ISO 27001 – נספח A.6: ארגון אבטחת מידע

מהי המטרה של נספח A.6.1?

נספח A.6.1 עוסק בארגון פנימי. המטרה בתחום נספח א' זה היא להקים מסגרת ניהולית ליזום ובקרה על היישום והתפעול של אבטחת מידע בתוך הארגון.

זהו חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001. בואו נבין את הדרישות האלה ואת המשמעות שלהן קצת יותר לעומק עכשיו.

A.6.1.1 תפקידים ואחריות של אבטחת מידע

יש להגדיר ולהקצות את כל אחריות אבטחת המידע. אחריות אבטחת מידע יכולה להיות כללית (למשל הגנה על מידע) ו/או ספציפית (למשל אחריות למתן הרשאה מסוימת).

יש לקחת בחשבון את הבעלות על נכסי מידע או קבוצות של נכסים בעת זיהוי אחריות. כמה דוגמאות לתפקידים עסקיים שסביר להניח שיש להם רלוונטיות מסוימת לאבטחת מידע כוללות; ראשי מחלקות; בעלי תהליכים עסקיים; מנהל מתקנים; מנהל משאבי אנוש; ומבקר פנימי.

המבקר יחפש להשיג ביטחון שהארגון הבהיר מי אחראי למה באופן הולם ומידתי בהתאם לגודלו ולאופיו של הארגון. עבור ארגונים קטנים יותר, זה בדרך כלל לא ריאלי לקבל תפקידים במשרה מלאה הקשורים לתפקידים ולאחריות אלה.

ככזה, הבהרת אחריות ספציפית לאבטחת מידע במסגרת תפקידי עבודה קיימים חשובה, למשל מנהל התפעול או המנכ"ל עשוי להיות המקבילה ל-CISO, קצין אבטחת המידע הראשי, עם אחריות כוללת לכל ה-ISMS. ה-CTO עשוי להיות הבעלים של כל נכסי המידע הקשורים לטכנולוגיה וכו'.

A.6.1.2 הפרדת תפקידים

חובות ותחומי אחריות סותרים חייבים להיות מופרדים על מנת לצמצם את ההזדמנויות לשינוי לא מורשה או לא מכוון או שימוש לרעה בכל אחד מנכסי הארגון.

הארגון צריך לשאול את עצמו האם הפרדת התפקידים נשקלה או לא בוצעה במידת הצורך. ארגונים קטנים יותר עשויים להיאבק בכך, אך יש ליישם את העיקרון ככל האפשר ולהקים ממשל ובקרות טובות עבור נכסי המידע בעלי סיכון גבוה/ערך גבוה יותר, ללכוד כחלק מהערכת הסיכונים והטיפול.

A.6.1.3 קשר עם רשויות

יש לשמור על קשרים מתאימים עם הרשויות הרלוונטיות. זכור בעת התאמת בקרה זו לחשוב על האחריות המשפטית ליצירת קשר עם רשויות כגון המשטרה, משרד נציב המידע או גופים רגולטוריים אחרים כגון סביב GDPR.

שקול כיצד יש ליצור קשר, על ידי מי, באילו נסיבות, ואופי המידע שיסופק.

A.6.1.4 קשר עם קבוצות עניין מיוחדות

כמו כן, יש לשמור על קשרים מתאימים עם קבוצות אינטרסים מיוחדות או פורומים ביטחוניים מומחים אחרים ואיגודים מקצועיים. בעת התאמת שליטה זו לצרכים הספציפיים שלך, זכור שחברות של גופים מקצועיים, ארגונים בתעשייה, פורומים וקבוצות דיון, כולם נחשבים לשליטה זו.

חשוב להבין את האופי של כל אחת מהקבוצות הללו ולאיזו מטרה הן הוקמו (למשל האם יש מאחוריה מטרה מסחרית).

A.6.1.5 אבטחת מידע בניהול פרויקטים

יש להתייחס לאבטחת מידע בניהול הפרויקט, ללא קשר לסוג הפרויקט. אבטחת מידע צריכה להיות מושרשת במרקם הארגון וניהול פרויקטים הוא תחום מרכזי לכך. אנו ממליצים להשתמש במסגרות תבניות עבור פרויקטים הכוללים רשימת בדיקה פשוטה שניתן לחזור עליה כדי להראות שנשקלת אבטחת מידע.

המבקר יחפש לראות שלכל האנשים המעורבים בפרויקטים מוטלת המשימה לשקול אבטחת מידע בכל שלבי מחזור החיים של הפרויקט ולכן יש לכסות זאת גם כחלק מהחינוך והמודעות בהתאם לאבטחת משאבי אנוש עבור A.7.2.2 .

ארגונים חכמים ישליבו גם את A.6.1.5 עם חובות קשורות לנתונים אישיים וישקלו אבטחה בתכנון יחד עם הערכות הגנת מידע (DPIA) ותהליכים דומים כדי להוכיח עמידה בתקנת הגנת המידע הכללית (GDPR) וחוק הגנת המידע 2018.

ISMS.online משלב מסגרות ותבניות פשוטות ומעשיות לאבטחת מידע בניהול פרויקטים כמו גם DPIA והערכות נתונים אישיות קשורות אחרות כגון הערכות אינטרסים לגיטימיות (LIA).

מהי המטרה של נספח A.6.2?

נספח A.6.2 עוסק במכשירים ניידים ועבודה מרחוק. המטרה באזור נספח א' זה היא להקים מסגרת ניהול כדי להבטיח את האבטחה של עבודה מרחוק ושימוש במכשירים ניידים.

A.6 נראה כמו מקום מוזר לכסות מכשירים ניידים ומדיניות עבודה מרחוק, אבל הוא כן, וכמעט כל דבר ב-A.6.2 מתחבר לפקדים אחרים של נספח A, שכן חלק גדול מחיי העבודה כולל עבודה ניידת ועבודה מרחוק.

עבודה מרחוק במקרה זה כוללת גם עובדי בית וכאלה שנמצאים במיקומי לוויין שאולי אינם זקוקים לאותן בקרות תשתית פיזיות כמו (נניח) המשרד הראשי, אך עם זאת יש להם חשיפה למידע יקר ערך ולנכסים קשורים.

A.6.2.1 מדיניות מכשירים ניידים

יש לאמץ מדיניות ואמצעי אבטחה תומכים כדי לנהל את הסיכונים המוכרים על ידי שימוש בטלפונים ניידים ומכשירים ניידים אחרים כגון מחשבים ניידים, טאבלטים וכו'. ככל שהמכשירים הניידים נעשים חכמים יותר תחום המדיניות הזה הופך להרבה יותר משמעותי מעבר לשימוש המסורתי בנייד טלפון. השימוש במכשירים ניידים ועבודה מרחוק הם בו זמנית הזדמנות מצוינת לעבודה גמישה ופגיעות אבטחה פוטנציאלית.

BYOD או Bring Your Own Device הוא גם חלק מרכזי מהשיקול. למרות שיש יתרונות אדירים לאפשר לצוות להשתמש במכשירים שלהם, ללא בקרות נאותות על השימוש בחיים ובעיקר ביציאה, האיומים יכולים להיות ניכרים מדי.

ארגון צריך להיות בטוח שכאשר נעשה שימוש במכשירים ניידים או שהצוות עובד מחוץ לאתר המידע שלו ושל לקוחות ובעלי עניין אחרים נשאר מוגן ובאופן אידיאלי בשליטתו. זה הופך לקשה יותר ויותר עם אחסון ענן לצרכנים, גיבוי אוטומטי ומכשירים בבעלות אישית המשותפים לבני משפחה.

ארגון צריך לשקול ליישם אסטרטגיית "הגנה בעומק" עם שילוב של בקרות פיזיות, טכניות ומדיניות משלימות. אחד ההיבטים החשובים ביותר הוא חינוך, הדרכה ומודעות סביב השימוש במכשירים ניידים גם במקומות ציבוריים, הימנעות מהסיכון של wifi 'חינם' שעלול לסכן מידע במהירות או להגביל את הצופים הלא קרואים מלהסתכל על המסך בנסיעה ברכבת בית.

המבקר ירצה לראות שיש מדיניות ברורה ובקרות המספקות ביטחון שהמידע נשאר מאובטח כאשר עובדים הרחק מאתרים פיזיים ארגוניים. המדיניות צריכה לכסות את התחומים הבאים:

• רישום וניהול
• הגנה פיזית
• הגבלות על אילו תוכנות ניתן להתקין, אילו שירותים ואפליקציות ניתן להוסיף ולגשת, שימוש במפתחים מורשים ובלתי מורשים
• הפעלת עדכוני מכשירים ויישומי תיקון
• סיווג המידע הנגיש וכל אילוצי גישה אחרים לנכסים (למשל ללא גישה לנכס קריטי לתשתית)
• ציפיות קריפטוגרפיה, תוכנות זדוניות ואנטי וירוס
• דרישות כניסה, השבתה מרחוק, מחיקה, נעילה ו'מצא את המכשיר שלי'
• גיבוי ואחסון
• תנאי גישת משפחה ומשתמשים אחרים (אם BYOD) למשל הפרדת חשבונות
• שימוש במקומות ציבוריים
• קישוריות ורשתות מהימנות

A.6.2.2 עבודה מרחוק

יש ליישם מדיניות ואמצעי אבטחה תומכים גם כדי להגן על מידע שניגשים אליו, מעובדים או מאוחסנים באתרי עבודה מרחוק. עבודה מרחוק מתייחסת לעבודה ביתית ועבודה אחרת מחוץ לאתר כגון באתרי ספקים או לקוחות. עבור צוות עבודה מרחוק, חינוך, הכשרה ומודעות בנוגע לסיכונים פוטנציאליים הם קריטיים.

המבקר יצפה לראות החלטות הנוגעות לשימוש במכשירים ניידים ועבודה מרחוק ואמצעי אבטחה המבוססים על הערכת סיכונים מתאימה, תוך איזון הצורך בעבודה גמישה מול האיומים והפגיעויות הפוטנציאליות ששימוש כזה יציג.

עבודה מרחוק קשורה קשר הדוק לרבים מאזורי הבקרה האחרים של נספח A ב-A.6, A.8, A.9, A.10, A.11, A.12 ו-A.13, אז הצטרפו לאלו כחלק מה- גישת משרד ועבודה מרחוק כדי למנוע כפילות ופערים. A.7 חיוני גם כדי להגיע נכון לסינון וגיוס עובדים מרוחק וההנהלה לאורך מחזור החיים הופך למפתח לכלול בביקורות ולהוכיח למבקרים שעובדי טלפון אינם איום מנוהל בצורה גרועה.