שימוש זדוני או שגוי בהרשאות מוגברות של מנהל מערכת הוא אחד הגורמים העיקריים להפרעות ICT ברשתות מסחריות בכל רחבי העולם.
זכויות גישה מורשות מאפשרות לארגונים לשלוט בגישה לתשתית, ליישומים, לנכסים ולשמור על שלמות כל הנתונים והמערכות המאוחסנים.
שליטה 8.2 היא א בקרה מונעת זֶה שומר על סיכון על ידי הקמת הרשאה תהליך המטפל בכל בקשות הגישה על פני רשת ה-ICT של הארגון והנכסים הנלווים.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ניהול זהות וגישה | #הֲגָנָה |
בקרה 8.6 עוסקת ב- an היכולת של הארגון לשלוט בגישה לנתונים דרך חשבונות משתמש הנהנים מזכויות גישה משופרות.
ככזה, הבעלות צריכה להיות אצל ראש ה-IT (או שווה ערך ארגוני), המחזיק אחריות על הארגון היכולת לנהל ולפקח על חשבונות משתמש של דומיין או יישומים מורשים.
בקרה 8.2 מתווה 12 נקודות הנחיה עיקריות לכך ארגונים צריכים לפעול בהתאם למדיניות "נושא ספציפית" בנושא בקרת גישה (ראה בקרה 5.15) המכוונת לפונקציות עסקיות בודדות.
ארגונים צריכים:
בקרה 27002:2022-8.2 מחליפה את 27002:2013-9.2.3 (ניהול זכויות גישה מורשות).
27002:2022-8.2 מכיל 5 נקודות הנחיה עיקריות שאינן מפורשות במקביל שלה משנת 2013:
ISO 27002, בקרה 6.6, מכסה את הצורך של ארגונים למנוע דליפת מידע סודי על ידי קביעת הסכמי סודיות עם בעלי עניין וכוח אדם.
הפלטפורמה מבוססת הענן שלנו מספקת סט שלם של כלים כדי לסייע לארגונים בהקמת מערכת ניהול אבטחת מידע (ISMS) לפי ISO 27002.
כלים אלה כוללים:
ISMS.Online מאפשר למשתמשים גם:
הכלי ISMS.Online מספק גם הדרכה כיצד ליישם את ה-ISMS שלך בצורה הטובה ביותר על ידי מתן עצות כיצד ליצור מדיניות ונהלים הקשורים להיבטים כגון ניהול סיכונים, הדרכה למודעות אבטחת כוח אדם ותכנון תגובה לאירועים.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |