ISO 27002, בקרה 7.9, אבטחת נכסים מחוץ לשטח

ISO 27002:2022 – בקרה 7.9 – אבטחת נכסים מחוץ לשטח

ISO 27002 בקרה 7.9 מבטיח את האבטחה של נכסי מידע בעת שימוש או אחסון מחוץ לשטח על ידי הטמעת אמצעים כמו הליכי הרשאה, רישומי שרשרת משמורת ועמידה בהנחיות ההגנה הפיזית כדי למנוע אובדן, נזק או פשרה.

ISO 27002 בקרה 7.9: אבטחת נכסים מעבר למשרד

כאשר מכשירים המכילים נכסי מידע נלקחים מהשטח של ארגון, הם יהיו חשופים לסיכונים גבוהים יותר של נזק, אובדן, הרס, גניבה או פשרה.

זה בגלל ש בקרות אבטחה פיזיות מיושם בתוך מתקני הארגון לא יהיה אפקטיבי, מה שמשאיר את הנכסים שהועברו מחוץ לאתר חשופים לאיומים כגון סיכונים פיזיים וגישה לא מורשית על ידי גורמים זדוניים.

לדוגמה, עובדים שעובדים מחוץ לאתר יכולים להוציא מחשבים ארגוניים המכילים מידע רגיש מבית העסק, לעבוד בבית קפה או בלובי של מלון, להתחבר לרשת Wi-Fi ציבורית לא מאובטחת ולהשאיר את המכשירים שלהם ללא השגחה. כל אלה קיימים סיכונים לביטחון, סודיות, שלמות וזמינות המידע המתארח במכשירים אלה.

לכן, ארגונים צריכים להבטיח שמכשירים שהועברו מחוץ לאתר נשמרים מאובטחים.

שליטה בכתובות 7.9 כיצד ארגונים יכולים לשמור על האבטחה של מכשירים מחוץ לאתר המארחים נכסי מידע על ידי הקמת ויישום בקרות ונהלים מתאימים.

מטרת הבקרה 7.9

בקרה 7.9 מאפשרת לארגונים לשמור על אבטחת הציוד המכיל נכסי מידע על ידי מניעת שני סיכונים ספציפיים:

ביטול ו/או מזעור סיכונים לאובדן, נזק, הרס או פגיעה של מכשירים המכילים נכסי מידע כאשר הם נלקחים מחוץ לשטח.
מניעת ה סיכון של הפרעה לעיבוד המידע של הארגון פעילויות עקב פגיעה במכשירים מחוץ לאתר.

טבלת בקרה של תכונות 7.9

בקרה 7.9 היא מונעת במהותה. היא מאפשרת לארגונים ליישם בקרות ונהלים מתאימים באופן מנע, כך שמכשירים שהוסרו משטח הארגון יזכו לאותה רמת הגנה הניתנת למכשירים הנמצאים באתר.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ביטחון פיזי	#הֲגָנָה
	#יושרה		#ניהול נכסים
	#זמינות

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 7.9

בקרה 7.9 מחייבת ארגונים להקים וליישם נהלים ובקרות המכסים את כל המכשירים שבבעלות הארגון או בשימוש מטעם הארגון. יתר על כן, יצירת מלאי נכסים ואישור ההנהלה העליונה לשימוש במכשירים אישיים חיוניים להגנה יעילה על מכשירים מחוץ לאתר.

לפיכך, על מנהל אבטחת המידע להתייעץ עם ההנהלה ובעלי הנכסים הרלוונטיים ועליו להיות אחראי על יצירה, יישום ותחזוקה של נהלים ואמצעים לשמירה על אבטחת המכשירים שהוסרו משטחי החברה.

הנחיות כלליות בנושא ציות

בקרה 7.9 מפרטת שש דרישות שארגונים צריכים לעמוד בהן בעת תכנון ויישום אמצעים והנחיות להגנה על נכסים שנלקחו מחוץ לאתר:

אין להשאיר ציוד מחשוב ואמצעי אחסון שנלקחו מחוץ לאתר כגון מחשבים ארגוניים, USB, כוננים קשיחים ומסכים ללא השגחה במרחבים ציבוריים כגון בתי קפה או בכל אזור לא מאובטח.
יש לציית בכל עת להנחיות ומפרטי יצרן המכשיר לגבי ההגנה הפיזית של המכשיר הרלוונטי. לדוגמה, הוראות יצרן המכשיר עשויות לכלול כיצד להגן על המכשיר/הציוד מפני מים, חום, שדות אלקטרומגנטיים ואבק.
עובדים ו/או ארגונים אחרים המוציאים ציוד מחשוב מחוץ לתחומי החברה עשויים להעביר ציוד זה לעובדים אחרים או לצדדים שלישיים. כדי לשמור על אבטחת הציוד הזה, ארגונים צריכים לנהל יומן שמגדיר את שרשרת המשמורת. רשומת יומן זה צריכה להכיל לפחות שמות של אנשים אחראי על המכשיר והארגון שלו.
אם ארגון סבור שתהליך הרשאה הכרחי ומעשי להסרת ציוד מחוץ לשטחי החברה, עליו לקבוע וליישם נוהל אישור להוצאת ציוד מסוים מחוץ לאתר. הליך הרשאה זה צריך לכלול גם רישום של כל פעולות הסרת המכשיר כך שה לארגון יש מסלול ביקורת.
יש ליישם אמצעים מתאימים כדי למנוע את הסיכון של צפייה לא מורשית במידע על המסך בתחבורה ציבורית.
כלים למעקב אחר מיקום וגישה מרחוק צריכים להיות במקום כך שניתן יהיה לעקוב אחר המכשיר ולמחוק את המידע הכלול במכשיר מרחוק במידת הצורך.

הנחיות משלימות בקרה 7.9

בקרה 7.9 קובעת גם דרישות להגנה על ציוד המותקן מחוץ לשטחי החברה באופן קבוע.

ציוד זה עשוי לכלול אנטנות וכספומטים.

בהתחשב בכך שציוד זה עשוי להיות נתון לסיכונים מוגברים של נזק ואובדן, Control 7.9 דורשת מארגונים לקחת בחשבון את הדברים הבאים בעת הגנה על ציוד זה מחוץ לאתר:

יש לשקול בקרה 7.4, כלומר ניטור האבטחה הפיזי.
יש לקחת בחשבון בקרה 7.5, כלומר ההגנה מפני איומים סביבתיים ופיזיים
בקרות גישה יש להקים וליישם אמצעים מתאימים למניעת חבלה.
יש ליצור וליישם בקרות גישה לוגיות.

יתר על כן, בקרה 7.9 ממליצה לארגונים לשקול את בקרות 6.7 ו-8.1 בעת הגדרה ויישום אמצעים להגנה על מכשירים וציוד.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/ 7.9 מחליף את 27002:2013/(11.2.6)

ישנם שלושה הבדלים מרכזיים שצריך להדגיש:

בקרה 7.9 קובעת דרישות מקיפות יותר

בהשוואה לגרסת 2013, שליטה ב-7.9 בגרסת 2022 מציג את שתי הדרישות הבאות:

יש ליישם אמצעים מתאימים כדי למנוע את הסיכון של צפייה לא מורשית במידע על המסך בתחבורה ציבורית.
כלים למעקב אחר מיקום וגישה מרחוק צריכים להיות במקום כך שניתן יהיה לעקוב אחר המכשיר ולמחוק את המידע הכלול במכשיר מרחוק במידת הצורך.

Control 7.9 מציג דרישות חדשות עבור התקנים מחוץ לתחום המותקנים באופן קבוע

בניגוד לגרסת 2013, קונטרול 7.9 בגרסת 2022 מכיל הדרכה נפרדת על הגנה על ציוד המותקן באופן קבוע במקום מחוץ לאתר.

אלה עשויים לכלול אנטנות וכספומטים.

איסור על עבודה מרחוק למניעת סיכונים

גרסת 2013 קבעה במפורש כי ארגונים עשויים לאסור על עובדים לעבוד מרחוק כאשר הדבר מתאים לרמת הסיכון שזוהתה. גרסת 2022, לעומת זאת, אינה מתייחסת לאמצעי כזה.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

אתה יכול להשתמש ב-ISMS.online כדי לנהל את הטמעת ISO 27002 שלך, שכן הוא תוכנן במיוחד כדי לסייע לחברה ביישום מערכת ניהול אבטחת המידע שלה (ISMS) כדי לעמוד בדרישות של ISO 27002.

הפלטפורמה משתמשת בגישה מבוססת סיכונים בשילוב עם שיטות עבודה ותבניות מומלצות מהמובילות בתעשייה כדי לעזור לך לזהות את הסיכונים העומדים בפני הארגון שלך ואת הבקרות הדרושות לניהול סיכונים אלו. זה מאפשר לך להפחית באופן שיטתי הן את חשיפת הסיכון והן את עלויות הציות שלך.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו