מיסוך נתונים הוא טכניקה המשמשת להגנה על נתונים רגישים - בדרך כלל כל מידע שיכול להיחשב למידע אישי מזהה (PII) - מעבר לפרוטוקולי אבטחת המידע הסטנדרטיים של ארגון כגון בקרת גישה וכו'.
מיסוך נתונים מוזכר לעתים קרובות בהנחיות ובחוקים משפטיים, סטטוטוריים ורגולטוריים המסדירים את האחסון והגישה למידע על עובדים, לקוחות, משתמשים וספקים.
שליטה 8.11 היא א מניעה לשלוט בזה משנה סיכון על ידי הצעה של סדרה של טכניקות מיסוך נתונים ששומרות על PII, ועוזרות לארגון לשמור על ציות למה שמתבקשים ממנו על ידי רשויות משפטיות וסוכנויות רגולטוריות.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות | #לְהַגֵן | #הגנת מידע | #הֲגָנָה |
מיסוך נתונים הוא תהליך טכני מורכב הכולל שינוי מידע רגיש, ומניעת משתמשים לזהות נושאי מידע באמצעות מגוון אמצעים.
למרות שזו בעצמה משימה ניהולית, אופי מיסוך הנתונים קשור ישירות ליכולתו של ארגון להישאר תואם לחוקים, תקנות והנחיות סטטוטוריות הנוגעות לאחסון, גישה ועיבוד של נתונים. ככזה, הבעלות צריכה להתגורר עם מנהל מערכות מידע קצין ביטחון, או מקבילה ארגונית.
בקרה 8.11 מבקשת מארגונים לשקול מיסוך נתונים בהיקף של שתי טכניקות עיקריות - פסאודונימיזציה ו / או אנונימיזציה. שתי השיטות הללו נועדו להסוות את המטרה האמיתית של PII באמצעות ניתוק - כלומר הסתרת הקשר בין הנתונים הגולמיים, לבין הנושא (בדרך כלל אדם).
ארגונים צריכים להקפיד על כך שאף פיסת נתונים אחת לא תפגע בזהות הנבדק.
בעת שימוש באחת מהטכניקות הללו, ארגונים צריכים לשקול:
פסאודונימיזציה ואנונימיזציה אינן השיטות היחידות הזמינות לארגונים המעוניינים להסוות PII או נתונים רגישים. Control 8.11 מתאר 5 שיטות נוספות שניתן להשתמש בהן כדי לחזק את אבטחת הנתונים:
מיסוך נתונים הוא חלק חשוב ממדיניות הארגון להגנה על PII ושמירה על זהות האנשים שעליהם הוא מחזיק נתונים.
בנוסף לטכניקות לעיל, ארגונים צריכים לשקול את ההצעות שלהלן בעת אסטרטגיית הגישה שלהם למיסוך נתונים:
אף אחד. ל-Control 8.11 אין תקדים ב-ISO 27002:2013 מכיוון שהוא חדש.
הפלטפורמה מבוססת הענן שלנו מספקת לך מסגרת איתנה של בקרות אבטחת מידע, כך שתוכל לרשימת בדיקה של תהליך ה-ISMS שלך תוך כדי כדי להבטיח שהוא עומד בדרישות של ISO 27002:2022.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |