Martin Hořický
Partner • Digital Services
Ověření základní úrovně kybernetické bezpečnosti podle britského vládního standardu
Cyber Essentials je bezpečnostní certifikační schéma podporované vládou Spojeného království. Cílem programu je pomoci organizacím chránit se před nejběžnějšími kybernetickými hrozbami a zlepšit jejich základní úroveň zabezpečení.
Standard definuje soubor základních bezpečnostních kontrol, které pomáhají organizacím snížit riziko kybernetických útoků.
Program zahrnuje dvě úrovně certifikace:
- Cyber Essentials
- Cyber Essentials Plus
Tyto certifikace jsou často požadovány při spolupráci s veřejným sektorem ve Spojeném království.
Co je Cyber Essentials
Cyber Essentials je bezpečnostní standard vytvořený britskou vládou ve spolupráci s National Cyber Security Centre (NCSC).
Standard poskytuje jednoduchý rámec pro implementaci základních bezpečnostních opatření a ochranu organizací před běžnými kybernetickými útoky.
Cyber Essentials:
- stanovuje základní bezpečnostní kontroly
- pomáhá organizacím snížit riziko kybernetických incidentů
- umožňuje získat certifikaci potvrzující implementaci bezpečnostních opatření
Certifikace je uznávaným důkazem, že organizace implementovala základní úroveň kybernetické bezpečnosti.
Cyber Essentials vs Cyber Essentials Plus
Program nabízí dvě úrovně certifikace.
Certifikace | Typ ověření | Charakteristika |
Cyber Essentials | self-assessment + ověření | základní certifikace založená na dotazníku |
Cyber Essentials Plus | nezávislý audit | technické ověření implementovaných kontrol |
Co Cyber Essentials ověřuje
Standard je založen na pěti základních bezpečnostních kontrolách:
Firewally a zabezpečení sítě
- ochrana síťové infrastruktury
- řízení přístupu k interní síti
Bezpečná konfigurace
- bezpečné nastavení systémů a zařízení
- odstranění zbytečných služeb
Řízení přístupů
- správa uživatelských účtů
- princip minimálních oprávnění
Ochrana proti malwaru
- antivirová ochrana
- detekce škodlivého softwaru
Aktualizace a patch management
- pravidelná instalace bezpečnostních aktualizací
- správa zranitelností
Tyto kontroly pokrývají nejčastější vektory útoků používané při kybernetických incidentech.
Pro koho je Cyber Essentials určen
Cyber Essentials je vhodný pro organizace, které:
- chtějí zlepšit základní úroveň kybernetické bezpečnosti
- spolupracují s vládními institucemi ve Spojeném království
- chtějí prokázat bezpečnostní standard svým zákazníkům
- začínají budovat program kybernetické bezpečnosti
Certifikace je často využívána malými a středními organizacemi, ale může být relevantní i pro větší podniky.
Jak vám BDO může pomoci
BDO poskytuje služby v oblasti kybernetické bezpečnosti, řízení rizik a regulatorní compliance.
Naši odborníci vám pomohou:
- provést gap analýzu vůči Cyber Essentials požadavkům
- připravit organizaci na certifikaci
- implementovat bezpečnostní kontroly
- zlepšit procesy řízení kybernetické bezpečnosti
- provést nezávislý audit, pokud není porušena nezávislost
Pomáháme organizacím posílit jejich bezpečnostní prostředí a splnit požadavky zákazníků i regulatorních orgánů.
Srovnání Cyber Essentials, ISO 27001 a SOC 2
Standard | Země | Typ standardu | Zaměření |
Cyber Essentials | Velká Británie | vládní certifikační schéma | základní kybernetická bezpečnost |
ISO 27001 | mezinárodní | norma ISMS | řízení bezpečnosti informací |
SOC 2 | USA | auditní standard | kontrolní prostředí poskytovatelů služeb |
Cyber Essentials se často používá jako první krok k implementaci komplexnějších bezpečnostních standardů.
Proč kombinovat Cyber Essentials s dalšími standardy
Organizace často implementují více bezpečnostních rámců současně.
Typická kombinace může zahrnovat:
- Cyber Essentials – základní bezpečnostní standard
- ISO 27001 – systém řízení bezpečnosti informací
- SOC 2 – ověření kontrol poskytovatele služeb
Tento přístup umožňuje organizacím postupně zvyšovat úroveň kybernetické bezpečnosti a splnit požadavky různých trhů.
