4crypto.eu
Bezpłatna konsultacja
Compliance · Standard branżowy · 2026

CIS Controls v8 w 2026 r. - 18 kontroli krytycznych, Implementation Groups, CIS Benchmarks

Autor: dr inż. Adam Czubak Czas czytania: 14 min Aktualizacja: 2026-05-15

Ratio essendi

CIS Controls odpowiada na frustrację, że dostępne katalogi bezpieczeństwa (ISO 27002, NIST SP 800-53) są obszerne, ale niepriorytetyzowane - organizacja czytająca kilkaset controls nie wie, gdzie zacząć i co da największy efekt redukcji ryzyka w pierwszym roku. Sens standardu to świadome ograniczenie i priorytetyzacja: 18 kontroli wybranych z tysięcy możliwych na podstawie analizy danych o rzeczywistych atakach, z Implementation Groups (IG1/IG2/IG3) dopasowującymi zakres do skali i kontekstu organizacji. Filozofia jest prosta - lepiej zrobić dobrze 56 podstawowych Safeguards niż słabo zaimplementować 1000 kontroli z teoretycznego katalogu.

CIS Critical Security Controls v8 [1] (wydanie v8.1 z 2024 r., aktualizujące pierwotne v8 z 2021 r.) to najbardziej praktyczny zestaw kontroli bezpieczeństwa globalnie. Wydawane przez Center for Internet Security (CIS) - niezależną organizację non-profit z USA - to 18 kontroli krytycznych z 153 Safeguards (sub-kontroli), wybranymi spośród tysięcy możliwych na podstawie analizy danych o rzeczywistych atakach.

Kluczową innowacją v8 są Implementation Groups (IG1, IG2, IG3) - trzy poziomy implementacji proporcjonalne do skali organizacji. IG1 (Essential Cyber Hygiene, 56 Safeguards) - dla małych firm, ochrona przed niewyrafinowanymi atakami. IG2 (130 Safeguards łącznie) - dla średnich organizacji z danymi wrażliwymi. IG3 (wszystkie 153) - dla dużych firm w sektorach regulowanych, narażonych na APT.

CIS Controls jest komplementarne wobec ISO 27002 i NIST CSF[10] - oficjalnie mapuje do obu. CIS nie wydaje certyfikatu, ale jest powszechnie używane jako baza programu bezpieczeństwa. Towarzyszą mu CIS Benchmarks [2] - de facto standard hardeningu dla 100+ systemów (Windows, Linux, AWS, Azure, Kubernetes). Artykuł omawia 18 kontroli, Implementation Groups, mapping do regulacji i praktyczne wdrożenie.

Czym jest CIS Controls - geneza

CIS Critical Security Controls (znane wcześniej jako SANS Top 20, potem CIS Top 20) to lista priorytetyzowanych kontroli bezpieczeństwa. Wydawca: Center for Internet Security (CIS) - organizacja non-profit z 2000 r., obsługująca również MS-ISAC (Multi-State Information Sharing and Analysis Center) i EI-ISAC dla wyborów w USA.

Historia

  • 2008 - powstają jako SANS Consensus Audit Guidelines, następnie SANS Top 20.
  • 2013 - przemianowane na Critical Security Controls for Effective Cyber Defense.
  • 2015 - kontrole przeniesione pod Center for Internet Security (CIS Top 20).
  • 2018 - CIS Controls v7 z reorganizacją.
  • 2019 - CIS Controls v7.1 z wprowadzeniem Implementation Groups.
  • 2021 - CIS Controls v8 - reorganizacja z 20 do 18 kontroli, integracja IG.
  • 2024 - CIS Controls v8.1 - mapping do NIST CSF 2.0, integracja OT/IoT.

Filozofia CIS Controls

W odróżnieniu od comprehensive catalogs (ISO 27002, NIST SP 800-53), CIS Controls świadomie ogranicza liczbę kontroli, kierując się zasadą:

  • Data-driven - kontrole wybrane na podstawie analizy rzeczywistych ataków (verified by MITRE ATT&CK data).
  • Priorytetowy - od najważniejszych do mniej krytycznych.
  • Praktyczny - konkretne Safeguards z mierzalnymi metrykami.
  • Skalowalny - Implementation Groups dla różnych rozmiarów organizacji.
  • Aktualny - regularne aktualizacje uwzględniające nowe zagrożenia.

Status CIS Controls

  • Dobrowolne - nie jest regulacją prawną.
  • Nie certyfikowane - CIS nie wydaje certyfikatów, choć organizacja może deklarować implementację.
  • Darmowe dla użytku własnego organizacji (non-commercial).
  • Międzynarodowe - używane globalnie, choć geneza w USA.
  • Branżowy standard - cytowane w wielu regulacjach i kontraktach.

Adresaci CIS Controls

CIS Controls są skierowane do:

  • CISO i security teams - jako baza programu bezpieczeństwa.
  • IT operations - jako konkretne wymagania techniczne.
  • Audytorzy - jako benchmark dojrzałości.
  • Konsultanci - jako framework dla doradztwa.
  • Zarządy - jako mierzalny KPI bezpieczeństwa.

CIS Controls vs CIS Benchmarks

Częste źródło nieporozumień - CIS Controls i CIS Benchmarks to dwa różne produkty Center for Internet Security.

CIS Controls (organizacyjne)

  • Co: 18 wysokopoziomowych kontroli bezpieczeństwa.
  • Forma: jeden dokument ~150 stron.
  • Cel: framework programu bezpieczeństwa.
  • Adresat: CISO, security manager.
  • Przykład: "Control 4: Secure Configuration of Enterprise Assets and Software" - mówi, że organizacja MUSI utrzymywać bezpieczne konfiguracje.

CIS Benchmarks (techniczne)

  • Co: szczegółowe konfiguracje dla konkretnych systemów.
  • Forma: ponad 100 dokumentów, każdy 100-500 stron.
  • Cel: konkretne ustawienia konfiguracyjne.
  • Adresat: administratorzy systemów, DevOps, security engineers.
  • Przykład: "CIS Microsoft Windows Server 2022 Benchmark" - 400+ konkretnych ustawień rejestru, polityki GPO, audyt.

Jak są powiązane

CIS Benchmarkskonkretną implementacją techniczną CIS Controls (głównie Control 4 - Secure Configuration). Stosowane razem:

  • CIS Controls definiuje, że trzeba hardenować systemy.
  • CIS Benchmarks mówi dokładnie jak hardenować Windows, Linux, AWS, itd.

Najpopularniejsze CIS Benchmarks

Systemy operacyjne

  • CIS Microsoft Windows 10/11.
  • CIS Microsoft Windows Server 2019/2022.
  • CIS Ubuntu Linux 20.04/22.04.
  • CIS Red Hat Enterprise Linux 8/9.
  • CIS Debian Linux 11/12.
  • CIS Apple macOS.

Aplikacje serwerowe

  • CIS Apache HTTP Server.
  • CIS NGINX.
  • CIS Microsoft IIS.
  • CIS MySQL.
  • CIS PostgreSQL.
  • CIS Oracle Database.
  • CIS MongoDB.

Chmur[13]y

  • CIS Amazon Web Services Foundations.
  • CIS Microsoft Azure Foundations.
  • CIS Google Cloud Platform Foundations.
  • CIS Kubernetes Benchmark.
  • CIS Docker Benchmark.

Office i collaboration

  • CIS Microsoft 365 Foundations.
  • CIS Google Workspace.

Urządzenia sieciowe

  • CIS Cisco IOS.
  • CIS Juniper.
  • CIS Palo Alto Networks.
  • CIS Fortinet FortiOS.

Poziomy w CIS Benchmarks

Każdy CIS Benchmark ma 2 poziomy:

  • Level 1 - basic hardening, bez istotnego wpływu na funkcjonalność. Zalecane dla wszystkich.
  • Level 2 - stricter, może wpłynąć na funkcjonalność. Zalecane dla środowisk wysokiego ryzyka.

Dla każdego ustawienia: implementation guidance, audit procedure, rationale dla wymagania. Zob. artykuł o hardeningu.

Implementation Groups - IG1, IG2, IG3

Implementation Groups (IG) to kluczowa innowacja CIS Controls v8. 153 Safeguards są podzielone na 3 poziomy proporcjonalne do skali organizacji.

IG1 - Essential Cyber Hygiene (56 Safeguards)

Podstawowa higiena cybernetyczna. Cel: ochrona przed niewyrafinowanymi atakami - automated malware, script kiddies, podstawowy phishing, opportunistic ransomware.

Dla kogo:

  • Małe firmy (do 50 osób).
  • Mikroprzedsiębiorstwa.
  • Organizacje bez wrażliwych danych.
  • Organizacje bez dedykowanego CISO.
  • Startupy w fazie wzrostu.

Wymagania: minimalna infrastruktura bezpieczeństwa - antywirus/EDR, MFA, backup, podstawowe szkolenia.

Czas wdrożenia: 6-12 miesięcy.

Koszt: 50-200 tys. zł rocznie (dla średniej małej firmy).

IG2 - 130 Safeguards łącznie (IG1 + 74 dodatkowych)

Dla średnich organizacji obsługujących dane wrażliwe lub krytyczną infrastrukturę. Cel: ochrona przed targeted attacks, sophisticated phishing, insider threats.

Dla kogo:

  • Średnie firmy (50-500 osób).
  • Organizacje z danymi wrażliwymi (medyczne, finansowe, IP).
  • MŚP[15] w sektorach regulowanych.
  • Organizacje wymagające ISO 27001.

Wymagania: dedykowany zespół bezpieczeństwa (CISO + 1-3 specjalist[20]ów), formalny SOC (własny lub outsourcing), SIEM, EDR, vulnerability management program.

Czas wdrożenia: 12-24 miesięcy.

Koszt: 300 tys. - 1 mln zł rocznie.

IG3 - 153 Safeguards (wszystkie)

Pełny program bezpieczeństwa. Dla dużych organizacji w sektorach regulowanych, narażonych na APT (Advanced Persistent Threats), nation-state actors.

Dla kogo:

  • Duże organizacje (500+ osób).
  • Instytucje finansowe (banki krajowe).
  • Infrastruktura krytyczna (OUK, podmioty kluczowe NIS2).
  • Sektor obronny i bezpieczeństwa narodowego.
  • Dostawcy ICT dla rządu i krytycznej infrastruktury.

Wymagania: kompletny program bezpieczeństwa - SOC 24/7 in-house lub managed, threat intelligence team, red team capability lub regularny TLPT, security architecture team, governance committee.

Czas wdrożenia: 24+ miesięcy.

Koszt: ponad 1 mln zł rocznie (typowo kilka-kilkanaście mln zł dla banków, infrastruktury krytycznej).

Wybór Implementation Group

CIS proponuje matrycę decyzyjną opartą na trzech wymiarach:

  • Skala organizacji (liczba pracowników, obrót).
  • Wrażliwość obsługiwanych danych (publiczne, wewnętrzne, poufne, krytyczne).
  • Profil zagrożeń (commodity, targeted, APT).

Większość polskich MŚP zaczyna od IG1, planując ewolucję do IG2 w 2-3 lata.

18 kontroli CIS v8

18 kontroli zorganizowanych w 3 grupy logiczne:

Basic (1-6) - Podstawowe

Fundamenty bezpieczeństwa - bez nich pozostałe kontrole są bezużyteczne.

  1. Inventory and Control of Enterprise Assets - inwentaryzacja sprzętu.
  2. Inventory and Control of Software Assets - inwentaryzacja oprogramowania.
  3. Data Protection - ochrona danych.
  4. Secure Configuration of Enterprise Assets and Software - hardening (CIS Benchmarks).
  5. Account Management - zarządzanie kontami.
  6. Access Control Management - kontrola dostępu, MFA.

Foundational (7-13) - Fundamentalne

Kontrole operacyjne - codzienne zarządzanie bezpieczeństwem.

  1. Continuous Vulnerability Management - ciągłe zarządzanie podatnościami.
  2. Audit Log Management - zarządzanie logami audytu.
  3. Email and Web Browser Protections - ochrona poczty i przeglądarek.
  4. Malware Defenses - ochrona przed malware.
  5. Data Recovery - odzyskiwanie danych (backup).
  6. Network Infrastructure Management - zarządzanie siecią.
  7. Network Monitoring and Defense - monitoring i obrona sieci.

Organizational (14-18) - Organizacyjne

Kontrole strategiczne - governance i programy.

