CIS
CIS Implementeringsgrupper
CIS-kontrollerne bør implementeres prioriteret i den række de forekommer, men det er ikke alle kontroller, der skal vælges for enhver virksomhed. CIS har inddelt kontrollerne i 3 grupper – de såkaldte implementeringsgrupper (v7.1 / v8) – som er tilpasset 3 niveauer af cybersikkerhed. Er man i gruppe 2 skal både kontrollerne i første og anden implementeringsgruppe anvendes, mens man i implementeringsgruppe tre skal anvende alle kontroller. I CIS v7.1 er der 171 underkontroller, mens der i CIS v8 er 153 underkontroller.
Jeg vil gerne vide mere om CIS Implementeringsgrupper
Implementeringsgruppe 1
CIS kontrollerne i v8 definerer implementeringsgruppe 1 (IG1) som essentiel cyberhygiejne og repræsenterer en ny minimumsstandard for informations sikkerhed for alle virksomheder. IG1 er starten på CIS kontrollerne og består af et grundlæggende sæt af 56 cyberforsvarstiltag. Sikkerhedsforanstaltningerne inkluderet i IG1 er, hvad enhver virksomhed bør anvende for at forsvare sig mod de mest almindelige cyberangreb.
I de fleste tilfælde er en IG1-virksomhed typisk lille til mellemstor med begrænset IT- og cyber-sikkerhedsekspertise dedikeret til at beskytte IT-aktiver og -personale. En fælles bekymring for disse virksomheder er at holde virksomheden i drift, da de har en begrænset tolerance for nedetid.
Følsomheden af de data, de forsøger at beskytte, er lav og vedrører primært medarbejder- og økonomiske oplysninger. Sikkerhedsforanstaltningerne udvalgt til IG1 bør kunne implementeres med begrænset cybersikkerhedsekspertise og sigte mod at forhindre generelle, ikke-målrettede angreb. Disse sikkerhedsforanstaltninger vil typisk være designet til at fungere sammen med små eller mindre virksomheder med standard hardware og software.
Implementeringsgruppe 2
IG2 består af 74 yderligere sikkerhedsforan-staltninger og bygger på de 56 sikkerheds-foranstaltninger, der er defineret i IG1. IG2 virksomheder er typisk mellemstore- og større virksomheder. De 74 sikkerhedsforanstaltninger, der er valgt til IG2, kan hjælpe sikkerhedsteams med at klare øget operationel kompleksitet. Nogle sikkerhedsforanstaltninger vil afhænge af højt specialiseret teknologi i og ekspertise til korrekt installation og konfiguration.
En IG2-virksomhed beskæftiger personer, der er ansvarlige for at administrere og beskytte IT-infrastruktur. Disse virksomheder understøtter typisk flere afdelinger med forskellige risikoprofiler baseret på jobfunktion. IG2-virksomheder gemmer og behandler ofte følsomme klient- eller virksomhedsoplysninger og kan modstå korte afbrydelser af deres tjenester. En stor bekymring er tab af offentlighedens tillid, hvis der opstår et brud.
Implementeringsgruppe 3
IG3 består af yderligere 23 sikkerhedsforan-staltninger og henvender sig til Enterprise virksomheder eller virksomheder / offentlige myndigheder med en helt særlig risikoprofil. Den bygger på de sikkerhedsforanstaltninger, der er identificeret i IG1 (56) og IG2 (74), i alt de 153 sikkerhedsforanstaltninger i CIS kontrollerne v8.
En IG3-virksomhed beskæftiger almindeligvis sikkerhedseksperter, der specialiserer sig i de forskellige facetter af cybersikkerhed (f.eks. risikostyring, penetrationstest og applikationssikkerhed). IG3-aktiver og data indeholder følsomme oplysninger eller funktioner, der er underlagt regulativer og lovkrav. En IG3-virksomhed skal forholde sig til tilgængeligheden af tjenester og fortroligheden og integriteten af følsomme data. Vellykkede angreb kan forårsage betydelig skade på den offentlige velfærd.
Sikkerhedsforanstaltninger, der er valgt til IG3, skal modvirke målrettede angreb fra en sofistikeret modstander og reducere virkningen af zero-day-angreb.
Dediko’s CIS Analysemodel
Se mere om vores CIS analysemodel som giver et hurtigt, målbart og pragmatisk indblik i cybersikkerhedsscoren og nemt kan formidles til hele organisationen, herunder ledelsen. Du får en vejledning til at komme frem til den accepterede risiko og anbefalinger til budget, FTE, processer, kontroller og software til at automatisere implementeringen.
Se vores YouTube video om CIS analyse