ما المقصود بمعايير CIS؟

تم تطوير معايير CIS من خلال عملية قائمة على الإجماع تشمل مجتمعات من متخصصي الأمن الإلكتروني من جميع أنحاء العالم. يعمل الخبراء باستمرار على تحديد أفضل الممارسات الأمنية وتحسينها والتحقق من صحتها في مجالات تركيزهم لمساعدة المؤسسات على حماية أصولهم الرقمية من المخاطر الإلكترونية.

نشرت CIS أكثر من 100 معيار، تغطي 8 فئات تقنية وتغطي أكثر من 25 عائلة من منتجات البائعين.¹ وهي متوفرة من خلال تنزيل ملف مجاني بتنسيق PDF للاستخدام غير التجاري.

تساعد معايير CIS المؤسسات على تعزيز وضعها الأمني من خلال اتباع معايير أمان وإرشادات دفاع إلكتروني موصوفة ومعترف بها عالميًا. تدعم معايير CIS أيضًا حالات الاستخدام مثل الامتثال التنظيمي وحوكمة تكنولوجيا المعلومات وسياسة الأمن.

تأسست CIS في أكتوبر 2000، وهي منظمة غير ربحية تهدف إلى "جَعْل العالم المتصل أكثر أمانًا من خلال تطوير حلول أفضل الممارسات واعتمادها وتعزيزها في الوقت المناسب، لمساعدة الأفراد والشركات والحكومات على حماية أنفسهم من التهديدات الإلكترونية المنتشرة".²

مجتمعات معايير CIS، وهي مجموعة تضم أكثر من 12,000 متخصص في أمن تكنولوجيا المعلومات يساهمون في تطوير أفضل الممارسات لمعايير CIS، متاحة لأي شخص يريد المساهمة. تتكون المجتمعات من متطوعين وتضم خبراء وبائعين وكتّاب تقنيين ومختبِرين وأعضاء آخرين في CIS من جميع أنحاء العالم.

كما تضم CIS مركز Multi-State Information Sharing and Analysis Center (MS-ISAC)، والذي يوفر موارد الوقاية من التهديدات الإلكترونية والحماية والاستجابة والاسترداد للكيانات الحكومية على مستوى الولايات والحكومات المحلية والقبلية والإقليمية (SLTT) في الولايات المتحدة. وهي أيضًا المقر الرئيسي لمركز Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC)، الذي يدعم احتياجات الأمن الإلكتروني لمكاتب الانتخابات الأمريكية.³

تشير مستويات ملفات تعريف معايير CIS إلى درجات مختلفة من التوصيات الأمنية، وتحتوي على إعدادات متعددة لمختلف المنتجات.

يغطي المستوى 1 عمليات التكوينات على المستوى الأساسي التي يسهُل تنفيذها ولها تأثير ضئيل في وظائف الأعمال.

ينطبق المستوى 2 على البيئات عالية الأمن التي تتطلب مزيدًا من التنسيق والتخطيط للتنفيذ بأقل قدر من تعطل الأعمال.

تُعَد STIG مجموعة من الخطوط الأساسية للتكوين التي تتناول دليل التنفيذ التقني للأمن (STIG)، وهي معايير أمنية تنشرها وتحتفظ بها وزارة الدفاع الأمريكية (DOD) لتلبية متطلبات الحكومة الأمريكية.

يساعد ملف تعريف STIG من CIS المؤسسات على الامتثال لمعايير STIG. وتفي أنظمة الأمن التي تم تكوينها باستخدام STIG بمتطلبات التوافق مع كلٍّ من CIS وSTIG.

كما ذكرنا سابقًا، هناك أكثر من 100 معيار من معايير CIS مجمَّعة في 8 فئات لتكنولوجيا تكنولوجيا المعلومات، بما في ذلك:

• أنظمة التشغيل

• برنامج الخادم

• مزود السحابة

• الأجهزة المحمولة

• أجهزة الشبكة

• برامج سطح المكتب

• أجهزة الطباعة متعددة الوظائف

• أدوات DevSecOps

تغطي هذه الفئة تكوينات الأمن لأنظمة التشغيل الأساسية، مثل Microsoft Windows وLinux وmacOS من Apple. تتضمن هذه الإرشادات أفضل الممارسات لقيود الوصول المحلي وعن بُعد، وملفات تعريف المستخدمين، والمصادقة، وبروتوكولات تثبيت برامج التشغيل، وإعدادات متصفحات الإنترنت.

تغطي هذه الفئة تكوينات الأمن لبرامج الخادم المستخدمة على نطاق واسع، بما في ذلك Microsoft Windows Server وSQL Server وVMware. كما تدعم المنصات مفتوحة المصدر المعبأة في حاويات، مثل Docker وKubernetes.

تتضمن المعايير توصيات لتكوين شهادات Kubernetes PKI (البنية التحتية للمفتاح العام)، وإعدادات خادم واجهة برمجة التطبيقات(API)، وعناصر التحكم في مسؤول الخادم، وسياسات vNetwork، وقيود التخزين.

تتناول هذه الفئة تكوينات الأمان لخدمات Amazon Web Services (AWS)، وMicrosoft Azure، وGoogle، وIBM، وغيرها من البيئات السحابية العامة الشائعة. تتضمن المعايير إرشادات أمن السحابة لتكوين إدارة الهوية والوصول (IAM)، وبروتوكولات التسجيل، وتكوينات الشبكة، وضمانات الامتثال التنظيمي.

تتناول هذه الفئة أنظمة تشغيل الأجهزة المحمولة، بما في ذلك iOS وAndroid، وتركِّز على مجالات مثل خيارات المطورين وإعداداتهم وتكوينات خصوصية نظام التشغيل وإعدادات المتصفح وأذونات التطبيقات.

تقدِّم هذه الفئة إرشادات تكوين الأمن العامة والخاصة بالبائع لأجهزة الشبكة والأجهزة القابلة للتطبيق من Cisco وPalo Alto Networks وJuniper وغيرها.

تغطي هذه الفئة تكوينات الأمن لبعض التطبيقات الأكثر استخدامًا، بما في ذلك Microsoft Office وExchange Server وGoogle Chrome وMozilla Firefox ومتصفح Safari. تركِّز هذه المعايير على خصوصية البريد الإلكتروني وإعدادات الخادم وإدارة الأجهزة المحمولة وإعدادات المتصفح الافتراضية وحظر البرامج التابعة لأطراف ثالثة.

توضِّح هذه الفئة أفضل الممارسات الأمنية لتكوين الطابعات متعددة الوظائف في بيئات المكاتب. وتغطي تحديث البرامج الثابتة وتكوينات TCP/IP وتكوين الوصول اللاسلكي وإدارة المستخدمين ومشاركة الملفات والمزيد.

تغطي هذه الفئة سلسلة توريد البرمجيات وتساعد الفرق على تأمين مسارات DevSecOps. وتقدِّم أفضل الممارسات لضوابط الأمن طوال دورة حياة تطوير البرمجيات، من التصميم الأوَّلي إلى التكامل والاختبار والتسليم والنشر.

على مر السنين، أنتجت CIS ووزعت أدوات مجانية أخرى وحلولًا مدفوعة تدعم معايير CIS. وتساعد هذه الموارد المؤسسات على تعزيز استعدادها للأمن الإلكتروني بشكل أكبر.

المعروفة سابقًا باسم ضوابط الأمان الحرجة من SANS ‏(SANS Top 20 Controls)، تُعَد ضوابط الأمن الحرجة في CIS ‏(CIS Critical Security Controls – CSC) دليلًا شاملًا يضم 18 إجراءً ووسيلة حماية لتعزيز الدفاع الإلكتروني الفعَّال. يشار إليها أيضًا باسم ضوابط CIS، وهي مجانية الاستخدام وتوفِّر قائمة مرجعية ذات أولوية يمكن للمؤسسات تنفيذها لتقليل سطح الهجوم الإلكتروني بشكل كبير.

تُشير معايير CIS إلى هذه الممارسات الأمنية المُثلى عند تقديم توصيات لتكوين أنظمة أكثر أمانًا.

توفِّر CIS أيضًا صورًا محصنة مُعدة مسبقًا تتيح للمؤسسات تنفيذ العمليات الحاسوبية بكفاءة من حيث التكلفة، دون الحاجة إلى الاستثمار في أجهزة أو برمجيات إضافية. تُعَد الصور المحصنة أكثر أمانًا بكثير من الصور الافتراضية القياسية، وتقلل بشكل كبير من الثغرات الأمنية التي قد تؤدي إلى هجوم إلكتروني.

تم تصميم صور CIS Hardened Images وتهيئتها بما يتوافق مع معايير CIS وضوابط CIS، وهي معترف بها لتكون متوافقة تمامًا مع مختلف مؤسسات الامتثال التنظيمي. تتوفر صور CIS Hardened Images في جميع منصات الحوسبة السحابية الرئيسية تقريبًا، كما يسهل نشرها وإدارتها.

يوفر برنامج عضوية CIS SecureSuite مجموعة مع أدوات وموارد الأمن الإلكتروني. العضوية مجانية للحكومات والمؤسسات الأكاديمية في الولايات المتحدة على مستوى الولايات والمحليات والقبائل والأقاليم (US SLTT)، بينما تختلف خيارات الدفع للمستخدمين التجاريين والجهات الحكومية في الخارج.

منصة CIS WorkBench هي منصة مركزية تجمع بين مجتمعات ضوابط CIS Controls ومجتمعات معايير CIS، ما يُتيح التعاون من أجل التطوير المستمر لمعايير CIS.

متاحة لأعضاء CIS SecureSuite، وتتكون من موارد توفِّر أتمتة الأمان ومعالجة الأنظمة وفق معايير CIS.

توفر أداة تقييم التكوين (CAT) من CIS عمليات مسح تلقائية لإعدادات تكوين النظام وفقًا لمعايير CIS. وهي متاحة لأعضاء CIS SecureSuite.

CIS-CAT Lite هي أداة مجانية لتقييم أنظمة تكنولوجيا المعلومات. بالمقارنة مع CIS-Cat Pro، يقدِّم هذا الإصدار المحدود تقييمات على المستوى الأساسي مقابل معايير CIS أقل.

تساعد معايير CIS المؤسسات على وضع استراتيجيات الحوكمة وإدارة المخاطر والامتثال (GRC) لإدارة الحوكمة والمخاطر مع ضمان الالتزام بلوائح الصناعة والحكومة.

تتوافق معايير CIS بشكل وثيق مع أطر العمل التنظيمية المتعلقة بالأمن وخصوصية البيانات، أو ترتبط بها. ونتيجةً لذلك، يمكن لأي مؤسسة تعمل في صناعة تحكمها هذه الأنواع من اللوائح أن تُحرِز تقدمًا كبيرًا نحو الامتثال من خلال الالتزام بمعايير CIS. وتشمل هذه الهيئات التنظيمية ما يلي:

• يقدِّم إطار عمل الأمن الإلكتروني من المعهد الوطني الأمريكي للمعايير والتقنية (NIST) إرشادات شاملة وأفضل الممارسات التي يمكن للمؤسسات في القطاع الخاص اتباعها لتعزيز أمن المعلومات وإدارة مخاطر الأمن الإلكتروني.

• يُعَد معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) مجموعة من المتطلبات الأمنية لحماية بيانات حامل البطاقة، بما في ذلك أرقام الحساب الأساسية (PAN)، والأسماء، وتواريخ الانتهاء، ورموز الخدمة وغيرها من المعلومات الحساسة طوال دورة حياتها.

• يحدِّد قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) المتطلبات الخاصة باستخدام المعلومات الصحية المحمية (PHI) والإفصاح عنها والتخزين الآمن لها.

• يُعَد ISO/IEC 27001، المعروف أيضًا باسم ISO 27001، المعيار العالمي الرائد لأمن المعلومات، وقد تم تطويره بالتعاون بين International Organization for Standardization‏ (ISO) وInternational Electrotechnical Commission‏ (IEC). ويوفر نهجًا منظمًا وهيكليًا قائمًا على المخاطر لإدارة وحماية أصول المعلومات الحساسة.

• تُعَد اللائحة العامة لحماية البيانات (GDPR) قانون الاتحاد الأوروبي الذي ينظِّم كيفية تعامل المؤسسات داخل الاتحاد وخارجه مع البيانات الشخصية للمقيمين في الاتحاد الأوروبي.

بينما يحق للمؤسسات دائمًا اختيار إعدادات الأمان الخاصة بها، توفِّر معايير CIS مجموعة من الفوائد:

• معايير معترف بها على مستوى الصناعة: تم تطوير معايير CIS بواسطة مجتمع عالمي من متخصصي تكنولوجيا المعلومات والأمن الإلكتروني، وتساعد المؤسسات على ترسيخ التزام قوي بالأمن الإلكتروني وزيادة ثقة العملاء والأطراف المعنية.

• إرشادات محدثة بانتظام: تقدِّم معايير CIS إرشادات محدثة باستمرار وبخطوات واضحة لمساعدة المؤسسات على تأمين جميع جوانب البنية التحتية لتكنولوجيا المعلومات. على سبيل المثال، يتم تحديث معيار CIS المتعلق بنظام التشغيل Windows بانتظام إلى أحدث إصدار في غضون 90 يومًا من إصداره. بالإضافة إلى ذلك، يتم تحديث صور CIS Hardened Images كل شهر لإبقائها مواكبة لأفضل الممارسات الأمنية.

• دعم الحوكمة والمخاطر والامتثال (GRC): توفِّر معايير CIS إطار عمل لمساعدة المؤسسات على معالجة الحوكمة والمخاطر والامتثال (GRC)، وهي استراتيجية مؤسسية لإدارة الحوكمة والمخاطر مع الحفاظ على الامتثال للصناعات واللوائح الحكومية.

• التخصيص: توفِّر معايير CIS نموذجًا مرنًا لتبنّي الخدمات السحابية الجديدة وأعباء العمل بشكل آمن وتنفيذ استراتيجيات التحول الرقمي. على سبيل المثال، يمكن لأعضاء CIS SecureSuite تكييف معايير CIS داخل منصة CIS WorkBench لتلبية متطلبات أعمالهم الخاصة والتقنية.

• المرونة: توفِّر معايير CIS توصية أساسية لإعدادات الأمن، بما في ذلك جدار الحماية وأجهزة التوجيه والخوادم. كما توفِّر إرشادات خاصة بالبائع للمساعدة على إعداد الأنظمة والأجهزة وإدارتها. يدعم هذا المزيج من الميزات المحايدة والخاصة بالبائع المرونة حتى تتمكن الأنظمة من التكيّف مع الاحتياجات المتطورة.

• سهولة النشر: تعتمد فرق DevSecOps وفرق أخرى على معايير CIS لسهولة نشر التكوينات الأمنية لتحسين الكفاءة التشغيلية والاستدامة.