С чего начать внедрение ИБ большим и маленьким: изучаем CIS Controls v8
Где кончается базовая ИБ-гигиена для небольшого бизнеса и начинается киберзащита для продвинутых? Центр интернет-безопасности (CIS) обновил рекомендации по внедрению ИБ для компаний разного масштаба в свежем гайде CIS Controls 8.
Предыдущие рекомендации CIS Controls 7.1 вышли в 2019 году. В версии 7.1 сделали упор на список практик для внедрения: что именно бизнес должен сделать для защиты. В восьмой версии этот подход сохранили и учли угрозы, связанные с «пандемийными» изменениями ИТ-ландшафта: массовой работой из дома, ростом мобильных пользователей, миграцией в облака. Например, появился отдельный раздел ― контроль безопасности сервис-провайдера (мимо такого пройти не cмогли).
Мы изучили рекомендации CIS для разных бизнесов и выделили самое интересное.
Развитие подхода CIS к внедрению ИБ
В старых версиях CIS Controls эксперты делили систему информационной безопасности на разделы по уровням: от базового к организационному. Такой подход оказался не очень удобным: небольшие компании порой зависали на базовом уровне и не добирались до важных рекомендаций следующего этапа, например, не делали бэкапы на случай атак программ-вымогателей.
Раньше на базовом уровне было всего 6 разделов: инвентаризация устройств и ПО, управление уязвимостями, использование административных привилегий, защищенные конфигурации устройств, мониторинг и анализ журналов аудита. Этого оказалось недостаточно.Поэтому авторы обновленных рекомендаций приоритизировали для компаний не разделы ИБ, а список конкретных действий по защите информации.
Еще в предыдущей версии CIS Controls 7.1 все меры информационной безопасности поделили на 3 группы внедрения:
Минимальное внедрение (IG 1). Это уровень базовой ИБ-гигиены для любого бизнеса. В первоначальный список попали 43 практики для защиты от массовых атак. Этих мер будет достаточно для небольших компаний с ограниченной экспертизой в области кибербезопасности.
Расширенное внедрение (IG 2). В расширенном списке помимо 43 минимальных было 97 дополнительных практик ― для бизнеса с более сложной оргструктурой и несколькими профилями безопасности. Например, если часть отделов работают с конфиденциальными данными клиентов и для них нужна дополнительная защита, в том числе от направленных атак. Как правило, в таких компаниях уже есть выделенные специалисты по информационной безопасности.
Максимальное внедрение (IG 3). Здесь к 140 практикам из расширенного списка добавили еще 31 действие. Полный список должен защитить от сложных направленных атак и снизить риск эксплуатации уязвимостей «нулевого дня». Такой вариант ― для крупных и социально значимых компаний, которым нужно защищать данные большого числа пользователей и клиентов. Как правило, в таких компаниях развитая служба ИБ с разными специалистами: пентестерами, риск-менеджерами и т.п.
В CIS Controls версии 8 часть пунктов объединили и сократили количество разделов и практик. Получилось 18 разделов, а внутри 153 практики.
В общем, получилось: для минимального внедрения достаточно 56, для расширенного — 130.
CIS 7.1 | CIS 8 | |
IG 1 | 43 | 56 |
IG 2 | 43+97 | 56+74 |
IG 3 | 43+97+31 | 56+74+23 |
Посмотрим на разделы и практики, попутно отметим, что появилось нового.
Дисклеймер: Мы переводили основные моменты, чтобы дать общее представление о новинках. Если какие-то моменты не совсем очевидны, лучше обратиться к первоисточнику. К восьмой версии руководство обросло целой экосистемой документов на разные случаи: есть отдельные гайды для пользователей мобильных устройств, облачных решений и устройств IoT.
1. Инвентаризация и учет всех устройств
Минимальные:
1.1. Создать и поддерживать детальный реестр всех устройств.Список включает все оборудование, которое может хранить или обрабатывать корпоративные данные: конечные пользовательские устройства, включая мобильные и портативные, сетевое оборудование, устройства IoT и серверы, в том числе облачные.
В реестр записаны все девайсы, которые регулярно подключаются к корпоративной сетевой инфраструктуре физически, удаленно или виртуально, даже если они не контролируются организацией.
Записи реестра содержат сетевой адрес (если он статический), аппаратный адрес, имя машины, ее владельца, подразделение и разрешение на подключение к сети. Для мобильных конечных устройств собрать эту информацию помогают инструменты типа MDM.
Реестр пересматривается и обновляется каждые полгода или чаще.
Есть регламентированная процедура для обращения с неавторизованными устройствами.
Процедура запускается не реже 1 раза в неделю.
Есть правила, как поступать с неавторизованными устройствами, например: удалять из сети, запрещать удаленное подключение к сети или помещать устройство в карантин.
Расширенные:
1.3. Использовать инструменты для активного обнаружения.Обнаружение подключенных к сети устройств запускается по расписанию не реже раза в день.
На всех DHCP-серверах ведутся журналы. Данные в реестре обновляются раз в неделю или чаще.
На всех DHCP-серверах ведутся журналы. Данные в реестре обновляются раз в неделю или чаще.
На всех DHCP-серверах ведутся журналы. Данные в реестре обновляются раз в неделю или чаще.
Максимальные:
1.5. Использовать инструменты для пассивного обнаружения устройств.Результаты сканирования используются для обновления реестра устройств раз в неделю или чаще.
2. Инвентаризация и учет ПО
Минимальные:
2.1. Создать и поддерживать реестр используемого ПО.Реестр содержит название ПО, разработчика, дату установки/начала использования и бизнес-задачу ПО. При необходимости указаны версия, механизм развертывания и дата вывода из эксплуатации.
Для программ с веб- и мобильным доступом указаны их URL, магазин приложений.
Реестр пересматривается и обновляется каждые полгода или чаще.
В реестре авторизованного ПО содержатся только программы, которые поддерживаются производителем.
Если ПО не поддерживается, но все еще используется, для него продуманы компенсирующие меры.
Наличие поддержки от вендора проверяется для всего ПО раз в месяц или чаще.
Для всех неавторизованных программ своевременно принимается решение: запретить использование или прописать исключение с анализом возможных рисков.
Расширенные:
2.4. Использовать инструменты для автоматического учета ПО.
2.5. Использовать белые списки авторизованного ПО.Пользователи могут запускать ПО только из списка авторизованных программ.
Список такого ПО пересматривается раз в полгода или чаще.
Можно запускать процессы только с использованием библиотек из белого списка, с указанием конкретных файлов .dll, .ocx, .so и так далее.
Неавторизованные библиотеки блокируются.
Список пересматривается раз в полгода или чаще.
Максимальные:
2.7. Использовать белые списки авторизованных скриптов.Используются механизмы контроля версий и другие инструменты для использования только авторизованных скриптов в виде списка конкретных файлов .ps1, .py и так далее.
Неавторизованные скрипты блокируются.
Список пересматривается раз в полгода или чаще.
3. Защита данных
Минимальная:
3.1. Наладить и поддерживать процесс управления данными (новое).В описании процесса учтены конфиденциальность данных, указаны ответственные, требования к хранению данных в зависимости от типа и прописаны процедуры уничтожения в зависимости от конфиденциальности и требований к хранению.
Процесс пересматривается раз в год или при наступлении серьезных организационных изменений.
Как минимум, создан реестр конфиденциальных документов.
Реестр пересматривается раз в год или чаще.
Созданы списки пользователей с уровнями доступа к локальным и удаленным файловым системам, базам данных и прикладному ПО.
Определены минимальные и максимальные показатели допустимой потери данных (RPO) для разных типов информации.
Процедура уничтожения данных учитывает уровень их конфиденциальности.
Варианты решений: Windows BitLocker, Apple FileVault, Linux dm-crypt.
Расширенная:
3.7. Создать и поддерживать систему классификации данных (новое).Создана система меток для документов, например: «конфиденциально», «секретно», «разрешено для публикации».
Процессы обработки документов учитывают классификацию.
Система классификации пересматривается раз в год или чаще.
Документация также фиксирует процесс обмена информацией с сервис-провайдерами.
Процесс пересматривается раз в год или чаще.
3.9. Шифровать данные на съемных носителях.
3.10. Шифровать передаваемые конфиденциальные данные.Варианты решений: Transport Layer Security (TLS), Open Secure Shell (OpenSSH).
Шифрование используется на серверах, в прикладном ПО и базах данных с конфиденциальными данными.
Как минимум, используется шифрование на стороне сервера (SSE).
Дополнительно может использоваться шифрование на стороне клиента.
3.12. Сегментировать обработку и хранение данных в зависимости от уровня конфиденциальности.
Максимальная:
3.13. Развернуть DLP-решение.
3.14. Вести журнал доступа к конфиденциальным данным.В том числе ведется история изменений и уничтожения конфиденциальных документов.
4. Защищенные конфигурации для устройств и ПО
Минимальные:
4.1. Наладить и поддерживать процесс настройки безопасности для ПО и устройств.Описание процесса анализируется и обновляется раз в год или чаще.
Описание процесса анализируется и обновляется раз в год или чаще.
Для ОС общего назначения время блокировки не превышает 15 минут.
Для мобильных устройств время блокировки не превышает 2 минут.
4.4. Установить и настроить межсетевой экран на серверах.
4.5. Установить и настроить межсетевой экран на конечных устройствах пользователей.По умолчанию межсетевой экран блокирует трафик, кроме явно разрешенных сервисов и портов.
Пример практики: для доступа к интерфейсам управления используются защищенные протоколы SSH, HTTPS.
Пересмотрены и обновлены настройки всех преднастроенных учетных записей, например, root, administrator и так далее.
Расширенные:
4.8. Удалить или заблокировать неиспользуемые сервисы и модули на корпоративных устройствах и ПО.
4.9. Настроить доверенные DNS-серверы на корпоративных устройствах.(новое)
4.10. Внедрить практику автоматической блокировки на портативных устройствах пользователей (новое).Настроена блокировка на случай нескольких неудачных попыток аутентификации подряд.
Для ноутбуков настроено не больше 20 попыток аутентификации.
Для планшетов и смартфонов — не больше 10.
Варианты решений: Microsoft InTune Device Lock, Apple Configuration Profile maxFailedAttempts.
Удаление корпоративных данных запускается в случае кражи или потери устройства.
Максимальные:
4.12. Создать выделенные рабочие пространства на мобильных устройствах пользователей (новое).Варианты решений: Apple Configuration Profile, Android Work Profile.
5. Управление учетными записями
Минимальное:
5.1. Создать и поддерживать реестр учетных записей.Реестр включает учетные данные рядовых пользователей и администраторов.
Реестр содержит имя, фамилию, подразделение, дату создания/закрытия учетной записи.
Проверка авторизованных учетных записей осуществляется каждый квартал или чаще.
Для учетных записей с многофакторной аутентификацией задан пароль длиной не менее 8 символов.
Для учетных записей без многофакторной аутентификации задан пароль длиной не менее 14 символов.
Учетная запись закрывается, если прошло 45 дней с момента последней активности.
Стандартные офисные задачи, вроде почтовой переписки и поиска в интернете, решаются с помощью непривилегированных учетных записей.
Расширенное и максимальное:
5.5. Создать и поддерживать реестр служебных учетных записей.Для каждой служебной записи указано подразделение-владелец, цели учетной записи и дата пересмотра.
Для централизации используется служба каталогов или служба идентификации.
6. Управление контролем доступа
Минимальное:
6.1. Наладить процессы предоставления доступа (новое).Процесс запускается при приеме нового сотрудника, изменении должности или роли (желательно автоматически).
Блокирование учетных записей используется вместо удаления, чтобы сохранить журналы аудита.
Для реализации требования может использоваться служба каталогов или технологии единого входа (SSO).
6.4. Запрашивать многофакторную аутентификацию для удаленного доступа к сети.
6.5. Запрашивать многофакторную аутентификацию для доступа с правами администратора.
Расширенное:
6.6. Создать и поддерживать реестр систем аутентификации и авторизации.В реестре учтены системы на своей площадке и на сторонних площадках провайдеров.
Для реализации может использоваться служба каталогов или технологии единого входа (SSO).
Максимальное:
6.8. Внедрить и поддерживать управление доступом на основе ролей (новое).Для каждой роли определены и прописаны необходимые права доступа.
Документ пересматривается раз в год или чаще.
7. Непрерывное управление уязвимостями
Минимальное:
7.1. Наладить и поддерживать процесс управления уязвимостями (новое).Есть отдельный документ по управлению уязвимостями, который пересматривается ежегодно.
Документ с описанием процесса пересматривается раз в месяц или чаще.
7.3. Применять автоматическое управление патчами ОС.
7.4. Применять автоматическое управление патчами прикладного ПО.
