حیاتی ترین و مهم ترین کنترلهای امنیتی که بایستی در یک سازمان یا شرکت در راستای مدیریت امنیت (با نگاه دفاع سایبری)بکار گرفته شود شامل چه مواردی است؟
به عبارتی دیگر، اگر شما مدیر امنیت اطلاعات در یک سازمان( و یا تصمیم گیرنده در هر سطحی) باشید و قصد داشته باشید کنترلهایی را پیاده سازی، اجرا و پایش نمایید، چه می کنید؟
پرسشی که مطرح گردید در واقع نام پروژه ای بود که در سال 2008 آغاز شد و ابتدا توسط موسسهSANS پیگیری و دنبال می شد. در سال 2015 مالکیت این پروژه به Center for Internet Security یا CIS منتقل شد. CIS یک سازمان غیر انتفاعی و در سال 2000 تأسیس شده است. این سازمان 180 عضو از 17 کشور مختلف دارد.
ماموریت این سازمان ارتقای آمادگی و پاسخ امنیتی نهادهای دولتی و بخش خصوصی، با تعهد به تعالی از طریق همکاری و مشارکت است.
این کنترلها با عنوان CIS Critical Security Controls شناخته می شود که آخرین نسخه آن Version 6.0 می باشد و در سال 2015 منتشر شده است.
کنترلهای حیاتی:
1. Inventory of Authorized and Unauthorized Devices
2. Inventory of Authorized and Unauthorized Software
3. Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
4. Continuous Vulnerability Assessment and Remediation
5. Controlled Use of Administrative Privileges
6. Maintenance, Monitoring, and Analysis of Audit Logs
7. Email and Web Browser Protections
8. Malware Defenses
9. Limitation and Control of Network Ports, Protocols,
and Services
10. Data Recovery Capability
11. Secure Configurations for Network Devices such as Firewalls, Routers,and Switches
12. Boundary Defense
13. Data Protection
14. Controlled Access Based on the Need to Know
15. Wireless Access Control
16. Account Monitoring and Control
17. Security Skills Assessment and Appropriate Training to Fill Gaps
18. Application Software Security
19. Incident Response and Management
20. Penetration Tests and Red Team Exercises