יתירות של מתקנים לעיבוד מידע

ISO 27002:2022 – בקרה 8.14 – יתירות של מתקנים לעיבוד מידע

ISO 27002 בקרה 8.14 מדגיש את החשיבות של יתירות במתקני עיבוד מידע כדי להבטיח המשכיות עסקית, למזער את זמני השבתה ולהפחית סיכונים מתקלות מערכות או איומי סייבר באמצעות מתודולוגיות בטוחות לכשל ומערכות גיבוי.

מטרת הבקרה 8.14

An 'מתקן לעיבוד מידע' (IPF) הוא מונח רחב המשמש לתיאור כל חלק של תשתית ICT המעורבת בעיבוד נתונים, כגון ציוד IT, תוכנה ומתקנים ומיקומים פיזיים.

IPFs ממלאים תפקיד מפתח בשמירה על המשכיות עסקית והבטחת תפעול חלק של רשתות ה-ICT של הארגון. כדי להגביר את החוסן, ארגונים צריכים ליישם אמצעים המגבירים את היתירות של ה-IPF שלהם - כלומר מתודולוגיות ותהליכים בטוחים כישלון המפחיתים את הסיכון למערכות ולנתונים במקרה של כשל, שימוש לרעה או חדירה.

טבלת בקרה של תכונות 8.14

שליטה 8.14 היא א בקרה מונעת זֶה שומר על סיכון על ידי יישום תוכניות ונהלים השומרים על הפעילות הרציפה של מתקני עיבוד מידע, ועל ידי פרוקסי, כל רשת ה-ICT של הארגון.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#זמינות	#לְהַגֵן	#הֶמשֵׁכִיוּת	#הֲגָנָה
			#ניהול נכסים	#כּוֹשֵׁר הִתאוֹשְׁשׁוּת

בעלות על שליטה 8.14

בקרה 8.14 מתייחס ליכולת של ארגון להמשיך לעשות עסקים במקרה של כשלים קריטיים או קלים שיש להם פוטנציאל להשפיע על החוסן. ככזה, הבעלות על 8.14 צריכה להיות אצל מנהל התפעול הראשי, או שווה ערך ארגוני.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

הנחיות כלליות בנושא ציות

המטרה העליונה של Control 8.14 היא להגדיל את הזמינות של מה ש-ISO מחשיב שירותים עסקיים ו מערכות מידע, אשר יכול להתפרש ככל היבט של רשת המאפשר לארגון לנהל עסקים.

בקרה 8.14 דוגלת ב כפילות כשיטות העיקריות להשגת יתירות על פני ה-IPF השונים שלה, בעיקר באמצעות שמירה על מלאי של חלקי חילוף, רכיבים כפולים (חומרה ותוכנה) והתקנים היקפיים נוספים.

מערכת מיותרת טובה רק כמוה מתריע מִתקָן. ככזה, ארגונים צריכים להבטיח ש-IPF כושלים יתגלו במהירות, וננקטות פעולות מתקנות כדי להיכשל במעבר לחומרת המתנה, או לתקן את ה-IPF התקול בזמן מהיר ככל האפשר.

בעת תכנון והתקנה של אמצעי יתירות, ארגונים צריכים לשקול את הדברים הבאים:

כניסה למערכת יחסים מסחרית עם שני ספקי שירות נפרדים, כדי להפחית את הסיכון להשבתה גורפת במקרה של אירוע קריטי (למשל ספק שירותי אינטרנט או ספק VoIP).
הקפדה על עקרונות יתירות בעת התכנון רשתות נתונים (DCs משניים, מערכות BUDR מיותרות וכו').
עושה שימוש ב מיקומים נפרדים גיאוגרפית בעת התקשרות שירותי נתונים, במיוחד במקרה של אחסון קבצים ו/או מתקני מרכז נתונים.
רכישה מערכות חשמל שיש להם את היכולת להשיג יתירות באופן מלא או חלקי, לפי הצורך.
שימוש איזון עומסים ו כשל אוטומטי מעבר בין שני רכיבי תוכנה או מערכות זהים, מיותרים, כדי לשפר הן את הביצועים בזמן אמת והן את החוסן בעקבות אירוע קריטי. יש לכך חשיבות מיוחדת כאשר בוחנים מודל תפעולי המקיף הן שירותי ענן ציבוריים והן שירותים מקומיים. מערכות מיותרות צריכות להיבדק באופן קבוע (במידת האפשר) כשהן במצב ייצור כדי להבטיח שמערכות כשל מעל פועלות כהלכה.
שכפול רכיבי ICT פיזיים הן בתוך שרתים והן במיקומי אחסון קבצים (מערכי RAID, CPUs), וכל מי שפועל כהתקן רשת (חומת אש, מתגים מיותרים). יש לבצע עדכוני קושחה בכל המכשירים המקושרים והמיותרים, כדי להבטיח המשכיות.

הנחיות משלימות בקרה 8.14

בקרה 8.14 מכירה בקשר המובנה בין מערכות חזקות, מיותרות ותכנון המשכיות עסקית (ראה בקרה 5.30), ומבקשת מארגונים לשקול את שניהם כחלק מהפתרון לאותו סט של אתגרים.

חשוב לציין כי כאשר מדובר ביישומים עסקיים, קשה מאוד לטפל בשגיאות קריטיות באפליקציה עצמה (במיוחד במקרה של יישומים מנוהלים).

בקרות תומכות

5.30

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

ISO 27002:2022-8.14 מחליף את ISO 27002:2003-17.2.1 (זמינות מתקני עיבוד מידע).

27002:2022-8.14 הוא קפיצה תפעולית עצומה מ-27002:2003-17.2.1, כשההבדל בין שני הפקדים מייצג את השינוי הגדול ביותר בכל עדכון ISO 27002:2022.

27002:2003-17.2.1 מכיל רק כמה פסקאות שטחיות על הצורך להשיג יתירות, ואילו 27002:2022-8.14 מכיל הדרכה מקיפה כיצד בדיוק להשיג זאת על פני רכיבים מקומיים, מבוססי ענן, לוגיים ופיזיים.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ב-ISMS.online, בנינו מערכת מקיפה וקלה לשימוש שיכולה לעזור לך ליישם בקרות ISO 27002 ולנהל את כל ה-ISMS שלך.

ISMS.online מקל על הטמעת ISO 27002 על ידי מתן ערכת כלים שיעזרו לך לנהל את אבטחת המידע בארגון שלך. זה יעזור לך לזהות סיכונים ולפתח בקרות כדי להפחית סיכונים אלה, ולאחר מכן יראה לך כיצד ליישם אותם בתוך הארגון.

פנה אלינו עוד היום ל קבע הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו