностям и зрелости компании.

18 ключевых действий, называемых также критическими элементами управления безопасностью, разработаны с расчетом на внедрение, сопровождение и мониторинг с использованием преимущественно автоматизированных средств. Они формулируются на понятном ИТ-персоналу языке и дают практические рекомендации по обеспечению кибербезопасности.

Основные цели руководящих принципов аудита консенсуса включают:

1. Использование информации о киберпреступлениях для информирования подразделений киберзащиты с акцентом на наиболее эффективные из них (в среднесрочной перспективе).
2. Обеспечение того, чтобы инвестиции в безопасность были сосредоточены на противодействии наиболее значимым угрозам.
3. Максимальное применение автоматизации для реализации мер защиты, что позволяет снизить влияние человеческого фактора.
4. Использование процесса консенсуса для сбора и интеграции наилучших практик.

CIS Controls 8.1 – это обновление стандарта, выпущенное в июне 2024 г., которое уточняет и усиливает меры киберзащиты с учетом современных вызовов, таких как усложнение ИТ-среды и расширение классов активов. Среди ключевых изменений – добавление функций управления безопасностью и актуализация формулировок для лучшей адаптации к текущим угрозам.

В версии 8.1 CIS Controls были внесены три ключевых обновления:

• Новый класс – документация – расширил список активов до шести категорий: устройства, ПО, данные, пользователи, сеть, документация. Теперь можно точнее привязывать меры безопасности к конкретным ИТ-доменам. Были также обновлены формулировки отдельных Safeguards и расширен глоссарий терминов.
• Актуализировано соответствие NIST CSF 2.0. Обновлены сопоставления и меры безопасности в соответствии с новой редакцией фреймворка, что обеспечивает согласованность с отраслевыми стандартами.
• Добавлена функция "Управление" – шестая в дополнение к существующим пяти. Она охватывает действия по стратегическому управлению кибербезопасностью, облегчает согласование с бизнес-целями и подтверждение соответствия требованиям.

В табл. 1 приведен общий обзор элементов управления CIS в версии 8.1.

Внедрение: 6 шагов

Для применения CIS Controls требуется всего шесть последовательных шагов.

• Шаг 1. Оценка текущего уровня. Перед внедрением CIS Controls необходимо оценить текущее состояние информационной безопасности: провести инвентаризацию активов, выявить уязвимости и угрозы, а также сравнить действующие меры с требованиями Controls для определения пробелов и приоритетов.
• Шаг 2. Определение группы внедрения. Как уже упоминалось, в версии 8.1 все меры сгруппированы по трем уровням (IG1–IG3), что позволяет масштабировать внедрение в зависимости от зрелости процессов и уровня риска.
• Шаг 3. Приоритизация элементов управления. В первую очередь следует внедрять меры, наиболее соответствующие вашему профилю риска, – с учетом бизнес-ценности активов и актуальности киберугроз.
• Шаг 4. Разработка плана внедрения. На этом этапе создается четкий и реалистичный план, включающий распределение ролей и обязанностей, перечень необходимых технологий, инструментов и обучающих мероприятий, а также вехи и сроки реализации для каждой меры контроля.
• Шаг 5. Реализация элементов управления. На этапе внедрения настраиваются системы, обновляются политики, обучается персонал, назначаются ответственные за реагирование на инциденты и проводится тестирование на проникновение для проверки эффективности мер.
• Шаг 6. Мониторинг и оценка эффективности. После внедрения начинается постоянный мониторинг: проводятся регулярные проверки, отслеживаются KPI и инциденты, а также периодически выполняется тестирование на проникновение для выявления уязвимостей до их возможной эксплуатации.