Das englische Zentrum zum Schutz der nationalen Infrastruktur (Centre for the Protection of National Infrastructure, CPNI) hat eine Liste der Top 20 Maßnahmen veröffentlicht, die als Leitlinie dienen sollen, um ein höheres IT-Sicherheitsniveau in Betrieben zu erreichen.

Die einzelnen Maßnahmen wurden von der neuen SANS Liste der Top 20 übernommen, die in viele Anpassungszyklen verfeinert wurde. Dem Konsortium, das die SANS Top 20 Maßnahmen entwickelt hat, gehören NSA, US Cert, DoD JTF-GNO, Energieministerium und nukleares Forschungslabor, Außenministerium, DoD Cyber Crime Center und führende kommerzielle IT-Forensiker und Penetrationstester aus den USA an, die im Banken- und im kritischen IT-Umfeld operieren.

Inhalt der Top 20 Liste:

1. inventory of authorised and unauthorised devices
2. inventory of authorised and unauthorised software
3. secure configurations for hardware and software on laptops, workstations, and servers
4. continuous vulnerability assessment and remediation
5. malware defences
6. application software security
7. wireless device control
8. data recovery capability
9. security skills assessment and appropriate training to fill gaps
10. secure configurations for network devices such as firewalls, routers, and switches
11. limitation and control of network ports, protocols, and services
12. controlled use of administrative privileges
13. boundary defence
14. maintenance, monitoring, and analysis of security audit logs
15. controlled access based on the need to know
16. account monitoring and control
17. data loss prevention
18. incident response capability
19. secure network engineering
20. penetration tests and red team exercises.

Artikel von continuitycentral.com, 13.01.2012: Twenty critical controls for effective cyber defence