בעוד המעבר לעבודה מרחוק והשימוש הגובר במכשירים ניידים מגבירים את פרודוקטיביות העובדים וחוסכים כסף לארגונים, התקני נקודת קצה של משתמשים כגון מחשבים ניידים, טלפונים ניידים וטאבלטים חשופים לאיומי סייבר. הסיבה לכך היא שפושעי סייבר לרוב מנצלים את המכשירים הללו כדי להרוויח גישה לא מורשית לרשתות ארגוניות ופגיעה בנכסי מידע.
לדוגמה, פושעי סייבר עשויים למקד עובדים עם התקפת דיוג, לשכנע עובדים להוריד קובץ מצורף של תוכנה זדונית, ולאחר מכן להשתמש במכשיר נקודת הקצה של המשתמש הנגוע בתוכנה זדונית כדי להפיץ את התוכנה הזדונית בכל הרשת הארגונית. התקפה זו עלולה לגרום לאובדן של זמינות, שלמות או סודיות של נכסי מידע.
פי סקר נערך עם 700 מומחי IT, כ-70% מהארגונים חוו פגיעה בנכסי מידע ותשתיות IT כתוצאה מהתקפה הקשורה למכשירי נקודת קצה ב-2020.
בקרה 8.1 מתייחסת לאופן שבו ארגונים יכולים להקים, לתחזק וליישם מדיניות, נהלים ואמצעים טכניים ספציפיים לנושא כדי להבטיח שנכסי מידע המתארחים או מעובדים במכשירי נקודת הקצה של המשתמש לא ייפגעו, יאבדו או ייגנבו.
בקרה 8.1 מאפשרת לארגונים להגן ולתחזק את האבטחה, הסודיות, היושרה והזמינות של נכסי מידע הנמצאים או נגישים באמצעות התקני משתמשי נקודת קצה על ידי התקנה מדיניות, נהלים ובקרות מתאימים.
בקרה 8.1 היא מונעת במהותה. זה דורש מארגונים ליישם מדיניות, נהלים ואמצעים טכניים החלים על כל מכשירי נקודת הקצה של המשתמשים המארחים או מעבדים נכסי מידע כך שהם לא ייפגעו, יאבדו או ייגנבו.
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ניהול נכסים #הגנת מידע | #הֲגָנָה |
בהתחשב בכך שעמידה ב-Control 8.1 כרוכה ביצירה, תחזוקה ועמידה במדיניות, נהלים ואמצעים טכניים ספציפיים לנושאים בארגון, המפקד קצין אבטחת מידע צריך לשאת באחריות לציות עם הדרישות של בקרה 8.1.
Control 8.1 מחייבת ארגונים ליצור מדיניות ספציפית לנושא שמתייחסת לאופן שבו יש להגדיר בצורה מאובטחת התקני נקודת קצה של משתמשים וכיצד יש לטפל במכשירים אלו על ידי משתמשים.
יש ליידע את כל הצוות על מדיניות זו והפוליסה צריכה לכסות את הדברים הבאים:
יתרה מזאת, ההנחיה הכללית מציינת שארגונים צריכים לשקול לאסור אחסון של נכסי מידע רגיש במכשירי נקודת קצה של משתמשים על ידי הטמעת בקרות טכניות.
בקרות טכניות אלו עשויות לכלול השבתת פונקציות אחסון מקומיות כגון כרטיסי SD.
ביישום ההמלצות הללו, ארגונים צריכים לפנות לניהול תצורה כפי שנקבע ב-Control 8.9 ולהשתמש בכלים אוטומטיים.
יש ליידע את כל הצוות לגבי אמצעי האבטחה עבור התקני נקודת הקצה של המשתמש והנהלים שהם צריכים לדבוק בהם. יתר על כן, הם צריכים להיות מודעים לאחריותם ליישום אמצעים ונהלים אלה.
ארגונים צריכים להורות לצוות לציית לכללים ולנהלים הבאים:
יתרה מזאת, מומלץ לארגונים גם לקבוע נוהל מיוחד לאובדן או גניבה של התקני קצה של משתמשים. הליך זה צריך להיווצר תוך התחשבות בדרישות משפטיות, חוזיות ואבטחה.
מתן אפשרות לעובדים להשתמש במכשירים האישיים שלהם למטרות הקשורות לעבודה חוסך כסף לארגונים, אך חושף נכסי מידע רגיש לסיכונים חדשים.
בקרה 8.1 מפרטת חמש המלצות שארגונים צריכים לקחת בחשבון כאשר הם מאפשרים לעובדים להשתמש במכשירים שלהם למשימות הקשורות לעבודה:
ארגונים צריכים לפתח ולתחזק נהלים עבור:
כאשר מכשירי נקודת קצה של משתמשים נשלפים משטח הארגון, נכסי מידע עשויים להיות חשופים לסיכונים מוגברים של פשרה. לכן, ייתכן שארגונים יצטרכו להקים בקרות שונות עבור מכשירים המשמשים מחוץ למתחם.
יתר על כן, Control 8.1 מזהיר ארגונים מפני אובדן מידע עקב שני סיכונים הקשורים לחיבורים אלחוטיים:
27002:2022/8.1 מחליף את 27002:2013/(6.2.1 ו-12.2.8)
In בניגוד לגרסת 2022 הנותנת מענה להתקני נקודת קצה של משתמשים תחת בקרה אחת (8.1), גרסת 2013 כללה שני פקדים נפרדים: מדיניות התקנים ניידים בבקרה 6.2.1 וציוד משתמש ללא השגחה בבקרה 11.2.8.
יתר על כן, בעוד ש-Control 8.1 בגרסת 2022 חלה על כל מכשירי נקודת הקצה של המשתמש כגון מחשבים ניידים, טאבלטים וטלפונים ניידים, גרסת 2013 התייחסה רק למכשירים הניידים.
בעוד ששתי הגרסאות דומות במידה רבה מבחינת הדרישות לאחריות המשתמש, גרסת 2022 מכילה דרישה נוספת אחת:
בהשוואה לגרסת 2013, בקרה 8.1 בגרסת 2022 מציגה שלוש דרישות חדשות לשימוש במכשירים הפרטיים של הצוות (BYOD):
בדומה לגרסת 2013, גם גירסת 2022 דורשת מארגונים לאמץ מדיניות ספציפית לנושא על התקני נקודת קצה של משתמשים.
עם זאת, הפקד 8.1 בגרסת 2022 הוא מקיף יותר מכיוון שהוא מכיל שלושה אלמנטים חדשים שצריך לכלול:
ISMS.Online היא תוכנת מערכת הניהול המובילה בתקן ISO 27002 התומכת בעמידה ISO 27002, ו עוזר לחברות ליישר את מדיניות האבטחה שלהן ונהלים עם התקן.
הפלטפורמה מבוססת הענן מספקת סט שלם של כלים כדי לסייע לארגונים בהקמת מערכת ניהול אבטחת מידע (ISMS) לפי ISO 27002.
צור קשר עוד היום כדי הזמן הדגמה.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
