אנו שמחים לחלוק כי ISMS.online השיגה את הסמכת Cyber ​​Essentials, הוסיפה רמות נוספות של אמון לשירותים שלנו ומאשרת בקרות אבטחת סייבר חזקות ואפקטיביות ברחבי הארגון שלנו. אתה יכול סקור את ההסמכה שלנו ואת תקני הסייבר הרבים האחרים שאנו שומרים במרכז האמון שלנו.

לאחר שעברנו את תהליך השגת ה-Cyber ​​Essentials (CE), אנו רוצים לחלוק חלק ממה שלמדנו בדרך, להגדיר את ההסמכה, מדוע ייתכן שיהיה עליך לרכוש אותה ואילו גישות ארגונים יכולים לנקוט כדי להשיג אותה.

מה זה סייבר חיוני?

יסודות סייבר, למרות שהוא פחות רחב מתקנים כמו ISO 27001, יש לו נטייה טכנית יותר לגבי המכשירים ותצורת הרשת שלך. הוא מכסה חמישה תחומים:

  • יישום חומת אש
  • תצורה מאובטחת של התקני רשת ומשתמשים
  • ניהול עדכוני אבטחה,
  • בקרת גישה למשתמש
  • הגנה על תוכנות זדוניות

 

Cyber ​​Essentials מייצג את תקן הבסיס של ממשלת בריטניה לאבטחת סייבר בבריטניה ומנוהל על ידי קונסורציום IASME.

ישנן שתי רמות הערכה:

  • יסודות סייבר 

    - היא הערכה עצמית מאומתת באופן עצמאי, שבה ארגונים מעריכים את עצמם מול חמש בקרות אבטחה בסיסיות, ומעריך מוסמך מאמת את המידע שסופק.

  • Cyber ​​Essentials+

– היא ביקורת טכנית שבה מבקר מבקר במשרדי הארגון כדי לבצע בדיקות. יש להשלים את ביקורת CE+ בתוך שלושה חודשים מהסמכת CE.

העלות של הסמכת Cyber ​​Essentials תלויה בגודל הארגון שלך, ועבור Cyber ​​Essentials+, בגודל ובמורכבות הרשת שלך.

מדוע על ארגונים לרדוף אחר הסמכת סייבר חיוני?

מדוע, אתם עשויים לשאול, כדאי לכם לשקול Cyber ​​Essentials אם אתם כבר מוסמכים ISO 27001 ו-ISO 27701? יכולות להיות מספר סיבות:

  • זוהי דרישה חוזית מלקוח (ולעתים קרובות צורך בחוזים ממשלתיים)
  • בונה אמון ומבטיח ללקוחות שיש לך יישומים טכניים ספציפיים
  • כדי לאבטח את ה-IT שלך מפני התקפות סייבר
  • מושך עסקים חדשים בידיעה שיש לך אמצעי אבטחת סייבר במקום
  • יתרון נוסף הוא שהארגון שלך עשוי להיות זכאי לביטוח אבטחת סייבר בחינם לאחר אישור CE. פרטים מלאים ניתן למצוא בכתובת: IASME.co.uk.

גישות מעשיות להסמכת יסודות סייבר

סט חדש של דרישות לתשתית IT (v3.1), המכונה גם פרופיל מונפלייה, הוצא מוקדם יותר השנה באפריל 2023 על ידי ה-NCSC. זוהי קריאה חיונית לכל הארגונים שניגשים להערכה כדי להבין את דרישות התאימות ל-CE. שאלה ספציפית שואלת אם מסמך זה נקרא כחלק מתהליך ההסמכה.

כדאי גם להוריד את ערכת השאלות המלאה לקראת ההערכה ולפני הגשת תשובותיכם דרך הפורטל המקוון. ניתן להוריד את ערכת השאלות בחינם מאתר IASME. הזמנה לפורטל המקוון נשלחת לנציג המועמד שלך לאחר תשלום דמי השומה.

כלי מוכנות Cyber ​​Essentials זמין גם מ-IASME כדי לעזור להתכונן ל-CE במידת הצורך.

כיצד התקרבה ISMS.online להסמכת Cyber ​​Essentials

הרכבנו צוות קטן ובדקנו את מסמך הדרישות ואת מערך השאלות כדי לקבוע אילו אזורים זקוקים לשינויים אפשריים במדיניות או בתצורה.

ראוי להדגיש כי נדרש לציין את כל התקני המשתמש והרשת, כולל מספור גרסאות של מערכת ההפעלה וכל שירותי הענן בהם נעשה שימוש. מנהל ה-IT של הארגון צריך להיות חבר צוות חיוני המעורב בהערכה.

שיקול מוקדם עבור הצוות היה היקף ההערכה. אנו ממליצים להתחשב בכל הארגון בהיקף ההערכה, כמו בסוגי אישורים אחרים. כמו כן, ראוי לציין שהארגון שלך זכאי לביטוח סייבר חינם רק אם כל הארגון נמצא בהיקף.

זה היה אז עניין של לענות על שאלות המכסות את חמשת התחומים הטכניים הקשורים לרשת ולמכשירי המשתמש שלנו. לא רשימה ממצה ויש להתייחס תמיד למסמך הדרישות ולסט השאלות; עם זאת, כמה שיקולים חשובים הם:

  • יש לפרוס חומות אש בגבולות הרשת - אם עובדים בבית משתמשים במכשירים, לא משתמשים ב-VPN, יש לכלול חומות אש של תוכנה במערכת ההפעלה של המכשירים.
  • יש צורך לפרט את כל מכשירי המשתמש והרשת, לרבות מערכות הפעלה, גרסאות ומכשירים ניידים. הערה: למרות שאינה בקרת CE ספציפית, ניהול נכסים צריך להתייחס לפונקציית אבטחה מרכזית ויכולה לעזור לעמוד בבקרות הטכניות.
  • כל שירותי הענן בהם משתמש הארגון נמצאים אף הם בהיקף.
  • יש להתקין את עדכוני האבטחה הקריטיים של כל היישומים תוך 14 יום מהשחרור. זה כולל גם קושחה על חומות אש ונתבים.
  • נדרשים בקרות טכניות ומדיניות הקשורות לחשבונות משתמשים ומנהלים ולאימות. יש להשתמש ב-MFA עבור כל שירותי הענן.
  • כל המכשירים חייבים להיות מוגנים מפני תוכנות זדוניות על ידי התקנת תוכנה נגד תוכנות זדוניות ו/או הגבלת התקנת יישומים, למשל על ידי שימוש בחנות אפליקציות.

 

אם כבר שקלת בקרות אבטחת מידע או תואמות ל-ISO 27001, המדיניות הקיימת שלך תעזור לענות על כמה שאלות.

הטיפים המובילים שלנו להתקרבות ליסודות הסייבר

  1. מסמך הדרישות לתשתית IT (v3.1) מנחה את מה שנחשב בתוך ומחוץ לתחום הנוגע ל-BYOD, עבודה מרחוק, התקנים אלחוטיים, התקני משתמש ושירותי ענן.
  2. האחריות על בקרות ההטמעה, בין אם הארגון או ספק הענן, תהיה תלויה בסוג שירות הענן: IaaS, PaaS או SaaS.
  3. יש גם הנחיות בערכת השאלות של Montpelier להורדה בחינם, המציינת היכן הדרישה היא חובה לציות. צוות ההערכה צריך לבדוק את השאלה שנקבעה לפני ההגשה דרך הפורטל.
  4. תגובת ההערכה העצמית צריכה להיות מאושרת על ידי חבר בצוות ההנהלה של הארגון לפני שניתן יהיה להשלים את ההגשה למעריך הבלתי תלוי.
  5. ייתכן שתקבל משוב להבהרות נוספות או שינויים נדרשים. יש צורך להשלים כל שינוי תוך שני ימי עבודה לפני הגשה מחדש.

 

לאחר שתסיים את התהליך בהצלחה, תקבל הודעה שעברת את הסמכת Cyber ​​Essentials, וגם הארגון שלך יכול להוכיח ללקוחות וללקוחות פוטנציאליים שלך שאבטחת את ה-IT שלך מפני התקפות סייבר. האישור שלך יהיה תקף ל-12 חודשים.

סיפור ההצלחה של Cyber ​​Essentials שלך מתחיל כאן

אם אתה מחפש להתחיל את המסע שלך לתאימות Cyber ​​Essentials, ISMS.online יכול לעזור.

פלטפורמת התאימות שלנו מאפשרת גישה פשוטה, מאובטחת ובת קיימא לפרטיות נתונים וניהול מידע עם Cyber ​​Essentials ולמעלה מ-100 מסגרות אחרות, כולל ISO 27001, NIST, GDPR, HIPPA ועוד. הבינו את היתרון התחרותי שלכם עוד היום.

דבר עם מומחה