september 24, 2018

CIS Controls – ett ramverk för bättre informationssäkerhet


Vi lever i ett kunskapssamhälle där information är hårdvaluta. Det är viktigt att skydda dessa värdefulla data, så att de inte försvinner eller kommer i orätta händer. Det finns många hot mot informationssäkerheten och en mängd möjliga säkerhetsåtgärder. Kunskapen och tekniken kring cybersäkerhet finns, men det är ett kunskapsfält som är svårt att överblicka för de allra flesta.

För att bringa ordning i denna djungel av hot och skyddsåtgärder, har Center for Internet Security (CIS) skapat ett ramverk bestående av 20 kontrollpunkter, för att hjälpa organisationer och företag att prioritera sina säkerhetsåtgärder och skapa en säker cybermiljö för både sig själva och sina medaktörer.

CIS är en icke vinstdrivande organisation, vars uppgift är att identifiera säkerhetshot och att skapa målinriktade och djupgående motåtgärder för att möta cyberattacker. Deras övergripande mål är att skapa en pålitlig cybermiljö och att sprida information om sina aktiviteter till organisationer och företag. Säkerhetsexperter från en mängd olika branscher har under flera år arbetat med ett ramverk med tjugo kontoller som nu är uppe i version 7. Den största uppdateringen är att ramverket nu är uppdelat i tre block: Bas (punkt 1-6), Grundläggande (punkt 7-16), Organisatoriskt (punkt 17-20).

Secure State Cyber arbetar vi inom alla områden av informations- och cybersäkerhet och vi kommer att presentera de tjugo kontrollerna i våra kommande nyhetsbrev. Varje torsdag presenterar vi en ny punkt i en kortfattad och lättillgänglig version. Med hjälp av kontrollerna får vi svar på frågor som: Vilka är de mest kritiska kontrollerna att implementera? Och hur tar man första steget när man bygger ett väl fungerande riskhanteringsprogram?

 

Basic CIS Controls

1 – Inventory and Control of Hardware Assets

2 – Inventory and Control of Software Assets

3 – Continuous Vulnerability Management

4 – Controlled Use of Administrative Privileges

5 – Secure Configuration for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers

6 – Maintenance, Monitoring and Analysis of Audit Logs

 

Foundational CIS Controls

7 – Email and Web Browser Protections

8 – Malware Defenses

9 – Limitation and Control of Network Ports, Protocols and Services

10 – Data Recovery Capabilities

11 – Secure Configuration for Network Devices, such as Firewalls, Routers and Switches

12 – Boundary Defense

13 – Data Protection

14 – Controlled Access Based on the Need to Know

15 – Wireless Access Control

16 – Account Monitoring and Control

 

Organizational CIS Controls

17 – Implement a Security Awareness and Training Program

18 – Application Software Security

19 – Incident Response and Management

20 – Penetration Tests and Red Team Exercises

Skrivet av:

Vill du bli kontaktad av oss?

Tack för att du vill skapa kontakt med oss! Vi hör av oss.