Wat is die kontrolelys vir Siberiese Benodigdhede?
Die Cyber Essentials-kontrolelys is 'n praktiese lys voor die toepassing van die konfigurasies, bewyse en besluite wat 'n Britse organisasie in plek moet hê voordat die selfassesseringsvraelys (SAQ) voltooi word. Dit dek die omvang, die vyf beheerareas, wolkdienste, multifaktor-verifikasie, opdaterings en die bykomende kontroles wat op Cyber Essentials Plus van toepassing is.
Cyber Essentials is 'n Britse regeringsgesteunde sertifiseringskema wat deur IASME namens die Nasionale Kubersekuriteitsentrum geadministreer word. Die skema toets of jou brandmure, toestelle, rekeninge, wanware-verdediging en sagteware-opdaterings volgens 'n verdedigbare basislyn gekonfigureer is. Die kontrolelys hieronder gaan deur elke kontrole wat die meeste aansoekers in die gesig staar, sodat jy gapings kan regmaak voordat jy dit indien eerder as na 'n mislukte assessering. Vir die volledige skema-agtergrond, sien ons Kuber-noodsaaklikhede-sentrum; vir die kontrolebesonderhede agter elke lynitem, sien Vereistes vir Cyber Essentials.
Werk deur elke afdeling in volgorde. Merk die items af wat jy reeds nakom, lys die gapings as aksies met 'n eienaar en 'n sperdatum, en bespreek eers jou assessering sodra elke lyn óf volledig is óf 'n gedokumenteerde uitsondering het. Kliënte wat gebruik maak van ISMS.aanlyn lê elke item hieronder vas as 'n nagespoorde kontrole met gekoppelde bewyse, sodat dieselfde kontrolelys die jaarlikse hernuwingsiklus sowel as die eerste sertifisering.
Hoe bepaal jy die omvang van 'n Cyber Essentials-projek?
Voordat jy enige tegniese beheermaatreëls aanraak, moet jy weet wat binne die omvang is. Omvang is die belangrikste besluit in 'n Cyber Essentials-projek, en om dit later te verander kos tyd en geld.
- Besluit oor die omvang van die hele organisasie of 'n duidelik gedefinieerde substel (benoemde departement, sake-eenheid of omgewing).
- Lys elke terrein en tuiswerker-ligging waar werk binne die omvang plaasvind.
- Dokumenteer die netwerke wat toestelle binne die omvang verbind: korporatiewe LAN's, Wi-Fi, VPN's en enige sellulêre datagebruik.
- Inventariseer elke gebruikersrekening binne die omvang (werknemers, kontrakteurs, derde partye met toegang).
- Inventariseer elke toestel binne die omvang: skootrekenaars, rekenaars, bedieners, selfone, tablette, netwerktoestelle.
- Lys elke wolkdiens wat gebruik word om organisatoriese data te verwerk of te stoor (SaaS, PaaS, IaaS).
- Identifiseer enige bring-jou-eie-toestel (BYOD) reëlings en bevestig of daardie toestelle binne die omvang val.
- Bevestig 'n duidelike tegniese grens tussen omgewings binne en buite die bestek (aparte netwerk, gids of huurder) as jy 'n substel-omvang gebruik.
- Teken jou omvangbeskrywing skriftelik aan en laat dit goedkeur deur 'n eienaar met gesag oor die boedel binne die omvang.
As die omvang aanhou groei soos jy meer toestelle, meer wolk-apps of meer skadu-IT ontdek, is dit die ontdekking wat die skema ontwerp is om na vore te bring. Dit is beter om dit nou te vind as tydens die assessering.
Hoe konfigureer jy firewalls en routers?
Elke toestel wat aan die internet koppel, plus die netwerkgrens self, moet agter 'n korrek gekonfigureerde firewall (of ekwivalente netwerktoestel) sit.
- Elke internet-gerigte firewall en router se standaard administrateurwagwoord word verander na 'n sterk, unieke alternatief.
- Ongeverifieerde inkomende verbindings word standaard geblokkeer.
