Система кибероценки

Система кибероценки — это механизм, разработанный NCSC для обеспечения безопасности организаций. CAF адаптирован к потребностям критической национальной инфраструктуры, чтобы соответствовать нормам ННГ , ^[1] но цели могут использоваться другими организациями. ^[2]

Помимо национальных органов государственного сектора и инфраструктуры, CAF также используется местными органами власти. ^[3]

CAF имеет четырнадцать целей, сгруппированных в четыре категории: ^[4] Они устанавливают цели высокого уровня, которые соответствуют потребностям организаций, обрабатывающих важные данные или выполняющих важные функции . Они имеют некоторое сходство, но не идентичны, с категориями средств контроля, используемыми в ISO 27001:2013.

Цель A: Управление рисками безопасности

• А.1 Управление
• А.2 Управление рисками
• А.3 Управление активами
• А.4 Цепочка поставок

Цель B: Защита от кибератак

• B.1 Политики и процедуры защиты услуг
• B.2 Контроль идентификации и доступа
• Б.3 Безопасность данных
• Б.4 Безопасность системы
• B.5 Устойчивые сети и системы
• B.6 Информированность и обучение персонала

Цель C: Обнаружение событий кибербезопасности

• C.1 Мониторинг безопасности
• C.2 Обнаружение аномалий

Цель D: Минимизация воздействия инцидентов кибербезопасности

• D.1 Планирование реагирования и восстановления
• D.2 Улучшения

Каждый из них связан с «результатами» и «содействующими итогами». Всего имеется 14 исходов и 39 сопутствующих исходов. NCSC опубликовал «Показатели передовой практики»; Таблицы IGP можно использовать для оценки того, была ли каждая цель «достигнута», «не достигнута» или «частично достигнута». Ожидается, что организации проведут самооценку и составят дорожную карту улучшений. Компетентные органы рассматривают оценку и дорожную карту.

• Введение в систему кибероценки

• ИСО 27001
• GovAssure
• Киберосновы
• Структура политики безопасности