独联体控制评估规范

网络安全中心(CIS)和站得住脚的一起合作,创建了一个指南,帮助客户了解如何实施CIS控制。从无排名前20位的控制几年前出版,站得住脚的不断帮助客户利用成立安全中心理解他们的安全姿势使用这些控件。独联体控制版本7.1引入了实现团体(IGs)的概念,这是自我评价类别的组织基于特定的网络安全属性。安全社区评估控制和确定这些20控制合理的组织实施。其他标准,如网络安全成熟度模型认证(CMMC)和网络安全框架(CSF)也有一个分层的方法来部署。通过分组控制分为三个类别,实现更容易理解和融入安全操作。

本指南是专注于实现组1 (IG1);然而,许多控制要求的输入来自主动或被动网络扫描。是站得住脚的网络曝光和脆弱性管理公司,任何将最好的服务组织提供了指导成立安全中心连续的观点部署使用主动和被动扫描。站不住脚的控制无法直接协助,建议如何使用站得住脚的产品将提供援助的成功完成控制。

20 CIS控制分为三类:基础和组织基础。的基本控制(前六控制)通常被称为“网络卫生”控制。这些控件关注基本安全指导方针;例如,配置管理、漏洞评估,持续的监控。下一组,基本的控制(7 - 16),使一个组织能够建立一个框架,一个好的安全程序。最后的一类,组织的控制(最后四个控制)对人们和过程提供更多的指导。

站得住脚的协助组织负责网络安全项目的成功的网络安全的五个步骤。这五个步骤是发现、评估、分析、修正和测量。对于IG1组织来说,这五个步骤使密切与努力在基础和基本类别。网络卫生是前六的重点控制,这些行动与发现步骤一致。从控制1 & 2,组织开始发现硬件和软件资产。剩下的步骤评估、分析解决在剩下的控制和测量。控制3、4、5、8、11都是站不住脚的关键方面的核心能力来帮助评估风险。对于其他类别,站得住脚的通常可以帮助配置问题或情景语境的理解基于发现的漏洞。

通过结合站得住脚的网络安全的五个步骤成功和独联体控制到一个统一的过程,一个组织可以更容易地获得他们的网络。使用CIS控制评估规范(CAS)作为一个详细的指南,安全漏洞管理团队可以很容易地使他们的努力以满足CIS控制需求。使用CAS中的输入和措施,安全团队可以实施控制和使用成立安全中心作为许多真理的来源控制,和其他控件中的数据成立安全中心将增加价值。

本指南提供了一个为每个CIS控制部分,并为每个副程式。查询和仪表板提供用例的例子。安全团队可以按照中科院,本指南更成功部署的顺式控制。