کنترلهای امنیتی CIS

CIS چیست؟

مرکز امنیت اینترنت(Center for Internet Security) یک نهاد غیرانتفاعی و مردم نهاد است که در سال 2000، به صورت یک پویش محدود توسط گروهی از متخصصان امنیت سایبری با هدف شناسایی رایج‌ترین و مهمترین حملات سایبری در سطح بین المللی آغاز به کار کرد. اهداف اولیه این نهاد “کمک به مردم، مشاغل و دولت ها برای محافظت از خود در برابر تهدیدات سایبری فراگیر“طراحی گردید. در سال 2015 میلادی این کنترل‌ها به CIS Critical Security Controls تغییر نام داده و در نهایت تحت عنوان “CIS Controls” معرفی گردید.

در راستای امن سازی فضای تولید و تبادل اطلاعات، زیر ساخت ها و داده ها این نهاد در CIS ورژن 8 با ارائه 18 سرفصل کنترلی و 153 کنترل امنیتی سعی در ارائه راهکاری جامع برای تحقق اهداف خود در فضای سایبری اقدام نموده است. در واقع متخصصین حوزه امنیت سایبری و فناوری اطلاعات مانند ورژن قبل صرفا با یک چک لیست امنیتی موجه نیستند، بلکه در CIS ورژن 8 با فهرستی از اقدامات موثر و اولویت بندی شده روبرو هستند که آنها را برای مقابله با تهدیدات پیچیده سایبری امروز آماده میسازد.

ضرورت رعایت کنترل های امنیتی CIS ورژن 8:

عمدتا حملات سایبری به دلیل عدم رعایت مواردی همچون به روز نبودن سیستم عامل ها و نرم افزارها، عدم رعایت تنظیمات مناسب و به کارگیری راهکارهای سنتی و ناایمن امنیت سایبری به وقوع پیوسته و بستر مناسبی را برای انجام اعمال مجرمانه هکرها و مهاجمین فراهم مینماید.

در نتیجه با رعایت کنترل های امنیتی و دستورالعمل های ارائه شده در CIS ورژن 8 گام بزرگی در بلوغ امنیت سایبری سازمان میتوان برداشت:

CIS V8

گروه های مختلف پیاده سازی (IMPLEMENTATION GROUP)

IMPLEMENTATION GROUP CIS
IG1

* قابل پیاده سازی برای شرکتهای کوچک تا متوسط، باسطح تخصص ومنابع محدود
* تمرکز اصلی بر روی حفاظت از کارکنان سازمانی و دارایی های حوزه فناوری اطلاعات
* امکان اجرای کنترلها با تخصص محدود امنیت سایبری این شرکتها
* طراحی کنترلها برای مقابله با حملات عمومی و غیر هدفمند
* تناسب کافی با سخت افزارها و نرم افزارهای تجاری مورد استفاده توسط این شرکتها

IG2

* قابلیت پیاده سازی کنترلها برای سازمانهای دارای کارکنانی بامسئولیت مدیریت وحفاظت از زیرساخت IT
* بخشهای سازمانی دارای سطوح ریسک متفاوت
* طراحی کنترلها بر اساس کمک به تیمهای امنیتی جهت مقابله با پیچیدگیهای روزافزون عملیاتی
* نیاز به فناوری سازمانی و تخصص ویژه برای پیاده سازی درست بعضی از این کنترلها

IG3

* امکان پیاده سازی کنترلها برای سازمانهای دارای کارشناسان امنیتی خبره و متخصص در حوزه های مختلف امنیت سایبری
* طراحی کنترلها برای سازمانهای با اطلاعات/عملکردهای حیاتی و تحت نظر نهادهای بالاسری و قانونی که حملات موفق بر ضد آنها میتواند آسیب جدی به رفاه عمومی وارد کند.
* گزینش کنترلها جهت تضمین برای دسترسپذیری یک سری از خدمات و نیز حفظ محرمانگی و جامعیت داده های حساس سازمانی
* انتخاب کنترلها جهت ممانعت از اجرای حملات هدفمند از سوی مهاجمان پیشرفته و کاهش شدت پیامد حملات روزصفر

تاثیر پیاده سازی کنترلهای امنیتی CIS در بلوغ امنیتی سایبری سازمان

نوشته های مرتبط