  1. Security Awareness and Skills Training - szkolenia świadomości.
  2. Service Provider Management - zarządzanie dostawcami.
  3. Application Software Security - bezpieczeństwo aplikacji.
  4. Incident Response Management - zarządzanie incydentami.
  5. Penetration Testing - testy penetracyjne.

Atrybuty Safeguards

Każdy z 153 Safeguards ma atrybuty:

  • Asset Type - Devices / Software / Network / Data / Users.
  • Security Function - Identify / Protect / Detect / Respond / Recover (NIST CSF).
  • Implementation Group - IG1 / IG2 / IG3.
  • Governance, Operations czy Technology.

Kontrole 1-6 - Basic

Control 1: Inventory and Control of Enterprise Assets

Aktywny, accurate inwentarz wszystkich urządzeń podłączonych do sieci. Bez znajomości, co jest w sieci, nie można niczego chronić.

Kluczowe Safeguards:

  • 1.1 (IG1) - Establish and maintain detailed enterprise asset inventory.
  • 1.2 (IG1) - Address unauthorized assets.
  • 1.3 (IG2) - Utilize an active discovery tool.
  • 1.4 (IG2) - Use DHCP logging to update asset inventory.
  • 1.5 (IG3) - Use a passive asset discovery tool.

Narzędzia: Lansweeper, ManageEngine OpManager, Microsoft Defender for Endpoint, Tanium.

Control 2: Inventory and Control of Software Assets

Inwentarz oprogramowania (OS, aplikacje, biblioteki, narzędzia). Aktualizowany, dokumentowane wersje i source.

Kluczowe Safeguards:

  • 2.1 (IG1) - Establish and maintain software inventory.
  • 2.2 (IG1) - Ensure authorized software is currently supported.
  • 2.3 (IG1) - Address unauthorized software.
  • 2.5 (IG2) - Allowlist authorized software.
  • 2.7 (IG3) - Allowlist authorized scripts.

Control 3: Data Protection

Klasyfikacja, ochrona, retencja, eliminacja danych. Mocno powiązany z RODO.

Kluczowe Safeguards:

  • 3.1 (IG1) - Establish and maintain a data management process.
  • 3.3 (IG1) - Configure data access control lists.
  • 3.6 (IG1) - Encrypt data on end-user devices.
  • 3.10 (IG2) - Encrypt sensitive data in transit.
  • 3.11 (IG2) - Encrypt sensitive data at rest.
  • 3.14 (IG3) - Log sensitive data access.

Control 4: Secure Configuration of Enterprise Assets and Software

NAJSILNIEJ MAPOWANE do CIS Benchmarks. Hardening systemów operacyjnych, aplikacji, urządzeń sieciowych.

Kluczowe Safeguards:

  • 4.1 (IG1) - Establish and maintain a secure configuration process.
  • 4.2 (IG1) - Establish and maintain a secure configuration process for network infrastructure.
  • 4.6 (IG2) - Securely manage enterprise assets and software (using CIS Benchmarks).
  • 4.10 (IG2) - Enforce automatic device lockout on portable end-user devices.
  • 4.12 (IG3) - Separate enterprise workspaces on mobile end-user devices.

Zob. Hardening.

Control 5: Account Management

Cykl życia kont użytkowników - od onboardingu, przez okresowe przeglądy, do offboardingu.

Kluczowe Safeguards:

  • 5.1 (IG1) - Establish and maintain an inventory of accounts.
  • 5.2 (IG1) - Use unique passwords.
  • 5.3 (IG1) - Disable dormant accounts.
  • 5.4 (IG1) - Restrict administrator privileges to dedicated administrator accounts.
  • 5.5 (IG2) - Establish and maintain inventory of service accounts.
  • 5.6 (IG2) - Centralize account management.

Control 6: Access Control Management

Polityka dostępu, autoryzacja, MFA. Wzbogacenie Control 5 o granular access controls.

Kluczowe Safeguards:

  • 6.1 (IG1) - Establish an access granting process.
  • 6.2 (IG1) - Establish an access revoking process.
  • 6.3 (IG1) - Require MFA for externally-exposed applications.
  • 6.4 (IG1) - Require MFA for remote network access.
  • 6.5 (IG1) - Require MFA for administrative access.
  • 6.7 (IG2) - Centralize access control.
  • 6.8 (IG3) - Define and maintain role-based access control.

Kontrole 7-13 - Foundational

Control 7: Continuous Vulnerability Management

Ciągłe wykrywanie i remediation podatności. Nie tylko kwartalny scan.

Kluczowe Safeguards:

  • 7.1 (IG1) - Establish and maintain a vulnerability management process.
  • 7.2 (IG1) - Establish and maintain a remediation process.
  • 7.3 (IG1) - Perform automated operating system patch management.
  • 7.4 (IG1) - Perform automated application patch management.
  • 7.6 (IG2) - Perform automated vulnerability scans of external-facing enterprise assets.
  • 7.7 (IG3) - Remediate detected vulnerabilities.

Narzędzia: Tenable, Qualys, Rapid7, Nessus, OpenVAS. Zob. Skanowanie podatności.

Control 8: Audit Log Management

Centralizowane logowanie zdarzeń systemowych i security. SIEM jako serce SOC.

Kluczowe Safeguards:

  • 8.1 (IG1) - Establish and maintain an audit log management process.
  • 8.2 (IG1) - Collect audit logs.
  • 8.3 (IG1) - Ensure adequate audit log storage.
  • 8.5 (IG2) - Collect detailed audit logs.
  • 8.6 (IG2) - Collect DNS query audit logs.
  • 8.9 (IG2) - Centralize audit logs.
  • 8.11 (IG2) - Conduct audit log reviews.
  • 8.12 (IG3) - Collect service provider logs.

Control 9: Email and Web Browser Protections

Dwa najczęstsze wektory ataku (phishing, malicious websites).

Kluczowe Safeguards:

  • 9.1 (IG1) - Ensure use of only fully supported browsers and email clients.
  • 9.2 (IG1) - Use DNS filtering services.
  • 9.3 (IG2) - Maintain and enforce network-based URL filters.
  • 9.5 (IG2) - Implement DMARC.
  • 9.6 (IG2) - Block unnecessary file types.
  • 9.7 (IG3) - Deploy and maintain email server anti-malware.

Zob. Audyt poczty DMARC.

Control 10: Malware Defenses

EDR/XDR jako de facto standard. AV signature-based już niewystarczający.

Kluczowe Safeguards:

  • 10.1 (IG1) - Deploy and maintain anti-malware software.
  • 10.2 (IG1) - Configure automatic anti-malware signature updates.
  • 10.3 (IG1) - Disable autorun and autoplay for removable media.
  • 10.5 (IG2) - Enable anti-exploitation features.
  • 10.6 (IG2) - Centrally manage anti-malware software.
  • 10.7 (IG2) - Use behavior-based anti-malware software (EDR).

Control 11: Data Recovery

Backup 3-2-1 z REGULARNYMI TESTAMI ODZYSKIWANIA.

Kluczowe Safeguards:

  • 11.1 (IG1) - Establish and maintain a data recovery process.
  • 11.2 (IG1) - Perform automated backups.
  • 11.3 (IG1) - Protect recovery data.
  • 11.4 (IG1) - Establish and maintain an isolated instance of recovery data.
  • 11.5 (IG2) - Test data recovery.

Control 12: Network Infrastructure Management

Hardening urządzeń sieciowych, segmentacja, dokumentacja architektury.

Kluczowe Safeguards:

  • 12.1 (IG1) - Ensure network infrastructure is up-to-date.
  • 12.2 (IG2) - Establish and maintain a secure network architecture.
  • 12.3 (IG2) - Securely manage network infrastructure.
  • 12.5 (IG2) - Centralize network AAA.
  • 12.7 (IG3) - Ensure remote devices utilize a VPN and are connecting to an enterprise's AAA infrastructure.
  • 12.8 (IG3) - Establish and maintain dedicated computing resources for all administrative work.

Control 13: Network Monitoring and Defense

SIEM, NDR, IDS/IPS, network segmentation enforcement.

Kluczowe Safeguards:

  • 13.1 (IG2) - Centralize security event alerting.
  • 13.2 (IG2) - Deploy a host-based intrusion detection solution.
  • 13.3 (IG2) - Deploy a network intrusion detection solution.
  • 13.6 (IG2) - Collect network traffic flow logs.
  • 13.8 (IG3) - Deploy a network intrusion prevention solution.
  • 13.10 (IG3) - Perform application layer filtering.
  • 13.11 (IG3) - Tune security event alerting thresholds.

Zob. SOC 24/7.

Kontrole 14-18 - Organizational

Control 14: Security Awareness and Skills Training

Pracownik jako pierwsza linia obrony. Cykliczne szkolenia + symulacje phishingu.

Kluczowe Safeguards:

  • 14.1 (IG1) - Establish and maintain a security awareness program.
  • 14.2 (IG1) - Train workforce members to recognize social engineering attacks.
  • 14.3 (IG1) - Train workforce members on authentication best practices.
  • 14.4 (IG1) - Train workforce on data handling best practices.
  • 14.6 (IG1) - Train workforce members on recognizing and reporting security incidents.
  • 14.9 (IG2) - Conduct role-specific security awareness and skills training.

Zob. Security Awareness.

Control 15: Service Provider Management

Zarządzanie ryzykiem dostawców. Krytyczne w obliczu NIS2 i DORA.

Kluczowe Safeguards:

  • 15.1 (IG1) - Establish and maintain an inventory of service providers.
  • 15.2 (IG2) - Establish and maintain a service provider management policy.
  • 15.3 (IG2) - Classify service providers.
  • 15.4 (IG2) - Ensure service provider contracts include security requirements.
  • 15.7 (IG3) - Securely decommission service providers.

Control 16: Application Software Security

Cykl życia bezpieczeństwa aplikacji (SDLC). Dla organizacji rozwijających własne oprogramowanie.

Kluczowe Safeguards:

  • 16.1 (IG2) - Establish and maintain a secure application development process.
  • 16.2 (IG2) - Establish and maintain a process to accept and address software vulnerabilities.
  • 16.3 (IG2) - Perform root cause analysis on security vulnerabilities.
  • 16.4 (IG2) - Establish and manage an inventory of third-party software components.
  • 16.10 (IG3) - Apply secure design principles in application architectures.
  • 16.13 (IG3) - Conduct application penetration testing.

Control 17: Incident Response Management

Procedury, zespoły, ćwiczenia. Cykl PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lessons).

Kluczowe Safeguards:

  • 17.1 (IG1) - Designate personnel to manage incident handling.
  • 17.2 (IG1) - Establish and maintain contact information for reporting security incidents.
  • 17.3 (IG1) - Establish and maintain an enterprise process for reporting incidents.
  • 17.4 (IG2) - Establish and maintain an incident response process.
  • 17.5 (IG2) - Assign key roles and responsibilities.
  • 17.7 (IG2) - Conduct routine incident response exercises.
  • 17.8 (IG3) - Conduct post-incident reviews.

Control 18: Penetration Testing

Okresowe testy penetracyjne. Zobacz NIST SP 800-115 dla metodologii.

Kluczowe Safeguards:

  • 18.1 (IG2) - Establish and maintain a penetration testing program.
  • 18.2 (IG2) - Perform periodic external penetration tests.
  • 18.3 (IG2) - Remediate penetration test findings.
  • 18.4 (IG3) - Validate security measures.
  • 18.5 (IG3) - Perform periodic internal penetration tests.

Zob. Testy penetracyjne.

CIS Benchmarks - hardening

CIS Benchmarks [2] to de facto standard hardeningu dla większości systemów IT.

Statystyki

  • Ponad 100 dostępnych benchmarków.
  • Każdy benchmark - 100-500 stron.
  • Aktualizacje 1-2 razy w roku dla każdego.
  • Łącznie tysiące konkretnych ustawień.
  • Darmowe do pobrania w PDF.

Struktura każdego benchmarku

Dla każdego ustawienia (np. "Disable SMBv1"):

  • Rationale - dlaczego to ustawienie jest ważne.
  • Impact - jakie konsekwencje funkcjonalne.
  • Audit Procedure - jak sprawdzić, czy jest skonfigurowane.
  • Remediation - krok-po-kroku, jak skonfigurować.
  • Default Value - wartość domyślna systemu.
  • References - CVE, KB, CIS Control, NIST.
  • Level - L1 (basic) lub L2 (strict).

Najpopularniejsze benchmarki w polskim środowisku

Microsoft

  • Windows 11 Enterprise.
  • Windows Server 2022.
  • Microsoft 365 Foundations.
  • Microsoft IIS 10.
  • Microsoft SQL Server 2022.
  • Microsoft Edge.

Linux

  • Ubuntu Linux 22.04 LTS Server.
  • Red Hat Enterprise Linux 9.
  • Debian Linux 12.

Aplikacje

  • Apache HTTP Server 2.4.
  • NGINX.
  • MySQL Enterprise Edition 8.0.
  • PostgreSQL 14/15.

Chmury

  • Amazon Web Services Foundations.
  • Microsoft Azure Foundations.
  • Google Cloud Platform Foundations.
  • Kubernetes 1.27/1.28.

Narzędzia stosowania

Manualnie - osoba odpowiedzialna stosuje benchmarki przez konfigurację. Automatycznie:

  • CIS-CAT Lite (darmowy) - automatyczny audit zgodności.
  • CIS-CAT Pro (płatny) - rozszerzone funkcje, remediation.
  • Microsoft Security Compliance Toolkit - dla Windows.
  • Ansible + role hardening - dla Linux.
  • Tanium, BigFix, Chef Compliance - enterprise.
  • OpenSCAP - open-source SCAP-based scanning.

CIS Hardened Images

Pre-built obrazy systemów już hardenowanych przez CIS:

  • AWS AMI dla Windows, Linux, MySQL, PostgreSQL.
  • Azure VM Images.
  • GCP Images.
  • Oracle Cloud.

Płatne na poziomie chmury (subskrypcja), ale oszczędzają godziny manualnego hardeningu. Idealne dla DevOps i auto-scaling environments.

CIS-CAT i CSAT - narzędzia oceny

CIS-CAT (Configuration Assessment Tool)

Narzędzie automatycznej oceny zgodności z CIS Benchmarks.

CIS-CAT Lite (darmowy)

  • Subset benchmarków (najpopularniejsze).
  • Tylko audit (read-only).
  • Manualne uruchomienie.
  • HTML report.

CIS-CAT Pro (płatny, w ramach SecureSuite Membership)

  • Pełny zestaw benchmarków.
  • Remediation kit (PowerShell, Bash, Ansible).
  • Automatyzacja przez API.
  • Integration z SIEM, vulnerability scanners.
  • Dashboard z metrykami.

CSAT (Controls Self-Assessment Tool)

Narzędzie [3] dla CIS Controls (nie Benchmarks):

  • Web-based interface.
  • Self-assessment dla wszystkich 153 Safeguards.
  • Score implementation maturity (0-5).
  • Mapping do Implementation Groups.
  • Gap analysis, roadmap planning.
  • Reports dla zarządu (executive summary).
  • Wersja online (free) i on-prem (Pro).

CIS SecureSuite Membership

Roczna członkowstwo dające dostęp do:

  • CIS-CAT Pro Assessor (audit).
  • CIS-CAT Pro Dashboard (raportowanie).
  • CIS Controls Self Assessment Tool (CSAT Pro).
  • CIS WorkBench - prywatne benchmarki dla organizacji.
  • Build Kits dla automatycznego hardeningu.
  • Support i społeczność.

Cena: od 5 tys. USD rocznie dla małych organizacji, 30 tys.+ USD dla dużych. Wszystkie ceny w USA - dostępne w PL.

Alternatywne narzędzia

Inne tools mapujące do CIS Controls/Benchmarks:

  • Microsoft Defender for Cloud - mapuje do CIS Benchmarks.
  • AWS Security Hub - automatyczny audit CIS AWS Foundations.
  • Azure Security Center.
  • Wazuh (open-source) - CIS compliance checks.
  • Lynis (open-source) - Linux audit, mapping do CIS.

Mapping do ISO 27002, NIST CSF, KSC

CIS Controls vs ISO 27002

Oficjalny mapping CIS -> ISO 27002 jest publikowany przez CIS. Praktycznie:

  • CIS Control 1 (Asset Inventory) -> ISO A.5.9 Inventory of assets.
  • CIS Control 2 (Software Inventory) -> ISO A.5.9 + A.8.6 Capacity management.
  • CIS Control 3 (Data Protection) -> ISO A.5.12 Classification + A.8.10 Information deletion + A.8.11 Data masking + A.8.12 DLP + A.8.24 Cryptography.
  • CIS Control 4 (Secure Configuration) -> ISO A.8.9 Configuration management.
  • CIS Control 5 (Account Mgmt) -> ISO A.5.16 Identity + A.5.17 Authentication + A.5.18 Access rights.
  • CIS Control 6 (Access Control) -> ISO A.5.15 Access control + A.8.5 Secure authentication.
  • CIS Control 7 (Vulnerability) -> ISO A.8.8 Management of technical vulnerabilities.
  • CIS Control 8 (Logging) -> ISO A.8.15 Logging + A.8.16 Monitoring.
  • CIS Control 11 (Backup) -> ISO A.8.13 Information backup.
  • CIS Control 14 (Awareness) -> ISO A.6.3 Information security awareness.
  • CIS Control 15 (Service Provider) -> ISO A.5.19-A.5.22 Supplier relationships.
  • CIS Control 17 (Incident Response) -> ISO A.5.24-A.5.28 Incident management.
  • CIS Control 18 (Pentest) -> ISO A.8.29 Security testing.

Zob. artykuł o ISO 27002.

CIS Controls vs NIST CSF 2.0

NIST CSF 2.0 [4] ma 6 funkcji: Govern, Identify, Protect, Detect, Respond, Recover. CIS Controls mapuje:

  • Identify -> CIS 1, 2, 3 (asset/data inventory).
  • Protect -> CIS 4, 5, 6, 9, 10, 11, 12, 14 (configuration, access, malware, backup, awareness).
  • Detect -> CIS 7, 8, 13 (vulnerability, logging, monitoring).
  • Respond -> CIS 17 (incident response).
  • Recover -> CIS 11, 17 (data recovery, post-incident).
  • Govern -> CIS 14, 15, 16, 18 (training, providers, applications, testing).

CIS Controls vs NIST SP 800-53

NIST SP 800-53 Rev. 5 [6] ma 1000+ controls (najobszerniejszy framework). CIS Controls vs NIST SP 800-53 to relacja jak Toyota Camry do Toyota Crown - oba dobre, ale różny poziom complexity. Mapping istnieje, ale jest 1-do-wielu (jedno CIS Control mapuje do wielu NIST SP 800-53 controls).

CIS Controls vs polskie regulacje

KSC i NIS2

CIS Controls nie jest cytowany wprost w polskich regulacjach, ale jest akceptowanym standardem dla:

  • Spełnienia § 8 ust. 5 KSC (SZBI[11] zgodny z PN-ISO/IEC 27001). CIS jako uzupełnienie operacyjne.
  • 11 środków z art. 21 NIS2 - CIS Controls pokrywa wszystkie 11 środków.
  • Audyt KSC/NIS2 - raport zgodności z CIS jako dodatkowy dowód dojrzałości. Zob. KSC, NIS2.

KRI

§ 20 KRI wymaga 14 elementów SZBI. CIS Controls pokrywa wszystkie. Zob. KRI.

RODO

Art. 32 RODO (środki techniczne i organizacyjne) - CIS Controls pokrywa praktycznie wszystkie wymagania, zwłaszcza Control 3 (Data Protection). Zob. RODO.

DORA

DORA ICT Risk Management Framework - CIS Controls pokrywa większość obszarów. Mapowanie nieoficjalne, ale praktyczne. Zob. DORA.

Wdrożenie CIS Controls w praktyce

Etapowość wdrożenia IG1

Dla małej firmy (50-200 osób) wdrożenie IG1 - typowo 6-12 miesięcy.

Miesiące 1-2: Gap analysis

  • Ocena aktualnego stanu vs 56 Safeguards IG1.
  • Wybór narzędzi - automated inventory, vulnerability scanner, SIEM, EDR.
  • Plan działania z priorytetami.
  • Alokacja budżetu i zasobów.

Miesiące 3-4: Foundation (Control 1-2)

  • Wdrożenie automated asset discovery (Lansweeper, ManageEngine, Microsoft Defender).
  • Inwentarz software z license management.
  • Removal nieautoryzowanego oprogramowania.

Miesiące 4-6: Protection (Control 3-6)

  • Data classification i protection (encryption at rest).
  • Secure configuration baselines (CIS Benchmarks dla Windows/Linux/M365).
  • Account management - cleanup, MFA wszędzie, separate admin accounts.
  • Access control - RBAC, regularne przeglądy.

Miesiące 6-8: Operations (Control 7-10)

  • Vulnerability management - automated patching, kwartalne skany.
  • Audit log management - SIEM (np. Wazuh, Microsoft Sentinel, Elastic).
  • Email protection - DMARC, SPF, DKIM. Web filtering.
  • EDR/XDR na wszystkich końcówkach.

Miesiące 8-10: Recovery i Network (Control 11-13)

  • Backup 3-2-1 z testami odzyskiwania.
  • Network segmentation, hardening urządzeń sieciowych.
  • Network monitoring - NDR lub NetFlow analysis.

Miesiące 10-12: Organizational (Control 14-18)

  • Security awareness program - cykliczne szkolenia + phishing simulations.
  • Service provider management - inwentarz, oceny.
  • Application security (jeśli rozwija się oprogramowanie).
  • Incident response procedures, tabletop exercises.
  • Pierwszy pentest.

Koszty implementacji IG1

Dla średniej firmy (100-200 osób, 200-500 endpoints):

  • Narzędzia (rocznie): 80-200 tys. zł (EDR + SIEM + vuln scanner + asset discovery).
  • Konsulting / wdrożenie: 50-150 tys. zł.
  • Szkolenia: 10-30 tys. zł.
  • Pentest pierwszy: 30-80 tys. zł.
  • Łącznie pierwszy rok: 170-460 tys. zł.
  • Utrzymanie rocznie: 100-250 tys. zł.

Skalowanie do IG2/IG3

Po stabilizacji IG1 (~12 miesięcy), organizacja może planować ewolucję:

  • IG2: dodanie ~74 Safeguards. Wymaga: dedykowany CISO, formalny SOC, threat intelligence, application security program. 12-18 miesięcy.
  • IG3: dodanie ~23 Safeguards (pełne 153). Wymaga: SOC 24/7, red team capability, advanced threat hunting, kompleksowy security architecture. 12-24 miesiące dodatkowo.

Najczęstsze błędy implementacji

  1. Próba wdrożenia IG3 od razu w małej firmie. Przesada kosztowo i operacyjnie. Lepiej IG1 dobrze niż IG3 źle.
  2. CIS Controls vs CIS Benchmarks - mylenie pojęć. Wdrażanie Controls bez Benchmarks dla hardeningu (Control 4 niespełniony technicznie).
  3. Inwentarz aktywów istnieje, ale nieaktualizowany. Control 1-2 wymaga continuous monitoring, nie raz w roku.
  4. MFA tylko dla VPN, nie dla wszystkich administracyjnych. Control 6 wymaga MFA dla każdego administrative access.
  5. Backup robi się, ale brak testów odzyskiwania. Control 11.5 wymaga testów (IG2 mandatory).
  6. SIEM zbiera logi, ale nikt ich nie przegląda. Control 8.11 wymaga audit log reviews.
  7. Service provider inventory ale bez klauzul bezpieczeństwa. Control 15.4 wymaga security requirements w umowach.
  8. Application security pominięte, bo "nie rozwijamy oprogramowania". Custom skrypty PowerShell, Bash, Excel macros TEŻ są aplikacjami.
  9. Pentest raz na 5 lat. Control 18.2 wymaga periodic - typowo rocznie dla IG2.
  10. Incident response procedure istnieje, ale nigdy nie testowana. Control 17.7 wymaga routine exercises.
  11. Security awareness tylko onboarding, brak cyklicznych szkoleń. Control 14 wymaga continuous.
  12. CIS Benchmarks zastosowane raz, nieaktualizowane. Benchmarks są aktualizowane 1-2 razy w roku - drift od baseline.

Checklist: 10 priorytetów IG1 do wdrożenia w 3 miesiące

Lista quick-win Safeguards z IG1 - największy impact na bezpieczeństwo w krótkim czasie.

  1. 1.1 Asset inventory - automated discovery tool z aktualizacją w czasie rzeczywistym.
  2. 2.1 Software inventory - z license management i autoryzacją instalacji.
  3. 3.6 Encrypt data on end-user devices - BitLocker, FileVault, LUKS dla laptopów.
  4. 4.1 Secure configuration process - CIS Benchmarks dla Windows/Linux/M365.
  5. 5.4 Restrict admin privileges - dedicated admin accounts, separate od użytkowych.
  6. 6.3-6.5 MFA wszędzie - dla externally-exposed apps, remote access, administrative access.
  7. 7.3-7.4 Automated patching - OS i aplikacji. WSUS, Intune, Patch My PC.
  8. 8.2 Audit logs collection - centralizacja w SIEM (Wazuh open-source / Sentinel).
  9. 10.1, 10.7 EDR everywhere - behavior-based anti-malware (Defender, CrowdStrike[18], SentinelOne).
  10. 11.2-11.4 Backup 3-2-1 + isolated - z immutable copies (off-site, offline).

Najczęściej zadawane pytania

Co to CIS Controls?

CIS Critical Security Controls (CIS Controls v8.1) to lista 18 priorytetyzowanych kontroli bezpieczeństwa publikowana przez Center for Internet Security (CIS). Powstała w 2008 r. jako SANS Top 20, obecna wersja v8 z 2021 r. (v8.1 z 2024 r.).

CIS Controls to praktyczny, oparty na danych zestaw kontroli wybranych jako te o największym wpływie na redukcję ryzyka. Każda kontrola ma sub-controls (Safeguards) - łącznie 153.

Stosowane globalnie. Niezależnie od ISO 27001/27002 - komplementarne. CIS nie wydaje certyfikatu, ale jest powszechnie używane jako baza programu bezpieczeństwa.

Czym różni się CIS Controls od CIS Benchmarks?

To dwa różne produkty Center for Internet Security:

CIS Controls - lista 18 kontroli wysokopoziomowych. Mówi co trzeba zrobić.

CIS Benchmarks - szczegółowe konfiguracje dla konkretnych systemów. Mówi jak technicznie skonfigurować Windows, Linux, AWS, MySQL, itd. To setki dokumentów po 100-500 stron każdy.

Stosowanie razem: CIS Controls jako framework organizacyjny + CIS Benchmarks jako implementacja techniczna kontroli 4 (Secure Configuration).

Oba darmowe dla użytku własnego.

Jakie są Implementation Groups (IG1, IG2, IG3)?

Kluczowa innowacja CIS Controls v8 - 153 Safeguards podzielone na 3 poziomy:

  • IG1 (56 Safeguards) - Essential Cyber Hygiene. Dla małych firm, MŚP. Koszt: 50-200 tys. zł rocznie.
  • IG2 (130 Safeguards łącznie) - dla średnich organizacji z danymi wrażliwymi. Koszt: 300 tys. - 1 mln zł rocznie.
  • IG3 (153 wszystkie) - dla dużych organizacji, sektor regulowany, APT. Koszt: ponad 1 mln zł rocznie.

Wybór IG opiera się na analizie ryzyka i kontekście biznesowym.

Co to są 18 kontroli CIS v8?

18 kontroli w 3 grupach:

BASIC (1-6) - inwentarz aktywów, oprogramowania, data protection, secure configuration, account management, access control.

FOUNDATIONAL (7-13) - vulnerability management, logs, email/web, malware defenses, data recovery, network infrastructure, monitoring.

ORGANIZATIONAL (14-18) - awareness, service providers, application security, incident response, penetration testing.

Łącznie 153 Safeguards z mapping do IG1/IG2/IG3 i atrybutami (asset type, security function).

CIS Controls vs ISO 27002 - co wybrać?

Oba komplementarne, nie konkurencyjne.

CIS Controls - praktyczny, priorytetyzowany, data-driven. Nie certyfikuje. Darmowy. Skoncentrowany na technice.

ISO 27002 - comprehensive catalog. Część certyfikacji ISO 27001. Płatny. Pokrywa szerszy zakres (governance, supplier).

Wybór:

  • Dla certyfikacji = ISO 27001/27002.
  • Dla operacyjnego programu = CIS Controls.
  • Dla pełnej dojrzałości = oba razem.

CIS oficjalnie mapuje do ISO 27002 i NIST CSF.

Czy CIS Controls jest darmowe?

Tak - dla użytku własnego organizacji.

Płatne są:

  • Komercyjna dystrybucja - jeśli używasz w produktach komercyjnych.
  • CIS SecureSuite Membership - od 5 tys. USD dla małych do 30 tys.+ dla dużych.
  • CIS Hardened Images - płatne na poziomie chmury.

CIS-CAT Lite (basic audit tool) jest darmowy. Dla większości polskich firm CIS Controls + Benchmarks + CIS-CAT Lite całkowicie darmowe.

CIS Controls vs NIST CSF?

Różne natury:

NIST CSF 2.0 - wysokopoziomowe ramy oparte na 6 funkcjach (Govern, Identify, Protect, Detect, Respond, Recover). Strategiczny.

CIS Controls v8 - konkretne kontrole z Safeguards. Taktyczne, dla zespołów technicznych.

Stosowanie razem: NIST CSF dla zarządu, CIS Controls dla operations. Wiele organizacji używa obu.

Polskie organizacje preferują CIS jako praktyczne. USA preferuje NIST CSF jako governance-focused.

IG1 vs IG2 vs IG3 - który dla mojej firmy?

Wybór na trzech wymiarach: skala, wrażliwość danych, kontekst zagrożeń.

IG1 - małe firmy (do 50 osób), bez wrażliwych danych, bez dedykowanego CISO. Cel: ochrona przed automated attacks.

IG2 - średnie (50-500 osób), dane wrażliwe, sektory regulowane. Cel: ochrona przed targeted attacks.

IG3 - duże (500+), instytucje finansowe, infrastruktura krytyczna. Cel: ochrona przed APT.

Większość polskich MŚP zaczyna od IG1, planując ewolucję do IG2 w 2-3 lata.

Czy CIS Controls jest wymagane przez regulacje?

Bezpośrednio nie. Pośrednio - tak:

  • PCI DSS Requirement 11 akceptuje CIS guidelines.
  • DoD CMMC (USA) - mapuje do CIS.
  • HIPAA - akceptuje CIS jako recognized framework.
  • Polskie regulacje (KSC, KRI, NIS2) - CIS Benchmarks często cytowane dla hardeningu.
  • Cyber insurance - często wymaga IG1.
  • SIWZ - CIS jako acceptable framework.

Praktyka: CIS często wymagany kontraktowo lub jako element due diligence.

Czy CIS daje certyfikat?

Nie, CIS nie wydaje certyfikatów. Dostępne formy potwierdzenia:

  1. Self-attestation - organizacja deklaruje implementację.
  2. Zewnętrzny audyt - raport konsultanta (nie certyfikat).
  3. CIS-CAT Pro Assessor - automatyczna ocena z Benchmarks.
  4. Mapping do ISO 27001 - jeśli organizacja certyfikowana.

Brak formalnego certyfikatu CIS nie umniejsza wartości - rynkowo akceptowane są raporty audytowe zgodności.

CIS Benchmarks dla hardeningu - przykłady?

CIS Benchmarksde facto standardem hardeningu. Ponad 100 dostępnych:

  • OS: Windows 10/11/Server, Ubuntu, RHEL, Debian, macOS.
  • Aplikacje: Microsoft 365, Apache, NGINX, MySQL, PostgreSQL.
  • Chmury: AWS, Azure, GCP, Kubernetes.
  • Sieć: Cisco, Juniper, Palo Alto, Fortinet.

Każdy benchmark ma 2 poziomy: Level 1 (basic) i Level 2 (strict). Implementation guidance, audit procedure, rationale. Zob. Hardening.

Jak długo trwa wdrożenie CIS Controls IG1?

Typowo 6-12 miesięcy dla małej/średniej firmy (50-200 osób).

Etapy: gap analysis (1-2 mc), foundation kontrole 1-2 (3-4 mc), protection kontrole 3-6 (4-6 mc), operations kontrole 7-10 (6-8 mc), recovery/network kontrole 11-13 (8-10 mc), organizational kontrole 14-18 (10-12 mc).

Koszt: 50-200 tys. zł w pierwszym roku + 30-80 tys. zł utrzymanie.

Aktualizacje CIS Controls - jak często?

Cyklicznie:

  • Wersje major (v7, v8, v9) - co 3-5 lat. Reorganizacja.
  • Wersje minor (v8.1) - co 1-2 lata. Aktualizacja Safeguards.
  • CIS Benchmarks - 1-2 razy w roku dla każdego.

Aktualnie: v8.1 (2024) z mapping do NIST CSF 2.0 i integracją OT/IoT.

Praktyka: minor versions (v8.0 -> v8.1) w 3-6 miesięcy; major versions (v7 -> v8) w 12-18 miesięcy.

Potrzebujesz konsultacji w zakresie CIS Controls?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Sprawdzamy stan obecny, wybieramy Implementation Group (IG1/IG2/IG3), mapujemy luki, omawiamy plan wdrożenia.

Zadzwoń: +48 691 122 312 office@4crypto.eu

Powiązane treści

Normy i regulacje

Usługi związane

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. CIS publikacje są darmowe na cisecurity.org.

  1. [1]standardCenter for Internet Security (CIS) (2024). CIS Critical Security Controls Version 8.1 · https://www.cisecurity.org/controls
  2. [2]standardCenter for Internet Security (CIS) (ongoing). CIS Benchmarks - Configuration guides for operating systems, applications, network devices · https://www.cisecurity.org/cis-benchmarks
  3. [3]guidelineCenter for Internet Security (CIS) (ongoing). CIS Controls Self-Assessment Tool (CSAT) · https://www.cisecurity.org/insights/blog/cis-csat-free-tool-for-assessing-implementation-of-cis-controls
  4. [4]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework 2.0 · https://www.nist.gov/cyberframework
  5. [5]standardISO/IEC (2022). ISO/IEC 27002:2022 - Information security controls · https://www.iso.org/standard/75652
  6. [6]standardNIST (2020). NIST SP 800-53 Rev. 5 - Security and Privacy Controls for Information Systems and Organizations · https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
  7. [7]standardMITRE Corporation (ongoing). MITRE ATT&CK Framework · https://attack.mitre.org/
  8. [8]regulationSejm RP (2018). Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC). Dz.U. 2018 poz. 1560 · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001560
  9. [9]standardRoss, R., et al. (2024). NIST SP 800-171 Rev. 3: Protecting Controlled Unclassified Information in Nonfederal Systems. NIST. DOI: 10.6028/NIST.SP.800-171r3 · https://doi.org/10.6028/NIST.SP.800-171r3
  10. [10]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29, February 2024. DOI: 10.6028/NIST.CSWP.29 · https://doi.org/10.6028/NIST.CSWP.29
  11. [11]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  12. [12]standardInternational Organization for Standardization (2023). ISO/IEC 27035-1:2023 - Information security incident management - Part 1: Principles and process. ISO/IEC · https://www.iso.org/standard/78973.html
  13. [13]standardCloud Security Alliance (2024). Cloud Controls Matrix (CCM) v4. CSA · https://cloudsecurityalliance.org/research/cloud-controls-matrix/
  14. [14]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion. DOI: 10.2824/0710888 · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  15. [15]reportEuropean Union Agency for Cybersecurity (ENISA) (2023). Cybersecurity guide for SMEs - 12 steps to securing your business. ENISA · https://www.enisa.europa.eu/topics/cybersecurity-for-smes
  16. [16]reportVerizon Business (2024). 2024 Data Breach Investigations Report (DBIR). Verizon, 17th edition · https://www.verizon.com/business/resources/reports/dbir/
  17. [17]reportMandiant (Google Cloud) (2024). M-Trends 2024 Special Report. Mandiant · https://services.google.com/fh/files/misc/m-trends-2024.pdf
  18. [18]reportCrowdStrike (2024). 2024 CrowdStrike Global Threat Report. CrowdStrike · https://www.crowdstrike.com/global-threat-report/
  19. [19]reportIBM Security, Ponemon Institute (2024). Cost of a Data Breach Report 2024. IBM Corporation · https://www.ibm.com/reports/data-breach
  20. [20]reportISC2 (2024). 2024 ISC2 Cybersecurity Workforce Study. ISC2 Research · https://www.isc2.org/research/workforce-study
  21. [21]standardSouppaya, M., Scarfone, K., Dodson, D. (2022). NIST SP 800-218: Secure Software Development Framework (SSDF) Version 1.1. NIST. DOI: 10.6028/NIST.SP.800-218 · https://doi.org/10.6028/NIST.SP.800-218