Kibernetska varnost

KAJ JE CYBER ​​ESSENTIALS?

Vlada Združenega kraljestva je za podporo krepitvi zmogljivosti varovanja informacij v vseh velikostih organizacij razvila 10-stopenjske smernice in dvostopenjsko shemo certificiranja, pri čemer je prva stopnja Cyber ​​Essentials (CE). Organizacija identificira sisteme, ki so najverjetneje ogroženi s strani nizko kvalificiranega napadalca, in izvaja vrsto kontrol, priporočenih za zagotavljanje osnovne zaščite. Ti nadzorni sistemi vključujejo mejne »fire walls« in internetne »gateways«, varno konfiguracijo, nadzor dostopa, zaščito pred zlonamerno programsko opremo in upravljanje paketne programske opreme.

Po implementaciji nadzornih procesov, organizacija izpolni podroben spletni vprašalnik, ki ga mora pregledati in potrditi višje vodstvo, preden je oddan v neodvisno oceno prek enega od spletnih portalov akreditacijskega organa CE, kot je APMG. Strokovnjak za informacijsko varnost s strani certifikacijskega organa, kot je Bureau Veritas, pregleda vprašalnik in potrdi, ali je bil dosežen zahtevani standard za izvajanje, da organizacija pridobi certifikat CE. Certifikat je objavljen na spletu in organizacija lahko uporabi logotip CE na svojih prodajnih in tržnih gradivih.

KAJ JE CYBER ​​ESSENTIALS PLUS?

Druga stopnja, Cyber ​​Essentials Plus (CE +), temelji na pregledu organizacije, ki jo neodvisno preizkuša presojevalec informacijske varnosti, da preveri, ali njeni sistemi in kontrole izpolnjujejo zahteve sheme CE +. Ta stopnja ponavadi vključuje intenzivnejše testiranje, vključno s preizkušanjem penetracije, skeniranjem ranljivosti in obiskom objektov s strežniki, in zato zahteva več naložb.

KOMU JE CYBER ​​ESSENTIALS IN CYBER ​​ESSENTIALS PLUS NAMENJEN?

Vsem podjetjem, ki poslujejo na spletu, prodajajo blago in storitve na spletu ali shranjujejo podatke o strankah in osebne podatke, priporočamo sprejetje CE kot minimalnega zaščitnega ukrepa. Potrdilo CE je predpogoj za pogodbeno delo za vlado Združenega kraljestva in podjetju omogoča, da stroškovno učinkovito dokaže osnovno raven kompetenc na področju kibernetske varnosti. CE + je logični naslednji korak in verjetno bo del širšega pristopa za upravljanje kibernetske varnosti in informacijskih tveganj.