מידע אימות כגון סיסמאות, מפתחות הצפנה ושבבי כרטיסים הם השער למערכות מידע המארחות נכסי מידע רגישים.
ניהול לקוי או הקצאה לא נכונה של מידע אימות עלולים לגרום לגישה לא מורשית למערכות מידע ולאובדן סודיות, זמינות ושלמות של נכסי מידע רגיש.
לדוגמה, מחקר 2021 של GoodFirm מראה כי 30% מכלל הפרצות הנתונים מתרחשות כתוצאה מססמאות חלשות או שיטות ניהול לקויות של סיסמאות.
לכן, לארגונים צריך להיות תהליך ניהול מידע אימות חזק כדי להקצות, לנהל ולהגן על מידע אימות.
בקרה 5.17 מאפשרת לארגונים להקצות ולנהל כראוי מידע אימות, למנוע סיכונים לכשל בתהליך האימות ולמנוע סיכוני אבטחה שעלולים להיווצר עקב פגיעה במידע האימות.
בקרה 5.17 היא סוג מניעתי של בקרה הדורש מארגונים להקים וליישם תהליך ניהול מידע אימות מתאים.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ניהול זהות וגישה | #הֲגָנָה |
בהתחשב בכך שבקרה 5.17 כרוכה בהקמה ויישום של כללים, נהלים ואמצעים כלל-ארגוניים להקצאה וניהול של מידע אימות, קציני אבטחת מידע צריכים להיות אחראים לציות לבקרה 5.17.
ארגונים צריכים לעמוד בשש הדרישות הבאות להקצאה וניהול של מידע אימות:
משתמשים שיכולים לגשת למידע אימות ולהשתמש בהם, צריכים לקבל הוראה לציית לדרישות הבאות:
ארגונים צריכים לעמוד בדרישות הבאות בעת הקמת מערכת לניהול סיסמאות:
יתר על כן, ארגונים צריכים לבצע טכניקות גיבוב והצפנה בהתאם לשיטות ההצפנה המורשות לסיסמאות כפי שנקבעו בבקרה 8.24.
בנוסף לסיסמאות, ישנם סוגים נוספים של מידע אימות כגון מפתחות קריפטוגרפיים, כרטיסים חכמים ונתונים ביומטריים כגון טביעות אצבע.
מומלץ לארגונים לעיין ב-ISO/IEC 24760 Series לקבלת הנחיות מפורטות יותר לגבי מידע אימות.
בהתחשב בכך ששינוי תכוף של סיסמאות עשוי להיות מסורבל ומעצבן עבור משתמשים, ארגונים עשויים לשקול ליישם שיטות חלופיות כגון כניסה יחידה או כספות סיסמאות. עם זאת, יש לציין כי שיטות חלופיות אלו עשויות לחשוף מידע אימות לסיכון גבוה יותר לחשיפה בלתי מורשית.
27002:2022/5.17 מחליף את 27002:2013/(9.2.4, 9.3.1 9.4.3)
למרות שגרסת 2013 ו-2022 דומות מאוד מבחינת הדרישות להקצאה וניהול של מידע אימות, ה-Control 5.17 בגרסת 2022 מציג את הדרישה הבאה, שלא נכללה בגרסת 2013:
בקרה 5.17 מציגה את הדרישה הבאה לאחריות המשתמש שלא הוזכרה בבקרה 9.3.1 בגרסת 2013.
בניגוד לגרסת 2022, בקרה 9.3.1 הכילה את הדרישה הבאה לשימוש במידע אימות:
בקרה 9.4.3 בגרסת 2013 כללה את הדרישה הבאה למערכות ניהול סיסמאות.
בקרת 5.17 בגרסת 2022, להיפך, לא כללה דרישה זו.
ISMS.Online מסייעת לארגונים ועסקים לעמוד בדרישות של ISO 27002 על ידי מתן פלטפורמה המאפשרת לנהל בקלות את המדיניות והנהלים בנושא סודיות או אי-חשיפה, לעדכן אותם לפי הצורך, לבדוק אותם ולנטר את יעילותם.
אנו מספקים פלטפורמה מבוססת ענן לניהול מערכות ניהול סודיות ואבטחת מידע, לרבות סעיפי אי חשיפה, ניהול סיכונים, מדיניות, תוכניות ונהלים, במיקום מרכזי אחד. הפלטפורמה קלה לשימוש ובעלת ממשק אינטואיטיבי המקל על לימוד השימוש.
פנה אלינו עוד היום ל קבע הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |