Минимальный стандарт кибербезопасности в Англии, в Шотландии, в Северной Ирландии и в Уэльсе
Это первый технический стандарт, который будет включен в Государственный функциональный стандарт безопасности после публикации.
Определения: «Должен» означает, что существует обязательство выполнить действие без исключения. «Следует» означает, что есть ожидание, что действие будет выполнено. Могут быть редкие исключения, когда действие не выполняется. Однако должен существовать четкий процесс управления любыми рисками. «Пользователи / Частные лица / Администраторы» также относятся к персоналу, сотрудникам и подрядчикам. «Департаменты» также относятся к организациям, агентствам, независимым органам и подрядчикам.
Цель
Framework HMG политики безопасности (SPF) обеспечивает обязательные защитные результаты безопасности, все отделы , необходимые для достижения. Этот документ определяет минимальные меры безопасности, которые департаменты должны применять в отношении защиты своей информации, технологий и цифровых услуг для выполнения своих обязательств по SPF и Национальной стратегии кибербезопасности .
Насколько это возможно, стандарты безопасности определяют результаты, предоставляя департаментам гибкость в реализации стандартов в зависимости от их местного контекста. Определения «деликатный», «важный», «важный» и «соответствующий» намеренно оставлены открытыми, чтобы департаменты могли применять свои собственные ценности в зависимости от их конкретных обстоятельств, однако департаменты несут ответственность за эффективность этих решений, и они должны в соответствующих случаях отражать Политику государственной классификации безопасности HMG . Политика государственной классификации безопасности HMG описывает, как правительство классифицирует информационные активы и применяется ко всей информации, которую правительство обрабатывает для предоставления услуг и ведения бизнеса, включая информацию, полученную от внешних партнеров или которой они обмениваются.
Соответствие стандартам может быть достигнуто разными способами, в зависимости от выбранных технологий и бизнес-требований. Для цифровых услуг этот набор стандартов является дополнением к Руководству по цифровым услугам .
Стандарт представляет собой минимальный набор мер, и департаменты должны стараться их превосходить, где это возможно. Со временем меры будут расширяться, чтобы постоянно «поднимать планку», бороться с новыми угрозами или классами уязвимостей и включать использование новых мер активной киберзащиты, которые, как ожидается, будут использовать департаменты и где они будут доступны для использования поставщиками.
1. ИДЕНТИФИКАЦИЯ. Департаменты должны внедрить соответствующие процессы управления кибербезопасностью.
a) Должны быть четкие границы ответственности и подотчетности указанных лиц за безопасность конфиденциальной информации и ключевых операционных услуг.
б) Должны существовать соответствующие политики и процессы управления, чтобы направлять общий подход Департамента к кибербезопасности.
c) Департаменты должны выявлять и управлять значительными рисками для конфиденциальной информации и ключевых операционных услуг.
г) Департаменты должны понимать и управлять проблемами безопасности, которые возникают из-за зависимости от внешних поставщиков или через их цепочки поставок. Это включает обеспечение соблюдения стандартов, определенных в этом документе, поставщиками сторонних услуг. Этого можно добиться, если поставщики обеспечат свою кибербезопасность в соответствии со Стандартом кибербезопасности HMG или потребуют от них иметь как минимум действующий сертификат Cyber Essentials . Cyber Essentials позволяет поставщику продемонстрировать надлежащую осмотрительность в отношении стандарта номер шесть, но Департамент должен в рамках своей оценки рисков определить, является ли это достаточной гарантией.
Cyber Essentials помогает защититься от наиболее распространенных киберугроз и демонстрирует приверженность кибербезопасности. Он основан на пяти технических элементах управления, но не охватывает полностью стандарт кибербезопасности HMG.
e) Департаменты должны гарантировать, что ответственные лица старшего звена получают соответствующее обучение и рекомендации по кибербезопасности и управлению рисками, а также должны способствовать формированию культуры осведомленности и просвещения по вопросам кибербезопасности во всем Департаменте.
