Контакты
Подписка 2026

Что такое CIS Controls и для чего они нужны?

Дмитрий Костров, 19/06/25

CIS Controls – это набор проверенных практик кибербезопасности, разработанный Center for Internet Security для защиты организаций от наиболее распространенных угроз. Они охватывают ключевые аспекты ИТ-инфраструктуры и применимы к компаниям любого размера.

Автор: Дмитрий Костров, эксперт по информационной безопасности

ris1_w-Jun-19-2025-08-43-25-4846-AM

Актуальная версия 8.1 (2024 г.) сохраняет ориентированный на практику подход, заданный в редакции 7.1 (2019 г.), но адаптирована под современные условия – удаленную работу, облачные сервисы и мобильность. В числе нововведений – отдельный раздел, посвященный контролю безопасности поставщиков услуг.

Изначально инициатива появилась в 2008 г. как ответ на крупные утечки данных в оборонной отрасли США. Первый вариант, разработанный SANS Institute, был известен как SANS Top 20. Впоследствии проект перешел под управление Центра интернет-безопасности, который с 2015 г. продолжает его развитие.

Структура и уровни внедрения

С выходом восьмой версии число разделов сократилось до 18, а перечень мер безопасности уточнен и доведен до 153 конкретных практик.

Каждая мера относится к одной из трех групп: IG1, IG2 или IG3.

  • IG1 формирует базовую кибергигиену и ориентирована на организации с ограниченным опытом в области кибербезопасности.
  • IG2 подходит для компаний, работающих с несколькими подразделениями и разнородными профилями рисков, и помогает справляться с возрастающей операционной сложностью.
  • IG3 рассчитана на организации, имеющие собственных ИТ-специалистов и экспертов по киберзащите либо обрабатывающие конфиденциальные данные. Цель этой группы – минимизировать последствия сложных кибератак.

Не все меры безопасности применимы ко всем типам организаций – руководитель, отвечающий за кибербезопасность, может выбирать их ориентируясь на уровень IG, соответствующий возможностям и зрелости компании.

18 ключевых действий, называемых также критическими элементами управления безопасностью, разработаны с расчетом на внедрение, сопровождение и мониторинг с использованием преимущественно автоматизированных средств. Они формулируются на понятном ИТ-персоналу языке и дают практические рекомендации по обеспечению кибербезопасности.

Основные цели руководящих принципов аудита консенсуса включают:

  1. Использование информации о киберпреступлениях для информирования подразделений киберзащиты с акцентом на наиболее эффективные из них (в среднесрочной перспективе).
  2. Обеспечение того, чтобы инвестиции в безопасность были сосредоточены на противодействии наиболее значимым угрозам.
  3. Максимальное применение автоматизации для реализации мер защиты, что позволяет снизить влияние человеческого фактора.
  4. Использование процесса консенсуса для сбора и интеграции наилучших практик.

CIS Controls 8.1 – это обновление стандарта, выпущенное в июне 2024 г., которое уточняет и усиливает меры киберзащиты с учетом современных вызовов, таких как усложнение ИТ-среды и расширение классов активов. Среди ключевых изменений – добавление функций управления безопасностью и актуализация формулировок для лучшей адаптации к текущим угрозам.

В версии 8.1 CIS Controls были внесены три ключевых обновления:

  • Новый класс – документация – расширил список активов до шести категорий: устройства, ПО, данные, пользователи, сеть, документация. Теперь можно точнее привязывать меры безопасности к конкретным ИТ-доменам. Были также обновлены формулировки отдельных Safeguards и расширен глоссарий терминов.
  • Актуализировано соответствие NIST CSF 2.0. Обновлены сопоставления и меры безопасности в соответствии с новой редакцией фреймворка, что обеспечивает согласованность с отраслевыми стандартами.
  • Добавлена функция "Управление" – шестая в дополнение к существующим пяти. Она охватывает действия по стратегическому управлению кибербезопасностью, облегчает согласование с бизнес-целями и подтверждение соответствия требованиям.

В табл. 1 приведен общий обзор элементов управления CIS в версии 8.1.

t1-Jun-19-2025-08-38-16-2626-AM

Внедрение: 6 шагов

Для применения CIS Controls требуется всего шесть последовательных шагов.

  • Шаг 1. Оценка текущего уровня. Перед внедрением CIS Controls необходимо оценить текущее состояние информационной безопасности: провести инвентаризацию активов, выявить уязвимости и угрозы, а также сравнить действующие меры с требованиями Controls для определения пробелов и приоритетов.
  • Шаг 2. Определение группы внедрения. Как уже упоминалось, в версии 8.1 все меры сгруппированы по трем уровням (IG1–IG3), что позволяет масштабировать внедрение в зависимости от зрелости процессов и уровня риска.
  • Шаг 3. Приоритизация элементов управления. В первую очередь следует внедрять меры, наиболее соответствующие вашему профилю риска, – с учетом бизнес-ценности активов и актуальности киберугроз.
  • Шаг 4. Разработка плана внедрения. На этом этапе создается четкий и реалистичный план, включающий распределение ролей и обязанностей, перечень необходимых технологий, инструментов и обучающих мероприятий, а также вехи и сроки реализации для каждой меры контроля.
  • Шаг 5. Реализация элементов управления. На этапе внедрения настраиваются системы, обновляются политики, обучается персонал, назначаются ответственные за реагирование на инциденты и проводится тестирование на проникновение для проверки эффективности мер.
  • Шаг 6. Мониторинг и оценка эффективности. После внедрения начинается постоянный мониторинг: проводятся регулярные проверки, отслеживаются KPI и инциденты, а также периодически выполняется тестирование на проникновение для выявления уязвимостей до их возможной эксплуатации.
Темы:УправлениеЖурнал "Информационная безопасность" №2, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Зрелость ИБ – в необходимости адаптироваться быстрее угроз
    Пока вы готовите отчет для аудита, инфраструктура успевает измениться, подрядчики ухитряются обновиться, а атакующие – освоить новые техники проникновения. И выигрывает не тот, у кого больше средств защиты, а тот, кто способен быстрее адаптироваться к изменениям. Зрелость ИБ измеряется не процентом защищенности, а скоростью реакции системы на новые угрозы.
  • Почему вы хотите одной кнопки безопасности?
    Ольга Попова, главный юрист продуктовой группы Контур.Эгида и Staffcop
    Киберугрозы становятся все изощреннее, и руководители мечтают о простом решении -- волшебной кнопке, которая одним нажатием обеспечит полную защиту компании. Возможно ли это в принципе?
  • Киберинцидент как юридический факт
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Для специалиста по ИБ киберинцидент – это аномалия в логах, срабатывание системы обнаружения вторжений или зашифрованные файлы на сервере. Для юриста – юридический факт. Разница в подходах часто становится причиной конфликтов внутри компаний: технари удаляют следы, чтобы восстановить бизнес-процессы, а юристы потом не могут доказать вину злоумышленника или обосновать страховой случай.
  • Как перейти на ущерб-ориентированный подход
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Многим компаниям кажется, что обеспечение кибербезопасности и непрерывности бизнеса требует больших инвестиций, оценить целесообразность которых трудно. Малый и средний бизнес часто считает, что защитные решения стоят дорого и не являются обязательными, ведь якобы основная цель злоумышленников – большие компании. Крупный бизнес с высоким уровнем зрелости сталкивается с другой сложностью: руководство не всегда понимает, как именно кибербезопасность влияет на устойчивость компании и как оценить эффективность инвестиций. У этих разных парадигм одна общая проблема: безопасность существует отдельно от бизнеса.
  • Система управления ИБ в интересах бизнеса: от теории к практике
    Ольга Папина, эксперт продуктовой команды R-Vision SGRC
    В 2025 г. информационная безопасность перестала быть исключительно технической функцией. Для бизнеса она теперь является фактором устойчивости – от того, как выстроено управление ИБ, напрямую зависят непрерывность процессов, выполнение обязательств перед клиентами и способность компании масштабироваться без потери контроля.
  • Управление кибербезопасностью в 2026 году: какие метрики нужны CISO и CEO
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Топ-менеджмент требует цифр, а команда кибербезопасности – осмысленных KPI. Давай посмотрим, какая система метрик закрывает запросы обеих сторон.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...