Center for Internet Security (CIS)
Die CIS-Kontrollen (Center for Internet Security) und Benchmarks sind eine Reihe von Best Practices, die darauf abzielen, die Sicherheitslage von Organisationen zu verbessern. Diese Kontrollen, die von einer Gemeinschaft von IT-Experten entwickelt wurden, konzentrieren sich auf eine Reihe priorisierter Maßnahmen, die das Fundament eines guten Cybersicherheitsprogramms bilden und Organisationen helfen, ihre Systeme und Daten vor den häufigsten Cyberbedrohungen zu schützen.
Fordern Sie eine Demo der Secureframe Custom Frameworks anDefinition und Zweck
Die CIS-Kontrollen sind eine empfohlene Reihe von Maßnahmen, die darauf abzielen, Systemschwachstellen und Cyberangriffe zu verhindern, zu erkennen und zu mindern. Ihr Zweck besteht darin, einen systematischen und priorisierten Ansatz zur Cybersicherheit bereitzustellen, beginnend mit grundlegenden Maßnahmen und fortschreitend zu fortgeschritteneren Techniken. Durch das Angebot eines Fahrplans der wichtigsten Schutzmaßnahmen mit der größten Wirkung helfen die CIS-Kontrollen Organisationen, ihre Abwehrmechanismen gegen Cyberbedrohungen zu verbessern.
Aufsichtsbehörde
Die Aufsichtsbehörde für das CIS-Framework ist das Center for Internet Security (CIS), eine gemeinnützige Einrichtung, die die Bereitschaft und Reaktion auf Cybersicherheit fördert.
Zuletzt aktualisiert
Die CIS-Kontrollen werden regelmäßig auf Basis der sich entwickelnden Bedrohungslage und technologischen Fortschritte aktualisiert. Die jüngste Aktualisierung wurde im März 2023 veröffentlicht.
Anwendbar auf
Die CIS-Kontrollen sind branchenunabhängig und können in verschiedenen Branchen und Organisationstypen angewendet werden, einschließlich Regierung, Privatsektor und gemeinnützigen Organisationen. Ihre universelle Anwendbarkeit ist einer der Gründe, warum sie weit verbreitet angenommen und empfohlen werden.
Kontrollen und Anforderungen
Die CIS-Kontrollen sind in drei Kategorien unterteilt: Grundlegend, Fundament und Organisation. Hier ist eine kurze Liste:
Grundlegende Kontrollen
- Inventar und Kontrolle von Hardware-Vermögenswerten
- Inventar und Kontrolle von Software-Vermögenswerten
- Kontinuierliches Schwachstellenmanagement
- Kontrollierte Nutzung administrativer Privilegien
- Sichere Konfiguration für Hardware und Software auf mobilen Geräten, Laptops, Workstations und Servern
- Wartung, Überwachung und Analyse von Prüfprotokollen
Fundamentale Kontrollen
- E-Mail- und Webbrowser-Schutz
- Malware-Abwehr
- Einschränkung und Kontrolle von Netzwerkports, Protokollen und Diensten
- Datenwiederherstellungsfähigkeiten
- Sichere Konfiguration für Netzwerkgeräte wie Firewalls, Router und Switches
- Grenzabwehr
- Datenschutz
- Kontrollierter Zugriff basierend auf dem 'Need to Know'-Prinzip
- Kontrolle des drahtlosen Zugangs
- Kontenüberwachung und Kontrolle
Organisatorische Kontrollen
- Implementierung eines Sicherheitsbewusstseins- und Schulungsprogramms
- Sicherheit von Anwendungssoftware
- Vorfallreaktion und -management
- Penetrationstests und Red-Team-Übungen
Bitte konsultieren Sie die offizielle CIS-Benchmark-Liste für eine detaillierte Liste der Kontrollen und Anforderungen.
Auditart, Häufigkeit und Dauer
Obwohl CIS keinen spezifischen Auditimmechanismus vorgibt, führen Organisationen oft interne oder Drittanbieterbewertungen durch, um ihre Compliance mit den CIS-Kontrollen zu messen.
Die Häufigkeit dieser Bewertungen kann je nach Risikobereitschaft der Organisation, regulatorischen Anforderungen oder Cybermaturity variieren. Allerdings wird in der Regel eine jährliche Bewertung empfohlen, um auf sich entwickelnde Bedrohungen und technologische Veränderungen zu reagieren.
Die Dauer des Audits oder der Bewertung hängt weitgehend von der Größe, Komplexität und dem Umfang der Bewertung der Organisation ab, kann jedoch von einigen Tagen bis zu mehreren Wochen reichen.