ISO 27002, בקרה 8.2 - זכויות גישה מורשות

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

מטרת הבקרה 8.2

שימוש זדוני או שגוי בהרשאות מוגברות של מנהל מערכת הוא אחד הגורמים העיקריים להפרעות ICT ברשתות מסחריות בכל רחבי העולם.

זכויות גישה מורשות מאפשרות לארגונים לשלוט בגישה לתשתית, ליישומים, לנכסים ולשמור על שלמות כל הנתונים והמערכות המאוחסנים.

שליטה 8.2 היא א בקרה מונעת זֶה שומר על סיכון על ידי הקמת הרשאה תהליך המטפל בכל בקשות הגישה על פני רשת ה-ICT של הארגון והנכסים הנלווים.

טבלת בקרה של תכונות 8.2

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ניהול זהות וגישה	#הֲגָנָה
	#יושרה
	#זמינות

בעלות על שליטה 8.2

בקרה 8.6 עוסקת ב- an היכולת של הארגון לשלוט בגישה לנתונים דרך חשבונות משתמש הנהנים מזכויות גישה משופרות.

ככזה, הבעלות צריכה להיות אצל ראש ה-IT (או שווה ערך ארגוני), המחזיק אחריות על הארגון היכולת לנהל ולפקח על חשבונות משתמש של דומיין או יישומים מורשים.

קבל headstart של 81%.

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.

הזמן הדגמה

הנחיות כלליות בנושא בקרה 8.2

בקרה 8.2 מתווה 12 נקודות הנחיה עיקריות לכך ארגונים צריכים לפעול בהתאם למדיניות "נושא ספציפית" בנושא בקרת גישה (ראה בקרה 5.15) המכוונת לפונקציות עסקיות בודדות.

ארגונים צריכים:

זהה רשימה של משתמשים הזקוקים לכל מידה של גישה מוסמכת - או עבור מערכת בודדת - כגון יישום מסד נתונים, או מערכת הפעלה בסיסית.
לשמור על מדיניות המקצה זכויות גישה מורשות למשתמשים במה שמכונה "אירוע על בסיס אירוע" - יש להעניק למשתמשים רמות גישה המבוססות על המינימום הנדרש עבורם לביצוע תפקידם.
מתווה תהליך הרשאה ברור העוסק בכל הבקשות לגישה מועדפת, לרבות שמירה על רישום של כל זכויות הגישה שיושמו.
ודא שזכויות הגישה כפופות לתאריכי תפוגה רלוונטיים.
נקוט בצעדים כדי להבטיח שמשתמשים כן מודע במפורש של כל פרק זמן שבו הם פועלים עם גישה מיוחסת למערכת.
במקרים רלוונטיים, המשתמשים מתבקשים לאמת מחדש לפני השימוש בזכויות גישה מורשות, על מנת להשפיע על אבטחת מידע/נתונים מוגברת.
בצע ביקורת תקופתית של זכויות גישה מורשות, במיוחד לאחר תקופה של שינויים ארגוניים. יש לבדוק את זכויות הגישה של המשתמשים בהתבסס על "חובותיהם, תפקידיהם, אחריותם וכשירותם" (ראה בקרה 5.18).
שקול לפעול עם מה שמכונה נוהל "שבירת זכוכית" - כלומר להבטיח שזכויות גישה מורשות מוענקות בתוך חלונות זמן מבוקרים היטב העומדים בדרישות המינימום לביצוע פעולה (שינויים קריטיים, ניהול מערכת וכו').
ודא שכל פעילויות הגישה המורשות נרשמות בהתאם.
מנע את השימוש בפרטי התחברות כלליים למערכת (במיוחד שמות משתמש וסיסמאות סטנדרטיים) (ראה בקרה 5.17).
שמור על מדיניות של הקצאת משתמשים עם זהות נפרדת, המאפשרת שליטה הדוקה יותר על זכויות גישה מורשות. לאחר מכן ניתן לקבץ זהויות כאלה יחד, כאשר לקבוצה המשויכת ניתנות רמות שונות של זכויות גישה.
ודא שזכויות גישה מורשות נשמרות למשימות קריטיות בלבד, הקשורות להמשך תפעול רשת ICT מתפקדת - כגון ניהול מערכת ותחזוקת רשת.

