This paper examines the Cyber Essentials requirements for ensuring basic security controls, which need to be implemented to protect against the most common cyber threats. Cyber Essentials is a foundational cybersecurity certification scheme developed by the UK government, which has been in operation since 2014 and under which more than 100,000 organizations have been certified. Unlike the international standard ISO 27001:2022, which implements a comprehensive approach to building an information security management system, Cyber Essentials is a basic level of protection against cyber threats, which is built based on five core controls.
This work analyzes the use of Cyber Essentials controls such as firewalls, secure system configuration, patch management, user access control, and malware protection. Implementation of these controls can significantly reduce the risk of cyberattacks and maintain data confidentiality.
This paper compares the two levels of Cyber Essentials certification: Cyber Essentials, which is based on an organization’s self-assessment, and Cyber Essentials Plus, which includes a technical audit of the IT infrastructure to verify compliance with security requirements. Both certification levels require an independent assessment to ensure objectivity and impartiality in the certification process, as well as to increase confidence in the obtained certificate.
- National Cyber Security Centre. URL: https://www.ncsc.gov.uk/ (дата звернення: 31.01.2025).
- ISO/IEC 27001:2022 Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги URL: https://www.iso.org/standard/27001 (дата звернення: 31.01.2025).
- National Cyber Security Centre. 10 years of Cyber Essentials. URL: https://www.ncsc.gov.uk/files/10- years-of-Cyber-Essentials.pdf (дата звернення: 31.01.2025).
- IASME. URL: https://iasme.co.uk/ (дата звернення: 31.01.2025).
- National Cyber Security Centre. Cyber Essentials Readiness Tool Leaflet. URL: www.ncsc. gov.uk/files/ Cyber-Essentials-Readiness-Tool-Leaflet.pdf (дата звернення: 31.01.2025).
- National Cyber Security Centre. Cyber Essentials: Requirements for IT infrastructure. URL: https://www.ncsc.gov.uk/files/Cyber-Essentials-Requirements-for-Infrastructure-v3-1-April-2023.pdf (дата звер- нення: 31.01.2025).
- Khoma V., Abibulaiev A., Piskozub A., Kret T. Comprehensive Approach for Developing an Enterprise Cloud Infrastructure. CEUR Workshop Proceedings. 2024. Vol. 3654. Pp. 201–215.
- Sisodia J., Khan M. Understanding the Shared Responsibilities Model in Cloud Services. ISACA Journal. 2022. Vol. 3. URL: https://www.isaca.org/resources/isaca-journal/issues/2022/volume-3/understanding-the-shared- responsibilities-model-in-cloud-services (дата звернення: 31.01.2025).
- Козловська М., Піскозуб A. Розробка ефективних заходів веб-безпеки для мережі шляхом проведення тестування на проникнення з використанням фреймворку OWASP. Ukrainian Information Security Research Journal. 2024. Vol. 26. No. 1. С. 101–110. Doi: https://doi.org/10.18372/2410-7840.26.18833.
- Крет Т. Методика опису інформаційних активів організації при створенні системи менеджменту інформаційної безпеки. Комп’ютерні науки та інженерія : матеріали V Міжнародної конференції молодих вчених CSE-2011 (24–26 листопада 2011 р.) / Національний університет “Львівська політехніка”. Львів : Видавництво Львівської політехніки, 2011. C. 342–343.
- Гулак Н., Майстренко А. Автоматизація модуля інформаційних активів. Інформаційні технології та суспільство. Лип. 2024. 1 (12). 46-50. Doi: https://doi.org/10.32689/maup.it.2024.1.6.
- Badva P., Chowdhury P. D., Ramokapane K. M., Craggs B., Rashid A. Assessing Effectiveness of Cyber Essentials Technical Controls (ArXiv, abs/2406.15210). 2024. Doi: https://doi.org/10.48550/arXiv.2406.15210.