آموزش کنترل های امنیتی ۲۰ گانه CIS

آموزش کنترل های امنیتی ۲۰ گانه CIS

همزمان با رشد و گسترش روز افزون زیرساخت های فناوری اطلاعات، موضوع تامین امنیت به یکی از اساسی ترین و مهم ترین دغدغه های موجود در این حوزه بدل شده است. سازمان های کوچک و بزرگ با خرید تجهیزات و تدوین فعالیت ها و برنامه های گوناگون بیش از همیشه مسئله ی امنیت را مد نظر قرار داده و سعی در تامین بی کم و کاست آن دارند. کنترل های امنیتی حیاتی (CIS CSC 20)، به عنوان بهترین دستورالعمل های اجرایی در تامین امنیت سایبری شناخته می شوند.

این پروژه در سال ۲۰۰۸ به دنبال بروز آسیب های شدید امنیتی در سازمان های دفاعی امریکا کلید خورد و در ابتدا موسسه Sans اقدام به تهیه این دستورالعمل ها کرد. در سال ۲۰۱۳ شورای امنیت سایبری CCS (Council on Cyber Security) و سرانجام در ۲۰۱۵ CIS عهده دار این پروژه شدند. کنترل های CIS20 به شکلی تهیه شده اند که امکان اجرای کلیه فعالیت های مرتبط با تامین امنیت را در لایه های مختلف پیاده سازی، نظارت و اجرا فراهم می کنند.

سرفصل های دوره:

۱. Basic CIS Controls

• ۱. Inventory and Control of Hardware Assets
• ۲. Inventory and Control of Software Assets
• ۳. Continuous Vulnerability Management
• ۴. Controlled Use of Administrative Privileges
• ۵. Secure Configuration for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers
• ۶. Maintenance, Monitoring and Analysis of Audit Logs

۲. Foundational CIS Controls

• ۷. Email and Web Browser Protections
• ۸. Malware Defenses
• ۹. Limitation and Control of Network Ports, Protocols and Services
• ۱۰. Data Recovery Capabilities
• ۱۱. Secure Configuration for Network Devices, such as Firewalls, Routers and Switches
• ۱۲. Boundary Defense
• ۱۳. Data Protection
• ۱۴. Controlled Access Based on the Need to Know
• ۱۵. Wireless Access Control
• ۱۶. Account Monitoring and Control

۳. Organizational CIS Controls

• ۱۷. Implement a Security Awareness and Training Program
• ۱۸. Application Software Security
• ۱۹. Incident Response and Management
• ۲۰. Penetration Tests and Red Team Exercises

حاصل دوره:

افرادی که خواهان افزایش امنیت سازمان خود هستد پس از مشاهده این دوره و پیاده سازی مطالب بیان شده در نهاد خود می توانند خیال شان از جهت نفوذ به سازمان اسوده شود. در این کنترل ها به علت تمرکز بر خودکارسازی میزان خطای انسانی به شدت کاهش می یابد. این بیست کنترل جامع نه تنها یک نقشه راه دقیق و برنامه مدون برای تضمین امنیت در سازمان ارائه می دهند بلکه تمامی فعالیت های سازمان را بر اساس بودجه و نیاز مرتبط اولویت بندی کرده و در نهایت امکان مقابله و کنترل کلیه تهدیدات شناخته شده را فراهم می آورند.