SecHard
5.2.2. CIS V8 Compliance
- seda peker
- Abdullah Can Çakar
The Center for Internet Security (CIS) tarafından yayınlanan "CIS Controls v8" adlı güvenlik kontrol listesine uyumluluk anlamına gelir. Bu kontrol listesi, kuruluşlar için bir dizi temel güvenlik kontrolünü tanımlamaktadır.
CIS V8 Compliance'ın amacı, kuruluşları siber saldırılara karşı korumaktır. Bu amaçla, kontrol listesinde bilgi güvenliğinin temel ilkeleri olan gizlilik, bütünlük ve erişilebilirlik kapsamında çeşitli tedbirlere yer verilmiştir. Bu tedbirler arasında, erişim kontrolü, veri şifreleme, ağ güvenliği, sistem güncellemeleri ve personel eğitimi gibi önlemler yer almaktadır.
CIS V8 Compliance, CIS tarafından çıkarılmıştır. Bu kontrol listesi, 2023 yılında yayınlanmıştır.
CIS V8 Compliance, her türden kuruluş için faydalı olabilir. Ancak, özellikle aşağıdaki kuruluşlar için kullanılması önerilir:
· Kritik altyapıya sahip kuruluşlar
· Büyük ve karmaşık kuruluşlar
· Siber saldırılara karşı hassas olan kuruluşlar
CIS V8 Compliance'ın sağladığı faydalar şunlardır:
· Kuruluşları siber saldırılara karşı korur.
· Kuruluşların bilgi güvenliği risklerini azaltır.
· Kuruluşların uyumluluk yükümlülüklerini yerine getirmesine yardımcı olur.
· Kuruluşların itibarını güçlendirir.
CIS V8 Compliance'a uyum sağlamak için, kuruluşların kontrol listesinde yer alan tedbirleri almaları gerekmektedir. Bu tedbirlerin alınması, kuruluşların siber saldırılara karşı korunmasına yardımcı olacaktır.
CIS V8 Compliance'ın kapsamı, bilgi güvenliğinin tüm unsurlarını kapsamaktadır. Bu unsurlar arasında, bilgi ve iletişim sistemleri, bilgi ve iletişim sistemlerinde kullanılan yazılım ve donanım, bilgi ve iletişim sistemlerine erişim sağlayan kişiler ve bilgi ve iletişim sistemlerinde işlenen veriler yer almaktadır.
CIS V8 Compliance'a uyum sağlamak için, kuruluşların aşağıdaki adımları atmaları gerekmektedir:
Kontrol listesini inceleyin ve kuruluşunuz için önemli olan kontrolleri belirleyin.
Belirlediğiniz kontroller için eylem planları geliştirin.
Eylem planlarını uygulayın ve kontrollerin etkinliğini değerlendirin.
CIS V8 Compliance, kuruluşların siber saldırılara karşı korunmasına yardımcı olacak önemli bir araçtır.
CIS V8 Compliance ile CIS V7.1 compliance arasındaki temel farklar şunlardır:
· CIS V8 Compliance, CIS V7.1 compliance'a göre daha kapsamlıdır.
· CIS V8 Compliance, bulut bilişim ve mobil cihazlar gibi yeni teknolojileri kapsamaktadır.
· CIS V8 Compliance, kuruluşların siber saldırılara karşı daha etkin bir şekilde korunmasına yardımcı olacak yeni kontroller içermektedir.
CIS V8 Compliance, kuruluşların siber saldırılara karşı korunma kapasitelerini geliştirmek için önemli bir araçtır.
Madde | Sechard Tarafından Uygulanabilirlik |
|---|---|
1.1 - Establish and Maintain Detailed Enterprise Asset Inventory | Uygulanabilir |
1.2 - Address Unauthorized Assets | Uygulanabilir |
1.3 - Utilize an Active Discovery Tool | Uygulanabilir |
1.4 - Use Dynamic Host Configuration Protocol (DHCP) Logging to Update Enterprise Asset Inventory | Uygulanabilir Değil |
1.5 - Use a Passive Asset Discovery Tool | Uygulanabilir |
2.1 - Establish and Maintain a Software Inventory | Uygulanabilir |
2.2 - Ensure Authorized Software is Currently Supported | Uygulanabilir Değil |
2.3 - Address Unauthorized Software | Uygulanabilir |
2.4 - Utilize Automated Software Inventory Tools | Uygulanabilir |
2.5 - Allowlist Authorized Software | Uygulanabilir Değil |
2.6 - Allowlist Authorized Libraries | Uygulanabilir Değil |
2.7 - Allowlist Authorized Scripts | Uygulanabilir Değil |
3.1 - Establish and Maintain a Data Management Process | Uygulanabilir Değil |
3.2 - Establish and Maintain a Data Inventory | Uygulanabilir Değil |
3.3 - Configure Data Access Control Lists | Uygulanabilir Değil |
3.4 - Enforce Data Retention | Uygulanabilir Değil |
3.5 - Securely Dispose of Data | Uygulanabilir Değil |
3.6 - Encrypt Data on End-User Devices | Uygulanabilir Değil |
3.7 - Establish and Maintain a Data Classification Scheme | Uygulanabilir Değil |
3.8 - Document Data Flows | Uygulanabilir Değil |
3.9 - Encrypt Data on Removable Media | Uygulanabilir Değil |
3.10 - Encrypt Sensitive Data in Transit | Uygulanabilir Değil |
3.11 - Encrypt Sensitive Data at Rest | Uygulanabilir Değil |
3.12 - Segment Data Processing and Storage Based on Sensitivity | Uygulanabilir Değil |
3.13 - Deploy a Data Loss Prevention Solution | Uygulanabilir Değil |
3.14 - Log Sensitive Data Access | Uygulanabilir Değil |
4.1 - Establish and Maintain a Secure Configuration Process | Uygulanabilir |
4.2 - Establish and Maintain a Secure Configuration Process for Network Infrastructure | Uygulanabilir |
4.3 - Configure Automatic Session Locking on Enterprise Assets | Uygulanabilir Değil |
4.4 - Implement and Manage a Firewall on Servers | Uygulanabilir Değil |
4.5 - Implement and Manage a Firewall on End-User Devices | Uygulanabilir Değil |
4.6 - Securely Manage Enterprise Assets and Software | Uygulanabilir |
4.7 - Manage Default Accounts on Enterprise Assets and Software | Uygulanabilir |
4.8 - Uninstall or Disable Unnecessary Services on Enterprise Assets and Software | Uygulanabilir |
4.9 - Configure Trusted DNS Servers on Enterprise Assets | Uygulanabilir Değil |
4.10 - Enforce Automatic Device Lockout on Portable End-User Devices | Uygulanabilir Değil |
4.11 - Enforce Remote Wipe Capability on Portable End-User Devices | Uygulanabilir Değil |
4.12 - Separate Enterprise Workspaces on Mobile End-User Devices | Uygulanabilir Değil |
5.1 - Establish and Maintain an Inventory of Accounts | Uygulanabilir |
5.2 - Use Unique Passwords | Uygulanabilir Değil |
5.3 - Disable Dormant Accounts | Uygulanabilir Değil |
5.4 - Restrict Administrator Privileges to Dedicated Administrator Accounts | Uygulanabilir Değil |
5.5 - Establish and Maintain an Inventory of Service Accounts | Uygulanabilir |
5.6 - Centralize Account Management | Uygulanabilir |
6.1 - Establish an Access Granting Process | Uygulanabilir Değil |
6.2 - Establish an Access Revoking Process | Uygulanabilir Değil |
6.3 - Require MFA for Externally-Exposed Applications | Uygulanabilir Değil |
6.4 - Require MFA for Remote Network Access | Uygulanabilir Değil |
6.5 - Require MFA for Administrative Access | Uygulanabilir Değil |
6.6 - Establish and Maintain an Inventory of Authentication and Authorization Systems | Uygulanabilir |
6.7 - Centralize Access Control | Uygulanabilir |
6.8 - Define and Maintain Role-Based Access Control | Uygulanabilir Değil |
7.1 - Establish and Maintain a Vulnerability Management Process | Uygulanabilir |
7.2 - Establish and Maintain a Remediation Process | Uygulanabilir |
7.3 - Perform Automated Operating System Patch Management | Uygulanabilir Değil |
7.4 - Perform Automated Application Patch Management | Uygulanabilir Değil |
7.5 - Perform Automated Vulnerability Scans of Internal Enterprise Assets | Uygulanabilir |
7.6 - Perform Automated Vulnerability Scans of Externally-Exposed Enterprise Assets | Uygulanabilir Değil |
7.7 - Remediate Detected Vulnerabilities | Uygulanabilir |
8.1 - Establish and Maintain an Audit Log Management Process | Uygulanabilir Değil |
8.2 - Collect Audit Logs | Uygulanabilir |
8.3 - Ensure Adequate Audit Log Storage | Uygulanabilir Değil |
8.4 - Standardize Time Synchronization | Uygulanabilir |
8.5 - Collect Detailed Audit Logs | Uygulanabilir |
8.6 - Collect DNS Query Audit Logs | Uygulanabilir Değil |
8.7 - Collect URL Request Audit Logs | Uygulanabilir Değil |
8.8 - Collect Command-Line Audit Logs | Uygulanabilir Değil |
8.9 - Centralize Audit Logs | Uygulanabilir |
8.10 - Retain Audit Logs | Uygulanabilir |
8.11 - Conduct Audit Log Reviews | Uygulanabilir Değil |
8.12 - Collect Service Provider Logs | Uygulanabilir Değil |
9.1 - Ensure Use of Only Fully Supported Browsers and Email Clients | Uygulanabilir |
9.2 - Use DNS Filtering Services | Uygulanabilir Değil |
9.3 - Maintain and Enforce Network-Based URL Filters | Uygulanabilir Değil |
9.4 - Restrict Unnecessary or Unauthorized Browser and Email Client Extensions | Uygulanabilir Değil |
9.5 - Implement DMARC | Uygulanabilir Değil |
9.6 - Block Unnecessary File Types | Uygulanabilir Değil |
9.7 - Deploy and Maintain Email Server Anti-Malware Protections | Uygulanabilir Değil |
10.1 - Deploy and Maintain Anti-Malware Software | Uygulanabilir Değil |
10.2 - Configure Automatic Anti-Malware Signature Updates | Uygulanabilir Değil |
10.3 - Disable Autorun and Autoplay for Removable Media | Uygulanabilir Değil |
10.4 - Configure Automatic Anti-Malware Scanning of Removable Media | Uygulanabilir Değil |
10.5 - Enable Anti-Exploitation Features | Uygulanabilir Değil |
10.6 - Centrally Manage Anti-Malware Software | Uygulanabilir Değil |
10.7 - Use Behavior-Based Anti-Malware Software | Uygulanabilir Değil |
11.1 - Establish and Maintain a Data Recovery Process | Uygulanabilir Değil |
11.2 - Perform Automated Backups | Uygulanabilir Değil |
11.3 - Protect Recovery Data | Uygulanabilir |
11.4 - Establish and Maintain an Isolated Instance of Recovery Data | Uygulanabilir Değil |
11.5 - Test Data Recovery | Uygulanabilir Değil |
12.1 - Ensure Network Infrastructure is Up-to-Date | Uygulanabilir Değil |
12.2 - Establish and Maintain a Secure Network Architecture | Uygulanabilir Değil |
12.3 - Securely Manage Network Infrastructure | Uygulanabilir Değil |
12.4 - Establish and Maintain Architecture Diagram(s) | Uygulanabilir Değil |
12.5 - Centralize Network Authentication Authorization and Auditing (AAA) | Uygulanabilir Değil |
12.6 - Use of Secure Network Management and Communication Protocols | Uygulanabilir Değil |
12.7 - Ensure Remote Devices Utilize a VPN and are Connecting to an Enterprise’s AAA Infrastructure | Uygulanabilir Değil |
12.8 - Establish and Maintain Dedicated Computing Resources for All Administrative Work | Uygulanabilir Değil |
13.1 - Centralize Security Event Alerting | Uygulanabilir |
13.2 - Deploy a Host-Based Intrusion Detection Solution | Uygulanabilir Değil |
13.3 - Deploy a Network Intrusion Detection Solution | Uygulanabilir Değil |
13.4 - Perform Traffic Filtering Between Network Segments | Uygulanabilir Değil |
13.5 - Manage Access Control for Remote Assets | Uygulanabilir Değil |
13.6 - Collect Network Traffic Flow Logs | Uygulanabilir Değil |
13.7 - Deploy a Host-Based Intrusion Prevention Solution | Uygulanabilir Değil |
13.8 - Deploy a Network Intrusion Prevention Solution | Uygulanabilir Değil |
13.9 - Deploy Port-Level Access Control | Uygulanabilir Değil |
13.10 - Perform Application Layer Filtering | Uygulanabilir Değil |
13.11 - Tune Security Event Alerting Thresholds | Uygulanabilir Değil |
14.1 - Establish and Maintain a Security Awareness Program | Uygulanabilir Değil |
14.2 - Train Workforce Members to Recognize Social Engineering Attacks | Uygulanabilir Değil |
14.3 - Train Workforce Members on Authentication Best Practices | Uygulanabilir Değil |
14.4 - Train Workforce on Data Handling Best Practices | Uygulanabilir Değil |
14.5 - Train Workforce Members on Causes of Unintentional Data Exposure | Uygulanabilir Değil |
14.6 - Train Workforce Members on Recognizing and Reporting Security Incidents | Uygulanabilir Değil |
14.7 - Train Workforce on How to Identify and Report if Their Enterprise Assets are Missing Security Updates | Uygulanabilir Değil |
14.8 - Train Workforce on the Dangers of Connecting to and Transmitting Enterprise Data Over Insecure Networks | Uygulanabilir Değil |
14.9 - Conduct Role-Specific Security Awareness and Skills Training | Uygulanabilir Değil |
15.1 - Establish and Maintain an Inventory of Service Providers | Uygulanabilir Değil |
15.2 - Establish and Maintain a Service Provider Management Policy | Uygulanabilir Değil |
15.3 - Classify Service Providers | Uygulanabilir Değil |
15.4 - Ensure Service Provider Contracts Include Security Requirements | Uygulanabilir Değil |
15.5 - Assess Service Providers | Uygulanabilir Değil |
15.6 - Monitor Service Providers | Uygulanabilir Değil |
15.7 - Securely Decommission Service Providers | Uygulanabilir Değil |
16.1 - Establish and Maintain a Secure Application Development Process | Uygulanabilir Değil |
16.2 - Establish and Maintain a Process to Accept and Address Software Vulnerabilities | Uygulanabilir Değil |
16.3 - Perform Root Cause Analysis on Security Vulnerabilities | Uygulanabilir Değil |
16.4 - Establish and Manage an Inventory of Third-Party Software Components | Uygulanabilir Değil |
16.5 - Use Up-to-Date and Trusted Third-Party Software Components | Uygulanabilir Değil |
16.6 - Establish and Maintain a Severity Rating System and Process for Application Vulnerabilities | Uygulanabilir |
16.7 - Use Standard Hardening Configuration Templates for Application Infrastructure | Uygulanabilir Değil |
16.8 - Separate Production and Non-Production Systems | Uygulanabilir Değil |
16.9 - Train Developers in Application Security Concepts and Secure Coding | Uygulanabilir Değil |
16.10 - Apply Secure Design Principles in Application Architectures | Uygulanabilir Değil |
16.11 - Leverage Vetted Modules or Services for Application Security Components | Uygulanabilir Değil |
16.12 - Implement Code-Level Security Checks | Uygulanabilir Değil |
16.13 - Conduct Application Penetration Testing | Uygulanabilir Değil |
16.14 - Conduct Threat Modeling | Uygulanabilir Değil |
17.1 - Designate Personnel to Manage Incident Handling | Uygulanabilir Değil |
17.2 - Establish and Maintain Contact Information for Reporting Security Incidents | Uygulanabilir Değil |
17.3 - Establish and Maintain an Enterprise Process for Reporting Incidents | Uygulanabilir Değil |
17.4 - Establish and Maintain an Incident Response Process | Uygulanabilir Değil |
17.5 - Assign Key Roles and Responsibilities | Uygulanabilir |
17.6 - Define Mechanisms for Communicating During Incident Response | Uygulanabilir Değil |
17.7 - Conduct Routine Incident Response Exercises | Uygulanabilir Değil |
17.8 - Conduct Post-Incident Reviews | Uygulanabilir Değil |
17.9 - Establish and Maintain Security Incident Thresholds | Uygulanabilir Değil |
18.1 - Establish and Maintain a Penetration Testing Program | Uygulanabilir Değil |
18.2 - Perform Periodic External Penetration Tests | Uygulanabilir Değil |
18.3 - Remediate Penetration Test Findings | Uygulanabilir |
18.4 - Validate Security Measures | Uygulanabilir Değil |
18.5 - Perform Periodic Internal Penetration Tests | Uygulanabilir Değil |
SecHard