Cybernetyczne elementy

Cyber ​​Essentials to system certyfikacji w Wielkiej Brytanii , którego celem jest wykazanie, że organizacja posiada minimalny poziom ochrony w zakresie bezpieczeństwa cybernetycznego poprzez coroczne oceny w celu utrzymania certyfikacji.

Wspierany przez rząd Wielkiej Brytanii i nadzorowany przez Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) . Zachęca organizacje do przyjmowania dobrych praktyk w zakresie bezpieczeństwa informacji . Cyber ​​​​Essentials obejmuje również ramy bezpieczeństwa i prosty zestaw kontroli bezpieczeństwa w celu ochrony informacji przed zagrożeniami pochodzącymi z Internetu .

Certyfikacja ulegnie istotnym zmianom od stycznia 2022 r., w tym obejmie wszystkie usługi w chmurze oraz nową sekcję dotyczącą uwierzytelniania wieloskładnikowego wraz ze zmianami haseł i kodów PIN.

Orzecznictwo

Program Cyber ​​Essentials zapewnia dwa poziomy, pierwszy to samocertyfikacja, a drugi wymaga niezależnej weryfikacji złożonych oświadczeń:

Cybernetyczne elementy

Organizacje, często określane jako oznaczanie własnej pracy domowej, dokonują samooceny swoich systemów, a następnie dokonują oceny online. Ocena online jest oceniana przez audytora Cyber ​​Essentials, który przekazuje informacje zwrotne na temat obszarów, w których można wprowadzić ulepszenia.

Na tym poziomie nie ma niezależnej weryfikacji trafności odpowiedzi.

Koszt Cyber ​​Essentials zaczyna się od 300 GBP i podlega opodatkowaniu podatkiem VAT w Wielkiej Brytanii. Model wyceny jest wielopoziomowy w zależności od liczby pracowników, a więcej informacji można znaleźć na stronie internetowej IASME.

Cyber ​​Essentials Plus

Taki sam jak podstawowy, ale z niezależną walidacją przez akredytowaną stronę trzecią.

Systemy są niezależnie testowane, a Cyber ​​Essentials jest zintegrowany z zarządzaniem ryzykiem informacyjnym organizacji.

Koszt akredytacji Plus zależy od złożoności środowiska, ale w przypadku prostego MŚP zazwyczaj kosztuje około 1400 GBP i podlega opodatkowaniu podatkiem VAT w Wielkiej Brytanii.

IASME włączył Cyber ​​​​Essentials do szerszego standardu zapewniania informacji IASME .

Podobnie jak w przypadku ISO/IEC 27001 , organizacje mogą zdecydować się na ograniczenie zakresu certyfikacji do określonego podzbioru swojej działalności i musi to zostać ujawnione na ich certyfikacie.

Sterownica

Pięć kontroli technicznych to:

1. Zapory ogniowe i bramy internetowe
2. Bezpieczna konfiguracja
3. Kontrola dostępu
4. złośliwym oprogramowaniem
5. Zarządzanie poprawkami

Wskazówki dotyczące Cyber ​​​​Essentials dzielą je na drobniejsze szczegóły.

Te kontrole można porównać z kontrolami wymaganymi przez ISO/IEC 27001 , Standard dobrych praktyk w zakresie bezpieczeństwa informacji i IASME Governance , chociaż Cyber ​​​​Essentials ma węższy zakres, kładąc nacisk na kontrole techniczne, a nie na zarządzanie, ryzyko i politykę.

Historia

Program Cyber ​​Essentials został uruchomiony 5 czerwca 2014 r. Do końca czerwca kilka organizacji szybko uzyskało certyfikat. Od października 2014 r. certyfikacja Cyber ​​Essentials jest wymagana od dostawców dla rządu centralnego Wielkiej Brytanii, którzy przetwarzają określone rodzaje danych wrażliwych i danych osobowych. Ma to na celu zachęcenie do przyjęcia przez firmy, które chcą ubiegać się o kontrakty rządowe. Ubezpieczyciele sugerują, że certyfikowane jednostki mogą przyciągać niższe składki ubezpieczeniowe. Firmom i organizacjom przyznano ponad 30 000 certyfikatów Cyber ​​Essentials.

Został opracowany we współpracy z partnerami branżowymi, w tym Information Security Forum ( ISF ), Information Assurance for Small and Medium Enterprises Consortium ( IASME ) oraz British Standards Institution ( BSI ), i jest zatwierdzony przez rząd Wielkiej Brytanii. Został uruchomiony w 2014 roku przez Departament Biznesu, Innowacji i Umiejętności .

Po ataku ransomware WannaCry , NHS Digital odmówił sfinansowania 1 miliarda funtów, który był szacowanym kosztem spełnienia standardu Cyber ​​Essentials Plus, twierdząc, że nie byłoby to opłacalne i że zainwestował ponad 60 milionów funtów i planuje wydać ok. dalsze 150 mln GBP na wyeliminowanie kluczowych słabości cyberbezpieczeństwa w ciągu najbliższych dwóch lat.

Według stanu na wrzesień 2019 r. istniało pięć jednostek akredytujących, w tym: APMG, CREST, IASME , IRM security i QG.

Od kwietnia 2020 r. IASME została wybrana przez Narodowe Centrum Bezpieczeństwa Cybernetycznego ( NCSC ) jako jedyna jednostka akredytująca program Cyber ​​Essentials Scheme.

W styczniu 2022 r. model wyceny zostanie zmieniony na model wielopoziomowy oparty na liczbie pracowników, co ma lepiej odzwierciedlać bardziej złożony charakter oceny większych organizacji. Usługi w chmurze, BYOD , praca w domu, cienkie klienty i MFA ulegną dużym zmianom w ramach oceny.

Zobacz też

• CESG
• Rządowa usługa cyfrowa
• Rządowa polityka dotycząca klasyfikacji bezpieczeństwa
• IASME
• ISO/IEC 27001
• NCSC
• Brytyjska społeczność zajmująca się bezpieczeństwem cybernetycznym
• Brytyjskie Forum Bezpieczeństwa Cybernetycznego

Linki zewnętrzne

• Oficjalna witryna Cyber ​​Essentials
• Oficjalne porady dotyczące Cyber ​​Essentials
• Oficjalne wytyczne dotyczące Cyber ​​​​Essentials – wszystkie tematy
• Narodowe Centrum Cyberbezpieczeństwa: 10 kroków do cyberbezpieczeństwa