בקרה 7.8, איכון והגנה על ציוד

ISO 27002:2022 – בקרה 7.8 – איכון והגנה על ציוד

ISO 27002 בקרה 7.8 מתווה שיטות עבודה מומלצות לאיתור והגנה על ציוד, המבטיח שנכסי IT מוגנים מפני סיכונים פיזיים, סביבתיים וגישה בלתי מורשית. הוא מדגיש מיקום מאובטח, ניטור סביבתי והגנה אלקטרומגנטית כדי לשמור על אבטחת מידע.

ISO 27002 בקרה 7.8: שיטות עבודה מומלצות לאיתור והגנה על ציוד

בעוד שאיומי סייבר כגון התקפות תוכנות זדוניות, הזרקת SQL ויירוט תעבורה הופכים מתוחכמים יותר ומהווים סיכון גדול ל- אבטחת נכסי מידע.

נוף הסיכון אינו מוגבל למתקפות סייבר מבוססות תוכנה:

איומים פיזיים וסביבתיים על ציוד IT כגון שרתים, מחשבים, כוננים קשיחים ומדיות אחסון נשלפות עלולים גם הם לסכן את זמינות, סודיות ושלמות של נכסי מידע.

לדוגמה, שפיכת משקה לשרת, כיבוי של מערכת מחשב עקב טמפרטורה גבוהה וגישה לא מורשית למערכת מחשב שאינה ממוקמת באזור מאובטח הם כולם דוגמאות לאיומים פיזיים על בית הציוד נכסי מידע.

בקרה 7.8 מתייחסת לאופן שבו ארגונים יכולים לחסל ולהפחית סיכונים הנובעים מאיומים פיזיים וסביבתיים לציוד המארח נכסי מידע.

מטרת הבקרה 7.8

שליטה 7.8 מאפשר לארגונים לחסל ו/או למתן שני סוגים של סיכונים לציוד המכיל נכסי מידע:

איומים פיזיים וסביבתיים על ציוד כגון תאורה, הפסקות חשמל, גניבה, הפרעות תקשורת והפרעות חשמליות. איומים אלה כוללים גם שינויים בתנאי הסביבה כמו לחות ורמות טמפרטורה שעלולים לשבש את פעילויות עיבוד המידע.
גישה בלתי מורשית לציוד, שימוש בו, נזק והשמדה של ציוד שאינו מאוחסן באזורים מאובטחים.

טבלת בקרה של תכונות 7.8

בקרה 7.8 היא סוג מניעתי של בקרה המחייב ארגונים לשמור על שלמות, זמינות וסודיות של נכסי מידע על ידי הגנה על ציוד המכיל נכסי מידע מפני איומים פיזיים וסביבתיים.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ביטחון פיזי	#הֲגָנָה
	#יושרה		#ניהול נכסים
	#זמינות

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 7.8

עמידה ב-Control 7.8 כרוכה ביצירת מלאי של ציוד המארח נכסי מידע, מיקום כל הציוד באזורים מאובטחים ויישום אמצעים מתאימים למניעת איומים פיזיים וסביבתיים.

לכן, מנהלי אבטחת מידע צריכים להיות אחראים להקמה, יישום ותחזוקה של אמצעים נחוצים והנחיות לגבי מיקום מאובטח והגנה על ציוד.

הנחיות כלליות בנושא ציות

בקרה 7.8 קובעת תשע דרישות ספציפיות שיש לקחת בחשבון לצורך תאימות:

יש למקם את הציוד באזורים מאובטחים כך שאנשים לא מורשים לא יוכלו לקבל גישה לציוד.
כלים המשמשים לעיבוד מידע רגיש כגון מחשבים, צגים ומדפסות צריכים להיות ממוקמים בצורה בלתי מורשית אנשים לא יכולים לראות מידע המוצג על המסכים ללא רשות.
יש לנקוט אמצעים מתאימים כדי למנוע ו/או להפחית סיכונים הנובעים מאיומים פיזיים וסביבתיים כגון חומרי נפץ, הפרעות תקשורת, אש, אבק וקרינה אלקטרומגנטית.
לדוגמה, מוט ברק יכול להיות שליטה יעילה נגד פגיעות ברק.
יש לקבוע הנחיות לגבי אכילה ושתייה סביב ציוד ולהעביר אותם לכל הגורמים הרלוונטיים.
יש לנטר תנאים סביבתיים שעלולים לשבש את פעולות עיבוד המידע. אלה עשויים לכלול רמות טמפרטורה ולחות.
יש ליישם מנגנוני הגנה מפני ברקים בכל המבנים והמשרדים. יתר על כן, מסנני הגנה מפני ברקים צריכים להיות מובנים בכל קווי החשמל הנכנסים, כולל קווי תקשורת.
אם הציוד ממוקם בסביבה תעשייתית, יש להשתמש בבקרות הגנה מיוחדות כגון ממברנות מקלדת במידת הצורך.
פליטה אלקטרומגנטית עלולה לגרום לדליפה של מידע רגיש. לכן, דיור ציוד רגיש או קריטי יש לאבטח נכסי מידע כדי למנוע סיכון כזה.
ציוד IT בבעלות ובשליטה של ארגון צריך להיות מופרד בבירור מאלה שאינם בבעלות ובשליטה של הארגון.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/7.8 replaces 27002:2013/(11.2.1)

בעוד שגרסאות 2022 ו-2013 דומות במידה רבה, יש הבדל מרכזי אחד שצריך להדגיש:

בניגוד לגרסת 2013, Control 7.8 בגרסה 2022 מציגה את הדרישה הבאה:

ציוד IT בבעלות ובשליטה של ארגון צריך להיות מופרד בבירור מאלה שאינם בבעלות ובשליטה של הארגון.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

הפלטפורמה שלנו אינטואיטיבית וקל לשימוש. זה לא רק לאנשים טכניים מאוד; זה מיועד לכולם בארגון שלך. אנו ממליצים לך לערב צוות בכל הרמות של העסק שלך בתהליך בניית ה-ISMS שלך, כי זה עוזר לך לבנות מערכת בת קיימא באמת.

חלק מהמפתח יתרונות השימוש ב-ISMS.online כוללות:

אתה יכול לבנות את שלך ISMS תואם ISO 27001 בתוך הפלטפורמה.
משתמשים יכולים להשלים משימות ולהגיש ראיות כדי להוכיח עמידה בתקן.
קל להאציל אחריות ולפקח על ההתקדמות לקראת ציות.
הנרחב הערכת סיכונים ערכת כלים חוסכת זמן ומאמץ לאורך כל התהליך.
יש לנו מסור צוות יועצים זמין לתמיכה אותך לאורך כל המסע שלך לציות.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו