SecHard

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Current »

The Center for Internet Security (CIS) tarafından yayınlanan "CIS Controls v8" adlı güvenlik kontrol listesine uyumluluk anlamına gelir. Bu kontrol listesi, kuruluşlar için bir dizi temel güvenlik kontrolünü tanımlamaktadır. 

CIS V8 Compliance'ın amacı, kuruluşları siber saldırılara karşı korumaktır. Bu amaçla, kontrol listesinde bilgi güvenliğinin temel ilkeleri olan gizlilik, bütünlük ve erişilebilirlik kapsamında çeşitli tedbirlere yer verilmiştir. Bu tedbirler arasında, erişim kontrolü, veri şifreleme, ağ güvenliği, sistem güncellemeleri ve personel eğitimi gibi önlemler yer almaktadır.

CIS V8 Compliance, CIS tarafından çıkarılmıştır. Bu kontrol listesi, 2023 yılında yayınlanmıştır.

CIS V8 Compliance, her türden kuruluş için faydalı olabilir. Ancak, özellikle aşağıdaki kuruluşlar için kullanılması önerilir:

·         Kritik altyapıya sahip kuruluşlar

·         Büyük ve karmaşık kuruluşlar

·         Siber saldırılara karşı hassas olan kuruluşlar

CIS V8 Compliance'ın sağladığı faydalar şunlardır:

·         Kuruluşları siber saldırılara karşı korur.

·         Kuruluşların bilgi güvenliği risklerini azaltır.

·         Kuruluşların uyumluluk yükümlülüklerini yerine getirmesine yardımcı olur.

·         Kuruluşların itibarını güçlendirir.

CIS V8 Compliance'a uyum sağlamak için, kuruluşların kontrol listesinde yer alan tedbirleri almaları gerekmektedir. Bu tedbirlerin alınması, kuruluşların siber saldırılara karşı korunmasına yardımcı olacaktır.

CIS V8 Compliance'ın kapsamı, bilgi güvenliğinin tüm unsurlarını kapsamaktadır. Bu unsurlar arasında, bilgi ve iletişim sistemleri, bilgi ve iletişim sistemlerinde kullanılan yazılım ve donanım, bilgi ve iletişim sistemlerine erişim sağlayan kişiler ve bilgi ve iletişim sistemlerinde işlenen veriler yer almaktadır.

CIS V8 Compliance'a uyum sağlamak için, kuruluşların aşağıdaki adımları atmaları gerekmektedir:

  1. Kontrol listesini inceleyin ve kuruluşunuz için önemli olan kontrolleri belirleyin.

  2. Belirlediğiniz kontroller için eylem planları geliştirin.

  3. Eylem planlarını uygulayın ve kontrollerin etkinliğini değerlendirin.

CIS V8 Compliance, kuruluşların siber saldırılara karşı korunmasına yardımcı olacak önemli bir araçtır.

CIS V8 Compliance ile CIS V7.1 compliance arasındaki temel farklar şunlardır:

·         CIS V8 Compliance, CIS V7.1 compliance'a göre daha kapsamlıdır.

·         CIS V8 Compliance, bulut bilişim ve mobil cihazlar gibi yeni teknolojileri kapsamaktadır.

·         CIS V8 Compliance, kuruluşların siber saldırılara karşı daha etkin bir şekilde korunmasına yardımcı olacak yeni kontroller içermektedir.

CIS V8 Compliance, kuruluşların siber saldırılara karşı korunma kapasitelerini geliştirmek için önemli bir araçtır.

 

Madde

Uygulanabilirlik

1.1 - Establish and Maintain Detailed Enterprise Asset Inventory

Uygulanabilir

1.2 - Address Unauthorized Assets

Uygulanabilir

1.3 - Utilize an Active Discovery Tool

Uygulanabilir

1.4 - Use Dynamic Host Configuration Protocol (DHCP) Logging to Update Enterprise Asset Inventory

Uygulanabilir Değil

1.5 - Use a Passive Asset Discovery Tool

Uygulanabilir

2.1 - Establish and Maintain a Software Inventory

Uygulanabilir

2.2 - Ensure Authorized Software is Currently Supported

Uygulanabilir Değil

2.3 - Address Unauthorized Software

Uygulanabilir

2.4 - Utilize Automated Software Inventory Tools

Uygulanabilir

2.5 - Allowlist Authorized Software

Uygulanabilir Değil

2.6 - Allowlist Authorized Libraries

Uygulanabilir Değil

2.7 - Allowlist Authorized Scripts

Uygulanabilir Değil

3.1 - Establish and Maintain a Data Management Process

Uygulanabilir Değil

3.2 - Establish and Maintain a Data Inventory

Uygulanabilir Değil

3.3 - Configure Data Access Control Lists

Uygulanabilir Değil

3.4 - Enforce Data Retention

Uygulanabilir Değil

3.5 - Securely Dispose of Data

Uygulanabilir Değil

3.6 - Encrypt Data on End-User Devices

Uygulanabilir Değil

3.7 - Establish and Maintain a Data Classification Scheme

Uygulanabilir Değil

3.8 - Document Data Flows

Uygulanabilir Değil

3.9 - Encrypt Data on Removable Media

Uygulanabilir Değil

3.10 - Encrypt Sensitive Data in Transit

Uygulanabilir Değil

3.11 - Encrypt Sensitive Data at Rest

Uygulanabilir Değil

3.12 - Segment Data Processing and Storage Based on Sensitivity

Uygulanabilir Değil

3.13 - Deploy a Data Loss Prevention Solution

Uygulanabilir Değil

3.14 - Log Sensitive Data Access

Uygulanabilir Değil

4.1 - Establish and Maintain a Secure Configuration Process

Uygulanabilir

4.2 - Establish and Maintain a Secure Configuration Process for Network Infrastructure

Uygulanabilir

4.3 - Configure Automatic Session Locking on Enterprise Assets

Uygulanabilir Değil

4.4 - Implement and Manage a Firewall on Servers

Uygulanabilir Değil

4.5 - Implement and Manage a Firewall on End-User Devices

Uygulanabilir Değil

4.6 - Securely Manage Enterprise Assets and Software

Uygulanabilir

4.7 - Manage Default Accounts on Enterprise Assets and Software

Uygulanabilir

4.8 - Uninstall or Disable Unnecessary Services on Enterprise Assets and Software

Uygulanabilir

4.9 - Configure Trusted DNS Servers on Enterprise Assets

Uygulanabilir Değil

4.10 - Enforce Automatic Device Lockout on Portable End-User Devices

Uygulanabilir Değil

4.11 - Enforce Remote Wipe Capability on Portable End-User Devices

Uygulanabilir Değil

4.12 - Separate Enterprise Workspaces on Mobile End-User Devices

Uygulanabilir Değil

5.1 - Establish and Maintain an Inventory of Accounts

Uygulanabilir

5.2 - Use Unique Passwords

Uygulanabilir Değil

5.3 - Disable Dormant Accounts

Uygulanabilir Değil

5.4 - Restrict Administrator Privileges to Dedicated Administrator Accounts

Uygulanabilir Değil

5.5 - Establish and Maintain an Inventory of Service Accounts

Uygulanabilir

5.6 - Centralize Account Management

Uygulanabilir

6.1 - Establish an Access Granting Process

Uygulanabilir Değil

6.2 - Establish an Access Revoking Process

Uygulanabilir Değil

6.3 - Require MFA for Externally-Exposed Applications

Uygulanabilir Değil

6.4 - Require MFA for Remote Network Access

Uygulanabilir Değil

6.5 - Require MFA for Administrative Access

Uygulanabilir Değil

6.6 - Establish and Maintain an Inventory of Authentication and Authorization Systems

Uygulanabilir

6.7 - Centralize Access Control

Uygulanabilir

6.8 - Define and Maintain Role-Based Access Control

Uygulanabilir Değil

7.1 - Establish and Maintain a Vulnerability Management Process

Uygulanabilir

7.2 - Establish and Maintain a Remediation Process

Uygulanabilir

7.3 - Perform Automated Operating System Patch Management

Uygulanabilir Değil

7.4 - Perform Automated Application Patch Management

Uygulanabilir Değil

7.5 - Perform Automated Vulnerability Scans of Internal Enterprise Assets

Uygulanabilir

7.6 - Perform Automated Vulnerability Scans of Externally-Exposed Enterprise Assets

Uygulanabilir Değil

7.7 - Remediate Detected Vulnerabilities

Uygulanabilir

8.1 - Establish and Maintain an Audit Log Management Process

Uygulanabilir Değil

8.2 - Collect Audit Logs

Uygulanabilir

8.3 - Ensure Adequate Audit Log Storage

Uygulanabilir Değil

8.4 - Standardize Time Synchronization

Uygulanabilir

8.5 - Collect Detailed Audit Logs

Uygulanabilir

8.6 - Collect DNS Query Audit Logs

Uygulanabilir Değil

8.7 - Collect URL Request Audit Logs

Uygulanabilir Değil

8.8 - Collect Command-Line Audit Logs

Uygulanabilir Değil

8.9 - Centralize Audit Logs

Uygulanabilir

8.10 - Retain Audit Logs

Uygulanabilir

8.11 - Conduct Audit Log Reviews

Uygulanabilir Değil

8.12 - Collect Service Provider Logs

Uygulanabilir Değil

9.1 - Ensure Use of Only Fully Supported Browsers and Email Clients

Uygulanabilir

9.2 - Use DNS Filtering Services

Uygulanabilir Değil

9.3 - Maintain and Enforce Network-Based URL Filters

Uygulanabilir Değil

9.4 - Restrict Unnecessary or Unauthorized Browser and Email Client Extensions

Uygulanabilir Değil

9.5 - Implement DMARC

Uygulanabilir Değil

9.6 - Block Unnecessary File Types

Uygulanabilir Değil

9.7 - Deploy and Maintain Email Server Anti-Malware Protections

Uygulanabilir Değil

10.1 - Deploy and Maintain Anti-Malware Software

Uygulanabilir Değil

10.2 - Configure Automatic Anti-Malware Signature Updates

Uygulanabilir Değil

10.3 - Disable Autorun and Autoplay for Removable Media

Uygulanabilir Değil

10.4 - Configure Automatic Anti-Malware Scanning of Removable Media

Uygulanabilir Değil

10.5 - Enable Anti-Exploitation Features

Uygulanabilir Değil

10.6 - Centrally Manage Anti-Malware Software

Uygulanabilir Değil

10.7 - Use Behavior-Based Anti-Malware Software

Uygulanabilir Değil

11.1 - Establish and Maintain a Data Recovery Process

Uygulanabilir Değil

11.2 - Perform Automated Backups

Uygulanabilir Değil

11.3 - Protect Recovery Data

Uygulanabilir

11.4 - Establish and Maintain an Isolated Instance of Recovery Data

Uygulanabilir Değil

11.5 - Test Data Recovery

Uygulanabilir Değil

12.1 - Ensure Network Infrastructure is Up-to-Date

Uygulanabilir Değil

12.2 - Establish and Maintain a Secure Network Architecture

Uygulanabilir Değil

12.3 - Securely Manage Network Infrastructure

Uygulanabilir Değil

12.4 - Establish and Maintain Architecture Diagram(s)

Uygulanabilir Değil

12.5 - Centralize Network Authentication Authorization and Auditing (AAA)

Uygulanabilir Değil

12.6 - Use of Secure Network Management and Communication Protocols

Uygulanabilir Değil

12.7 - Ensure Remote Devices Utilize a VPN and are Connecting to an Enterprise’s AAA Infrastructure

Uygulanabilir Değil

12.8 - Establish and Maintain Dedicated Computing Resources for All Administrative Work

