Scribd
Загрузить
380 просмотров70 страниц

CIS Controls Version 8 Ru

Загружено:

nibsectest
Авторское право
© © All Rights Reserved
Мы серьезно относимся к защите прав на контент. Если вы подозреваете, что это ваш контент, заявите об этом здесь.
Доступные форматы
Скачать в формате XLSX, PDF, TXT или читать онлайн в Scribd
380 просмотров70 страниц

CIS Controls Version 8 Ru

Загружено:

nibsectest
Авторское право
© © All Rights Reserved
Мы серьезно относимся к защите прав на контент. Если вы подозреваете, что это ваш контент, заявите об этом здесь.
Доступные форматы
Скачать в формате XLSX, PDF, TXT или читать онлайн в Scribd

Contact Information

CIS
31 Tech Valley Drive
East Greenbush, NY 12061
518.266.3460
controlsinfo@[Link]

Editor
Valecia Stocchetti

Contributors
Ginger Anderson
Robin Regnier
CIS Controls Navigator
Не забудьте скачать CIS Critical Security Controls® (CIS Controls®) Version 8 Guide, где вы можете
узнать больше о:

- Этой версии CIS Controls


- Экосистеме CIS Controls
- С чего начать
- Использовании или переходе с предыдущих версий CIS Controls
- Структуре CIS Controls
- Группах реализации
- Почему эти CIS Control являются критичными
- Процедурах и инструментах
[Link]

Бесплатный инструмент с динамическим списком мер безопасности CIS, которые можно


фильтровать по группам реализации и сопоставлениям с разными фреймворками.
[Link]

Присоединяйтесь сообществу, где вы сможете обсудить CIS Controls с глобальной армией


экспертов и волонтеров.
[Link]
№ № меры Функция
Тип актива
контроля защиты безопасности

1 1.1 Оборудование Идентификация

1 1.2 Оборудование Реагирование

1 1.3 Оборудование Обнаружение

1 1.4 Оборудование Идентификация

1 1.5 Оборудование Обнаружение

2
2 2.1 Приложения Идентификация

2 2.2 Приложения Идентификация

2 2.3 Приложения Реагирование

2 2.4 Приложения Обнаружение

2 2.5 Приложения Защита

2 2.6 Приложения Защита

2 2.7 Приложения Защита

3 3.1 Данные Идентификация

3 3.2 Данные Идентификация


3 3.3 Данные Защита

3 3.4 Данные Защита

3 3.5 Данные Защита

3 3.6 Оборудование Защита

3 3.7 Данные Идентификация

3 3.8 Данные Идентификация

3 3.9 Данные Защита

3 3.10 Данные Защита

3 3.11 Данные Защита

3 3.12 Сеть Защита

3 3.13 Данные Защита

3 3.14 Данные Обнаружение

4
4 4.1 Приложения Защита

4 4.2 Сеть Защита

4 4.3 Пользователи Защита

4 4.4 Оборудование Защита

4 4.5 Оборудование Защита

4 4.6 Сеть Защита

4 4.7 Пользователи Защита

4 4.8 Оборудование Защита

4 4.9 Оборудование Защита

4 4.10 Оборудование Реагирование


4 4.11 Оборудование Защита

4 4.12 Оборудование Защита

5 5.1 Пользователи Идентификация

5 5.2 Пользователи Защита

5 5.3 Пользователи Реагирование

5 5.4 Пользователи Защита

5 5.5 Пользователи Идентификация

5 5.6 Пользователи Защита

6 6.1 Пользователи Защита

6 6.2 Пользователи Защита


6 6.3 Пользователи Защита

6 6.4 Пользователи Защита

6 6.5 Пользователи Защита

6 6.6 Пользователи Идентификация

6 6.7 Пользователи Защита

6 6.8 Данные Защита

7 7.1 Приложения Защита

7 7.2 Приложения Реагирование

7 7.3 Приложения Защита

7 7.4 Приложения Защита

7 7.5 Приложения Идентификация

7 7.6 Приложения Идентификация


7 7.7 Приложения Реагирование

8 8.1 Сеть Защита

8 8.2 Сеть Обнаружение

8 8.3 Сеть Защита

8 8.4 Сеть Защита

8 8.5 Сеть Обнаружение

8 8.6 Сеть Обнаружение

8 8.7 Сеть Обнаружение

8 8.8 Оборудование Обнаружение

8 8.9 Сеть Обнаружение


8 8.10 Сеть Защита
8 8.11 Сеть Обнаружение

8 8.12 Данные Обнаружение

9 9.1 Приложения Защита

9 9.2 Сеть Защита


9 9.3 Сеть Защита

9 9.4 Приложения Защита

9 9.5 Сеть Защита

9 9.6 Сеть Защита

9 9.7 Сеть Защита

10

10 10.1 Оборудование Защита

10 10.2 Оборудование Защита

10 10.3 Оборудование Защита

10 10.4 Оборудование Обнаружение

10 10.5 Оборудование Защита

10 10.6 Оборудование Защита

10 10.7 Оборудование Обнаружение


11

11 11.1 Данные Восстановление

11 11.2 Данные Восстановление

11 11.3 Данные Защита

11 11.4 Данные Восстановление

11 11.5 Данные Восстановление

12

12 12.1 Сеть Защита

12 12.2 Сеть Защита

12 12.3 Сеть Защита

12 12.4 Сеть Идентификация

12 12.5 Сеть Защита

12 12.6 Сеть Защита

12 12.7 Оборудование Защита


12 12.8 Оборудование Защита

13

13 13.1 Сеть Обнаружение

13 13.2 Оборудование Обнаружение

13 13.3 Сеть Обнаружение

13 13.4 Сеть Защита

13 13.5 Оборудование Защита

13 13.6 Сеть Обнаружение

13 13.7 Оборудование Защита

13 13.8 Сеть Защита

13 13.9 Оборудование Защита

13 13.10 Сеть Защита

13 13.11 Сеть Обнаружение


14

Не применимо
14 14.1 Защита
(N/A)

Не применимо
14 14.2 Защита
(N/A)

Не применимо
14 14.3 Защита
(N/A)

Не применимо
14 14.4 Защита
(N/A)

Не применимо
14 14.5 Защита
(N/A)

Не применимо
14 14.6 Защита
(N/A)

Не применимо
14 14.7 Защита
(N/A)

Не применимо
14 14.8 Защита
(N/A)

Не применимо
14 14.9 Защита
(N/A)
15

Не применимо
15 15.1 Идентификация
(N/A)

Не применимо
15 15.2 Идентификация
(N/A)

Не применимо
15 15.3 Идентификация
(N/A)

Не применимо
15 15.4 Защита
(N/A)

Не применимо
15 15.5 Идентификация
(N/A)

15 15.6 Данные Обнаружение

15 15.7 Данные Защита

16
16 16.1 Приложения Защита

16 16.2 Приложения Защита

16 16.3 Приложения Защита

16 16.4 Приложения Защита

16 16.5 Приложения Защита

16 16.6 Приложения Защита


16 16.7 Приложения Защита

16 16.8 Приложения Защита

16 16.9 Приложения Защита

16 16.10 Приложения Защита

16 16.11 Приложения Защита

16 16.12 Приложения Защита

16 16.13 Приложения Защита


16 16.14 Приложения Защита

17

Не применимо
17 17.1 Реагирование
(N/A)

Не применимо
17 17.2 Реагирование
(N/A)

Не применимо
17 17.3 Реагирование
(N/A)

Не применимо
17 17.4 Реагирование
(N/A)

Не применимо
17 17.5 Реагирование
(N/A)
Не применимо
17 17.6 Реагирование
(N/A)

Не применимо
17 17.7 Восстановление
(N/A)

Не применимо
17 17.8 Восстановление
(N/A)

