حیاتی ترین و مهم ترین کنترلهای امنیتی که بایستی در یک سازمان یا شرکت در راستای مدیریت امنیت (با نگاه دفاع سایبری)بکار گرفته شود شامل چه مواردی است؟

به عبارتی دیگر، اگر شما مدیر امنیت اطلاعات در یک سازمان( و یا تصمیم گیرنده در هر سطحی) باشید و قصد داشته باشید کنترلهایی را پیاده سازی، اجرا و پایش نمایید، چه می کنید؟

پرسشی که مطرح گردید در واقع نام پروژه ای بود که در سال 2008 آغاز شد و ابتدا توسط  موسسهSANS  پیگیری و دنبال می شد. در سال 2015 مالکیت این پروژه به  Center for Internet Security یا CIS منتقل شد. CIS یک سازمان غیر انتفاعی و در سال 2000 تأسیس شده است. این سازمان 180 عضو از 17 کشور مختلف دارد.

ماموریت این سازمان ارتقای آمادگی و پاسخ امنیتی نهادهای دولتی و بخش خصوصی، با تعهد به تعالی از طریق همکاری و مشارکت است.

این کنترلها با عنوان  CIS Critical Security Controls شناخته می شود که آخرین نسخه آن Version 6.0  می باشد و در سال 2015 منتشر شده است.

کنترلهای حیاتی:

1.  Inventory of Authorized and Unauthorized Devices

2.  Inventory of Authorized and Unauthorized Software

3.  Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers

4.  Continuous Vulnerability Assessment and Remediation

5.  Controlled Use of Administrative Privileges

6.  Maintenance, Monitoring, and Analysis of Audit Logs

7.  Email and Web Browser Protections

8.  Malware Defenses

9.  Limitation and Control of Network Ports, Protocols,

and Services

10.  Data Recovery Capability

11.  Secure Configurations for Network Devices such as Firewalls, Routers,and Switches

12.  Boundary Defense

13.  Data Protection

14.  Controlled Access Based on the Need to Know

15.  Wireless Access Control

16.  Account Monitoring and Control

17.   Security Skills Assessment and Appropriate Training to Fill Gaps

18.  Application Software Security

19.  Incident Response and Management

20.  Penetration Tests and Red Team Exercises