Расширенное и максимальное:
7.5. Запускать автоматическое сканирование на уязвимости внутренних устройств и ПО.Используется совместимый со SCAP сканер.
Сканирование проводится раз в квартал.
Используется сканирование без аутентификации и с аутентификацией.
Используется совместимый со SCAP сканер.
Сканирование проводится раз в месяц.
Решение обнаруженных проблем раз в месяц или чаще.
8. Управление журналами аудита
Минимальное:
8.1. Наладить и поддерживать процесс управления журналами аудита (новое).Есть отдельный документ по управлению журналами, который пересматривается ежегодно.
Логирование включено для всех корпоративных устройств и ПО.
8.3. Использовать надежное хранилище для журналов аудита.
Расширенное:
8.4. Стандартизировать синхронизацию времени.
8.5. Собирать детализированные журналы аудита.Подробные журналы ведутся для конфиденциальных данных.
Журналы содержат источник события, дату, имя пользователя, временную метку, исходный и конечный адрес передачи информации.
8.6. Собирать журналы DNS-запросов.
8.7. Собирать журналы URL-запросов.
8.8. Собирать журналы командной строки.Журналы ведутся для PowerShell, BASH, терминалов доступа и так далее.
8.9. Централизовать ведение журналов аудита.(новое)
8.10. Обеспечить хранение журналов аудита.Срок хранения составляет не менее 90 дней.
8.11. Проводить проверку и анализ журналов аудита.
Максимальное:
8.12. Собирать журналы сервис-провайдера (новое).Журналы могут включать события аутентификации и авторизации, даты создания и удаления объектов, события управления пользователями.
9. Защита электронной почты и браузера
Минимальная:
9.1. Использовать только браузеры и почтовые клиенты последних версий с полной поддержкой вендора.
9.2. Использовать сервисы фильтрации DNS.
Расширенная:
9.3. Поддерживать сетевую фильтрацию URL.Варианты реализации: фильтрация по категории, репутации домена или с помощью черных списков адресов.
9.4. Запрещать неавторизованные расширения браузера и почтовых клиентов.
9.5. Внедрять DMARC (идентификацию сообщений, создание отчетов и определение соответствия по доменному имени).Внедрены стандарты Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM).
9.6. Блокировать неавторизованные типы файлов во вложении.
Максимальная:
9.7. Внедрять и поддерживать защиту почтового сервера от вредоносного ПО.Проводится сканирование вложений, используются «песочницы».
10. Защита от вредоносных программ
Минимальный:
10.1. Внедрять и поддерживать решения для защиты от вредоносных программ.(новое)
10.2. Настроить автоматическое обновление сигнатур защиты от вредоносных программ.
10.3. Запретить автозапуск для съемных носителей.
Расширенный и максимальный:
10.4. Настроить автоматическое сканирование на вредоносное ПО для съемных носителей.
10.5. Включить защиту от использования эксплойтов.Варианты решений: Microsoft Data Execution Prevention (DEP), Windows Defender Exploit Guard (WDEG), Apple System Integrity Protection (SIP), Gatekeeper.
10.6. Внедрить централизованное управление защитой от вредоносного ПО.
10.7. Использовать защиту от вредоносного ПО на базе поведенческого анализа.(новое)
11. Восстановление данных
Минимальное:
11.1 Наладить и поддерживать процесс восстановления данных (новое).Создан документ, в котором прописана область применения процедур восстановления данных, указаны приоритеты и меры защиты для резервных копий.
Документ пересматривается раз в год или чаще.
Резервные копии создаются раз в неделю или чаще, в зависимости от важности информации.
Используется шифрование и разделение копий на разные площадки для хранения.
Резервные копии хранятся в облаке или на сторонней площадке.
Расширенное и максимальное:
11.5. Тестировать восстановление данных.Тесты проводятся раз в квартал или чаще.
12. Управление сетевой инфраструктурой
Минимальное:
12.1. Следить, чтобы сетевая инфраструктура не устарела.Пересмотр последних версий ПО проводится раз в месяц или чаще.
Расширенный:
12.2. Создать и поддерживать безопасную сетевую архитектуру.В сетевой архитектуре продумана сегментация сети, разграничение привилегий и доступность инфраструктуры.
12.3. Внедрить лучшие практики безопасного управления сетевой инфраструктурой.
12.4. Внедрить и поддерживать диаграммы архитектуры сети или подобную документацию.Документация пересматривается ежегодно или чаще.
12.5. Внедрить централизованную сетевую аутентификацию, авторизацию и аудит (AAA).(новое)
12.6. Использовать безопасные протоколы для управления сетью и обмена информацией.Например: 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise.
Пользователям необходимо сначала подключиться к VPN и сервисам ААА, чтобы получить доступ к корпоративной инфраструктуре и конечным устройствам.
Максимальный:
12.8. Создать и поддерживать выделенные вычислительные ресурсы для всех задач администратора.Ресурсы для работы под учетной записью администратора находятся в отдельном сетевом сегменте, физически или логически.
13. Сетевой мониторинг и защита
Расширенный:
13.1. Централизовать оповещение о событиях безопасности.Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.
13.2. Внедрить IDS (систему обнаружения вторжений) на стороне сервера.(новое)
13.3. Внедрить сетевое IDS-решение.
13.4. Фильтровать трафик между сетевыми сегментами.
13.5. Управлять доступом для удаленных устройств.Подключенные устройства проверяются на соответствие политикам безопасности.
Сервисы и устройства для удаленного подключения используют ПО последней версии с установленными обновлениями.
13.6. Собирать журналы потоков сетевого трафика.
Максимальный:
13.7. Внедрить IPS (систему предотвращения вторжений) на стороне сервера.(новое)
13.8. Внедрить сетевое IPS-решение.
13.9. Внедрить контроль доступа на уровне сетевых портов.На уровне портов для подключения используется протокол 802.1x или проверка сертификатов.
13.10. Внедрить фильтрацию на уровне прикладного ПО.
13.11. Настроить пороги срабатывания систем в ответ на события безопасности.
14. Осведомленность персонала и тренинги в области ИБ
Минимальные:
14.1. Создать и поддерживать программу повышения грамотности в области кибербезопасности.Инструктаж по информационной безопасности проводится при приеме на работу и повторяется раз в год или чаще.
Учебные материалы пересматриваются раз в год или чаще.
14.2. Обучить сотрудников распознавать атаки с использованием социальной инженерии.
14.3. Обучить сотрудников лучшим практикам аутентификации.Сотрудники получают знания о многофакторной аутентификации, создании сильных паролей и управлении учетными записями.
Сотрудники обучаются блокировать рабочие станции, стирать информацию с флипчартов и виртуальных досок после совещаний и хранить данные в защищенном месте.
Сотрудники разбирают ситуации ошибочной отправки и публикации конфиденциальных данных, потери рабочих устройств и съемных носителей.
14.6. Обучить сотрудников распознавать инциденты безопасности и сообщать о них.
14.7. Обучить сотрудников, как проверить наличие важных обновлений безопасности на собственных рабочих устройствах.(новое)
14.8. Информировать сотрудников о рисках использования незащищенных сетевых соединений для обмена корпоративными данными (новое).Для удаленных сотрудников тренинг включает обучение настройке безопасности своей домашней сети.
Расширенные и максимальные:
14.9. Провести направленные тренинги по информационной безопасности в соответствии с ролями в организации.Отдельные тренинги проводятся для ИТ-специалистов, разработчиков, менеджеров среднего и высшего звена.
15. Контроль безопасности сервис-провайдера (новое)
Минимальный:
15.1. Создать и поддерживать реестр сервис-провайдеров.Список включает контакты с каждым провайдером и обновляется ежегодно или чаще.
Расширенный:
15.2. Создать и поддерживать политику контроля безопасности сервис-провайдера.
15.3. Классифицировать сервис-провайдеров.Классификация может включать уровень конфиденциальности хранимых данных, объем ресурсов, требования к доступности, известные риски, корректирующие и предупреждающие меры защиты от рисков.
Соглашение может включать порядок оповещения о событиях безопасности и порядок решения инцидентов, требования к шифрованию данных и уничтожению информации.
Соглашение пересматривается ежегодно.
Максимальный:
15.5. Провести оценку сервис-провайдеров.Как инструмент оценки можно использовать соответствие стандартам SOC 2, PCI DSS и другим подобным.
15.6. Внедрить мониторинг работы сервис-провайдеров.
15.7. Продумать безопасную миграцию от сервис-провайдера.План миграции включает договоренности о деактивации учетных записей, остановке потоков данных, безопасном удалении корпоративной информации из систем провайдера.