Не применимо
17 17.9 Восстановление
(N/A)

18

Не применимо
18 18.1 Идентификация
(N/A)

18 18.2 Сеть Идентификация

18 18.3 Сеть Защита

18 18.4 Сеть Защита

Не применимо
18 18.5 Идентификация
(N/A)
Наименование

Инвентаризация и контроль
активов предприятия

Создание и ведение подробного


реестра активов предприятия

Работа с неавторизованными
активами

Используйте инструмент
активного обнаружения

Используйте Dynamic Host


Configuration Protocol (DHCP)
Logging для обновления реестра
активов предприятия

Используйте инструмент
пассивного обнаружения активов

Инвентаризация и контроль
программных активов
Создание и ведение реестра
программного обеспечения

Убедитесь в том, что


авторизованное программное
обеспечение поддерживается
производителем в настоящее
время

Борьба с неавторизованным
программным обеспечением

Используйте
автоматизированные
инструменты инвентаризации
программного обеспечения

Белый список авторизованного


программного обеспечения

Белый список авторизованных


библиотек

Белый список авторизованных


скриптов

Защита данных

Создание и поддержка процесса


управления данными

Создание и поддержка реестра


(инвентаризации) данных
Настройка списков контроля
доступа к данным

Обеспечение хранения данных

Безопасное удаление данных

Шифрование данных на
устройствах конечных
пользователей

Создание и поддержание схемы


классификации данных

Документируйте потоки данных

Шифрование данных на съемных


носителях
Шифрование чувствительных
данных при передаче

Шифрование чувствительных
данных в состоянии покоя

Сегментация обработки и
хранения данных на основе
чувствительности

Разверните решение для защиты


от утечки данных

Логируйте доступ к
чувствительным данным

Безопасная конфигурация
корпоративных активов и
программного обеспечения
Установите и поддерживайте
процесс безопасной
конфигурации

Установите и поддерживайте
процесс безопасной
конфигурации для сетевой
инфраструктуры

Настройка автоматической
блокировки сеансов на
корпоративных ресурсах

Внедрение и управление
межсетевым экраном на
серверах
Внедрение и управление
межсетевым экраном на
устройствах конечного
пользователя

Безопасное управление
корпоративными активами и
программным обеспечением

Управление учетными записями


по умолчанию для
корпоративных активов и
программного обеспечения
Удаление или отключение
неиспользуемых служб в
корпоративных активах и
программном обеспечении
Настройка доверенных DNS-
серверов на корпоративных
ресурсах

Обеспечьте возможность
автоматической блокировки
устройств на портативных
устройствах конечных
пользователей
Обеспечьте возможность
удаленной очистки данных на
портативных устройствах
конечных пользователей

Обеспечьте отделение
корпоративной рабочей области
на мобильных устройствах
конечных пользователей

Управление учетными
записями

Создание и поддержка реестра


учетных записей

Используйте уникальные пароли

Отключение неактивных учетных


записей
Ограничение прав
администратора выделенными
учетными записями
администраторов

Создайте и поддерживайте
реестр сервисных учетных
записей

Централизованное управление
учетными записями

Управление доступом

Установите процесс
предоставления доступа

Установите процесс отзыва


доступа
Требовать MFA для внешних
(доступных из вне) приложений

Требовать MFA для удаленного


доступа к сети

Требовать MFA для


административного доступа

Создание и поддержание
реестра систем аутентификации
и авторизации
Централизованный контроль
доступа

Определение и поддержка
ролевого управления доступом

Непрерывное управление
уязвимостями

Создание и поддержание
процесса управления
уязвимостями
Установите и поддерживайте
процесс управления
исправлениями
Выполнение автоматического
управления исправлениями
операционной системы
Выполнение автоматического
управления исправлениями
приложений

Выполнение
автоматизированного
сканирования уязвимостей
внутренних активов предприятия

Выполнение
автоматизированного
сканирования уязвимостей
корпоративных активов,
доступных извне
Устранение обнаруженных
уязвимостей

Управление журналами аудита

Создание и поддержание
процесса управления журналами
аудита

Сбор журналов аудита

Обеспечьте адекватное
хранилище для журналов аудита

Стандартизируйте
синхронизацию времени

Сбор подробных журналов


аудита

Сбор журналов аудита DNS-


запросов
Сбор журналов аудита запросов
URL
Сбор журналов аудита
командной строки
Централизация журналов аудита
Хранение журналов аудита
Проведение проверок журналов
аудита

Сбор журналов аудита


поставщиков услуг

Защита электронной почты и


веб-браузера

Обеспечьте использование
только полностью
поддерживаемых браузеров и
почтовых клиентов
Используйте службы DNS-
фильтрации
Поддерживайте и применяйте
сетевые фильтры URL-адресов

Ограничьте ненужные или


несанкционированные
расширения браузера и
почтового клиента

Внедрите DMARC

Блокировать ненужные типы


файлов
Развертывание и поддержка
средств защиты почтового
сервера от вредоносных
программ
Защита от вредоносных
программ
Развертывание и поддержка
программного обеспечения для
защиты от вредоносных
программ
Настройка автоматического
обновления сигнатур защиты от
вредоносных программ
Отключение автозапуска и
автовоспроизведения для
съемных носителей
Настройка автоматического
сканирования съемных
носителей на наличие
вредоносных программ

Включение функций защиты от


эксплуатации

Централизованное управление
программным обеспечением для
защиты от вредоносных
программ
Используйте программное
обеспечение для защиты от
вредоносных программ,
основанное на поведении
Восстановление данных

Установите и поддерживайте
процесс восстановления данных

Выполнение автоматического
резервного копирования

Защита резервных копий

Создание и поддержка
изолированного экземпляра
данных для восстановления

Тестирование резервных копий

Управление сетевой
инфраструктурой

Убедитесь, что сетевая


инфраструктура обновлена

Установите и поддерживайте
безопасную сетевую архитектуру

Безопасное управление сетевой


инфраструктурой

Создание и поддержка
архитектурных диаграмм (схем
сети)
Централизованная сетевая
аутентификация, авторизация и
аудит (AAA)
Использование безопасных
протоколов управления сетью и
передачи данных

Убедитесь, что удаленные


устройства используют VPN и
подключаются к корпоративной
инфраструктуре AAA
Создание и поддержание
выделенных вычислительных
ресурсов для всей
административной работы

Мониторинг и защита сети

Централизованное оповещение о
событиях безопасности

Развертывание решения для


обнаружения вторжений на
основе хоста
Развертывание решения для
обнаружения вторжений на
основе сети

Выполняйте фильтрацию
трафика между сегментами сети

Управление контролем доступа к


удаленным ресурсам

Сбор журналов потоков сетевого


трафика
Развертывание решения для
предотвращения вторжений на
основе хоста
Развертывание сетевого
решения для предотвращения
вторжений

Развертывание контроля доступа


на уровне порта

Выполнение фильтрации на
уровне приложений

Настройка порогов оповещения о


событиях безопасности
Осведомленность и обучение
навыкам в области
безопасности

Создать и поддерживать
программу повышения
осведомленности в области
безопасности

Обучение сотрудников
распознавать атаки социальной
инженерии

Обучите сотрудников передовым


методам аутентификации

Обучение персонала передовым


методам обработки данных

Обучите сотрудников причинам


непреднамеренного раскрытия
данных

Обучите сотрудников
распознавать инциденты
безопасности и сообщать о них

Обучите персонал тому, как


определять и сообщать, если их
корпоративные активы не имеют
обновлений безопасности

Обучите персонал опасностям


подключения и передачи
корпоративных данных по
небезопасным сетям

Проведение обучения по
вопросам безопасности и
навыкам для конкретных ролей
Управление поставщиками
услуг

Создание и ведение реестра


поставщиков услуг

Создание и поддержание
политики управления
поставщиками услуг

Проведите классификацию
поставщиков услуг

Убедитесь, что контракты с


поставщиками услуг включают
требования безопасности

Проведите оценку поставщиков


услуг

Мониторинг поставщиков услуг

Обеспечение безопасности при


прекращении использования
услуг поставщика

Безопасность прикладного
программного обеспечения
Создание и поддержка
безопасного процесса
разработки приложений

Установить и поддерживать
процесс принятия и устранения
уязвимостей программного
обеспечения

Выполнение анализа корневых


причин уязвимостей
безопасности

Создавайте и управляйте
инвентаризацией сторонних
программных компонентов

Используйте обновленные и
надежные (доверенные)
сторонние программные
компоненты (Use Up-to-Date and
Trusted Third-Party Software
Components)

Создание и поддержание
системы и процесса оценки
серьезности уязвимостей
приложений
Используйте стандартные
шаблоны конфигурации
безопасности для
инфраструктуры приложений

Разделите производственные и
непроизводственные системы

Обучайте разработчиков
концепциям безопасности
приложений и безопасному
программированию

Применение принципов
безопасного проектирования в
архитектурах приложений

Используйте проверенные
модули или службы для
компонентов безопасности
приложений

Внедрение проверок
безопасности на уровне кода

Проводите тестирование
приложений на проникновение
Проведение моделирования
угроз

Управление реагированием на
инциденты

Назначьте персонал для


управления обработкой
инцидентов

Создание и поддержание
контактной информации для
сообщения об инцидентах
безопасности (Establish and
Maintain Contact Information for
Reporting Security Incidents)

Создание и поддержание
корпоративного процесса
отчетности об инцидентах

Установите и поддерживайте
процесс реагирования на
инциденты

Распределите ключевые роли и


обязанности
Определите механизмы для
связи во время реагирования на
инцидент

Проведение плановых учений по


реагированию на инциденты

Проведение пост-инцидентного
обзора

Установите и поддерживайте
пороговые значения инцидентов
безопасности

Тестирование на
проникновение

Создайте и поддерживайте
программу тестирования на
проникновение

Выполнение периодических
внешних тестов на
проникновение

Исправление уязвимостей,
обнаруженных в ходе теста на
проникновение

Проверка мер безопасности

Выполнение периодических
внутренних тестов на
проникновение
Описание

Активно управлять (инвентаризация, отслеживание и исправление) всеми активами


предприятия (устройствами конечных пользователей, включая портативные и мобильны
сетевыми устройствами, некомпьютерными устройствами/устройствами Интернета
вещей (IoT) и серверами), подключенными к инфраструктуре физически, виртуально,
удаленно и в облачных средах, чтобы точно знать все активы, которые необходимо
отслеживать и защищать на предприятии. Это также поможет идентифицировать
несанкционированные и неуправляемые активы для удаления или исправления.

Создание и поддержание точной, подробной и актуальной инвентаризации всех активов предприяти


способных хранить или обрабатывать данные, включая: устройства конечных пользователей (в том
числе портативные и мобильные), сетевые устройства, некомпьютерные устройства/IoT. устройств
серверов. Убедитесь, что в инвентаризации записаны сетевой адрес (если он статический), адрес
оборудования, имя компьютера, владелец актива предприятия, отдел для каждого актива, а также
было ли разрешено подключение актива к сети. Для мобильных устройств конечных пользователей
инструменты типа MDM могут поддерживать этот процесс, где это необходимо. Этот инвентарь
включает активы, подключенные к инфраструктуре физически, виртуально, удаленно и в облачных
средах. Кроме того, сюда входят активы, которые регулярно подключаются к сетевой инфраструкту
предприятия, даже если они не находятся под контролем предприятия. Проверяйте и обновляйте
инвентаризацию всех корпоративных активов раз в два года или чаще.

Убедитесь, что существует процесс еженедельного устранения несанкционированных активов.


Предприятие может удалить актив из сети, запретить удаленное подключение актива к сети или
поместить актив в карантин.

Используйте инструмент активного обнаружения для идентификации активов, подключенных к


корпоративной сети. Настройте инструмент активного обнаружения для запуска ежедневно или чащ

Используйте ведение журнала DHCP на всех DHCP-серверах или инструменты управления IP-
адресами для обновления инвентаризации активов предприятия. Просматривайте и используйте
журналы для обновления инвентаризации активов предприятия еженедельно или чаще.

Используйте инструмент пассивного обнаружения для идентификации активов, подключенных к


корпоративной сети. Проверяйте и используйте сканирование для обновления инвентаризации акти
предприятия не реже одного раза в неделю или чаще.
Активно управлять (инвентаризация, отслеживание и исправление) всем программным
обеспечением (операционными системами и приложениями) в сети, чтобы только
разрешенное программное обеспечение устанавливалось и могло выполняться, а
неавторизованное и неуправляемое программное обеспечение обнаруживалось и
предотвращалась его установка или запуск.
Создание и ведение подробного реестра всего лицензионного программного обеспечения,
установленного на корпоративных активах. Реестр программного обеспечения должен
документировать название, разработчика, начальную дату установки/использования и бизнес-цель
каждой записи; при необходимости укажите унифицированный указатель ресурсов (URL), магазины
приложений, версию (версии), механизм развертывания и дату вывода из эксплуатации. Проверяйт
обновляйте реестр программного обеспечения раз в два года или чаще.

Убедитесь, что только поддерживаемое в настоящее время программное обеспечение обозначено


авторизованное в реестре программного обеспечения для активов предприятия. Если программное
обеспечение не поддерживается, но необходимо для выполнения миссии предприятия,
задокументируйте исключение с подробным описанием средств контроля и принятия остаточного
риска. Любое неподдерживаемое программное обеспечение без документированного исключения
должно быть обозначено как неавторизованное. Просматривайте реестр программного обеспечени
чтобы проверять поддержку программного обеспечения не реже одного раза в месяц или чаще.

Убедитесь, что неавторизованное программное обеспечение либо удалено из использования на


корпоративных ресурсах, либо получает задокументированное исключение. Проверяйте ежемесячн
или чаще.

По возможности используйте инструменты инвентаризации программного обеспечения на


предприятии, чтобы автоматизировать обнаружение и документирование установленного
программного обеспечения.

Используйте технические средства контроля, такие как белые списки разрешенных приложений, что
гарантировать, что только авторизованное программное обеспечение может выполняться или к нем
можно получить доступ. Пересматривайте списки два раза в год или чаще.

Используйте технические средства контроля, чтобы гарантировать, что только авторизованные


программные библиотеки, такие как определенные файлы .dll, .ocx, .so и т. д., могут загружаться в
системный процесс. Блокировать неавторизованные библиотеки от загрузки в системный процесс.
Пересматривайте два раза в год или чаще.
Используйте технические средства управления, такие как цифровые подписи и контроль версий, чт
обеспечить выполнение только авторизованных сценариев, таких как определенные файлы .ps1, .p
т. д. Блокируйте выполнение неавторизованных скриптов. Проводите повторную оценку два раза в
или чаще.
Разработайте процессы и технические средства контроля для идентификации,
классификации, безопасной обработки, хранения и уничтожения данных.
Установите и поддерживайте процесс управления данными. При этом учитывайте
конфиденциальность данных, владельца данных, обработку данных, пределы хранения данных и
требования к удалению на основе корпоративных стандартов конфиденциальности и хранения.
Проверяйте и обновляйте документацию ежегодно или в случае значительных изменений на
предприятии, которые могут повлиять на эту меру безопасности.
Создайте и поддерживайте реестр (инвентаризацию) данных на основе процесса управления данны
предприятия. Конфиденциальные данные инвентаря, как минимум. Просматривайте и обновляйте
реестр (инвентаризацию) как минимум ежегодно, уделяя приоритетное внимание конфиденциальны
данным.
Настройте списки контроля доступа к данным в соответствии с потребностями пользователя.
Применяйте списки управления доступом к данным, также известные как права доступа, к локальны
удаленным файловым системам, базам данных и приложениям.
Храните данные в соответствии с процессом управления данными предприятия. Хранение данных
должно включать как минимальные, так и максимальные сроки.
Безопасно утилизируйте данные, как указано в процессе управления данными предприятия.
Убедитесь, что процесс и метод утилизации соответствуют конфиденциальности данных.
Шифруйте данные на устройствах конечных пользователей, содержащие конфиденциальные данны
Примеры реализации могут включать: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.

Создайте и поддерживайте общую схему классификации данных для предприятия. Предприятия мо


использовать ярлыки, такие как «Строго конфиденциально», «Конфиденциально» и «Общедоступно
и классифицировать свои данные в соответствии с этими ярлыками. Ежегодно пересматривайте и
обновляйте схему классификации или когда происходят существенные изменения на предприятии,
которые могут повлиять на данную меру безопасности.
Документируйте потоки данных. Документация по потокам данных включает потоки данных
поставщиков услуг и должна основываться на процессе управления данными предприятия. Проверя
и обновляйте документацию ежегодно или в случае значительных изменений на предприятии, котор
могут повлиять на эту меру безопасности.

Шифрование данных на съемных носителях.


Шифруйте конфиденциальные данные при передаче. Примеры реализации могут включать: Transpo
Layer Security (TLS) и Open Secure Shell (OpenSSH).

Шифруйте конфиденциальные данные в состоянии покоя на серверах, в приложениях и базах данн


содержащих конфиденциальные данные. Шифрование на уровне хранилища, также известное как
шифрование на стороне сервера, соответствует минимальным требованиям этой меры безопаснос
Дополнительные методы шифрования могут включать шифрование на уровне приложений, также
известное как шифрование на стороне клиента, когда доступ к устройству (устройствам) хранения
данных не разрешает доступ к открытым текстовым данным.

Сегментируйте обработку и хранение данных на основе конфиденциальности данных. Не


обрабатывайте конфиденциальные данные о корпоративных активах, предназначенных для данных
более низким уровнем конфиденциальности.
Внедрите автоматизированный инструмент, такой как инструмент предотвращения утечки данных
(DLP) на хосте, для выявления всех конфиденциальных данных, хранящихся, обрабатываемых или
передаваемых через активы предприятия, включая те, которые расположены на месте или у
удаленного поставщика услуг, и обновляйте реестр конфиденциальных данных предприятия.

Логируйте доступ к чувствительным данным, включая изменение и удаление.

Установите и поддерживайте безопасную конфигурацию корпоративных активов


(устройства конечных пользователей, в том числе портативные и мобильные, сетевые
устройства, некомпьютерные устройства/устройства IoT и серверы) и программного
обеспечения (операционные системы и приложения).
Установите и поддерживайте процесс безопасной конфигурации для корпоративных активов
(устройства конечных пользователей, в том числе портативные и мобильные, некомпьютерные/IoT-
устройства и серверы) и программного обеспечения (операционные системы и приложения).
Проверяйте и обновляйте документацию ежегодно или в случае значительных изменений на
предприятии, которые могут повлиять на эту меру безопасности.

Установите и поддерживайте процесс безопасной конфигурации для сетевых устройств. Проверяйт


обновляйте документацию ежегодно или в случае значительных изменений на предприятии, которы
могут повлиять на эту меру безопасности.

Настройте автоматическую блокировку сеансов для корпоративных активов после определенного


периода бездействия. Для операционных систем общего назначения период не должен превышать
минут. Для мобильных устройств конечного пользователя этот период не должен превышать 2 мину

Внедрите и управляйте межсетевым экраном на серверах, где это поддерживается. Примеры


реализации включают виртуальный межсетевой экран, межсетевой экран операционной системы ил
сторонний агент ПО межсетевого экрана.

Внедрите и управляйте межсетевым экраном или инструментом фильтрации портов на устройствах


конечных пользователей с правилом запрета по умолчанию, которое отбрасывает весь трафик, кро
явно разрешенных служб и портов.

Безопасно управляйте корпоративными активами и программным обеспечением. Примеры реализа


включают управление конфигурацией через инфраструктуру как код с контролем версий и доступ к
административным интерфейсам по безопасным сетевым протоколам, таким как Secure Shell (SSH)
Hypertext Transfer Protocol Secure (HTTPS). Не используйте небезопасные протоколы управления, та
как Telnet (Teletype Network) и HTTP, если это не является критичным с точки зрения эксплуатации.
Управляйте учетными записями по умолчанию для корпоративных активов и программного
обеспечения, такими как учетные записи root, администратор и другие предварительно настроенны
учетные записи поставщиков. Примеры реализации могут включать в себя: отключение учетных
записей по умолчанию или исключение возможности их использования.

Удалите или отключите неиспользуемые службы на корпоративных активах и программном


обеспечении, например неиспользуемую службу обмена файлами, модуль веб-приложения или дру
сервисные функции.

Настройте доверенные DNS-серверы на корпоративных ресурсах. Примеры реализации включают:


настройку активов для использования DNS-серверов, контролируемых предприятием, и/или надежн
внешних DNS-серверов.

Обеспечьте автоматическую блокировку устройства после достижения заданного порога неудачных


локальных попыток аутентификации на портативных устройствах конечных пользователей, если это
поддерживается. Для ноутбуков не допускайте более 20 неудачных попыток аутентификации; для
планшетов и смартфонов не более 10 неудачных попыток аутентификации. Примеры реализации
включают Microsoft® InTune Device Lock и Apple® Configuration Profile maxFailedAttempts.
Удаленно стирайте корпоративные данные с корпоративных портативных устройств конечных
пользователей, когда это будет сочтено целесообразным, например, с потерянных или украденных
устройств, или когда у физического лица больше нет необходимости и/или основания для
взаимодействия с предприятием.

Убедитесь, что на мобильных устройствах конечных пользователей используются отдельные


корпоративные рабочие области, если это поддерживается. Примеры реализации включают
использование Apple® Configuration Profile или Android™ Work Profile для отделения корпоративных
приложений и данных от личных приложений и данных.

Используйте процессы и инструменты для управления авторизацией учетных данных дл


учетных записей пользователей, включая учетные записи администратора, а также
учетные записи служб, для корпоративных активов и программного обеспечения.

Создайте и поддерживайте реестр всех учетных записей, управляемых на предприятии. Реестр дол
включать учетные записи пользователей и администраторов. Реестр, как минимум, должен содержа
имя человека, имя пользователя, даты начала/конца и отдел. Проверяйте авторизацию всех активн
учетных записей по повторяющемуся графику не реже одного раза в квартал или чаще.

Используйте уникальные пароли для всех активов предприятия. Оптимальная реализация включае
как минимум 8-значный пароль для учетных записей, использующих MFA, и 14-значный пароль для
учетных записей, не использующих MFA.
Удалите или отключите все неактивные учетные записи после периода бездействия в течение 45 дн
если это поддерживается.

