CIS Controls
CIS (Center for Internet Security)
CIS (Center for Internet Security) är en amerikansk organisation som ägnar sig åt att bringa ordning i djungeln av IT-säkerhetshot och skyddsåtgärder. De har de gjort genom att skapa ett åtgärdspaket med ett antal kontrollpunkter kallat CIS Controls. Syftet är att hjälpa företag och organisationer att prioritera sina säkerhetsåtgärder och skapa en säker cybermiljö för både sig själva och sina medaktörer. Dessa kontrollpunkter har tagits fram av IT-säkerhetsexperter från hela världen.
Bakgrund
Ursprunget till CIS kommer från ett institut som kallas SANS (SysAdmin, Audit, Network an Security) som grundades 1989. Detta institut är, tillsammans med FBI, upphov till CIS Controls, som sedan vidareutvecklats sedan 2001. Internationella IT-säkerhetsexperter går varje år igenom kontrollpunkterna och ser till att de är ständigt aktuella och följer den snabba utvecklingen på IT-säkerhetsområdet..
Senaste uppdateringen
Den senaste uppdateringen, version 8, är från maj 2021.
I denna version har de tidigare 20 kontrollpunkterna blivit 18 stycken. Med hjälp av dessa 18 kontrollpunkter ska organisationer i en slags prioritetsordning kunna gå igenom och uppdatera sin säkerhetsstatus på cyberområdet. För varje kontrollpunkt finns vägledningar i form av texter och grafiska illustrationer.
Lista över de 18 kontrollpunkterna med korta förklaringar:
Control 1. Inventering och kontroll av organisationens hårdvara
Se till att bara säker utrustning är åtkomlig. Osäkra tillbehör som upptäcks måste de skyddas.
Control 2. Inventering och kontroll av mjukvara
Kontrollera all mjukvara i systemet och intranätet och se till att bara tillåten mjukvara finns kvar.
Control 3. Skydd av data
Skapa effektiva skyddssystem som hindrar inkräktare att komma åt viktiga data.
Control 4. Säker konfiguration av alla datorenheter och mjukvara
Gäller exempelvis mobila enheter, bärbara datorer, arbetsstationer, servrar, brandväggar och routers.
Control 5. Kontroll och övervakning av konton
Användarkonton anpassade till specifika arbetsuppgifter ska skyddas av lösenord och tillgången ska skötas av en ansvarig administratör.
Control 6. Åtkomstkontroll
Känsliga data måste skyddas från obehörig åtkomst.
Skapa administratörsbehörigheter med behovsbaserad åtkomst och kryptering.
Control 7. Kontinuerlig översyn av sårbarhet
Kontrollera säkerhetsbrister fortlöpande och skydda mot möjliga angrepp.
Control 8. Hantering av loggar
Övervaka och analysera loggar och journaler för att upptäcka eventuella brister och förenkla återställande av systemet efter en attack.
Control 9. Skydd av e-post och webbläsare
Genom dessa kontaktvägar med omvärlden kan inkräktare nästla sig in i datorsystem. Skydda dessa knutpunkter för att undvika attacker.
Control 10. Skydd mot skadlig kod
Skadlig programvara kan innehålla virus, maskar, trojanska hästar eller andra sabotageprogram. Upprätta skydd mot dessa.
Control 11. Dataåterställning
Spara alla data i backupfiler. Se till att upptäcka attacker i tid. Återställ information som ändrats.
Control 12. Hantering av nätverksinfrastruktur
Spåra och korrigera säkerhetsbrister i nätverksenheter för att förhindra attacker på dessa enheter.
Control 13. Nätverksövervakning och försvar
Hantera processer och verktyg för nätverksövervakning och skyddsåtgärder i nätverksinfrastrukturen.
Control 14. Program för ökad säkerhetsmedvetenhet
Utbildning för ökad kunskap och säkerhetsmedvetande hos organisationens personal. Utarbeta en säkerhetsplan.
Control 15. Hantering av tjänsteleverantörer
Kontrollera säkerhetsmedvetandet hos tjänsteleverantörer som hanterar organisationens känsliga data. Säkra att dessa leverantörer skyddar dessa.
Control 16. Säkerhet i mjukvaruutveckling
Kontrollera fortlöpande säkerheten i organisationens alla programvaror som utvecklats under tid. Åtgärda svagheter i säkerhetsskydden.
Control 17. Incidenthantering
Upprätta Ett program för att träna och förbereda organisationens medarbetare till att upptäcka och åtgärda attacker.
Control 18. Penetrationstestning
Testa förmågan hos organisationens medarbetare och dess processer och teknik att upptäcka sårbarheter i systemen, genom att simulera attacker.
Används av organisationer i hela världen
CIS Controls används av företag och organisationer över hela världen och rekommenderas av ledande cybersäkerhetsexperter. Sådana experter kan också hjälpa organisationer att navigera i detta omfattande regelverk.
Hela åtgärdsprogrammet kan laddas ned från CIS webbsida www.cisecurity.org