Киберосновы

Cyber Essentials — это схема сертификации в Соединенном Королевстве, призванная показать, что организация имеет минимальный уровень защиты в области кибербезопасности посредством ежегодных оценок для поддержания сертификации.

Поддерживается правительством Великобритании и контролируется Национальным центром кибербезопасности (NCSC) . Он поощряет организации применять передовой опыт в области информационной безопасности . ^[1] Cyber Essentials также включает в себя систему обеспечения безопасности и простой набор мер безопасности для защиты информации от угроз, исходящих из Интернета .

В январе 2022 года сертификация претерпела существенные изменения, которые включали в себя включение всех облачных сервисов и изменения требований к многофакторной аутентификации, паролям и PIN-кодам. ^[2]

Сертификация

Программа Cyber Essentials предусматривает два уровня: первый — это самосертификация, а второй требует независимой проверки сделанных заявлений: ^[3]^[4]

Киберосновы

Обычно это называется «отметить домашнее задание». ^[5] организации самостоятельно оценивают свои системы, а затем проводят онлайн-оценку. Онлайн-оценка оценивается оценщиком Cyber Essentials, который предоставляет отзывы по всем областям, где можно внести улучшения.

Независимой проверки точности ответов на этом уровне не существует.

Стоимость Cyber Essentials начинается от 300 фунтов стерлингов и облагается НДС в Великобритании. Модель ценообразования распределяется по уровням в зависимости от количества сотрудников. Дополнительную информацию можно найти на веб-сайте IASME.

Кибер Основы Плюс

То же, что и базовый, но с независимой проверкой аккредитованной третьей стороной.

Системы проходят независимое тестирование, а Cyber Essentials интегрируется в систему управления информационными рисками организации.

Стоимость аккредитации Plus зависит от сложности среды, но для простого МСП обычно стоит около 1400 фунтов стерлингов и облагается НДС на территории Великобритании. ^[6]

IASME включил Cyber Essentials в более широкий стандарт обеспечения информации IASME . ^[7]

Как и в случае с ISO/IEC 27001 , организации могут ограничить область сертификации определенным подмножеством своего бизнеса, и это должно быть указано в их сертификате.

Элементы управления

Пять технических средств контроля:

Пограничные межсетевые экраны и интернет-шлюзы
Безопасная конфигурация
Контроль доступа
от вредоносного ПО Защита
исправлениями Управление

Руководство Cyber Essentials разбивает их на более мелкие детали.

Эти элементы управления могут быть сопоставлены с элементами управления, требуемыми ISO/IEC 27001 , Стандартом надлежащей практики информационной безопасности и управлением IASME . ^[8] хотя Cyber Essentials имеет более узкую направленность, уделяя особое внимание техническому контролю, а не управлению, рискам и политике.

История

Схема Cyber Essentials была запущена 5 июня 2014 года. К концу июня несколько организаций были быстро сертифицированы. ^[9] С октября 2014 года сертификация Cyber Essentials требуется для поставщиков центрального правительства Великобритании, которые обрабатывают определенные виды конфиденциальной и личной информации. ^[10] Это призвано стимулировать принятие компаниями, желающими участвовать в государственных контрактах. ^[11] Страховщики предположили, что сертифицированные органы могут привлекать более низкие страховые премии. ^[12] Предприятиям и организациям было вручено более 30 000 сертификатов Cyber Essentials. ^[13]

Он был разработан в сотрудничестве с отраслевыми партнерами, в том числе с Форумом по информационной безопасности ( ISF ), Консорциумом обеспечения информации для малых и средних предприятий ( IASME ) и Британским институтом стандартов ( BSI ), и одобрен правительством Великобритании. ^[14] Он был запущен в 2014 году Департаментом бизнеса, инноваций и навыков . ^[15]

После атаки программы-вымогателя WannaCry NHS Digital отказалась финансировать 1 миллиард фунтов стерлингов, который представлял собой ориентировочную стоимость соответствия стандарту Cyber Essentials Plus, заявив, что это не будет соотношением цены и качества, и что она инвестировала более 60 миллионов фунтов стерлингов и планирует потратить еще 150 миллионов фунтов стерлингов на устранение ключевых недостатков кибербезопасности в течение следующих двух лет. ^[16]

По состоянию на сентябрь 2019 года существовало пять органов по аккредитации, включая APMG, CREST, IASME , IRM Security и QG. ^[17]

Начиная с апреля 2020 года IASME ) выбрал Национальный центр кибербезопасности ( NCSC в качестве единственного органа по аккредитации схемы Cyber Essentials.

В январе 2022 года модель ценообразования изменится на многоуровневую модель, основанную на количестве сотрудников. Это должно лучше отражать более сложный характер оценки более крупных организаций. ^[18] Облачные сервисы, BYOD , работа на дому, тонкие клиенты и MFA претерпят большие изменения в рамках оценки. ^[19]

См. также

Ссылки

^ «Правительственная схема показывает, кому можно доверять в вопросах кибербезопасности» . Телеграф . 5 июня 2014 года . Проверено 1 июля 2014 г.
^ «Cyber Essentials: Требования к ИТ-инфраструктуре версии 3.0» (PDF) . Национальный центр кибербезопасности . 29 ноября 2021 г. Проверено 26 декабря 2021 г.
^ «Схема обеспечения безопасности схемы Cyber Essentials» (PDF) . Правительство Ее Величества . Проверено 1 июля 2014 г.
^ стевеви. «UK Cyber Essentials Plus — соответствие требованиям Azure» . docs.microsoft.com . Проверено 20 августа 2021 г.
^ Рэйвуд, Дэн (17 ноября 2017 г.). «Основы киберпространства: причуда или будущее» . Журнал Инфобезопасность . Проверено 08 февраля 2021 г.
^ «Часто задаваемые вопросы — Iasme» . iasme.co.uk . Проверено 08 февраля 2021 г.
^ «Схема Cyber Essentials – IASME» . www.iasme.co.uk . Проверено 7 сентября 2016 г. ^{[ постоянная мертвая ссылка ]}
^ «Требования к базовой технической защите от кибератак» (PDF) . Правительство Ее Величества . Проверено 1 июля 2014 г.
^ «Первые семь малых и средних предприятий воспользовались флагманской правительственной схемой Cyber Essentials» . Компьютерный мир . 30 июня 2014 года . Проверено 1 июля 2014 г.
^ «Схема кибероснов: обзор» . GOV.UK. Проверено 1 июля 2014 г.
^ «Киберриск и британская программа Cyber Essentials» . Компьютерный еженедельник . Июнь 2014 года . Проверено 1 июля 2014 г.
^ «Правительство запускает схему безопасности Cyber Essentials» . 6 июня 2014 года . Проверено 1 июля 2014 г.
^ «Речь Мэтта Хэнкока о кибербезопасности» . 27 марта 2017 г. Проверено 7 июля 2017 г.
^ «Схема Cyber Essentials» (PDF) . Правительство Ее Величества. Архивировано из оригинала (PDF) 13 июня 2016 года . Проверено 9 сентября 2016 г.
^ « Запущена схема «Cyber Essentials»» . ICO. Архивировано из оригинала 25 июня 2014 года . Проверено 1 июля 2014 г.
^ «Руководители здравоохранения отказываются оплачивать счет в 1 миллиард фунтов стерлингов на улучшение кибербезопасности Национальной службы здравоохранения» . Создание лучшего здравоохранения. 15 октября 2018 года . Проверено 27 ноября 2018 г.
^ «Cyber Essentials — ОФИЦИАЛЬНЫЙ САЙТ» . www.ncsc.gov.uk/cyberessentials/overview . Проверено 5 мая 2023 г.
^ «Cyber Essentials перейдет на многоуровневую структуру ценообразования с 2022 года» . www.ncsc.gov.uk. Проверено 18 декабря 2021 г.
^ Манкастер, Фил (30 ноября 2021 г.). «Основы кибербезопасности ждут серьезные изменения в 2022 году» . Журнал Инфобезопасность . Проверено 18 декабря 2021 г.

Внешние ссылки

[1] «Правительственная схема показывает, кому можно доверять в вопросах кибербезопасности» . Телеграф . 5 июня 2014 года . Проверено 1 июля 2014 г.

[2] «Cyber Essentials: Требования к ИТ-инфраструктуре версии 3.0» (PDF) . Национальный центр кибербезопасности . 29 ноября 2021 г. Проверено 26 декабря 2021 г.

[3] «Схема обеспечения безопасности схемы Cyber Essentials» (PDF) . Правительство Ее Величества . Проверено 1 июля 2014 г.

[4] стевеви. «UK Cyber Essentials Plus — соответствие требованиям Azure» . docs.microsoft.com . Проверено 20 августа 2021 г.

[5] Рэйвуд, Дэн (17 ноября 2017 г.). «Основы киберпространства: причуда или будущее» . Журнал Инфобезопасность . Проверено 08 февраля 2021 г.

[6] «Часто задаваемые вопросы — Iasme» . iasme.co.uk . Проверено 08 февраля 2021 г.

[7] «Схема Cyber Essentials – IASME» . www.iasme.co.uk . Проверено 7 сентября 2016 г. ^{[ постоянная мертвая ссылка ]}

[8] «Требования к базовой технической защите от кибератак» (PDF) . Правительство Ее Величества . Проверено 1 июля 2014 г.

[9] «Первые семь малых и средних предприятий воспользовались флагманской правительственной схемой Cyber Essentials» . Компьютерный мир . 30 июня 2014 года . Проверено 1 июля 2014 г.

[10] «Схема кибероснов: обзор» . GOV.UK. Проверено 1 июля 2014 г.

[11] «Киберриск и британская программа Cyber Essentials» . Компьютерный еженедельник . Июнь 2014 года . Проверено 1 июля 2014 г.

[12] «Правительство запускает схему безопасности Cyber Essentials» . 6 июня 2014 года . Проверено 1 июля 2014 г.

[13] «Речь Мэтта Хэнкока о кибербезопасности» . 27 марта 2017 г. Проверено 7 июля 2017 г.

[14] «Схема Cyber Essentials» (PDF) . Правительство Ее Величества. Архивировано из оригинала (PDF) 13 июня 2016 года . Проверено 9 сентября 2016 г.

[15] « Запущена схема «Cyber Essentials»» . ICO. Архивировано из оригинала 25 июня 2014 года . Проверено 1 июля 2014 г.

[16] «Руководители здравоохранения отказываются оплачивать счет в 1 миллиард фунтов стерлингов на улучшение кибербезопасности Национальной службы здравоохранения» . Создание лучшего здравоохранения. 15 октября 2018 года . Проверено 27 ноября 2018 г.

[17] «Cyber Essentials — ОФИЦИАЛЬНЫЙ САЙТ» . www.ncsc.gov.uk/cyberessentials/overview . Проверено 5 мая 2023 г.

[18] «Cyber Essentials перейдет на многоуровневую структуру ценообразования с 2022 года» . www.ncsc.gov.uk. Проверено 18 декабря 2021 г.

[19] Манкастер, Фил (30 ноября 2021 г.). «Основы кибербезопасности ждут серьезные изменения в 2022 году» . Журнал Инфобезопасность . Проверено 18 декабря 2021 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]