Edasi peamenüüsse Edasi sisusse

Mis on CIS meetmed?

CIS meetmed on võrdlemisi väike arv prioriseeritud, läbi kontrollitud ja toetatud turvameetmeid, mida organisatsioonid saavad rakendada, et hinnata ja parandada enda küberturvalisuse taset. CIS meetmed muudavad küsimuse “Mida peaks tegema meie organisatsioon?” küsimuseks “Mida me kõik üheskoos peaksime tegema, et tõsta küberturvalisust kõige laiemas mõistes?”.

See pole “üks-lahendus-sobib-kõigile” mudel, ei sisult ega prioriteetidelt. Igaüks peab ise hindama, mis on kriitiline tema konkreetsele ärile, andmetele, süsteemidele, võrkudele ja infrastruktuurile. Tuleb arvestada konkureerivaid ja kohati vastukäivaid võimalusi, mis võivad mõjutada kogu äri või mingi kindla tegevusvaldkonna edukust. Isegi väikest arvu meetmeid ei saa juurutada samaaegselt, vajalik on plaan olukorra hindamiseks, meetmete rakendamiseks ning kogu juurutusprotsessi juhtimiseks.

Lae alla PDF

Rakendusrühmad

Rakendusrühm 1 (RR1)

RR1 organisatsioon on väikese kuni keskmise suurusega, piiratud IT- ja küberturberessursside ja -asjatundlikkusega, mida ta suudab eraldada IT-varade ja töötajate kaitsmisele. Nende organisatsioonide peamine mure on hoida äri toimivana ja minimeerida katkestusi teenuste töös. Kaitstavate andmete tundlikkus on madal, põhiliselt piirduvad need andmed personali- ja finantsinfoga. Siiski võib olla väikeseid ja keskmise suurusega organisatsioone, kes vastutavad tundlike andmete töötlemise eest ja seetõttu kuuluvad kõrgemasse rakendusrühma. RR1 jaoks valitud alammeetmed peaksid olema rakendatavad ka vähese küberturbepädevuse puhul ja nad on mõeldud kaitseks üldiste, mitte süsteemselt organisatsiooni vastu suunatud rünnete eest. Need alammeetmed on üldjuhul rakendatavad laiatarbe-riistvara ja-tarkvara (Commercial-off-the-Shelf (COTS)) kasutades.

Rakendusrühm 2 (RR2)

RR2 organisatsioonis on tööl spetsialistid, kes vastutavad IT-taristu haldamise ja kaitsmise eest. Need organisatsioonid koosnevad üldjuhul erineva riskitaseme ja eesmärkidega osakondadest. Osal organisatsiooni allüksustel võivad olla õigusaktidest tulenevad vastavusnõuded. RR2 organisatsioonid talletavad ja töötlevad sageli tundlikku kliendi- või ettevõtte teavet ja saavad aktsepteerida vaid lühikesi teenusekatkestusi. Suur mure on avalikkuse usalduse kaotus rikkumiste korral. RR2 jaoks kirjeldatud alammeetmed aitavad küberturbetöötajatel kergemini toime tulla tegevuste suurema keerukusega. Mõned alammeetmed nõuavad suurettevõtetele mõeldud tehnoloogilisi lahendusi ning erioskusi selliste lahenduste juurutamiseks ja konfigureerimiseks.

Rakendusrühm 3 (RR3)

RR3 organisatsioon kasutab turvaeksperte, kes on spetsialiseerunud erinevatele küberturbe tahkudele (nt riskijuhtimine, pen-testid, rakenduste turvalisus). RR3 organisatsiooni süsteemid sisaldavad tundlikku informatsiooni või funktsioone, mille suhtes kohaldatakse regulatiivset ja vastavusjärelevalvet. RR3 organisatsioon peab tagama nõuetekohase teenuste käideldavuse ning andmete konfidentsiaalsuse ja terviklikkuse. Edukad küberründed võivad põhjustada märkimisväärset avalikku kahju. RR3 alammeetmed peavad arvestama kompetentse vastase sihipäraste rünnakutega ja vähendama nullpäeva rünnete mõju.

Kõikide meetmete loetelu ja kirjeldused Exceli failina on alla laetav siit.