בשנות ה-90 עסקים נהגו לבצע בדיקות אבטחה למוצרי ומערכות תוכנה רק בשלב הבדיקות, בשלב הסופי של מחזור החיים של פיתוח התוכנה.
כתוצאה מכך, לעתים קרובות הם לא הצליחו לזהות ולחסל פגיעויות קריטיות, באגים ופגמים.
כדי לזהות ולטפל בפרצות אבטחה בשלב מוקדם, ארגונים צריכים להטמיע שיקולי אבטחה בכל שלבי מחזור חיי הפיתוח, משלב התכנון ועד לשלב הפריסה.
בקרה 8.25 עוסקת כיצד ארגונים יכולים לקבוע וליישם כללים לבניית מוצרי תוכנה ומערכות מאובטחות.
Control 8.25 מאפשר לארגונים לעצב תקני אבטחת מידע וליישם תקנים אלה לאורך כל מחזור חיי הפיתוח המאובטח של מוצרי תוכנה ומערכות.
בקרה 8.25 היא מונעת במהותה שכן היא מחייבת ארגונים לתכנן וליישם באופן יזום כללים ובקרות השולטות בכל מחזור חיי הפיתוח של כל מוצר ומערכת תוכנה חדשים.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #אבטחת יישומים #אבטחת מערכת ורשת | #הֲגָנָה |
קצין אבטחת המידע הראשי צריך להיות אחראי על יצירה, יישום ותחזוקה של כללים ואמצעים להבטחת אבטחת מחזור חיי הפיתוח.
Control 8.25 מכיל 10 דרישות שארגונים צריכים לעמוד בהן כדי לבנות מוצרי תוכנה, מערכות וארכיטקטורה מאובטחים:
יתרה מזאת, אם ארגון מוציא משימות פיתוח מסוימות לגורמים חיצוניים, עליו לוודא שהצד החיצוני יקפיד על הכללים והנהלים של הארגון לפיתוח מאובטח של תוכנה ומערכת.
Control 8.25 מציין שניתן לפתח מוצרי תוכנה, ארכיטקטורות ומערכות גם בתוך יישומים, מסדי נתונים או דפדפנים.
27002:2022/8.25 replace 27002:2013/(14.2.1)
בסך הכל, ישנם שני הבדלים עיקריים.
בעוד שגרסת 2022 דומה במידה רבה לגרסת 2013, ה-Control 8.25 מטיל שתי דרישות חדשות על ארגונים:
גרסת 2013 קבעה במפורש ש-Control 14.2.1 חל הן על פיתוחים חדשים והן על שימוש חוזר בקוד. לעומת זאת, Control 8.25 לא התייחס לתרחישי שימוש חוזר בקוד.
הטמעת ISO 27002 פשוטה יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך. פתרון התאימות המלא שלך עבור ISO/IEC 27002:2022.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |