ISO 27002, בקרה 5.15, בקרת גישה

מהי מטרת הבקרה 5.15

בהתאם להנחיות המשלימות, בקרה 5.15 מזכירה (אך אינה מגבילה את עצמה ל) ארבעה סוגים שונים של בקרת גישה, אשר ניתן לסווג באופן נרחב כדלקמן:

בקרת גישה חובה (MAC) - הגישה מנוהלת באופן מרכזי על ידי רשות אבטחה יחידה.
בקרת גישה לפי שיקול דעת (DAC) – השיטה ההפוכה ל-MAC, שבה בעלי אובייקטים יכולים להעביר הרשאות למשתמשים אחרים.
בקרת גישה מבוססת תפקידים (RBAC) – הסוג הנפוץ ביותר של בקרת גישה מסחרית, המבוסס על פונקציות והרשאות עבודה מוגדרות מראש.
בקרת גישה מבוססת תכונות (ABAC) – זכויות גישה ניתנות למשתמשים באמצעות שימוש במדיניות המשלבת תכונות יחד.

5.15 הוא בקרה מונעת ש שומר על סיכון על ידי שיפור היכולת הבסיסית של הארגון לשלוט בגישה לנתונים ולנכסים.

5.15 מפורש בקביעה כי יש להעניק גישה למשאבים ולתקן אותה בהתבסס על סט קונקרטי של דרישות אבטחת מידע מסחריות ומידע.

ארגונים צריכים ליישם את 5.15 כדי להקל על גישה מאובטחת לנתונים, ולמזער את הסיכון של גישה לא מורשית לרשת שלהם - בין אם היא פיזית או וירטואלית.

תכונות שליטה 5.15

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ניהול זהות וגישה	#הֲגָנָה
	#יושרה
	#זמינות

בעלות

בעוד ש-5.15 מסתמך על צוות ניהולי מחלקים שונים בארגון השומר על הבנה מעמיקה של מי צריך גישה לאילו משאבים (כלומר מידע משאבי אנוש על תפקיד של עובדים, אשר בתורו מכתיב את פרמטרי ה-RBAC שלהם), זכויות הגישה הן בסופו של דבר פונקציית תחזוקה. נשלטים על ידי צוות עם זכויות מנהליות בכל רשת נתונה.

ככזה, הבעלות על 5.15 צריכה להיות בידי חבר הנהלה בכירה עם סמכות טכנית כוללת על פני התחומים, תת-התחומים, האפליקציות, המשאבים והנכסים של הארגון, כגון ראש IT.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

ליווי כללי

עמידה ב-Control 5.15 כרוכה בשמירה על מה שמכונה א גישה 'ספציפית לנושא' לבקרת גישה (הידועה יותר כגישה 'ספציפית לבעיה').

גישות ספציפיות לנושא מעודדות ארגונים ליצור Access מדיניות בקרה המותאמים לפונקציות עסקיות אינדיבידואליות, במקום לדבוק במדיניות גורפת של בקרת גישה החלה על גישה לנתונים ולמשאבים בכל רחבי הלוח.

Control 5.15 מחייב מדיניות בקרת גישה בכל התחומים הספציפיים לנושא כדי לקחת בחשבון את 11 נקודות ההנחיה הבאות. חלק מנקודות ההדרכה שלהלן מצטלבות עם פקדים שונים אחרים, המפורטים לעיון.

ארגונים צריכים להתייעץ עם בקרות הנלוות הללו על בסיס כל מקרה לגופו, למידע נוסף.

קבע אילו ישויות דורשות גישה לחלקים מסוימים של מידע ו/או נכסים.

מענה לארועים - ניתן להשיג זאת בקלות על ידי שמירה על רישום מדויק של תפקידי התפקיד ודרישות הגישה לנתונים, התואם את המבנה הארגוני שלך.

השלמות והאבטחה של כל היישומים הרלוונטיים (מקושרים עם Control 8.2)

מענה לארועים - רשמי הערכת סיכונים יכול להתבצע כדי לבחון את מאפייני האבטחה של יישומים בודדים.

בקרות גישה פיזיות (אתר) (מקושרות לפקדים 7.2, 7.3 ו-7.4)

מענה לארועים – הארגון שלך צריך להיות מסוגל להוכיח שיש לך מערכת חזקה של בקרות גישה לבניין ולחדר, כולל מערכות כניסה מנוהלות, היקפי אבטחה ונהלי מבקרים, במידת הצורך.

עיקרון "צריך לדעת" כלל החברה, בכל הנוגע להפצת מידע, אבטחה וסיווג (מקושר ל-5.10, 5.12 ו-5.13)

מענה לארועים - חברות צריכות לדבוק במדיניות קפדנית של שיטות עבודה מומלצות שאינן מציעות גישה גורפת לנתונים על פני תרשים ארגוני.

הבטח הגבלות על זכויות גישה מורשות (מקושר ל-8.2)

מענה לארועים - הרשאות גישה לנתונים מעל ומעבר לזו של משתמש רגיל צריכות להיות קרובות מפוקחים ומבוקרים.

עמידה בכל חלקי החקיקה הרווחים, הנחיות רגולטוריות ספציפיות למגזר או התחייבויות חוזיות הקשורות לגישה לנתונים (מקושרים ל-5.31, 5.32, 5.33, 5.34 ו-8.3)

מענה לארועים – ארגונים מתאימים את מדיניות בקרת הגישה שלהם בהתאם לכל התחייבות חיצונית שיש להם בכל הקשור לגישה לנתונים, לנכסים ולמשאבים.

פיקוח על ניגודי חובות אפשריים

מענה לארועים – מדיניות צריכה לכלול בקרות המבטלות את יכולתו של אדם להתפשר על פונקציית בקרת גישה רחבה יותר, בהתבסס על רמות הגישה שלו (כלומר עובד שיש לו את היכולת לבקש, לאשר וליישם שינויים ברשת).

יש להתייחס לשלושת הפונקציות העיקריות של מדיניות בקרת גישה - בקשות, הרשאות וניהול - בנפרד

מענה לארועים – מדיניות בקרת גישה צריכה להכיר בכך שבעוד שבקרת גישה היא פונקציה עצמאית, היא מורכבת ממספר שלבים בודדים הנושאים סט דרישות משלהם על בסיס נושא-נושא.

בקשות גישה צריכות להתנהל בצורה מובנית, פורמלית (מקושרת ל-5.16 ו-5.18)

מענה לארועים - ארגונים צריכים ליישם תהליך הרשאה הדורש אישור רשמי ומתועד מאת חבר צוות מתאים.

ניהול שוטף של זכויות גישה (מקושר ל-5.18)

מענה לארועים – יש לשמור על שלמות הנתונים ועל היקפי האבטחה באמצעות מחזור מתמשך של ביקורות תקופתיות, פיקוח על משאבי אנוש (עוזבים וכו') ושינויים ספציפיים לתפקיד (למשל מהלכים מחלקתיים ותיקוני תפקידים).

שמירה על יומנים נאותים ושליטה בגישה אליהם

מענה לארועים - הארגון צריך לאסוף ולאחסן נתונים על אירועי גישה (למשל פעילות קבצים) לצד הגנה מפני גישה בלתי מורשית ליומני אירועי אבטחה, ולפעול עם מערך מקיף של ניהול אירועים נהלים.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

הנחיות ליישום כללי בקרת גישה

כפי שדיברנו, כללי בקרת גישה מוענקים לגופים שונים (אנושיים ולא אנושיים) הקיימים ברשת נתונה, אשר בתורם מקבלים 'תפקידים' שמכתיבים את הדרישות הכוללות שלהם.

כאשר הארגון שלך מגדיר ומפעיל סט משלו של מדיניות בקרת גישה, 5.15 מבקש ממך לקחת את 4 הנקודות הבאות בחשבון:

ודא עקביות בין זכות הגישה, לבין סוג הנתונים שהיא חלה עליהם.
ודא עקביות בין זכות הגישה, לבין דרישות אבטחה פיזיות של הארגון שלך (היקפים וכו').
כאשר הארגון שלך פועל תחת סביבת מחשוב מבוזרת הכוללת מספר רב של רשתות או קבוצות של משאבים נפרדות (כגון סביבה מבוססת ענן), זכויות הגישה לוקחות בחשבון את ההשלכות של נתונים הכלולים במגוון רחב של שירותי רשת.
שים לב להשלכות סביב בקרות גישה דינמיות (שיטת גישה מפורטת המיושמת על ידי מנהלי מערכת לקבוצה מפורטת של משתנים).

תיעוד ואחריות מוגדרת

בקרה 5.15 מפורשת בדרישה מארגונים להתעסק בתיעוד וברשימה מובנית של אחריות. ISO 27002 מכיל דרישות דומות רבות על פני כל רשימת הפקדים שלה - להלן הפקדים הבודדים הרלוונטיים ביותר ל-5.15:

תיעוד

5.16
5.17
5.18
8.2
8.3
8.4
8.5
8.18

אחריות

5.2
5.17

גרגיריות

Control 5.15 מעניק לארגונים מרחב פעולה משמעותי בכל הנוגע לבחירת רמת הפירוט הכלולה בכללי בקרת הגישה שלהם.

ISO ממליצה לחברות להפעיל את שיקול הדעת שלהן לגבי כמה מפורט צריך להיות סט כללים נתון על בסיס עובד לעובד, וכמה משתני גישה מיושמים על כל פיסת נתונים.

5.15 מודה במפורש שככל שמדיניות בקרת הגישה של חברה מפורטת יותר, כך העלות גדולה יותר וכל הרעיון של בקרת גישה הופך לקשה יותר על פני מספר מיקומים, סוגי רשת ומשתני יישומים.

בקרת גישה כמושג, אלא אם כן מנוהל מקרוב, עלולה לצאת מכלל שליטה בקרוב. זה כמעט תמיד רעיון טוב לפשט את כללי בקרת הגישה כדי להפוך אותם לקלים יותר וחסכוניים יותר לניהולם.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים מ-ISO 27002:2013

27002:2013/5.15 הוא שילוב של שני בקרות דומות ב-27002:2013 - 9.1.1 (מדיניות בקרת גישה) ו 9.1.2 (גישה לרשתות ושירותי רשת).

באופן כללי, הן 9.1.1 והן 9.1.2 עוסקות באותם נושאים בסיסיים כמו 5.15 ועוקבות באופן כללי אחר אותה מערכת של הנחיות ממשל, עם כמה הבדלים תפעוליים עדינים.

הן הבקרות של 2022 והן של 2013 עוסקות בניהול גישה למידע, נכסים ומשאבים ופועלות לפי עיקרון "צריך לדעת" שמתייחס לנתונים ארגוניים כאל מצרך שצריך לנהל ולהגן מקרוב.

כל 27002 הקווים המנחים של 2013:9.1.1/11 פועלים באותם קווים כלליים כפי שניתן לראות ב-27002:2013/5.15, כאשר האחרונים שמים דגש מעט יותר על אבטחה פיזית ואבטחה היקפית.

ההנחיות התומכות לגבי הטמעת בקרת גישה זהה בגדול, אולם בקרת 2022 עושה עבודה הרבה יותר טובה בהצעת הדרכה תמציתית ומעשית על פני 4 הנחיות היישום שלה.

שינויים בסוגי בקרות הגישה מ-9.1.1

5.15 מכיר בסוגים השונים של שיטות בקרת גישה שהופיעו במהלך 9 השנים האחרונות (MAC, DAC, ABAC), ואילו 27002:2013/9.1.1 מגביל את ההנחיות שלו ל-RBAC - השיטה הנפוצה ביותר של בקרת גישה מסחרית באותה תקופה .

גרגיריות

יחד עם שינויים טכנולוגיים המציעים לארגונים שליטה רבה יותר על הנתונים שלהם, אף אחד מהבקרות של 2013 אינו מכיל שום כיוון משמעותי לגבי האופן שבו ארגון צריך לגשת לבקרות גישה פרטניות, בעוד ש-27002:2013/5.15 נותן לארגונים מרחב פעולה משמעותי.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו