С чего начать внедрение ИБ большим и маленьким: изучаем CIS Controls v8

Где кончается базовая ИБ-гигиена для небольшого бизнеса и начинается киберзащита для продвинутых? Центр интернет-безопасности (CIS) обновил рекомендации по внедрению ИБ для компаний разного масштаба в свежем гайде CIS Controls 8.

Предыдущие рекомендации CIS Controls 7.1 вышли в 2019 году. В версии 7.1 сделали упор на список практик для внедрения: что именно бизнес должен сделать для защиты. В восьмой версии этот подход сохранили и учли угрозы, связанные с «пандемийными» изменениями ИТ-ландшафта: массовой работой из дома, ростом мобильных пользователей, миграцией в облака. Например, появился отдельный раздел ― контроль безопасности сервис-провайдера (мимо такого пройти не cмогли). 

Мы изучили рекомендации CIS для разных бизнесов и выделили самое интересное.

2cc50f7d9272ef59a701c003c193e685.jpg

Развитие подхода CIS к внедрению ИБ

В старых версиях CIS Controls эксперты делили систему информационной безопасности на разделы по уровням: от базового к организационному. Такой подход оказался не очень удобным: небольшие компании порой зависали на базовом уровне и не добирались до важных рекомендаций следующего этапа, например, не делали бэкапы на случай атак программ-вымогателей.

Раньше на базовом уровне было всего 6 разделов: инвентаризация устройств и ПО, управление уязвимостями, использование административных привилегий, защищенные конфигурации устройств, мониторинг и анализ журналов аудита. Этого оказалось недостаточно.Раньше на базовом уровне было всего 6 разделов: инвентаризация устройств и ПО, управление уязвимостями, использование административных привилегий, защищенные конфигурации устройств, мониторинг и анализ журналов аудита. Этого оказалось недостаточно.

Поэтому авторы обновленных рекомендаций приоритизировали для компаний не разделы ИБ, а список конкретных действий по защите информации.

Еще в предыдущей версии CIS Controls 7.1 все меры информационной безопасности поделили на 3 группы внедрения:

  1. Минимальное внедрение (IG 1). Это уровень базовой ИБ-гигиены для любого бизнеса. В первоначальный список попали 43 практики для защиты от массовых атак. Этих мер будет достаточно для небольших компаний с ограниченной экспертизой в области кибербезопасности. 

  2. Расширенное внедрение (IG 2). В расширенном списке помимо 43 минимальных было 97 дополнительных практик ― для бизнеса с более сложной оргструктурой и несколькими профилями безопасности. Например, если часть отделов работают с конфиденциальными данными клиентов и для них нужна дополнительная защита, в том числе от направленных атак. Как правило, в таких компаниях уже есть выделенные специалисты по информационной безопасности.

  3. Максимальное внедрение (IG 3). Здесь к 140 практикам из расширенного списка добавили еще 31 действие. Полный список должен защитить от сложных направленных атак и снизить риск эксплуатации уязвимостей «нулевого дня». Такой вариант ― для крупных и социально значимых компаний, которым нужно защищать данные большого числа пользователей и клиентов. Как правило, в таких компаниях развитая служба ИБ с разными специалистами: пентестерами, риск-менеджерами и т.п.

В CIS Controls версии 8 часть пунктов объединили и сократили количество разделов и практик. Получилось 18 разделов, а внутри 153 практики.

d96ad84822ae0ae2e1380e4abc4d1ebd.png

В общем, получилось: для минимального внедрения достаточно 56, для расширенного — 130.

CIS 7.1

CIS 8

IG 1

43

56

IG 2

43+97

56+74

IG 3

43+97+31

56+74+23

Посмотрим на разделы и практики, попутно отметим, что появилось нового.

Дисклеймер: Мы переводили основные моменты, чтобы дать общее представление о новинках. Если какие-то моменты не совсем очевидны, лучше обратиться к первоисточнику. К восьмой версии руководство обросло целой экосистемой документов на разные случаи: есть отдельные гайды для пользователей мобильных устройств, облачных решений и устройств IoT.

1. Инвентаризация и учет всех устройств

Минимальные:

1.1. Создать и поддерживать детальный реестр всех устройств.
  • Список включает все оборудование, которое может хранить или обрабатывать корпоративные данные: конечные пользовательские устройства, включая мобильные и портативные, сетевое оборудование, устройства IoT и серверы, в том числе облачные. 

  • В реестр записаны все девайсы, которые регулярно подключаются к корпоративной сетевой инфраструктуре физически, удаленно или виртуально, даже если они не контролируются организацией. 

  • Записи реестра содержат сетевой адрес (если он статический), аппаратный адрес, имя машины, ее владельца, подразделение и разрешение на подключение к сети. Для мобильных конечных устройств собрать эту информацию помогают инструменты типа MDM.

  • Реестр пересматривается и обновляется каждые полгода или чаще.

1.2. Реагировать на неавторизованные устройства.
  • Есть регламентированная процедура для обращения с неавторизованными устройствами.

  • Процедура запускается не реже 1 раза в неделю. 

  • Есть правила, как поступать с неавторизованными устройствами, например: удалять из сети, запрещать удаленное подключение к сети или помещать устройство в карантин.

Расширенные:

1.3. Использовать инструменты для активного обнаружения.
  • Обнаружение подключенных к сети устройств запускается по расписанию не реже раза в день.

1.4. Вести журнал DHCP (протокола динамической настройки узла) для обновления реестра устройств.
  • На всех DHCP-серверах ведутся журналы. Данные в реестре обновляются раз в неделю или чаще.

  • На всех DHCP-серверах ведутся журналы. Данные в реестре обновляются раз в неделю или чаще.

  • На всех DHCP-серверах ведутся журналы. Данные в реестре обновляются раз в неделю или чаще.

Максимальные:

1.5. Использовать инструменты для пассивного обнаружения устройств.
  • Результаты сканирования используются для обновления реестра устройств раз в неделю или чаще.

2. Инвентаризация и учет ПО 

Минимальные:

2.1. Создать и поддерживать реестр используемого ПО.
  • Реестр содержит название ПО, разработчика, дату установки/начала использования и бизнес-задачу ПО. При необходимости указаны версия, механизм развертывания и дата вывода из эксплуатации. 

  • Для программ с веб- и мобильным доступом указаны их URL, магазин приложений. 

  • Реестр пересматривается и обновляется каждые полгода или чаще.

2.2. Проверять, что авторизованное ПО из реестра поддерживается вендором.
  • В реестре авторизованного ПО содержатся только программы, которые поддерживаются производителем.

  • Если ПО не поддерживается, но все еще используется, для него продуманы компенсирующие меры.

  • Наличие поддержки от вендора проверяется для всего ПО раз в месяц или чаще.

2.3. Реагировать на неавторизованное ПО.
  • Для всех неавторизованных программ своевременно принимается решение: запретить использование или прописать исключение с анализом возможных рисков.

Расширенные:

2.4. Использовать инструменты для автоматического учета ПО.

2.5. Использовать белые списки авторизованного ПО.
  • Пользователи могут запускать ПО только из списка авторизованных программ. 

  • Список такого ПО пересматривается раз в полгода или чаще.

2.6. Использовать белые списки авторизованных библиотек.
  • Можно запускать процессы только с использованием библиотек из белого списка, с указанием конкретных файлов .dll, .ocx, .so и так далее.

  • Неавторизованные библиотеки блокируются.

  • Список пересматривается раз в полгода или чаще.

Максимальные:

2.7. Использовать белые списки авторизованных скриптов.
  • Используются механизмы контроля версий и другие инструменты для использования только авторизованных скриптов в виде списка конкретных файлов .ps1, .py и так далее. 

  • Неавторизованные скрипты блокируются.

  • Список пересматривается раз в полгода или чаще.

3. Защита данных

Минимальная:

3.1. Наладить и поддерживать процесс управления данными (новое).
  • В описании процесса учтены конфиденциальность данных, указаны ответственные, требования к хранению данных в зависимости от типа и прописаны процедуры уничтожения в зависимости от конфиденциальности и требований к хранению. 

  • Процесс пересматривается раз в год или при наступлении серьезных организационных изменений.

3.2. Создать и поддерживать реестр для учета данных.
  • Как минимум, создан реестр конфиденциальных документов.

  • Реестр пересматривается раз в год или чаще.

3.3. Настроить списки для управления доступом к данным.
  • Созданы списки пользователей с уровнями доступа к локальным и удаленным файловым системам, базам данных и прикладному ПО.

3.4. Продумать сохранность данных (новое!).
  • Определены минимальные и максимальные показатели допустимой потери данных (RPO) для разных типов информации.

3.5. Настроить безопасное уничтожение данных.
  • Процедура уничтожения данных учитывает уровень их конфиденциальности.

3.6. Шифровать данные на конечных устройствах пользователей.
  • Варианты решений: Windows BitLocker​, Apple FileVault​, Linux​ dm-crypt.

Расширенная:

3.7. Создать и поддерживать систему классификации данных (новое).
  • Создана система меток для документов, например: «конфиденциально», «секретно», «разрешено для публикации». 

  • Процессы обработки документов учитывают классификацию.

  • Система классификации пересматривается раз в год или чаще.

3.8. Документировать потоки данных (новое).
  • Документация также фиксирует процесс обмена информацией с сервис-провайдерами. 

  • Процесс пересматривается раз в год или чаще.

3.9. Шифровать данные на съемных носителях.

3.10. Шифровать передаваемые конфиденциальные данные.
  • Варианты решений: Transport Layer Security (TLS), Open Secure Shell (OpenSSH).

3.11. Шифровать конфиденциальные данные при хранении.
  • Шифрование используется на серверах, в прикладном ПО и базах данных с конфиденциальными данными.

  • Как минимум, используется шифрование на стороне сервера (SSE).

  • Дополнительно может использоваться шифрование на стороне клиента.

3.12. Сегментировать обработку и хранение данных в зависимости от уровня конфиденциальности.

Максимальная:

3.13. Развернуть DLP-решение.

3.14. Вести журнал доступа к конфиденциальным данным.
  • В том числе ведется история изменений и уничтожения конфиденциальных документов.

4. Защищенные конфигурации для устройств и ПО 

Минимальные:

4.1. Наладить и поддерживать процесс настройки безопасности для ПО и устройств.
  • Описание процесса анализируется и обновляется раз в год или чаще.

4.2. Наладить и поддерживать процесс настройки безопасности для сетевой инфраструктуры.
  • Описание процесса анализируется и обновляется раз в год или чаще.

4.3. Настроить автоматическую блокировку сеанса на корпоративных устройствах.
  • Для ОС общего назначения время блокировки не превышает 15 минут.

  • Для мобильных устройств время блокировки не превышает 2 минут.

4.4. Установить и настроить межсетевой экран на серверах.

4.5. Установить и настроить межсетевой экран на конечных устройствах пользователей.
  • По умолчанию межсетевой экран блокирует трафик, кроме явно разрешенных сервисов и портов.

4.6. Внедрить лучшие практики безопасного управления устройствами и ПО (новое).
  • Пример практики: для доступа к интерфейсам управления используются защищенные протоколы SSH, HTTPS.

4.7. Проконтролировать стандартные учетные записи на устройствах и ПО.
  • Пересмотрены и обновлены настройки всех преднастроенных учетных записей, например, root, administrator и так далее. 

Расширенные:

4.8. Удалить или заблокировать неиспользуемые сервисы и модули на корпоративных устройствах и ПО.

4.9. Настроить доверенные DNS-серверы на корпоративных устройствах.(новое)

4.10. Внедрить практику автоматической блокировки на портативных устройствах пользователей (новое).
  • Настроена блокировка на случай нескольких неудачных попыток аутентификации подряд.

  • Для ноутбуков настроено не больше 20 попыток аутентификации.

  • Для планшетов и смартфонов — не больше 10.

  • Варианты решений: Microsoft​ InTune Device Lock, Apple​ Configuration Profile maxFailedAttempts.

4.11. Внедрить возможности удаленной очистки корпоративных данных на портативных устройствах пользователей (новое).
  • Удаление корпоративных данных запускается в случае кражи или потери устройства. 

Максимальные:

4.12. Создать выделенные рабочие пространства на мобильных устройствах пользователей (новое).
  • Варианты решений: Apple​ Configuration Profile, Android​ Work Profile.

5. Управление учетными записями

Минимальное:

5.1. Создать и поддерживать реестр учетных записей.
  • Реестр включает учетные данные рядовых пользователей и администраторов.

  • Реестр содержит имя, фамилию, подразделение, дату создания/закрытия учетной записи.

  • Проверка авторизованных учетных записей осуществляется каждый квартал или чаще.

5.2. Использовать уникальные пароли.
  • Для учетных записей с многофакторной аутентификацией задан пароль длиной не менее 8 символов.

  • Для учетных записей без многофакторной аутентификации задан пароль длиной не менее 14 символов.

5.3. Закрывать неактивные учетные записи.
  • Учетная запись закрывается, если прошло 45 дней с момента последней активности.

5.4. Ограничить административные привилегии до выделенных учетных записей администраторов.
  • Стандартные офисные задачи, вроде почтовой переписки и поиска в интернете, решаются с помощью непривилегированных учетных записей.

Расширенное и максимальное:

5.5. Создать и поддерживать реестр служебных учетных записей.
  • Для каждой служебной записи указано подразделение-владелец, цели учетной записи и дата пересмотра.

5.6. Внедрить централизованное управление учетными записями.
  • Для централизации используется служба каталогов или служба идентификации.

6. Управление контролем доступа

Минимальное:

6.1. Наладить процессы предоставления доступа (новое).
  • Процесс запускается при приеме нового сотрудника, изменении должности или роли (желательно автоматически).

6.2. Наладить процесс отзыва прав доступа.
  • Блокирование учетных записей используется вместо удаления, чтобы сохранить журналы аудита.

6.3. Запрашивать многофакторную аутентификацию для доступных извне приложений (новое).
  • Для реализации требования может использоваться служба каталогов или технологии единого входа (SSO).

6.4. Запрашивать многофакторную аутентификацию для удаленного доступа к сети.

6.5. Запрашивать многофакторную аутентификацию для доступа с правами администратора.

Расширенное:

6.6. Создать и поддерживать реестр систем аутентификации и авторизации.
  • В реестре учтены системы на своей площадке и на сторонних площадках провайдеров.

6.7. Внедрить централизованный контроль доступа (новое).
  • Для реализации может использоваться служба каталогов или технологии единого входа (SSO).

Максимальное:

6.8. Внедрить и поддерживать управление доступом на основе ролей (новое).
  • Для каждой роли определены и прописаны необходимые права доступа.

  • Документ пересматривается раз в год или чаще.

7. Непрерывное управление уязвимостями

Минимальное:

7.1. Наладить и поддерживать процесс управления уязвимостями (новое).
  • Есть отдельный документ по управлению уязвимостями, который пересматривается ежегодно.

7.2. Наладить и поддерживать процесс решения обнаруженных проблем безопасности.
  • Документ с описанием процесса пересматривается раз в месяц или чаще.

7.3. Применять автоматическое управление патчами ОС.

7.4. Применять автоматическое управление патчами прикладного ПО.

Расширенное и максимальное:

7.5. Запускать автоматическое сканирование на уязвимости внутренних устройств и ПО.
  • Используется совместимый со SCAP сканер.

  • Сканирование проводится раз в квартал.

  • Используется сканирование без аутентификации и с аутентификацией.

7.6. Запускать автоматическое сканирование на уязвимости устройств и ПО, доступных извне.
  • Используется совместимый со SCAP сканер. 

  • Сканирование проводится раз в месяц.

7.7. Устранять обнаруженные уязвимости (новое).
  • Решение обнаруженных проблем раз в месяц или чаще.

8. Управление журналами аудита

Минимальное:

8.1. Наладить и поддерживать процесс управления журналами аудита (новое).
  • Есть отдельный документ по управлению журналами, который пересматривается ежегодно.

8.2. Собирать журналы аудита.
  • Логирование включено для всех корпоративных устройств и ПО.

8.3. Использовать надежное хранилище для журналов аудита.

Расширенное:

8.4. Стандартизировать синхронизацию времени.

8.5. Собирать детализированные журналы аудита.
  • Подробные журналы ведутся для конфиденциальных данных.

  • Журналы содержат источник события, дату, имя пользователя, временную метку, исходный и конечный адрес передачи информации.

8.6. Собирать журналы DNS-запросов.

8.7. Собирать журналы URL-запросов.

8.8. Собирать журналы командной строки.
  • Журналы ведутся для PowerShell​, BASH​, терминалов доступа и так далее.

8.9. Централизовать ведение журналов аудита.(новое)

8.10. Обеспечить хранение журналов аудита.
  • Срок хранения составляет не менее 90 дней.

8.11. Проводить проверку и анализ журналов аудита.

Максимальное:

8.12. Собирать журналы сервис-провайдера (новое).
  • Журналы могут включать события аутентификации и авторизации, даты создания и удаления объектов, события управления пользователями. 

9. Защита электронной почты и браузера

Минимальная:

9.1. Использовать только браузеры и почтовые клиенты последних версий с полной поддержкой вендора.

9.2. Использовать сервисы фильтрации DNS.

Расширенная:

9.3. Поддерживать сетевую фильтрацию URL.
  • Варианты реализации: фильтрация по категории, репутации домена или с помощью черных списков адресов. 

9.4. Запрещать неавторизованные расширения браузера и почтовых клиентов.

9.5. Внедрять DMARC (идентификацию сообщений, создание отчетов и определение соответствия по доменному имени).
  • Внедрены стандарты Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM).

9.6. Блокировать неавторизованные типы файлов во вложении.

Максимальная:

9.7. Внедрять и поддерживать защиту почтового сервера от вредоносного ПО.
  • Проводится сканирование вложений, используются «песочницы».

10. Защита от вредоносных программ

Минимальный:

10.1. Внедрять и поддерживать решения для защиты от вредоносных программ.(новое)

10.2. Настроить автоматическое обновление сигнатур защиты от вредоносных программ.

10.3. Запретить автозапуск для съемных носителей.

Расширенный и максимальный:

10.4. Настроить автоматическое сканирование на вредоносное ПО для съемных носителей.

10.5. Включить защиту от использования эксплойтов.
  • Варианты решений: Microsoft​ Data Execution Prevention (DEP), Windows​ Defender Exploit Guard (WDEG), Apple​ System Integrity Protection (SIP), Gatekeeper​.

10.6. Внедрить централизованное управление защитой от вредоносного ПО.

10.7. Использовать защиту от вредоносного ПО на базе поведенческого анализа.(новое)

11. Восстановление данных

Минимальное:

11.1 Наладить и поддерживать процесс восстановления данных (новое).
  • Создан документ, в котором прописана область применения процедур восстановления данных, указаны приоритеты и меры защиты для резервных копий.

  • Документ пересматривается раз в год или чаще.

11.2. Настроить автоматическое резервное копирование.
  • Резервные копии создаются раз в неделю или чаще, в зависимости от важности информации.

11.3. Защитить данные для восстановления.
  • Используется шифрование и разделение копий на разные площадки для хранения.

11.4. Создать и поддерживать резервную копию данных на отдельном носителе.
  • Резервные копии хранятся в облаке или на сторонней площадке.

Расширенное и максимальное:

11.5. Тестировать восстановление данных.
  • Тесты проводятся раз в квартал или чаще.

12. Управление сетевой инфраструктурой

Минимальное:

12.1. Следить, чтобы сетевая инфраструктура не устарела.
  • Пересмотр последних версий ПО проводится раз в месяц или чаще.

Расширенный:

12.2. Создать и поддерживать безопасную сетевую архитектуру.
  • В сетевой архитектуре продумана сегментация сети, разграничение привилегий и доступность инфраструктуры.

12.3. Внедрить лучшие практики безопасного управления сетевой инфраструктурой.

12.4. Внедрить и поддерживать диаграммы архитектуры сети или подобную документацию.
  • Документация пересматривается ежегодно или чаще.

12.5. Внедрить централизованную сетевую аутентификацию, авторизацию и аудит (AAA).(новое)

12.6. Использовать безопасные протоколы для управления сетью и обмена информацией.
  • Например: 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise.

12.7. Следить за подключением удаленных устройств к системе ААА через VPN (новое).
  • Пользователям необходимо сначала подключиться к VPN и сервисам ААА, чтобы получить доступ к корпоративной инфраструктуре и конечным устройствам.

Максимальный:

12.8. Создать и поддерживать выделенные вычислительные ресурсы для всех задач администратора.
  • Ресурсы для работы под учетной записью администратора находятся в отдельном сетевом сегменте, физически или логически. 

13. Сетевой мониторинг и защита

Расширенный:

13.1. Централизовать оповещение о событиях безопасности.
  • Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.

13.2. Внедрить IDS (систему обнаружения вторжений) на стороне сервера.(новое)

13.3. Внедрить сетевое IDS-решение.

13.4. Фильтровать трафик между сетевыми сегментами.

13.5. Управлять доступом для удаленных устройств.
  • Подключенные устройства проверяются на соответствие политикам безопасности.

  • Сервисы и устройства для удаленного подключения используют ПО последней версии с установленными обновлениями.

13.6. Собирать журналы потоков сетевого трафика.

Максимальный:

13.7. Внедрить IPS (систему предотвращения вторжений) на стороне сервера.(новое)

13.8. Внедрить сетевое IPS-решение.

13.9. Внедрить контроль доступа на уровне сетевых портов.
  • На уровне портов для подключения используется протокол 802.1x или проверка сертификатов. 

13.10. Внедрить фильтрацию на уровне прикладного ПО.

13.11. Настроить пороги срабатывания систем в ответ на события безопасности.

14. Осведомленность персонала и тренинги в области ИБ

Минимальные:

14.1. Создать и поддерживать программу повышения грамотности в области кибербезопасности.
  • Инструктаж по информационной безопасности проводится при приеме на работу и повторяется раз в год или чаще. 

  • Учебные материалы пересматриваются раз в год или чаще.

14.2. Обучить сотрудников распознавать атаки с использованием социальной инженерии.

14.3. Обучить сотрудников лучшим практикам аутентификации.
  • Сотрудники получают знания о многофакторной аутентификации, создании сильных паролей и управлении учетными записями.

14.4. Обучить сотрудников лучшим практикам обращения с корпоративными данными.
  • Сотрудники обучаются блокировать рабочие станции, стирать информацию с флипчартов и виртуальных досок после совещаний и хранить данные в защищенном месте.

14.5. Ознакомить сотрудников с кейсами непреднамеренной утечки данных.
  • Сотрудники разбирают ситуации ошибочной отправки и публикации конфиденциальных данных, потери рабочих устройств и съемных носителей. 

14.6. Обучить сотрудников распознавать инциденты безопасности и сообщать о них.

14.7. Обучить сотрудников, как проверить наличие важных обновлений безопасности на собственных рабочих устройствах.(новое)

14.8. Информировать сотрудников о рисках использования незащищенных сетевых соединений для обмена корпоративными данными (новое).
  • Для удаленных сотрудников тренинг включает обучение настройке безопасности своей домашней сети.

Расширенные и максимальные:

14.9. Провести направленные тренинги по информационной безопасности в соответствии с ролями в организации.
  • Отдельные тренинги проводятся для ИТ-специалистов, разработчиков, менеджеров среднего и высшего звена.

15. Контроль безопасности сервис-провайдера (новое)

Минимальный:

15.1. Создать и поддерживать реестр сервис-провайдеров.
  • Список включает контакты с каждым провайдером и обновляется ежегодно или чаще.

Расширенный:

15.2. Создать и поддерживать политику контроля безопасности сервис-провайдера.

15.3. Классифицировать сервис-провайдеров.
  • Классификация может включать уровень конфиденциальности хранимых данных, объем ресурсов, требования к доступности, известные риски, корректирующие и предупреждающие меры защиты от рисков.

15.4. Проверить в контрактах обязательства в области кибербезопасности со стороны сервис-провайдера.
  • Соглашение может включать порядок оповещения о событиях безопасности и порядок решения инцидентов, требования к шифрованию данных и уничтожению информации. 

  • Соглашение пересматривается ежегодно.

Максимальный:

15.5. Провести оценку сервис-провайдеров.
  • Как инструмент оценки можно использовать соответствие стандартам SOC 2, PCI DSS и другим подобным.

15.6. Внедрить мониторинг работы сервис-провайдеров.

15.7. Продумать безопасную миграцию от сервис-провайдера.
  • План миграции включает договоренности о деактивации учетных записей, остановке потоков данных, безопасном удалении корпоративной информации из систем провайдера.

16. Управление безопасностью разработки прикладного ПО 

Расширенный:

16.1. Наладить и поддерживать процесс безопасной разработки ПО.
  • Описание процесса включает стандарты безопасного проектирования ПО, стандарты безопасного написания кода, регулярное обучение разработчиков, управление уязвимостями, контроль сторонней разработки и процедуры тестирования ПО.

16.2. Наладить и поддерживать процесс обнаружения и устранения уязвимостей в ПО.
  • Определен порядок фиксации замечаний по безопасности и последующего исправления багов с указанием ответственных.

  • Используется система обнаружения уязвимостей с рейтингом критичности и отслеживанием метрик: сколько времени требуется на обнаружение, анализ и устранение уязвимостей. 

16.3. Проводить анализ первопричин уязвимостей прикладного ПО (новое).
  • Найдены глубинные причины уязвимостей, которые позволяют уменьшить количество критичных замечаний по безопасности.

16.4. Создать и поддерживать реестр компонентов ПО, принадлежащих сторонним производителям.
  • Обновления и свежие версии компонентов в реестре отслеживаются раз в месяц или чаще.

16.5. Использовать последние версии компонентов ПО от доверенных сторонних производителей.
  • Компоненты ПО скачиваются из проверенных источников и проверяются на безопасность перед установкой.

16.6. Создать и поддерживать классификацию уязвимостей ПО по степени критичности.
  • Наиболее критичные замечания исправляются в первую очередь.

  • Определен минимально допустимый уровень уязвимостей, без соблюдения которого релиз не выходит.

16.7. Использовать стандартные шаблоны конфигураций аппаратной защиты для инфраструктуры прикладного ПО.
  • Используются лучшие практики для конфигураций аппаратной защиты, в том числе серверов, баз данных, контейнеров. 

16.8. Отделять продакшен-окружение.
  • Продакшен-окружение отделено от тестового, стейджа и препродакшена.

16.9. Обучить разработчиков практикам безопасной разработки ПО.
  • Разработчики проходят обучение по информационной безопасности раз в год или чаще.

  • В командах поддерживается культура безопасной разработки.

16.10. Использовать принципы безопасного проектирования в архитектуре приложений.
  • Используются лучшие практики, такие как: валидация полей ввода, минимизация площади атаки, контроль стандартных учетных записей на сервере. 

  • Проверки безопасности проводятся для любого пользовательского ввода.

16.11. Использовать проверенные модули или службы для компонентов безопасности приложений.
  • Используются проверенные модули для шифрования, ведения журналов и управления идентификацией пользователей.

  • Для обеспечения критичных компонентов безопасности используются платформенные функции.

Максимальный:

16.12. Использовать проверки безопасности на уровне кода.
  • Инструменты статического и динамического анализа встроены в жизненный цикл разработки.

16.13. Проводить тестирование на проникновение для приложений (новое).
  • Для поиска уязвимостей в бизнес-логике критичных приложений вместо сканирования кода или автоматических тестов безопасности используется тестирование на проникновение с аутентификацией.

16.14. Проводить моделирование угроз.(новое)

17. Управление реакцией на инциденты ИБ

Минимальное:

17.1. Назначить ответственных за решение инцидентов.
  • Назначены минимум 1 ответственный и 1 замещающий среди сотрудников или от сторонней компании-аутсорсера. 

  • В случае передачи инцидентов безопасности на аутсорсинг от организации назначен ответственный за коммуникацию с аутсорсером.

  • Передана ответственность за координацию процесса работы с инцидентами и документирование результатов в процессе решения инцидента.

17.2. Создать и поддерживать список контактов для обращения по поводу инцидентов безопасности.
  • Составлен список заинтересованных лиц, которые должны получить уведомление об инциденте.

  • Список пересматривается раз в год или чаще.

17.3. Наладить и поддерживать процессы приема и обработки обращений об инцидентах безопасности.
  • Процесс включает временные рамки реагирования на инцидент, механизм обращения, минимальную информацию для создания инцидента.

  • Процедура известна всем сотрудникам компании.

Расширенное:

17.4. Наладить и поддерживать процессы ответа на обращения по поводу инцидентов.
  • Процесс включает роли и обязанности, показатели работы и план коммуникации по поводу инцидента.

17.5. Прописать ключевые роли и обязанности.
  • План регулирования инцидентов включает сценарии с привлечением юристов, специалистов по ИТ и ИБ, служб PR, HR и аналитиков, если необходимо.

17.6. Определить механизмы коммуникации в процессе решения инцидентов (новое).
  • План учитывает, какое средство коммуникации в разных случаях является приоритетным: мессенджер, электронная почта, телефон. 

17.7. Проводить регулярные учения по решению инцидентов безопасности.
  • Учебные сценарии включают взаимодействие заинтересованных лиц и позволяют тестировать постановку задач, процессы коммуникации и принятия решений. 

17.8. Проводить разбор и анализ решений инцидентов.(новое)

Максимальное:

17.9. Создать и поддерживать классификацию инцидентов.
  • Сценарий реагирования разработан для разных событий безопасности: подозрительной активности, обнаруженной уязвимости, утечки информации и так далее. 

18. Тестирование на проникновение

Расширенное:

18.1. Создать и поддерживать программу тестирования на проникновение.

18.2. Проводить регулярные внешние тесты на проникновение.

18.3. Устранять уязвимости, найденные в результате тестов на проникновение.

Максимальное:

18.4. Подтвердить эффективность мер безопасности по итогам теста.(новое)

18.5. Проводить регулярные внутренние тесты на проникновение.

С полными рекомендациями на английском можно ознакомиться здесь: CIS Controls 8. 

На наш взгляд, список интересный, хоть и не обошелся без слишком общих и размытых формулировок. Если заметили что-то интересное, давайте обсудим в комментариях.

© Habrahabr.ru