16. Управление безопасностью разработки прикладного ПО
Расширенный:
16.1. Наладить и поддерживать процесс безопасной разработки ПО.Описание процесса включает стандарты безопасного проектирования ПО, стандарты безопасного написания кода, регулярное обучение разработчиков, управление уязвимостями, контроль сторонней разработки и процедуры тестирования ПО.
Определен порядок фиксации замечаний по безопасности и последующего исправления багов с указанием ответственных.
Используется система обнаружения уязвимостей с рейтингом критичности и отслеживанием метрик: сколько времени требуется на обнаружение, анализ и устранение уязвимостей.
Найдены глубинные причины уязвимостей, которые позволяют уменьшить количество критичных замечаний по безопасности.
Обновления и свежие версии компонентов в реестре отслеживаются раз в месяц или чаще.
Компоненты ПО скачиваются из проверенных источников и проверяются на безопасность перед установкой.
Наиболее критичные замечания исправляются в первую очередь.
Определен минимально допустимый уровень уязвимостей, без соблюдения которого релиз не выходит.
Используются лучшие практики для конфигураций аппаратной защиты, в том числе серверов, баз данных, контейнеров.
Продакшен-окружение отделено от тестового, стейджа и препродакшена.
Разработчики проходят обучение по информационной безопасности раз в год или чаще.
В командах поддерживается культура безопасной разработки.
Используются лучшие практики, такие как: валидация полей ввода, минимизация площади атаки, контроль стандартных учетных записей на сервере.
Проверки безопасности проводятся для любого пользовательского ввода.
Используются проверенные модули для шифрования, ведения журналов и управления идентификацией пользователей.
Для обеспечения критичных компонентов безопасности используются платформенные функции.
Максимальный:
16.12. Использовать проверки безопасности на уровне кода.Инструменты статического и динамического анализа встроены в жизненный цикл разработки.
Для поиска уязвимостей в бизнес-логике критичных приложений вместо сканирования кода или автоматических тестов безопасности используется тестирование на проникновение с аутентификацией.
16.14. Проводить моделирование угроз.(новое)
17. Управление реакцией на инциденты ИБ
Минимальное:
17.1. Назначить ответственных за решение инцидентов.Назначены минимум 1 ответственный и 1 замещающий среди сотрудников или от сторонней компании-аутсорсера.
В случае передачи инцидентов безопасности на аутсорсинг от организации назначен ответственный за коммуникацию с аутсорсером.
Передана ответственность за координацию процесса работы с инцидентами и документирование результатов в процессе решения инцидента.
Составлен список заинтересованных лиц, которые должны получить уведомление об инциденте.
Список пересматривается раз в год или чаще.
Процесс включает временные рамки реагирования на инцидент, механизм обращения, минимальную информацию для создания инцидента.
Процедура известна всем сотрудникам компании.
Расширенное:
17.4. Наладить и поддерживать процессы ответа на обращения по поводу инцидентов.Процесс включает роли и обязанности, показатели работы и план коммуникации по поводу инцидента.
План регулирования инцидентов включает сценарии с привлечением юристов, специалистов по ИТ и ИБ, служб PR, HR и аналитиков, если необходимо.
План учитывает, какое средство коммуникации в разных случаях является приоритетным: мессенджер, электронная почта, телефон.
Учебные сценарии включают взаимодействие заинтересованных лиц и позволяют тестировать постановку задач, процессы коммуникации и принятия решений.
17.8. Проводить разбор и анализ решений инцидентов.(новое)
Максимальное:
17.9. Создать и поддерживать классификацию инцидентов.Сценарий реагирования разработан для разных событий безопасности: подозрительной активности, обнаруженной уязвимости, утечки информации и так далее.
18. Тестирование на проникновение
Расширенное:
18.1. Создать и поддерживать программу тестирования на проникновение.
18.2. Проводить регулярные внешние тесты на проникновение.
18.3. Устранять уязвимости, найденные в результате тестов на проникновение.
Максимальное:
18.4. Подтвердить эффективность мер безопасности по итогам теста.(новое)
18.5. Проводить регулярные внутренние тесты на проникновение.
С полными рекомендациями на английском можно ознакомиться здесь: CIS Controls 8.
На наш взгляд, список интересный, хоть и не обошелся без слишком общих и размытых формулировок. Если заметили что-то интересное, давайте обсудим в комментариях.