כל עובד בתוך הארגון שלך יצטרך לקבל גישה למחשבים מסוימים, מסדי נתונים, מערכות מידע ויישומים כדי לבצע את המשימות שלו.
לדוגמה, בעוד שאנשי משאבי אנוש עשויים להזדקק לגישה לנתוני בריאות רגישים של עובדים, מחלקת הכספים שלך עשויה להסתמך על גישה ושימוש במאגרי מידע המכילים פרטי שכר עובדים.
עם זאת, יש לספק, לשנות ולבטל את זכויות הגישה הללו בהתאם למדיניות בקרת הגישה של הארגון שלך ולבקרות הגישה שלו, כך שתוכל למנוע גישה בלתי מורשית לנכסי מידע, שינוי והשמדה.
לדוגמה, אם לא תבטל את זכויות הגישה של עובד לשעבר, עובד זה עלול לגנוב מידע רגיש.
בקרה 5.18 עוסקת כיצד ארגונים צריכים להקצות, לשנות ולבטל זכויות גישה תוך התחשבות בדרישות העסקיות.
בקרה 5.18 מאפשרת לארגון להקים וליישם נהלים ובקרות מתאימים להקצאה, שינוי וביטול של זכויות גישה למערכות מידע בהתאם למדיניות בקרת הגישה של הארגון ובקרות הגישה שלו.
בקרה 5.18 היא בקרה מונעת המחייבת ארגונים לבטל את הסיכון של גישה לא מורשית למערכות מידע על ידי הצבת כללים, נהלים ובקרות חזקות.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ניהול זהות וגישה | #הֲגָנָה |
קצין אבטחת מידע צריך להיות אחראי לקבוע, ליישם ולבדוק כללים, תהליכים ובקרות מתאימים למתן, שינוי וביטול של זכויות גישה למערכות מידע.
בעת הקצאה, שינוי וביטול זכויות גישה, קצין אבטחת המידע צריך לשקול את הצרכים העסקיים ועליו לעבוד בשיתוף פעולה הדוק עם בעלי נכסי מידע כדי להבטיח שהכללים והתהליכים יישמרו.
ארגונים צריכים לשלב את הכללים והבקרות הבאים בתהליך להקצאה וביטול של זכויות גישה לאדם מאומת:
זכויות גישה פיזיות והגיוניות צריכות לעבור בדיקות תקופתיות תוך התחשבות:
לפני שעובד מקודם או מורד בדרגה באותו ארגון או בעת סיום העסקתו, יש להעריך ולשנות את זכויות הגישה שלו למערכות עיבוד מידע תוך התחשבות בגורמי הסיכון הבאים:
ארגונים צריכים לשקול הקמת תפקידי גישת משתמשים בהתבסס על הדרישות העסקיות שלהם. תפקידים אלה צריכים לכלול את סוגי ומספר זכויות הגישה שיוענקו לכל קבוצת משתמשים.
יצירת תפקידים כאלה תקל על הניהול והסקירה של בקשות גישה וזכויות.
ארגונים צריכים לכלול הוראות חוזיות לגישה בלתי מורשית וסנקציות בגין גישה כזו בחוזי העסקה/שירות שלהם עם הצוות שלהם. זה צריך להיות בהתאם לפקדים 5.20, 6.2, 6.4 ו-6.6.
ארגונים צריכים להיות זהירים מעובדים ממורמרים שמפוטרים על ידי ההנהלה מכיוון שהם עלולים לפגוע במערכות מידע בכוונה.
אם ארגונים מחליטים להשתמש בטכניקות השיבוט כדי להעניק זכויות גישה, עליהם לבצע זאת על בסיס תפקידים נפרדים שנקבעו על ידי הארגון.
יש לציין ששיבוט מגיע עם הסיכון הטמון במתן זכויות גישה מוגזמות.
27002:2022/5.18 מחליף את 27002:2013/(9.2.2, 9.2.5, 9.2.6).
למרות ש-Control 9.2.2 בגרסת 2013 מונה שש דרישות להקצאה וביטול של זכויות גישה, Control 5.18 ב-2022 מציג שלוש דרישות חדשות בנוסף לשש הדרישות הללו:
בקרה 9.5 בגרסה 2013 קבעה במפורש שארגונים צריכים לבדוק את ההרשאה לזכויות גישה מורשות במרווחים תכופים יותר מאשר זכויות גישה אחרות. בקרת 5.18 בגרסה 2022, להיפך, לא כללה דרישה זו.
ISMS.online היא פלטפורמה מבוססת ענן המציעה סיוע ביישום תקן ISO 2702 בצורה יעילה וחסכונית.
הוא מספק לארגונים גישה קלה למידע עדכני על מצב התאימות שלהם בכל עת באמצעות ממשק לוח המחוונים הידידותי למשתמש שלו, המאפשר למנהלים לעקוב אחר ההתקדמות שלהם לקראת השגת תאימות במהירות ובקלות.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |