כיצד ISO 27001 A.5.21 מגן על פלטפורמות משחקים מפני סיכוני שרשרת אספקה של טכנולוגיות מידע ותקשורת (ICT)

מדוע שרשרת האספקה של טכנולוגיית המידע והתקשורת שלכם בתחום הגיימינג היא כעת חלק ממשטח ההתקפה שלכם?

שרשרת האספקה של טכנולוגיית המידע והתקשורת הגיימינג שלכם היא חלק ממשטח ההתקפה שלכם, משום ששחקנים חווים את הפסקות, הבאגים והפרצות של הספקים שלכם ככשלים שלכם. כל מנוע, ערכת פיתוח תוכנה, שירות ענן וספק תשלום שנוגעים בנתוני שחקנים, לוגיקת משחק או הכנסות מתנהגים ביעילות כחלק מהפלטפורמה שלכם, כך שחולשות בקישורים אלה הופכות במהרה לחולשות בשירות שלכם.

המשחקים שלכם תלויים כעת ברשת צפופה של מנועי הפעלה, שירותי ענן, ערכות פיתוח תוכנה (SDK) ומסילות תשלום, המשתרעות הרבה מעבר לקוד ולשרתים שלכם. ערימה מודרנית עשויה להישען על מנוע מסחרי, ערכות פיתוח תוכנה מרובות לניתוח נתונים ופרסומות, ספקי כניסה לרשתות חברתיות, מספר שערי תשלום, רשת אספקת תוכן, שירותי אנטי-צ'יט, כלי ניהול וצנרת בנייה או תיקונים שאינכם מפעילים. כל אחד מהם מטפל בנתוני שחקנים, היגיון משחק, סודות קריפטוגרפיים או זרימת הכנסות, ולכן כל אחד מהם מרחיב את משטח ההתקפה המעשי שלכם.

אם תהליך העדכון של שותף נפרץ, ערכת פיתוח תוכנה מציגה פגיעות או שינוי תצורה נדחף ללא אזהרה, אתם חשים בהשפעה כאילו התקרית התרחשה בסביבה שלכם. משמעות הדבר יכולה להיות השבתה במהלך אירוע חי, נתוני התקדמות פגומים, תחרות לא הוגנת או הפסד כספי ישיר. מנקודת מבטו של מבקר או רגולטור, אתם אחראים לניהול התלויות הללו כחלק ממערכת ניהול אבטחת המידע (ISMS) שלכם, ולא להתייחס אליהן כאל בעיה של מישהו אחר.

מידע זה הינו כללי ואינו מהווה ייעוץ משפטי או רגולטורי; עליך תמיד לאשר התחייבויות מדויקות עם אנשי מקצוע מוסמכים בתחומי השיפוט שבהם אתה פועל.

כיצד כשלים של צד שלישי פוגעים בפועל בפלטפורמות משחקים?

כשלים של צד שלישי פוגעים בפלטפורמות משחקים בכך שהם מפרים את החוויות וההבטחות שחשובות לשחקנים, לשותפים ולרגולטורים. הפסקות חשמל, דליפות נתונים או משחק לא הוגן הנגרם על ידי ספקים עדיין פוגעים במוניטין שלכם, גם אם הקוד והתשתית הפנימיים שלכם נשארים מאובטחים. כשלים אלה הופכים במהרה לבעיה שלכם בעיני הקהילה שלכם והשותפים המסחריים שלכם.

הפסקת פעילות גדולה בענן עלולה לשבש את תהליך קביעת ההתאמה או את ההתחברות לרשת למשך שעות במהלך אירוע מפתח. ערכת פיתוח תוכנה אנליטית שנפגעה עלולה לגנוב אישורים, מה שמוביל להשתלטות על חשבון, הונאה וסכסוכי חיובים חוזרים. שגיאה בשירות אנטי-צ'יט מרוחק עלולה לסמן שחקנים לגיטימיים ולהרוס את האמון בסולמות תחרותיים. בכל המקרים הללו, החוזים, הארכיטקטורה והניטור שלכם מחליטים האם הבעיה מוכלת וניתנת להסבר, או שמא היא הופכת למשבר בקנה מידה כולל שמסכן את ההסמכה ואת הביקורות הקרובות.

למה ISO 27001 מתעניין בזה ספציפית בגיימינג?

תקן ISO 27001 מטפל בסיכון שרשרת האספקה של טכנולוגיית המידע והתקשורת (ICT) במשחקים, משום שמשחקים מודרניים הם שירותים דיגיטליים שתמיד פועלים, שאמינותם והוגנותם תלויים במערכת אקולוגית ולא ביישום יחיד. פלטפורמות משחקים מטפלות בכמויות גדולות של נתונים אישיים, תשלומים, ובמקרים מסוימים, פעילויות הימורים מוסדרות, ולכן רגולטורים ופלטפורמות גדולות מתייחסים אליהן יותר ויותר כאל שירותים קריטיים.

ההנחיות לניהול אבטחת מידע מדגישות כי ארגונים חייבים להתייחס לספקי טכנולוגיה חיצוניים כחלק מנוף הסיכונים שלהם. עבור משחקים, משמעות הדבר היא שנספח A.5.21 מכסה באופן ישיר את תשתית הענן, מנועי פיתוח, ערכות פיתוח תוכנה (SDK), מערכות אנטי-צ'יט, זהות ותשלומים, כמו גם את הצינורות שבונים ומפיצים את הלקוחות והתוכן שלכם. אם אתם יכולים לדבר רק על השרתים שלכם ולא על השירותים המקיפים אותם, קומת האבטחה, רישום הסיכונים והצהרת הישימות (SoA) שלכם ייראו לא שלמים למבקרים.

הזמן הדגמה

מה בעצם דורש תקן ISO 27001:2022 נספח A.5.21 מספקי משחקים?

תקן ISO 27001:2022, נספח A.5.21, דורש ממך להגדיר ולהפעיל תהליכים חוזרים כדי לזהות ולנהל סיכוני אבטחת מידע הנובעים ממוצרים ושירותי טכנולוגיית מידע (ICT) שאתה תלוי בהם. בפועל, משמעות הדבר היא לדעת אילו ספקים חשובים, להבין כיצד הם יכולים להשפיע על המשחקים והשחקנים שלך, ולהיות מסוגל להראות החלטות הערכה וטיפול עקביות לאורך מחזור החיים שלהם.

מכיוון שהטקסט המלא של נספח א' מוגן בזכויות יוצרים, סיכומים פומביים מתארים את A.5.21 בכיוון הבא: עליך להגדיר וליישם תהליכים ונהלים לניהול סיכוני אבטחת מידע הקשורים לשרשרת האספקה של מוצרי ושירותי ICT. התקן אינו קובע כלים ספציפיים או אומר לך אילו ספקים לבחור; הוא מצפה שתהיה לך דרך מובנית להבין ולשלוט בסיכון שאותם ספקים מציגים, ולקשר מבנה זה בחזרה ל-ISMS ול-SoA שלך.

עבור ספקי טכנולוגיית משחקים, זה מתורגם לשאלות כגון: אילו צדדים שלישיים יכולים להשפיע על נתוני השחקנים או על שלמות המשחק; מהי אבטחה מינימלית שאתם מצפים מהם; כיצד אתם בודקים זאת לפני ואחרי חתימת חוזה; וכיצד אתם מגיבים אם משהו משתבש. נספח A.5.21 יושב לצד בקרות אחרות המתמקדות בספקים בנוגע להגדרת דרישות וניטור שירותי ספקים, ויוצר אשכול קטן בתוך בקרות הקשורות לספקים של נספח A, המסדיר את אופן העבודה שלכם עם טכנולוגיה חיצונית כחלק ממערך הבקרות הרחב יותר שלכם בנספח A.

כיצד A.5.21 משתלב בשאר מערכת ה-ISMS שלכם?

בתוך מערכת ניהול הסיכונים (ISMS) שלכם, A.5.21 הוא הבקרה המחברת את סיכוני הספקים למנגנון ניהול הסיכונים והממשל העיקרי שלכם. היא מקשרת את רשימת הספקים שלכם, בקרות חוזיות, ארכיטקטורה טכנית ותוכניות תגובה לאירועים בחזרה למערכת המרכזית התומכת בהסמכה ובסקירת הנהלה.

ביישום טיפוסי תעשו את הפעולות הבאות:

הפניה לסעיף A.5.21 ב-SoA שלך, וציין כיצד הוא מיושם ומוצדק.
רשמו סיכוני שרשרת האספקה של טכנולוגיית המידע והתקשורת במרשם הסיכונים המרכזי שלכם, במקום בגיליונות אלקטרוניים נפרדים.
הראו כיצד הערכות ספקים, סעיפי חוזה ודוחות ניטור משתלבים בסקירות הנהלה ובביקורות פנימיות.

בקרות אחרות בנספח א' מטפלות באמצעים מפורטים: בקרות יחסי ספקים קובעות ציפיות וסקירות; בקרות פיתוח מאובטח וניהול שינויים קובעות את אופן שילובם של מנועי פיתוח וערכות פיתוח פיתוח (SDK); בקרות רישום, ניטור וניהול אירועים מכסות זיהוי ותגובה. לאחר שהגדרתם את תהליך A.5.21 שלכם, הוא הופך לדלת הכניסה שדרכה סיכוני שרשרת אספקה של טכנולוגיית מידע ותקשורת (ICT) נכנסים למערך הבקרה הרחב יותר.

מה כוללת "שרשרת אספקה של טכנולוגיות מידע ותקשורת" בהקשר של משחקים?

בהקשר של משחקים, "שרשרת אספקה של טכנולוגיות מידע ותקשורת" (ICT) מכסה כל מוצר או שירות חיצוני שיכול לשנות באופן מהותי את הסודיות, השלמות, הזמינות או התאימות של המשחקים והפלטפורמה שלכם. זהו תחום רחב יותר ממיקור חוץ קלאסי וכולל במפורש תלות בתוכנה, בענן ובצינור הבנייה (Build-Pipeline) הנמצאים מאחורי מחזורי השחרור והפעילות החיה שלכם.

בדרך כלל זה כולל תשתית ענן ומסדי נתונים מנוהלים; מנועי משחקים וספריות ליבה; שירותי זהות וגישה; כלי נגד רמאויות, גילוי הונאות וסיכונים; ערכות SDK לניתוח, פרסום וייחוס; רשתות אספקת תוכן ומערכות תיקון; שירותי משרד אחורי המשפיעים על זכאויות או תשלומים; ושירותי תמיכה כגון פלטפורמות תמיכת לקוחות שיכולות לאפס חשבונות. רכיבי קוד פתוח וצנרת בנייה הם גם חלק מהתמונה, גם אם אינך משלם לספק עבורם ישירות, מכיוון שהם עדיין מעצבים את מידת האבטחה והצפיפות של ההפצות ועונות הספורט האלקטרוני שלך.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

כיצד אתם קובעים את שרשרת האספקה של טכנולוגיית המידע והתקשורת של הגיימינג שלכם עבור A.5.21 מבלי ללכת לאיבוד?

אתם בוחנים את שרשרת האספקה של טכנולוגיית המידע והתקשורת (ICT) בתחום הגיימינג שלכם בהתאם לתקן A.5.21 על ידי החלטה אילו ספקים ורכיבים מצדיקים ניהול סיכונים מובנה, ואילו מהם יכולים לעבור בבטחה בדיקות קלות יותר. דרך מעשית לשמור על שליטה היא לבנות מלאי מדורג המשקף את כמות הנזק שכל ספק עלול לגרום אם ייכשל או ייפגע, ולאחר מכן להתאים את תהליכי ISO 27001 שלכם לרמות אלו.

במקום לנסות לכסות כל חשבון ענן או כלי מינורי באופן שווה, אתם מתחילים בזיהוי אילו ספקים חיוניים להפעלת משחקים, הגנה על נכסי שחקנים ועמידה בציפיות רגולטוריות. אלה הופכים לרמה העליונה שלכם עבור A.5.21, והם צריכים להופיע באופן בולט במרשם הסיכונים שלכם ובנימוקי ה-SoA. כל השאר ניתן להעריך מול ספים ברורים כך שזמנו של הצוות שלכם יושקע במקום החשוב ביותר ועדיין תוכלו להסביר את החלטות ההיקף למבקרים ולשותפים העיקריים.

מהי דרך הגיונית לבנות את מלאי הספקים הזה?

דרך הגיונית לבנות את המלאי שלך היא להתחיל מהמערכות והחוויות שאכפת להם מהשחקנים והלקוחות, ולאחר מכן לעבוד אחורה אל הספקים הבסיסיים. זה לרוב יעיל יותר מאשר להתחיל מחשבונות או רשימות רכש בלבד, מכיוון שזה משקף כיצד הפסקות חשמל ותקריות נראות בפועל בפעילות חיה.

לדוגמה, ניתן לפרט שירותי משחק מרכזיים כגון כניסה, שידוכים, התקדמות, מלאי, תשלומים, צ'אט, לוחות הישגים ותמיכה. עבור כל שירות, זהו אילו גורמים חיצוניים תורמים טכנולוגיה או בקרה תפעולית, ולאחר מכן קבצו את הספקים לקטגוריות כגון אירוח ענן, מנועי פיתוח, ערכות פיתוח תוכנה (SDK), תשלומים, זהות, אנטי-צ'יט, אספקת תוכן ומשרד אחורי. לאחר שתראו אילו ספקים נמצאים על הנתיבים שבין שחקנים, נתונים וכסף, תוכלו להקצות ציוני קריטיות ורגישות לכל אחד מהם, ולבדוק שהספקים בעלי ההשפעה הגבוהה ביותר נמצאים בבירור בטווח A.5.21.

איך מחליטים מה באמת שייך לתחום A.5.21?

אתם מחליטים מה שייך לתחום על ידי שילוב של השפעה טכנית, השפעה עסקית וחשיפה רגולטורית לקריטריונים פשוטים שניתן ליישם באופן עקבי. מספר שאלות ממוקדות עוזרות לכם לשפוט האם ספק מצדיק טיפול מלא לפי A.5.21 או גישה קלה יותר.

בדיקות שימושיות כוללות:

האם ספק זה מעבד או משפיע על נתוני שחקנים אישיים, פיננסיים או נתונים מוסדרים בדרך אחרת?
האם כשל או פשרה עלולים למנוע משחקנים להתחבר, לשלם, להתקדם או להתחרות בצורה הוגנת?
האם רגולטורים, בעלי פלטפורמות או לקוחות ארגוניים מרכזיים מצפים במפורש שתנהלו את מערכת היחסים הזו?
האם החלפת ספק זה במהירות תהיה קשה ללא שיבושים תפעוליים או מסחריים?

אם התשובה היא "כן" לאחת מהאפשרויות הללו, הספק הוא מועמד חזק להיכלל בתהליכי A.5.21 ובמרשם הסיכונים שלכם. יחד עם זאת, יש להכיר בכך שייתכן שחלק מהכלים הפנימיים בעלי סיכון נמוך לא יצדיקו את מלוא משקלם של נהלי שרשרת האספקה שלכם. יישום ספי מהותיות ותיעוד החלטות היקף עוזרים לכם להישאר פרופורציונליים, להימנע משיתוק של אספקת המשחק ולהישאר מוכנים להסברים להסמכה או להערכות פלטפורמה.

החלטות ברורות בנוגע להיקף ורמות פשוטות הופכות את אבטחת שרשרת האספקה לתהליך שצוותים יכולים להפעיל בפועל.

אילו תהליכי ממשל ומחזור חיים אתם צריכים סביב ספקי טכנולוגיית מידע ותקשורת?

אתם זקוקים לתהליכי ניהול ומחזור חיים שהופכים את סיכוני הספקים משיחות אד-הוק לחלק חוזר וניתן לביקורת באופן שבו אתם בוחרים, מפעילים ומסתיימים בשירותי ICT. משמעות הדבר היא הגדרה של מי יכול לאשר אילו סוגי ספקים, על סמך אילו ראיות, וכיצד נרשמים החלטות וחריגים, כך שתוכלו להדגים שליטה במהלך ביקורות וסקירות פלטפורמה.

הממשל עבור A.5.21 אינו דורש ועדה חדשה לכל ספק, אך הוא דורש בהירות. ללא בהירות זו, מפתחים מוסיפים SDKs תחת לחץ זמן, רכש מנהל משא ומתן על חוזים על סמך עלות בלבד, ואבטחה רואה ספקים רק כאשר משהו כבר התקלקל. עבור ארגון משחקים עם מהדורות תכופות ואירועים חיים, זה צץ לעתים קרובות ברגעים הגרועים ביותר. A.5.21 דוחף אותך לעבר ניהול מחזור חיים מתואם שמתאים למקצבי האספקה הקיימים, ואחת הדרכים להשיג זאת היא להגדיר מחזור חיים פשוט ומשותף שכל ספק חשוב עובר דרכו.

כיצד נראה מחזור חיים של ספק המותאם לתקן A.5.21?

מחזור חיים המותאם ל-A.5.21 עובר בדרך כלל לפי חמישה שלבים שניתן לתאר, להקצות ולהוכיח. לכל שלב צריכים להיות פעילויות ברורות, בעלים ותפוקות שמתחברים חזרה למערכת ה-ISMS שלכם.

שלב 1 – בחירה

הגדירו דרישות אבטחה וחוסן ספציפיות לקטגוריה וסרקו ספקים מועמדים מולם לפני תחילת האינטגרציה הטכנית.

שלב 2 – קליטה

השלם הערכת סיכונים מובנית, הסכים לבקרות חוזיות, הקצאת בעלות פנימית ותעד תוצאות במערכת ה-ISMS ובמערכת ה-SoA שלך.

שלב 3 – הפעלה

ניטור ביצועים, אירועים ועמידה בהתחייבויות מוסכמות, ושמירה על רישומי ספקים מעודכנים ככל שתכונות ועונות משתנות.

שלב 4 – שינוי

יש להעריך מחדש את הסיכון כאשר הספק או השימוש שלכם בו משתנים באופן מהותי, כגון טיפול בנתונים חדשים או נפחי עסקאות גבוהים יותר.

שלב 5 – יציאה

תכננו החזרה או מחיקה של נתונים, מסירת מפתחות ומעבר תפעולי כדי למנוע חשיפה בלתי מבוקרת או השבתה עם סיום החוזים.

על ידי תכנון מחזור החיים של הארגון באופן זה, תוכלו להראות למבקרים, לפלטפורמות וללקוחות ארגוניים שסיכון הספק מנוהל כתהליך מתמשך, ולא כפעולה חד פעמית בחתימת החוזה.

איך מטמיעים את התהליכים האלה מבלי לשתק את אספקת המשחק?

אתם מטמיעים אותם על ידי יישור בדיקות עם נקודות החלטה שכבר קיימות: אישורי מימון, אישורים לפיצ'רים, עדכוני תוכן גדולים, עונות ספורט אלקטרוני וחידוש חוזים. המטרה היא להביא את שאלות A.5.21 לרגעים שבהם קבוצות כבר מאטות את הקצב כדי לקבל החלטות, במקום להכניס אישורים חדשים בכל מקום ולדחות מחזורי שחרור.

לדוגמה, אם שילוב חדש של פתרונות נגד רמאויות או תשלומים חיוני לתכונה מסוימת, ההחלטה להמשיך צריכה לכלול אישור שבוצעו בדיקות בסיסיות של ספקים וסעיפים מרכזיים הוסכמו. אם ספק קיים משודרג לטפל בסוגים חדשים של נתוני שחקנים או בנפחי עסקאות גבוהים יותר, שינוי זה אמור לעורר הערכה מחודשת קצרה של הסיכון, ובמידת הצורך, התאמות לניטור או לחוזים. ממשל הופך לשכבה דקה אך עקבית על זרימות עבודה קיימות, ולא לחוסם.

פלטפורמה כמו ISMS.online יכולה לסייע על ידי מתן סביבה אחת שבה רישומי ספקים, הערכות סיכונים תואמות A.5.21, אישורים ויומני ניטור חיים לצד בקרות ISO 27001 שלכם. זה מפחית את הפיתוי ליצור גיליונות אלקטרוניים נפרדים וקצרי מועד עבור כל קשר חדש ומקל על הדגמת משמעת מחזור חיים במהלך ביקורות.

לאחר שיהיו יסודות של ניהול ומחזור חיים, תוכלו לבחון באופן קונקרטי יותר את האיומים הספציפיים בשרשרת האספקה של טכנולוגיות מידע ותקשורת (ICT) החשובים ביותר למשחקים שלכם.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

אילו איומי שרשרת אספקה ב-ICT פוגעים בצורה הקשה ביותר במשחקים, וכיצד A.5.21 מסייע?

איומי שרשרת האספקה של טכנולוגיות המידע והתקשורת (ICT) שפוגעים בצורה הקשה ביותר במשחקים הם אלו שפוגעים בזמינות, בהגינות, בשלמות התשלומים או באמון השחקנים עקב חולשות שאינן בשליטתכם המלאה. עם תהליך A.5.21 מוגדר, תוכלו למקד את הממשל הזה בספקים ובתרחישים המציגים את הסיכונים הגדולים ביותר לשחקנים ולהכנסות שלכם.

דוגמאות נפוצות כוללות השתלטות על חשבונות באמצעות שותפים שנפגעו, תוכנות זדוניות המוטמעות בערכות פיתוח תוכנה (SDK), מניפולציה של לוחות הישגים או שידוכים באמצעות גישה לספקים, ואינטגרציות תשלום מזויפות או שגויות. כל אחת מהן מנצלת את הפער בין כמות האמון שאתם נותנים בספק לבין כמות הביטחון שיש לכם לגבי התנהגותו ואבטחתו. עבור ספק משחקים, זה מתבטא לעתים קרובות באירועים משבשים, תגובות קהילתיות רעילות ושיחות מביכות לגבי האם הבקרות שלכם באמת יעילות.

כיצד איומים אלה מתואמים לבקרות מעשיות?

ניתן למפות איומים לבקרות מעשיות על ידי שילוב כל תרחיש עם אמצעים מונעים, גילוי וחוזיים ספציפיים, ולאחר מכן רישום המיפוי הזה במערכת ה-ISMS שלכם. הטבלה שלהלן ממחישה גישה פשוטה עבור ארבעה סוגי איומים בולטים.

לפני הטבלה, ראוי לציין ש-A.5.21 אינו קובע מערכי בקרה מדויקים לכל תרחיש. במקום זאת, הוא מצפה מכם להראות שחשבתם לעומק כיצד ספקים עלולים להיות מנוצלים לרעה ובחרתם באמצעי בקרה סבירים כדי להפחית סיכונים אלה לרמה מקובלת בסביבתכם.

תרחיש איום	דוגמה להשפעה במשחקים	בקרות מפתח המותאמות ל-A.5.21
השתלטות על חשבון דרך שותפים	שחקנים מאבדים גישה וערך; זינוקים בהונאה ובתמיכה	דרישות מחמירות לספקי זהויות, ניטור סשנים משותפים, חובות ברורות לאירועים
תוכנות זדוניות בערכות SDK או במנועי פיתוח	לקוחות גונבים נתונים או מפעילים קוד מוסתר	בדיקת ספקים, בדיקות שלמות קוד, גישה לארגזי חול, נתיבי kill-switch מהירים
לוחות הישגים או שידוכים מזויפים	סצנות תחרותיות וכלכלות בתוך המשחק מאבדות אמינות	הפרדת תפקידים עבור שותפי עיבוד נתונים, ניהול נגד רמאויות, מסלולי ביקורת
זרימות תשלום מזויפות או פרוצות	נתוני כרטיס אשראי גנובים, הכנסות שהופצו בצורה שגויה, חיובים חוזרים	ספקי תשלום מוסמכים, דפוס אינטגרציה מאובטח, ניטור הונאות, אמצעי הגנה חוזיים

מערכי בקרה אלה מסתמכים לעתים קרובות על בקרות אחרות בנספח A עבור בקרת גישה, ניטור, פיתוח מאובטח וניהול אירועים, אך תהליך A.5.21 שלך מספק את מסגרת הממשל שאומרת: "חשבנו על תלות זו; הנה הסיבה שאנו בוטחים בה וכיצד אנו ממשיכים לעקוב אחריה." ניתן להפוך כל תרחיש לדפוס בקרה קצר וניתן לשימוש חוזר ב-ISMS שלך, המקשר תוצאות שחקנים גלויות חזרה למדדים ברורים וניתנים לביקורת.

האם ישנן פקדי ISO 27001 אחרים שתומכים ב-A.5.21 במשחקים?

כן. בעוד ש-A.5.21 מתמקד בניהול שרשרת אספקה של טכנולוגיות מידע ותקשורת (ICT), מספר בקרות אחרות בנספח A ממופות בדרך כלל לאותם סיכונים בסביבות משחקים ויש להתייחס אליהן ב-SoA ובנהלים הפנימיים שלכם.

בקרות יחסי ספקים דורשות ממך להגדיר ציפיות אבטחה ולסקור את ביצועי הספקים. בקרות פיתוח מאובטח, הקשחה טכנית וניהול תצורה עוזרות לך לשלב בבטחה מנועי פיתוח, ערכות פיתוח פיתוח (SDK) ושירותים. בקרות רישום וניטור תומכות בזיהוי התנהגות חריגה הקשורה לספקים. בקרות ניהול אירועים והמשכיות עסקית מבטיחות שתוכל להגיב ולהתאושש כאשר צד שלישי נכשל, כולל סביב אירועים מרכזיים ושיאים עונתיים.

יחד, בקרות אלו יוצרות רשת: A.5.21 מציין לדאוג לשרשרת האספקה של טכנולוגיות המידע והתקשורת כולה; בקרות אחרות בנספח A נותנות לכם את הכלים לעשות משהו בנוגע לחולשות ספציפיות. כאשר אתם מתעדים את הקשרים הללו בצורה ברורה, אתם מקלים על מבקרים, שותפי פלטפורמה ולקוחות ארגוניים לעקוב אחר האופן שבו סיכוני ספקים משתלבים במערכת ה-ISMS שלכם ומדוע הגישה שלכם מידתית.

כיצד ניתן לתכנן תהליך הערכת סיכונים מעשי לפי סעיף A.5.21 עבור ספקי משחקים?

ניתן לתכנן תהליך הערכת סיכונים מעשי לפי A.5.21 על ידי ביצוע רצף קצר וחזרתי: בניית מלאי, סיווג ספקים לפי קריטיות, זיהוי איומים רלוונטיים, ניקוד סיכונים, בחירת טיפולים ורישום תוצאות במערכת ה-ISMS שלכם. המפתח הוא לשמור על השיטה פשוטה מספיק כדי שצוותים ישתמשו בה, אך מובנית מספיק כדי שמבקרים ושותפים יוכלו לראות שאתם עקביים ושספקים מרכזיים באמת מטופלים בזהירות רבה יותר מאשר כלים מינוריים.

עבור ספקי משחקים, תהליך זה צריך להתמודד עם שינוי מהיר. ספקים, ערכות פיתוח תוכנה (SDK) ושירותים חדשים מופיעים כל הזמן; התהליך שלכם צריך להתמודד עם קצב זה מבלי להמציא את עצמו מחדש בכל פעם. סימן טוב הוא כאשר מפתחים או יצרנים יכולים לענות על שאלות הסיכון המרכזיות עם תמיכה מינימלית ממומחים, מכיוון שהקריטריונים והתבניות ברורים, וכאשר אתם יכולים לייצר קבוצה קטנה של הערכות מייצגות כראיות לביקורות ISO 27001 ולסקירות SoA.

כיצד נראית הערכת A.5.21 שלב אחר שלב?

ניתן לחלק הערכת A.5.21 שלב אחר שלב לקומץ שלבים ברורים התואמים את מחזור החיים של הספק ותיאבון הסיכון שלך.

שלב 1 – אישור היקף וקריטיות

יש ליישם את קריטריוני ההיקף שלך כדי להחליט האם הספק נמצא בהיקף A.5.21, ולאחר מכן לדרג את הקריטיות בהתבסס על השירותים והנתונים שהוא נוגע בהם.

שלב 2 – זיהוי איומים ודרכי כשל

רשום דרכים סבירות שעלולות להיפגע בסודיות, בשלמות, בזמינות או בתאימות, כגון הפסקות נתונים, דליפות נתונים, שימוש לרעה בזכויות, רמאות או הונאה.

שלב 3 – הערכת סיכונים ובקרות קיימות

דרגו את הסבירות וההשפעה באמצעות סולמות הסטנדרטיים של הארגון שלכם, ומפו את הבקרות הנוכחיות כגון אישורים, אמצעי הגנה טכניים וניטור פנימי.

שלב 4 - קביעת טיפולים ובעלים

במקרים בהם הסיכון השיורי גבוה מדי, יש להגדיר פעולות טיפול כגון דפוסי אינטגרציה חזקים יותר, תנאי חוזים מחמירים יותר, ניטור משופר או החלפת ספקים, ולאחר מכן להקצות בעלים ותאריכי בדיקה.

לאחר ששלבים אלה מתועדים ומקושרים לספקים ספציפיים, תוכלו להראות שהחלטות לגבי מנועי שיווק, פלטפורמות ענן או ספקי תשלום מבוססות על שיטה עקבית ולא על רשמים לא פורמליים.

איך שומרים על הערכות קלילות אך אמינות?

אתם שומרים על הערכות קלילות אך אמינות על ידי חלוקה לרמות של ספקים והתאמת עומק ההערכה בהתאם, תוך שימוש חוזר בתבניות ובסולמות כך שמצבים דומים יניבו תוצאות דומות. ספקים בסיכון גבוה עשויים להצדיק שאלונים מפורטים, סקירה של דוחות ביקורת עצמאיים ותוכניות בדיקה משותפות, בעוד שכלים בסיכון נמוך עשויים להזדקק רק לרשימת תיוג קצרה ואישור מהיר שהם אינם מטפלים במידע רגיש.

כדי להגן על אמינות, עליך:

השתמש בתבניות הערכה סטנדרטיות ובמודלים של ניקוד בין הצוותים.
יש לוודא שהממצאים משולבים ישירות בחוזים, משימות קליטה, תוכניות ניטור וספרי תכנון של אירועים.
סקור הערכות סיכון גבוה באופן קבוע, לא רק בחידוש חוזה.

פלטפורמה כמו ISMS.online יכולה לרכז את ההערכות הללו, לקשר אותן לבקרות ולספקים, ולגלות היכן שמועד הסקירות איחר. זה מקל על קיום התהליך לאורך זמן, גם כאשר צוותים נמצאים תחת לחץ ממחזורי שחרור, אירועים חיים או דרישות פלטפורמה חדשות.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

כיצד הופכים את A.5.21 לחוזים קונקרטיים, הסכמי רמת שירות ובקרות תפעוליות?