- Elke inkomende firewallreël wat 'n diens toelaat, het 'n gedokumenteerde sakegeval en 'n eienaar.
- Inkomende reëls wat nie meer nodig is nie, is verwyder.
- Gasheergebaseerde (sagteware) firewalls word geaktiveer op skootrekenaars en ander toestelle wat buite die korporatiewe netwerk gebruik word.
- Afstandsadministrateurtoegang tot firewalls vanaf die internet word óf gedeaktiveer óf beskerm deur multifaktor-verifikasie of 'n IP-toelaatlys, met 'n gedokumenteerde besigheidsbehoefte.
- Tuiswerkers gebruik óf internetdiensverskaffer-routers waarvan die standaard administrateurwagwoord verander is, óf maak staat op die korporatiewe skootrekenaar se eie gasheer-gebaseerde firewall.
Bewyse om in te samel: brandmuurverskaffer en -weergawe, skermkiekies of verklarings wat die verandering van die administrateurwagwoord bevestig, 'n lys van inkomende reëls met hul regverdiging, en bevestiging dat gasheer-brandmure oor die hele toestelgebied aangeskakel is.
Wat vereis veilige konfigurasie?
Veilige konfigurasie verwyder die swakpunte wat toestelle en sagteware standaard mee saambring: ongebruikte rekeninge, voorbeeldwagwoorde, demonstrasie-inhoud en oordrewe permissiewe deelname.
- Gebruikersrekeninge en sagteware wat jy nie nodig het nie, is verwyder of gedeaktiveer (bloatware, standaard administrateurrekeninge, dormante gebruikersrekeninge).
- Standaard- of raaibare wagwoorde op toestelle, rekeninge en dienste is verander.
- Outomatiese funksies wat kode vanaf verwyderbare media uitvoer, is gedeaktiveer.
- Gebruikers moet verifieer voordat hulle toegang tot enige organisatoriese data of dienste verkry.
- Multifaktor-verifikasie (MFA) word afgedwing op alle administratiewe rekeninge vir elke wolkdiens.
- MFA is geaktiveer vir standaardwolkgebruikers waar die platform dit ook al ondersteun.
- Wagwoordlengte is ten minste 12 karakters waar MFA nie in plek is nie, of 8 karakters met MFA, of 8 met versperring of uitsluiting.
- Slegs-SMS MFA is waar moontlik vervang (of aangevul) met verifikasie-apps of hardeware-tokens.
- Wi-Fi-gasnetwerke is geïsoleer van die korporatiewe LAN.
Dit is die beheerarea waar die meeste organisasies die grootste hoeveelheid onverwagte werk vind, so begin dit vroeg in jou projek. Pas die kontroles hier terug by jou Selfassessering van Cyber Essentials antwoorde voor indiening.
Hoe werk gebruikerstoegangsbeheer in die praktyk?
Gebruikerstoegangsbeheer beperk wie wat op jou stelsels kan doen en maak seker dat rekeninge verwyder word wanneer mense vertrek.
- 'n Gedokumenteerde proses vir die skep en goedkeuring van gebruikersrekeninge bestaan en word gevolg.
- Gebruikers verifieer met sterk, unieke geloofsbriewe voordat hulle toegang tot binne-omvang stelsels verkry.
- 'n Aansluiter/verhuizer/verlater-prosedure verwyder of deaktiveer rekeninge onmiddellik wanneer mense van rol verander of vertrek.
- Multifaktor-verifikasie word op wolkdienste afgedwing vir alle gebruikers waar die platform dit ondersteun, en onvoorwaardelik vir alle administratiewe rekeninge.
- Administratiewe rekeninge is apart van daaglikse gebruikersrekeninge; administrateurs blaai nie op die web of lees e-pos met hul bevoorregte rekening nie.
- Die lys van gebruikers met administratiewe voorregte is in die afgelope 12 maande hersien en enige ongeregverdigde regte is verwyder.
- Gedeelde rekeninge (waar hulle bestaan) is gedokumenteer, geregverdig, MFA-beskermd en het 'n eienaar.
Bewyse om in te samel: die prosedure vir aansluiter/verhuizer/verlater, 'n lys van administratiewe gebruikers met die sakeplan vir elkeen, skermkiekies van MFA-konfigurasie vanaf u hoofwolkplatforms, en 'n voorbeeld van onlangs gedeaktiveerde verlaterrekeninge.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Hoe moet wanware-beskerming opgestel word?
Elke toestel binne die omvang moet teen kwaadwillige kode beskerm word deur middel van anti-wanware sagteware, toepassingstoelaatlys of sandboxing.
- Een van die drie goedgekeurde meganismes (anti-wanware, toepassingstoelaatlys of sandboxing) is in plek op elke toestel binne die omvang.
- Anti-wanware definisies en enjins word outomaties opgedateer.
- Anti-wanware is gekonfigureer om lêers te skandeer met toegang en om webblaaie te skandeer.
- Verbindings met bekende kwaadwillige webwerwe word geblokkeer waar die anti-wanware-produk daardie funksie bied.
- Indien die lys van toepassings se toelaatbare toepassings gebruik word, bestaan daar 'n goedgekeurde lys wat verhoed dat enige ander toepassings loop.
- Indien sandboxing gebruik word (iOS, Android, sekere bestuurde Windows-weergawes), loop elke toepassing in sy eie sandbox.
- Mobiele toestelle installeer slegs programme vanaf die amptelike winkels (Apple App Store, Google Play) of 'n bestuurde ondernemingswinkel.
- Enige onbestuurde BYOD-toestelle is óf onder MDM gebring óf uit die bestek verwyder.
Die mees algemene gaping hier is 'n werknemer se persoonlike Mac wat vir werk-e-pos gebruik word, sonder registrasie en geen sigbaarheid vir IT nie. Registreer die toestel in bestuur of hou op om dit vir werk te gebruik.
Hoe werk die bestuur van sekuriteitsopdaterings?
Alle sagteware wat in die omvang val, moet ondersteun, gelisensieer en opgedateer word. Bedryfstelsels, blaaiers, inproppe, firmware en toepassings wat aan die einde van hul lewensduur is, sal die assessering heeltemal druip.
- Elke bedryfstelsel op toestelle binne die omvang is gelisensieer en ontvang steeds sekuriteitsopdaterings van die verskaffer.
- Elke toepassing op toestelle binne die omvang is gelisensieer en ontvang steeds sekuriteitsopdaterings van die verskaffer.
- Firmware op routers, firewalls, skakelaars en toegangspunte ontvang steeds verskafferopdaterings.
- Blaaier-inproppe en -uitbreidings is gelisensieer en op datum.
- Outomatiese opdaterings word geaktiveer waar die verskaffer dit ook al aanbied.
- Sekuriteitsopdaterings met hoë en kritieke ernstigheidsgraad word binne 14 dae na vrystelling geïnstalleer (die 14-dae-reël).
- Maandelikse bedieneronderhoudvensters is hersien om seker te maak dat hulle nie die 14-dae-opdateringsvenster oorskry nie.
- 'n Inventaris van sagteware- en firmware-weergawes bestaan, sodat jy met 'n oogopslag kan sien wat binne die omvang is en in watter toestand dit is.
Die misloop van die 14-dae-opdateringsvenster is die mees algemene rede waarom organisasies Cyber Essentials Plus misluk. Bou opdateringsopsporing in jou maandelikse voldoeningsiklus in.
Hoe pas wolkdienste by die kontrolelys in?
Wolkdienste wat organisatoriese data verwerk of stoor, is binne die bestek. Die gedeelde verantwoordelikheid vir elke beheermaatreël hang af van die diensmodel.
- Elke SaaS-toepassing (Microsoft 365, Google Workspace, Salesforce, Xero ens.) wat deur die organisasie gebruik word, word in jou bate-inventaris gelys.
- Elke PaaS-omgewing (App Service, App Runner, Heroku ens.) word gelys en die toepassingslaag word opgedateer.
- Elke IaaS-gasheer (EC2, Azure VM, Compute Engine) word behandel asof dit 'n plaaslike bediener is, met opdaterings, wanware en gasheer-firewalls in jou beheer.
- MFA word sonder uitsondering op elke wolkadministrateurrekening afgedwing.
- MFA is geaktiveer vir standaardgebruikers op wolkdienste waar die platform dit ondersteun.
- Huurder-sekuriteitsverstekke (Microsoft 365-sekuriteitsverstekke, Google Workspace-sekuriteitsinstellings, AWS-relings) is hersien en waar toepaslik verskerp.
- Wolkadministrateurrekeninge is apart van daaglikse gebruikersrekeninge.
- Skadu-IT (SaaS-toepassings waarvoor individue op 'n korporatiewe kaart of domein geregistreer is) is hersien en óf binne die bestek ingesluit óf buite werking gestel.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoe berei jy voor vir Cyber Essentials Plus?
Cyber Essentials Plus voeg 'n onafhanklike tegniese oudit by die selfassessering. Die assessor sal jou toestelle monster, kwesbaarheidskanderings uitvoer en toets dat die kontroles wat jy as werk bewys het, werklik werk. Die meeste mislukkings by Plus is voorspelbaar; gebruik hierdie kontrolelys om dit te vermy.
- Jou selfassesseringsantwoorde weerspieël die werklike toestand van die omgewing, nie 'n aspirasionele toekomstige toestand nie.
- 'n Verteenwoordigende steekproef van toestelle word vandag binne die 14-dae-venster opgedateer, nie drie maande gelede nie.
- Anti-wanware is aktief en rapporteer op elke gemonsterde toestel.
- MFA op wolkrekeninge is geverifieer deur aan te meld vanaf 'n nuwe blaaiersessie, nie deur 'n beleidsbladsy na te gaan nie.
- E-pos- en webfiltering is gekonfigureer om bekende kwaadwillige skakels en aanhangsels te blokkeer.
- USB- en verwyderbare mediahantering stem ooreen met u gedokumenteerde beleid op die voorbeeldtoestelle.
- Die ouditvensterdatums is ver genoeg uit bespreek dat u op enige gapingontleding voor die oudit kan reageer.
- Jy het iemand genomineer om die tegniese kontakpunt tydens die oudit te wees, met gereedheid vir administrateurtoegang.
- Jy het enige voorbeeldtoestelle gerugsteun voordat hulle getoets word, ingeval enigiets tydens die oudit verander word.
Sien die tegniese omvang in Cyber Essentials Plus-vereistes vir die presiese toetse wat assessors uitvoer, en ons Koste van Cyber Essentials bladsy vir die tipiese Plus-prysreeks.
Wat is die mees algemene gapings voor indiening?
Selfs aansoekers met volwasse sekuriteitsbedrywighede word deur dieselfde handjievol gapings vasgevang. Doen hierdie kort voor-indiening-ondersoek:
- 'n ISP-verskafde router by 'n tuiswerker se huis het steeds sy standaard administrateurwagwoord.
- 'n Langdienende werknemer het administratiewe regte uit vorige rolle opgebou.
- 'n Gedeelde finansiesposbus of sosiale media-aanmelding het geen MFA en geen gedokumenteerde eienaar nie.
- 'n Nie-ondersteunde weergawe van Windows of 'n ouer blaaier is steeds op ten minste een toestel binne die omvang.
- 'n Maandelikse bedieneronderhoudskedule het 'n kritieke opdatering verby die 14-dae-venster gegly.
- 'n BYOD-persoonlike foon lees korporatiewe e-pos buite enige MDM.
- ’n SaaS-toepassing wat kliëntdata bevat, is op ’n persoonlike kaart aangemeld en nooit geïnventariseer nie.
- 'n Gas-Wi-Fi-netwerk deel dieselfde uitsaaidomein as die korporatiewe LAN.
Volg elke bevinding as 'n aksie met 'n eienaar en 'n sperdatum. Sodra die lys duidelik is, is jy gereed om in te dien. As jy die werk vir die eerste keer skaal, is ons gids tot hoe lank neem Cyber Essentials stel realistiese verwagtinge.