Ограничьте привилегии администратора выделенными учетными записями администратора на


корпоративных активах. Выполняйте общие вычислительные действия, такие как просмотр Интерне
электронная почта, с использованием основной непривилегированной учетной записи пользователя

Создание и ведение реестра сервисных учетных записей. Реестр, как минимум, должен содержать
информацию о владельце, дате проверки и цели. Выполняйте проверки сервисных учетных записей
чтобы убедиться, что все активные учетные записи авторизованы, по повторяющемуся графику не
реже одного раза в квартал или чаще.
Централизованное управление учетными записями с использованием службы каталогов или службы
идентификации.
Используйте процессы и инструменты для создания, назначения, управления и отзыва
учетных данных и прав доступа для пользователей, администраторов и учетных записе
служб для корпоративных активов и программного обеспечения.
Установите и соблюдайте процесс, предпочтительно автоматизированный, для предоставления
доступа к активам предприятия при приеме на работу, предоставлении прав или изменении роли
пользователя.
Установите и соблюдайте процесс, предпочтительно автоматизированный, для отзыва доступа к
активам предприятия путем отключения учетных записей сразу после прекращения действия, отзыв
прав или изменения роли пользователя. Отключение учетных записей вместо их удаления может бы
необходимо для сохранения журналов аудита.
Требовать, чтобы все открытые извне корпоративные или сторонние приложения применяли MFA, г
это поддерживается. Применение MFA через службу каталогов или SSO провайдера -
удовлетворительная реализация этой меры безопасности.

Требовать MFA для удаленного доступа к сети.

Требовать MFA для всех учетных записей с административным доступом, где это поддерживается,
всех корпоративных ресурсов, независимо от того, управляются ли они на месте или через сторонн
поставщика.
Создайте и поддерживайте реестр систем аутентификации и авторизации предприятия, включая те
которые размещены на месте или у удаленного поставщика услуг. Проверяйте и обновляйте реестр
как минимум, ежегодно или чаще.
Централизованное управление доступом ко всем активам предприятия с помощью службы каталого
или SSO провайдера, если это поддерживается.
Определять и поддерживать управление доступом на основе ролей путем определения и
документирования прав доступа, необходимых каждой роли на предприятии для успешного
выполнения возложенных на нее обязанностей. Выполняйте проверки управления доступом к
корпоративным активам, чтобы убедиться, что все привилегии авторизованы, по повторяющемуся
графику не реже одного раза в год или чаще.

Разработайте план постоянной оценки и отслеживания уязвимостей на всех


корпоративных активах в инфраструктуре предприятия, чтобы исправить и свести к
минимуму возможности для злоумышленников. Отслеживайте общедоступные и частны
отраслевые источники для получения новой информации об угрозах и уязвимостях.

Установите и поддерживайте документированный процесс управления уязвимостями для


корпоративных активов. Проверяйте и обновляйте документацию ежегодно или в случае значительн
изменений на предприятии, которые могут повлиять на эту меру безопасности.

Разработайте и поддерживайте риск-ориентированную стратегию установки исправлений,


документированную в процессе исправления, с ежемесячными или более частыми проверками.

Выполняйте обновление операционной системы на корпоративных ресурсах с помощью


автоматического управления обновлениями ежемесячно или чаще.

Выполняйте обновление приложений на корпоративных ресурсах с помощью автоматического


управления обновлениями ежемесячно или чаще.

Выполняйте автоматическое сканирование внутренних активов предприятия на наличие уязвимосте


раз в квартал или чаще. Выполняйте как аутентифицированные, так и неаутентифицированные
сканирования с помощью SCAP-совместимого инструмента сканирования уязвимостей.

Выполняйте автоматическое сканирование уязвимостей корпоративных ресурсов, доступных извне,


помощью SCAP-совместимого инструмента сканирования уязвимостей. Выполняйте сканирование
ежемесячно или чаще.
Устраняйте обнаруженные уязвимости в программном обеспечении с помощью процессов и
инструментов ежемесячно или чаще в зависимости от процесса управления исправлениями.
Собирайте, оповещайте, просматривайте и сохраняйте журналы аудита событий, котор
могут помочь обнаружить, понять или восстановиться после атаки.

Установите и поддерживайте процесс управления журналами аудита, который определяет требован


предприятия к ведению журналов. Как минимум, обеспечьте сбор, просмотр и хранение журналов
аудита корпоративных активов. Проверяйте и обновляйте документацию ежегодно или в случае
значительных изменений на предприятии, которые могут повлиять на эту меру безопасности.

Собирайте журналы аудита. Убедитесь, что логирование включено для всех активов предприятия в
соответствии с процессом управления журналами аудита.

Убедитесь, что места хранения журналов обеспечены достаточным хранилищем для соответствия
корпоративному процессу управления журналами аудита.

Стандартизируйте синхронизацию времени. Настройте не менее двух источников синхронизации


времени на корпоративных активах, если это поддерживается.

Настройте детальное логирование для корпоративных активов, содержащих конфиденциальные


данные. Включите источник события, дату, имя пользователя, отметку времени, адреса источника,
адреса назначения и другие полезные элементы, которые могут помочь в расследовании инцидента

Собирайте журналы аудита DNS-запросов на корпоративных активах, где это применимо и


поддерживается.
Собирайте журналы аудита запросов URL-адресов на корпоративных активах, где это применимо и
поддерживается.
Собирайте журналы аудита командной строки. Примеры реализации включают сбор журналов ауди
из PowerShell®, BASH™ и удаленных административных терминалов.
Централизуйте, насколько это возможно, сбор и хранение журналов аудита для корпоративных
активов.
Сохраняйте журналы аудита корпоративных активов не менее 90 дней.
Проводите проверку журналов аудита, чтобы обнаружить аномалии или аномальные события, котор
могут указывать на потенциальную угрозу. Проводите проверки еженедельно или чаще.
Собирайте журналы аудита поставщиков услуг, если это поддерживается. Примеры реализации
включают сбор событий аутентификации и авторизации, событий создания и уничтожения данных, а
также событий управления пользователями.
Улучшите защиту и обнаружение угроз связанных с использованием веб-браузера и
электронной почты, поскольку это дает злоумышленникам возможность манипулироват
поведением людей посредством прямого взаимодействия.

Убедитесь, что на предприятии разрешено использовать только полностью поддерживаемые брауз


и почтовые клиенты, используя только последние версии браузеров и почтовых клиентов,
предоставленные поставщиком.

Используйте службы DNS-фильтрации на всех корпоративных ресурсах, чтобы заблокировать дост


известным вредоносным доменам.
Применяйте и обновляйте сетевые фильтры URL-адресов, чтобы ограничить подключение
корпоративного актива к потенциально вредоносным или неутвержденным веб-сайтам. Примеры
реализации включают фильтрацию на основе категорий, фильтрацию на основе репутации или
использование черных списков. Применяйте фильтры для всех активов предприятия.

Ограничьте любые неавторизованные или ненужные плагины, расширения и дополнительные


приложения для браузера или почтового клиента, путем удаления или отключения.

Чтобы снизить вероятность подделки или изменения электронных писем с действительных доменов
внедрите политику и проверку DMARC, начиная с внедрения Sender Policy Framework (SPF) и
стандартов DomainKeys Identified Mail (DKIM).

Блокируйте ненужные типы файлов, попадающие на почтовый шлюз предприятия.

Разверните и поддерживайте средства защиты почтового сервера от вредоносных программ, такие


сканирование вложений и/или песочница.

Предотвращайте или контролируйте установку, распространение и выполнение


вредоносных приложений, кода или скриптов на корпоративных ресурсах.

Развертывайте и обслуживайте программное обеспечение для защиты от вредоносных программ н


всех корпоративных активах.

Настройте автоматические обновления для файлов сигнатур защиты от вредоносных программ на в


корпоративных активах.

Отключите функции автозапуска и автовоспроизведения для съемных носителей.

Настройте антивирусное программное обеспечение для автоматического сканирования съемных


носителей.

Включите функции защиты от эксплуатации в корпоративных активах и программном обеспечении,


это возможно, например Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Gua
(WDEG), или Apple® System Integrity Protection (SIP) и Gatekeeper™.

Централизованно управляйте программным обеспечением для защиты от вредоносных программ.

Используйте программное обеспечение для защиты от вредоносных программ, основанное на


поведении.
Разработайте и поддерживайте методы восстановления данных, достаточные для
восстановления корпоративных активов в работоспособное и доверенное состояние (как
инцидента).
Установить и поддерживать процесс восстановления данных. При этом следует учитывать объем
действий по восстановлению данных, расстановку приоритетов восстановления и безопасность
резервных копий. Проверяйте и обновляйте документацию ежегодно или в случае значительных
изменений на предприятии, которые могут повлиять на эту меру безопасности.
Выполняйте автоматизированное резервное копирование корпоративных активов, находящихся в
области действия. Выполняйте резервное копирование еженедельно или чаще, в зависимости от
чувствительности данных.
Обеспечьте защиту резервных копий не хуже чем исходных данных. Используйте шифрование или
разделение данных в зависимости от требований.
Создайте и поддерживайте изолированный экземпляр данных для восстановления. Примеры
реализации включают резервное копирование с использованием автономных, облачных или
удаленных систем или сервисов.
Проверяйте восстановление из резервной копии ежеквартально или чаще для выборки корпоративн
активов, находящихся в области действия.
Устанавливайте, внедряйте и активно управляйте (отслеживайте, сообщайте,
исправляйте) сетевыми устройствами, чтобы предотвратить использование
злоумышленниками уязвимых сетевых служб и точек доступа.

Обеспечение актуальности сетевой инфраструктуры. Примеры реализации включают запуск


последней стабильной версии программного обеспечения и/или использование поддерживаемых в
настоящее время предложений network-as-a-service (NaaS). Проверяйте версии программного
обеспечения ежемесячно или чаще, чтобы проверить наличие поддержки программного обеспечени

Создайте и поддерживайте безопасную сетевую архитектуру. Безопасная сетевая архитектура долж


как минимум обеспечивать сегментацию, минимальные привилегии и доступность.

Безопасное управление сетевой инфраструктурой. Примеры реализации включают инфраструктуру


код с контролем версий (version-controlled-infrastructure-as-code) и использование безопасных сетев
протоколов, таких как SSH и HTTPS.
Создайте и поддерживайте архитектурную схему (диаграммы) и/или другую документацию по сетев
инфраструктуре. Проверяйте и обновляйте документацию ежегодно или в случае значительных
изменений на предприятии, которые могут повлиять на эту меру безопасности.

Централизация аутентификации, авторизации и аудита (AAA) в сети.

Используйте безопасные протоколы управления сетью и передача (например, 802.1X, Wi-Fi Protecte
Access 2 (WPA2) Enterprise или лучше).

Требуйте, чтобы пользователи проходили аутентификацию в VPN и службе аутентификации,


управляемых предприятием, перед доступом к корпоративным ресурсам на устройствах конечных
пользователей.
Установите и поддерживайте выделенные вычислительные ресурсы, физически или логически
разделенные, для всех административных задач (требующих административного доступа).
Вычислительные ресурсы должны быть отделены от основной сети предприятия и не иметь доступа
Интернету.

Управляйте процессами и инструментами для создания и поддержания комплексного


мониторинга и защиты от угроз безопасности в сетевой инфраструктуре предприятия

Централизованное оповещение о событиях безопасности на корпоративных ресурсах для корреляц


и анализа журналов. Реализация передового опыта требует использования SIEM, который включае
разработанные вендором правила корреляции и оповещения. Платформа аналитики журналов,
настроенная с оповещениями корреляции, относящимися к безопасности, также удовлетворяет
требованиям этой меры безопасности.

Разверните для обнаружения вторжений на основе хоста, на корпоративных активах, где это уместн
и/или поддерживается.

Разверните сетевое решение для обнаружения вторжений на корпоративных ресурсах, где это
применимо. Примеры реализации включают использование Network Intrusion Detection System (NIDS
или эквивалентного сервиса от поставщика облачных услуг (CSP).

Выполните фильтрацию трафика между сегментами сети, где это применимо и необходимо.

Управляйте контролем доступа к активам, удаленно подключающимся к корпоративным ресурсам.


Определить объем доступа к корпоративным активам на основе: установленного актуального
программного обеспечения для защиты от вредоносных программ, соответствия конфигурации
процессу безопасной конфигурации предприятия и обеспечения актуальности операционной систем
приложений.
Собирайте с сетевых устройств журналы потоков сетевого трафика и/или сетевой трафик для
просмотра и оповещения.
Разверните решения для предотвращения вторжений на основе хоста на корпоративных активах, гд
это уместно и/или поддерживается. Примеры реализации включают использование Endpoint Detecti
and Response (EDR) клиента или IPS агента на хосте.
При необходимости разверните решение для предотвращения сетевых вторжений. Примеры
реализации включают использование Network Intrusion Prevention System (NIPS) или эквивалентного
сервиса от CSP.
Разверните контроль доступа на уровне порта. Управление доступом на уровне порта использует
802.1x или аналогичные протоколы управления доступом к сети, такие как сертификаты, и может
включать аутентификацию пользователя и/или устройства.
Выполняйте фильтрацию прикладного уровня. Примеры реализации включают фильтрующий прокс
сервер, межсетевой экран или шлюз прикладного уровня.

Ежемесячно или чаще корректируйте пороги предупреждений о событиях безопасности.


Разработайте и поддерживайте программу повышения осведомленности в области
безопасности, чтобы повлиять на поведение сотрудников, чтобы они были осведомлены
безопасности и обладали необходимой квалификацией для снижения рисков
кибербезопасности для предприятия.
Разработайте и поддерживайте программу повышения осведомленности в области безопасности. Ц
программы повышения осведомленности — обучить персонал предприятия тому, как безопасно
взаимодействовать с корпоративными активами и данными. Необходимо проводить обучение при
приеме на работу и, как минимум, ежегодно. Ежегодно проверяйте и обновляйте содержимое, а так
когда происходят значительные корпоративные изменения, которые могут повлиять на эту меру
безопасности.

Обучите сотрудников распознавать атаки с использованием социальной инженерии, такие как фиши
pre-texting и tailgating.

Обучите сотрудников передовым методам аутентификации. Примеры тем включают MFA, составле
паролей и управление учетными данными.

Обучите сотрудников тому, как идентифицировать и правильно хранить, передавать, архивировать


уничтожать конфиденциальные данные. Это также включает в себя обучение сотрудников передовы
политикам "чистого экрана" и "чистого стола", таким как блокировка экрана, когда они отходят от сво
корпоративных активов, стирание физических и виртуальных досок в конце собраний и безопасное
хранение данных и активов.

Обучите сотрудников осведомленности о причинах непреднамеренного раскрытия данных. Пример


тем включают неправильную доставку конфиденциальных данных, потерю портативного устройства
конечного пользователя или публикацию данных для непредусмотренной аудитории.

Обучите сотрудников распознавать потенциальный инцидент и сообщать о нем.

Обучите персонал, как проверять и сообщать об устаревших исправлениях программного обеспече


или любых сбоях в автоматизированных процессах и инструментах. Часть этого обучения должна
включать уведомление ИТ-персонала о любых сбоях в автоматизированных процессах и инструмен

Обучите сотрудников опасностям подключения и передачи корпоративных данных по небезопасным


сетям. Если на предприятии есть удаленные работники, обучение должно включать в себя
руководство, чтобы гарантировать, что все пользователи безопасно настроят инфраструктуру своей
домашней сети.
Проведение обучения по вопросам безопасности и навыкам для конкретных ролей. Примеры
внедрения включают курсы по безопасному системному администрированию для ИТ-специалистов,
обучение OWASP® Top 10 по осведомленности и предотвращению уязвимостей для разработчиков
веб-приложений, а также углубленное обучение по социальной инженерии для ответственных
должностей.
Разработайте процесс оценки поставщиков услуг, которые владеют конфиденциальным
данными или несут ответственность за критически важные ИТ-платформы или процесс
предприятия, чтобы убедиться, что эти поставщики надлежащим образом защищают э
платформы и данные.
Создание и ведение реестра поставщиков услуг. Реестр должен включать список поставщиков услу
классификацию(и) и назначение корпоративного контактного лица для каждого поставщика услуг.
Проверяйте и обновляйте реестр ежегодно или в случае значительных изменений на предприятии,
которые могут повлиять на данную меру безопасности.
Установить и поддерживать политику управления поставщиками услуг. Убедитесь, что политика
предусматривает классификацию, инвентаризацию, оценку, мониторинг и вывод из эксплуатации
поставщиков услуг. Пересматривайте и обновляйте политику ежегодно или в случае значительных
изменений на предприятии, которые могут повлиять на данную меру безопасности.
Классифицировать поставщиков услуг. Классификация может проводиться на основании одной или
нескольких характеристик, таких как конфиденциальность данных, объем данных, требования к
доступности, применимые требования регулятора, неотъемлемый риск и сниженный риск. Ежегодно
обновляйте и пересматривайте классификации или когда происходят значительные изменения на
предприятии, которые могут повлиять на эту меру безопасности.

Убедитесь, что контракты с поставщиками услуг включают требования безопасности. Примеры


требований могут включать минимальные требования к программе безопасности, уведомление об
инцидентах безопасности и/или утечке данных и реагирование на них, требования к шифрованию
данных и обязательства по удалению данных. Эти требования безопасности должны соответствова
политике предприятия по управлению поставщиками услуг. Ежегодно пересматривайте контракты с
поставщиками услуг, чтобы убедиться, что в контрактах не отсутствуют требования безопасности.

Оценивайте поставщиков услуг в соответствии с корпоративной политикой управления поставщикам


услуг. Объем оценки может варьироваться в зависимости от классификации (классификаций) и мож
включать обзор стандартизированных отчетов об оценке, таких какService Organization Control 2 (SO
2) и Payment Card Industry (PCI) Attestation of Compliance (AoC), специальные анкеты или другие
соответствующие строгие процессы. Переоценивать поставщиков услуг ежегодно, как минимум, или
новыми и обновленными контрактами.

Мониторинг поставщиков услуг в соответствии с корпоративной политикой управления поставщикам


услуг. Мониторинг может включать в себя периодическую переоценку соответствия поставщика усл
мониторинг заметок о релизах поставщика услуг и мониторинг даркнета.

Обеспечивайте безопасность при прекращении использования услуг поставщика. Примеры включаю


деактивацию учетных записей пользователей и служб, прекращение потоков данных и безопасное
удаление корпоративных данных в системах поставщиков услуг.
Управляйте жизненным циклом безопасности программного обеспечения, разработанного
приобретенного или размещенного внутри компании, чтобы предотвращать, обнаружива
и устранять уязвимости в системе безопасности до того, как они смогут повлиять на
работу предприятия.
Установите и поддерживайте безопасный процесс разработки приложений. При этом учитывайте та
элементы, как: безопасные стандарты проектирования приложений, методы безопасного кодирован
обучение разработчиков, управление уязвимостями, безопасность стороннего кода и процедуры
тестирования безопасности приложений. Проверяйте и обновляйте документацию ежегодно или в
случае значительных изменений на предприятии, которые могут повлиять на эту меру безопасности

Установите и поддерживайте процесс приема и рассмотрения отчетов об уязвимостях программног


обеспечения, включая предоставление средств для отчетов внешним организациям. Этот процесс
должен включать такие элементы, как: политика обработки уязвимостей, определяющая процесс
отчетности, ответственная сторона за обработку отчетов об уязвимостях, а также процесс приема,
назначения, исправления и тестирования исправления. В рамках этого процесса используйте систе
отслеживания уязвимостей, которая включает рейтинги серьезности и показатели для измерения
времени выявления, анализа и устранения уязвимостей. Проверяйте и обновляйте документацию
ежегодно или в случае значительных изменений на предприятии, которые могут повлиять на эту ме
безопасности.

Сторонним разработчикам приложений следует рассматривать эту политику как внешнюю политику
которая помогает формировать ожидания для внешних заинтересованных сторон.

Выполняйте анализ корневых причин уязвимостей безопасности. При рассмотрении уязвимостей


анализ первопричин — это задача оценки основных проблем, которые создают уязвимости в коде, и
позволяет командам разработчиков выйти за рамки простого исправления отдельных уязвимостей п
мере их возникновения.
Создавайте и управляйте обновленным списком сторонних компонентов, используемых при
разработке, часто называемым «ведомостью материалов», а также компонентами, предназначенны
для использования в будущем. Этот перечень должен включать любые риски, которые может
представлять каждый сторонний компонент. Проверяйте список не реже одного раза в месяц, чтобы
определить любые изменения или обновления этих компонентов и убедиться, что компонент по-
прежнему поддерживается.

Используйте современные и проверенные сторонние программные компоненты. По возможности


выбирайте проверенные платформы и библиотеки, обеспечивающие адекватную безопасность.
Приобретайте эти компоненты из надежных источников или проверяйте программное обеспечение
наличие уязвимостей перед использованием.
Use up-to-date and trusted third-party software components. When possible, choose established and prov
frameworks and libraries that provide adequate security. Acquire these components from trusted sources o
evaluate the software for vulnerabilities before use.

Установите и поддерживайте систему оценки серьезности и процесс для уязвимостей приложений,


которые облегчают установление приоритетов в порядке устранения обнаруженных уязвимостей. Э
процесс включает установку минимально допустимого уровня безопасности для выпуска кода или
приложений. Рейтинги серьезности обеспечивают систематический способ сортировки уязвимостей
который улучшает управление рисками и помогает обеспечить исправление наиболее серьезных
ошибок в первую очередь. Проверяйте и обновляйте систему и процесс ежегодно.
Используйте стандартные, рекомендуемые в отрасли шаблоны конфигурации защиты для компонен
инфраструктуры приложений. Сюда входят серверы, базы данных и веб-серверы, а также облачные
контейнеры, компоненты Platform as a Service (PaaS) и компоненты SaaS. Не позволяйте программн
обеспечению собственной разработки ослаблять защиту конфигурации.

Поддерживайте отдельные среды для производственных и непроизводственных систем.

Убедитесь, что весь персонал, занимающийся разработкой программного обеспечения, прошел


обучение написанию безопасного кода для своей конкретной среды разработки и обязанностей.
Обучение может включать общие принципы безопасности и стандартные методы обеспечения
безопасности приложений. Проводите обучение не реже одного раза в год, чтобы способствовать
безопасности в команде разработчиков и формировать культуру безопасности среди разработчиков

Применяйте принципы безопасного проектирования в архитектурах приложений. Принципы


безопасного проектирования включают концепцию наименьших привилегий и принудительное
посредничество для проверки каждой операции, выполняемой пользователем, продвигая концепци
«никогда не доверять вводу пользователя». Примеры включают обеспечение того, чтобы явная
проверка ошибок выполнялась и документировалась для всех входных данных, включая размер, ти
данных и допустимые диапазоны или форматы. Безопасный дизайн также означает минимизацию
поверхности атаки на инфраструктуру приложений, например отключение незащищенных портов и
служб, удаление ненужных программ и файлов, а также переименование или удаление учетных
записей по умолчанию.

Используйте проверенные модули или службы для компонентов безопасности приложений, таких ка
управление идентификацией, шифрование, аудит и ведение журнала. Использование функций
платформы в критически важных функциях безопасности снизит нагрузку на разработчиков и сведе
минимуму вероятность ошибок проектирования или реализации. Современные операционные систе
предоставляют эффективные механизмы идентификации, аутентификации и авторизации и делают
механизмы доступными для приложений. Используйте только стандартизированные, принятые в
настоящее время и тщательно проверенные алгоритмы шифрования. Операционные системы такж
предоставляют механизмы для создания и ведения безопасных журналов аудита.