בקרות תומכות

5.15

ציות לא חייב להיות מסובך.

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.

הזמן הדגמה

שינויים והבדלים מ-ISO 27002:2013

בקרה 27002:2022-8.2 מחליפה את 27002:2013-9.2.3 (ניהול זכויות גישה מורשות).

27002:2022-8.2 מכיל 5 נקודות הנחיה עיקריות שאינן מפורשות במקביל שלה משנת 2013:

27002:2022-8.2 אינו דורש במפורש מזהה משתמש אחר עבור זכויות גישה מורשות.
27002:2022-8.2 מדגיש את הצורך באימות מחדש לפני קבלת זכויות גישה מורשות.
27002:2022-8.2 תומך בגישת שבירת זכוכית בעת ביצוע מטלות תחזוקה קריטיות, המבוססת על חלונות זמן מבוקרים היטב.
27002:2022-8.2 מבקש מארגונים לשמור יומני גישה מיוחסים יסודיים, למטרות ביקורת.
27002:2022-8.2 מבקש מארגונים להגביל את השימוש בזכויות גישה מורשות למשימות ניהוליות.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
5.7	חדש	אינטליגנציה מאיימת
5.23	חדש	אבטחת מידע לשימוש בשירותי ענן
5.30	חדש	מוכנות ICT להמשכיות עסקית
7.4	חדש	ניטור אבטחה פיזית
8.9	חדש	ניהול תצורה
8.10	חדש	מחיקת מידע
8.11	חדש	מיסוך נתונים
8.12	חדש	מניעת דליפת נתונים
8.16	חדש	פעילויות ניטור
8.23	חדש	סינון אינטרנט
8.28	חדש	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	חדש	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	חדש	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	חדש	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	חדש	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	חדש	ניהול תצורה
8.10	חדש	מחיקת מידע
8.11	חדש	מיסוך נתונים
8.12	חדש	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	חדש	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	חדש	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	חדש	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISO 27002, בקרה 6.6, מכסה את הצורך של ארגונים למנוע דליפת מידע סודי על ידי קביעת הסכמי סודיות עם בעלי עניין וכוח אדם.

הפלטפורמה מבוססת הענן שלנו מספקת סט שלם של כלים כדי לסייע לארגונים בהקמת מערכת ניהול אבטחת מידע (ISMS) לפי ISO 27002.

כלים אלה כוללים:

ספריית תבניות למסמכים ארגוניים נפוצים.
קבוצה של מדיניות ונהלים מוגדרים מראש.
כלי ביקורת לתמיכה בביקורות פנימיות.
ממשק תצורה להתאמה אישית מדיניות ISMS ונהלים.
זרימת עבודה של אישור עבור כל השינויים שנעשו במדיניות ובנהלים.
רשימת בדיקה כדי לוודא שהמדיניות ותהליכי אבטחת המידע שלך עומדים בסטנדרטים הבינלאומיים המאושרים.

ISMS.Online מאפשר למשתמשים גם:

נהל את כל ההיבטים של ה-ISMS מחזור חיים בקלות.
קבל תובנות בזמן אמת לגבי מצב האבטחה שלהם ופערי התאימות.
השתלב עם מערכות אחרות כמו משאבי אנוש, כספים וניהול פרויקטים.
להוכיח ציות שלהם ISMS עם ISO 27001 DELETE THIS

הכלי ISMS.Online מספק גם הדרכה כיצד ליישם את ה-ISMS שלך בצורה הטובה ביותר על ידי מתן עצות כיצד ליצור מדיניות ונהלים הקשורים להיבטים כגון ניהול סיכונים, הדרכה למודעות אבטחת כוח אדם ותכנון תגובה לאירועים.

ISO 27002:2022 – בקרה 8.2 – זכויות גישה מורשות