Điểm quy chuẩn CIS là gì? Tiêu chuẩn CIS thể hiện được tầm quan trọng trong môi trường kỹ thuật số, bởi nó cung cấp cho chuyên gia bảo mật các phương pháp hay điểm quy chuẩn CIS tối ưu nhất để triển khai bảo vệ sản phẩm từ những nhà cung cấp khác nhau. Để có thể hiểu hơn về vấn đề này, mời bạn đọc tham khảo nội dung được chúng tôi tổng hợp bên dưới đây!
Contents
Điểm quy chuẩn CIS là gì?
Điểm quy chuẩn CIS từ Trung tâm bảo mật Internet (Center for Internet Security) chính là một tập hợp những phương pháp tốt nhất được xây dựng từ sự đồng thuận và được công nhận trên toàn cầu. Từ đó giúp các chuyên gia bảo mật triển khai và đồng thời quản lý hệ thống phòng vệ an ninh mạng.
Điểm quy chuẩn CIS được phát triển bởi một cộng đồng quốc tế gồm các chuyên gia bảo mật. Những hướng dẫn trong quy chuẩn này giúp tổ chức, doanh nghiệp chủ động bảo vệ trước rủi ro mới nổi lên. Khi các tổ chức, công ty triển khai hướng dẫn điểm quy chuẩn CIS sẽ giới hạn những lỗ hổng bảo mật dựa trên cấu hình trong tài sản kỹ thuật số của họ.
Ý nghĩa điểm quy chuẩn CIS
Điểm quy chuẩn CIS là công cụ có ý nghĩa quan trọng, vì chúng phác thảo các biện pháp thực hành tốt nhất về bảo mật do hệ thống chuyên gia bảo mật và chuyên gia nghiệp vụ phát triển nhằm phục vụ công tác triển khai hơn 25 sản phẩm khác nhau của nhà cung cấp.
Những biện pháp thực hành tốt nhất chính là điểm khởi đầu ý tưởng trong việc tạo ra một kế hoạch triển khai sản phẩm hoặc dịch vụ mới, hay xác minh mức độ bảo mật của những bản triển khai hiện có. Khi tiến hành triển khai điểm quy chuẩn CIS, tổ chức có thể bảo mật các hệ thống cũ một cách tốt hơn; chống lại những rủi ro thông thường và rủi ro mới nổi bằng cách thực hiện các bước sau:
- Tắt các cổng không sử dụng.
- Loại bỏ quyền cho ứng dụng không cần thiết.
- Giới hạn cho các đặc quyền quản trị.
Lợi ích của việc áp dụng điểm quy chuẩn CIS
Nhờ việc áp dụng điểm quy chuẩn CIS, tổ chức có thể thu về một số lợi ích an ninh mạng như sau:
1. Sử dụng hướng dẫn an ninh mạng của chuyên gia
Điểm quy chuẩn CIS cung cấp cho các tổ chức một khung cấu hình bảo mật đã được chuyên gia kiểm định và chứng minh. Do đó giúp các tổ chức có thể tránh được tình huống thử nghiệm, lỗi khiến tính bảo mật bị đe dọa và đồng thời hưởng lợi từ kiến thức chuyên môn của cộng đồng CNTT cũng như an ninh mạng đa dạng.
2. Sử dụng các tiêu chuẩn bảo mật đã được công nhận trên toàn cầu
Điểm quy chuẩn CIS chính là hướng dẫn về biện pháp thực hành tốt nhất và duy nhất được chính phủ, doanh nghiệp, viện nghiên cứu, tổ chức học thuật công nhận và chấp nhận ở trên toàn cầu.
Vì có một cộng đồng toàn cầu và đa dạng hoạt động theo mô hình đưa ra, được quyết định dựa trên sự đồng thuận; thế nên điểm quy chuẩn CIS có khả năng ứng dụng và chấp nhận sâu rộng hơn nhiều so với luật và tiêu chuẩn bảo mật ở cấp độ khu vực.
3. Ngăn chặn những mối đe dọa, tiết kiệm chi phí
Tài liệu về điểm quy chuẩn CIS cung cấp miễn phí, mọi người có thể tải về và tiến hành triển khai; có thể nhận hướng dẫn miễn phí mới nhất, theo từng bước đối với tất cả loại hình hệ thống CNTT. Đồng thời cũng có thể giành được quyền quản trị CNTT, tránh được thiệt hại về tài chính và danh tiếng bắt nguồn từ các mối đe dọa bảo mật mạng có thể ngăn chặn được.
4. Tuân thủ quy định
Điểm quy chuẩn CIS phù hợp với khung bảo mật và quyền riêng tư dữ liệu chính. Ví dụ:
- Khung an ninh mạng của Viện tiêu chuẩn và công nghệ quốc gia Hoa Kỳ (NIST).
- Đạo luật về Trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế 1996 (HIPAA)
- Tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán (PCI DSS).
Việc triển khai điểm quy chuẩn CIS chính là một bước tiến lớn để đạt được khả năng tuân thủ đối với tổ chức hoạt động trong những ngành chịu sự quản lý chặt chẽ. Nó giúp ngăn chặn sự cố về tuân thủ do hệ thống CNTT bị cấu hình sai.
Các loại hệ thống CNTT điểm quy chuẩn CIS bao quát
Hiện nay, CIS đã phát hành hơn 100 điểm quy chuẩn trải rộng trên 25 dòng sản phẩm của các nhà cung cấp. Khi thực hiện ứng dụng và tiến hành theo dõi điểm quy chuẩn CIS trên tất cả các loại hệ thống CNTT, tổ chức có thể xây dựng được môi trường CNTT bảo mật và có thêm phòng vệ bằng các giải pháp bảo mật.
Nói chung, những công nghệ mà điểm quy chuẩn CIS bao quát có thể được chia thành 7 nhóm sau:
1. Hệ điều hành
Điểm quy chuẩn CIS dành cho hệ điều hành cung cấp những cấu hình bảo mật tiêu chuẩn cho hệ điều hành phổ biến gồm cả Amazon Linux. Các điểm quy chuẩn này gồm những biện pháp thực hành tốt nhất dành cho các tính năng. Cụ thể:
- Biện pháp kiểm soát truy cập trên hệ điều hành.
- Chính sách nhóm.
- Cài đặt trình duyệt web.
- Quản lý bản vá lỗi tốt nhất.
2. Cơ sở hạ tầng đám mây
Điểm quy chuẩn CIS dành cho cơ sở hạ tầng sẽ cung cấp tiêu chuẩn bảo mật, tổ chức có thể sử dụng để cấu hình bảo mật các môi trường đám mây. Tài liệu là các hướng dẫn biện pháp thực hành tốt nhất để cài đặt mạng ảo, cấu hình quản lý danh tính, kiểm soát tuân thủ và bảo mật,…
3. Phần mềm máy chủ
Điểm quy chuẩn CIS dành cho phần mềm máy chủ sẽ cung cấp cấu hình mức cơ sở và đề xuất để cài đặt máy chủ. Đồng thời kiểm soát quản trị máy chủ, cài đặt lưu trữ và phần mềm máy chủ từ nhà cung cấp phổ biến.
4. Phần mềm máy tính
Điểm quy chuẩn CIS bao quát phần lớn hệ thống phần mềm máy tính thường được tổ chức sử dụng. Hướng dẫn sẽ bao gồm biện pháp thực hành tốt nhất để quản lý tính năng phần mềm máy tính như:
- Phần mềm máy tính bên thứ ba
- Cài đặt trình duyệt
- Đặc quyền truy cập
- Tài khoản người dùng
- Quản lý thiết bị khách
5. Thiết bị di động
Điểm quy chuẩn CIS dành cho thiết bị di động sẽ bao quát cấu hình bảo mật cho hệ điều hành chạy trên điện thoại di động, máy tính bảng và một số thiết bị cầm tay khác. Chúng cung cấp những đề xuất cho cài đặt trình duyệt di động, quyền ứng dụng, cài đặt quyền riêng tư,…
6. Thiết bị mạng
Điểm quy chuẩn CIS cung cấp cấu hình bảo mật cho thiết bị mạng như tường lửa, bộ định tuyến, bộ chuyển mạch và mạng riêng ảo (VPN). Chúng chứa đề xuất không phụ thuộc vào nhà cung cấp và đề xuất theo nhà cung cấp cụ thể, từ đó đảm bảo thiết lập và quản lý những thiết bị mạng này một cách an toàn.
7. Thiết bị in ấn đa chức năng
Điểm quy chuẩn CIS dành cho thiết bị mạng ngoại vi như máy in đa chức năng, máy quét và máy photocopy; sẽ bao quát biện pháp thực hành tốt nhất về cấu hình bảo mật là cài đặt chia sẻ tệp, hạn chế quyền truy cập và cập nhật phần mềm điều khiển (firmware).
Triển khai điểm quy chuẩn CIS như thế nào?
Mỗi điểm quy chuẩn CIS bao gồm 1 mô tả về đề xuất, lý do cho đề xuất đó và hướng dẫn cụ thể mà quản trị viên hệ thống có thể thực hiện theo để triển khai đề xuất một cách chính xác nhất. Mỗi điểm quy chuẩn CIS có thể gồm vài trăm trang vì nó bao quát cho từng khía cạnh của hệ thống CNTT đích.
Việc triển khai điểm quy chuẩn CIS cũng như cập nhật tất cả phiên bản phát hành sẽ trở nên phức tạp nếu thực hiện theo cách thủ công. Đó cũng chính là lý do mà nhiều tổ chức sử dụng công cụ tự động để theo dõi cụ khả năng tuân thủ CIS.
Hiện nay, CIS cũng đã cung cấp những công cụ miễn phí và mất phí có thể tham khảo sử dụng để quét hệ thống CNTT và tạo báo cáo tuân thủ CIS. Đặc biệt, các công cụ này sẽ đưa ra cảnh báo cho quản trị viên hệ thống nếu như cấu hình hiện tại không thể đáp ứng đề xuất điểm quy chuẩn CIS.
Quy trình phát triển điểm quy chuẩn CIS
Cộng đồng CIS sẽ thực hiện theo một quy trình độc đáo dựa trên sự đồng thuận để phát triển, phê duyệt và duy trì. Điểm quy chuẩn CIS dành cho các hệ thống đích là khác nhau nhưng nhìn chung thì quy trinh phát triển điểm quy chuẩn CIS gồm các bước sau:
- Bước 1: Cộng đồng tiến hành xác định nhu cầu về điểm quy chuẩn cụ thể.
- Bước 2: Tổ chức, công ty sẽ thiết lập phạm vi điểm quy chuẩn.
- Bước 3: Các tình nguyện viên tạo dựng chủ đề thảo luận ở trên trang web của cộng đồng CIS WorkBench.
- Bước 4: Các chuyên gia từ cộng đồng CIS của hệ thống CNTT cụ thể sẽ dành thời gian để xem xét và thảo luận về bản nháp.
- Bước 5: Các chuyên gia tạo dựng, thảo luận và kiểm thử đề xuất của họ cho đến khi đạt được sự đồng thuận.
- Bước 6: Tổ chức, công ty hoàn thiện điểm quy chuẩn rồi phát hành lên trang web của CIS.
- Bước 7: Sẽ có thêm nhiều tình nguyện viên từ cộng đồng tham gia vào việc thảo luận về điểm quy chuẩn CIS.
- Bước 8: Nhóm đồng thuận cân nhắc các phản hồi từ người triển khai điểm quy chuẩn.
- Bước 9: Tổ chức, công ty tiến hành sửa đổi và cập nhật lên phiên bản điểm quy chuẩn CIS mới.
Lưu ý: Việc phát hành các phiên bản điểm quy chuẩn CIS mới sẽ phụ thuộc vào những thay đổi hoặc sự nâng cấp đối với hệ thống CNTT tương ứng.
Tìm hiểu về các cấp độ của điểm quy chuẩn CIS
Nhằm giúp các tổ chức đạt được mục tiêu bảo mật duy nhất của mình, CIS đã chỉ định cấp độ cấu hình cho từng hướng dẫn điểm quy chuẩn CIS. Theo đó, mỗi cấu hình CIS gồm đề xuất cung cấp 1 cấp độ bảo mật khác nhau và tổ chức có thể chọn cấu hình dựa vào nhu cầu bảo mật và và tuân thủ của mình.
1. Cấu hình cấp độ 1
Đề xuất cấu hình cấp độ 1 là đề xuất bảo mật cơ bản để tạo cấu hình hệ thống CNTT. Theo đó, các tổ chức có thể dễ dàng thực hiện theo những đề xuất đó mà không tác động đến chức năng kinh doanh hoặc thời gian hoạt động.
Những đề xuất này sẽ giảm số lượng điểm truy cập hệ thống CNTT, để qua đó giúp giảm rủi ro về an ninh mạng.
2. Cấu hình cấp độ 2
Đề xuất cấu hình cấp độ 2 rất phù hợp với dữ liệu có độ nhạy cảm cao cần ưu tiên bảo mật. Quá trình triển khai đề xuất cấu hình 2 đòi hỏi kiến thức chuyên môn từ chuyên gia và cả 1 kế hoạch chu đáo để đạt được khả năng bảo mật toàn diện, hoặc chỉ gián đoạn ở mức tối thiểu. Ngoài ra, việc triển khai các đề xuất cấu hình cấp độ 2 cũng góp phần đạt được khả năng tuân thủ quy định.
3. Cấu hình STIG
Kỹ thuật bảo mật (STIG) là tập hợp các cấu hình mức cơ sở từ Cơ quan hệ thống thông tin quốc phòng (DISA) do Bộ Quốc phòng Hoa Kỳ phát hành và duy trì. Cấu hình STIG được biên soạn riêng để đáp ứng yêu cầu của chính phủ Hoa Kỳ.
Điểm quy chuẩn CIS cũng được chỉ định cấu hình STIG ở cấp độ 3 giúp các tổ chức tuân thủ STIG. Cấu hình STIG sẽ chứa đề xuất của cấu hình cấp độ 1 và cấp độ 2 dành riêng cho STIG, và đồng thời cung cấp thêm nhiều đề xuất mà cả 2 cấu hình còn lại không bao quát nhưng vẫn nằm trong yêu cầu STIG của DISA.
Khi cấu hình hệ thống theo điểm quy chuẩn CIS STIG thì môi trường CNTT của các tổ chức cũng sẽ phải tuân thủ cả CIS và STIG.
Nội dung trên đây là toàn bộ kiến thức để trả lời cho câu hỏi điểm quy chuẩn CIS là gì được chúng tôi tổng hợp để chia sẻ đến bạn đọc. Mong rằng đã hữu ích với bạn trong việc tìm hiểu về vấn đề an ninh mạng hiện nay!
Xem thêm:: Typography là gì?
Tôi là Phạm Xuân Thanh – Tôi đã có kinh nghiệm hơn 3 năm review đánh giá về các loại máy móc công nghiệp, thiết bị vệ sinh công nghiệp, cách chăm sóc xe hơi. Tôi hy vọng những kiến thức mà tôi chia sẻ có thể giúp mọi người hiểu rõ hơn về các công dụng, chức năng của các loại thiết bị công nghiệp và các cách chăm sóc xe hơi này.