2. Департаменты должны идентифицировать и каталогизировать конфиденциальную информацию, которой они владеют.
а) Департаменты должны знать и регистрировать:
- Какую конфиденциальную информацию они хранят или обрабатывают
- Почему они хранят или обрабатывают эту информацию
- Где хранится информация
- Какие компьютерные системы или службы обрабатывают это
- Последствия его утраты, компрометации или разглашения
3. Департаменты определяют и каталогизируют ключевые оперативные услуги, которые они предоставляют.
а) Департаменты должны знать и регистрировать:
- Каковы их ключевые операционные услуги
- Какие технологии и услуги используют их операционные службы, чтобы оставаться доступными и безопасными
- Какие еще зависимости операционных служб (питание, охлаждение, данные, люди и т. Д.)
- Последствия потери доступности услуги
4. Потребность пользователей в доступе к конфиденциальной информации или ключевым оперативным услугам должна быть понятна и постоянно контролироваться.
a) Пользователям должен быть предоставлен минимальный доступ к конфиденциальной информации или ключевым операционным службам, необходимым для их роли.
б) Доступ должен быть удален, когда люди покидают свою роль или организацию. Также следует проводить периодические проверки для обеспечения надлежащего доступа.
5. ЗАЩИТА. Доступ к конфиденциальной информации и ключевым операционным услугам предоставляется только идентифицированным, аутентифицированным и авторизованным пользователям или системам.
a) Доступ к конфиденциальной информации и услугам должен предоставляться только авторизованным, известным и индивидуально указанным пользователям или системам.
б) Пользователи и системы всегда должны быть идентифицированы и аутентифицированы до того, как им будет предоставлен доступ к информации или услугам. В зависимости от конфиденциальности информации или важности службы вам также может потребоваться аутентификация и авторизация устройства, используемого для доступа.
6. Системы, которые обрабатывают конфиденциальную информацию или ключевые операционные службы, должны быть защищены от использования известных уязвимостей.
В этом разделе рассматриваются четыре основных области технологий.
а) Чтобы защитить корпоративные технологии, вы должны:
- Отслеживайте и записывайте все аппаратные и программные активы и их конфигурацию
- Убедитесь, что любая инфраструктура не уязвима для обычных кибератак. Это должно быть через безопасную конфигурацию и установку исправлений, но там, где это невозможно, должны применяться другие меры (например, логическое разделение).
- Проверяйте это с помощью регулярного тестирования на наличие известных уязвимостей или распространенных ошибок конфигурации.
- Используйте службу DNS государственного сектора Великобритании для разрешения интернет-запросов DNS.
- Убедитесь, что изменения в авторитетных записях DNS могут вносить только авторизованные администраторы, прошедшие строгую проверку подлинности.
- Поймите и запишите диапазоны IP-адресов отделов.
- Если услуги передаются на аутсорсинг (например, с использованием облачной инфраструктуры или услуг), вы должны понимать и точно записывать, какие обязанности, связанные с безопасностью, остаются за отделами, а какие — поставщиком.
б) Чтобы защитить свои устройства конечных пользователей, вы должны:
- Выявление и учет всех устройств конечных пользователей и съемных носителей.
- Управляйте устройствами, имеющими доступ к конфиденциальной информации, или ключевым операционным службам, чтобы можно было применять технические политики и контролировать программное обеспечение, которое взаимодействует с конфиденциальной информацией.
- Используйте операционные системы и пакеты программного обеспечения, которые регулярно обновляются, и, как минимум, поддерживайте их поставщиком.
- Шифруйте данные, хранящиеся там, где Департамент не может рассчитывать на физическую защиту, например, когда мобильное устройство или ноутбук уносится за пределы предприятия или на съемных носителях.
- Иметь возможность удаленно стереть и / или отозвать доступ с устройства конечного пользователя.
c) Для защиты электронной почты вы должны:
- Поддержка Transport Layer Security версии 1.2 (TLS v1.2) для безопасной отправки и получения электронной почты.
- Имеют для своих доменов записи об аутентификации сообщений на основе домена (DMARC), DomainKeys Identified Mail (DKIM) и Sender Policy Framework (SPF), чтобы затруднить подделку электронной почты.
- Внедрите фильтрацию спама и вредоносных программ и принудительно примените DMARC к входящей электронной почте.
г) Для защиты цифровых сервисов вы должны:
- Убедитесь, что веб-приложение не подвержено распространенным уязвимостям безопасности, например, описанным в первой десятке уязвимостей Open Web Application Security Project (OWASP).
- Убедитесь, что базовая инфраструктура безопасна, включая проверку того, что среда хостинга надежно поддерживается и что вы надлежащим образом выполнили свои обязанности по безопасной настройке инфраструктуры и платформы.
- Защитите передаваемые данные с помощью хорошо настроенного TLS v1.2.
- Регулярно проверяйте наличие известных уязвимостей и распространенных ошибок конфигурации. Вы должны зарегистрироваться и использовать службу веб-проверки NCSC.
7. Учетные записи с высокими привилегиями не должны быть уязвимы для обычных кибератак.
a) Пользователи с широким диапазоном или обширными системными привилегиями не должны использовать свои высокопривилегированные учетные записи для функций с высоким риском, в частности для чтения электронной почты и просмотра веб-страниц.
b) Многофакторная аутентификация должна использоваться там, где это технически возможно, например, когда административные консоли предоставляют доступ для управления облачной инфраструктурой, платформами или услугами. Для доступа к учетным записям в социальных сетях корпоративного уровня должна использоваться многофакторная аутентификация.
c) Пароли для высокопривилегированных системных учетных записей, учетных записей социальных сетей и компонентов инфраструктуры должны быть изменены со значений по умолчанию, и их будет нелегко угадать. Пароли, которые сами по себе предоставляют обширный доступ к системе, должны иметь высокую сложность.
8. ОБНАРУЖЕНИЕ. Департаменты должны предпринять шаги для обнаружения типичных кибератак.
a) Как минимум, департаменты должны фиксировать события, которые могут быть объединены с общими источниками информации об угрозах, например Партнерство по обмену информацией о кибербезопасности (CISP), для обнаружения известных угроз.
б) Департаменты должны иметь четкое определение того, что и почему необходимо защищать (на основе Стандарта 1), что, в свою очередь, влияет на решение мониторинга и направляет его на обнаружение событий, которые могут указывать на ситуацию, которую Департамент желает избежать.
c) Любое решение для мониторинга должно развиваться вместе с изменениями в бизнесе и технологиях Департамента, а также с изменениями угроз.
г) Злоумышленники, пытающиеся использовать обычные методы кибератак, не должны иметь возможность получить доступ к данным или какой-либо контроль над технологическими услугами, не будучи обнаруженными.
д) Цифровые услуги, привлекательные для киберпреступников с точки зрения мошенничества, должны с самого начала использовать методы мониторинга транзакций.
9. ОТВЕТИТЕ. Департаменты должны иметь определенный, запланированный и протестированный ответ на инциденты кибербезопасности, которые влияют на конфиденциальную информацию или ключевые операционные службы.
a) Департаменты должны разработать план реагирования на инциденты и управления с четко определенными действиями, ролями и обязанностями. Копии всех происшествий должны регистрироваться независимо от необходимости сообщать о них.
б) Департаменты должны иметь планы коммуникации в случае инцидента, который включает уведомление (например) соответствующего надзорного органа, высокопоставленных подотчетных лиц, пресс-службы департамента, Национального центра кибербезопасности (NCSC), правительственной группы безопасности (кабинет кабинета министров). , Управление комиссара по информации (ICO) или правоохранительные органы, если применимо (не является исчерпывающим).
c) В случае инцидента, связанного с утечкой личных данных, департаменты должны соблюдать все юридические обязательства по сообщению о нарушении в Офис уполномоченного по информации .
г) План реагирования на инциденты и управления следует тестировать через регулярные промежутки времени, чтобы гарантировать, что все стороны понимают свои роли и обязанности как часть плана. Результаты тестирования должны сообщить о технической защите системы или службы в ближайшем будущем, чтобы гарантировать, что выявленные проблемы не могут возникнуть таким же образом снова. Выявленные системные уязвимости должны быть устранены.
e) При обнаружении инцидента, смягчающие меры должны быть оценены и применены при первой возможности с привлечением экспертных рекомендаций, если это необходимо (например, компании по реагированию на киберинциденты (CIR) или NCSC).
f) Уроки, полученные после инцидента, должны быть оценены, и уроки должны быть учтены в будущих итерациях плана управления инцидентами.
10. ВОССТАНОВЛЕНИЕ. Департаменты должны иметь четко определенные и протестированные процессы для обеспечения непрерывности ключевых операционных услуг в случае сбоя или компрометации.
a) Департаменты должны идентифицировать и тестировать механизмы непредвиденных обстоятельств для продолжения предоставления основных услуг в случае любого отказа, принудительного отключения или компрометации любой системы или услуги. Это может включать сохранение внешних или ручных процессов для основных услуг или CNI.
б) Восстановление нормальной работы службы должно быть хорошо отработанным сценарием.
c) Действия по восстановлению после инцидента должны информировать о технической защите системы или службы в ближайшем будущем, чтобы гарантировать, что та же проблема не может возникнуть таким же образом снова. Выявленные системные уязвимости должны быть устранены.
СОДЕРЖАНИЕ
- 1.ИДЕНТИФИЦИРОВАТЬ. Департаменты должны внедрить соответствующие процессы управления кибербезопасностью.
- 2.Департаменты должны идентифицировать и каталогизировать конфиденциальную информацию, которой они владеют.
- 3.Департаменты должны идентифицировать и каталогизировать ключевые операционные услуги, которые они предоставляют.
- 4.Потребность пользователей в доступе к конфиденциальной информации или ключевым операционным службам должна быть понятна и постоянно контролироваться.
- 5.ЗАЩИЩАТЬ. Доступ к конфиденциальной информации и ключевым операционным услугам предоставляется только идентифицированным, аутентифицированным и авторизованным пользователям или системам.
- 6.Системы, которые обрабатывают конфиденциальную информацию или ключевые операционные службы, должны быть защищены от использования известных уязвимостей.
- 7.Учетные записи с высокими привилегиями не должны быть уязвимы для обычных кибератак.
- 8.ОБНАРУЖИТЬ. Департаменты должны предпринять шаги для обнаружения типичных кибератак.
- 9.ОТВЕЧАТЬ. Департаменты должны иметь определенный, запланированный и протестированный ответ на инциденты кибербезопасности, которые влияют на конфиденциальную информацию или ключевые операционные службы.
- 10.ВОССТАНАВЛИВАТЬСЯ. Департаменты должны иметь четко определенные и протестированные процессы для обеспечения непрерывности ключевых операционных услуг в случае сбоя или компрометации.
Минимальный стандарт кибербезопасности в Великобритании 2022
Это новый минимальный набор стандартов кибербезопасности, который, по ожиданиям правительства, департаменты будут соблюдать и превосходить везде, где это возможно.
Документы
Подробности
Он был разработан в сотрудничестве с правительством и NCSC.
Со временем меры будут расширяться, чтобы постоянно «поднимать планку», устранять новые угрозы или классы уязвимостей и включать использование новых мер активной киберзащиты.
Последнее обновление 25 июня 2018 г. + показать все обновления