В связи с рабочей необходимостью я снова ознакомился с классным документом SANS "20 Critical Security Controls" (Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines)". Я уже упоминал про этот документу тут .
Выкладываю майндкарту ( в PDF тут ) по документу. Обратите внимание, что группировка контролей, а также сокращенный перевод контролей - это моя личная инициатива, у авторов или читателей документа мнение может немного отличаться от моего. Да, кстати, обратите внимание, что не всегда название контроля полностью отражает рекомендации, которые дает SANS к ним. Так, в частности, контроль 7 "Application Software Security" скорее не про все приложения, а больше про web (и угроз ему типа SQL-инъекции, кросс-сайт скриптинг и пр.), а контроль 15 "Data Loss Prevention" ориентируется не только на системы DLP, а еще, например, на системы шифрования жестких дисков (именно они в "quick wins").
Более детально не вижу смысла описывать документ. Кто захочет, тот сможет почитать обзоры в блогах Орлова и Бондаренко , а еще лучше - изучите оригинал документа .