ISO 27002: 2022 בקרה 5.3 - הפרדת חובות, הידועה בעבר בשם בקרה 6.1.2 ב-ISO 27002:2013 מגדירה את המערכת שבאמצעותה מופרדים חובות סותרות ותחומי אחריות סותרים.
לכל ארגון יש מערכת של מדיניות ונהלים (P&Ps) המסדירים את פעולתו הפנימית. P&P אמורים להיות מתועדים, אבל לעתים קרובות הם לא.
אם ה-P&P הללו אינם ברורים או מועברים היטב, התוצאה היא בלבול בקרב העובדים לגבי תחומי אחריותם. זה יכול להחמיר עוד יותר כאשר לעובדים יש אחריות חופפת, או תחומי אחריות סותרים.
קונפליקטים יכולים להתרחש כאשר לשני עובדים או יותר יש אחריות דומה או שונה כלפי משימה מסוימת. כאשר זה קורה, העובדים עשויים בסופו של דבר לעשות את אותו הדבר פעמיים, או לעשות דברים שונים המבטלים את המאמצים של זה. זה מבזבז את משאבי החברה ומפחית את התפוקה, מה שמשפיע הן על השורה התחתונה והן על המורל של החברה.
על מנת לוודא שהארגון שלכם לא סובל מבעיה זו, חשוב להבין מהם תחומי אחריות סותרים, מדוע הם קורים וכיצד תוכלו למנוע את התרחשותם בארגון שלכם. לרוב, משמעות הדבר היא הפרדת חובות כך שאנשים שונים יתמודדו בצורה שונה תפקידים בארגון.
בקרות מסווגות לפי התכונות שלהן. תכונות עוזרות לך להתאים את בחירת הבקרה שלך לסטנדרטים ולשפה בתעשייה. בפקד 5.3 אלה הם:
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ממשל #ניהול זהות וגישה | #ממשל ומערכת אקולוגית |
מטרת הבקרה 5.3 הפרדת חובות ב-ISO 27002 היא להפחית את הסיכון להונאה, שגיאות ועקיפה של בקרות אבטחת מידע על ידי הבטחת הפרדת חובות סותרות.
בקרה 5.3 מכסה את הנחיות היישום למשימות וחובות הפרדה בארגון בהתאם למסגרת של ISO 27001.
העיקרון כולל פירוק משימות מפתח לתת-משימות והקצאתן לאנשים שונים. כך נוצרת מערכת של בלמים ואיזונים שיכולה להפחית את הסיכון לטעויות או הונאה.
הבקרה נועדה למנוע מאדם בודד את היכולת לבצע, להסתיר ולהצדיק פעולות לא ראויות, ובכך להקטין את הסיכון להונאה או שגיאה. זה גם מונע מאדם בודד את היכולת לעקוף את בקרות אבטחת המידע.
אם לעובד אחד יש את כל הזכויות הנדרשות עבור משימה מסוימת, קיים סיכון גבוה יותר להונאה או שגיאה מכיוון שאדם אחד יכול לעשות הכל ללא כל בלמים ואיזונים. אולם אם לאף אדם בודד אין את כל זכויות הגישה הנדרשות למשימה מסוימת, הדבר מפחית את הסיכון שעובד עלול לגרום לנזק משמעותי או הפסד כספי.
חובות ותחומי אחריות שאינם מופרדים עלולים להוביל להונאה, שימוש לרעה, גישה בלתי הולמת ועוד. אירועי ביטחון.
בנוסף, יש צורך בהפרדת תפקידים כדי להפחית את הסיכונים הקשורים לפוטנציאל לקנוניה בין אנשים. סיכונים אלה גדלים כאשר אין מספיק בקרות כדי למנוע או לזהות קנוניה.
על מנת לעמוד בדרישות לבקרה 5.3 ב-ISO 27002:2022, על הארגון לקבוע אילו חובות ותחומי אחריות צריכים להיות מופרדים ולהקים בקרות הפרדה ניתנות לפעולה.
כאשר בקרות כאלה אינן אפשריות, במיוחד עבור ארגונים קטנים עם כוח צוות מינימלי, ניטור פעילויות, מסלולי ביקורת ופיקוח ההנהלה יכול לשמש. עבור ארגונים גדולים יותר, ניתן להשתמש בכלים אוטומטיים כדי לזהות ולהפריד תפקידים כך שלא יוקצו לאנשים תפקידים סותרים.
מספר הבקרה 5.3 הפרדת חובות ב-ISO 27002:2022 אינו בקרה חדשה. זוהי פשוט גרסה משופרת של שליטה 6.1.2 הפרדת חובות שנמצאת ב-ISO 27002:2013.
היסודות של הפרדת תפקידים זהים הן בבקרה 5.3 ISO 27002:2022 והן בבקרה 6.1.2 ISO 27002:2013. עם זאת, הגרסה החדשה מתארת קבוצה של פעילויות הדורשות הפרדה בעת יישום בקרה זו.
פעילויות אלו הן:
a) ייזום, אישור וביצוע שינוי;
b) בקשה, אישור ויישום זכויות גישה;
c) עיצוב, יישום ובדיקת קוד;
d) פיתוח תוכנה וניהול מערכות ייצור;
e) שימוש וניהול יישומים;
f) שימוש ביישומים וניהול מסדי נתונים;
g) תכנון, ביקורת ואבטחה בקרות אבטחת מידע.
ישנם מספר אנשים שאחראים על הפרדת תפקידים ב-ISO 27002. ראשית, יש לערב חבר בכיר בצוות ההנהלה כדי לוודא שהשלב הראשוני הערכת סיכונים הושלם.
לאחר מכן יש להקצות את התהליכים המכסים חלקים שונים בארגון לקבוצות שונות של עובדים מוסמכים. כדי למנוע מעובדים נוכלים לערער את אבטחת החברה, הדבר נעשה בדרך כלל על ידי הקצאת משימות ליחידות עבודה שונות וחלוקה מחלקתית של התפעול והתחזוקה הקשורים ל-IT.
לבסוף, הפרדת תפקידים לא יכולה להתבצע בצורה נכונה ללא תוכנית ביקורת IT מתאימה, אסטרטגיית ניהול סיכונים יעילה וכן על ידי סביבת בקרה מתאימה.
תקן ה-ISO 27002:2022 החדש לא מחייב אותך לעשות הרבה חוץ מ שדרג את ה-ISMS שלך תהליכים שישקפו את הבקרות המשופרות. ואם הצוות שלך לא יכול לנהל את זה, ISMS.online יכול לעזור לך.
ISMS.online מייעל את תהליך ההטמעה של ISO 27002 על ידי מתן מסגרת מתוחכמת מבוססת ענן לתיעוד נהלי מערכת ניהול אבטחת מידע ורשימות ביקורת כדי להבטיח עמידה בתקנים מוכרים.
כאשר אתה משתמש ב-ISMS.online, תוכל:
הודות לפלטפורמה מבוססת הענן שלנו, ניתן כעת לנהל באופן מרכזי את רשימות הבדיקה שלך, לקיים אינטראקציה עם עמיתים ולהשתמש בסט מקיף של כלים כדי לעזור לארגון שלך ליצור ולתפעל ISMS בהתאם לשיטות עבודה מומלצות ברחבי העולם.
צור קשר עוד היום כדי הזמן הדגמה.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
