בקרת גישה קובעת את הדרכים שבהן ישויות אנושיות ושאינן אנושיות בכל רשת נתונה מקבלים גישה לנתונים, משאבי IT ויישומים.
בהתאם להנחיות המשלימות, בקרה 5.15 מזכירה (אך אינה מגבילה את עצמה ל) ארבעה סוגים שונים של בקרת גישה, אשר ניתן לסווג באופן נרחב כדלקמן:
5.15 הוא בקרה מונעת ש שומר על סיכון על ידי שיפור היכולת הבסיסית של הארגון לשלוט בגישה לנתונים ולנכסים.
5.15 מפורש בקביעה כי יש להעניק גישה למשאבים ולתקן אותה בהתבסס על סט קונקרטי של דרישות אבטחת מידע מסחריות ומידע.
ארגונים צריכים ליישם את 5.15 כדי להקל על גישה מאובטחת לנתונים, ולמזער את הסיכון של גישה לא מורשית לרשת שלהם - בין אם היא פיזית או וירטואלית.
| סוג בקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ניהול זהות וגישה | #הֲגָנָה |
בעוד ש-5.15 מסתמך על צוות ניהולי מחלקים שונים בארגון השומר על הבנה מעמיקה של מי צריך גישה לאילו משאבים (כלומר מידע משאבי אנוש על תפקיד של עובדים, אשר בתורו מכתיב את פרמטרי ה-RBAC שלהם), זכויות הגישה הן בסופו של דבר פונקציית תחזוקה. נשלטים על ידי צוות עם זכויות מנהליות בכל רשת נתונה.
ככזה, הבעלות על 5.15 צריכה להיות בידי חבר הנהלה בכירה עם סמכות טכנית כוללת על פני התחומים, תת-התחומים, האפליקציות, המשאבים והנכסים של הארגון, כגון ראש IT.
עמידה ב-Control 5.15 כרוכה בשמירה על מה שמכונה א גישה 'ספציפית לנושא' לבקרת גישה (הידועה יותר כגישה 'ספציפית לבעיה').
גישות ספציפיות לנושא מעודדות ארגונים ליצור Access מדיניות בקרה המותאמים לפונקציות עסקיות אינדיבידואליות, במקום לדבוק במדיניות גורפת של בקרת גישה החלה על גישה לנתונים ולמשאבים בכל רחבי הלוח.
Control 5.15 מחייב מדיניות בקרת גישה בכל התחומים הספציפיים לנושא כדי לקחת בחשבון את 11 נקודות ההנחיה הבאות. חלק מנקודות ההדרכה שלהלן מצטלבות עם פקדים שונים אחרים, המפורטים לעיון.
ארגונים צריכים להתייעץ עם בקרות הנלוות הללו על בסיס כל מקרה לגופו, למידע נוסף.
מענה לארועים - ניתן להשיג זאת בקלות על ידי שמירה על רישום מדויק של תפקידי התפקיד ודרישות הגישה לנתונים, התואם את המבנה הארגוני שלך.
מענה לארועים - רשמי הערכת סיכונים יכול להתבצע כדי לבחון את מאפייני האבטחה של יישומים בודדים.
מענה לארועים – הארגון שלך צריך להיות מסוגל להוכיח שיש לך מערכת חזקה של בקרות גישה לבניין ולחדר, כולל מערכות כניסה מנוהלות, היקפי אבטחה ונהלי מבקרים, במידת הצורך.
מענה לארועים - חברות צריכות לדבוק במדיניות קפדנית של שיטות עבודה מומלצות שאינן מציעות גישה גורפת לנתונים על פני תרשים ארגוני.
מענה לארועים - הרשאות גישה לנתונים מעל ומעבר לזו של משתמש רגיל צריכות להיות קרובות מפוקחים ומבוקרים.
מענה לארועים – ארגונים מתאימים את מדיניות בקרת הגישה שלהם בהתאם לכל התחייבות חיצונית שיש להם בכל הקשור לגישה לנתונים, לנכסים ולמשאבים.
מענה לארועים – מדיניות צריכה לכלול בקרות המבטלות את יכולתו של אדם להתפשר על פונקציית בקרת גישה רחבה יותר, בהתבסס על רמות הגישה שלו (כלומר עובד שיש לו את היכולת לבקש, לאשר וליישם שינויים ברשת).
מענה לארועים – מדיניות בקרת גישה צריכה להכיר בכך שבעוד שבקרת גישה היא פונקציה עצמאית, היא מורכבת ממספר שלבים בודדים הנושאים סט דרישות משלהם על בסיס נושא-נושא.
מענה לארועים - ארגונים צריכים ליישם תהליך הרשאה הדורש אישור רשמי ומתועד מאת חבר צוות מתאים.
מענה לארועים – יש לשמור על שלמות הנתונים ועל היקפי האבטחה באמצעות מחזור מתמשך של ביקורות תקופתיות, פיקוח על משאבי אנוש (עוזבים וכו') ושינויים ספציפיים לתפקיד (למשל מהלכים מחלקתיים ותיקוני תפקידים).
מענה לארועים - הארגון צריך לאסוף ולאחסן נתונים על אירועי גישה (למשל פעילות קבצים) לצד הגנה מפני גישה בלתי מורשית ליומני אירועי אבטחה, ולפעול עם מערך מקיף של ניהול אירועים נהלים.
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.
כפי שדיברנו, כללי בקרת גישה מוענקים לגופים שונים (אנושיים ולא אנושיים) הקיימים ברשת נתונה, אשר בתורם מקבלים 'תפקידים' שמכתיבים את הדרישות הכוללות שלהם.
כאשר הארגון שלך מגדיר ומפעיל סט משלו של מדיניות בקרת גישה, 5.15 מבקש ממך לקחת את 4 הנקודות הבאות בחשבון:
בקרה 5.15 מפורשת בדרישה מארגונים להתעסק בתיעוד וברשימה מובנית של אחריות. ISO 27002 מכיל דרישות דומות רבות על פני כל רשימת הפקדים שלה - להלן הפקדים הבודדים הרלוונטיים ביותר ל-5.15:
Control 5.15 מעניק לארגונים מרחב פעולה משמעותי בכל הנוגע לבחירת רמת הפירוט הכלולה בכללי בקרת הגישה שלהם.
ISO ממליצה לחברות להפעיל את שיקול הדעת שלהן לגבי כמה מפורט צריך להיות סט כללים נתון על בסיס עובד לעובד, וכמה משתני גישה מיושמים על כל פיסת נתונים.
5.15 מודה במפורש שככל שמדיניות בקרת הגישה של חברה מפורטת יותר, כך העלות גדולה יותר וכל הרעיון של בקרת גישה הופך לקשה יותר על פני מספר מיקומים, סוגי רשת ומשתני יישומים.
בקרת גישה כמושג, אלא אם כן מנוהל מקרוב, עלולה לצאת מכלל שליטה בקרוב. זה כמעט תמיד רעיון טוב לפשט את כללי בקרת הגישה כדי להפוך אותם לקלים יותר וחסכוניים יותר לניהולם.
27002:2013/5.15 הוא שילוב של שני בקרות דומות ב-27002:2013 - 9.1.1 (מדיניות בקרת גישה) ו 9.1.2 (גישה לרשתות ושירותי רשת).
באופן כללי, הן 9.1.1 והן 9.1.2 עוסקות באותם נושאים בסיסיים כמו 5.15 ועוקבות באופן כללי אחר אותה מערכת של הנחיות ממשל, עם כמה הבדלים תפעוליים עדינים.
הן הבקרות של 2022 והן של 2013 עוסקות בניהול גישה למידע, נכסים ומשאבים ופועלות לפי עיקרון "צריך לדעת" שמתייחס לנתונים ארגוניים כאל מצרך שצריך לנהל ולהגן מקרוב.
כל 27002 הקווים המנחים של 2013:9.1.1/11 פועלים באותם קווים כלליים כפי שניתן לראות ב-27002:2013/5.15, כאשר האחרונים שמים דגש מעט יותר על אבטחה פיזית ואבטחה היקפית.
ההנחיות התומכות לגבי הטמעת בקרת גישה זהה בגדול, אולם בקרת 2022 עושה עבודה הרבה יותר טובה בהצעת הדרכה תמציתית ומעשית על פני 4 הנחיות היישום שלה.
5.15 מכיר בסוגים השונים של שיטות בקרת גישה שהופיעו במהלך 9 השנים האחרונות (MAC, DAC, ABAC), ואילו 27002:2013/9.1.1 מגביל את ההנחיות שלו ל-RBAC - השיטה הנפוצה ביותר של בקרת גישה מסחרית באותה תקופה .
יחד עם שינויים טכנולוגיים המציעים לארגונים שליטה רבה יותר על הנתונים שלהם, אף אחד מהבקרות של 2013 אינו מכיל שום כיוון משמעותי לגבי האופן שבו ארגון צריך לגשת לבקרות גישה פרטניות, בעוד ש-27002:2013/5.15 נותן לארגונים מרחב פעולה משמעותי.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
אנחנו כל כך שמחים שמצאנו את הפתרון הזה, זה גרם להכל להתאים בקלות רבה יותר.