אתם הופכים את A.5.21 לחוזים קונקרטיים, רמות שירות ובקרות תפעוליות על ידי הטמעת הציפיות שלכם המבוססות על סיכונים במרקם המשפטי והטכני של כל מערכת יחסים. התקן מצפה מכם לא רק להבין את הסיכונים, אלא גם לפעול על פיהם בדרכים שהספקים יוכלו לראות, לקבל ולהימדד מולם, כך שתוכלו להציג ראיות ברורות לציפיות אלו במהלך ביקורות ISO 27001 ובדיקת נאותות של לקוחות.

זה בדרך כלל כרוך בפיתוח לוחות זמנים אבטחה סטנדרטיים עבור קטגוריות ספקים שונות, הגדרת לוחות זמנים לדיווח על אירועים, ציון זכויות ביקורת ודיווח ותיאור אמצעי הגנה טכניים מינימליים. זה כרוך גם בהסכמה על אופן הטיפול בנתונים, היכן הם ישמרו, כמה זמן הם יישמרו וכיצד הם יוחזרו או יימחקו עם סיום הקשר. הדוגמאות בסעיף זה הן להמחשה בלבד; עליך תמיד לפנות לייעוץ משפטי משלך בעת ניסוח או משא ומתן על נוסח חוזה ספציפי.

מה כדאי לחפש בחוזים של ספקי משחקים?

בחוזים עם ספקי משחקים, עליכם לחפש שפה ברורה בנוגע לאחריות אבטחה, המשכיות שירות, טיפול באירועים וניהול נתונים, המותאמים לרמת הסיכון של הספק. ככל שספק נוגע יותר בנתוני שחקנים, יתרת משחקים או הכנסות, כך הסעיפים שלכם צריכים להיות מפורשים ותובעניים יותר.

עבור ספקים קריטיים כגון מנועי אבטחה, שירותי אנטי-צ'יט, פלטפורמות ענן ושערי תשלום, ייתכן שתצפו להתחייבויות לשמירה על אישורי אבטחה מוכרים, להודיע לכם על אירועים רלוונטיים במסגרת זמן מוגדרת, להשתתף בחקירה משותפת במידת הצורך, ולתמוך בפעילויות אבטחה סבירה. ייתכן שתדרשו גם הגבלות על השימוש בקבלני משנה, כללים ברורים לגבי נתוני טלמטריה והתנהגות שחקנים, והוראות חזקות להחזרה או מחיקה של נתונים בסוף חוזה.

עבור ספקים בעלי סיכון נמוך, ייתכן שתסתמכו יותר על תנאים סטנדרטיים והוראות אבטחה אופייניות לתעשייה, בתנאי שהם עדיין תואמים את המדיניות שלכם ואת תיאבון הסיכון שלכם. הנקודה החשובה היא שמערכת החוזים שלכם משקפת את תוצאות הערכות הסיכונים שלכם לפי A.5.21, כך שתוכלו להראות קו ברור מזיהוי סיכונים ועד לשליטה חוזית.

כיצד מחויבויות אלו קשורות לראיות של תקן ISO 27001?

התחייבויות אלו מתחברות חזרה לראיות של ISO 27001 בכך שהן מספקות לכם ממצאים קונקרטיים להצגה למבקרים, לפלטפורמות וללקוחות ארגוניים. תהליך A.5.21 שלכם קל יותר להדגמה כאשר אתם יכולים להצביע על סעיפים ספציפיים, רמות שירות מוסכמות ורישומים של דוחות אירועים או סקירות אבטחה התואמים לספקים בסיכון גבוה במלאי שלכם.

ראיות מוכנות לביקורת כוללות לעתים קרובות:

תבניות חוזים סטנדרטיות ולוחות זמנים של אבטחה עבור קטגוריות ספקים מרכזיות.
קטעים מהסכמים חתומים עם ספקים קריטיים המציגים סעיפי אבטחה ודיווח על אירועים.
יומני שינויים המציגים מתי עודכנו או נבדקו מונחים רלוונטיים לאבטחה.
רישומי סקירות תקופתיות, דוחות שירות או תרגילי אירועים משותפים.

כאשר מסמכים אלה מקושרים להערכות הסיכונים ולמלאי הספקים שלכם, הם יוצרים נרטיב ברור: זיהיתם סיכון, קבעתם ציפיות, קיבלתם הבטחה והתאמתם לפי הצורך. פלטפורמה המתמקדת ב-ISMS כגון ISMS.online יכולה לעזור על ידי אחסון חפצים אלה לצד הבקרות והסיכונים הרלוונטיים, ועל ידי מתן לוחות מחוונים פשוטים למענה על שאלות כגון "אילו ספקים בסיכון גבוה חסרים סעיף הודעה על אירוע מוסכם" או "אילו ביקורות איחרו", מבלי שתצטרכו לחפש בתיקיות מפוזרות.

הזמן הדגמה עם ISMS.online עוד היום

ISMS.online עוזר לכם להפוך את תקן ISO 27001 A.5.21 מדרישה מדאיגה לדרך מעשית ויומיומית לניהול סיכוני שרשרת אספקה של טכנולוגיות מידע ותקשורת (ICT) ברחבי מערך המשחקים שלכם. על ידי שמירה על מלאי ספקים, הערכות סיכונים, חוזים, בקרות וניטור בסביבה אחת, תוכלו לקבל תמונה ברורה ומגובה בראיות על מנועי הפיתוח, ערכות הפיתוח הפיתוח (SDK), פלטפורמות הענן ושירותי התשלום המגדירים כעת את משטח התקיפה שלכם.

אם אתם מתכוננים להסמכת ISO 27001:2022, מרחיבים מערכת ISMS קיימת כדי לכסות מערכת אקולוגית הולכת וגדלה של ספקים, או עונים על שאלות קשות יותר מפלטפורמות ולקוחות ארגוניים, הדגמה קצרה יכולה להבהיר את הדרך הרבה יותר. תוכלו לראות כיצד חלוקה לרמות ספקים, הערכות, אישורים וספריות סעיפים פועלים בפועל, וכיצד הם מתחברים חזרה ל-SoA ולמרשם הסיכונים המרכזי שלכם מבלי לפגוע בלוחות הזמנים של השחרור או בפעילות פעילה.

מה תראו בהדגמה?

בהדגמה תוכלו לראות כיצד ניהול ספקים, הערכת סיכונים ובקרות נספח A מתאחדים במערכת ניהול מידע מערכתית (ISMS) אחת ומודע למשחקים. הדגש הוא על הצגת זרימות עבודה מעשיות ולא תכונות מופשטות, כך שתוכלו לדמיין כיצד הצוותים שלכם היו משתמשים בהן במהלך פרויקטים ואירועים אמיתיים.

מפגש טיפוסי יעבור על הגדרת רשימת ספקים, דירוג ספקים לפי השפעה, ביצוע הערכה תואמת A.5.21 וקישור תוצאות לחוזים, בקרות וביקורות. כמו כן, תראו כיצד נלכדים סקירות, רישומי אירועים ודוחות ניהול, כך שתוכלו לענות על שאלות של מבקרים, פלטפורמות ולקוחות ארגוניים מבלי לחפש בין כלים או גיליונות אלקטרוניים.

כיצד צריכים צוותים שונים להתכונן לפיילוט?

אתם מקבלים את הערך הרב ביותר מפיילוט כאשר כל דמות מפתח מביאה בעיה אמיתית אחת שהיא רוצה לפתור, ולא רק רשימת משאלות תיאורטית. זה יכול להיות פרויקט ISO 27001 חסום, גיליון אלקטרוני של ספק שביר או גל של שאלונים לפלטפורמה חדשה שאתם צריכים לענות עליהם בביטחון.

מאמצים מהירים המתמקדים בהשגת תקן ISO 27001 בפעם הראשונה יכולים להתכונן על ידי רישום קומץ ספקים קריטיים והעסקאות או קשרי הפלטפורמה התלויים בהסמכה. צוותים המחזקים מערכת ניהול מידע (ISMS) קיימת יכולים להביא רישומי סיכונים עדכניים, רשומות SoA ותבניות חוזים, ולאחר מכן לבדוק עד כמה אלה משתלבים למודל מאוחד ומודע לשרשרת האספקה. בשני המקרים, התחלה עם קבוצה קטנה ומייצגת של ספקי ענן, תשלומים וספקי אנטי-רמאות עוזרת לכם להוכיח את הגישה במהירות וליצור חפצים שתוכלו לעשות בהם שימוש חוזר בביקורות עתידיות, שאלוני אבטחה וסקירות פלטפורמה.

לאחר מכן תוכלו להרחיב את תהליכי התכנון לחלקים אחרים של מערך המשחקים שלכם, בביטחון שהגישה שלכם לאבטחת שרשרת האספקה של טכנולוגיית המידע והתקשורת (ICT) היא מידתית, ניתנת להסבר ותואמת את ISO 27001 A.5.21 ואת בקרות הנספח A הרלוונטיות. כאשר אתם מוכנים להתרחק מגיליונות אלקטרוניים שבירים ותהליכים אד-הוק, הזמנת הדגמה עם ISMS.online היא צעד פשוט וקל לקראת מודל אבטחת שרשרת אספקה שצוותי האספקה, ההנהלה והמבקרים שלכם יוכלו לחיות איתו.

הזמן הדגמה

שאלות נפוצות

כיצד תקן ISO 27001 A.5.21 משנה בפועל את ההחלטות היומיומיות של ספק משחקים?

תקן ISO 27001 A.5.21 משנה את ההחלטות היומיומיות שלכם בכך שהוא מאלץ אתכם להתייחס לספקי ICT קריטיים כחלק מסביבת המשחק החיה שלכם, ולא כקופסאות שחורות חיצוניות. מנועי פיתוח, ערכות פיתוח תוכנה (SDK), ענן, תשלומים, מערכות אנטי-צ'יט, רשתות CDN, זהות, ניתוח וצנרת בנייה - כולם עוברים מ"בחירות רכש" ל"נכסים רלוונטיים לאבטחה" בתוך מערכות ה-ISMS שלכם.

במונחים מעשיים, זה אומר שאתם מפסיקים לאשר ספקים אך ורק על סמך תכונות ומחיר, ומתחילים לשאול שלוש שאלות ממושמעות בכל פעם:

מהי ההשפעה האמיתית של ספק ה-IT הזה על השחקנים וההכנסות?

אתה מעריך האם השירות יכול:

מניעת התחברות או הישארות מחוברים של שחקנים.
להשחית או לאבד התקדמות או פריטים.
לעוות את היושרה התחרותית או את ההגנות מפני הונאה.
פלטפורמת הפסקה, הימורים או התחייבויות פרטיות.
חסימה, עיכוב או ניתוב שגוי של תשלומים והחזרים.

אם אחד מהבאים חל, הספק נמצא במסגרת A.5.21 וחייב להיות גלוי ב-ISMS שלכם, במרשם הסיכונים ובהצהרת הישימות.

כיצד מוכיחים שסיכוני טכנולוגיית מידע ותקשורת מנוהלים באופן פעיל?

אתם עוברים משאלונים אד-הוק ומעקבי דוא"ל לדפוס חוזר:

רקורד ספקים ברור עם חלוקה לרמות ובעלות.
הערכת סיכונים קצרה ומובנית המקושרת למרשם הסיכונים המרכזי שלך.
בקרות ממופות בנספח A (כולל A.5.21, אך גם A.5.19, A.5.23, A.8.8 ו-A.8.20–A.8.22 במידת הצורך).
החלטות טיפול, פעולות ומועדי סקירה שמתרחשים בפועל.

כאשר אזור ענן נכשל או עדכון SDK מתנהג בצורה לא תקינה, ניתן להראות בדיוק מה הנחתם, כיצד פתרתם את הבעיה וכיצד אתם משתפרים, במקום לשחזר החלטות מיומני צ'אט.

כיצד זה בא לידי ביטוי במערכת משולבת של ISMS או נספח L?

במערכת ניהול משולבת המתאימה לנספח L, A.5.21 מהווה בסיס לתהליך משותף של ניהול ספקים לצורך אבטחה, פרטיות, המשכיות ובקרוב, ניהול בינה מלאכותית. במקום ארבע רשימות ספקים נפרדות וזרימות עבודה של סיכונים, מפעילים תהליך עבודה אחד המעוגן ב-A.5.21, המזין התחייבויות בסגנון ISO 27001, ISO 27701, ISO 22301 ו-NIS 2 / DORA.

ISMS.online הופך זאת למוחשי על ידי אחסון רישומי ספקים, הערכות סיכונים, מיפויי בקרה וקישורי אירועים במקום אחד. זה מאפשר למבקרים, נותני רישיונות ושותפי פלטפורמה לראות שסיכון שרשרת האספקה של טכנולוגיית המידע והתקשורת הוא חלק מהאופן שבו אתם מנהלים את העסק משבוע לשבוע, ולא משהו שאתם חושבים עליו רק כשמגיע זמן חידוש האישור.

אם אתם רוצים לבדוק את שפיותכם, בחרו מנוע אחד או ספק אנטי-צ'יטים ובדקו אם אתם יכולים לעקוב אחר קו ישר מהשפעה עסקית → הערכת סיכונים → בקרות → חוזה → סקירת הערות; אם לא, יש לכם נקודת התחלה ברורה להידוק A.5.21.

כיצד סטודיו למשחקים צריך להחליט אילו ספקי ICT באמת נמצאים תחת תחום A.5.21?

אתם קובעים את היקף A.5.21 על ידי התחלה במסעות שמעניינים את השחקנים ועבודה אחורה לספקים שיכולים לעשות או להרוס את הרגעים האלה. השאלה אינה "מי שולח לנו חשבונית?" אלא "מי יכול לפגוע באופן מהותי באמון אם הוא נכשל או מתנהג בצורה לא נכונה?"

איך ממפים ספקים ממסעות השחקנים?

לעבור דרך כמה זרימות בטון:

יצירת חשבון, כניסה והרשאות.
שידוכים וניהול מפגשים.
התקדמות ומלאי.
משחק תחרותי ומדורג.
תשלומים, החזרים כספיים וחיובים חוזרים.
אירועים חיים וכלכלות בתוך המשחק.
תמיכת לקוחות ודיווחי בטיחות.

עבור כל זרימה, רשום כל מוצר או שירות חיצוני אשר:

שולט או מאחסן את מצב המשחק או את התקדמותו.
מעבד או מנתב כסף או פריטים וירטואליים יקרי ערך.
מקבל החלטות אכיפה (נגד רמאות, הונאה, מתינות).
מטפל בנתונים מוסדרים (כרטיסי תשלום, נתונים אישיים, קטינים).
גישה דרך שערי גישה (זהות, רישוי, תאימות פלטפורמה).

אלה שלך ספקים מועמדים A.5.21כלים שנמצאים לחלוטין מחוץ לנתיבים הקריטיים (לדוגמה, תוסף שיווק בעל סיכון נמוך) ניתנים לטיפול לעיתים קרובות בבדיקות קלות יותר.

כיצד מודל פשוט בן שלוש רמות יכול לשמור על שליטה בהיקף?

רוב האולפנים משיגים תוצאות טובות ממודל תלת-שכבתי רזה:

כיצד יכולות רמות ספקים Tier 1-3 לעבוד במערכת ISMS לגיימינג?

מודל תלת-שכבתי ברור עוזר לך להראות פרופורציונליות מבלי להשקיע את אותו מאמץ בכל מנוי SaaS.

רמה 1 - ספקי טכנולוגיית מידע ותקשורת (ICT) קריטיים לשחקנים ולהכנסות:

כל דבר שיכול לעצור את השירות, לפגוע במצב, לעוות את ההגינות, לדלוף נתונים מוסדרים או לשבור את התחייבויות הפלטפורמה / הימורים / הפרטיות, שייך לכאן.

דרגה 2 - ספקים חשובים אך לא קריטיים:

שירותים התומכים בתפעול, ניתוח או תקשורת, אך אינם שולטים ישירות במצב המשחק או בנתונים מוסדרים.

דרגה 3 - תשתיות בעלות השפעה נמוכה:

כלים שיכולים להיכשל ללא השפעה ניכרת על השחקנים ועם חשיפה חוזית או רגולטורית מינימלית.

לאחר מכן, אתם מיישמים את מלוא תקן A.5.21 על שכבה 1 (הערכות סיכונים פורמליות, חוזים חזקים יותר, ניטור הדוק יותר), בדיקות קלות יותר אך עדיין מובנות על שכבה 2, ובקרות קליטה בסיסיות עבור שכבה 3. ב-ISMS.online תוכלו לשקף זאת באמצעות שדות עבור שכבה, בעלים, סיכונים מקושרים ותאריכי סקירה אחרונים, כך שכאשר מישהו שואל "מדוע ספק זה מטופל אחרת?", תוכלו להראות שזו הייתה החלטה מכוונת ומתועדת ולא ניחוש שנעשה תחת לחץ זמן.

כיצד נוכל להעריך ספקי ענן, תשלומים ו-SDK מבלי ליצור נטל אדמיניסטרטיבי?

אתם שומרים על ניהול הערכת שרשרת האספקה של טכנולוגיית המידע והתקשורת על ידי סטנדרטיזציה של תהליך עבודה אחד ושימוש חוזר בו בענן, תשלומים וערכות פיתוח תוכנה (SDK), במקום להמציא גיליון אלקטרוני חדש בכל פעם. המטרה היא עומק עקבי, חיכוך מינימלי.

איך נראית תבנית הערכה יחידה?

דפוס מעשי עבור כל ספק ICT הוא:

אשרו שהם נמצאים בהיקף A.5.21 והקצאו רמה.
רשמו 3-7 מצבי כשל ריאליים שחשובים לשחקנים, לרגולטורים או להכנסות.
תעדו מה אתם והספק כבר עושים בנוגע לתרחישים אלה.
החליטו על טיפולים נוספים (טכניים, חוזיים, ניטור) עם הבעלים והתאריכים.
קשרו הכל למרשם הסיכונים של ISMS שלכם ולבקרות הרלוונטיות של נספח א'.

לאחר מכן, תתאימו את השאלות והדוגמאות לפי קטגוריה:

ענן: אזורים ואזורי זמינות, קנה מידה וקיבולת, גיבויים ושחזורים, אחסון נתונים, בידוד דיירים, דיווח על אירועים.
תשלומים: הונאה וחיובים חוזרים, יישור PCI DSS, תזמון יישוב סכסוכים, טיפול בסכסוכים, כללים ספציפיים לפלטפורמה (למשל חנויות אפליקציות, הימורים).
ערכות SDK: שלמות קוד, נתונים שנאספו, הרשאות, מנגנוני עדכון, אפשרויות החזרה למצב קודם, מתגי כיבוי אש, השפעת תצורה שגויה.

השיטה נשארת זהה; רק הפרטים משתנים.

מה נחשב כתיעוד "בדיוק מספיק" עבור ספקים בעלי השפעה גבוהה?

עבור ספקים ברמה 1, תיעוד "מספיק בדיוק" הוא קצר אך ניתן לעקוב אחריו:

הערכת סיכונים מתוארכת המסכמת מדוע הספק קריטי ואילו תרחישים חשובים.
קישורים לערכי הסיכון המתאימים של ISMS ולבקרות בנספח א' (A.5.21 ועוד אחרים הרלוונטיים).
רישום של פעילויות אבטחת איכות: תעודות, דוחות בדיקה, שאלונים מובנים אם אתם משתמשים בהם.
החלטה טיפולית ופעולות ברורות, עם בעלי המטופלים ותאריכי סקירה.

ISMS.online מאפשר לך לארוז את האלמנטים הללו לתצוגה אחת לכל ספק, כך שכאשר יש תקרית, ביקורת חיצונית או שאלון פלטפורמה, אתה מעדכן רשומה חיה במקום לבנות מחדש את הלוגיקה שלך מאפס. אם הגישה הנוכחית שלך אינה יכולה לייצר סיכום של עמוד אחד לכל ספק Tier 1 לפי דרישה, זהו סימן חזק לכך שעבודת A.5.21 מתרחשת במקטעים ולא כתהליך מנוהל.

אילו כשלים במנועים, ערכות פיתוח תוכנה (SDK) ומערכות נגד צ'יטים צריכים הבקרות שלנו לצפות תחילה?

הכשלים החשובים הם אלה שהשחקנים חשים והרגולטורים אכפת להם מהם: אימונים שלא ניתנים למשחק, תוצאות לא הוגנות, ערך חסר או נתונים שטופלו בצורה שגויה. גורמים טכניים בסיסיים חשובים באופן פנימי, אך בקרות עבור A.5.21 קלות יותר לתכנון אם מתחילים מאותן השפעות גלויות.

מהם תרחישי כשל מציאותיים עבור ספקי טכנולוגיית מידע ותקשורת לגיימינג?

חשבו בקטגוריות שהשחקנים והשותפים היו מזהים:

מנועים וערכות פיתוח תוכנה (SDK):
עדכון שמציג פגם אבטחה או לולאת קריסה שקטה.
שינוי בהתנהלות איסוף נתונים שחורג מהודעת הפרטיות שפרסמת.
נתיב עדכון פגום שהופך את החזרה למצב קודם או תיקונים חמים לאיטיים או לא בטוחים.

נגד רמאות והונאה:
חוקים שאוסרים פתאום גל של שחקנים לגיטימיים.
גילוי נקודות עיוורות המאפשרות לרמאות או הונאה מתואמות לשגשג מבלי משים.
פערים בטלמטריה שהופכים את החקירות לאיטיות או לא חד משמעיות.

בניית צינורות וכלים:
תשתית בנייה פרוצה המאפשרת שינויים בנכסים או בקוד בבניינים חיים.
שגיאות חתימה או פריסה שגויות שמפריעות לעדכונים בפלטפורמה או באזור.

רישוי, זהות וזכאות:
הפסקות אימות או הרשאות המונעות משחקנים להפעיל או להצטרף לסשנים.
ביטול או הגדרות אזור שהוחלו באופן שגוי שנראות כמו נעילות ממוקדות.

כל תרחיש נותן לך עוגן לבקרות עיצוב המשלבות ממשל והנדסה.

כיצד הופכים את התרחישים הללו לבקרות שמשכנעות מבקרים ושותפי פלטפורמה?

עבור כל משפחת תרחישים, בצעו זוג:

ממשל: קריטריונים לבחירת ספקים, ציפיות מינימום לאבטחת פיתוח ובדיקה, סעיפי הזכות למידע, דרישות הודעה על אירועים, קצב סקירה.
טֶכנִי: אינטגרציות בארגז חול וגישה עם הרשאות מוגבלות, חתימת קוד ובדיקות שלמות, מנגנוני פריסה והחזרה למצב קודם מבוקרים, טלמטריה מכווננת לסיכונים הספציפיים, שערי אבטחה ב-CI/CD שלך.

לאחר מכן אתם ממפים את הבקרות הללו לתוך מערכת ה-ISMS שלכם, ומקשרים אותן ל-A.5.21 ולבקרות רלוונטיות אחרות בנספח A. ב-ISMS.online, תוכלו לחבר כל ספק בעל השפעה גבוהה למצבי כשל קונקרטיים, אמצעי הפחתה ואירועים, מה שמקל הרבה יותר על הנחיית מבקר, מעניק רישיון או שותף פלטפורמה דרך "כך חשבנו על המנוע או ספק האנטי-רמאות הזה, וכך אנחנו עושים כשהוא מתנהג בצורה לא נכונה". הכנה זו משתלמת כאשר משהו משתבש; הצוותים שלכם פועלים לפי ספר משחקים מוסכם מראש במקום לדון ביסודות בשלוש לפנות בוקר.

כיצד חוזים והסכמי רמת שירות מדגימים כי סיכוני שרשרת האספקה של טכנולוגיית המידע והתקשורת נשלטים, ולא רק צופים בהם?

חוזים, הצהרות עבודה והסכמי רמת שירות הם המקומות שבהם תפיסת הסיכון שלך לפי A.5.21 הופכת להתחייבויות ניתנות לאכיפה. הם הופכים את המילה "אנחנו מודאגים לגבי זה" ל"הספק שלנו הסכים לעזור לנו לנהל את זה".

מה צריכים בדרך כלל לכלול חוזים עם ספקי ICT Tier 1?

עבור שירותים הנמצאים בנתיבים קריטיים - תשתית חיה, תשלומים, מנועי גישה, אנטי-רמאות, זהות - בדרך כלל מצפים לראות:

ציפיות ברורות לגבי אבטחה ופרטיות, התואמות את המדיניות והמסגרות שלכם.
יעדי זמן פעילות, RTO/RPO ותמיכה מוגדרים המשקפים את קריטיות השירות במאגר הסיכונים שלך.
מסגרות זמן להודעה על אירועים, נתיבי הסלמה וציפיות לשיתוף מידע.
כללי טיפול בנתונים, מעבדי משנה והעברה חוצת גבולות המכבדים את כל תחומי השיפוט הרלוונטיים.
זכויות פרופורציונליות למידע אבטחת מידע (אישורים, סיכומי בדיקות, דוחות ביקורת עצמאיים).
סעיפים ספציפיים לשירותים הקשורים להוגנות (למשל, טלמטריה נגד רמאויות, סיוע בחקירה, זכויות פיטורים במקרה של פגיעה בשלמות).

ספקים בעלי השפעה נמוכה יותר עדיין צריכים להימנע מפגיעה במצב האבטחה שלכם, אך השפה יכולה להיות קלה יותר והבקרות שלכם יכולות להתמקד יותר בקליטה ובמעקב בסיסי.

כיצד ניתן לבדוק במהירות האם העמדה החוזית שלך תואמת את עמדת הסיכון שלך?

דפוס סקירה פנימי פשוט הוא:

בחרו כמה ספקים ברמה 1: מה-ISMS שלך.
השוו את רישום הסיכונים שלכם לחוזים שלהם: האם סעיפי האבטחה, הזמינות והתגובה תואמים את מידת ה"קריטיות" שאתה אומר שהם?
בדיקת פרטיות וחובות פלטפורמה: האם תנאי טיפול הנתונים ותנאי עיבוד המשנה שלהם תואמים את התחייבויותיכם לשחקנים, פלטפורמות ורגולטורים?
צפו בביקורות ובחידושים: האם ביצועים ואירועים נדונים במפורש, והאם דיונים אלה גלויים במערכת ה-ISMS שלכם?

אם התשובות אינן ברורות, מצאתם פער בין הסיכון לחוזה. ISMS.online עוזר לכם לסגור את הפער הזה על ידי קישור רישומי ספקים, סיכונים, הערכות, ביקורות ומסמכים, כך שתוכלו להציג שרשרת נקייה מ"זיהינו את הסיכון הזה" ועד "שינינו את האופן שבו אנו קונים ומפעילים את השירות" ו"אנו בודקים אם הוא עדיין מקובל". שרשרת זו היא מה שסוקרים חיצוניים מחפשים כשהם מחליטים האם A.5.21 באמת מוטמע או רק מתואר בהצהרות מדיניות.

כיצד פלטפורמת ISMS יכולה להפוך את A.5.21 לניתנת לשימוש עבור צוותי הנדסה, אבטחה ותפעול חי?

פלטפורמת ISMS הופכת את A.5.21 לניתן לביצוע על ידי הפיכת סיכון שרשרת האספקה למערכת משותפת של שגרות שמתאימות לאופן שבו הצוותים שלכם כבר בונים ומנהלים משחקים. במקום "תהליך תאימות" נפרד, מקבלים מערכת של מעקות בטיחות המופיעים בנקודות שבהן מתקבלות החלטות.

איך זה נראה עבור קבוצות שונות באימונים?

מפיקים ומנהלי מוצר: יכול לראות אם ספק כבר קיים במלאי ולאיזו רמה הוא שייך לפני מתחייב לתלות חדשה.
מהנדסים ופעילי שטח: יכולים לעקוב אחר רשימת תיוג מוכרת להערכות A.5.21 במקום לנחש מהם "צרכי האבטחה" מהם.
צוותי אבטחה וסיכונים: יכולים לשמור על זרימת עבודה אחת של סיכוני ספקים ברחבי הענן, התשלומים, ערכות ה-SDK וכלי התפעול, עם טריגרים ברורים לבדיקת נאותות מעמיקה יותר.
משפט ורכש: יש להם גישה לדפוסי סעיפים ולהחלטות קודמות, כך שהם לא צריכים לנהל משא ומתן מחדש מאפס בכל פעם.
מַנהִיגוּת: יכול לראות אילו ספקים תומכים בשירותים או אזורים מרכזיים, אילו ספקים פתוחים כעת, וכיצד בעיות עם ספקים תרמו לתקריות או כמעט-התקלות.

כאשר מגיעים ביקורת חיצונית, סקירת פלטפורמה או אירוע משמעותי, אותם רשומות מניבות חבילות ראיות ממוקדות ושיפורים לאחר האירוע במקום ארכיאולוגיה גוזלת זמן.

כיצד ISMS.online עוזר לך להטמיע את A.5.21 במערכת משולבת בסגנון נספח L?

מכיוון ש-ISMS.online בנוי סביב עקרונות נספח L, ניתן לעשות שימוש חוזר בממשל ספקים בתחומים הבאים:

אבטחה: ISO 27001 ומסגרות קשורות.
פרטיות: ISO 27701, GDPR וחוקים אזוריים אחרים.
הֶמשֵׁכִיוּת: ISO 22301 וחובות חוסן (כולל מושגי NIS 2 ו-DORA במידת הצורך).
ניהול בינה מלאכותית מתפתח: ככל ששירותים ומודלים מונעי בינה מלאכותית הופכים לרגולטוריים.

רישומי ספקים, הערכות סיכונים, בקרות, אירועים, חוזים והערות סקירה נמצאים במקום אחד, מקושרים לפנקס הסיכונים המרכזי שלכם ולהצהרת תחולת הפרויקט. משמעות הדבר היא שאתם חושבים על התהליך פעם אחת ומיישמים אותו פעמים רבות, במקום להפעיל תהליכים נפרדים ולא עקביים בכל תחום.

עבור הארגון שלכם, התוצאה היא שסיכון שרשרת האספקה של טכנולוגיית המידע והתקשורת הופך לחלק מהאופן שבו אתם מתכננים, שולחים ומפעילים משחקים בכל שבוע. אם אתם רוצים לבדוק האם זה נכון כיום, שאלו שאלה פשוטה: "האם כל מהנדס בכיר או מפיק יכול להסביר אילו ספקים הם Tier 1 וכיצד הם נבדקים?" אם התשובה היא לא, שילוב מלא של A.5.21 בפלטפורמת ISMS כמו ISMS.online הוא אחת הדרכים המהירות ביותר להתאים את מה שעושים הצוותים למה שהאישורים שלכם טוענים.

ISO 27001 A.5.21 – אבטחת שרשרת אספקה ​​של טכנולוגיית מידע ותקשורת (ICT) עבור ספקי טכנולוגיית משחקים

מדוע שרשרת האספקה ​​של טכנולוגיית המידע והתקשורת שלכם בתחום הגיימינג היא כעת חלק ממשטח ההתקפה שלכם?