Hvad er CIS 20 CSC?

CIS 20 CSC er et pragmatisk gratis community framework, som blev formuleret i 2008 af Tony Sager fra NSA. 20 CSC bygger på kontroller, der ville have stoppet virkelige (Cyber)angreb (som formuleret fx i Verizons DBIR rapporter og Mandiant M-Trends).

De 20 CSC er bl.a. blevet brugt af den Australske regering til at vise. hvordan man ved blot at gennemføre de 4 første kontroller kan mindske sandsynligheden for en sikkerhedsbrist med mellem 85-93%. Læs mere her.

 

20 CSC danner grundlag for mange organisationers ”Hvad skal vi gøre i praksis” og ved at bruge disse kontroller opnår man bl.a:

- At gøre IT Sikkerheden målbar*

- At skyde genvej fx til dele af ISO 27002***

- At foretage en prioriteret indsats, der højner IT Sikkerheden, så den passer til det accepterede niveau af risiko**

- At have et grundlag for opfyldelse af forordningens artikler om behandlingssikkerhed og notifikationspligt

*Kun når IT Sikkerhed bliver målbar kan ledelsen af organisationen tildele de nødvendige ressourcer uden hvilke IT Sikkerheden sjældent bliver rigtigt effektiv.

**Det handler ikke om at blive ”100 % sikker” men at definere det niveau af risiko, organisationen vil acceptere og justere IT Sikkerheden herefter. Husk at dette er en kontinuerlig proces og ikke et projekt der slutter.

***20CSC konkurrerer ikke med ISO27002 men er en pragmatisk, prioriteret og målbar genvej til IT Sikkerhed, som hurtigt kan gennemføres og som kan mappes direkte mod ISO27002, hvis man ønsker det.

 

Læs mere her;

Se artikel om ISO2700x på siden https://advisera.com/27001academy/  

CSC mapping -andre frameworks: https://www.sans.org/security-resources/posters/20-critical-security-controls/55/download (se side 2)

Løsningers relevans for de enkelte CSC: https://www.sans.org/media/critical-security-controls/critical-controls-poster-2016.pdf (se side 2)