ISO 27002, בקרה 5.3, הפרדת תפקידים

מהי בקרה 5.3 הפרדת תפקידים?

הסבר חובות סותרות ותחומי אחריות

לכל ארגון יש מערכת של מדיניות ונהלים (P&Ps) המסדירים את פעולתו הפנימית. P&P אמורים להיות מתועדים, אבל לעתים קרובות הם לא.

אם ה-P&P הללו אינם ברורים או מועברים היטב, התוצאה היא בלבול בקרב העובדים לגבי תחומי אחריותם. זה יכול להחמיר עוד יותר כאשר לעובדים יש אחריות חופפת, או תחומי אחריות סותרים.

קונפליקטים יכולים להתרחש כאשר לשני עובדים או יותר יש אחריות דומה או שונה כלפי משימה מסוימת. כאשר זה קורה, העובדים עשויים בסופו של דבר לעשות את אותו הדבר פעמיים, או לעשות דברים שונים המבטלים את המאמצים של זה. זה מבזבז את משאבי החברה ומפחית את התפוקה, מה שמשפיע הן על השורה התחתונה והן על המורל של החברה.

על מנת לוודא שהארגון שלכם לא סובל מבעיה זו, חשוב להבין מהם תחומי אחריות סותרים, מדוע הם קורים וכיצד תוכלו למנוע את התרחשותם בארגון שלכם. לרוב, משמעות הדבר היא הפרדת חובות כך שאנשים שונים יתמודדו בצורה שונה תפקידים בארגון.

טבלת בקרה של תכונות 5.3

בקרות מסווגות לפי התכונות שלהן. תכונות עוזרות לך להתאים את בחירת הבקרה שלך לסטנדרטים ולשפה בתעשייה. בפקד 5.3 אלה הם:

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ממשל	#ממשל ומערכת אקולוגית
	#יושרה		#ניהול זהות וגישה
	#זמינות

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

מהי מטרת בקרה 5.3?

מטרת הבקרה 5.3 הפרדת חובות ב-ISO 27002 היא להפחית את הסיכון להונאה, שגיאות ועקיפה של בקרות אבטחת מידע על ידי הבטחת הפרדת חובות סותרות.

בקרה 5.3 הסבר

בקרה 5.3 מכסה את הנחיות היישום למשימות וחובות הפרדה בארגון בהתאם למסגרת של ISO 27001.

העיקרון כולל פירוק משימות מפתח לתת-משימות והקצאתן לאנשים שונים. כך נוצרת מערכת של בלמים ואיזונים שיכולה להפחית את הסיכון לטעויות או הונאה.

הבקרה נועדה למנוע מאדם בודד את היכולת לבצע, להסתיר ולהצדיק פעולות לא ראויות, ובכך להקטין את הסיכון להונאה או שגיאה. זה גם מונע מאדם בודד את היכולת לעקוף את בקרות אבטחת המידע.

אם לעובד אחד יש את כל הזכויות הנדרשות עבור משימה מסוימת, קיים סיכון גבוה יותר להונאה או שגיאה מכיוון שאדם אחד יכול לעשות הכל ללא כל בלמים ואיזונים. אולם אם לאף אדם בודד אין את כל זכויות הגישה הנדרשות למשימה מסוימת, הדבר מפחית את הסיכון שעובד עלול לגרום לנזק משמעותי או הפסד כספי.

מה כרוך ואיך לעמוד בדרישות

חובות ותחומי אחריות שאינם מופרדים עלולים להוביל להונאה, שימוש לרעה, גישה בלתי הולמת ועוד. אירועי ביטחון.

בנוסף, יש צורך בהפרדת תפקידים כדי להפחית את הסיכונים הקשורים לפוטנציאל לקנוניה בין אנשים. סיכונים אלה גדלים כאשר אין מספיק בקרות כדי למנוע או לזהות קנוניה.

על מנת לעמוד בדרישות לבקרה 5.3 ב-ISO 27002:2022, על הארגון לקבוע אילו חובות ותחומי אחריות צריכים להיות מופרדים ולהקים בקרות הפרדה ניתנות לפעולה.

כאשר בקרות כאלה אינן אפשריות, במיוחד עבור ארגונים קטנים עם כוח צוות מינימלי, ניטור פעילויות, מסלולי ביקורת ופיקוח ההנהלה יכול לשמש. עבור ארגונים גדולים יותר, ניתן להשתמש בכלים אוטומטיים כדי לזהות ולהפריד תפקידים כך שלא יוקצו לאנשים תפקידים סותרים.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

הבדלים בין ISO 27002:2013 ל-ISO 27002:2022

מספר הבקרה 5.3 הפרדת חובות ב-ISO 27002:2022 אינו בקרה חדשה. זוהי פשוט גרסה משופרת של שליטה 6.1.2 הפרדת חובות שנמצאת ב-ISO 27002:2013.

היסודות של הפרדת תפקידים זהים הן בבקרה 5.3 ISO 27002:2022 והן בבקרה 6.1.2 ISO 27002:2013. עם זאת, הגרסה החדשה מתארת קבוצה של פעילויות הדורשות הפרדה בעת יישום בקרה זו.

פעילויות אלו הן:

a) ייזום, אישור וביצוע שינוי;

b) בקשה, אישור ויישום זכויות גישה;

c) עיצוב, יישום ובדיקת קוד;

d) פיתוח תוכנה וניהול מערכות ייצור;

e) שימוש וניהול יישומים;

f) שימוש ביישומים וניהול מסדי נתונים;

g) תכנון, ביקורת ואבטחה בקרות אבטחת מידע.

מי אחראי על התהליך הזה?

ישנם מספר אנשים שאחראים על הפרדת תפקידים ב-ISO 27002. ראשית, יש לערב חבר בכיר בצוות ההנהלה כדי לוודא שהשלב הראשוני הערכת סיכונים הושלם.

לאחר מכן יש להקצות את התהליכים המכסים חלקים שונים בארגון לקבוצות שונות של עובדים מוסמכים. כדי למנוע מעובדים נוכלים לערער את אבטחת החברה, הדבר נעשה בדרך כלל על ידי הקצאת משימות ליחידות עבודה שונות וחלוקה מחלקתית של התפעול והתחזוקה הקשורים ל-IT.

לבסוף, הפרדת תפקידים לא יכולה להתבצע בצורה נכונה ללא תוכנית ביקורת IT מתאימה, אסטרטגיית ניהול סיכונים יעילה וכן על ידי סביבת בקרה מתאימה.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

תקן ה-ISO 27002:2022 החדש לא מחייב אותך לעשות הרבה חוץ מ שדרג את ה-ISMS שלך תהליכים שישקפו את הבקרות המשופרות. ואם הצוות שלך לא יכול לנהל את זה, ISMS.online יכול לעזור לך.

ISMS.online מייעל את תהליך ההטמעה של ISO 27002 על ידי מתן מסגרת מתוחכמת מבוססת ענן לתיעוד נהלי מערכת ניהול אבטחת מידע ורשימות ביקורת כדי להבטיח עמידה בתקנים מוכרים.

כאשר אתה משתמש ב-ISMS.online, תוכל:

צור ISMS התואם לתקני ISO 27001.
לבצע משימות ולהגיש הוכחות לכך שהם עמדו בדרישות התקן.
להקצות משימות ולעקוב אחר ההתקדמות לקראת ציות לחוק.
קבל גישה לצוות מיוחד של יועצים שיסייע לך לאורך כל הדרך שלך לקראת ציות.

הודות לפלטפורמה מבוססת הענן שלנו, ניתן כעת לנהל באופן מרכזי את רשימות הבדיקה שלך, לקיים אינטראקציה עם עמיתים ולהשתמש בסט מקיף של כלים כדי לעזור לארגון שלך ליצור ולתפעל ISMS בהתאם לשיטות עבודה מומלצות ברחבי העולם.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו