De CIS Controls (voorheen bekend als de SANS Critical Security Controls) is een internationaal geaccepteerd framework/publicatie van best practice richtlijnen voor ICT-beveiliging van een organisatie.
Deze richtlijnen bestaan uit 20 maatregelen, verdeeld over een drietal groepen: basic, foundational en organizational. In tegenstelling tot de ISO27001 zijn de CIS Controls meer technisch van insteek.
De 20 CIS Controls zijn ieder voorzien van meerdere subcontrols. In totaal zijn dit er meer dan 180. Vanaf versie 7.1 van de CIS Controls is er een definiëring op basis van 3 groepen (Implementation groups) uitgewerkt.
Deze 3 groepen zijn bedoeld om een verschil toe te kennen aan verschillende soorten organisaties (o.a. grote van de organisatie) en de daar bij behorende security volwassenheid.
Group 1 past bij een kleine organisatie met (43) basis security maatregelen;
Group 2 past bij een wat grotere organisatie met (140) basis en uitgebreide security maatregelen;
Group 3 past bij een zeer security volwassen organisatie met (171) basis en zeer uitgebreide security maatregelen.
Het CIS-controle framework is opgebouwd in drie delen:
Basismaatregelen
De basis bestaat uit informatiebeveiligingsmaatregelen die iedere organisatie op orde moet hebben. Zoals het beheer op hardware en applicaties die binnen de organisatie aanwezig zijn. Het beheren van kwetsbaarheden in ICT-systemen, controle op administrator rechten, beheer van veilige en standaard configuraties voor alle desktops, laptops en servers. Beheer, monitoring en in een later stadium ook analyse van de -security- logs van ICT-systemen.
Fundamentele maatregelen
Het fundament gaat een stap verder dan de basis en richt zich op het implementeren van informatiebeveiligingssystemen en procedures. Deze zijn niet voor iedere organisatie hetzelfde. CIS maakt bij het fundament onderscheid tussen zelfstandig ondernemers, MKB-bedrijven en multinationals.
Fundamentele informatiebeveiligingsmaatregelen bestaan uit beveiliging tegen malware, beveiliging van het bedrijfsnetwerk, het beveiligen en back-uppen van bedrijfsdata, beheren en beveiligen van standaard configuraties van netwerkapparatuur. Controle op ICT-accounts en het beveiligen van externe toegang tot het bedrijfsnetwerk.
Organisatorische maatregelen
Organistische informatiebeveiligingsmaatregelen richten zich op de procesmatige kant van informatiebeveiliging. Voorbeelden hiervan zijn, het implementeren van een training en awareness programma om medewerkers bewust te laten worden van informatiebeveiligingsrisico’s en handvaten aan te reiken om met deze risico’s om te gaan. Implementeren van processen kan de organisatie helpen om informatiebeveiligingsincidenten in goede banen te leiden. Daarbij is het mogelijk om de informatiebeveiliging te laten testen door specialisten volgens vastgestelde cycli.
Wil je meer weten over het CIS-controle Framework? > Lees hier meer