הגנה מפני איומים פיזיים וסביבתיים

ISO 27002:2022 – בקרה 7.5 – הגנה מפני איומים פיזיים וסביבתיים

ISO 27002:2022 בקרה 7.5 מדגיש את הצורך של ארגונים להעריך ולהפחית איומים פיזיים וסביבתיים (למשל, אסונות טבע, תסיסה אזרחית ופשע) כדי להגן על תשתית ונכסי מידע קריטיים. הוא מדגיש הערכות סיכונים ואמצעי מניעה כמו כיבוי שריפות ובקרות אבטחה כדי להבטיח סודיות נתונים, שלמות וזמינות.

הגנה על הארגון שלך מפני איומים פיזיים וסביבתיים

איומים על נכסי מידע אינם רק דיגיטליים: תשתית פיזית קריטית של ארגון המארח נכסי מידע חשופה גם לאיומים סביבתיים ופיזיים שעלולים לגרום לאובדן, הרס, גניבה ופגיעה של נכסי מידע ונתונים רגישים.

איומים אלו עשויים לכלול אירועי טבע כגון רעידות אדמה, שיטפונות ושריפות. הם עשויים לכלול גם אסונות מעשה ידי אדם כגון תסיסה אזרחית ופעילויות פליליות.

בקרה 7.5 מתייחסת לאופן שבו ארגונים יכולים להעריך, לזהות ולהפחית סיכונים לתשתית פיזית קריטית עקב איומים פיזיים וסביבתיים.

מטרת הבקרה 7.5

בקרה 7.5 מאפשרת לארגונים למדוד את השפעות שליליות אפשריות של איומים סביבתיים ופיזיים וכדי למתן ו/או לבטל את ההשפעות הללו על ידי הצבת אמצעים מתאימים.

טבלת בקרה של תכונות 7.5

בקרה 7.5 היא סוג מניעתי של בקרה דורש מארגונים לבטל ו/או לצמצם את ההשלכות שעלולים לנבוע מסיכונים חיצוניים כגון אסונות טבע ותקריות מעשה ידי אדם.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ביטחון פיזי	#הֲגָנָה
	#יושרה
	#זמינות

בעלות על שליטה 7.5

בקרה 7.5 דורשת מארגונים לבצע הערכת סיכונים מעמיקה לפני תחילת פעולות כלשהן בהנחה פיזית וליישם את האמצעים הדרושים התואמים את רמת הסיכון שזוהתה.

קציני אבטחה ראשיים, לפיכך, צריכים להיות אחראים ליצירה, ניהול, יישום וביקורת של התהליך כולו.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

הנחיות כלליות בנושא ציות

בקרה 7.5 מציינת תהליך בן שלושה שלבים לזיהוי וביטול סיכונים עקב איומים פיזיים וסביבתיים:

שלב 1: השלם הערכת סיכונים

ארגונים צריכים לבצע הערכת סיכונים לזהות אסונות פיזיים וסביבתיים פוטנציאליים שעלולים להתרחש בכל הנחה פיזית ספציפית ולאחר מכן למדוד את ההשפעות שעלולות להתעורר עקב האיומים הפיזיים והסביבתיים שזוהו.

בהתחשב בכך שכל הנחת יסוד ותשתית פיזית בה תהיה כפופה לתנאים סביבתיים שונים ולגורמי סיכון פיזיים, סוג האיום ורמת הסיכון המזוהה ישתנו לפי כל הנחה ומיקומה.

לדוגמה, בעוד שהנחת יסוד אחת עשויה להיות הפגיעה ביותר לשריפות בשדה קוצים, הנחות אחרות עשויות להיות ממוקמות באזור שבו רעידות אדמה מתרחשות לעתים קרובות.

דרישה קריטית נוספת שנקבעה על ידי בקרה 7.5 היא שהערכת סיכונים זו צריכה להתבצע לפני תחילת הפעולות בהנחה פיזית.

שלב 2: זיהוי ויישום בקרות

בהתבסס על סוג האיום ורמת הסיכון שזוהתה בשלב הראשון, ארגונים צריכים להפעיל בקרות מתאימות תוך התחשבות בהשלכות הסבירות של האיומים הסביבתיים והפיזיים.

לשם המחשה, בקרה 7.5 מספקת דוגמאות לפקדים שניתן להפעיל עבור האיומים הבאים:

אֵשׁ: ארגונים צריכים לפרוס מערכות כדי להפעיל אזעקות כאשר מתגלה שריפה או להפעיל מערכות כיבוי אש המסוגלות להגן על אמצעי אחסון ומערכות מידע מפני נזק.

