ISO 27002, בקרה 8.17, סנכרון שעון

ISO 27002:2022 – בקרה 8.17 – סנכרון שעון

ISO/IEC 27002:2022 בקרה 8.17, המדגיש את החשיבות של סנכרון שעון על פני מערכות הארגון כדי להבטיח רשומות מדויקות, לתמוך בחקירות תקריות ועמידה בדרישות החוק והרגולציה תוך שימוש במקור זמן מהימן.

הבטחת שמירת זמן מדויקת: ISO 27002 בקרת 8.17 הסבר

היכולת להסתמך על זמן מסונכרן מדויק מדויק על פני מערכות המידע של הארגון היא בעלת חשיבות עליונה לא רק לתפעול השוטף של המערכות המסחריות של החברה, אלא גם במקרה של תקרית הקשורה ל-ICT.

ייצוג זמן מדויק מעניק לארגון את היכולת לספק לעצמו ולכל גופי אכיפת חוק או רגולטורים חשבון מהימן של אופן ניהול המידע, יחד עם פעולות העובדים והספקים שלו.

מטרת הבקרה 8.17

בקרה 8.17 היא דו-תכליתית בלש לשלוט בזה שומר על סיכון על ידי הטמעת בקרות השומרות על סנכרון מדויק ואמין של שעוני מערכת המידע, כדי לסייע בחקירות פנימיות וחיצוניות, וניטור אירועים.

טבלת בקרה של תכונות 8.17

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#בַּלָשׁ	#יושרה	#לְהַגֵן	#ניהול אירועי אבטחת מידע	#הֲגָנָה
		#לזהות		#הֲגָנָה

בעלות על שליטה 8.17

בקרה 8.17 עוסקת בעיקר בעניינים טכניים, בצורה של מקורות נתונים חיצוניים (שעונים אטומיים וכו') המקושרים למערכות ה-ICT של הארגון.

ככזה, הבעלות צריכה להיות אצל ראש ה-IT (או שווה ערך ארגוני), עם אחריות ליושרה היומיומית והיעילות של תשתית ה-ICT של הארגון.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

הנחיות כלליות בנושא בקרה 8.17

Control 8.17 נמנע מלספק לארגונים הליך שלב אחר שלב לניהול שעוני מערכת, ובמקום זאת מציע הדרכה רחבה כיצד לעשות שימוש בנקודות התייחסות מהימנות.

בקרה 8.17 מבקשת מארגונים להקים א זמן התייחסות סטנדרטי שיכול לשמש בכל המערכות המסחריות, הלוגיסטיות והמבוססות תחזוקה כמקור תאריך ושעה מהימן לכל צרכי הארגון.

ארגונים צריכים:

טיוטה של דרישות פנימיות וחיצוניות עבור שלושה היבטים של סנכרון שעון:

ייצוג זמן
סנכרון אמין
דיוק

כאשר מתייחסים לדרישות האמורות, ארגונים צריכים להתייחס לצרכים שלהם מ-6 זוויות נפרדות:

משפטי
מְעוּגָן בַּחוֹק
רגולציה
חוזי
תקנים
ניטור פנימי

עשה שימוש בשידור זמן רדיו המקושר לשעון אטומי כנקודת ייחוס יחידה, לצד יישום של פרוטוקולי מפתח (NTP, PTP) כדי להבטיח עמידה ברחבי הרשת.
שקול לנהל שני מקורות זמן נפרדים כדי לשפר את היתירות.

הדרכה - הגדרות היברידיות

לעתים קרובות, ארגונים עושים שימוש הן במערכות מקומיות והן במערכות מבוססות ענן זו לצד זו.

תוכנות ותשתית המתארחות בענן מנוהלות בדרך כלל על ידי הספק עצמו, ולכן ינצלו מקור זמן נפרד לתשתית הארגון עצמו.

יש לקחת בחשבון פערי זמן בחומרה ובמערכות מנוהלות ולא מנוהלות במרווחי זמן קבועים, ולרשום הבדלים כלשהם כדי להפחית בלבול בחקירות עתידיות.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022-8.17 מחליף את 27002:2013-12.4.4 (סנכרון שעון).

27002:2022-8.17 משכפל הרבה מאותו מידע הכלול במקבילו משנת 2013, למעט חריג אחד בולט - 27002:2022-8.17 מכיל עצות כיצד לנהל מקורות זמן מהענן הציבורי והפרטי, וההשלכות על השימוש במערכות על- הנחת יסוד שעשויה להיות מסונכרנת למקור זמן נפרד.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ב-ISMS.online, הפלטפורמה מבוססת הענן שלנו עוזרת לך ליצור, לתחזק ולבקר את מערכת ניהול אבטחת המידע (ISMS) מבוססת תקני ISO 27001. הוא מספק לך תבניות וכלים הניתנים להתאמה אישית שבהם תוכל להשתמש כדי לעמוד בדרישות של ISO 27002.

באמצעות פלטפורמה זו, אתה יכול להקים את ה-ISMS שלך לפי התקן הבינלאומי ולהשתמש ברשימות הבדיקה המסופקות כדי להבטיח שתהליכי אבטחת המידע שלך במצב תקין. אתה יכול גם להשתמש ב-ISMS.online להערכת סיכונים והערכת פגיעות על מנת לזהות חלשים נקודות בתשתית הקיימת שלך שזקוקים לטיפול מיידי.

עם כל הכלים והמשאבים הללו, ISMS.online יכול בסופו של דבר לעזור לך להוכיח תאימות ל-ISO 27002.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו