Предисловие министров

Предисловие премьер-министра

В Интегрированном обзоре я совершенно четко заявляю о важности национальной устойчивости для безопасности и процветания Великобритании. Киберустойчивость лежит в основе этого. Немногие страны лучше подготовлены к решению этих проблем, но мы должны быть готовы и способны адаптироваться к этому новому миру, возникающему вокруг нас. Наша Национальная киберстратегия направлена ​​на это, излагая, как Великобритания твердо зарекомендует себя как демократическая и ответственная кибердержава, способная защищать и продвигать свои интересы как суверенной нации в мире, в основе которого лежат технологии.

Однако для реализации этих амбиций само правительство должно подавать пример. Помимо обеспечения того, чтобы государственные организации могли защищать услуги и функции, поддерживающие и продвигающие нашу экономику и общество, правительство должно быть образцом для частного сектора, чтобы Великобритания продолжала укреплять свою репутацию одной из самых безопасных и привлекательных стран. цифровые экономики, в которых можно жить, вести бизнес и инвестировать.

Эту проблему нельзя недооценивать, но решать ее необходимо. Вот почему я рад представить здесь Стратегию кибербезопасности правительства, в которой изложено, как мы обеспечим, чтобы все правительственные организации — во всем государственном секторе — были устойчивы к киберугрозам, с которыми мы сталкиваемся.

Послание канцлера герцогства Ланкастер и министра кабинета министров

Государственные организации, а также функции и услуги, которые они предоставляют, являются краеугольным камнем нашего общества. Однако именно их значение делает их привлекательной мишенью для постоянно растущей армии противников, часто обладающих такими мощными кибервозможностями, которые не так давно были бы единственной прерогативой национальных государств. Будь то погоня за правительственными данными для получения стратегического преимущества или стремление нарушить работу государственных служб для финансовой или политической выгоды, угроза, с которой сталкивается правительство, очень реальна и присутствует.

Правительственные организации регулярно и безжалостно становятся объектами нападений: из 777 инцидентов, которыми занимался Национальный центр кибербезопасности в период с сентября 2020 года по август 2021 года, около 40% были направлены против государственного сектора. Эта восходящая тенденция не показывает никаких признаков ослабления.

Поэтому создание и поддержание нашей киберзащиты жизненно важно, если мы хотим защитить функции и услуги, от которых мы все зависим. Как правительство, мы добились значительного прогресса за последние годы, но многое еще предстоит сделать. Чтобы противостоять угрозам, с которыми мы столкнемся в ближайшее десятилетие, мы должны опираться на наши успехи и изменить подход к кибербезопасности в правительстве.

Стратегия кибербезопасности правительства определяет, как мы будем это делать; путем повышения киберустойчивости во всех государственных организациях и совместной работы по «защите как единое целое», создавая защитную силу, превышающую сумму наших частей.

Каждая часть правительства играет роль в достижении этого. Правительственные организации имеют право управлять своими кибер-рисками, а также использовать местные знания и понимание, что позволяет внедрять огромные инновации и гибкость. Тем не менее, такие знания и опыт должны быть переданы правительству, чтобы улучшить наши коллективные действия, с более широкими и расширенными общими возможностями и услугами, делающими задачу более простой, эффективной и действенной. Эта стратегия обеспечивает основу для продвижения вперед.

Решимость правительства достичь этого абсолютна. Это обязательство отражено в Комплексном обзоре расходов на 2021 год, в котором 2,6 млрд фунтов стерлингов было инвестировано в кибербезопасность и устаревшие ИТ, важнейшим компонентом которых является государственная кибербезопасность. Дополнительное финансирование в размере 37,8 млн фунтов стерлингов также направляется на решение проблем кибербезопасности, с которыми сталкиваются местные советы для защиты жизненно важных услуг и данных, наряду с целевыми инвестициями в наши наиболее важные отделы.

Это амбициозная, но необходимая стратегия, которая требует действий со стороны всего правительства. Мы должны выполнить свою обязанность по обеспечению того, чтобы функции и услуги правительства были устойчивы к киберугрозам, с которыми они сталкиваются, создавая более сильное и лучше защищенное правительство, которое является основой нашего статуса кибердержавы.

Управляющее резюме

Контекст

Комплексный обзор ^{[сноска 1]} и Национальная киберстратегия ^{[сноска 2]} излагают стремление правительства прочно утвердить Великобританию как демократическую и ответственную кибердержаву, способную защищать и продвигать свои интересы как суверенной нации в мире, фундаментально сформированном по технологии. Однако легитимность и авторитет Великобритании как кибердержавы зависят от ее внутренней киберустойчивости, краеугольным камнем которой является правительство и организации государственного сектора, которые выполняют функции и услуги, поддерживающие и продвигающие экономику и общество Великобритании.

Несмотря на то, что правительство добилось заметного прогресса в последние годы, остается значительный разрыв между тем, где сегодня находится государственная киберустойчивость, и тем, где она должна быть. Этот пробел становится очевидным из-за огромного количества кибератак, с которыми сталкивается государственный сектор, а также из-за развивающихся возможностей и методов широкого круга злоумышленников, проводящих их. Помимо риска сбоев в работе государственных функций и государственных услуг, нацеливание на основные услуги, такие как здравоохранение, может представлять реальную угрозу для общественной безопасности.

Видение и цель

Таким образом, видение этой стратегии заключается в обеспечении того, чтобы основные функции правительства — от предоставления государственных услуг до работы аппарата национальной безопасности — были устойчивы к кибератакам, укрепляя Великобританию как суверенную нацию и укрепляя ее авторитет как демократической и ответственной кибердержавы. .

Основные государственные функции выполняются многими различными организациями государственного сектора, включая правительственные ведомства, независимые органы, агентства и местные органы власти. Таким образом, данная стратегия рассматривает все такие организации государственного сектора.

Для достижения своего видения стратегия преследует главную цель — к 2025 году значительно повысить устойчивость важнейших функций правительства к кибератакам, при этом все государственные организации во всем государственном секторе должны быть устойчивы к известным уязвимостям и методам атак не позднее 2030 года.

Это смелая и амбициозная цель. Для достижения уровня организованной и объективной видимости риска кибербезопасности во всем правительстве потребуются обширные процессы, механизмы и партнерские отношения; задача усложняется различными уровнями киберзрелости, возможностей и возможностей. Ключом к этому будет предоставление ведущим правительственным ведомствам возможности оценить и сформулировать состояние макрокибербезопасности независимых органов и других организаций государственного сектора, находящихся в их компетенции.

Достижение этой цели сделает правительство значительно более жесткой мишенью. Помимо предоставления правительству возможности защищать свои данные и работать без неоправданных сбоев, это гарантирует, что правительственные организации будут структурированы и организованы для борьбы с неизвестными и более изощренными угрозами, когда они возникают.

Стратегические основы и предложения по преобразованиям

Подход правительства к достижению этой цели основан на двух взаимодополняющих стратегических столпах, каждый из которых опирается на трансформационное предложение, которое позволит добиться улучшений в правительстве.

Во-первых, необходимо создать прочную основу организационной устойчивости к кибербезопасности; обеспечение наличия у государственных организаций необходимых структур, механизмов, инструментов и поддержки для управления рисками кибербезопасности.

Это будет подкрепляться принятием Основы кибероценки (CAF) Национального центра кибербезопасности (NCSC) в качестве основы для обеспечения гарантий для правительства, с конкретными профилями CAF для правительства, которые формулируют результаты, требуемые государственными организациями, чтобы пропорционально реагировать на меняющиеся угроза их важнейшим функциям. Объективная проверка независимыми аудиторами будет обязательным требованием для центральных правительственных ведомств, хотя ведущим государственным ведомствам придется адаптировать и применять такой подход таким образом, который наиболее подходит для организаций государственного сектора в пределах их компетенции. Помимо улучшения видимости рисков кибербезопасности, принятие CAF предоставляет правительству общую основу для более эффективного понимания и управления ими.

Во-вторых, «защищать как один». Признавая, что масштабы и темпы угрозы требуют более комплексного и объединенного ответа, правительство будет использовать ценность обмена данными, опытом и возможностями кибербезопасности между своими организациями, чтобы создать оборонительную силу, непропорционально более мощную, чем сумма ее частей.

Это будет подкреплено созданием Правительственного координационного центра кибербезопасности (GCCC). Являясь совместным предприятием правительственной группы безопасности, Центрального управления цифровых данных и данных и NCSC, GCCC будет работать над улучшением координации операционных усилий в области кибербезопасности, изменяя способы обмена, использования и принятия мер в отношении данных кибербезопасности и информации об угрозах в правительстве.

Цели

Эти столпы поддерживаются пятью целями, которые определяют параметры киберустойчивости, обеспечивая согласованную основу и общий язык, который может применяться во всем правительстве.

Управление рисками кибербезопасности

Чтобы управлять рисками кибербезопасности, правительственные организации смогут выявлять, оценивать и понимать их. В основе этого лежит видимость и понимание активов, их уязвимостей и угроз для них — будь то внутренние для организации или исходящие из ее цепочки поставок. Четкая подотчетность и надежные гарантии обеспечат осведомленность владельцев рисков о рисках, которыми они обязаны управлять, и то, что они делают это надлежащим образом.

Информация об уязвимостях будет передаваться правительству, чтобы обеспечить централизованное представление о критических уязвимостях, что позволит выявлять межправительственные риски и управлять ими, способствуя быстрой оценке, координации и смягчению последствий в масштабе.

Защититься от кибератаки

Защитная позиция отдельных государственных организаций будет неразрывно связана с их оценкой и управлением рисками. Хотя невозможно защититься от всех атак, ответственные лица смогут продемонстрировать, что они должным образом рассмотрели эти риски и отреагировали соответствующим образом.

Пропорциональные меры кибербезопасности будут встроены в технологии, используемые правительством, а технологии и цифровые услуги будут правильно спроектированы, настроены и управляться. Важно отметить, что правительство будет развивать свои общие возможности, инструменты и услуги для решения общих проблем кибербезопасности в масштабе, повышения кибербезопасности во всем правительстве, а также повышения эффективности и соотношения цены и качества.

В основе этого лежит обязанность правительства защищать данные, с которыми оно работает. Наряду с надлежащей классификацией информации правительство будет обрабатывать ее и обмениваться ею таким образом, чтобы это соответствовало рискам, которые она представляет, с использованием соответствующих ИТ-систем.

Обнаружение событий кибербезопасности

Основываясь на управлении рисками и соответствующих мерах защиты, правительство будет развивать свои возможности по обнаружению событий кибербезопасности во всех частях своего имущества, чтобы гарантировать, что риски могут быть смягчены до того, как они критически повлияют на государственные функции и услуги.

Это означает возможность мониторинга систем, сетей и служб для обнаружения событий кибербезопасности до того, как они станут инцидентами. Улучшенная координация позволит правительству гибко использовать эти входные данные для своевременного и масштабного обнаружения, способствуя согласованному реагированию, а также предоставляя возможности для обнаружения более изощренных атак.

Минимизируйте влияние инцидентов кибербезопасности

В то время как эффективное управление рисками, надлежащие и пропорциональные защитные меры и расширенные возможности обнаружения сделают правительство значительно более жесткой мишенью, инциденты кибербезопасности по-прежнему будут влиять на правительственные организации.

Таким образом, правительство будет полностью готово и сможет реагировать на киберинциденты, имея возможность восстанавливать затронутые системы и активы и возобновлять работу своих функций и услуг с минимальными нарушениями. Важнейшим компонентом этого будет создание механизмов для проверки и реализации планов реагирования на инциденты, как на уровне организации, так и на уровне правительства, а также способность извлекать уроки из инцидентов и «предаварийных ситуаций».

Развивайте правильные навыки, знания и культуру кибербезопасности

Достижение видения и цели этой стратегии будет невозможно без развития необходимых навыков и знаний в области кибербезопасности, а также содействия культурному сдвигу в области кибербезопасности во всем правительстве.

Правительство будет иметь полное представление о своих требованиях к навыкам кибербезопасности и будет стимулировать и продвигать карьеру в области кибербезопасности в правительстве. Наряду с формальными карьерными путями, согласованными с Советом по кибербезопасности Великобритании, работа над принятием единой системы оплаты для кибер-профессии позволит правительству более эффективно привлекать, развивать и сохранять эти навыки, обеспечивая устойчивую государственную профессию в области кибербезопасности.

Потребность в достаточных навыках и знаниях в области кибербезопасности выходит за рамки технических ролей в области кибербезопасности и включает широкий спектр профессиональных функций, которые должны надлежащим образом учитывать кибербезопасность. От профессии в области цифровых технологий, данных и технологий (DDAT) до коммерческих и юридических функций правительства достаточные знания и осведомленность в области кибербезопасности обеспечат активное рассмотрение кибербезопасности везде, где это необходимо.

По сути, эта стратегия признает важность развития культуры кибербезопасности, которая дает людям возможность учиться, задавать вопросы и бросать вызов для постоянного улучшения. Это начинается с повышения осведомленности и знаний в области кибербезопасности среди всех работников государственного сектора, опираясь на эти основы для создания позитивной культуры кибербезопасности, которая продвигает и расширяет возможности своих сотрудников для активного взаимодействия с организационными рисками кибербезопасности. Правильное понимание этого является ключом к устойчивым изменениям.

Глава 1: Контекст

Важность государственной кибербезопасности для национальной устойчивости

Комплексный обзор безопасности, обороны, развития и внешней политики ^{[сноска 3]} (Комплексный обзор) выдвигает национальную устойчивость на передний план подхода Великобритании к своей будущей безопасности и процветанию. По мере того, как глобальная зависимость от цифровых услуг и средств связи растет, потребность в сильной киберустойчивости будет становиться все более важной для этих национальных усилий.

Национальная киберстратегия ^{[сноска 4]} преследует эту цель, стремясь утвердить Великобританию как демократическую и ответственную кибердержаву, способную защищать и продвигать свои интересы как суверенной нации в мире, в основе которого лежат технологии.

Однако легитимность и авторитет Великобритании как кибердержавы зависят от ее внутренней киберустойчивости; краеугольным камнем которого является ее государственный сектор. Правительство имеет фундаментальную обязанность выполнять функции, которые поддерживают и продвигают экономику и общество Великобритании, от предоставления государственных услуг до работы аппарата национальной безопасности. Эти функции должны быть в состоянии работать без неоправданных сбоев, чтобы поддерживать доверие и общественное доверие, необходимые для того, чтобы Великобритания могла процветать и, в свою очередь, оказывать влияние за ее пределами.

Рисунок 1: Стратегический контекст

Описание рисунка 1

Интегрированный обзор привносит национальную устойчивость в силу подхода Великобритании к своей будущей безопасности и процветанию.

Национальная стратегия кибербезопасности направлена ​​на то, чтобы прочно утвердить Великобританию в качестве ведущей демократической и ответственной кибердержавы.

Стратегия правительственной кибербезопасности направлена ​​на то, чтобы основные функции правительства были устойчивы к кибератакам, укрепляя Великобританию как суверенную нацию и укрепляя ее авторитет как демократической и ответственной кибердержавы.

Проблемы и возможности для правительства

Прогресс

Правительство добилось значительного прогресса за последние пять лет. Наряду с созданием Национального центра кибербезопасности (NCSC) в качестве национального технического органа Великобритании по кибербезопасности, создание Группы правительственной безопасности и Центрального офиса цифровых данных и данных в Кабинете министров обеспечило централизованное руководство вопросами кибербезопасности и цифровая трансформация в основе правительства.

Внедрение Минимальных стандартов кибербезопасности для правительства в 2018 году ^{[сноска 5]} и ежегодная «Проверка работоспособности» заложили четкие требования к средствам контроля и поведения в области кибербезопасности, а также улучшили понимание правительствами своего положения в области кибербезопасности. Это понимание было дополнительно улучшено введением схемы GBEST для правительства, которая обеспечивает продвинутую, основанную на разведке модель моделирования атаки для оценки киберустойчивости организации.

Потребность в кибербезопасности воспринимается все более серьезно на самом высоком уровне, с более регулярными отчетами перед советами директоров и правительственными комитетами по аудиту и рискам, которые постоянно подчеркивают ее как критический риск. Это признание нашло свое отражение в постоянных и значительных инвестициях в государственную кибербезопасность через Национальную программу кибербезопасности, а также в инвестициях в решение проблем с устаревшими ИТ во всей государственной ИТ-инфраструктуре.

NCSC продолжает масштабировать и развивать свою программу активной киберзащиты для противодействия кибератакам относительно автоматизированным и масштабируемым способом, а также увеличивает количество общих услуг и возможностей, предлагаемых для повышения киберустойчивости правительства. Внедрение и расширение правительственной платформы SECRET IT также изменило то, как правительство управляет более конфиденциальной информацией и расширило сотрудничество между классификациями.

Были предприняты шаги для решения проблемы с навыками кибербезопасности в правительстве с созданием профессии государственной безопасности. Разработка структуры киберкарьеры, в которой устанавливаются стандартные требования к навыкам и знаниям в правительстве, напрямую связанные с учебным планом в области кибербезопасности и предложением оплаты в киберпространстве, привлекает, развивает и удерживает таланты в области кибербезопасности. Предложение правительства по раннему развитию талантов также способствует росту талантов изнутри посредством ученичества и схем быстрого потока.

Важность кибербезопасности признается и за пределами правительства Великобритании. Организации государственного сектора добиваются успехов, ярким примером является сектор здравоохранения. Децентрализованные правительства также разработали хорошо разработанные стратегии киберустойчивости и планы действий, обеспечивающие значительные улучшения кибербезопасности в секторах, за которые они делегировали ответственность.

Соревнование

Тем не менее, в то время как признание и понимание правительством риска кибербезопасности развивалось, оно также высветило разрыв между тем, где сегодня находится киберустойчивость правительства, и тем, где она должна быть. На этот пробел обращают особое внимание проблемы, с которыми столкнулись отделы при достижении Минимальных стандартов кибербезопасности.

Уровень зрелости, возможностей, инвестиций и понимания безопасности в государственных организациях остается непостоянным, а размер и сложность цифрового имущества правительства, включая наличие устаревших ИТ, значительно усложняют задачу. Размер и разнообразие государственных цепочек поставок затрудняет управление рисками, а долгосрочные контракты сдерживают инновации. Кроме того, сложные структуры управления, недостаточная подотчетность, рычаги и стимулы, а также недостаточно развитые механизмы для эффективного обмена информацией и возможностями существенно влияют на то, как правительство видит киберриски, а также на его способность проводить изменения в необходимом масштабе и темпами. Это усложняется ограниченными ресурсами.

Решение масштабных задач также зависит от людей. Однако в условиях нехватки национальных кадров в области кибербезопасности ^{[сноска 7]} правительство изо всех сил пытается конкурировать с частным сектором в привлечении и удержании необходимых кадров разнообразных и квалифицированных специалистов в области кибербезопасности, несмотря на его позитивные усилия на сегодняшний день. Это выходит за рамки технических навыков в области кибербезопасности, включая широкий спектр профессиональных функций, требующих знаний и осведомленности в области кибербезопасности. Более того, внутренняя конкуренция за киберпрофессионалов в правительстве слишком часто происходит за счет сохранения знаний и устойчивых изменений.

Необходимость повышения киберустойчивости становится все более острой, учитывая все более цифровой мир. В то время как повсеместное цифровое подключение и массовое генерирование данных создают для правительства значительные возможности для улучшения своих услуг и функций на благо Великобритании и ее граждан, это также создает значительные риски для кибербезопасности. По мере роста зависимости правительства от цифровых услуг — от использования цифровых продуктов и услуг до переноса государственных данных и услуг в облако — возрастает зависимость от тех, кто не входит в правительство, часто с присутствием за пределами Великобритании. Пандемия COVID-19 усугубила эти риски, а также коренным образом изменила работу правительства, и гибридная работа стала нормой.

Такая взаимосвязь и зависимость значительно увеличивают риск злонамеренных атак, что может поставить под угрозу доверие и доверие общества к правительству.

Угроза

По мере развития рисков кибербезопасности растут и угрозы, исходящие от злоумышленников — от государств до киберпреступников. В то время как их возможности и методы продолжают развиваться и диверсифицироваться, коммерциализация наступательных киберинструментов и услуг все больше снижает порог возможностей для любого, кто намерен нарушить или подорвать функционирование правительства.

В то же время правительство остается привлекательной мишенью для широкого круга злоумышленников: примерно 40% из 777 инцидентов, контролируемых NCSC в период с сентября 2020 г. по август 2021 г., затрагивают государственный сектор ^{[сноска 8]} . Ожидается, что этот показатель будет продолжать расти.

Угроза со стороны субъектов национального государства вызывает серьезную озабоченность, поскольку почти половина деятельности национального государства нацелена на правительства по всему миру, при этом Великобритания является третьей страной по количеству атак после США и Украины ^{[сноска 9]} . В равной степени резкий рост атак программ-вымогателей и недавние серьезные инциденты демонстрируют как масштаб воздействия, так и разнообразие затронутых организаций, от государственных ведомств до более широких организаций государственного сектора. Нацеленность на здравоохранение, образование и другие основные услуги продолжает демонстрировать серьезность таких кибератак, которые не только вызывают серьезные сбои в предоставлении основных государственных услуг, но также могут представлять реальную угрозу для общественной безопасности.

Возможность

Хотя правительство сталкивается со значительными трудностями, оно также имеет много качеств и сильных сторон. С таким организационным разнообразием приходит множество возможностей, знаний и данных, которые необходимо развивать и использовать. Правительство также должно в полной мере воспользоваться преимуществами, которые приносит цифровая трансформация, для стимулирования инноваций, аналитического понимания и масштабирования возможностей.

Киберустойчивость остается экономичным и действенным средством борьбы с киберугрозами. Поэтому правительственные организации должны опираться на эти основы для повышения своей киберустойчивости. Что наиболее важно, правительству необходимо использовать свою коллективную силу, объединяя и развивая свои возможности, чтобы создать более сильную оборонительную силу, способную противостоять постоянно меняющемуся ландшафту киберрисков.

Рисунок 2: Киберинциденты, затрагивающие государственный сектор

Глава 2: Подход

Видение и цель

Правительство обязано выполнять функции, которые поддерживают и продвигают экономику и общество Великобритании. Эти функции должны работать без неоправданных сбоев, чтобы поддерживать доверие общества, необходимое для процветания Великобритании. Поэтому крайне важно, чтобы эти функции были достаточно устойчивыми к постоянно меняющимся киберугрозам.

Для реализации этого видения у правительства должны быть механизмы для выявления и управления известными рисками, чтобы поддерживать пропорциональный и эффективный уровень кибербезопасности во всех государственных организациях.

Это будет означать, что ОФИЦИАЛЬНЫЕ системы правительства будут защищены от известных уязвимостей, а неправильные методы обеспечения безопасности больше не будут неправомерно подвергать правительство воздействию легко предотвратимых методов атак, а информация выше ОФИЦИАЛЬНОЙ будет надлежащим образом защищена в системах более высокого уровня секретности. Такая позиция и вытекающее из нее понимание будут означать, что правительство знает об атаках на свои системы и может эффективно поддерживать свою киберустойчивость.

Достижение этой цели сделает правительство значительно более жесткой мишенью, заставив противников работать усерднее, в то же время позволяя государственным функциям работать без неоправданных сбоев, что, в свою очередь, укрепит авторитет Великобритании как демократической и ответственной кибердержавы.

Масштабы этой стратегии

Основные функции правительства выполняются многими различными организациями государственного сектора, включая правительственные ведомства, независимые органы, агентства, местные органы власти и другие более широкие организации государственного сектора. Таким образом, данная стратегия рассматривает все такие организации государственного сектора. При этом он признает широту, сложность и разную степень автономии этих организаций, особенно тех, которые не входят в центральное правительство.

Ведущие правительственные ведомства лучше всех способны понять уникальные характеристики организаций, входящих в их компетенцию, включая их независимые органы и агентства, а также другие государственные органы и более широкие организации государственного сектора. Поэтому основное внимание уделяется тому, чтобы позволить ведущим государственным ведомствам оценить и сформулировать состояние кибербезопасности на макроуровне в этих организациях, внося улучшения по мере необходимости.

Автономные правительства

В то время как кибербезопасность — в рамках более широкой компетенции национальной безопасности — является зарезервированным вопросом, ответственность за государственные услуги в Шотландии, Уэльсе и Северной Ирландии передана соответствующим автономным правительствам. Это включает в себя, среди прочего, передачу функций здравоохранения и социального обеспечения, образования и транспорта. Таким образом, делегированные правительства несут ответственность за обеспечение устойчивости этих услуг к киберрискам.

Хотя эти вопросы переданы другим сторонам, Великобритания в целом разделяет видение, изложенное в этой стратегии. Поэтому правительство Великобритании будет продолжать сотрудничать с автономными правительствами, чтобы обеспечить решение коллективных вопросов в партнерстве с предоставлением соответствующей информации и поддержки для поддержания устойчивости Великобритании.

Рисунок 3: Объем стратегии

Описание рисунка 3

Автономные правительства и функции центрального правительства:

• установить стратегическое направление и межправительственную политику
• управление гарантиями для центральных правительственных ведомств
• разрабатывать и поддерживать макро-представление о межгосударственных рисках кибербезопасности

Автономные правительства и функции центрального правительства работают вместе, чтобы обмениваться информацией и обеспечивать решение коллективных вопросов в партнерстве.

Центральные правительственные ведомства/ведущие правительственные ведомства:

• управлять собственным риском кибербезопасности
• оценить и сформулировать состояние макро-кибербезопасности организаций государственного сектора в их компетенции

К организациям государственного сектора относятся:

• тела на расстоянии вытянутой руки
• агентства
• местные органы власти
• другие более широкие организации государственного сектора

Столбы

Достижение этого видения и цели потребует кардинального изменения подходов правительства к кибербезопасности. Помимо дальнейшего укрепления организационной киберустойчивости, правительство будет «защищать как единое целое», чтобы гарантировать, что оно сможет справиться с масштабом стоящих перед ним проблем. Таким образом, эта стратегия сосредоточена вокруг двух основных и взаимодополняющих стратегических столпов, которые определяют и определяют подход правительства к киберустойчивости.

Рисунок 4: Стратегические элементы

Компонент 1. Создание прочного фундамента организационной устойчивости к кибербезопасности.

Помимо того, что они несут ответственность и подотчетны за управление своими собственными рисками кибербезопасности, правительственные организации должны все больше признавать свою коллективную ответственность за киберустойчивость всего правительства. Учитывая, что неудачи одной организации могут иметь серьезные последствия для многих других, крайне важно, чтобы все отдельные организации создавали и укрепляли свою систему кибербезопасности с учетом рисков, с которыми они сталкиваются, и важности функций, за которые они несут ответственность.

Таким образом, государственные организации будут располагать необходимыми структурами, механизмами, инструментами и поддержкой, чтобы гарантировать, что они смогут управлять своими рисками кибербезопасности. Это будет подкреплено подлинной подотчетностью, поэтому правительство будет уверено в своей киберустойчивости как на организационном, так и на межправительственном уровне.

Столп 2: «Защищайтесь как один»

В то время как CAF будет использоваться в качестве основы для обеспечения последовательной гарантии кибербезопасности государственных ведомств, отдельные ведомства могут продолжать использовать любую структуру, которую они считают наиболее подходящей, чтобы лучше управлять своими рисками кибербезопасности. Известные структуры кибербезопасности, такие как структура кибербезопасности Национального института стандартов и технологий (NIST) и ISO 27001, согласуются с CAF, гарантируя, что требования к отчетности не нарушают зрелые внутренние структуры и процессы управления рисками кибербезопасности.

В то время как создание прочной основы организационной кибербезопасности имеет решающее значение, масштаб и скорость угрозы требуют более комплексного и объединенного ответа. Поэтому правительство будет «защищать как единое целое»; использование ценности обмена данными, опытом и возможностями кибербезопасности между правительствами для создания оборонительной силы, непропорционально более мощной, чем сумма ее частей.

Это означает обеспечение своевременного доступа всех правительственных организаций к актуальным и действенным данным о кибербезопасности, что повышает их способность управлять киберрисками, а также совместную работу для лучшей координации и таргетирования общих государственных возможностей и услуг, направленных на решение общих проблем кибербезопасности в масштабе.

Это принесет непропорциональную пользу кибербезопасности правительства. Это также будет способствовать инновациям за счет координации выявления общих рисков кибербезопасности, затрагивающих государственные организации, и использования правительственного опыта и ресурсов для решения этих проблем в масштабе.

Цели

Основные элементы стратегии подкреплены пятью целями. Они устанавливают параметры того, что необходимо учитывать в отношении киберустойчивости, обеспечивая согласованную основу и общий язык, который можно применять ко всему правительству.

1. Управление рисками кибербезопасности. Эффективные процессы управления рисками кибербезопасности, управление и подотчетность позволяют выявлять, оценивать и управлять рисками кибербезопасности как на организационном, так и на межправительственном уровне.
2. Защита от кибератак. Понимание рисков кибербезопасности позволяет принимать соразмерные меры безопасности с централизованно разработанными возможностями, обеспечивающими масштабируемую защиту.
3. Обнаружение событий кибербезопасности. Комплексный мониторинг систем, сетей и служб позволяет управлять событиями кибербезопасности до того, как они станут инцидентами.
4. Сведение к минимуму воздействия инцидентов кибербезопасности: Инциденты кибербезопасности быстро локализуются и оцениваются, что позволяет быстро реагировать в любом масштабе.
5. Развивайте необходимые навыки, знания и культуру в области кибербезопасности. Достаточное количество квалифицированных и знающих специалистов удовлетворяет все потребности в области кибербезопасности, начиная от технических экспертов по кибербезопасности и заканчивая широким спектром профессиональных функций, которые должны включать кибербезопасность в предоставляемые ими услуги. культура кибербезопасности, которая способствует устойчивым изменениям.

Рисунок 6: Государственная стратегия кибербезопасности

Глава 3. Управление рисками кибербезопасности

Управление рисками лежит в основе этой стратегии. Только тогда, когда риск понимается, можно применять меры по его снижению и расставлять приоритеты для инвестиций. Поэтому точная информация о рисках имеет решающее значение для того, чтобы подотчетные лица могли принимать эффективные решения, основанные на оценке рисков. Он также обеспечивает общесистемное представление, необходимое для устранения системных рисков и проведения масштабных вмешательств.

Чтобы управлять рисками кибербезопасности, правительственные организации смогут выявлять, оценивать и понимать их. Основой этого является видимость и понимание активов, которыми владеют и управляют, будь то инфраструктура, цифровые услуги и приложения или данные, а также угрозы для них. Такая видимость является основой для точной оценки риска. Четкая подотчетность и надежные гарантии обеспечат осведомленность владельцев рисков о рисках, которыми они обязаны управлять, и то, что они делают это надлежащим образом.

Чтобы управлять рисками кибербезопасности, правительственные организации смогут выявлять, оценивать и понимать их. Основой этого является видимость и понимание активов, которыми владеют и управляют, будь то инфраструктура, цифровые услуги и приложения или данные, а также угрозы для них. Такая видимость является основой для точной оценки риска. Четкая подотчетность и надежные гарантии обеспечат осведомленность владельцев рисков о рисках, которыми они обязаны управлять, и то, что они делают это надлежащим образом.

Управление и подотчетность

Результат 1: Правительство установило механизмы управления с четкой подотчетностью, что позволяет эффективно управлять киберрисками на всех уровнях государственного управления.

Чтобы довести государственное управление рисками до надлежащего уровня, требуются изменения и улучшения в управлении и подотчетности в правительстве. Киберриски будут рассматриваться как неотъемлемый компонент управления бизнес-рисками и устойчивостью с эффективными организационными структурами управления кибербезопасностью, которые позволят государственным организациям полностью понимать и учитывать риски, которыми они владеют. Это включает в себя установление ролей и обязанностей для своих систем и услуг, а также четкие каналы для информирования и повышения рисков, чтобы гарантировать, что лица, принимающие решения, имеют видимость, необходимую для принятия эффективных решений. Самое главное, это требует четкой и прозрачной подотчетности перед бухгалтерами и исполнительным советом, чтобы гарантировать, что лица, принимающие решения, проинформированы и уполномочены выражать позицию своей организации по рискам.

Ведущие правительственные ведомства лучше всего понимают уникальные характеристики организаций, находящихся в их компетенции, и разработают механизмы для оценки и формулирования макро-киберпозиции этих организаций, внедрив соответствующие механизмы управления для обеспечения необходимых улучшений.

В то время как бухгалтеры несут ответственность за риски своей организации, прозрачные структуры центрального управления будут осуществлять надзор и нести ответственность за межправительственные риски кибербезопасности, обеспечивая выявление и управление системными рисками.

Активы и уязвимости

Результат 2: Правительство обладает всесторонней видимостью и пониманием своих цифровых активов, что позволяет ему выявлять и управлять уязвимостями, а также рисками кибербезопасности, которые они представляют.

Без полной прозрачности государственных ИТ, цифровых и информационных активов, а также пользователей риски кибербезопасности остаются нераспознанными и неуправляемыми. Эта ограниченная видимость не только ограничивает способность организации защищать свое имущество, но и снижает способность правительства выявлять совокупные и системные риски и реагировать на них, которые могут иметь разрушительные последствия для функционирования правительства.

Таким образом, все государственные организации будут иметь активный и автоматизированный метод обнаружения и управления активами, чтобы постоянно определять, какими системами, аппаратным и программным обеспечением они владеют и работают, в том числе предоставленными поставщиками, чтобы можно было управлять потенциальными рисками для них. По мере того, как государственные организации переходят на облачные сервисы, они должны использовать преимущества доступных инструментов управления активами, которые значительно упрощают для организации получение информации о том, чем она владеет и чем управляет, как они настроены и где они уязвимы.

Уязвимости в технологиях и цифровых сервисах появляются или обнаруживаются почти постоянно. Таким образом, подход правительства к управлению ими будет отражать эту меняющуюся ситуацию. У правительства будут механизмы, позволяющие быстро выявлять, оценивать и управлять уязвимыми местами. Это включает в себя обеспечение четкого пути для всех — будь то государственный служащий, коммерческая организация или частное лицо — для выявления потенциальных уязвимостей, а также наличие надежных программ управления уязвимостями во всех государственных организациях для обеспечения эффективного управления выявленными уязвимостями в их ИТ-недвижимость.

Информация о критических уязвимостях будет безопасно передаваться правительству, чтобы все государственные организации могли принять соответствующие меры. Эффективный обмен информацией также обеспечит централизованное представление о критических уязвимостях, что позволит правительству лучше видеть зависимости между его системами и службами, что позволит выявлять и решать более системные проблемы, а также облегчать быструю оценку, координацию и смягчение последствий в масштабе.

Активы данных

Результат 3: Правительство имеет всестороннюю видимость данных, которые оно обрабатывает и передает, чтобы оно могло надлежащим образом оценивать и реагировать на риски, которые оно представляет.

Помимо ИТ-активов, государственные организации будут иметь полную информацию о своих активах данных. От личных данных до секретной информации данные лежат в основе всех государственных ИТ и услуг и будут защищены пропорционально риску и в соответствии с законодательством о защите данных. Таким образом, государственные организации будут иметь четкое представление о том, с какими активами данных они работают, как они хранятся или размещаются, а также где они доступны, чтобы они могли адекватно оценивать риски, которые они представляют, и обеспечивать наличие достаточных средств защиты для управления ими.

Риск цепочки поставок

Результат 4: Правительство понимает и управляет рисками, исходящими от коммерческих поставщиков

Продукты и услуги, предоставляемые на коммерческой основе, играют неотъемлемую роль в выполнении государственных функций и услуг. По мере того как государственные цепочки поставок становятся все более обширными и взаимосвязанными, уязвимости в системах поставщиков, а также в продуктах и ​​услугах, которые они поставляют, открывают все более привлекательные возможности для злоумышленников, стремящихся получить доступ к правительственным сетям. Осознавая этот растущий риск, правительство предпримет шаги, чтобы лучше понять свою зависимость от поставщиков и обеспечить интеграцию их продуктов и услуг в государственные системы таким образом, чтобы в полной мере учитывать их влияние на безопасность и устойчивость. При этом правительство станет образцом в закупке и развертывании коммерческих продуктов и услуг, став стимулом для улучшения более широкой экосистемы таких поставщиков по всей Великобритании.

Централизованное картирование важнейших и общих поставщиков правительства позволит выявлять и координировать управление системными и совокупными рисками цепочки поставок для правительства. Принципы кибербезопасности цепочки поставок установят четкие требования к этим поставщикам, ожидая, что они предоставят прозрачные заявления о соблюдении. Правительство также будет в полной мере использовать свои установившиеся коммерческие отношения и совокупную покупательную способность, чтобы гарантировать, что его основные поставщики соблюдают эти принципы. Наряду с усилением надлежащих и пропорциональных средств контроля и поведения в области кибербезопасности, такой централизованный надзор будет продвигать стандартные требования и предоставлять общие гарантии, которые уменьшат дублирование и повысят эффективность как для государственных организаций, так и для их поставщиков.

Хотя такие действия значительно повысят ожидания, возлагаемые на критически важных и межправительственных поставщиков, требования также должны быть пропорциональными и надежными для более мелких и более специализированных поставщиков, опираясь на Cyber ​​Essentials как на основополагающий инструмент, позволяющий убедиться, что соответствующие поставщики имеют надлежащие меры защиты. . Согласование между коммерческими функциями и функциями безопасности гарантирует, что кибербезопасность является частью каждого процесса закупок, что позволит коммерческим командам четко сформулировать требования кибербезопасности на основе понимания рисков. Требования кибербезопасности в рамках государственных закупок и контрактов будут усилены, гарантируя, что коммерческие соглашения основаны на рисках и соответствуют надежным положениям, касающимся идентификации и управления субподрядчиками.

Улучшение понимания поставщиков и их зависимостей также позволит правительству лучше реагировать на инциденты кибербезопасности, возникающие в цепочке поставок. Такое понимание обеспечит надзор за межправительственными последствиями и позволит более целенаправленно и эффективно взаимодействовать с поставщиками, гарантируя быстрое и эффективное управление любым инцидентом. GCCC будет играть решающую роль в содействии этому.

Информация об угрозе

Результат 5: Правительство понимает угрозу, с которой оно сталкивается в связи со своими функциями, чтобы планировать соответствующие меры по смягчению последствий как на организационном, так и на межправительственном уровне.

Помимо способности правительства понять, что у него есть и насколько оно уязвимо, оно также поймет угрозу для себя, чтобы прийти к точной оценке риска. Беспрепятственное сопоставление и распространение информации об угрозах имеет решающее значение, поскольку оно предоставляет лицам, ответственным за защиту систем и сетей, стратегические, тактические, технические и оперативные сведения, необходимые для прогнозирования атак и защиты от них.

Таким образом, правительственные организации будут иметь возможность получать и использовать такую ​​информацию об угрозах, а также возможность генерировать ее на основе мониторинга своей системы систематизированным образом — по возможности автоматически. Информация об угрозах, генерируемая на местном уровне, будет дополнена последовательным использованием информации об угрозах со стороны правительства и частного сектора.

Будут созданы центральные механизмы для обеспечения более всестороннего, целенаправленного и, по возможности, автоматизированного обмена информацией об угрозах между правительствами. Это позволит государственным организациям принимать эффективные решения по расстановке приоритетов на основе актуальной информации.

Данные кибербезопасности

Результат 6. Государственные организации получают своевременный доступ к актуальным и полезным данным о кибербезопасности, что повышает их способность принимать эффективные решения по управлению рисками.

Данные о кибербезопасности являются бесценным товаром, включая важную информацию об угрозах и уязвимостях, которую правительство должно понимать, чтобы эффективно управлять рисками, с которыми оно сталкивается. Необходимость для всех государственных организаций иметь доступ к актуальным и действенным данным о кибербезопасности имеет первостепенное значение, но, хотя некоторые части правительства невероятно богаты данными, другие не имеют доступа к данным о кибербезопасности, которые им необходимы для принятия эффективных решений на основе рисков. .

Наряду с более эффективным использованием существующих данных о кибербезопасности — из таких источников, как межгосударственные службы, организационные системы, ведение журналов и мониторинг конечных точек — будет извлекаться больше пользы из анализа совокупных данных с расширенным распространением критически важной информации среди тех, кто в ней нуждается. чтобы ответить на них. Недавно созданный GCCC будет играть фундаментальную роль в содействии этому, гарантируя, что целевые данные о кибербезопасности будут передаваться правительству — в соответствии с его классификацией и правовым статусом — и поддерживая организации для их эффективного использования.

Государственная гарантия кибербезопасности

Результат 7: Обеспечение правительственной кибербезопасности обеспечивает правительству видимость, необходимую для принятия эффективных решений, и уверенность в том, что у него есть надлежащие меры кибербезопасности для управления рисками для его функций.

Обеспечение кибербезопасности необходимо для обеспечения видимости рисков кибербезопасности в государственных организациях, а также уверенности в том, что эти риски управляются надлежащим образом и соразмерно. Чтобы достичь этого, правительственный процесс обеспечения кибербезопасности обеспечит последовательную и независимую проверку против правительственных профилей CAF. ^{[сноска 11]}Сосредоточив внимание на наиболее важных функциях организации, включая критически важную национальную инфраструктуру, он обеспечит объективный способ оценки того, является ли оценка кибербезопасности организации и управление рисками кибербезопасности соразмерными и находятся ли они в допустимых допустимых пределах риска. Этот процесс обеспечения безопасности будет в дальнейшем проверен и дополнен посредством тестирования и упражнений в реальных условиях, таких как тестирование на проникновение и работа с красными командами. Результаты деятельности по обеспечению уверенности будут по возможности машиночитаемы, что упростит автоматический анализ влияния на кибербезопасность.

Несмотря на то, что эти процессы подтверждения будут обязательными для центральных правительственных ведомств, они предоставят модель, которую ведущие правительственные ведомства и автономные правительства могут адаптировать и применять в организациях государственного сектора в рамках своей компетенции.

Представление о состоянии кибербезопасности правительства, обеспечиваемое этой гарантией, даст правительству полную уверенность в том, что риски кибербезопасности для его функций управляются в достаточной степени. В нем также будут освещены общие вопросы и проблемы в масштабе, что позволит проводить экономически эффективные и целенаправленные вмешательства.

Частный сектор и международное партнерство

Результат 8: Дальнейшее развитие стратегического партнерства с частным сектором и международными партнерами для усиления упреждающей защиты в глобальном масштабе.

Правительство полагается на партнерские отношения с частным сектором и международными союзниками для повышения своей киберустойчивости. Это влияние простирается от сторонних продуктов и услуг, которые правительство закупает и развертывает, до разработки новых технологий и будущего управления киберпространством.

Учитывая фундаментальную роль, которую партнеры из частного сектора играют в разработке, функционировании и выполнении государственных функций, крайне важно, чтобы критические проблемы кибербезопасности решались совместно. Поэтому правительство будет продолжать развивать свои партнерские отношения с организациями частного сектора и академическими кругами, чтобы повысить свою устойчивость во всех аспектах безопасности; построение доверительных отношений и общих результатов.

Как подчеркивается в Национальной киберстратегии, киберсфера выходит за рамки международных границ. Обмен знаниями и опытом с международными союзниками повысит коллективную способность понимать и защищаться от общих противников, что, в свою очередь, укрепляет коллективную и глобальную киберустойчивость. Правительство будет продолжать налаживать партнерские отношения со своими союзниками для достижения общих целей.

Глава 4. Защита от кибератак

Эффективная защита правительства от кибератак зависит от его понимания риска. Непосредственное реагирование на возникающие риски гарантирует, что правительство станет все более опасной мишенью для любого противника.

Защитная позиция отдельных государственных организаций будет неразрывно связана с их оценкой и управлением рисками. Хотя невозможно защититься от всех атак, ответственные лица смогут продемонстрировать, что они должным образом рассмотрели эти риски и отреагировали соответствующим образом.

Безопасные технологии и цифровые услуги

Результат 9. Правительство принимает общий подход к «безопасности по замыслу», чтобы гарантировать, что надлежащие и пропорциональные меры кибербезопасности встроены в технологии, используемые государством, и что безопасность цифровых услуг постоянно обеспечивается на протяжении всего их жизненного цикла.

Правительство полагается на ряд технологий для выполнения своих функций и предоставления цифровых услуг. К ним относятся как стандартные, так и изготовленные на заказ компоненты, представляющие риски кибербезопасности, которыми необходимо управлять на протяжении всего их жизненного цикла. Для этого правительство примет структуру «безопасность по замыслу», которая обеспечит безопасное планирование, закупку, проектирование, строительство, эксплуатацию, модификацию и вывод из эксплуатации всех технологий и цифровых услуг, что позволит последовательно и постоянно обеспечивать их соответствие передовой практике и надежные стандарты.

Эта «безопасная по замыслу» структура позволит правительству еще больше воспользоваться преимуществами отраслевых инноваций, расширив свои возможности по тестированию, пилотированию и развертыванию коммерческих инструментов, услуг и возможностей, которые значительно улучшат безопасность и эффективность правительства.

Способность защищаться от развивающихся уязвимостей и угроз ограничивается наличием устаревших и уязвимых ИТ в государственных ИТ-ресурсах. Поэтому правительство будет продолжать свои усилия по управлению, обновлению или удалению таких ИТ и внедрять необходимые меры безопасности и постоянные инвестиции, чтобы обеспечить достаточную безопасность государственных ИТ на протяжении всего их жизненного цикла.

Контроль кибербезопасности

Результат 10. Государственные организации внедряют средства контроля кибербезопасности в соответствии с их профилем рисков, чтобы обеспечить пропорциональное управление рисками для их функций.

Хотя безопасные технологии обеспечивают основу эффективной кибербезопасности, также будут внедрены соответствующие и пропорциональные меры безопасности. Хотя многие меры безопасности будут общими для всех государственных организаций, например соответствующие средства контроля доступа, более широкий набор требований будет отвечать на возникающие угрозы.

Таким образом, угрозы, с которыми сталкиваются важные функции организации, будут определять соответствующий профиль CAF в рамках процесса обеспечения государственных гарантий. Этот профиль CAF будет определять результаты, необходимые для надлежащего управления риском, связанным с угрозой. Достижение этих пропорциональных результатов будет зависеть от применения конкретных мер контроля, которые будут четко обозначены для государственных организаций, наряду с соответствующими политиками и рекомендациями. Хотя ведущие государственные ведомства смогут применять такой подход наиболее подходящим образом, они смогут получать от таких процессов рекомендации и поддержку.

Системы более высокой классификации обеспечивают дополнительные меры кибербезопасности, необходимые для обработки информации, классифицированной выше ОФИЦИАЛЬНОЙ. Эти системы управляются централизованно и обеспечивают необходимый уровень кибербезопасности.

Безопасная конфигурация

Результат 11. Государственная технология настроена надлежащим образом, стандартные профили для общих технологий и архитектур разрабатываются и постоянно обновляются.

Технологии и цифровые услуги безопасны настолько, насколько позволяют их архитектура и конфигурация. Несмотря на то, что принятие комплексного подхода «безопасность по проекту» позволит устранить некоторые из этих рисков, разработчик, администратор или пользователь всегда несут ответственность за надлежащую настройку системы или службы в соответствии с требованиями безопасности. Неправильное выполнение этого требования может оставить системы и данные незащищенными или легко открытыми для компрометации. Этот риск будет становиться все более острым, поскольку правительство продолжает свою цифровую трансформацию.

Чтобы снизить этот риск, в партнерстве с поставщиками будут разрабатываться безопасные шаблоны конфигурации и возможности для известных продуктов и услуг, которые будут продвигаться по всему правительству, чтобы обеспечить правильную настройку общих продуктов и услуг. Эти конфигурации будут легко поддаваться аудиту, что обеспечит прозрачность для всех государственных органов для выявления совокупных рисков и реагирования на выявленные угрозы в нужном темпе и масштабе.

Общие возможности

Результат 12: Совместно используемые возможности, инструменты и услуги решают «общие» проблемы кибербезопасности в масштабе

Ключевым компонентом опоры этой стратегии «защита как единое целое» является необходимость использования общих возможностей, инструментов и услуг для непропорционального улучшения кибербезопасности правительства, а также для обеспечения оптимального соотношения цены и качества. Будь то централизованная работа по защите доменов gov.uk для всего государственного сектора или разработка и повышение доступности инструментов и услуг активной киберзащиты, такие усилия либо снижают риск, с которым сталкиваются государственные организации, либо помогают им эффективно и действенно управлять им. .

Поэтому правительство будет продолжать развивать и наращивать такие возможности. Координация и сотрудничество имеют ключевое значение для этого как для обеспечения того, чтобы решения были нацелены на те области, в которых они больше всего нужны, так и для того, чтобы позволить правительству стимулировать инновации для улучшения кибербезопасности в масштабе.

Информация и безопасность данных

Результат 13. Государственные данные должным образом классифицируются, обрабатываются и передаются таким образом, который соответствует риску, который они представляют.

Правительство несет ответственность за защиту данных, будь то секретная информация или персональные данные, которые оно обрабатывает и передает для выполнения своих функций и услуг. Поэтому правительство будет обрабатывать, обмениваться и хранить или размещать свои активы данных таким образом, чтобы это было пропорционально рискам, которые они представляют.

В основе этого лежит эффективная классификация информации на основе согласованных моделей угроз и комплексная оценка рисков, связанных с обрабатываемой информацией. Политика центральной классификации устанавливает критерии и необходимые инструкции по обработке информации, классифицированной на разных уровнях.

Большая часть правительственной информации классифицируется как ОФИЦИАЛЬНАЯ и зависит от технологии и контроля, описанных выше. Однако будут случаи, когда модель угроз требует защиты определенной информации по более высокому классу, для чего стандартная технология, доступная для ОФИЦИАЛЬНОЙ информации, не подходит. Чтобы учесть эту потребность, правительство продолжит разработку «полнофункционального» решения, которое обеспечивает достаточно безопасный, совместный и удобный для пользователя способ работы в правительстве по соответствующей классификации.

В тех случаях, когда конфиденциальные данные должны обрабатываться в ОФИЦИАЛЬНЫХ системах для выполнения бизнес-функции, будут применяться меры защиты, соизмеримые с представленными рисками.

Глава 5: Обнаружение киберсобытий

Несмотря на наличие надежных средств защиты, развитие методов злоумышленников и обнаружение неизвестных уязвимостей означает, что кибератаки все равно будут происходить. Чтобы реагировать на меняющийся ландшафт угроз, правительству требуются комплексные средства обнаружения для выявления возникающих рисков, чтобы ими можно было управлять.

Опираясь на управление рисками и соответствующие защитные меры, правительство будет развивать свои возможности по обнаружению событий кибербезопасности во всех частях своей собственности, чтобы гарантировать снижение рисков до того, как они критически повлияют на функции правительства.

Обнаружение в государственных организациях

Результат 14. Государственные сети, системы, приложения и конечные точки отслеживаются для обеспечения соответствующих внутренних возможностей обнаружения.

Для надлежащего выполнения своих обязанностей по управлению своими рисками каждая государственная организация будет иметь соответствующие возможности мониторинга, а также возможность сохранять и запрашивать журналы для облегчения обнаружения киберугроз. Мониторинг должен быть как можно более комплексным — от мониторинга базовой инфраструктуры, такой как домены, до мониторинга конечных точек и облачных сервисов на основе хоста, а также мониторинга привилегированных учетных записей в сети организации и в ее цепочке поставок. Для этого небольшие организации могут стать частью более крупного конгломерата, особенно в секторах, управляемых ведущими государственными ведомствами.

Правительство установит общий процесс и язык для организаций, чтобы записывать и обмениваться информацией об инцидентах кибербезопасности и «предаварийных ситуациях» — в машиночитаемом формате. Это обеспечит согласованность и сопоставимость между государственными организациями, а также позволит повысить прозрачность, что улучшит способность правительства учиться, адаптироваться и смягчать последствия в масштабе.

Возможности обнаружения правительственных организаций будут продолжать развиваться, особенно для тех ведомств, которые менее терпимы к риску. В таких обстоятельствах для обнаружения более изощренных атак будут применяться более совершенные методы обнаружения, такие как поведенческий мониторинг.

Обнаружение в масштабе

Результат 15. Общие возможности обнаружения обеспечивают обнаружение в масштабе всего правительства

Для эффективного обнаружения требуется своевременный обмен информацией между всеми органами государственного управления, чтобы события, выявленные в одной организации, можно было смягчить для всех остальных. Будут созданы механизмы, обеспечивающие простой и безопасный обмен этой информацией в автоматическом режиме, с ожиданием от организаций быстрой эскалации предупреждений с четкими и определенными путями для этого. Правильное соблюдение этого правила имеет решающее значение для выявления, управления и смягчения возникающих угроз в необходимом масштабе и темпе.

Чтобы улучшить обнаружение и идентификацию более сложных субъектов в правительственных сетях и системах, будет создана программа стратегического поиска угроз, которая будет включать изучение более продвинутых возможностей, таких как тактика обмана и приманки.

Глава 6. Сведение к минимуму последствий инцидентов кибербезопасности

Даже при наличии надежных мер защиты и обнаружения инциденты, связанные с кибербезопасностью, повлияют на правительство. Поэтому крайне важно, чтобы правительство могло быстро реагировать на киберинциденты, когда они все же происходят, и максимально минимизировать их последствия.

Эффективное управление рисками, надлежащие и соразмерные защитные меры, а также расширенные возможности обнаружения сделают правительство серьезной мишенью. Однако правительство также улучшит свою способность реагировать и восстанавливаться после инцидентов, когда они все же происходят, чтобы обеспечить непрерывность основных функций и услуг.

Подготовка ответа

Результат 16: Правительство полностью готово к реагированию на киберинциденты

Организационные и межправительственные планы реагирования на инциденты кибербезопасности будут четко определять, как правительство будет реагировать на инцидент, чтобы свести к минимуму его последствия. Организационные планы будут регулярно реализовываться посредством кабинетного планирования сценариев, а также действий с красными, синими и фиолетовыми сроками, которые будут обновляться по мере необходимости, чтобы гарантировать, что они соответствуют цели и продолжают отражать текущую среду угроз.

Также будут регулярно проводиться межправительственные учения, чтобы убедиться, что группы высшего руководства в правительстве, включая более широкие организации государственного сектора, которые предоставляют критически важные услуги, отработаны и готовы возглавить реагирование на киберинциденты, которые могут затронуть несколько организаций в государственном секторе.

Реакция на инцидент

Результат 17. Правительство быстро реагирует на киберинциденты как на организационном уровне, так и на уровне правительства.

Правительственные организации — либо напрямую, либо при поддержке другой государственной организации — будут иметь структуры и возможности для сортировки инцидентов кибербезопасности и быстрой оценки их последствий. Наличие четких путей эскалации является важной частью этого, чтобы гарантировать, что нужные люди будут осведомлены — как внутри организации, так и за ее пределами — и будут доступны нужный опыт и ресурсы.

Централизованные функции реагирования на инциденты будут обладать потенциалом и возможностями для управления серьезными и межправительственными инцидентами кибербезопасности с помощью определенных процессов и механизмов, обеспечивающих совместную работу всех затронутых сторон для минимизации воздействия. GCCC будет играть решающую роль.

Восстановление после инцидента

Результат 18: Правительство восстанавливает системы и активы, затронутые инцидентами кибербезопасности, и возобновляет выполнение своих функций с минимальными нарушениями

Помимо готовности и способности реагировать на инциденты кибербезопасности, правительство сможет восстанавливаться после них так быстро, как это необходимо, чтобы свести к минимуму любые нарушения его функций.

Принятые планы реагирования гарантируют, что организация сможет оценить риск, связанный с инцидентом, используя соответствующий опыт и предприняв необходимые шаги для возобновления своих функций до приемлемого уровня в течение допустимых периодов сбоев.

После завершения процессов реагирования на инциденты центральный надзор за восстановлением после наиболее серьезных инцидентов обеспечит выявление и снижение системных рисков.

Уроки выучены

Результат 19. Уроки, извлеченные из киберинцидентов, способствуют улучшению кибербезопасности правительства

Чтобы продолжать улучшать кибербезопасность, правительство будет извлекать уроки из каждого инцидента и события кибербезопасности — от серьезных инцидентов до «промахов».

Правительство сможет объективно извлечь уроки из серьезных инцидентов, связанных с кибербезопасностью, и межгосударственных инцидентов, при этом наиболее значительные инциденты будут подлежать независимой проверке для обеспечения достаточного внимания.

Не менее важно и то, что правительство извлечет уроки из менее серьезных событий и «промахов». В основе этого лежит создание культуры, в которой коллеги по кибербезопасности чувствуют себя уверенно, делясь такой информацией с правительством, не опасаясь смущения или обвинения. Это гарантирует, что правительство понимает первопричины инцидентов и может диагностировать и сообщать решения всему правительству для повышения его коллективной киберустойчивости.

Глава 7. Развитие необходимых навыков, знаний и культуры в области кибербезопасности

Достижение видения и цели этой стратегии будет невозможно без людей с соответствующей квалификацией, в том числе тех, кто занимается техническими вопросами, политикой и стратегией, управлением рисками и руководящими должностями. В соответствии с целями, изложенными в Национальной киберстратегии, правительство будет подавать пример в повышении масштабов, разнообразия и качества специалистов по кибербезопасности в государственных организациях, одновременно способствуя сдвигу в культуре кибербезопасности, который будет способствовать устойчивым изменениям.

Существуют различия в широте и глубине навыков кибербезопасности, необходимых в правительстве. К ним относятся глубокие технические навыки и нетехнические навыки кибербезопасности, которые необходимы для других специальностей и профессий, таких как цифровые, политические, коммерческие и страховые. Руководствуясь стандартами и путями, установленными Советом по кибербезопасности Великобритании, правительство будет развивать свое понимание диапазона навыков и знаний в области кибербезопасности, необходимых правительству, и будет реагировать соответствующим образом, обеспечивая инклюзивность и разнообразие своей рабочей силы.

Однако это стремление связано с дефицитом национальных навыков в области кибербезопасности ^{[сноска 19]} . Поэтому основное внимание уделяется инвестированию и развитию этих навыков из множества точек входа с последовательным предложением карьеры в правительстве, чтобы помочь найму и удержанию при одновременном снижении зависимости от подрядчиков. Постоянное создание ведущих возможностей для обучения будет способствовать дальнейшему развитию профессии, укрепляя предложение правительства по трудоустройству и его конкурентоспособность.

В то время как профессия государственной безопасности сосредоточена на улучшении профессии кибербезопасности в государственных ведомствах, она взаимно поддерживает инициативы по развитию навыков кибербезопасности в государственном секторе, а также обеспечивает основу для более широких организаций государственного сектора для понимания и управления своими требованиями к навыкам кибербезопасности.

Требования к навыкам

Результат 20. Все требования правительства к навыкам кибербезопасности понятны.

Правительство будет иметь всестороннее представление об объеме и спектре навыков и знаний в области кибербезопасности — как технических, так и нетехнических — необходимых для того, чтобы оно могло функционировать с требуемой устойчивостью. Помимо информирования о развитии государственных кадров и стратегий обеспечения ресурсами, это понимание будет поддерживать и согласовываться с работой Совета по кибербезопасности Великобритании, чтобы обеспечить разработку и принятие согласованных таксономий, стандартов и путей для профессии кибербезопасности по всей Великобритании.

Привлечение и удержание талантов

Результат 21. Правительство привлекает и удерживает разнообразную рабочую силу в области кибербезопасности, необходимую для обеспечения устойчивости

Наряду с недостатком навыков в области кибербезопасности в Великобритании ^{[сноска 20]} рабочей силе в области кибербезопасности по-прежнему не хватает разнообразия, в котором она нуждается. ^{[сноска 21]} Привлечение и удержание государственных служащих, которые действительно представляют разные гендерные и возрастные, социальные, культурные и этнические группы, а также нейроразнообразие, имеет важное значение для обеспечения спектра точек зрения и творчества, необходимых для решения растущего разнообразия угроз.

Правительство будет использовать свое развивающееся понимание своей рабочей силы в контексте более широкой рабочей силы Великобритании в области кибербезопасности, чтобы разработать свой подход к привлечению и удержанию талантов. Развитие программ ученичества и программ для выпускников в сочетании с обширной информационно-пропагандистской программой, направленной на недопредставленные группы, будет продолжать привлекать таланты в области кибербезопасности на должности начального уровня. Тем не менее, большая часть нехватки навыков в Великобритании, в том числе в правительстве, приходится на более высокие должности. ^{[сноска 22]}Принятие единой системы оплаты за кибервозможности в правительстве, связанной с аккредитацией, обеспечит прямую связь оплаты с уровнем квалификации. Это позволит правительству лучше конкурировать с частным сектором и привлекать таланты на все необходимые должности, а также обеспечивать общность между государственными ведомствами. Карьера в области кибербезопасности будет дополнительно стимулироваться с помощью ряда инициатив, направленных на укрепление культуры инклюзивности и улучшение представительства.

Правительство также признает, что таланты в области кибербезопасности можно найти в каждом уголке Великобритании, при этом особые точки доступа фирм, занимающихся кибербезопасностью, находятся на юго-востоке, северо-западе, юго-западе и в Шотландии. ^{[сноска 23]}Чтобы стимулировать региональный рост в этом секторе, Департамент цифровых технологий, культуры, СМИ и спорта (DCMS) тесно сотрудничает с региональными кластерами кибербезопасности, поддерживая их развитие и улучшая охват и понимание местных и региональных экосистем сектора кибербезопасности. В настоящее время в Великобритании насчитывается более двадцати созданных и новых кластерных организаций по кибербезопасности, которые продвигают и инвестируют в кибербезопасность. Чтобы поддержать эти усилия и задействовать эти региональные кадровые резервы, правительство уже приступило к созданию собственных центров экспертизы в области кибербезопасности в различных регионах Великобритании и будет продолжать инвестировать в большее количество региональных центров безопасности.

Развивайте талант

Результат 22. Правительство постоянно развивает свой персонал в области кибербезопасности, чтобы обеспечить наличие и сохранение необходимых навыков.

Сотрудничая с Советом по кибербезопасности Великобритании, правительство продолжит разработку комплексных карьерных возможностей для своих специалистов по кибербезопасности. Эти пути обеспечат разнообразную и полноценную карьеру в области кибербезопасности с полным предложением развития и обучения.

Ключом к этому будет внедрение инструмента оценки навыков, который позволит правительству сопоставить пробелы в навыках кибербезопасности с ключевыми ролями с целью разработки программ обучения, финансируемых из централизованного бюджета. Создавая такие комплексные учебные программы, правительство будет способствовать профессионализации ролей в области кибербезопасности. Это будет поддерживаться партнерскими отношениями с признанными учебными академиями и учреждениями безопасности, гарантируя, что обучение будет последовательным и доступным для тех организаций государственного сектора, у которых меньше ресурсов для инвестирования в обучение.

Особое внимание будет уделяться разработке подхода к аккредитации, связанного с наймом и продвижением по службе. Это обеспечит признание статуса профессии как в государственном секторе, так и за его пределами, а также развитие навыков в соответствии с национальными стандартами, определенными Советом по кибербезопасности Великобритании.

Наряду с более формальными карьерными путями основное внимание будет уделяться укреплению управленческого сообщества правительства, чтобы гарантировать, что они обладают необходимыми навыками. Это будет частью нашего подхода к созданию сообщества кибербезопасности в правительстве, чтобы облегчить и поощрять обмен идеями и подходами, а также извлеченными уроками, когда что-то пойдет не так. Создание правильных сообществ разрушит барьеры и позволит коллегам по кибербезопасности из всех государственных органов развивать индивидуальные таланты, а также коллективный опыт.

Знание кибербезопасности в других государственных функциях

Результат 23: Достаточные знания и осведомленность о кибербезопасности в рамках профессиональных функций правительства обеспечивают активное внимание к кибербезопасности.

Потребность в кибербезопасности применима ко всем областям и должна быть надлежащим образом рассмотрена во всех профессиональных функциях, от профессии в области цифровых технологий, данных и технологий (DDAT) до коммерческих и юридических функций правительства. В то время как степень требуемой экспертизы будет варьироваться в зависимости от рассматриваемой функции, наличие соответствующих знаний в области кибербезопасности имеет важное значение.

Правительство будет развивать свое понимание этих требований и будет работать с другими профессиями, чтобы улучшить знания и осведомленность о кибербезопасности, уделяя особое внимание старшим руководителям.

Культура кибербезопасности

Результат 24. В правительстве существует культура кибербезопасности, которая позволяет своим людям учиться, задавать вопросы и бросать вызов, что позволяет постоянно улучшать поведение и приводит к устойчивым изменениям.

Люди и организационная культура лежат в основе снижения риска. Чтобы действительно изменить ситуацию, важно сосредоточиться не только на технологиях, но и на людях. Эти усилия начинаются с повышения осведомленности и знаний в области кибербезопасности среди всех работников государственного сектора, укрепления ожиданий государственных служащих и внедрения осведомленности о кибербезопасности в ценностях государственной службы. Правительство предоставит индивидуальные рекомендации и реализует широкий спектр инициатив по повышению осведомленности, чтобы гарантировать, что все работники государственного сектора могут лучше защитить себя и государственные организации, в которых они работают.

Правительство будет опираться на эти основы для создания позитивной культуры кибербезопасности, которая поощряет и расширяет возможности своих сотрудников для активного реагирования на организационные риски кибербезопасности. Ключевыми здесь являются лидерство, коммуникация и последовательность как на уровне департаментов, так и в масштабах всего правительства. Прозрачные структуры отчетности упростят отчетность, и все отчеты будут обрабатываться конфиденциально и деликатно. Ошибки не будут заклеймлены, а инциденты будут объективно поняты, а выводы будут использованы как возможности для развития и обучения. Люди будут информироваться о прогрессе, а преимущества для организации будут подчеркиваться и отмечаться.

Глава 8: Измерение успеха

Достижение цели

Эта стратегия определяет, как правительство будет укреплять и поддерживать свою устойчивость перед лицом постоянно меняющихся киберрисков. В ее основе лежит цель значительно повысить устойчивость важнейших функций правительства к кибератакам к 2025 году, при этом все государственные организации во всем государственном секторе должны быть устойчивы к известным уязвимостям и методам атак не позднее 2030 года. Достижение этой цели будет означать, что правительство в целом станет надежной целью, позволяя государственным функциям работать без неоправданных сбоев и укрепляя авторитет Великобритании как ведущей демократической и ответственной кибердержавы.

Это амбициозная цель. Для достижения уровня организованной и объективной видимости риска кибербезопасности во всем правительстве потребуются обширные процессы, механизмы и партнерские отношения. Задача усложняется различными уровнями зрелости, способностей и потенциала, которые существуют в государственных организациях. Это особенно актуально для ведущих государственных ведомств, которые, помимо своей собственной системы кибербезопасности, должны также учитывать в своей сфере кибербезопасность организаций государственного сектора.

Учитывая динамичный и сложный характер уязвимостей кибербезопасности и непрерывную эволюцию тактик, методов и процедур кибератак, учет известных уязвимостей является сложной задачей. В дополнение к этому, «известные» уязвимости не могут просто относиться к публично раскрытым недостаткам безопасности, но также должны учитывать неправильные методы обеспечения безопасности, которые необоснованно подвергают организацию кибератаке. Несмотря на то, что измерение кибербезопасности является сложной задачей, создание согласованной правительственной структуры обеспечения кибербезопасности с многоуровневыми государственными профилями CAF, подкрепленными профилями киберугроз, специфичными для правительства, обеспечит надежные и последовательные средства оценки киберустойчивости таким образом, который пропорционален угрозам, с которыми они сталкиваются. .

Таким образом, цель стратегии будет достигнута, когда все правительственные организации достигнут результатов, изложенных в соответствующем профиле CAF в рамках государственной системы обеспечения кибербезопасности, в следующие сроки:

К 2025 году правительственные организации, которые будут нести ответственность за критически важные функции, достигнут результатов, изложенных в «Расширенном» профиле CAF.

К 2026 году все центральные правительственные ведомства достигнут результатов, изложенных в их назначенных профилях CAF.

Все остальные государственные организации к 2030 году достигнут результатов, изложенных в «базовом» профиле CAF.

Прогресс в достижении этой цели будет четко отслеживаться как для демонстрации успешного воздействия стратегии, так и для выделения областей, требующих особого внимания. Следующие показатели будут использоваться для измерения прогресса в достижении цели:

• Доля государственных организаций в сфере охвата, которые определили свои критически важные функции.
• Доля правительственных организаций, критически важные функции которых были оценены в соответствии с системой государственных гарантий.
• Доля государственных организаций в сфере деятельности, чьи результаты обеспечения качества оцениваются как достигнутые.

Поддержание надлежащей меры устойчивости

Поскольку среда киберугроз и рисков продолжает развиваться, важно обеспечить, чтобы результаты, требуемые от государственных организаций, оставались соответствующими. Поэтому все профили CAF и лежащие в их основе профили угроз для конкретных правительств будут периодически пересматриваться, чтобы гарантировать, что требуемые результаты достаточны для поддержания киберустойчивости перед лицом меняющихся рисков. Это позволит сохранить целостность цели данной стратегии и убедиться, что достижение требуемых результатов остается надежным показателем устойчивости правительства.

Основные ключевые показатели эффективности (KPI)

Однако признается, что одних этих мер и показателей недостаточно для получения полной картины устойчивости правительства. Таким образом, эти общие меры будут подкреплены рядом более детализированных КПЭ, которые основаны на целях стратегии и будут определять реализацию этой стратегии.

Будет применяться ряд ключевых принципов для руководства использованием КПЭ, обеспечивающих их последовательность, уместность и обеспечивающих надзор и прозрачность, необходимые для демонстрации подлинного успеха, а также для обеспечения подотчетности правительства.

Необходимые результаты будут также подкреплены межправительственной политикой. Воздействие такой политики будет отслеживаться и измеряться с регулярной и надежной оценкой. В совокупности эти меры дадут полную картину киберустойчивости правительства.

Глава 9: Реализация стратегии

Реализация

Инициативы, изложенные в этой стратегии, можно сгруппировать следующим образом:

• Инициативы по преобразованию, которые будут предприняты немедленно, чтобы раскрыть непропорциональные преимущества результатов стратегии.
• Краткосрочные и среднесрочные инициативы, которые будут созданы в течение первого периода обзора расходов.
• Среднесрочные и долгосрочные инициативы, которые в настоящее время не финансируются и будут реализованы в течение следующего периода обзора расходов.

