Come utilizzare i benchmark CIS senza essere membro della CIS

Question

Come utilizzare i benchmark CIS senza essere membro della CIS

#1 da (3 voti)

2

Sto provando a controllare i miei sistemi Linux con i benchmark di sicurezza CIS . Esistono strumenti del sistema operativo come OpenSCAP o Lynis che può fare benchmark relativi alla sicurezza, e venire con alcuni benchmark che potrebbero essere close ai benchmark CIS ma non sono gli stessi.

Qualcuno ha affrontato il compito di convertire i Benchmark disponibili gratuitamente in formato PDF e li ha convertiti in qualcosa che può essere inserito in OpenSCAP o Lynis e reso pubblico il risultato?

Ho cercato ma non ho trovato nulla, ma forse ho trascurato qualcosa.

audit compliance

posta Isaac 19.10.2018 - 10:07

fonte

1 risposta

Leggi altre domande sui tag audit compliance

Password di crittografia parzialmente dimenticata Nome gruppo strano (1002)

score 3 · Answer 1

Ho controllato il lato legale delle cose - che in sostanza spiega perché non ho trovato nulla di utile. In breve: non puoi utilizzare Benchmark CIS e chiamarli Benchmark CIS senza essere un membro.

Citando i "Termini d'uso" di uno dei PDF forniti gratuitamente:

Terms of Use This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International Public License. The link to the license terms can be found at https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode To further clarify the Creative Commons license related to CIS Benchmark content, you are authorized to copy and redistribute the content for use by you, within your organization and outside your organization for non-commercial purposes only, provided that (i) appropriate credit is given to CIS, (ii) a link to the license is provided. Additionally, if you remix, transform or build upon the CIS Benchmark(s), you may only distribute the modified materials if they are subject to the same license terms as the original Benchmark license and your derivative will no longer be a CIS Benchmark. Commercial use of CIS Benchmarks is subject to the prior approval of the Center for Internet Security.

[emphasis my mine]

In breve: se trasformo quel PDF in una sorta di script, non posso più chiamarlo "un benchmark CIS". Inoltre, nessun uso commerciale.

Quindi, se hai davvero bisogno che il tuo asset sia sottoposto al benchmark CIS, non c'è modo di aggirare un abbonamento. In termini di costi non è così male come pensavo, ma potrebbe essere difficile per organizzazioni molto piccole .

Tenable pubblica un modulo leggibile dalla macchina, ma ha anche una licenza restrittiva, quindi di nuovo, non c'è modo di pagare.

Se la sua "giusta" sicurezza a cui si è interessati, ci sono, naturalmente, varie buone alternative (vedi domanda), e molte sembrano essere ispirate al CIS (o viceversa). Ma nel nostro caso, i nostri clienti stavano chiedendo di CIS, quindi abbiamo bisogno di ottenere un abbonamento.