שִׁיטָפוֹן: יש לפרוס מערכות ולהגדיר אותן כדי לזהות הצפה באזורים שבהם מאוחסנים נכסי מידע. יתר על כן, כלים כגון משאבות מים צריכים להיות מוכנים לשימוש במקרה של הצפה.

נחשולי מתח חשמלי: שרתים וקריטיים מערכות ניהול מידע יש לתחזק ולהגן מפני הפסקות חשמל.

חומרי נפץ וכלי נשק: ארגונים צריכים לבצע ביקורות אקראיות ובדיקות של כל הפרטים, הפריטים וכלי הרכב הנכנסים לחצרים המארח תשתית קריטית.

שלב 3: ניטור

בהתחשב בכך שסוג האיומים ורמת הסיכונים עשויים להשתנות עם הזמן, ארגונים צריכים לפקח באופן רציף על הערכות הסיכונים ולשקול מחדש את הבקרות שהם יישמו במידת הצורך.

הדרכה משלימה

בקרה 7.5 מפרטת ארבעה שיקולים ספציפיים שארגונים צריכים לקחת בחשבון.

התייעצות עם מומחים

כל סוג ספציפי של איום סביבתי ופיזי, בין אם הוא פסולת רעילה, רעידת אדמה או שריפה, הוא ייחודי מבחינת אופיו, הסיכונים שהוא מציג ואמצעי הנגד שהוא דורש.

לכן, ארגונים צריכים לבקש ייעוץ של מומחה כיצד לזהות ביטול ו/או הפחתת סיכונים הנובעים מאיומים אלו.

בחירת מיקום לחצרים

בהתחשב בטופוגרפיה המקומית, מפלסי המים והתנועות הטקטוניות של המיקום הפוטנציאלי של המקום יכולים לעזור לזהות ולחסל סיכונים בשלב מוקדם.

יתר על כן, ארגונים צריכים לשקול את הסיכונים של אסונות מעשה ידי אדם באזור העירוני הנבחר כגון תסיסה פוליטית ופעילות פלילית.

שכבת אבטחה נוספת

בנוסף לבקרות הספציפיות שהופעלו, אחסון מידע מאובטח שיטות כגון כספות יכולות להוסיף שכבה נוספת של אבטחה מפני פגעים כגון שריפות והצפות.

מניעת פשיעה באמצעות עיצוב סביבתי

בקרה 7.5 ממליץ לארגונים לשקול מושג זה בעת יישום בקרות לשיפור האבטחה של הנחות. ניתן להשתמש בשיטה זו כדי לחסל איומים עירוניים כגון פעילות פלילית, תסיסה אזרחית וטרור.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/7.5 replaces 27002:2013/(11.1.4)

בעוד שגרסת 2013 התייחסה לאופן שבו ארגונים צריכים להפעיל אמצעי מניעה מתאימים נגד איומים פיזיים וסביבתיים, גרסת 2022 היא הרבה יותר מקיפה מבחינת צעדי ציות ספציפיים שארגונים צריכים לנקוט.

בסך הכל, ישנם שני הבדלים מרכזיים:

גרסת 2022 מספקת הנחיות לגבי תאימות

גרסת 2013 לא כללה כל הנחיה כיצד ארגונים צריכים לזהות ולחסל סיכונים עקב איומים סביבתיים ופיזיים.

גרסת 2022, בחוזה, מתארת תהליך בן שלושה שלבים שארגונים צריכים לבצע, כולל ביצוע הערכת סיכונים.

גרסת 2022 ממליצה לארגונים לשקול ליישם שכבה נוספת של אמצעים

בהנחיה המשלימה, גרסת 2022 מתייחסת לאמצעים כגון שימוש בכספות ומניעת פשיעה באמצעות תפיסות עיצוב סביבתיות שניתן להשתמש בהן כדי לשפר את ההגנה מפני איומים.

גרסת 2013, לעומת זאת, לא התייחסה לצעדים נוספים שכאלה.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

השמיים פלטפורמת ISMS.online מספק מגוון של כלים רבי עוצמה המפשטים את הדרך שבה אתה יכול לתעד, ליישם, לתחזק ולשפר את מערכת ניהול אבטחת המידע שלך (ISMS) ולהשיג עמידה בתקן ISO 27002.

חבילת הכלים המקיפה מעניקה לך מקום מרכזי אחד בו תוכל ליצור סט מדיניות ונהלים בהתאמה אישית הסיכונים והצרכים הספציפיים של הארגון.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו