ISO 27002:2022, בקרה 8.19 - התקנת תוכנה על מערכות תפעוליות

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

רחב, זווית, תצוגה, של, עסוק, עיצוב, משרד, עם, עובדים, ב

מטרת הבקרה 8.19

ניתן לתאר תוכנה תפעולית באופן נרחב ככל פיסת תוכנה שהעסק משתמש בה באופן פעיל לביצוע פעולתה, להבדיל מתוכנות בדיקה או פרויקטי פיתוח.

חשוב מאוד לוודא שתוכנה מותקנת ומנוהלת ברשת נתונה בהתאם למערכת קפדנית של כללים ודרישות הממזערות סיכונים, משפרות את היעילות ושומרות על אבטחה ברשתות ושירותים פנימיים וחיצוניים.

טבלת תכונות

שליטה 8.19 היא א בקרה מונעת זֶה שומר על סיכון על ידי קביעת מערכת כללים המסדירה את התקנת התוכנה במערכות תפעוליות.

סוג הבקרהמאפייני אבטחת מידעמושגי אבטחת סייבריכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ#סודיות
#יושרה
#זמינות		#לְהַגֵן#תצורה מאובטחת
#אבטחת יישומים		#הֲגָנָה

בעלות על שליטה 8.19

בקרה 8.19 עוסקת בתפיסות טכניות הנוגעות לתחזוקה וניהול של מערכות מחשוב תפעוליות. ככזה, הבעלות צריכה להיות בידי ראש ה-IT, או שווה ערך ארגוני.

קפוץ לנושא
קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

הנחיות כלליות בנושא ציות

על מנת לנהל בצורה מאובטחת שינויים והתקנות ברשת שלהם, ארגונים צריכים:

  1. ודא שעדכוני תוכנה מבוצעים רק על ידי צוות מיומן ומוכשר (ראה בקרה 8.5).

  2. התקן רק קוד הפעלה חזק, נקי מכל באגים ויצא בבטחה משלב הפיתוח.

  3. התקן ו/או עדכן תוכנה רק לאחר שהעדכון או התיקון האמורים נבדקו בהצלחה, והארגון בטוח שלא יגרמו התנגשויות או שגיאות.

  4. לשמור על מערכת ספרייה מעודכנת.

  5. השתמש ב'מערכת בקרת תצורה' המנהלת את כל מופעי התוכנה התפעולית, כולל תיעוד תוכניות.

  6. הסכם על 'אסטרטגיית החזרה' לפני כל עדכונים או התקנות, כדי להבטיח המשכיות עסקית במקרה של שגיאה או התנגשות בלתי צפויות.

  7. שמור יומן של כל עדכונים שבוצעו לתוכנה התפעולית, כולל סיכום העדכון, הצוות המעורב וחותמת זמן.

  8. ודא שתוכנה שאינה בשימוש - כולל כל התיעוד, קובצי התצורה, יומני המערכת, נהלים תומכים - מאוחסנות בצורה מאובטחת לשימוש נוסף, אם יתעורר צורך בכך.

  9. לאכוף מערכת קפדנית של כללים על סוג חבילות התוכנה שהמשתמשים יכולים להתקין, בהתבסס על עקרונות 'המועדים הכי פחות' ובהתאם לתפקידים ואחריות רלוונטיים.

הדרכה - תוכנת ספק

בכל הנוגע לתוכנה שסופקה על ידי הספק (לדוגמה, כל תוכנה המשמשת בהפעלת מכונות או עבור פונקציה עסקית בהתאמה אישית) יש לשמור על תוכנה כזו תקינה תמיד על ידי התייחסות להנחיות הספק לתפעול בטוח ומאובטח.

חשוב לציין שגם כאשר תוכנות או מודולי תוכנה מסופקים ומנוהלים חיצונית (כלומר הארגון אינו אחראי לכל עדכונים), יש לנקוט בצעדים על מנת להבטיח שעדכוני צד שלישי לא יתפשרו על שלמות הרשת של הארגון.

ארגונים צריכים להימנע משימוש בתוכנת ספקים שאינה נתמכת אלא אם כן הכרחי לחלוטין, ולשקול את סיכוני האבטחה הנלווים של שימוש ביישומים מיותרים, בניגוד לשדרוג למערכות חדשות ומאובטחות יותר.

אם ספק דורש גישה לרשת של ארגון כדי לבצע התקנה או עדכון, יש לנטר את הפעילות ולאמת אותה בהתאם לכל הליכי ההרשאה הרלוונטיים (ראה בקרה 5.22).

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

הנחיות משלימות בקרה 8.19

יש לשדרג, להתקין ו/או לתקן תוכנה בהתאם לנוהלי ניהול השינויים שפורסמו בארגון, כדי להבטיח אחידות עם שאר תחומי העסק.

בכל פעם שמזוהה תיקון שמבטל לחלוטין פגיעות (או סדרה של פגיעויות), או עוזר בכל דרך לשפר את פעולת אבטחת המידע של הארגון, יש ליישם שינויים כאלה כמעט תמיד (אם כי עדיין יש צורך להעריך שינויים כאלה על כל מקרה לגופו).

כאשר מתעורר צורך להשתמש בתוכנת קוד פתוח, זו צריכה להיות תמיד מהגרסה העדכנית ביותר שזמינה לציבור שמתוחזקת באופן פעיל. בהתאם לכך, ארגונים צריכים לשקול את הסיכונים הטמונים בשימוש בתוכנה לא מתוחזקת בכל הפונקציות העסקיות.

בקרות תומכות

  • 5.22
  • 8.5

שינויים והבדלים מ-ISO 27002:2013

ISO 27002:2022-8.19 מחליף את ISO 27002:2003-12.5.1 (התקנת תוכנה על מערכות תפעול) ו-12.6.2 (הגבלות על התקנת תוכנה).

27002:2022-8.19 הוא שילוב של רוב העצות הכלולות בתאריכים 27002:2003-12.5.1 ו-12.6.2, עם מספר מושגי מפתח שהורחבו בקצרה ועם תוספת של כמה עקרונות שלטון חדשים:

  • תחזוקת מערכת ספריה.

  • כללים המסדירים את השימוש בתוכנת קוד פתוח.

  • בקרה לוגית קרובה יותר על התקנה ותחזוקה של תוכנות הספק.

כיצד ISMS.online עוזר

ISMS.Online הוא פתרון מלא ליישום ISO 27002. זוהי מערכת מבוססת אינטרנט המאפשרת לך להראות שמערכת ניהול אבטחת המידע שלך (ISMS) תואמת את התקנים המאושרים תוך שימוש בתהליכים, נהלים ורשימות ביקורת מחושבים היטב.

זוהי לא רק פלטפורמה קלה לשימוש לניהול יישום ISO 27002 שלך, אלא גם כלי מצוין להכשרת הצוות שלך על שיטות עבודה ותהליכים מומלצים של אבטחת מידע, כמו גם תיעוד כל המאמצים שלך.

היתרונות של שימוש ב-ISMS.Online:

  • פלטפורמה מקוונת קלה לשימוש שניתן לגשת אליה מכל מכשיר.

  • זה ניתן להתאמה אישית לחלוטין כדי לענות על הצרכים שלך.

  • תהליכי עבודה ותהליכים הניתנים להתאמה אישית כדי להתאים לצרכים העסקיים שלך.

  • כלי הדרכה שיעזרו לעובדים חדשים להתקדם מהר יותר.

  • ספריית תבניות למסמכים כגון מדיניות, נהלים, תוכניות ורשימות ביקורת.

צור קשר עוד היום כדי הזמן הדגמה.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת
פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף