АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Критические меры безопасности CIS для эффективной киберзащиты

Критические меры безопасности CIS для эффективной киберзащиты (англ. CIS Controls, ранее — англ. Center for Internet Security Critical Security Controls for Effective Cyber Defense) — публикация с рекомендациями по лучшим практикам в области компьютерной безопасности. Проект был инициирован в начале 2008 года в ответ на значительные потери данных, понесённые организациями оборонного сектора США. Изначально публикация была разработана Институтом SANS и выпущена под названием «SANS Top 20». В 2013 году права собственности перешли к Совету по кибербезопасности (англ. Council on Cyber Security, CCS), а в 2015 году — к Центру по обеспечению интернет-безопасности (англ. Center for Internet Security, CIS), некоммерческой организации формата 501(c)(3)[1]. В 2021 году CIS выпустил версию 8 критических мер безопасности CIS[2]. Актуальной версией является CIS Controls v8.1, выпущенная в июне 2024 года[1].

Цели

Рекомендации включают 18 (первоначально 20) ключевых действий, называемых критическими мерами безопасности (англ. critical security controls, CSC), которые организации должны внедрять для предотвращения или смягчения известных атак. Контроли спроектированы таким образом, чтобы их внедрение, обеспечение исполнения и мониторинг могли быть автоматизированы. Эти меры предлагают практические рекомендации по кибербезопасности, изложенные в понятной для ИТ-специалистов форме[3]. К основным целям консенсусных руководящих принципов относятся:

  • Использование данных о кибернападениях для совершенствования киберзащиты, с фокусом на наиболее значимых аспектах
  • Гарантия того, что инвестиции в безопасность направлены на противодействие самым опасным угрозам
  • Максимизация применения автоматизации для реализации мер безопасности с целью минимизации человеческих ошибок
  • Применение консенсусной процедуры для сбора наилучших идей
  • Обеспечение видимости и контроля над активами в облачных средах[4]
  • Обеспечение безопасности конфигурации сетевой инфраструктуры с использованием подхода «инфраструктура как код» (IaC)[5]

Структура и методология

Группы реализации

Группы внедрения (англ. Implementation Groups, IG) представляют собой систему приоритизации мер безопасности. В CIS Controls 153 меры защиты (англ. Safeguards) распределены по трём группам внедрения:[6]

  • Группа внедрения 1 (IG1) — базовая кибергигиена. Включает 56 мер защиты и предназначена для малого и среднего бизнеса (SMB)[7].
  • Группа внедрения 2 (IG2) — предназначена для организаций с ИТ-персоналом. Добавляет 74 меры защиты (в сумме 130)[7].
  • Группа внедрения 3 (IG3) — предназначена для зрелых организаций. Охватывает все 153 меры защиты[7].

Список мер безопасности

Актуальная версия CIS Controls (v8/v8.1) включает 18 критических мер безопасности[8]:

  1. Инвентаризация и контроль корпоративных активов: обнаружение, инвентаризация и управление всеми устройствами (серверами, рабочими станциями, мобильными устройствами), подключенными к инфраструктуре организации.
  2. Инвентаризация и контроль программных активов: управление всем программным обеспечением в сети для предотвращения использования неавторизованных и небезопасных программ.
  3. Защита данных: разработка процессов и технических средств для идентификации, классификации, безопасной обработки, хранения и уничтожения данных.
  4. Безопасная конфигурация корпоративных активов и программного обеспечения: создание и поддержание безопасных конфигураций для всех устройств и программ.
  5. Управление учетными записями: использование процессов и инструментов для отслеживания и контроля учетных записей пользователей.
  6. Управление контролем доступа: контроль доступа к активам и данным на основе принципа минимальных привилегий.
  7. Непрерывное управление уязвимостями: постоянное выявление, оценка и устранение уязвимостей во всех корпоративных активах.
  8. Управление журналами аудита: сбор, анализ и хранение журналов событий для обнаружения, понимания и восстановления после атак.
  9. Защита электронной почты и веб-браузеров: защита от угроз, распространяемых через электронную почту и веб-трафик.
  10. Защита от вредоносного ПО: предотвращение или контроль установки, распространения и выполнения вредоносного кода.
  11. Восстановление данных: обеспечение возможности восстановления данных до доверенного состояния после инцидента безопасности.
  12. Управление сетевой инфраструктурой: установка, внедрение и активное управление безопасностью сетевых устройств.
  13. Сетевой мониторинг и защита: постоянный мониторинг и защита сети для выявления и блокировки угроз.
  14. Повышение осведомленности и обучение навыкам безопасности: создание и поддержание программы для обучения персонала основам кибербезопасности.
  15. Управление поставщиками услуг: управление рисками, связанными с использованием внешних поставщиков услуг.
  16. Безопасность прикладного программного обеспечения: управление жизненным циклом безопасности программного обеспечения, разработанного внутри компании, для предотвращения, обнаружения и исправления уязвимостей.
  17. Управление безопасностью цепочки поставок: снижение рисков, связанных с уязвимостями в цепочке поставок.
  18. Тестирование на проникновение: проверка и повышение эффективности средств защиты путем моделирования атак[8].

Гармонизация со стандартами

Центр интернет-безопасности (CIS) предоставляет официальное сопоставление своих мер контроля с другими стандартами безопасности. Актуальная версия CIS Controls v8.1 официально сопоставлена с рядом ключевых фреймворков, включая прямое соответствие с NIST Cybersecurity Framework (CSF) 2.0[9], стандартом ISO/IEC 27001:2022[10], а также стандартами PCI DSS и HIPAA[11].

Поддерживаемые платформы

Бенчмарки CIS охватывают широкий спектр технологий, в том числе:

  • Операционные системы: Windows, Linux, macOS
  • Серверы: Apache, NGINX, Microsoft IIS
  • Облачные платформы: AWS, Azure, Google Cloud Platform
  • Сетевые устройства: Cisco, Juniper
  • Приложения: Microsoft Office, Google Chrome, Mozilla Firefox
  • Контейнерные платформы: Docker, Kubernetes, Red Hat OpenShift
  • SaaS-платформы: Microsoft 365, Oracle SaaS
  • Инструменты Infrastructure-as-Code (Terraform, Ansible), используемые для автоматизации внедрения конфигураций[12][13]

Примечания

  1. 1 2 Center for Internet Security Releases CIS Controls v8.1 with New Governance Recommendations. cisecurity.org (25 июня 2024). Дата обращения: 28 мая 2026.
  2. CIS Critical Security Controls Version 8 (англ.). cisecurity.org (17 января 2024). Дата обращения: 28 мая 2026.
  3. Consensus Audit Guidelines: Overview (англ.). Lieberman Software Corporation. Дата обращения: 28 мая 2026. Архивировано 30 марта 2012 года.
  4. 18 CIS Controls: A Guide to the Latest Version. Ionix. Дата обращения: 28 мая 2026.
  5. CIS Controls: What are they and why are they important? Sprinto. Дата обращения: 28 мая 2026.
  6. Implementation Groups. Center for Internet Security. Дата обращения: 28 мая 2026.
  7. 1 2 3 CIS Implementation Groups. dotLegal. Дата обращения: 28 мая 2026.
  8. 1 2 CIS Controls List. cisecurity.org. Дата обращения: 28 мая 2026.
  9. CIS Controls v8.1 Mapping to NIST CSF 2.0. CIS Security. Дата обращения: 28 мая 2026.
  10. CIS Controls v8.1 Mapping to ISO/IEC 27001:2022. CIS Security. Дата обращения: 28 мая 2026.
  11. Mapping and Compliance with the CIS Controls. CIS Security. Дата обращения: 28 мая 2026.
  12. CIS Benchmark Table. Ansible Lockdown Documentation. Дата обращения: 28 мая 2026.
  13. terraform-AWS-CIS-Policy-Set. GitHub. Дата обращения: 28 мая 2026.

Категории