2008年5月20日,互联网安全中心(CIS)公布了一组度量信息安全的公开发布。该组织致力于帮助“企业减少从不足技术安全控制结果的企业和电子商务中断的风险。点击这里了解更多关于CIS的使命。”他们的包机最后更新于2002年,网上有充分的说明。
2008年5月20日,互联网安全中心(CIS)公布了一组度量信息安全的公开发布。该组织致力于帮助“企业减少从不足技术安全控制结果的企业和电子商务中断的风险。点击这里了解更多关于CIS的使命。”他们的包机最后更新于2002年,网上有充分的说明。
最简单地说,独联体国家正致力于建立基准 - 即,可衡量的目标 - 基于安全从业人员的真实世界的贡献。其描述总结他们的过程如下:
该中心提供了基于部署,配置和联网系统的运行中识别出最佳实践互联网安全基准。该中心的安全性增强的基准包括基于互联网的攻击和破坏所有三个因素:技术(软件和硬件),工艺(系统和网络管理)和人(最终用户和管理行为)。该基准是开放的,也就是说,公开提供给大家。
该中心的互联网安全基准的目的是:
•提供经理,业务合作伙伴和保险承保人与安全“尺子”,在标尺上的每个增量代表一组的安全增强措施。此安全统治者使组织能够选择安全级别被认为适合该企业,并实现与选择的安全级别相关的具体技术措施;
•包括可以在和攻击,以减少损失之后才实施,干预措施;和
•受定制,在适当情况下,针对特定行业和风险状况,例如那些由医疗行业需要实现1996年健康保险流通与责任法案(HIPAA)的广泛私密性和安全性的要求。
没有执法机制技术要求很少有效。为了确保基准超过纸制品,该中心将开发和部署:
•合规/审计方法,包括由该中心的认证,以确保高效,准确的遵守基准自动化供应商的工具;
对于系统管理员和审计员•认可准则,以使他们能够证明对基准执行和审计能力的较高水平,
•保持机密性,鼓励独联体成员和其他人分享信息,支持维持基准上最新的方法。
网络攻击将继续;因此,基准将得到加强和更新,以确保现有的基准,以实际损失作出回应。
独联体方面取得了一系列免费提供的技术指标;一个简单的注册过程后,游客们可以下载任何或所有以下类别(详见菜单)的特定文档(PDF)和工具(可执行文件和脚本)的:
•应用程序;例如。,
•Web服务器
•数据库
•虚拟机
• 操作系统
•视窗
•* nix中
• 苹果电脑
•苹果iPhone
•路由器
•防火墙
• 无线网络
90页的概述所谓的“共识指标定义V1.0.0“包括以下几个方面:
•事件管理
•漏洞管理
•补丁管理
•应用程序的安全性
• 配置管理
•金融
作为本说明书的样式的一个例子中,“事件管理”的讨论(第10页起)开始于表2(“安全事件表”)数据的属性“应该被完全填充尽可能为每个安全事件”。该表具有以下的列:
• 名称
•类型
•去标识
•必需的
•描述
表2包括以下项目:
•事件ID
•发生的日期
•发现日期
•发现的
•通过内部控制检测
• 经核实
•验证日期
•遏制日期
•恢复日期
•努力程度
•G [R] OSS损失金额
•业务系统宕机
•事故范围
•受影响的系统
•受影响的组织
•分类
• 根本原因
• 优先
•起源的国家
• 目的地国家
该文件然后用深入具体指标的定义继续;例如,平均时间至事件发现(第13页)具有以下目标:
“均值 - 时间 - 事件发现(MTTID)表征的检测的事件,通过测量入射的初始发生和其随后发现之间的平均经过时间的效率。该MTTID度量也作为在弹性的领先指标组织防御,因为它针对从已知的载体和未知的攻击检测“。
它的描述如下:
“平均时间对事件发现(MTTID)测量组织的有效性检测安全事故,一般情况下更快组织可以检测事件,少破坏,很可能招致。MTTID是平均量时间,以小时为单位,即经过发生的日期和发现的一组给定的事件的日期之间。该计算可以在一个时间周期进行平均,事件,业务单元或严重性的类型“。
根本的问题是,“什么是安全事件的发生,它的发现之间的平均小时(平均)是多少?”
该目标被描述如下:“MTTID值应该随着时间的推移走低的值‘0小时’表示假想的即时检测时间有证据度量结果可能是从周范围内个月(2008年Verizon的数据泄露报告。)。由于从领域缺乏经验数据的,在可接受的目标的值的范围没有共识存在MTTIDs“。
讨论继续使用,限制和引用。
我认为,我们所有人在场上应该关注这个概述文件和具体指标由CIS提供。通过共同努力,通过我们的集体智慧和经验,以提高这些文件,我们可以建立和记录集体智慧惠及我们所有的组织和我们的利益相关者。