8 Июля, 2019

Еще одна система сертификации ИБ компании: Cyber Essentials

Andrey Prozorov
В UK действует забавная схема самооценки и сертификации ИБ - Cyber Essentials. Вы платите 300? + налог, заполняете опросник самооценки и, если все ОК, то получаете сертификат. Есть еще расширенная версия сертификата - Cyber Essentials PLUS, тут уже надо проводить внутреннее и внешнее тестирование корпоративной сети. Проверяют вас аккредитованные для этого компании.
Cyber Essentials is a Government-backed, industry-supported scheme to help organisations protect themselves against common online threats.
Забавно, но позиционируется такая сертификация как альтернатива ISO 27001 ("The audited IASME certification is seen as a realistic alternative to ISO27001 by an increasing number of companies"). На мой взгляд это не совсем корректно:
  1. ISO 27001 менеджерский стандарт, аудиторы проверяют связь ИБ с бизнесом, работоспособность процессов, постоянное совершенствование. А Cyber Essentials больше ориентирован на базовые технические меры, мне он кажется ближе к подходу CIS Critical Security Controls.
  2. Базовую сертификацию Cyber Essentials я бы сравнил скорее с вдумчивой внешней проверкой SoA и реестра информационных активов, а не всей сертификацией по ISO 27001. Cyber Essentials PLUS добавляет пентесты, но это закроет еще несколько контролей ISO 27001.
  3. Есть вопросы к адекватности оценки, основанной на самооценке...
Но в целом подход довольно интересный, а опросники можно использовать, например, для целей внутреннего аудита ИБ. 

Всего опросников 2: краткий "Cyber Essentials Self-Assessment Preparation Booklet" (23 страницы) и расширенный "The IASME Governance Standard for Information and Cyber Security" (51 страница). 

Краткий состоит их следующих разделов:
  • Your Company
  • Scope of Assessment
  • Office Firewalls and Internet Gateways
  • Secure Configuration
  • Software Patching
  • User Accounts
  • Administrative Accounts
  • Malware protection
А в расширенной версии опросника добавляются:
  • Managing Security
  • Information Assets
  • Cloud Services
  • Risk Management
  • Data Protection
  • People
  • Security Policy
  • Physical and Environmental Protection
  • Operations and Management
  • Vulnerability Scanning
  • Monitoring
  • Backup and Restore
  • Incident Management
  • Business Continuity
Еще у них есть стандарт "The IASME Governance Standard for Information and Cyber Security", который рекомендуется использовать для SME:
What is The IASME Governance Standard for? The IASME Governance Standard is a formal information and cyber security methodology that is suitable for any organisation and SMEs in particular. It is sector agnostic and provides a working framework to assure information security against the background of contemporary threats. The IASME Governance Standard is suitable for the smaller departments of central government and local authorities. The IASME Governance Standard comprises clear guidance on good information security practices so a business knows where to start taking security measures.
Рекомендации стандарта сгруппированы по знакомым блокам:
  1. Asset identification (of what needs to be secure – which may include hardware and software, personal records, business data from diaries to financial plans and report, intellectual property such as designs and know-how, or control data). 
  2. Risk impact assessment and protection (to make it as secure as possible within the risk profile).
  3. Detection (of defects in business processes, accidental or deliberate security incidents) and deterrence (of attacks).
  4. Response and recovery from incidents (in tune with the level of resilience needed by the business).
Документ короткий (всего 46 страниц), но, на мой взгляд, очень полезный и "без воды". Рекомендую к изучению!

Еще стоит обратить внимание на то, что надзорный орган по ПДн в UK ( Information Commissioner’s Office, ICO ) рекомендует, а значит и принимает, эту сертификацию в качестве подтверждения (сертификации) базового уровня ИБ под требования GDPR. 
A good starting point is to make sure that you’re in line with the requirements of Cyber Essentials – a government scheme that includes a set of basic technical controls you can put in place relatively easily.
You should however be aware that you may have to go beyond these requirements, depending on your processing activities. Cyber Essentials is only intended to provide a ‘base’ set of controls, and won’t address the circumstances of every organisation or the risks posed by every processing operation. ( ссылка )
Ну, в общем, подход довольно интересный, стоит к нему присмотреться. 

P.S. Все все ссылки:
Cyber Essentials website -  https://www.cyberessentials.ncsc.gov.uk
Information Assurance for Small and Medium Enterprises (IASME) -  https://www.iasme.co.uk

Опросники и стандарт я скачал и выложил в свою группу в ВК -  https://vk.com/isms8020