הטיפים החשובים ביותר בסייבר של ISMS.online לאחר הצלחת ההסמכה מחדש שלנו

הטיפים המובילים של ISMS.online Cyber Essentials לאחר הצלחת ההסמכה מחדש שלנו

מאת כריסטי ריי • 26 נובמבר 2024

אנו שמחים לחלוק כי ISMS.online השיגה הסמכה מחדש ל-Cyber Essentials, תוכנית אבטחת הסייבר הנתמכת על ידי ממשלת בריטניה. ההסמכה המחודשת שלנו מאשרת שהמשכנו לטפל בנקודות תורפה והטמענו בקרות אבטחת סייבר אפקטיביות בכל העסק, מה שמבטיח הגנה איתנה מפני מגוון איומי סייבר.

אתה יכול סקור את הסמכת ה-Cyber Essentials של ISMS.online ואת תקני הסייבר הרבים האחרים שאנו שומרים במרכז האמון שלנו.

עם ההסמכה המחודשת המוצלחת שלנו ל-Cyber Essentials, אנו חולקים מידע על ערכת Cyber Essentials, תובנות ממנהל ה-IMS שלנו, מייק ג'נינגס, לגבי מה שלמדנו במהלך ההסמכה מחדש, והגישות שהארגון שלך יכול לנקוט כדי להשיג הסמכה.

מה זה חיוני סייבר?

תוכנית Cyber Essentials, הנתמכת על ידי ממשלת בריטניה, מאפשרת לארגונים להפגין את מחויבותם לאבטחת סייבר ולמנוע את התקפות הסייבר הנפוצות ביותר, הנשענות לרוב על חוסר מוכנות של ארגון.

הסמכה נדרשת עבור ארגונים המתמודדים על כמה חוזים ממשלתיים, כגון אלה הכוללים טיפול במידע רגיש ואישי או אספקת מוצרים או שירותים טכניים מסוימים.

יסודות סייבר מכסה חמישה תחומי ליבה:

יישום חומת אש
תצורה מאובטחת של התקני רשת ומשתמשים
ניהול עדכוני אבטחה
בקרת גישה למשתמש
הגנה על תוכנות זדוניות

רמות של הערכת יסודות הסייבר

יסודות סייבר כולל הערכה עצמית. ארגונים מעריכים את עצמם מול חמשת התחומים המכוסים על ידי Cyber Essentials, ומעריך מוסמך מאמת באופן עצמאי את המידע שסופק.

Cyber Essentials Plus היא ביקורת טכנית שבה מבקר מבקר במשרדי הארגון כדי לבצע בדיקות. יש להשלים אותו תוך שלושה חודשים מהסמכת Cyber Essentials.

העלות של הסמכת Cyber Essentials תלויה בגודל הארגון שלך, ועבור Cyber Essentials Plus, בגודל ובמורכבות הרשת שלך.

מדוע הארגון שלי צריך לקבל אישור Cyber Essentials?

מייק ג'נינגס, מנהל IMS ב-ISMS.online, אומר: "לא רק שה-Cyber Essentials מבטיח שאתה מפעיל את הארגון שלך בצורה מאובטחת על ידי מתן מדיניות ובקרות בסיסיות לאבטחת מידע, אלא היא גם משפרת את המוניטין שלך כספק מהימן. בנוסף, הסמכה יכולה לספק רמה של ביטוח סייבר 'חינם' בכפוף לקריטריונים מסוימים".

אם אתה כבר ISO 27001 ו ISO 27701 מוסמך, יש כמה סיבות שאתה יכול לשקול הסמכת Cyber Essentials עבור העסק שלך:

יכול להיות שיש לך לקוח שמחייב את הארגון שלך לקבל הסמכה חוזית (וכאמור, הסמכה היא לרוב צורך בחוזים ממשלתיים)
הסמכת Cyber Essentials בונה אמון ומבטיחה ללקוחות שיש לך יישומים טכניים ספציפיים
אתה יכול לאבטח טוב יותר את מערכות ה-IT שלך מפני התקפות סייבר
הסמכה עשויה למשוך לקוחות פוטנציאליים חדשים ועסקים חדשים בידיעה שיש לך אמצעי אבטחת סייבר
לאחר הסמכת Cyber Essentials, ייתכן שהארגון שלך יהיה זכאי לביטוח אבטחת סייבר בחינם. פרטים מלאים זמינים בכתובת IASME.co.uk.

מייק משתף: "החזקת מערכת ניהול אבטחת מידע תואמת ISO 27001 (ISMS) עוזרת מאוד בהשגת הסמכת Cyber Essentials, שכן רבים מהמדיניות והבקרות כבר מבוססות ויכולות לספק ראיות לעמידה בדרישות ה-CE, מה שהופך את התהליך ליעיל יותר.

"יש כמה הבדלים עדינים במידע הנדרש עבור CE בהשוואה ל-ISO 27001; עם זאת, בעזרת מסגרת CE המסופקת על ידי ISMS.online, מידע זה ניתן להקלטה ונגיש בקלות, הכל במקום אחד."

כיצד לגשת להסמכת Cyber Essentials

מערך דרישות מעודכן עבור תשתית IT (v3.1) הונפק באפריל 2023 על ידי המרכז הלאומי לאבטחת סייבר (NCSC). מערכת דרישות זו, המכונה פרופיל מונפלייה, היא קריאת קריאה חיונית לכל הארגונים השוקלים הערכה כדי להבין מה נדרש לעמידה ב- Cyber Essentials. למעשה, כחלק מתהליך ההסמכה, תישאל אם קראת את המסמך הזה.

כמו כן, ניתן להוריד את מערך השאלות המלא לקראת ההערכה ולפני הגשת תשובותיכם דרך הפורטל המקוון. ניתן להוריד את ערכת השאלות בחינם מאתר IASME. הזמנה לפורטל המקוון נשלחת לנציג המועמד שלך לאחר תשלום דמי השומה.

כלי מוכנות Cyber Essentials זמין גם מ-IASME כדי לעזור לעסק שלך להתכונן עבור תאימות.

מייק אומר, "יש מידע מסוים שאתה צריך לשתף עבור Cyber Essentials שאינו דרישה לתאימות של תקני ISO. זה מתייחס בעיקר לזיהוי מבני התוכנה של בסיס הנכסים של משתמשי הקצה כדי להבטיח שהם עומדים במהדורות האחרונות שעדיין נתמכות על ידי שדרוגי אבטחה.

"זה מדגיש את ההבדלים העדינים בין תאימות CE ל-ISO 27001, כאשר CE נוקשה ובינארית יותר בדרישותיו בהשוואה ל-ISO 27001 המבוסס על סיכון ומאפשר גמישות מסוימת תלויה ברמת הסיכון ובאופן ניהולו".

כיצד התקרבה ISMS.online לאישור מחדש של Cyber Essentials

המעורבות של מנהל ה-IT שלך חיונית להערכה, שכן עליך לציין את כל התקני המשתמש והרשת, כולל מספור גרסאות של מערכת ההפעלה וכל שירותי הענן שבהם נעשה שימוש.

עם מנהל ה-IT שלנו מעורב, הרכבנו את צוות ההערכה הייעודי שלנו בנושא Cyber Essentials. לאחר מכן, הצוות סקר את מסמך הדרישות ואת מערך השאלות של Cyber Essentials כדי לזהות אזורים הזקוקים לשינויים אפשריים במדיניות או בתצורה.

מייק מוסיף: "זה היה אישור מחדש של CE, אז כבר היינו מודעים לדרישות מונפלייה, אם כי היה צורך לבדוק אם התרחשו שינויים עדינים בדרישות בהשוואה לשנה שעברה. נראה שנדרש יותר פירוט ברמות הבנייה של מערכת ההפעלה כדי לעמוד בדרישות השנה. היינו צריכים גם לשדרג את אחת מרמות מערכת ההפעלה של המערכות שלנו".

שקלנו גם את היקף ההערכה. בדומה לסוגים אחרים של אישורים כמו ISO 27001, אנו ממליצים שכל הארגון ייכלל בהיקף הערכת ה- Cyber Essentials שלך. הארגון שלך זכאי לביטוח סייבר בחינם רק אם הארגון כולו נמצא בהיקף.

לאחר שהוחלט על ההיקף, הצוות ענה על שאלות המכסים את חמשת התחומים הטכניים הקשורים לרשת ולהתקני המשתמש שלנו. הרשימה שלהלן אינה ממצה, ויש להפנות תמיד למסמך הדרישות ולקבוצת השאלות. עם זאת, שיקולים חשובים כוללים:

יש לפרוס חומות אש בגבולות הרשת. אם עובדים בבית משתמשים במכשירים ללא VPN, יש לכלול חומות אש של תוכנה במערכות ההפעלה של המכשירים.
עליך לפרט את כל מכשירי המשתמש והרשת, כולל מערכות הפעלה, גרסאות ומכשירים ניידים. הערה: למרות שאינה פקד ספציפי של Cyber Essentials, ניהול נכסים צריך להיחשב כפונקציית אבטחה מרכזית ויכולה לעזור לארגון שלך לעמוד בבקרות הטכניות
כל שירותי הענן שבהם הארגון שלך משתמש גם הם בהיקף
יש להתקין את עדכוני האבטחה הקריטיים של כל היישומים תוך 14 יום מהשחרור. זה כולל גם קושחה על חומות אש ונתבים
אתה חייב להיות בעל בקרות טכניות ומדיניות עבור חשבונות משתמשים ומנהלים ואימות. יש להשתמש באימות רב-גורמי עבור כל שירותי הענן
כל המכשירים חייבים להיות מוגנים מפני תוכנות זדוניות על ידי התקנת תוכנה נגד תוכנות זדוניות ו/או הגבלת התקנת יישומים, למשל על ידי שימוש בחנות אפליקציות.

אם כבר יישמת בקרות אבטחת מידע או תואמות ל-ISO 27001, המדיניות הקיימת שלך תעזור לענות על כמה שאלות.

הטיפים המובילים של ISMS.online להשגת יסודות סייבר

השתמש במסמך הדרישות לתשתית IT (v3.1) כדי לברר מה נחשב בתוך ומחוץ לתחום לגבי הבאת מכשיר משלך (BYOD), עבודה מרחוק, התקנים אלחוטיים, התקני משתמש ושירותי ענן.
האחריות על בקרות ההטמעה, בין אם הארגון או ספק הענן, תהיה תלויה בסוג שירות הענן: IaaS, PaaS או SaaS.
ערכת השאלות של מונפלייה מספקת גם הדרכה המציינת היכן הדרישה היא חובה לעמידה. צוות ההערכה של Cyber Essentials שלך צריך לבדוק את השאלה שנקבעה לפני ההגשה.
לפני שניתן יהיה להגישו למעריך הבלתי תלוי, תגובת ההערכה העצמית חייבת להיות מאושרת על ידי חבר בצוות ההנהלה של הארגון.
ייתכן שתקבל משוב להבהרות נוספות או שינויים נדרשים. עליך להשלים כל שינוי תוך שני ימי עבודה לפני ההגשה מחדש.

לאחר שתסיים את התהליך בהצלחה, תקבל הודעה שעברת את הסמכת Cyber Essentials. הסמכה מאפשרת לארגון שלך להוכיח ללקוחות וללקוחות פוטנציאליים שלך שאבטחת את ה-IT שלך מפני התקפות סייבר. האישור שלך יהיה תקף ל-12 חודשים.

סיפור ההצלחה של Cyber Essentials שלך מתחיל כאן

אם אתה מחפש להתחיל את המסע שלך לתאימות Cyber Essentials, ISMS.online יכול לעזור.

פלטפורמת התאימות שלנו מאפשרת גישה פשוטה, מאובטחת ובת קיימא לפרטיות נתונים וניהול מידע עם Cyber Essentials ולמעלה מ-100 מסגרות אחרות, כולל ISO 27001, NIST, GDPR, HIPAA ועוד. גלה את היתרון התחרותי שלך עוד היום.

כריסטי ריי

כריסטי היא מומחית לשיווק תוכן ב-ISMS.online. עם ניסיון של למעלה משבע שנים, היא שואפת לכתוב תוכן אינפורמטיבי ומרתק ועבדה במגוון תעשיות כולל אבטחת סייבר, תוכנה כשירות, טכנולוגיה ותרופות.