כאשר מידע מועבר בין רשתות ומכשירים, תוקפי סייבר עשויים להשתמש בטכניקות שונות כדי לגנוב מידע רגיש במהלך המעבר, להתעסק בתוכן המידע, להתחזות לשולח/נמען כדי לקבל גישה לא מורשית למידע או ליירט העברת מידע.
לדוגמה, פושעי סייבר עשויים להשתמש בטכניקת התקפת האדם-באמצע (MITM), ליירט את העברת הנתונים ולהתחזות לשרת כדי לשכנע את השולח לחשוף את אישורי הכניסה שלו לשרת הכוזב. לאחר מכן, הם יכולים להשתמש באישורים אלה כדי לקבל גישה למערכות ולהתפשר על מידע רגיש.
השימוש בהצפנה כגון הצפנה יכול להיות יעיל כדי להגן על הסודיות, השלמות והזמינות של נכסי מידע כשהם במעבר.
יתר על כן, טכניקות הצפנה יכולות גם לשמור על אבטחת נכסי המידע כשהם במצב מנוחה.
בקרה 8.24 מתייחסת לאופן שבו ארגונים יכולים לקבוע וליישם כללים ונהלים לשימוש בקריפטוגרפיה.
בקרה 8.24 מאפשרת לארגונים לשמור על הסודיות, היושרה, האותנטיות והזמינות של נכסי מידע על ידי יישום נכון של טכניקות הצפנה ועל ידי התחשבות בקריטריונים הבאים:
בקרה 8.24 היא סוג מניעתי של בקרה המחייב ארגונים לקבוע כללים ונהלים לשימוש יעיל בטכניקות הצפנה ובכך לבטל ולמזער את הסיכונים לפגיעה בנכסי מידע כשהם במעבר או במנוחה.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #תצורה מאובטחת | #הֲגָנָה |
עמידה ב-8.24 מחייבת הקמה ויישום של מדיניות ספציפית בנושא קריפטוגרפיה, יצירת תהליך יעיל של ניהול מפתחות וקביעת סוג הטכניקה ההצפנה המתאימה לרמת סיווג המידע המוקצה לנכס מידע מסוים.
לפיכך, על קצין אבטחת המידע הראשי להיות אחראי לקביעת כללים ונהלים מתאימים לשימוש במפתחות הצפנה.
Control 8.24 מפרט שבע דרישות שארגונים צריכים לעמוד בהן בעת שימוש בטכניקות הצפנה:
יתר על כן, Control 8.24 מדגיש שארגונים צריכים לקחת בחשבון חוקים ודרישות שעלולים להגביל את השימוש בהצפנה, לרבות העברה חוצת גבולות של מידע מוצפן.
לבסוף, מומלץ לארגונים להתייחס גם לאחריות ולהמשכיות השירותים כאשר הם מתקשרים בהסכמי שירות עם צדדים שלישיים למתן שירותי קריפטוגרפיה.
ארגונים צריכים להגדיר וליישם נהלים מאובטחים ליצירה, אחסון, אחזור והשמדה של מפתחות קריפטוגרפיים.
בפרט, ארגונים צריכים להקים מערכת ניהול מפתחות חזקה הכוללת כללים, תהליכים ותקנים עבור הדברים הבאים:
אחרון חביב, הנחיה משלימה זו מזהירה ארגונים מפני שלושה סיכונים מסוימים:
לאחר שהדגיש שארגונים יכולים להבטיח את האותנטיות של מפתחות ציבוריים באמצעות שיטות כמו תהליכי ניהול מפתחות ציבוריים, Control 8.24 מסביר כיצד הצפנה יכולה לעזור לארגונים להשיג ארבע יעדי אבטחת מידע:
27002:2022/8.24 להחליף 27002:2013/(10.1.1. ו-10.1.2)
בעוד התוכן של שתי הגרסאות כמעט זהה, ישנם כמה שינויים מבניים.
ואילו גרסת 2013 התייחסה לשימוש בקריפטוגרפיה תחת שני בקרות נפרדות, כלומר 10.1.1. ו-10.1.2, גרסת 2022 שילבה את שני אלה תחת שליטה אחת, 8.24.
ISMS.Online היא תוכנת מערכת הניהול המובילה בתקן ISO 27002 התומכת בעמידה בתקן ISO 27002, ומסייעת לחברות להתאים את מדיניות ונהלי האבטחה שלהן לתקן.
הפלטפורמה מבוססת הענן מספקת סט שלם של כלים לסייע לארגונים בהקמת מערכת ניהול אבטחת מידע (ISMS) לפי ISO 27002.
צרו קשר ו הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |