שימוש בהתקני מדיה אחסון כגון כונני מצב מוצק (SSD), מקלות USB, כוננים חיצוניים וטלפונים ניידים חיוניים לפעולות עיבוד מידע קריטיות רבות כגון גיבוי נתונים, אחסון נתונים והעברת מידע.
עם זאת, האחסון של רגיש וקריטי מידע על מכשירים אלה מציג סיכונים לשלמות, סודיות וזמינות של נכסי מידע. סיכונים אלו עשויים לכלול אובדן או גניבה של אמצעי אחסון המכילים מידע רגיש, הפצת תוכנות זדוניות לכל רשתות המחשוב הארגוניות באמצעות מדיית האחסון, וכשל והשפלה של התקני מדיית אחסון המשמשים לגיבוי נתונים.
בקרה 7.10 מתייחסת לאופן שבו ארגונים יכולים לקבוע נהלים, מדיניות ובקרות מתאימים כדי לשמור על אבטחת אמצעי האחסון לאורך מחזור החיים שלה, מרכישתה ועד לסילוקה.
בקרה 7.10 מאפשרת לארגונים לבטל ולצמצם סיכונים של גישה לא מורשית, שימוש, מחיקה, שינוי והעברה של מידע רגיש המתארח בהתקני מדיית אחסון על ידי קביעת נהלים לטיפול באמצעי אחסון לאורך כל מחזור החיים שלו.
בקרה 7.10 היא סוג מניעתי של בקרה הדורש מארגונים ליצור, ליישם ולתחזק נהלים ואמצעים כדי להבטיח את האבטחה של התקני מדיה אחסון מרכישתם ועד לסילוקם.
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ביטחון פיזי #ניהול נכסים | #הֲגָנָה |
Control 7.10 חל הן על מדיית אחסון דיגיטלית והן על מדיה פיזית. לדוגמה אחסון מידע על קבצים פיזיים מכוסה גם על ידי בקרה 7.10.
יתר על כן, לצד מדיית האחסון הנשלפת, מדיית אחסון קבועה כגון דיסקים קשיחים כפופה גם ל-Control 7.10.
בקרה 7.10 מחייבת ארגונים ליצור וליישם נהלים מתאימים, בקרות טכניות ומדיניות כלל ארגונית על השימוש באמצעי אחסון בהתבסס על תכנית הסיווג של הארגון עצמו ודרישות הטיפול בנתונים שלו, כגון התחייבויות משפטיות וחוזיות.
בהתחשב בכך, מנהלי אבטחת מידע צריכים להיות אחראים לכל תהליך הציות.
בעוד שאמצעי אחסון נשלפים חיוניים לפעולות עסקיות רבות והם נמצאים בשימוש נפוץ על ידי רוב אנשי הצוות, הם מציגים את מידת הסיכון הגבוהה ביותר למידע הרגיש.
בקרה 7.10 מפרטת עשר דרישות שארגונים צריכים לעמוד בהן לניהול אמצעי אחסון נשלפים לאורך מחזור החיים שלו:
Control 7.10 מספק הנחיות נפרדות לגבי שימוש חוזר וסילוק מאובטח של אמצעי אחסון, כך שארגונים יכולים לצמצם ולבטל סיכונים לפגיעה בסודיות המידע.
בקרה 7.10 מדגישה שארגונים צריכים להגדיר וליישם נהלים לשימוש חוזר ולסילוק של אמצעי אחסון, תוך התחשבות ברמת הרגישות של המידע הכלול באמצעי האחסון.
בקביעת נהלים אלה, ארגונים צריכים לשקול את הדברים הבאים:
אחרון חביב, Control 7.10 דורש מארגונים לבצע א הערכת סיכונים על ציוד פגום המאחסן מידע סודי להחליט אם יש להרוס את הציוד במקום לתקן.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
27002:2022/7.10 מחליף את 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)
ישנם ארבעה הבדלים עיקריים שצריך להדגיש:
ואילו גרסת 2013 הכילה שלושה נפרדים בקרות על הניהול של מדיה, סילוק מדיה והעברת מדיה פיזית, גרסת 2022 משלבת את שלושת הפקדים הללו תחת בקרה 7.10.
בניגוד לגרסת 2013 שעסקה רק בסילוק מאובטח של אמצעי אחסון, גרסת 2022 עוסקת גם בשימוש חוזר מאובטח באמצעי אחסון.
גרסת 2013 כללה דרישות מקיפות יותר להעברה פיזית של אמצעי אחסון. לדוגמה, גרסת 2013 כללה כללים לגבי אימות תעודת זהות עבור שליחים ותקני אריזה.
בקרה 7.10 בגרסת 2022, לעומת זאת, קבעה רק שארגונים צריכים לפעול בשקידה בבחירת נותני שירות כמו שליחים.
בעוד שגרסאות 2022 ו-2013 דומות במידה רבה מבחינת הדרישות עבור מדיית אחסון נשלפת, גרסת 2022 מציגה את הדרישה של קביעת מדיניות ספציפית לנושא על מדיית אחסון נשלפת. גרסת 2013, לעומת זאת, לא כיסתה את הדרישה הזו.
השמיים פלטפורמת ISMS.online משתמש בגישה מבוססת סיכונים בשילוב עם שיטות עבודה ותבניות מומלצות מהמובילות בתעשייה כדי לעזור לך לזהות את הסיכונים העומדים בפני הארגון שלך ואת הבקרות הנדרשות לניהול סיכונים אלו. זה מאפשר לך להפחית באופן שיטתי הן את חשיפת הסיכון והן את עלויות הציות שלך.
צור קשר עוד היום כדי הזמן הדגמה.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
