СОИБ. Лучшие практики. 20 наиболее важных мер ИБ от CIS

Сергей Борисов 09 Ноября 2015 - 11:01

...

Как-то я пропустил момент, когда Twenty Critical Security Controls for Effective Cyber Defense или Top 20 от SANS превратился в The Center for Internet Security (CIS) Critical Security Controls for Effective Cyber Defense. Произошло это между версиями 4.1 и 5. Далее для повышения эффективности объединились некоммерческие организации Council on CyberSecurity(CCS) и the Center for Internet Security (CIS). А октябре 2015 года вышла уже версия 6.0

Принципы и основная структура документа не изменились. Подробности о них можно почитать одной из предыдущих статей этого блога. Давайте посмотрим, что существенного изменилось:

•

Убрали категорирование подконтролей по сложности и цели (Quick wins, Visiblity, Improved, Advanced)

•

Добавили категорирование подконтролей по области защиты: System, Network, Application

•

Существенно повысили приоритет меры “контролируемое использование административных привилегий” (Controlled Use of Administrative Privileges) – с 12 на 5 место

•

Удалили из числа 20 наиболее важных меру “Разработка защищенной сети” (Secure Network Engineering), которая заключалась в разработке и применении дизайна сети с разделением на зоны разной степени защищенности

•

Добавили новую меру в число наиболее важных “Безопасная работа электронной почты и web сайтами” (Email and Web Browser Protections), которая включает правильную настройку email клиентов и web браузеров, фильтрацию и аудит web и email трафика

•

Для простоты планирования и оценки пронумеровали все подмеры вторым уровнем (CSC 1.1, CSC 1.2, … , CSC 2.1, CSC 2.2, …)

•

Разделы мер, связанные с измерениями (Metric) и тестированием (Test) вынесли в отдельный документ A Measurement Companion to the CIS Critical Security Controls. Измерения ИБ стали более четкими, с разделением по подпунктам (1.1, 1.2, …), с указанием рекомендуемых диапазонов значений для разных уровней риска.

•

Поменялся (а точнее потерялся) рекомендованный план применения Top 20. В версии 4.1 предлагалось начать с обязательного внедрения первых 5 мер + наиболее быстрых и эффективных подмер (quick wins) из всех мер, далее нужно было запланировать и поэтапно внедрять более сложные подмеры, обеспечивая при этом их постоянный мониторинг и измерение. В версии 6.0 говорится о необходимости внедрения в первую очередь первых 5 мер (связано с национальной публичной компанией Cyber Hygiene, в которой более простым языком описана необходимость и применение первых 5 мер, и которая рассчитывает на максимально широкий круг пользователей), далее порядок применения на усмотрение организации, но нужны все 20 мер.

Что осталось прежним: концепция, заключающаяся в том, что внедрение этих Top 20 мер защитит от большинства угроз ИБ; меры и подмеры отсортированы в порядке приоритета и в таком же порядке их предлагается внедрять (сначала CSC 1 потом CSC 2 … , сначала CSC 1.1 потом CSC1.2 ….); простота мер, их небольшое количество, четкие схемы взаимодействия, простота измерений и проверки, а так-же большое количество организаций и экспертов работающих над совершенствованием документа – делают его полезной лучшей практикой.

К сожалению, для версии 6.0 пока нет таблицы соответствия мерам NIST800-53, а эту таблицу я использовал для построения соответствия с мерами из приказов ФСТЭК 17, 21, 31. Но думаю, что в ближайшее время обновлю таблицу из предыдущей статьи.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Июня 2026 - 08:51

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

VLESS+REALITY больше не магия: ТСПУ бьёт по поведению

На Хабре запустили новое обсуждение вокруг работы ТСПУ и методов блокировки VPN-трафика. Пользователь darkisdark опубликовал масштабный разбор, в котором утверждает: эпоха простого сигнатурного анализа фактически закончилась, а на смену ей пришла поведенческая фильтрация соединений.

По словам автора, если раньше многие решения могли обходить ограничения за счёт маскировки TLS-отпечатков и имитации обычного HTTPS-трафика, то теперь этого уже недостаточно.

ТСПУ якобы анализирует не содержимое пакетов, а поведение соединений: какие TLS-отпечатки используются, сколько параллельных подключений создаётся и к каким подсетям направляется трафик.

Именно этим darkisdark объясняет массовые сбои VLESS+REALITY, которые пользователи начали фиксировать в феврале и особенно активно — в июне 2026 года.

Типичная картина выглядит так: клиент показывает статус «Connected», соединение формально установлено, но данные не передаются. Интернет словно зависает, хотя явной блокировки нет.

Автор подчёркивает, что большая часть технических деталей основана на инженерной реконструкции поведения системы и наблюдениях исследователей, а не на официальной документации. Тем не менее он считает, что новая схема способна затрагивать не только инструменты обхода блокировок, но и обычные сервисы.

В качестве примера приводится инцидент с Delta Chat, когда под ограничения попали TLS-соединения, использующие определённый отпечаток библиотеки Rust ring, что вызвало проблемы у ряда хостинг-провайдеров.

Главный вывод автора: больше не существует неблокируемых протоколов. Побеждает не технология, которая выглядит как обычный HTTPS, а та инфраструктура, которая успевает адаптироваться быстрее, чем системы фильтрации учатся её распознавать.

При этом darkisdark отдельно предупреждает, что многие цифры и пороги срабатывания, фигурирующие в обсуждениях, остаются гипотезами и требуют независимого подтверждения.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!