Долгосрочные нефинансируемые инициативы находятся на разных стадиях разработки. Они будут регулярно пересматриваться для обеспечения их соответствия политическим приоритетам, соотношения цены и качества и результативности. Критический обзор будет привязан к следующему обзору расходов, чтобы убедиться, что финансирование правильно направлено на достижение цели этой стратегии.

Трансформационные предложения

Правительство будет уделять приоритетное внимание реализации своих двух предложений по преобразованиям, которые обеспечат механизмы, необходимые для содействия значительному и непропорциональному повышению киберустойчивости в правительстве.

1	Принять CAF в качестве системы гарантий для правительства с многоуровневыми профилями CAF, подкрепленными профилями угроз для конкретных правительств, для реагирования на различные угрозы государственным функциям, подтвержденные независимой и объективной проверкой, где это применимо.	Пилотные проекты должны быть проведены к концу 2022 г., после чего будет осуществляться поэтапное развертывание.
2	Создайте GCCC, чтобы разблокировать и преобразовать использование данных кибербезопасности в правительстве.	Начальная эксплуатационная готовность в 2022 г.

План реализации

2022-25	2025-30 Хотя инициативы могут быть реализованы не полностью до этого времени, планирование и разработка начнутся как можно скорее
Управление рисками кибербезопасности
Улучшение управления и подотчетности в правительстве Расширение мер по обнаружению активов и управлению обнаружением в правительстве Инвестиции в управление уязвимостями, включая службу отчетности об уязвимостях для всего правительства Картирование системных рисков в государственной цепочке поставок и реализация стратегии государственных закупок Дальнейшее внедрение стратегического партнерства с частным сектором , научные круги и международные партнеры	Усовершенствованная автоматизированная оперативная информация об угрозах, распространяемая в масштабе правительства и более широкого государственного сектора.
Защититься от кибератаки
Внедрение концепции «защиты по замыслу» в государственных учреждениях. Управление , обновление или удаление устаревших технологий в государственных структурах. Разработка и совместное использование общей конфигурации для распространенных цифровых продуктов и услуг . для государственного сектора Опубликована и внедрена новая государственная политика в отношении классификаций	Использование новейших технологий для повышения кибербезопасности правительства
Обнаружение событий кибербезопасности
Всесторонние и соразмерные возможности обнаружения, разработанные в правительстве . Усовершенствованные механизмы для обмена информацией об инцидентах и ​​событиях кибербезопасности . Создание общего языка для организаций для записи информации об инцидентах кибербезопасности и «предаварийных ситуациях».	Каждая государственная цифровая система будет иметь круглосуточный мониторинг безопасности. Использование технологий будущего для роста и ускорения обнаружения событий кибербезопасности. Создание стратегической программы поиска угроз для правительства, включая использование общих возможностей и тактики обмана.
Минимизируйте влияние киберинцидентов
Текущее выполнение критических функций правительства в области кибербезопасности Независимый процесс проверки (извлеченных уроков) для всех серьезных и/или межгосударственных инцидентов и уязвимостей в области кибербезопасности	Предоставление возможностей для проведения экспертных тренировок в государственном секторе
Развивайте правильные навыки, знания и культуру кибербезопасности
Создать Государственную учебную академию по безопасности. Разработать пути карьерного роста для государственных киберпрофессий . Создать несколько точек входа в кибер-профессию . Внедрить программу повышения культуры кибер-безопасности.	Расширить программу стажировки и обучения в области кибербезопасности. Продолжать инвестировать в региональные центры безопасности для правительства.

Резюме целей и результатов

ЦЕЛЬ Управление рисками кибербезопасности РЕЗЮМЕ Эффективные процессы управления рисками кибербезопасности, руководство и подотчетность позволяют выявлять, оценивать и управлять рисками кибербезопасности как на организационном, так и на межправительственном уровне.	РЕЗУЛЬТАТЫ 1. Правительство внедрило механизмы управления с четкой подотчетностью, позволяющие эффективно управлять киберрисками на всех уровнях государственного управления . 2. Правительство обладает всесторонней видимостью и пониманием своих цифровых активов, что позволяет ему выявлять и управлять уязвимостями и угрозами кибербезопасности, которые они представляют . 3. Правительство имеет полную информацию о данных, которые оно обрабатывает и передает, чтобы оно могло надлежащим образом оценивать риски, которые оно представляет, и реагировать на них 4. Правительство понимает и управляет рисками, исходящими от коммерческих поставщиков 5. Правительство понимает угрозы, с которыми оно сталкивается в отношении своих функций, чтобы планировать соответствующие меры по смягчению последствий как на организационном, так и на межгосударственном уровне 6. Государственные организации имеют своевременный доступ к актуальным и действенным данным о кибербезопасности, что повышает их способность принимать эффективные решения по управлению рисками  . приняты меры по управлению рисками для его функций 8. Стратегическое партнерство с частным сектором и международными партнерами получает дальнейшее развитие для усиления упреждающей защиты в глобальном масштабе.
ЗАДАЧА Защита от кибератак . РЕЗЮМЕ Понимание риска кибербезопасности позволяет принять соразмерные меры безопасности с централизованно разработанными возможностями, обеспечивающими масштабируемую защиту.	РЕЗУЛЬТАТЫ 9. Правительство принимает общий подход к «защите по замыслу», чтобы гарантировать, что надлежащие и пропорциональные меры кибербезопасности встроены в технологии, которые использует правительство, и чтобы безопасность цифровых услуг постоянно гарантировалась на протяжении всего их жизненного цикла . 10. Правительственные организации развертывают меры безопасности, соответствующие их профилю риска, чтобы гарантировать, что риски для их функций управляются пропорционально 11. Правительственные технологии настроены надлежащим образом, при этом стандартные профили для общих технологий и архитектур разрабатываются и постоянно обновляются 12. Общие возможности, инструменты и услуги решают «общие» проблемы. проблемы кибербезопасности в масштабе 13. Правительственные данные должным образом классифицируются, обрабатываются и передаются способом, соизмеримым с риском, который они представляют.
ЦЕЛЬ Обнаружение событий кибербезопасности РЕЗЮМЕ Комплексный мониторинг систем, сетей и служб позволяет управлять событиями кибербезопасности до того, как они станут инцидентами.	РЕЗУЛЬТАТЫ 14. Государственные сети, системы, приложения и конечные точки отслеживаются, чтобы обеспечить пропорциональные внутренние возможности обнаружения 15. Общие возможности обнаружения обеспечивают обнаружение в масштабе всего правительства
ЦЕЛЬ Свести к минимуму влияние инцидентов кибербезопасности. РЕЗЮМЕ Инциденты кибербезопасности быстро локализуются и оцениваются, что позволяет быстро реагировать в любом масштабе.	РЕЗУЛЬТАТЫ 16. Правительство полностью готово к реагированию на киберинциденты 17. Правительство быстро реагирует на киберинциденты, как организационно, так и в рамках правительства 18. Правительство восстанавливает системы и активы, затронутые инцидентами кибербезопасности, и возобновляет выполнение своих функций с минимальными нарушениями 19. Уроки, извлеченные из киберинцидентов, способствуют улучшению кибербезопасности правительства
ЗАДАЧА Развить необходимые навыки, знания и культуру в области кибербезопасности. РЕЗЮМЕ Наличие достаточного количества квалифицированных и знающих специалистов для удовлетворения всех необходимых потребностей в области кибербезопасности — от технических специалистов по кибербезопасности до широкого круга профессиональных функций, которые должны включать кибербезопасность в предоставляемые ими услуги — все это подкреплено культурой кибербезопасности, которая способствует устойчивым изменениям.	РЕЗУЛЬТАТЫ 20. Все требования правительства к навыкам кибербезопасности понятны 21. Правительство привлекает и удерживает разнообразную рабочую силу в области кибербезопасности, которая необходима ему для обеспечения устойчивости 22. Правительство постоянно совершенствует свои кадры в области кибербезопасности, чтобы обеспечить наличие и сохранение необходимых навыков 23. Достаточно Знания и осведомленность о кибербезопасности в рамках профессиональных функций правительства обеспечивают активное внимание к кибербезопасности 24. У правительства есть культура кибербезопасности, которая позволяет его людям учиться, задавать вопросы и бросать вызов, обеспечивая постоянное улучшение поведения и приводя к устойчивым изменениям

Приложение: Схема кибероценки

Концепция кибероценки (CAF) была разработана NCSC в качестве национального технического органа по кибербезопасности, чтобы обеспечить систематический и комплексный подход к оценке степени, в которой ответственная организация управляет киберрисками для основных функций.

CAF состоит из четырех задач: управление рисками безопасности; защита от кибератак; обнаружение событий кибербезопасности; и сведение к минимуму воздействия инцидентов кибербезопасности.

Эти цели подкреплены 14 принципами, которые поддерживаются 39 дополнительными результатами, которые определяют, что необходимо достичь, а не контрольный список того, что необходимо сделать. Каждый содействующий результат связан с набором показателей передовой практики (IGP). IGP используются для разработки отраслевых профилей CAF, которые обеспечивают представление о надлежащей и пропорциональной кибербезопасности для этих организаций.

Цели, принципы и сопутствующие результаты Рамочной основы кибероценки ^{[сноска 24]}

Цель	Принцип	Содействующий результат
Управление рисками безопасности	Управление	Направление доски
		Роли и обязанности
		Принятие решения
	Управление рисками	Процесс управления рисками
		гарантия
	Управление активами	Управление активами
	Цепочка поставок	Цепочка поставок
Защита от кибератак	Политики защиты услуг	Разработка политики и процессов
		Реализация политики и процессов
	Идентификация и контроль доступа	Проверка личности, аутентификация и авторизация
		Управление устройствами
		Управление привилегированными пользователями
		Управление идентификацией и доступом (IdAM)
Защита от кибератак	Безопасность данных	Понимание данных
		Данные в пути
		Сохраненные данные
		Мобильные данные
		Санитарная обработка среды/оборудования
	Безопасность системы	Безопасность по дизайну
		Безопасная конфигурация
		Безопасное управление
		Управление уязвимостями
	Устойчивые сети и системы	Подготовка устойчивости
		Дизайн для устойчивости
		Резервные копии
	Осведомленность и обучение персонала	Культура кибербезопасности
		Обучение кибербезопасности
Обнаружение событий кибербезопасности	Мониторинг безопасности	Мониторинг охвата
		Защита журналов
		Генерация оповещений
		Выявление инцидентов безопасности
		Инструменты и навыки мониторинга
	Обнаружение защитного события безопасности	Системные аномалии для обнаружения атак
		Упреждающее обнаружение атак
Минимизация влияния инцидентов кибербезопасности	Планирование реагирования и восстановления	План реагирования
		Возможность реагирования и восстановления
		Тестирование и тренировки
	Уроки выучены	Анализ первопричин инцидента
		Использование инцидентов для улучшения

Глоссарий

А

Активная киберзащита (ACD):
программа NCSC, направленная на снижение вреда от массовых кибератак, состоящая из ряда вмешательств или услуг, которые помогают организации находить и устранять уязвимости, управлять инцидентами или автоматизировать срыв кибератак. Некоторые услуги предназначены в первую очередь для государственного сектора, в то время как другие предоставляются в более широком смысле частному сектору или гражданам в зависимости от их применимости и жизнеспособности.

Независимые органы:
широко используемый термин, охватывающий широкий круг государственных органов, включая неминистерские департаменты, вневедомственные государственные органы, исполнительные агентства и другие органы, такие как государственные корпорации.

Искусственный интеллект (ИИ):
технология, в которой вычислительная система закодирована так, чтобы «думать сама за себя», адаптируясь и работая автономно. ИИ все чаще используется в более сложных задачах, таких как медицинская диагностика, поиск лекарств и профилактическое обслуживание.

Б

Синяя команда:
команда, отвечающая за защиту информационных систем организации путем поддержания уровня безопасности от фиктивных злоумышленников (красная команда).

С

Профиль CAF:
Формулировка требуемых результатов, соответствующих структуре кибероценки, которые отражают «профиль угроз» организации.

Центральное управление цифровых технологий и данных:
часть кабинета министров, возглавляет цифровую функцию, данные и технологии для правительства, стремясь добиться масштабных преобразований, работая с департаментами и другими государственными функциями, такими как коммерческие, реализация проектов и специалисты по безопасности.

Центральное правительство:
Центральное правительство включает в себя все организации, которые прямо или косвенно контролируются министрами правительства.

Функции
центрального правительства: подразделения центрального правительства, которые несут межправительственные обязанности и предоставляют межправительственные услуги и возможности.

Критическая национальная инфраструктура (CNI):
те критические элементы инфраструктуры (а именно, активы, объекты, системы, сети или процессы и основные работники, которые их эксплуатируют и содействуют им), потеря или компрометация которых может привести к:

а. серьезное пагубное воздействие на доступность, целостность или предоставление основных услуг, включая те услуги, целостность которых в случае нарушения может привести к значительным человеческим или человеческим жертвам, принимая во внимание значительные экономические или социальные последствия; и/или

б. существенное влияние на национальную безопасность, национальную оборону или функционирование государства.

Криптография:
наука или исследование анализа и расшифровки кодов и шифров; криптоанализ.

Кибератака:
преднамеренное использование компьютерных систем, предприятий и сетей, зависящих от цифровых технологий, с целью причинения вреда.

Система кибероценки (CAF):
структура оценки, разработанная NCSC, которая обеспечивает систематический и комплексный подход к оценке степени, в которой ответственная организация управляет киберрисками для основных функций.

Cyber ​​Essentials:
поддерживаемая правительством и промышленностью схема, помогающая организациям защитить себя от распространенных онлайн-угроз.

Кибер-инцидент: Происшествие
, которое фактически или потенциально представляет угрозу для компьютера, подключенного к Интернету устройства или сети — или данных, обрабатываемых, хранящихся или передаваемых в этих системах, — которое может потребовать ответных действий для смягчения последствий.

Кибермощь:
Кибермощь — это способность защищать и продвигать национальные интересы в киберпространстве и через него.

Киберустойчивость:
способность организации поддерживать предоставление своих ключевых функций и услуг и обеспечивать защиту своих данных, несмотря на события кибербезопасности.

Кибербезопасность:
защита подключенных к Интернету систем (включая оборудование, программное обеспечение и связанную инфраструктуру), данных в них и предоставляемых ими услуг от несанкционированного доступа, вреда или неправомерного использования. Сюда входит вред, причиненный оператором системы умышленно или случайно в результате несоблюдения процедур безопасности или манипулирования им.

Обеспечение кибербезопасности:
проверка того, что системы и процессы соответствуют указанным требованиям безопасности, а также наличие процессов для проверки текущего соответствия.

Элементы управления кибербезопасностью:
процессы и инструменты, используемые организацией для обнаружения, предотвращения, снижения или противодействия угрозам безопасности.

Данные о кибербезопасности:
любые данные, имеющие отношение к кибербезопасности, включая данные о киберугрозах и уязвимостях.

Киберриск:
вероятность того, что данная киберугроза воспользуется уязвимостями информационной системы и причинит вред.

Киберугроза:
все, что может поставить под угрозу безопасность информационных систем и устройств, подключенных к Интернету (включая оборудование, программное обеспечение и связанную инфраструктуру), или услуг, которые они предоставляют, или нанести ущерб им, в первую очередь с помощью киберсредств.

Д

Децентрализованное правительство:
отдельные законодательные и исполнительные органы в Шотландии, Уэльсе и Северной Ирландии после передачи полномочий, ответственные за многие вопросы внутренней политики с полномочиями принимать законы для этих областей.

Цифровые технологии, данные и технологии (DDaT):
специальная функция правительства, которая занимается информационными технологиями и преобразованиями в этой области.

Домены:
доменное имя определяет местонахождение организации или другого объекта в Интернете и соответствует IP-адресу.

Ф

Центр сотрудничества в области кибербезопасности финансового сектора (FSCCC):
NCSC поддержал инициативу, в рамках которой финансовые органы, промышленность и Национальное агентство по борьбе с преступностью сотрудничают с целью повышения киберустойчивости финансового сектора Великобритании.

грамм

GBEST:
GBEST — это система имитации атак на основе данных, разработанная и управляемая Кабинетом министров. Он основан на структуре CBEST Банка Англии, но ориентирован на повышение общей киберустойчивости правительства.

Правительство:
организации, которые работают и выполняют функции, управляющие Великобританией, включая центральные правительственные ведомства, независимые органы, агентства, местные органы власти и другие более широкие организации государственного сектора.

Упражнение по моделированию правительственного кибер-противника (GCASE):
GCASE аналогичен GBEST, но обеспечивает менее глубокий уровень уверенности и быстрее развертывается.

Правительственный координационный центр кибербезопасности (GCCC):
Предлагаемое совместное предприятие между Группой правительственной безопасности, Центральным управлением цифровых данных и данных и NCSC, объединяющее их соответствующие функции и области знаний для лучшей координации оперативных усилий по кибербезопасности в правительстве, преобразование того, как кибербезопасность данные и разведданные об угрозах используются в правительстве и действительно повышают способность правительства «защищаться как единое целое».

Правительственный центр кибербезопасности (Cyber ​​GSeC):
функция, которая предоставляет широкий спектр возможностей и услуг, помогающих государственным организациям улучшать свою кибербезопасность и достигать надлежащего уровня киберустойчивости.

Группа государственной безопасности:
подразделение кабинета министров, отвечающее за надзор, координацию и обеспечение безопасности во всех центральных правительственных ведомствах, их агентствах и независимых органах.

ЧАС

Возможности на основе хоста (HBC):
HBC — это программный агент, доступный государственным ведомствам для ОФИЦИАЛЬНЫХ устройств, которые они используют. Сюда входят ноутбуки, настольные компьютеры и серверы. Агент устанавливается на устройства и работает в фоновом режиме для сбора технических метаданных.

я

Управление инцидентами:
управление и координация действий по расследованию и устранению фактического или потенциального возникновения неблагоприятного киберсобытия, которое может поставить под угрозу или причинить вред системе или сети.

Реагирование на инцидент:
Действия, направленные на устранение краткосрочных прямых последствий инцидента, а также могут способствовать краткосрочному восстановлению.

Комплексный обзор:
глобальная Британия в эпоху конкуренции, Комплексный обзор безопасности, обороны, развития и внешней политики, описывает видение правительством роли Великобритании в мире в течение следующего десятилетия и действия, которые правительство предпримет до 2025 года.

ISO 27001:
стандарт Международной организации по стандартизации, который охватывает требования к системе управления информационной безопасностью.

л

Ведущее государственное ведомство:
правительственное ведомство, в ведении которого находятся другие организации государственного сектора.

Наследие:
Системы, службы или любые компоненты, которые неэффективно обслуживаются или поддерживаются внутренними командами, подрядчиками, поставщиками или поставщиками.

М

Макро-кибер-статус:
оценка общей кибер-устойчивости организаций, находящихся в ведении ведущего государственного ведомства.

Минимальные стандарты кибербезопасности:
Минимальный набор стандартов кибербезопасности, введенный в 2018 году, которого правительство ожидает от департаментов по возможности соблюдать и превосходить.

Н

Национальный центр кибербезопасности (NCSC):
технический орган Великобритании по киберугрозам, предоставляющий единый национальный ответ на киберинциденты для сведения к минимуму вреда, помогающий в восстановлении и извлекающий уроки на будущее.

Национальная программа кибербезопасности:
программа работы, созданная для реализации Национальной стратегии кибербезопасности и достижения ее стратегических результатов.

Сеть:
совокупность хост-компьютеров вместе с подсетями или межсетевыми сетями, через которые они могут обмениваться данными.

Регламент сетевых и информационных систем (NIS):
нормативные акты Великобритании, которые предусматривают юридические меры для повышения уровня безопасности (как кибер-, так и физической устойчивости) сетевых и информационных систем для предоставления основных услуг и цифровых услуг.

Национальный институт стандартов и технологий (NIST) Cyber ​​Security Framework:
набор рекомендаций, опубликованных Национальным институтом стандартов и технологий США для организаций, чтобы лучше управлять рисками кибербезопасности и снижать их, а также способствовать обмену информацией по управлению рисками и кибербезопасностью.

О

Наступательная кибернетика:
добавление, удаление или манипулирование данными в системах или сетях для достижения физического, виртуального или когнитивного эффекта. Наступательные кибероперации часто используют технические уязвимости, используют системы или сети способами, которые их владельцы и операторы не намерены или не потворствуют, и могут полагаться на обман или введение в заблуждение.

ОФИЦИАЛЬНЫЙ:
самый низкий уровень в системе государственных классификаций безопасности, который определяет уровень конфиденциальности, необходимый для защиты активов, охватывающий большую часть работы правительства.

Операторы основных услуг:
организации в жизненно важных секторах, которые в значительной степени зависят от информационных сетей, например, секторы коммунальных услуг, здравоохранения, транспорта и цифровой инфраструктуры, как определено критериями в Положениях о сетях и информационных системах (NIS) 2018 года.

п

Тестирование на проникновение:
Действия, предназначенные для проверки устойчивости сети или объекта к взлому, которые санкционированы или спонсируются тестируемой организацией.

Государственный сектор:
часть экономики, состоящая из государственных органов всех уровней и контролируемых государством предприятий.

Фиолетовая команда:
упражнение по тестированию кибербезопасности, в котором команда берет на себя роль как красной, так и синей команды.

Вопрос

Квант:
Квантовая технология основана на принципах квантовой физики. Развитие понимания и контроля над тем, что известно как «квантовые эффекты», такие как суперпозиция и запутанность, приведет к новой волне достижений, которые будут лежать в основе нашей экономики и общества: обнаружение, передача и шифрование данных, синхронизация и вычисления.

р

Программа- вымогатель:
Вредоносное программное обеспечение, которое отказывает пользователю в доступе к его файлам, компьютеру или устройству до тех пор, пока не будет выплачен выкуп.

Красная
команда: группа тестирования на проникновение, которая берет на себя наступательную роль, атакуя компьютерные системы, чтобы изучить способы, которыми настоящий агрессор мог бы осуществить атаку.

Роза:
Государственные ИТ-возможности и услуги, которые позволяют вести совместную работу до СЕКРЕТНО с использованием самых последних технологий.

С

СЕКРЕТНО:
государственная секретность, охватывающая очень конфиденциальную информацию, которая оправдывает повышенные меры защиты от решительных и высококвалифицированных злоумышленников.

Безопасность по дизайну:
Дисциплина внедрения кибербезопасности в цифровые системы и услуги на каждом этапе их жизненного цикла — от планирования услуги до закупки и настройки технологии и ее вывода из эксплуатации в конце срока службы.

Безопасная конфигурация:
меры безопасности, которые реализуются при сборке и установке компьютеров и сетевых устройств, чтобы уменьшить ненужные кибер-уязвимости.

Т

Поиск угроз
. Поиск киберугроз — это процесс упреждающего поиска в сетях и конечных точках для выявления угроз, которые обходят средства контроля безопасности.

Модель угроз:
инженерный метод выявления угроз, атак, уязвимостей и контрмер, которые могут повлиять на ИТ-систему.

Профиль угрозы:
формулировка угрозы для организации и ее активов, которая информирует назначенный профиль CAF в соответствии с предложенным правительством процессом проверки.

U

Пользователь:
человек, организация или автоматизированный процесс, который получает доступ к системе, независимо от того, авторизован он или нет.

В

Уязвимость:
недостатки безопасности в программах, которые потенциально могут быть использованы злоумышленниками.

Служба отчетов об уязвимостях:
механизм, с помощью которого организация может быть предупреждена о недостатках безопасности до того, как они будут использованы злоумышленниками.