Что такое оценочное тестирование CIS?
Оценочное тестирование CIS от Центра интернет-безопасности (CIS) представляют собой набор всемирно признанных и разработанных на основе консенсуса передовых методов, помогающих специалистам по безопасности внедрять и управлять своими средствами кибербезопасности. Разработанные совместно с мировым сообществом экспертов по безопасности, эти рекомендации помогают организациям заблаговременно защищаться от возникающих рисков. Компании внедряют оценочное тестирование CIS для сокращения уязвимостей в безопасности цифровых активов на основе конфигурации.
Почему оценочное тестирование CIS важно?
Такие инструменты, как оценочное тестирование CIS, важны, поскольку в них изложены передовые методы обеспечения безопасности, разработанные специалистами по безопасности и профильными экспертами, для развертывания более 25 продуктов различных производителей. Эти передовые методы являются хорошей отправной точкой для создания плана развертывания нового продукта или услуги или для проверки безопасности существующих развертываний.
При внедрении оценочного тестирования CIS вы сможете лучше защитить свои устаревшие системы от распространенных и возникающих рисков, выполнив следующие шаги:
- Отключение неиспользуемых портов
- Удаление ненужных разрешений приложений
- Ограничение административных привилегий
ИТ-системы и приложения также работают лучше, когда вы отключаете ненужные сервисы.
Пример оценочного тестирования CIS
Например, администраторы могут следовать пошаговому руководству Основные оценочные показатели AWS CIS, которое поможет им установить надежную политику паролей для Управления идентификацией и доступом AWS (AWS IAM). Применение политики паролей, использование многофакторной аутентификации (MFA), отключение привилегированных пользователей, обеспечение ротации ключей доступа каждые 90 дней и другие тактики – это разные, но связанные между собой рекомендации по идентификации для повышения безопасности аккаунтов AWS.
Внедрив оценочное тестирование CIS, ваша организация может получить ряд преимуществ в области кибербезопасности, например следующие:
Экспертные рекомендации по кибербезопасности
Оценочное тестирование CIS предоставляет организациям систему конфигураций безопасности, проверенную экспертами и доказавшую свою эффективность. Компании могут избежать сценариев проб и ошибок, которые ставят безопасность под угрозу, и воспользоваться опытом сообщества специалистов по ИТ и кибербезопасности.
Признанные во всем мире стандарты безопасности
Оценочное тестирование CIS – это единственные рекомендации, которые признаны во всем мире и приняты как правительствами, так и бизнес-деятелями, исследовательскими и академическими институтами. Благодаря глобальному сообществу, работающему по модели принятия решений на основе консенсуса, оценочное тестирование CIS имеет гораздо более широкую применимость и приемлемость, чем региональные законы и стандарты безопасности.
Экономически эффективное предотвращение угроз
Все желающие скачать и внедрить систему оценочного тестирования CIS могут найти соответствующую информацию в свободном доступе. Ваша компания может бесплатно получить актуальные пошаговые инструкции для всех видов ИТ-систем. Вы можете обеспечить управление ИТ и предотвратить финансовый и репутационный ущерб от предотвратимых киберугроз.
Соответствие нормативным требованиям
Оценочное тестирование CIS соответствует основным стандартам безопасности и конфиденциальности данных, таким как:
- Основы кибербезопасности Национального института по стандартизации и технологии (NIST)
- Акт о передаче и защите данных учреждений здравоохранения (HIPAA)
- Стандарт безопасности данных индустрии платежных карт (PCI DSS)
Внедрение оценочного тестирования CIS – это большой шаг к достижению соответствия требованиям для организаций, которые работают в отраслях с жестким регулированием. Это может предотвратить сбои в соблюдении нормативных требований из-за неправильной конфигурации ИТ-систем.
Какие типы ИТ-систем охватывает оценочное тестирование CIS?
CIS опубликовано более 100 контрольных показателей, которые охватывают более 25 семейств продуктов поставщиков. Когда вы применяете и отслеживаете контрольные показатели оценочного тестирования CIS во всех типах ИТ-систем, вы создаете изначально безопасную ИТ-среду, которую можно дополнительно защитить с помощью решений безопасности. Технологии, которые охватывает оценочное тестирование CIS, можно разделить на следующие семь категорий.
Операционные системы
Оценочное тестирование CIS для операционных систем предоставляет стандартные конфигурации безопасности для популярных операционных систем, включая Amazon Linux. Это оценочное тестирование включает рекомендации для указанных ниже пунктов.
- Контроль доступа к операционной системе
- Групповые политики
- Настройки веб-браузера
- Управление исправлениями
Облачная инфраструктура и сервисы
Оценочное тестирование CIS для облачной инфраструктуры обеспечивает стандарты безопасности, которые компании могут использовать для безопасной конфигурации облачных сред, например, таких, которые предоставляет AWS. Руководство включает в себя рекомендации по настройке виртуальных сетей, конфигурации AWS Identity and Access Management (IAM), контролю соответствия и безопасности и многое другое.
Серверное программное обеспечение
Оценочное тестирование CIS для серверного ПО обеспечивает базовые параметры конфигурации и рекомендации по настройкам сервера, средствам управления администратором сервера, параметрам хранения данных и серверному программному обеспечению от популярных производителей.
Программное обеспечение для настольных компьютеров
Оценочное тестирование CIS охватывает большинство программ для настольных компьютеров, которые обычно используют организации. Руководство включает передовые методы управления функциями программного обеспечения для настольных компьютеров, например, такие:
- Программное обеспечение для настольных компьютеров сторонних производителей
- Настройки браузера
- Права доступа пользователей
- Аккаунты пользователей
- Управление устройствами клиентов
Мобильные устройства
Оценочное тестирование CIS для мобильных устройств охватывает конфигурации безопасности для операционных систем, которые работают на мобильных телефонах, планшетах и других портативных устройствах. Это включает рекомендации по настройкам мобильного браузера, разрешениям приложений, настройкам конфиденциальности и т. д.
Сетевые устройства
Оценочное тестирование CIS также предоставляет конфигурации безопасности для сетевых устройств, таких как брандмауэры, маршрутизаторы, коммутаторы и виртуальные частные сети (VPN). Они содержат как нейтральные, так и специфические для конкретного производителя рекомендации по обеспечению безопасной настройки и управления этими сетевыми устройствами.
Многофункциональные устройства печати
Оценочное тестирование CIS для сетевых периферийных устройств, таких как многофункциональные принтеры, сканеры и копировальные аппараты, охватывают лучшие практики безопасной конфигурации, такие как параметры совместного использования файлов, ограничения доступа и обновления микропрограммного обеспечения.
Что такое уровни оценочного тестирования CIS?
Чтобы помочь организациям достичь их уникальных целей в области безопасности, CIS присваивает уровень профиля каждому руководящему принципу оценочного тестирования CIS. Каждый профиль CIS включает рекомендации, обеспечивающие разный уровень безопасности. Организации могут выбрать профиль, который соответствует их потребностям в безопасности и соответствует нормативным требованиям.
Профиль уровня 1
Рекомендации по конфигурации для профиля уровня 1 – это базовые рекомендации по безопасности при конфигурировании ИТ-систем. Они просты в исполнении и не влияют на функциональность и работоспособность бизнеса. Эти рекомендации уменьшают количество точек проникновения в ваши ИТ-системы, тем самым снижая риски для кибербезопасности.
Профиль уровня 2
Рекомендации по конфигурации профиля уровня 2 лучше всего подходят для конфиденциальных данных, где безопасность является приоритетом. Выполнение этих рекомендаций требует профессиональных знаний и тщательного планирования для достижения комплексной безопасности с минимальными нарушениями. Внедрение рекомендаций по профилю уровня 2 также помогает достичь соответствия нормативным требованиям.
Профиль STIG
Руководство по техническому обеспечению безопасности (STIG) – это набор базовых параметров конфигурации от Агентства по оборонным информационным системам (DISA). Министерство обороны США публикует и поддерживает эти стандарты безопасности. STIG специально написаны в соответствии с требованиями правительства США.
Оценочное тестирование CIS также определяет профиль STIG уровня 3, который призван помочь организациям соответствовать требованиям STIG. Профиль STIG содержит рекомендации профиля уровня 1 и уровня 2, специфичные для STIG, и содержит дополнительные рекомендации, которые другие два профиля не охватывают, но которые требуются для STIG от DISA.
Если вы настроите свои системы в соответствии с эталонами CIS STIG, ваша ИТ-среда будет соответствовать требованиям CIS и STIG.
Как разрабатывается система оценочного тестирования CIS?
Сообщества CIS следуют уникальному процессу, основанному на консенсусе, для разработки, утверждения и поддержания системы оценочного тестирования CIS для различных целевых систем. В целом, процесс разработки системы оценочного тестирования CIS выглядит следующим образом:
- Сообщество определяет потребность в конкретном оценочном тестировании.
- Определяется сфера применения оценочного тестирования.
- Добровольцы создают темы для обсуждения на сайте сообщества CIS WorkBench.
- Эксперты из сообщества CIS конкретной ИТ-системы рассматривают и обсуждают рабочий проект.
- Эксперты создают, обсуждают и проверяют свои рекомендации, пока не придут к консенсусу.
- Они завершают работу над системой оценочного тестирования и публикуют ее на сайте CIS.
- Еще больше добровольцев из сообщества присоединяются к обсуждению оценочного тестирования CIS.
- Команда по достижению консенсуса учитывает отзывы тех, кто внедряет оценочное тестирование.
- Они вносят изменения и дополнения в новые версии системы оценочного тестирования CIS.
Выпуск новых версий системы оценочного тестирования CIS также зависит от изменений или обновлений соответствующих ИТ-систем.
Как внедрить оценочное тестирование CIS?
Каждое оценочное тестирование CIS включает описание рекомендации, причину рекомендации и инструкции, которым могут следовать системные администраторы для правильного выполнения рекомендации. Руководство по оценочному тестированию может состоять из нескольких сотен страниц, поскольку оно охватывает каждую область целевой ИТ-системы.
Внедрить систему оценочного тестирования CIS и следить за выпусками новых версий становится все сложнее, если делать это вручную. Именно поэтому многие организации используют автоматизированные инструменты для контроля соответствия требованиям CIS. CIS также предлагает бесплатные и премиум инструменты, которые вы можете использовать для сканирования ИТ-систем и создания отчетов о соответствии требованиям CIS. Эти инструменты предупреждают системных администраторов, если существующие конфигурации не соответствуют рекомендациям оценочного тестирования CIS.
Какие еще ресурсы по безопасности включены в оценочное тестирование CIS?
Также CIS публикует другие ресурсы для повышения интернет-безопасности организации, в том числе следующие два основных ресурса.
Средства контроля CIS
Средства контроля CIS (ранее – основные средства контроля безопасности CIS) – это еще один ресурс, который CIS публикует в качестве всеобъемлющего руководства для обеспечения безопасности систем и сетей. Руководство содержит контрольный список из 20 мер защиты и действий, которые являются приоритетными и доказали свою эффективность в борьбе с наиболее распространенными и разрушительными угрозами кибербезопасности ИТ-систем.
Средства контроля CIS соответствуют большинству основных стандартов и нормативных документов, например, таким:
- Основы кибербезопасности Национального института по стандартизации и технологии (NIST)
- NIST 800-53
- Акт о передаче и защите данных учреждений здравоохранения (HIPAA), Стандарт безопасности данных индустрии платежных карт (PCI DSS), Федеральный закон об управлении информационной безопасностью (FISMA) и другие стандарты серии ISO 27000
Средства контроля CIS служат отправной точкой для соблюдения любой из этих систем соответствия.
Оценочное тестирование CIS и средства контроля CIS
Средства контроля CIS – это довольно общие рекомендации по защите целых систем и сетей, а оценочное тестирование CIS – это очень конкретные рекомендации по безопасной конфигурации системы. Оценочное тестирование CIS является важным шагом для внедрения средств контроля CIS, поскольку каждая рекомендация оценочного тестирования CIS относится к одному или нескольким средствам контроля CIS.
Например, средство контроля CIS 3 предлагает безопасные конфигурации аппаратного и программного обеспечения для компьютерных систем. Оценочное тестирование CIS содержит нейтральные и специфические для конкретного поставщика рекомендации, а также подробные инструкции, которым администраторы могут следовать для внедрения средства контроля CIS 3.
Загруженные образы CIS
Виртуальная машина (VM) – это виртуальная вычислительная среда, которая эмулирует определенное компьютерное оборудование. Образы виртуальных машин – это шаблоны, которые системные администраторы используют для быстрого создания нескольких виртуальных машин с похожей конфигурацией операционной системы. Однако если образ виртуальной машины настроен неправильно, созданные на его основе инстансы виртуальных машин также будут неправильно настроены и уязвимы.
CIS предлагает использовать загруженные образы CIS, которые представляют собой образы виртуальных машин, уже настроенные в соответствии со стандартами оценочного тестирования CIS.
Преимущества использования загруженных образов CIS
Загруженные образы CIS полезны, поскольку они предоставляют следующие возможности:
- Предварительная настройка на базовые показатели оценочного тестирования CIS
- Простота развертывания и управления
- Обновления и исправления CIS
В зависимости от требований безопасности и соответствия нормативным требованиям, вы можете выбрать загруженные образы CIS, настроенные на профиль уровня 1 или уровня 2.
Как использовать оценочное тестирование CIS на AWS?
CIS – это вендор ПО (ISV) AWS, а AWS является участником программы CIS Security Benchmarks. Оценочное тестирование CIS включает рекомендации по безопасным конфигурациям для подмножества облачных сервисов AWS и параметров на уровне аккаунтов.
Например, CIS описывает оптимальные параметры конфигурации для AWS в оценочном тестировании CIS, например, следующие:
- основные оценочные показатели CIS AWS;
- оценочные показатели CIS Amazon Linux 2;
- оценочные показатели CIS Amazon Elastic Kubernetes Service (EKS);
- оценочные показатели AWS End User Compute.
Вы также можете получить доступ к защищенным образам CIS эластичном вычислительном облаке Amazon (EC2) на Торговой площадке AWS, чтобы быть уверенным, что ваши образы Amazon EC2 соответствуют стандартам оценочного тестирования CIS.
Аналогичным образом вы можете автоматизировать проверки, чтобы убедиться, что ваше развертывание AWS соответствует рекомендациям, изложенным в стандарте основных оценочных показателей CIS AWS. Центр безопасности AWS поддерживает стандарт основных оценочных показателей CIS AWS, который состоит из 43 элементов управления и 32 требований стандартов безопасности данных индустрии платежных карт (PCI DSS) по 14 сервисам AWS. Как только AWS Security Hub включается, он немедленно начинает выполнять непрерывные автоматизированные проверки безопасности каждого элемента управления и каждого соответствующего ресурса, связанного с элементом управления.
Обеспечьте соответствие требованиям CIS для вашей облачной инфраструктуры и начните работу с AWS, создав бесплатный аккаунт AWS уже сегодня.
Cis это что
CIS — многозначная аббревиатура:
- Co-operative Insurance Society (en) — английская страховая компания
- Comodo Internet Security — программный комплекс, состоящий из Comodo AntiVirus и Comodo Firewall.
- CIS Tower (en) — небоскрёб в Манчестере, самая высокая солнечная панель в Европе
- CIS (пулемёт)
- CIS (en) (англ.Contact Image Sensor ) — технология изготовления светочувствительных матриц, применяющаяся в сканерах изображений.
- CIS (англ.Commonwealth of Independent States ) — перевод аббревиатуры СНГ
- CIS (англ.Center for Internet Security ) — некоммерческая организация в состав которой входят ведущие разработчики стандартов и средств защиты информации, является бесценным источником технических стандартов и инструментов для анализа защищенности операционных систем и приложений.
- Cis — нота до диез. См. До-диез мажор и До-диез минор.
| Список значений слова или словосочетания со ссылками на соответствующие статьи. Если вы попали сюда из другой статьи Википедии, пожалуйста, вернитесь и уточните ссылку так, чтобы она указывала на статью. |
- Многозначные термины
Wikimedia Foundation . 2010 .
Полезное
Смотреть что такое «CIS» в других словарях:
- cis — cis·andine; cis·co; cis·gangetic; cis·jurane; cis·lei·than; cis·mon·tane; cis·pa·dane; cis·pon·tine; cis·rhe·nane; cis·sa; cis·sam·pe·los; cis·sie; cis·sing; cis·soid; cis·sus; cis·ta·ce·ae; cis·ter·cian·ism; cis·tern; cis·ter·nal;… … English syllables
- cis- — ⇒CIS , élément préf. Élément préf. signifiant « en deçà de », formateur de composés subst. ou adj., princ. en géogr., en anat., chim. et phys. Anton. trans . A. GÉOGR. (v. aussi cisalpin, cismontain, cisrhénan empruntés au latin) : cisgangétique … Encyclopédie Universelle
- CIS — bezeichnet: Cis (Trentino), eine Gemeinde im italienischen Trentino cis (diesseits, im Gegensatz zu trans) bezeichnet: geografische Angaben wie zum Beispiel Cisjordanien, Cisleithanien in der Stereochemie eine bestimmte Anordnung von zwei… … Deutsch Wikipedia
- Cis — bezeichnet: Cis (Trentino), eine Gemeinde im italienischen Trentino einen Teil der Cis trans Isomerie ein Cis Element in der Genetik den Ton C, der um einen Halbton erhöht wurde; siehe Tonleiter den über Cis gebildeten Dur Akkord; siehe Cis Dur… … Deutsch Wikipedia
- cis — [ sis ] adj. • position cis 1895; du lat. cis « en deçà de » ♦ Chim. Se dit d un isomère organique dans lequel les atomes ou les radicaux sont situés du même côté de la molécule asymétrique. Isomères cis et isomères trans. ⇒ cis trans, cistron. ⊗ … Encyclopédie Universelle
- Cis AB — is a rare ABO Blood group antigen genotype which is phenotypically almost the same as AB. In Cis AB inheritance A and B antigen seem to be segregating as if they are in very close loci on the same chromosome. These can happen due to mutant… … Wikipedia
- cis- — [lat. = diesseits]; 1) Abk.: c ; Syn.: (Z) : kursiv zu setzender Stereodeskriptor zur Beschreibung der Stereochemie von org. Verb. oder Koordinationsverb. sowie von Reaktionsweisen. Zwei Gruppen, Substituenten oder Liganden stehen cis zueinander … Universal-Lexikon
- CIS SR-88 — Файл:Rifle SR88.jpg SR 88 Тип: автомат Страна: Сингапур История службы … Википедия
- Cis — puede referirse a: Cis, localidad y comune italiana de la provincia de Trento. Ácido graso cis Isómero cis Cis, un género de insectos coleópteros. CIS puede referirse a: Centro de Investigaciones Sociológicas, de España. Copa de la CIS … Wikipedia Español
- cis- — prefix 1》 on this side of: cislunar. ↘historical on the side nearer to Rome: cisalpine. 2》 closer to the present: cis Elizabethan. 3》 Chemistry (usu. cis ) denoting molecules in which two particular atoms or groups lie on the same side of a… … English new terms dictionary
- Обратная связь: Техподдержка, Реклама на сайте
- Путешествия
Экспорт словарей на сайты, сделанные на PHP,
WordPress, MODx.
- Пометить текст и поделитьсяИскать в этом же словареИскать синонимы
- Искать во всех словарях
- Искать в переводах
- Искать в ИнтернетеИскать в этой же категории
Поделиться ссылкой на выделенное
Прямая ссылка:
… Нажмите правой клавишей мыши и выберите «Копировать ссылку»
С чего начать внедрение ИБ большим и маленьким: изучаем CIS Controls v8
Где кончается базовая ИБ-гигиена для небольшого бизнеса и начинается киберзащита для продвинутых? Центр интернет-безопасности (CIS) обновил рекомендации по внедрению ИБ для компаний разного масштаба в свежем гайде CIS Controls 8.
Предыдущие рекомендации CIS Controls 7.1 вышли в 2019 году. В версии 7.1 сделали упор на список практик для внедрения: что именно бизнес должен сделать для защиты. В восьмой версии этот подход сохранили и учли угрозы, связанные с “пандемийными” изменениями ИТ-ландшафта: массовой работой из дома, ростом мобильных пользователей, миграцией в облака. Например, появился отдельный раздел ― контроль безопасности сервис-провайдера (мимо такого пройти не cмогли).
Мы изучили рекомендации CIS для разных бизнесов и выделили самое интересное.

Развитие подхода CIS к внедрению ИБ
В старых версиях CIS Controls эксперты делили систему информационной безопасности на разделы по уровням: от базового к организационному. Такой подход оказался не очень удобным: небольшие компании порой зависали на базовом уровне и не добирались до важных рекомендаций следующего этапа, например, не делали бэкапы на случай атак программ-вымогателей.

Поэтому авторы обновленных рекомендаций приоритизировали для компаний не разделы ИБ, а список конкретных действий по защите информации.
Еще в предыдущей версии CIS Controls 7.1 все меры информационной безопасности поделили на 3 группы внедрения:
- Минимальное внедрение (IG 1). Это уровень базовой ИБ-гигиены для любого бизнеса. В первоначальный список попали 43 практики для защиты от массовых атак. Этих мер будет достаточно для небольших компаний с ограниченной экспертизой в области кибербезопасности.
- Расширенное внедрение (IG 2). В расширенном списке помимо 43 минимальных было 97 дополнительных практик ― для бизнеса с более сложной оргструктурой и несколькими профилями безопасности. Например, если часть отделов работают с конфиденциальными данными клиентов и для них нужна дополнительная защита, в том числе от направленных атак. Как правило, в таких компаниях уже есть выделенные специалисты по информационной безопасности.
- Максимальное внедрение (IG 3). Здесь к 140 практикам из расширенного списка добавили еще 31 действие. Полный список должен защитить от сложных направленных атак и снизить риск эксплуатации уязвимостей “нулевого дня”. Такой вариант ― для крупных и социально значимых компаний, которым нужно защищать данные большого числа пользователей и клиентов. Как правило, в таких компаниях развитая служба ИБ с разными специалистами: пентестерами, риск-менеджерами и т.п.
В CIS Controls версии 8 часть пунктов объединили и сократили количество разделов и практик. Получилось 18 разделов, а внутри 153 практики.

В общем, получилось: для минимального внедрения достаточно 56, для расширенного — 130.
CIS 7.1
What Does Cis Mean? Cisgender Definition

For example, if a person is assigned male at birth and identifies as a boy or man, the person would be considered cis or cisgender.
Are all cisgenders straight?
Cisgender is a term associated with a person’s gender identity and not their sexual or romantic orientation. So a cisgender person can be straight or have sexual or romantic attractions to all, some, or no genders. Straight people are heterosexual and heteroromantic, meaning they prefer having sex with people of the opposite gender.
For example, a straight cisgender male may have a sexual and romantic attraction toward a female. But cisgenders can also be gay, lesbian, bisexual, or asexual.
How is transgender different from cisgender?
People who do not identify with their assigned gender at birth may refer to themselves as trans, which includes gender identities such as transgender, nonbinary, and genderqueer.
Transgender is an umbrella term for people whose gender identity or expressions do not fit the cultural expectations based on the sex they were assigned at birth. They do not have a specific sexual orientation and may identify as straight, gay, lesbian, and bisexual.
Trans people may have a condition called gender dysphoria, where they are extremely distressed about their assigned sex at birth, resulting in gender transition. Trans people also face many stigmas and inequalities when compared to cis people, including:
- Higher risk of violence and sexual assault on transwomen
- Lack of health insurance
- Higher rates of unemployment
- Lack of training for doctors and nurses in caring for transgender people
- Housing issues
- No legal protection
- Higher rates of harassment in workplaces
- Poor acceptance in the society
How does gender relate to gender expression?
Gender expression is the way in which a person chooses to express their gender identity, whether through:
- Physical appearance
- Behavior
- Clothing
- Name and pronouns
A person of any gender identity can express their gender in different ways. Some cisgender people may conform to gender norms, while others may be hesitant to do so.
What does it mean to be intersex?
Intersex people are born with bodies that have both male and female characteristics. According to the Intersex Campaign for Equality, there are three main ways an intersex person may identify themselves:
- Some may be cisgender or identify with their assigned sex. They may use the terms “male,” “female,” “woman,” “man,” “intersex man,” or “intersex woman.”
- Some may not identify with their assigned sex and may be comfortable being the opposite sex.
- Some may identify as neither male nor female, while some identify as both.

QUESTION
Health Solutions From Our Sponsors
