ניתן לתאר תוכנה תפעולית באופן נרחב ככל פיסת תוכנה שהעסק משתמש בה באופן פעיל לביצוע פעולתה, להבדיל מתוכנות בדיקה או פרויקטי פיתוח.
חשוב מאוד לוודא שתוכנה מותקנת ומנוהלת ברשת נתונה בהתאם למערכת קפדנית של כללים ודרישות הממזערות סיכונים, משפרות את היעילות ושומרות על אבטחה ברשתות ושירותים פנימיים וחיצוניים.
שליטה 8.19 היא א בקרה מונעת זֶה שומר על סיכון על ידי קביעת מערכת כללים המסדירה את התקנת התוכנה במערכות תפעוליות.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #תצורה מאובטחת #אבטחת יישומים | #הֲגָנָה |
בקרה 8.19 עוסקת בתפיסות טכניות הנוגעות לתחזוקה וניהול של מערכות מחשוב תפעוליות. ככזה, הבעלות צריכה להיות בידי ראש ה-IT, או שווה ערך ארגוני.
על מנת לנהל בצורה מאובטחת שינויים והתקנות ברשת שלהם, ארגונים צריכים:
בכל הנוגע לתוכנה שסופקה על ידי הספק (לדוגמה, כל תוכנה המשמשת בהפעלת מכונות או עבור פונקציה עסקית בהתאמה אישית) יש לשמור על תוכנה כזו תקינה תמיד על ידי התייחסות להנחיות הספק לתפעול בטוח ומאובטח.
חשוב לציין שגם כאשר תוכנות או מודולי תוכנה מסופקים ומנוהלים חיצונית (כלומר הארגון אינו אחראי לכל עדכונים), יש לנקוט בצעדים על מנת להבטיח שעדכוני צד שלישי לא יתפשרו על שלמות הרשת של הארגון.
ארגונים צריכים להימנע משימוש בתוכנת ספקים שאינה נתמכת אלא אם כן הכרחי לחלוטין, ולשקול את סיכוני האבטחה הנלווים של שימוש ביישומים מיותרים, בניגוד לשדרוג למערכות חדשות ומאובטחות יותר.
אם ספק דורש גישה לרשת של ארגון כדי לבצע התקנה או עדכון, יש לנטר את הפעילות ולאמת אותה בהתאם לכל הליכי ההרשאה הרלוונטיים (ראה בקרה 5.22).
יש לשדרג, להתקין ו/או לתקן תוכנה בהתאם לנוהלי ניהול השינויים שפורסמו בארגון, כדי להבטיח אחידות עם שאר תחומי העסק.
בכל פעם שמזוהה תיקון שמבטל לחלוטין פגיעות (או סדרה של פגיעויות), או עוזר בכל דרך לשפר את פעולת אבטחת המידע של הארגון, יש ליישם שינויים כאלה כמעט תמיד (אם כי עדיין יש צורך להעריך שינויים כאלה על כל מקרה לגופו).
כאשר מתעורר צורך להשתמש בתוכנת קוד פתוח, זו צריכה להיות תמיד מהגרסה העדכנית ביותר שזמינה לציבור שמתוחזקת באופן פעיל. בהתאם לכך, ארגונים צריכים לשקול את הסיכונים הטמונים בשימוש בתוכנה לא מתוחזקת בכל הפונקציות העסקיות.
ISO 27002:2022-8.19 מחליף את ISO 27002:2003-12.5.1 (התקנת תוכנה על מערכות תפעול) ו-12.6.2 (הגבלות על התקנת תוכנה).
27002:2022-8.19 הוא שילוב של רוב העצות הכלולות בתאריכים 27002:2003-12.5.1 ו-12.6.2, עם מספר מושגי מפתח שהורחבו בקצרה ועם תוספת של כמה עקרונות שלטון חדשים:
ISMS.Online הוא פתרון מלא ליישום ISO 27002. זוהי מערכת מבוססת אינטרנט המאפשרת לך להראות שמערכת ניהול אבטחת המידע שלך (ISMS) תואמת את התקנים המאושרים תוך שימוש בתהליכים, נהלים ורשימות ביקורת מחושבים היטב.
זוהי לא רק פלטפורמה קלה לשימוש לניהול יישום ISO 27002 שלך, אלא גם כלי מצוין להכשרת הצוות שלך על שיטות עבודה ותהליכים מומלצים של אבטחת מידע, כמו גם תיעוד כל המאמצים שלך.
היתרונות של שימוש ב-ISMS.Online:
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |