Журнал "Information Security/ Информационная безопасность" #2, 2025

18 ключевых действий, называемых также критиче- скими элементами управле- ния безопасностью, разра- ботаны с расчетом на внед- рение, сопровождение и мониторинг с использовани- ем преимущественно авто- матизированных средств. Актуальная версия 8.1 (2024 г.) сохраняет ори- ентированный на прак- тику подход, заданный в редакции 7.1 (2019 г.), но адаптирована под современные условия – удаленную работу, облачные сервисы и мобильность. В числе нововве- дений – отдельный раздел, посвященный контролю без- опасности поставщиков услуг. Изначально инициатива появилась в 2008 г. как ответ на крупные утечки данных в оборонной отрасли США. Пер- вый вариант, разработанный SANS Institute, был известен как SANS Top 20. Впоследствии проект перешел под управление Центра интернет-безопасности, который с 2015 г. продолжает его развитие. Структура и уровни внедрения С выходом восьмой версии число разделов сократилось до 18, а перечень мер безопасно- сти уточнен и доведен до 153 конкретных практик. Каждая мера относится к одной из трех групп: IG1, IG2 или IG3. l IG1 формирует базовую кибергигиену и ориентирована на организации с ограниченным опытом в области кибербезо- пасности. l IG2 подходит для компаний, работающих с несколькими подразделениями и разнород- ными профилями рисков, и помогает справляться с воз- растающей операционной сложностью. l IG3 рассчитана на организа- ции, имеющие собственных ИТ- специалистов и экспертов по киберзащите либо обрабаты- вающие конфиденциальные данные. Цель этой группы – минимизировать последствия сложных кибератак. Не все меры безопасности применимы ко всем типам орга- низаций – руководитель, отве- чающий за кибербезопасность, может выбирать их ориентиру- ясь на уровень IG, соответ- ствующий возможностям и зре- лости компании. 18 ключевых действий, назы- ваемых также критическими элементами управления без- опасностью, разработаны с расчетом на внедрение, сопровождение и мониторинг с использованием преимуще- ственно автоматизированных средств. Они формулируются на понятном ИТ-персоналу языке и дают практические рекомендации по обеспечению кибербезопасности. Основные цели руководящих принципов аудита консенсуса включают: 1. Использование информа- ции о киберпреступлениях для информирования подразделе- ний киберзащиты с акцентом на наиболее эффективные из них (в среднесрочной перспек- тиве). 2. Обеспечение того, чтобы инвестиции в безопасность были сосредоточены на проти- водействии наиболее значимым угрозам. 3. Максимальное применение автоматизации для реализации мер защиты, что позволяет сни- зить влияние человеческого фактора. 4. Использование процесса консенсуса для сбора и интег- рации наилучших практик. CIS Controls 8.1 – это обнов- ление стандарта, выпущенное в июне 2024 г., которое уточ- няет и усиливает меры кибер- защиты с учетом современных вызовов, таких как усложнение ИТ-среды и расширение клас- сов активов. Среди ключевых изменений – добавление функ- ций управления безопасностью и актуализация формулировок для лучшей адаптации к теку- щим угрозам. В версии 8.1 CIS Controls были внесены три ключевых обновления: l Новый класс – документа- ция – расширил список активов до шести категорий: устрой- ства, ПО, данные, пользовате- ли, сеть, документация. Теперь можно точнее привязывать меры безопасности к конкрет- ным ИТ-доменам. Были также обновлены формулировки отдельных Safeguards и рас- ширен глоссарий терминов. l Актуализировано соответ- ствие NIST CSF 2.0. Обновлены сопоставления и меры без- опасности в соответствии с новой редакцией фреймворка, что обеспечивает согласован- 72 • УПРАВЛЕНИЕ Что такое CIS Controls и для чего они нужны? IS Controls – это набор проверенных практик кибербезопасности, разработанный Center for Internet Security для защиты организаций от наиболее распространенных угроз. Они охватывают ключевые аспекты ИТ-инфраструктуры и применимы к компаниям любого размера. C Дмитрий Костров, эксперт по информационной безопасности