Применяйте инструменты статического и динамического анализа в течение жизненного цикла


приложения, чтобы убедиться, что соблюдаются методы безопасного кодирования.
Проводите тестирование приложений на проникновение. Для критически важных приложений
аутентифицированное тестирование на проникновение лучше подходит для поиска уязвимостей
бизнес-логики, чем сканирование кода и автоматизированное тестирование безопасности.
Тестирование на проникновение зависит от умения тестировщика вручную манипулировать
приложением в качестве пользователя, прошедшего проверку подлинности, и пользователя, не
прошедшего проверку подлинности.
Проводите моделированием угроз. Моделирование угроз — это процесс выявления и устранения
недостатков проектирования безопасности приложений в рамках проекта до создания кода. Его
проводят специально обученные лица, которые оценивают дизайн приложения и оценивают риски
безопасности для каждой точки входа и уровня доступа. Цель состоит в том, чтобы структурировать
приложение, архитектуру и инфраструктуру, чтобы понять их слабые стороны.

Разработайте программу для разработки и поддержания возможностей реагирования на


инциденты (например, политики, планы, процедуры, определенные роли, обучение и
коммуникации) для подготовки, обнаружения и быстрого реагирования на атаку.

Назначьте одного ключевого человека и хотя бы одного резервного, которые будут управлять
процессом обработки инцидентов на предприятии. Управленческий персонал отвечает за координа
и документирование действий по реагированию на инциденты и восстановлению и может состоять
сотрудников предприятия, сторонних поставщиков или гибридного подхода. Если вы используете
стороннего поставщика, назначьте по крайней мере одного человека внутри предприятия для надзо
за любой работой стороннего поставщика. Пересматривайте ежегодно или когда происходят
значительные корпоративные изменения, которые могут повлиять на эту меру безопасности.

Установите и храните контактную информацию для сторон, которые должны быть проинформирова
об инцидентах, связанных с безопасностью. В число контактов могут входить внутренние сотрудник
сторонние поставщики, правоохранительные органы, поставщики услуг киберстрахования,
соответствующие государственные учреждения, Information Sharing and Analysis Center (ISAC) или
другие заинтересованные стороны. Ежегодно проверяйте контакты, чтобы обеспечить актуальность
информации.
Establish and maintain contact information for parties that need to be informed of security incidents. Conta
may include internal staff, third-party vendors, law enforcement, cyber insurance providers, relevant
government agencies, Information Sharing and Analysis Center (ISAC) partners, or other stakeholders. Ve
contacts annually to ensure that information is up-to-date.

Установите и поддерживайте корпоративный процесс, позволяющий сотрудникам сообщать об


инцидентах, связанных с безопасностью. Процесс включает в себя временные рамки отчетности,
персонал, которому следует отчитываться, механизм отчетности и минимальную информацию,
которую необходимо сообщать. Убедитесь, что процесс общедоступен для всех сотрудников.
Пересматривайте ежегодно или когда происходят значительные корпоративные изменения, которы
могут повлиять на эту меру безопасности.
Разработайте и поддерживайте процесс реагирования на инциденты, учитывающий роли и
обязанности, требования соответствия и план коммуникации. Пересматривайте ежегодно или когда
происходят значительные корпоративные изменения, которые могут повлиять на эту меру
безопасности.
Назначьте ключевые роли и обязанности по реагированию на инциденты, включая сотрудников
юридического отдела, ИТ, информационной безопасности, связей с общественностью, отдела кадр
специалистов по реагированию на инциденты и аналитиков, если это применимо. Пересматривайте
ежегодно или когда происходят значительные корпоративные изменения, которые могут повлиять н
эту меру безопасности.
Определите, какие первичные и вторичные механизмы будут использоваться для связи и сообщени
во время инцидента безопасности. Механизмы могут включать телефонные звонки, электронные
письма или письма. Имейте в виду, что некоторые механизмы, такие как электронная почта, могут б
затронуты во время инцидента безопасности. Пересматривайте ежегодно или когда происходят
значительные корпоративные изменения, которые могут повлиять на эту меру безопасности.

Планируйте и проводите обычные учения и сценарии реагирования на инциденты для ключевого


персонала, участвующего в процессе реагирования на инциденты, чтобы подготовиться к
реагированию на реальные инциденты. Упражнения должны проверять каналы связи, принятие
решений и рабочие процессы. Проводите тестирование как минимум раз в год.
Проведите анализ после инцидента. Пост-инцидентные обзоры помогают предотвратить повторени
инцидента за счет выявления извлеченных уроков и принятия последующих мер.
Установите и поддерживайте пороговые значения инцидентов безопасности, включая, как минимум
различие между инцидентом и событием. Примеры могут включать: ненормальную активность,
уязвимость в системе безопасности, утечку данных, нарушение конфиденциальности и т. д.
Проверяйте ежегодно или при возникновении значительных корпоративных изменений, которые мо
повлиять на эту меру безопасности.
Проверяйте эффективность и отказоустойчивость активов предприятия, выявляя и
используя слабые места в средствах контроля (люди, процессы и технологии), а также
моделируя цели и действия злоумышленника.

Разработайте и поддерживайте программу тестирования на проникновение, соответствующую


размеру, сложности и зрелости предприятия. Характеристики программы тестирования на
проникновение включают область применения, такую как сеть, веб-приложения, Application
Programming Interface (API), размещенные службы и элементы управления физическими помещения
частота; ограничения, такие как допустимые часы и исключенные типы атак; контактная информаци
исправление, например, как результаты будут направляться внутри; и ретроспективные требования

Выполнять периодические внешние тесты на проникновение в соответствии с требованиями


программы не реже одного раза в год. Внешнее тестирование на проникновение должно включать
разведку предприятия и окружающей среды для обнаружения информации, которую можно
использовать. Тестирование на проникновение требует специальных навыков и опыта и должно
проводиться квалифицированной стороной. Тестирование может быть прозрачным или непрозрачн

Устраняйте угрозы обнаруженные в результате проведения тестирования на проникновение в


соответствии с политикой предприятия в отношении объема исправлений и расстановки приоритето

Проверяйте меры безопасности после каждого теста на проникновение. При необходимости измени
наборы правил и возможности для обнаружения методов, используемых во время тестирования.

Выполнять периодические внутренние тесты на проникновение в соответствии с требованиями


программы не реже одного раза в год. Тестирование может быть прозрачным или непрозрачным.
IG1 IG2 IG3

x x x

x x x

x x

x x

x
x x x

x x x

x x x

x x

x x

x x

x x x

x x x
x x x

x x x

x x x

x x x

x x

x x

x x

x x

x x

x x

x
x x x

x x x

x x x

x x x

x x x

x x x

x x x

x x

x x

x x
x x

x x x

x x x

x x x

x x x

x x

x x

x x x

x x x
x x x

x x x

x x x

x x

x x

x x x

x x x

x x x

x x x

x x

x x
x x

x x x

x x x

x x x

x x

x x

x x

x x

x x

x x

x x

x x

x x x

x x x
x x

x x

x x

x x

x x x

x x x

x x x

x x

x x

x x

x x
x x x

x x x

x x x

x x x

x x

x x x

x x

x x

x x

x x

x x

x x
x

x x

x x

x x

x x

x x

x x

x
x x x

x x x

x x x

x x x

x x x

x x x

x x x

x x x

x x
x x x

x x

x x

x x

x
x x

x x

x x

x x

x x

x x
x x

x x

x x

x x

x x

x
x

x x x

x x x

x x x

x x

x x
x x

x x

x x

x x

x x

x x

Вам также может понравиться