Використання шаблонів CIS Бенчмарк для виконання вимог міжнародного стандарту ISO/IEC 27001:2022

Abstract

Розглянуто проблему розвитку нових методів і векторів атак на критичну інфра- структуру і відповіді на загрози, які виникають через впровадження визнаних стандартів у галузі інформаційної безпеки, таких як ISO 27001. Проведено аналіз оновленої редакції міжнародного стандарту ISO/IEC 27001 2022 року і, зокрема, основних змін у контролях управління. Здійснено детальний аналіз нового контролю безпеки з Додатку А – A.8.9 – Управління налаштуваннями (Configuration management) і можливих способів його ефективного впровадження в організаціях. Запропоновано використання конфігураційних стандартів від Центру інтернет- безпеки (CIS – Center for Internet Security) CIS Бенчмарк (Benchmark) як одного з най- ефективніших способів забезпечення захисту активів організації і впровадження найкра- щих галузевих практик безпеки. Внаслідок проведеного аналізу і дослідження виявлено чіткий зв’язок і залежність між використанням CIS Бенчмарків і задоволенням вимог пункту A.8.9 – Управління на- лаштуваннями стандарту ISO/IEC 27001:2022. Наведено класифікацію CIS Бенчмарків та описано перелік основних моментів впровадження на прикладі серверної інфра- структури.The problem of developing new methods and vectors of attacks on critical infrastructure and responding to emerging threats through the implementation of recognized standards in the field of information security, such as ISO 27001, was considered. The updated edition of the international standard ISO/IEC 27001 of 2022 and, in particular, the main changes in the structure of controls were analyzed. A detailed analysis of the new security control from Appendix A – A.8.9 – Configuration Management and possible ways of its effective implementation in organizations were carried out. The use of configuration standards CIS Benchmark from the Center for Internet Security (CIS) is proposed as an effective way to ensure the protection of the organization’s assets and the implementation of the best industry security practices. As a result of the conducted analysis and research, a clear connection and dependence between the use of the CIS Benchmark and compliance with the requirements of clause A.8.9 – ConfigurationManagement of the ISO/IEC 27001:2022 standard was revealed. The classification of CIS Benchmark is presented and the list of key implementation points is described using the example of server infrastructure.