Журнал "Information Security/ Информационная безопасность" #2, 2025

ность с отраслевыми стандар- тами. l Добавлена функция "Управ- ление" – шестая в дополнение к существующим пяти. Она охватывает действия по стра- тегическому управлению кибер- безопасностью, облегчает согласование с бизнес-целями и подтверждение соответствия требованиям. В табл. 1 приведен общий обзор элементов управления CIS в версии 8.1. Внедрение: 6 шагов Для применения CIS Controls требуется всего шесть после- довательных шагов. l Шаг 1. Оценка текущего уровня. Перед внедрением CIS Controls необходимо оце- нить текущее состояние инфор- мационной безопасности: про- вести инвентаризацию активов, выявить уязвимости и угрозы, а также сравнить действующие меры с требованиями Controls для определения пробелов и приоритетов. l Шаг 2. Определение группы внедрения. Как уже упоминалось, в версии 8.1 все меры сгруппированы по трем уровням (IG1–IG3), что позво- ляет масштабировать внедре- ние в зависимости от зрелости процессов и уровня риска. l Шаг 3. Приоритизация элементов управления. В первую очередь следует внед- рять меры, наиболее соответ- ствующие вашему профилю риска, – с учетом бизнес-цен- ности активов и актуальности киберугроз. l Шаг 4. Разработка плана внедрения. На этом этапе создается четкий и реа- листичный план, включающий распределение ролей и обя- занностей, перечень необхо- димых технологий, инструмен- тов и обучающих мероприя- тий, а также вехи и сроки реа- лизации для каждой меры контроля. l Шаг 5. Реализация элементов управления. На этапе внедрения настраи- ваются системы, обновляются политики, обучается персо- нал, назначаются ответствен- ные за реагирование на инци- денты и проводится тестиро- вание на проникновение для проверки эффективности мер. l Шаг 6. Мониторинг и оценка эффективности. После внедрения начинается постоянный мониторинг: прово- дятся регулярные проверки, отслеживаются KPI и инциден- ты, а также периодически выполняется тестирование на проникновение для выявления уязвимостей до их возможной эксплуатации. l • 73 УПРАВЛЕНИЕ www.itsec.ru Табл. 1. Обзор элементов управления CIS в версии 8.1. Ваше мнение и вопросы присылайте по адресу is@groteck.ru Название Описание Инвентаризация и контроль активов предприятия Обеспечьте учет и контроль всех активов – физических, виртуальных, удаленных и облачных – для точного понимания того, что требуется защи- щать Инвентаризация и контроль про- граммных активов Обеспечьте выполнение только авторизованного ПО, выявляя и блокируя неавторизованное и неуправляемое Защита данных Внедрите процессы и средства для идентификации, классификации, защиты, хранения и утилизации данных Безопасная конфи- гурация корпора- тивных активов и программного обеспечения Создание и поддержание безопасной конфигурации корпоративных акти- вов и программного обеспечения Управление аккаун- тами Управляйте доступом и учетными данными пользователей, администрато- ров и сервисов для всех корпоративных систем и приложений Управление контро- лем доступа Управляйте жизненным циклом учетных данных и привилегий доступа для всех типов аккаунтов в корпоративных системах и ПО Непрерывное управление уязви- мостями Разработайте план постоянной оценки уязвимостей на всех активах, отслеживайте новые угрозы по надежным источникам, чтобы минимизи- ровать риски атак Управление журна- лом аудита Собирайте, оповещайте, просматривайте и сохраняйте журналы аудита событий, которые могут помочь обнаружить, понять или восстановиться после атаки Защита электрон- ной почты и веб- браузера Усилить защиту от E-mail- и веб-угроз, используемых злоумышленниками для воздействия на поведение пользователей Защита от вредо- носных программ Предотвращайте или контролируйте установку, распространение и выпол- нение вредоносных приложений, кодов или скриптов на корпоративных активах Восстановление данных Обеспечьте восстановление данных до надежного состояния, предше- ствующего инциденту Управление сетевой инфраструктурой Устанавливайте, внедряйте и активно управляйте сетевыми устройствами, чтобы не допустить использования злоумышленниками уязвимых сетевых служб и точек доступа Мониторинг и защи- та сети Обеспечьте комплексный мониторинг и защиту всей сетевой инфраструк- туры и пользовательской среды Обучение навыкам и осведомленности в области безопас- ности Поддерживайте программу осведомленности, формирующую безопасное поведение и снижающую киберриски Управление постав- щиками услуг Оценивайте поставщиков, обрабатывающих чувствительные данные или критические ИТ-системы, на соответствие требованиям безопасности Безопасность при- кладного программ- ного обеспечения Управляйте безопасностью ПО на всех этапах, чтобы устранять уязвимо- сти до их влияния на бизнес Управление реаги- рованием на инци- денты Создайте и поддерживайте программу реагирования на инциденты для быстрой и скоординированной защиты от атак Тестирование на проникновение Оценивайте устойчивость активов, моделируя атаки и выявляя уязвимо- сти в защите