Opsommingstabel vir die kontrolelys vir Siberiese noodsaaklikhede
| Artikel | Fokus | Tipiese bewyse |
|---|---|---|
| Omvangsbepaling | Besluit tussen die hele organisasie en die subgroep; inventariswebwerwe, gebruikers, toestelle, netwerke, wolkdienste en BYOD. | Skriftelike omvangsverklaring, bate-inventaris, beskrywing van subgroepgrense. |
| Firewalls en routers | Standaardwagwoorde verander; inkomende reëls gedokumenteer; gasheer-firewalls aan; afstandadministrateur beskerm. | Firewall-weergawe, wagwoordverandering-verifikasie, reëllys, gasheer-firewalldekking. |
| Veilige opset | Bloatware verwyder; verstekwagwoorde verander; MFA op wolkadministrateur; wagwoordlengte 12 of 8+MFA. | Boustandaard, MFA-afdwingingsbeleid, wagwoordbeleid, voorbeeldtoestelskermskote. |
| Gebruikerstoegangsbeheer | Aansluit-/verlaatproses; administrateurskeiding; jaarlikse administrateurhersiening; MFA vir alle wolkgebruikers. | JML-prosedure, administrateurgebruikerslys, MFA-konfigurasiebewyse, voorbeeld van vertrek-deaktivering. |
| Malware beskerming | Anti-wanware, laat lysinskrywing of sandboxing op elke toestel toe; mobiele toepassings van amptelike winkels. | Eindpuntdekkingsverslag, mobiele toepassingbronbeleid, MDM-inskrywingsrekord. |
| Bestuur van sekuriteitsopdaterings | Alle sagteware word ondersteun en gelisensieer; hoë/kritieke regstellings binne 14 dae; firmware gedek. | Sagteware-inventaris met verskafferondersteuningsstatus, opdateringsimplementeringsverslag, EOL-vervangingsplan. |
| Wolkdienste | SaaS, PaaS en IaaS geïnventariseer; MFA op admin; huurderverstekwaardes hersien; skadu-IT verwyder. | Wolkbateregister, MFA-bewyse, attestering van sekuriteitsstandaarde, skadu-IT-hersiening. |
| Plus-gereedheid | Verifikasie van lewendige toestand; status van voorbeeldtoestel-pleister; MFA geverifieer deur aanmelding; ouditlogistiek bespreek. | Gapingsanalise voor oudit, voorbeeldopdateringsverslag, MFA-verifikasielogboek, bevestiging van ouditbesprekings. |
As jy Cyber Essentials teen mekaar opweeg breër raamwerke, Ons Kuber-essensiële aspekte teenoor ISO 27001 gids verduidelik waar elkeen pas, en baie Britse organisasies wat volgens Cyber Essentials sertifiseer, vorder dan na ISO 27001 or SOC 2 soos kliënte se eise groei.
Waarom ISMS.online vir Siber-noodsaaklikhede kies?
- Voorafgekarteerde kontrolelys — Elke reël van hierdie kontrolelys bestaan reeds as 'n nagespoorde kontrole in ISMS.aanlyn, so jy assesseer teen die volle skema sonder om dit van nuuts af te herbou.
- Bewyse op een plek — Heg skermkiekies, konfigurasie-uitvoere en aansluiter-/verlaatrekords een keer aan elke kontrole, en hergebruik dit dan vir hernuwings, Plus-oudits en ander raamwerke.
- Omvang en bateregister — Leg gebruikers, toestelle, netwerke en wolkdienste binne die omvang vas in 'n gestruktureerde register sodat die omvanggrens gedokumenteer en ouditeerbaar is.
- Gaping-tot-aksie-opsporing — Elke gaping op die kontrolelys word 'n toegewyse aksie met 'n eienaar en 'n sperdatum, sodat niks tussen die identifisering daarvan en die regstelling daarvan glip nie.
- Hernuwing-gereed — Die platform hou jou bewyse op datum tussen jaarlikse siklusse, so die volgende sertifikaat is 'n verversing, nie 'n herbegin nie.
- Multi-raamwerk hefboomwerking — Bewyse van Cyber Essentials in ISMS.aanlyn voed ook ISO 27001, SOC 2 en 2 NIS werk, en daarom bly kliënte wat verder as Cyber Essentials vorder op die platform.
- Vertrou deur duisende organisasies - ISMS.aanlyn ondersteun maatskappye van elke grootte op hul voldoeningsreis, van eerstekeerse Cyber Essentials-aansoekers tot globale multi-sertifiseringsgroepe.
Vrae & Antwoorde
Is daar 'n amptelike kontrolelys vir Cyber Essentials?
IASME publiseer die amptelike selfassesseringsvraelys (SAQ), wat effektief die assessor se kontrolelys is. Die gereedheidskontrolelys op hierdie bladsy weerspieël dieselfde vyf kontrolegebiede en voeg die omvang-, wolk- en Plus-kontroles by wat die meeste aansoekers benodig voordat hulle die SAQ bereik. Deur eers daardeur te werk, word die SAQ 'n bevestigingsoefening eerder as 'n ontdekkingsoefening.
Hoe lank neem dit om deur die Cyber Essentials-kontrolelys te werk?
Vir 'n klein organisasie met volwasse IT neem dit 'n paar dae om die kontrolelys self deur te gaan en die bewysinsameling te voltooi. Die gapings wat dit na vore bring, is wat tyd neem: MFA-uitrol, inhaal van opdaterings en BYOD-besluite kan elk etlike weke neem. Die meeste aansoekers begroot vier tot twaalf weke vanaf die begin van die kontrolelys tot die indien van die SAQ.
Het ek 'n ander kontrolelys vir Cyber Essentials Plus nodig?
Die vyf beheerareas is identies, maar Plus voeg tegniese ouditkontroles by: kwesbaarheidskanderings, toetsing van voorbeeldtoestelle, MFA-verifikasie deur regstreekse aanmelding en e-pos-/webfiltertoetse. Die Plus-gereedheidsafdeling van hierdie kontrolelys dek die bykomende kontroles. Die vinnigste roete na Plus is om eers by Cyber Essentials te sertifiseer, enigiets wat na vore gekom het, reg te stel en dan Plus binne die 3-maande-venster daarna te bespreek.
Wat is die mees algemene rede waarom organisasies nie die kontrolelys haal nie?
Twee kwessies oorheers: sagteware aan die einde van sy lewensduur wat steeds op ten minste een toestel binne die bestek gebruik word, en gemiste kolle buite die 14-dae-venster. Beide is maklik om reg te stel sodra hulle na vore kom, maar albei kan ook 'n assessering in sy spore stop as dit tydens die oudit ontdek word eerder as tydens die gereedheidskontrolelys.
Is die kontrolelys van toepassing op tuiswerkers en BYOD?
Ja. Enige toestel wat gebruik word om toegang tot organisatoriese data of dienste te verkry, is binne die bestek, insluitend tuisskootrekenaars en persoonlike fone wat vir werk-e-pos gebruik word. Toestelle wat uitsluitlik vir stemoproepe, teksboodskappe of tweefaktor-verifikasie gebruik word, is buite die bestek. Korporatiewe skootrekenaars wat tuis gebruik word, moet hul eie gasheergebaseerde firewall geaktiveer hê en die tuisnetwerk as vyandig behandel.
Hoe ontwikkel die kontrolelys van jaar tot jaar?
IASME verfris die vraestel ongeveer jaarliks. Onlangse opdaterings het die verwagtinge vir multifaktor-verifikasie vir wolkdienste verstewig, SaaS-, PaaS- en IaaS-verantwoordelikhede verduidelik, wagwoordlose en biometriese verifikasie erken, en die 14-dae-opdateringsvenster eksplisiet na firmware uitgebrei. Die struktuur van die vyf beheerareas bly stabiel; die detail word strenger met elke opdatering.