Uygulanabilir Değil

13.1 - Centralize Security Event Alerting

Uygulanabilir

13.2 - Deploy a Host-Based Intrusion Detection Solution

Uygulanabilir Değil

13.3 - Deploy a Network Intrusion Detection Solution

Uygulanabilir Değil

13.4 - Perform Traffic Filtering Between Network Segments

Uygulanabilir Değil

13.5 - Manage Access Control for Remote Assets

Uygulanabilir Değil

13.6 - Collect Network Traffic Flow Logs

Uygulanabilir Değil

13.7 - Deploy a Host-Based Intrusion Prevention Solution

Uygulanabilir Değil

13.8 - Deploy a Network Intrusion Prevention Solution

Uygulanabilir Değil

13.9 - Deploy Port-Level Access Control

Uygulanabilir Değil

13.10 - Perform Application Layer Filtering

Uygulanabilir Değil

13.11 - Tune Security Event Alerting Thresholds

Uygulanabilir Değil

14.1 - Establish and Maintain a Security Awareness Program

Uygulanabilir Değil

14.2 - Train Workforce Members to Recognize Social Engineering Attacks

Uygulanabilir Değil

14.3 - Train Workforce Members on Authentication Best Practices

Uygulanabilir Değil

14.4 - Train Workforce on Data Handling Best Practices

Uygulanabilir Değil

14.5 - Train Workforce Members on Causes of Unintentional Data Exposure

Uygulanabilir Değil

14.6 - Train Workforce Members on Recognizing and Reporting Security Incidents

Uygulanabilir Değil

14.7 - Train Workforce on How to Identify and Report if Their Enterprise Assets are Missing Security Updates

Uygulanabilir Değil

14.8 - Train Workforce on the Dangers of Connecting to and Transmitting Enterprise Data Over Insecure Networks

Uygulanabilir Değil

14.9 - Conduct Role-Specific Security Awareness and Skills Training

Uygulanabilir Değil

15.1 - Establish and Maintain an Inventory of Service Providers

Uygulanabilir Değil

15.2 - Establish and Maintain a Service Provider Management Policy

Uygulanabilir Değil

15.3 - Classify Service Providers

Uygulanabilir Değil

15.4 - Ensure Service Provider Contracts Include Security Requirements

Uygulanabilir Değil

15.5 - Assess Service Providers

Uygulanabilir Değil

15.6 - Monitor Service Providers

Uygulanabilir Değil

15.7 - Securely Decommission Service Providers

Uygulanabilir Değil

16.1 - Establish and Maintain a Secure Application Development Process

Uygulanabilir Değil

16.2 - Establish and Maintain a Process to Accept and Address Software Vulnerabilities

Uygulanabilir Değil

16.3 - Perform Root Cause Analysis on Security Vulnerabilities

Uygulanabilir Değil

16.4 - Establish and Manage an Inventory of Third-Party Software Components

Uygulanabilir Değil

16.5 - Use Up-to-Date and Trusted Third-Party Software Components

Uygulanabilir Değil

16.6 - Establish and Maintain a Severity Rating System and Process for Application Vulnerabilities

Uygulanabilir

16.7 - Use Standard Hardening Configuration Templates for Application Infrastructure

Uygulanabilir Değil

16.8 - Separate Production and Non-Production Systems

Uygulanabilir Değil

16.9 - Train Developers in Application Security Concepts and Secure Coding

Uygulanabilir Değil

16.10 - Apply Secure Design Principles in Application Architectures

Uygulanabilir Değil

16.11 - Leverage Vetted Modules or Services for Application Security Components

Uygulanabilir Değil

16.12 - Implement Code-Level Security Checks

Uygulanabilir Değil

16.13 - Conduct Application Penetration Testing

Uygulanabilir Değil

16.14 - Conduct Threat Modeling

Uygulanabilir Değil

17.1 - Designate Personnel to Manage Incident Handling

Uygulanabilir Değil

17.2 - Establish and Maintain Contact Information for Reporting Security Incidents

Uygulanabilir Değil

17.3 - Establish and Maintain an Enterprise Process for Reporting Incidents

Uygulanabilir Değil

17.4 - Establish and Maintain an Incident Response Process

Uygulanabilir Değil

17.5 - Assign Key Roles and Responsibilities

Uygulanabilir

17.6 - Define Mechanisms for Communicating During Incident Response

Uygulanabilir Değil

17.7 - Conduct Routine Incident Response Exercises

Uygulanabilir Değil

17.8 - Conduct Post-Incident Reviews

Uygulanabilir Değil

17.9 - Establish and Maintain Security Incident Thresholds

Uygulanabilir Değil

18.1 - Establish and Maintain a Penetration Testing Program

Uygulanabilir Değil

18.2 - Perform Periodic External Penetration Tests

Uygulanabilir Değil

18.3 - Remediate Penetration Test Findings

Uygulanabilir

18.4 - Validate Security Measures

Uygulanabilir Değil

18.5 - Perform Periodic Internal Penetration Tests

Uygulanabilir Değil

  • No labels