ISO 27002:2022, בקרה 5.17 – מידע אימות

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

הפעלה, תכנות, צוות., אתר, מעצב, עובד, דיגיטלי, טאבלט, תחנת עגינה, מקלדת

מידע אימות כגון סיסמאות, מפתחות הצפנה ושבבי כרטיסים הם השער למערכות מידע המארחות נכסי מידע רגישים.

ניהול לקוי או הקצאה לא נכונה של מידע אימות עלולים לגרום לגישה לא מורשית למערכות מידע ולאובדן סודיות, זמינות ושלמות של נכסי מידע רגיש.

לדוגמה, מחקר 2021 של GoodFirm מראה כי 30% מכלל הפרצות הנתונים מתרחשות כתוצאה מססמאות חלשות או שיטות ניהול לקויות של סיסמאות.

לכן, לארגונים צריך להיות תהליך ניהול מידע אימות חזק כדי להקצות, לנהל ולהגן על מידע אימות.

מטרת הבקרה 5.17

בקרה 5.17 מאפשרת לארגונים להקצות ולנהל כראוי מידע אימות, למנוע סיכונים לכשל בתהליך האימות ולמנוע סיכוני אבטחה שעלולים להיווצר עקב פגיעה במידע האימות.

טבלת תכונות

בקרה 5.17 היא סוג מניעתי של בקרה הדורש מארגונים להקים וליישם תהליך ניהול מידע אימות מתאים.

סוג הבקרה מאפייני אבטחת מידעמושגי אבטחת סייבר יכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ#סודיות
#יושרה
#זמינות		#לְהַגֵן #ניהול זהות וגישה#הֲגָנָה
קפוץ לנושא
קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

בעלות על שליטה 5.17

בהתחשב בכך שבקרה 5.17 כרוכה בהקמה ויישום של כללים, נהלים ואמצעים כלל-ארגוניים להקצאה וניהול של מידע אימות, קציני אבטחת מידע צריכים להיות אחראים לציות לבקרה 5.17.

הנחיות בנושא הקצאת מידע אימות

ארגונים צריכים לעמוד בשש הדרישות הבאות להקצאה וניהול של מידע אימות:

  • כאשר סיסמאות אישיות או מספרי זיהוי אישיים נוצרות אוטומטית לרישום של משתמשים חדשים, הם צריכים להיות בלתי ניתנים לניחוש. יתר על כן, סיסמאות צריכות להיות ייחודיות לכל משתמש וחובה להחליף סיסמאות לאחר השימוש הראשון.

  • ארגונים צריכים לקבוע נהלים חזקים כדי לאמת את זהותו של משתמש לפני שיינתן לו/ה מידע אימות חדש או חלופי או שהוא/היא מסופק עם מידע זמני.

  • ארגונים צריכים להבטיח שידור מאובטח של מידע אימות לאנשים באמצעות ערוצים מאובטחים והם לא צריכים לשלוח מידע זה באמצעות הודעות אלקטרוניות לא מאובטחות (למשל טקסט ברור).

  • על המשתמשים לאשר את קבלת פרטי האימות.

  • לאחר התקנת מערכות IT ותוכנות חדשות, ארגונים צריכים לשנות מיד את פרטי האימות המוגדרים כברירת מחדל.

  • ארגונים צריכים להקים ולתחזק תיעוד של כל האירועים החשובים הקשורים לניהול והקצאת מידע אימות. יתרה מזאת, יש לשמור על רשומות אלו בסודיות ויש לאשר שיטות שמירת רישומים כגון באמצעות כלי סיסמאות מאושר.

הנחיות לגבי אחריות המשתמש

משתמשים שיכולים לגשת למידע אימות ולהשתמש בהם, צריכים לקבל הוראה לציית לדרישות הבאות:

  1. על המשתמשים לשמור על סודיות פרטי האימות הסודיים כגון סיסמאות ואסור לשתף מידע סודי כזה עם אף אחד אחר. כאשר משתמשים מרובים מעורבים בשימוש במידע אימות או שהמידע מקושר לישויות לא אישיות, אין לחשוף את פרטי האימות לאנשים לא מורשים.

  2. המשתמשים חייבים לשנות את הסיסמאות שלהם באופן מיידי אם סודיות הסיסמאות שלהם נפגעת.

  3. על המשתמשים לבחור סיסמאות חזקות שקשה לנחש על ידי ביצוע שיטות עבודה מומלצות בתעשייה. לדוגמה:

    • אין לבחור סיסמאות על סמך מידע אישי שקל להשיג, כגון שמות או תאריכי לידה.

    • אין ליצור סיסמאות על סמך שום דבר שניתן לנחש בקלות.

    • סיסמאות לא יכללו מילים במילון או שילובים של מילים אלו.

    • יש להשתמש בתווים אלפאנומריים ותווים מיוחדים בסיסמה.

    • צריך להיות אורך מינימלי לסיסמאות.

  4. משתמשים לא צריכים להשתמש באותה סיסמה עבור שירותים שונים.

  5. ארגונים צריכים לכלול את הדרישות ליצירה ושימוש בסיסמאות בחוזי העבודה שלהם עם עובדיהם.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

הדרכה על מערכות ניהול סיסמאות

ארגונים צריכים לעמוד בדרישות הבאות בעת הקמת מערכת לניהול סיסמאות:

  • יש לאפשר למשתמשים ליצור ולשנות את הסיסמאות שלהם וצריך להיות נוהל אישור כדי להבטיח שגיאות קלט מזוהות ונפתרות.

  • ארגונים צריכים ליישם תהליך בחירת סיסמה חזק, תוך התחשבות בשיטות העבודה המומלצות בתעשייה לבחירת סיסמה.

  • יש לאלץ משתמשים לשנות את סיסמאות ברירת המחדל שלהם לאחר גישה ראשונה למערכת.

  • יש ליישם שינויים בסיסמא כאשר יש צורך בכך. לדוגמה, שינוי סיסמה יהיה הכרחי לאחר אירוע אבטחה או בעקבות סיום העסקה עם משתמש אם למשתמש יש גישה לסיסמאות.

  • אין לעשות שימוש חוזר בסיסמאות קודמות.

  • יש לאסור שימוש בסיסמאות נפוצות ביותר או בסיסמאות או שמות משתמש שנפגעו המשמשים לגישה למערכות פרוצים.

  • כאשר הזנת סיסמאות, הן אמורות להיות גלויות על המסך בטקסט רגיל.

  • יש לאחסן ולהעביר סיסמאות בערוצים מוגנים ובפורמט מאובטח.

יתר על כן, ארגונים צריכים לבצע טכניקות גיבוב והצפנה בהתאם לשיטות ההצפנה המורשות לסיסמאות כפי שנקבעו בבקרה 8.24.

הנחיות משלימות בקרה 5.17

בנוסף לסיסמאות, ישנם סוגים נוספים של מידע אימות כגון מפתחות קריפטוגרפיים, כרטיסים חכמים ונתונים ביומטריים כגון טביעות אצבע.

מומלץ לארגונים לעיין ב-ISO/IEC 24760 Series לקבלת הנחיות מפורטות יותר לגבי מידע אימות.

בהתחשב בכך ששינוי תכוף של סיסמאות עשוי להיות מסורבל ומעצבן עבור משתמשים, ארגונים עשויים לשקול ליישם שיטות חלופיות כגון כניסה יחידה או כספות סיסמאות. עם זאת, יש לציין כי שיטות חלופיות אלו עשויות לחשוף מידע אימות לסיכון גבוה יותר לחשיפה בלתי מורשית.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

מהימן על ידי חברות בכל מקום
  • פשוט וקל לשימוש
  • תוכנן להצלחת ISO 27001
  • חוסך לך זמן וכסף
הזמן את ההדגמה שלך
img

שינויים והבדלים מ-ISO 27002:2013

27002:2022/5.17 מחליף את 27002:2013/(9.2.4, 9.3.1 9.4.3)

גרסת 2022 מכילה דרישה חדשה להקצאה וניהול של מידע אימות

למרות שגרסת 2013 ו-2022 דומות מאוד מבחינת הדרישות להקצאה וניהול של מידע אימות, ה-Control 5.17 בגרסת 2022 מציג את הדרישה הבאה, שלא נכללה בגרסת 2013:

  • ארגונים צריכים להקים ולתחזק תיעוד של כל האירועים החשובים הקשורים לניהול והקצאת מידע אימות. יתרה מזאת, יש לשמור על רשומות אלו בסודיות ויש לאשר שיטות שמירת רישומים כגון באמצעות כלי סיסמאות מאושר.

בקרה 5.17 בגרסת 2022 מכילה דרישה נוספת לשימוש במידע אימות

בקרה 5.17 מציגה את הדרישה הבאה לאחריות המשתמש שלא הוזכרה בבקרה 9.3.1 בגרסת 2013.

  • ארגונים צריכים לכלול את הדרישות ליצירה ושימוש בסיסמאות בחוזי העבודה שלהם עם עובדיהם וצוותיהם.

גרסת 2013 הכילה דרישות נוספות לאחריות המשתמש שלא נכללה בגרסת 2022

בניגוד לגרסת 2022, בקרה 9.3.1 הכילה את הדרישה הבאה לשימוש במידע אימות:

  • למשתמשים אסור להשתמש באותו פרטי אימות כגון סיסמה למטרות עסקיות ולא עסקיות כאחד.

גרסת 2013 הכילה דרישה נוספת למערכות ניהול סיסמאות שלא נכללה בגרסת 2022

בקרה 9.4.3 בגרסת 2013 כללה את הדרישה הבאה למערכות ניהול סיסמאות.

  • יש לארח קבצים המכילים סיסמאות במערכת נפרדת מנתוני מערכת האפליקציה.

בקרת 5.17 בגרסת 2022, להיפך, לא כללה דרישה זו.

כיצד ISMS.online עוזר

ISMS.Online מסייעת לארגונים ועסקים לעמוד בדרישות של ISO 27002 על ידי מתן פלטפורמה המאפשרת לנהל בקלות את המדיניות והנהלים בנושא סודיות או אי-חשיפה, לעדכן אותם לפי הצורך, לבדוק אותם ולנטר את יעילותם.

אנו מספקים פלטפורמה מבוססת ענן לניהול מערכות ניהול סודיות ואבטחת מידע, לרבות סעיפי אי חשיפה, ניהול סיכונים, מדיניות, תוכניות ונהלים, במיקום מרכזי אחד. הפלטפורמה קלה לשימוש ובעלת ממשק אינטואיטיבי המקל על לימוד השימוש.

פנה אלינו עוד היום ל קבע הדגמה.

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת
פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף