נספח A 5.15 של ISO 27001:2022; המדריך שלך שלב אחר שלב להבנה ועמידה בו.
נספח A 5.15 עוסק בהליכי בקרת גישה. מטרת נספח A.9 היא להגן על הגישה למידע ולהבטיח שלעובדים תהיה גישה רק למידע הנחוץ להם לביצוע תפקידם.
זהו אחד המרכיבים החיוניים של an מערכת ניהול אבטחת מידע (ISMS), במיוחד אם אתה מתכנן להשיג אישור ISO 27001.
ביצוע חלק זה נכון הוא מרכיב קריטי של ISO 27001 הסמכה וכזו שבה חברות רבות זקוקות לסיוע. כדי להבין טוב יותר את הדרישות הללו, בואו נסתכל מקרוב על מה שהן כוללות.
כדי לנהל גישה לנכסים בהיקף של ארגון, יש לפתח, לתעד ולסקור מדי פעם מדיניות בקרת גישה.
בקרת גישה קובעת כיצד ישויות אנושיות ושאינן אנושיות ברשת ניגשות לנתונים, משאבי IT ויישומים.
סיכוני אבטחת מידע הקשורים למידע והתיאבון של הארגון לניהולם צריכים לבוא לידי ביטוי בכללים, בזכויות ובמגבלות ובעומק הבקרות בהן נעשה שימוש. זה פשוט עניין של החלטה למי יש גישה למה, כמה ולמי אין.
ניתן להגדיר בקרות גישה דיגיטליות ופיזיות, כגון הגבלת הרשאות חשבון משתמש או הגבלת גישה למיקומים פיזיים ספציפיים (בהתאמה לנספח A.7 אבטחה פיזית וסביבתית). המדיניות צריכה לקחת בחשבון את השיקולים הבאים:
חיוני לבדוק את בקרת הגישה כאשר תפקידים משתנים, במיוחד במהלך יציאות, כדי לעמוד בנספח A.7 אבטחת משאבי אנוש.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
גישה כללית להגנה היא של גישה מינימלית ולא גישה בלתי מוגבלת וזכויות משתמש-על ללא שיקול זהיר.
כתוצאה מכך, יש לספק למשתמשים רק גישה רשתות ושירותי רשת נדרשים למלא את אחריותם. המדיניות צריכה לתת מענה; הרשתות ושירותי הרשת בהיקף הגישה; הליכי הרשאה להראות למי (מבוסס תפקידים) מותרת גישה למה ומתי; ובקרות ונהלים להנהלה למניעת גישה ולפקח עליה במקרה של תקרית.
העלייה והיציאה למטוס צריכים לקחת בחשבון גם נושא זה, הקשור קשר הדוק למדיניות בקרת הגישה.
כבקרה מונעת, נספח A 5.15 משפר את היכולת הבסיסית של ארגון לשלוט בגישה לנתונים ולנכסים.
סט בטון של אבטחת מידע ומסחר יש לענות על הצרכים לפני שניתן יהיה להעניק גישה למשאבים ולתקן אותם במסגרת נספח A בקרה 5.15.
ISO 27001 נספח A 5.15 מספק הנחיות למתן גישה מאובטחת לנתונים ולמזעור הסיכון של גישה לא מורשית לרשתות פיזיות ווירטואליות.
כפי שמוצג בנספח A 5.15, צוות ההנהלה על פני חלקים שונים של א הארגון חייב לשמור על הבנה יסודית מהם יש צורך לגשת למשאבים (למשל בנוסף למידע על HR המודיע לעובדים על תפקידי העבודה שלהם, המכתיבים את פרמטרי ה-RBAC שלהם, זכויות הגישה הן בסופו של דבר פונקציית תחזוקה הנשלטת על ידי מנהלי רשת.
הבעלות של נספח A 5.15 של ארגון צריכה להיות בידי חבר הנהלה בכירה שיש לו סמכות טכנית כוללת על הדומיינים, תת-התחומים, האפליקציות, המשאבים והנכסים של החברה. זה יכול להיות ראש ה-IT.
נדרשת גישה ספציפית לנושא לבקרת גישה לעמידה בתקן ISO 27001:2022 נספח A Control 5.15 (הידועה יותר כגישה ספציפית לבעיה).
במקום לדבוק במדיניות גורפת של בקרת גישה החלה על גישה למשאבים ולנתונים בכל הארגון, גישות ספציפיות לנושא מעודדות ארגונים ליצור מדיניות בקרת גישה המיועדת לפונקציות עסקיות בודדות.
בכל התחומים הספציפיים לנושא, נספח A Control 5.15 מחייב מדיניות לגבי בקרת גישה לשקול את 11 הנקודות שלהלן. חלק מההנחיות הללו חופפות למדיניות אחרת.
כקו מנחה, ארגונים צריכים להתייעץ עם הבקרות הנלוות למידע נוסף על בסיס כל מקרה לגופו:
על פי ההנחיה המשלימה, ISO 27001:2022 נספח A Control 5.15 מזכיר (מבלי להגביל את עצמו ל) ארבעה סוגים שונים של בקרת גישה, שניתן לסווג באופן נרחב כדלקמן:
דנו בכללי בקרת גישה כמוענקים לגופים שונים (אנושיים ולא אנושיים) הפועלים בתוך רשת, אשר מוקצים להם תפקידים המגדירים את תפקידם הכולל.
בהגדרה והפעלת מדיניות בקרת הגישה של הארגון שלך, נספח A 5.15 מבקש ממך לשקול את ארבעת הגורמים הבאים:
על פי ISO 27001:2022 נספח A Control 5.15, ארגונים חייבים לפתח ולתחזק רשימה מובנית של אחריות ותיעוד. ישנם קווי דמיון רבים בין כל רשימת הבקרות של ISO 27001:2022, כאשר נספח A 5.15 מכיל את הדרישות הרלוונטיות ביותר:
בקרה 5.15 של נספח A מספקת לארגונים חופש משמעותי בציון הפירוט של מדיניות בקרת הגישה שלהם.
באופן כללי, ISO ממליצה לחברות להשתמש בשיקול הדעת שלהן לגבי מידת המפורטת של מערכת כללים נתונה על בסיס עובד לעובד וכמה משתנים יש להחיל על פיסת מידע נתונה.
באופן ספציפי, נספח A 5.15 מאשר שככל שמדיניות בקרת הגישה של חברה מפורטת יותר, כך העלות גדולה יותר והמושג בקרת גישה הופך למאתגר יותר על פני מספר מיקומים, סוגי רשת ומשתני יישומים.
בקרת גישה, אלא אם כן מנוהלת בקפידה, יכולה לצאת משליטה מהר מאוד. זה חכם לפשט את כללי בקרת הגישה כדי להבטיח שהם קלים יותר לניהול וחסכוניים יותר.
נספח A 5.15 ב-27001:2022 הוא שילוב של שתי בקרות דומות ב-27001:2013 - נספח A 9.1.1 (מדיניות בקרת גישה) ובנספח A 9.1.2 (גישה לרשתות ושירותי רשת).
הנושאים הבסיסיים של A.9.1.1 ו-A.9.1.2 דומים לאלה שבנספח A 5.15, למעט כמה הבדלים תפעוליים עדינים.
כמו ב-2022, שתי הבקרות מתייחסות לניהול גישה למידע, נכסים ומשאבים ופועלות על פי העיקרון של "צריך לדעת", שבו מתייחסים לנתונים ארגוניים כאל מצרך הדורש ניהול והגנה זהירים.
קיימות 11 הנחיות ניהוליות ב-27001:2013 נספח A 9.1.1, שכולן עוקבות אחר אותם עקרונות כלליים כמו 27001:2022 נספח A בקרה 5.15 עם דגש מעט יותר גדול על אבטחה היקפית ואבטחה פיזית.
בדרך כלל יש אותן הנחיות יישום עבור בקרת גישה, אבל בקרת 2022 מספקת הדרכה הרבה יותר תמציתית ומעשית על פני ארבע הנחיות היישום שלה.
כאמור ב-ISO 27001 נספח A 5.15, צורות שונות של בקרת גישה הופיעו במהלך תשע השנים האחרונות (MAC, DAC, ABAC), בעוד שב-27001:2013 נספח A Control 9.1.1, השיטה העיקרית של בקרת גישה מסחרית באותה תקופה הזמן היה RBAC.
בקרות 2013 צריכים להכיל קווים מנחים משמעותיים כיצד ארגון צריך לגשת לבקרות גישה פרטניות לאור שינויים טכנולוגיים המספקים לארגונים שליטה משופרת על הנתונים שלהם.
לעומת זאת, נספח A 5.15 של 27001:2022 מספק לארגונים גמישות ניכרת.
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
---|---|---|---|
בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
---|---|---|---|
אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
---|---|---|---|
בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
---|---|---|---|
בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
נספח A 5.15 של ISO 27001:2022 הוא כנראה הסעיף המדובר ביותר בנספח A, ויש הטוענים שהוא המשמעותי ביותר.
מערכת ניהול אבטחת המידע שלך (ISMS) מטרתה להבטיח שלאנשים המתאימים תהיה גישה למידע הנכון בזמן הנכון. אחד המפתחות להצלחה הוא לעשות את זה נכון, אבל ביצוע לא נכון יכול להשפיע לרעה על העסק שלך.
קחו בחשבון את התרחיש שבו חשפת בטעות מידע סודי של העובדים לאנשים הלא נכונים, כמו למשל מה משלמים לכל אחד בארגון.
אם אתה לא זהיר, ההשלכות של טעות בחלק זה עלולות להיות חמורות. לכן, הכרחי להקדיש זמן לשקול היטב את כל ההיבטים לפני שתמשיך.
בעניין זה, הפלטפורמה שלנו יכול להיות נכס אמיתי. הסיבה לכך היא שהוא עוקב אחר כל המבנה של ISO 27001 ומאפשר לך לאמץ, להתאים ולהעשיר את התוכן שאנו מספקים עבורך, מה שנותן לך התחלה משמעותית.