CIS 18 (Critical Information Security Controls 18) er et sæt kontrolforanstaltninger etableret af Center for Internet Security (CIS). Dette beskriver, hvordan D&M overholder kravene i forhold til cybertrusler.
1. Inventar og kontrol af hardwareaktiver:
Vi administrerer aktivt (opgør, sporer og korrigerer) alle hardwareenheder på netværket.
2. Inventar og kontrol af softwareaktiver:
Vi administrerer aktivt (opgør, sporer og korrigerer) al software på netværket.
3. Løbende sårbarhedsstyring:
Vi indhenter, vurderer og handler løbende på ny information med henblik på at identificere sårbarheder, afhjælpe disse og minimere mulighedsvinduet for angribere.
4. Kontrolleret anvendelse af administrative rettigheder:
Vi råder over processer og værktøjer til at spore/kontrollere/forhindre/korrigere brugen, tildelingen og konfigurationen af administrative rettigheder på computere, netværk og applikationer.
5. Sikker konfiguration af hardware og software på mobile enheder, bærbare computere, arbejdsstationer og servere:
Vi har etableret, implementeret og aktivt administreret (sporet, rapporteret om og korrigeret) sikkerhedskonfigurationen af mobile enheder, bærbare computere, servere og arbejdsstationer ved hjælp af en stringent konfigurationsstyring og ændringskontrolproces for at forhindre angribere i at udnytte sårbare tjenester og indstillinger.
6. Vedligeholdelse, overvågning og analyse af revisionslogge:
Vi indsamler, administrerer og analyserer revisionslogge over hændelser, der kan bidrage til at opdage, forstå eller genoprette efter et angreb.
7. Beskyttelse af e-mail og webbrowsere:
Vi minimerer angrebsfladen og mulighederne for, at angribere kan manipulere menneskelig adfærd via interaktion med webbrowsere og e-mailsystemer.
8. Forsvar mod malware:
Vi råder over kontroller til at forebygge, opdage og reagere på malware.
9. Begrænsning og kontrol af netværksporte, protokoller og tjenester:
Vi administrerer (sporer/kontrollerer/korrigerer) den løbende operative anvendelse af porte, protokoller og tjenester på netværkstilsluttede enheder med henblik på at minimere sårbarhedsvinduerne, der er tilgængelige for angribere.
10. Datagendannelseskapacitet:
Vi råder over processer og værktøjer til korrekt sikkerhedskopiering af kritisk information med en afprøvet metode til rettidig gendannelse heraf.
11. Sikker konfiguration af netværksenheder, såsom firewalls, routere og switches:
Vi har etableret, implementeret og aktivt administreret (sporet, rapporteret om og korrigeret) sikkerhedskonfigurationen af netværksinfrastrukturenheder ved hjælp af en stringent konfigurationsstyring og ændringskontrolproces for at forhindre angribere i at udnytte sårbare tjenester og indstillinger.
12. Grænsefladeforsvар:
Vi har opdaget/forhindret/korrigeret informationsstrømmen mellem netværk med forskellige tillidsniveauer med fokus på sikkerhedsskadelige data.
13. Databeskyttelse:
Vi råder over processer og værktøjer til at forhindre dataudtrækning, afbøde virkningerne af udtrukne data og sikre fortroligheden og integriteten af følsomme oplysninger.
14. Kontrolleret adgang baseret på behov for indsigt:
Vi råder over processer og værktøjer til at spore/kontrollere/forhindre/korrigere sikker adgang til kritiske aktiver i overensstemmelse med den formelle fastlæggelse af, hvilke personer, computere og applikationer der har behov for og ret til at tilgå disse aktiver baseret på en godkendt klassificering.
15. Kontrol af trådløs adgang:
Vi råder over processer og værktøjer til at spore/kontrollere/forhindre/korrigere den sikkerhedsmæssige anvendelse af trådløse lokalnetværk (LAN), adgangspunkter og trådløse klientsystemer.
16. Kontoovervågning og -kontrol:
Vi administrerer aktivt livscyklussen for system- og applikationskonti – deres oprettelse, anvendelse, inaktivitet og sletning – med henblik på at minimere mulighederne for angribere til at udnytte dem.
17. Vurdering af sikkerhedskompetencer og relevant uddannelse til at udfylde mangler:
Vi råder over processer og værktøjer til at identificere behovet for medarbejderuddannelse og til at gennemføre denne uddannelse.
18. Hændelsesrespons og -styring:
Vi har etableret og opretholdt en kapacitet til hændelsesrespons.