当前位置:安全资讯 >> 全文

英国为政府部门发布网络安全最低标准,你怎么看?

发布时间:2018-6-28 17:47 标签: 网络安全标准,政府
分享到 0

英国为政府部门发布网络安全最新标准,它将被集成到政府智能安全标准中。所有政府部门必须遵守这一标准,而它也为所有的商业组织机构提供了出色的安全检查清单/框架。

五大类十项内容

这份文档非常简短,只有7页,分510项内容。五类是识别、保护、检测、响应和恢复。它基本遵循了欧洲强调结果而非实现这些结果的具体途径的方法,从而让各部门能够根据当地情况灵活执行标准;另外标准对“机密”、“必需”、“重要”和“适当”的定义也保持开放态度,以便各部门能够根据具体情况使用自己的评估;然而各部门应该为这些决策的有效性负责,并且应该反映“HMG 政府安全分类策略”。另外,该标准也涉及了一些具体实现途径。

网络安全最低标准的5大类10项内容定义如下:

专家看法总体积极

   这个未提供具体说明的标准得到 Lacework 首席产品官兼创始人 Sanjay Kalra 的欢迎。他指出标准对于在云端运营工作负载的组织机构而言尤为重要。云端处理变化快速持续,而适当的云保护措施要求具有灵活性。从某种程度来讲,他认为该标准和《通用数据保护条例》类似,它们强调的都是结果,而实现的指导方针允许足够灵活的方法的存在,以便组织机构做出最佳选择。

安全圈子对该标准也赞誉有加。该标准被认为既简单又有效。很多政府实体甚至不知道从哪里以及如何开始网络安全工作,而该标准将有助于将数字风险结构化并得到管理,以及实现适当的网络安全进程。

简单、清晰而有效的技术要求如正确的 TLS 加密和根据 OWASP top 10 实施的 web 应用强制测试也广受欢迎。

但也有专家担心标准能否真正得到有效执行。研究人员认为整个标准从某种程度而言是在即将到来的英国脱欧之际,英国自主选择的网络安全之路。然而,历史经验表明,凡是未能触及国家边境的网络安全战略注定要失败,因为这类战略认为所有的网络犯罪活动源自国内。

还有人认为这对于政府而言是良好的开端,不过政府也需要通过更多的能力将标准推广到整个私营行业。

英国版的 NIST 网络安全框架?

美国安全专家认为英国政府发布的标准相当于美国国家标准技术委员会 (NIST) 的网络安全框架。二者在框架上非常类似,不过 NIST 框架强调的是对数据的保护、提供最小权限“仅供传阅”的模式以及在其它关键领域的持续改进。和美国模式一样,英国发布的标准也要求进行持续改进,准备好迎接下一次攻击。

总体而言,英国发布的标准得到的评价较高。虽然网络安全最低标准对政府而言是强制的,但它也为私营行业提供了有价值的框架,相当于美国的 NIST。英国颁布的标准很好地展示了政府应该如何管理网络安全,为其它欧洲国家起到了很好的带头作用。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/uk-publishes-minimum-cyber-security-standard-government-departments
参与讨论,请先 登录 | 注册

用户评论