ISO 27002:2022, בקרה 8.26 – דרישות אבטחת יישומים

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

רב גזעי,צעירים,יצירתיים,אנשים,ב,מודרני,משרד.,מוצלח,היפסטר,צוות

תוכנות יישומים כגון יישומי אינטרנט, תוכנות גרפיקה, תוכנות מסד נתונים ותוכנות לעיבוד תשלומים הן חיוניות לפעולות עסקיות קריטיות רבות.

עם זאת, יישומים אלה נחשפים לעתים קרובות פרצות אבטחה שעלולות לגרום לפגיעה במידע רגיש.

לדוגמה, Equifax, לשכת אשראי בארה"ב, לא הצליחה להחיל תיקון אבטחה על מסגרת של יישום אתר המשמש לטיפול בתלונות לקוחות. תוקפי הסייבר השתמשו פגיעויות אבטחה ביישום האינטרנט לחדור לרשתות הארגוניות של Equifax וגנב נתונים רגישים של כ-145 מיליון אנשים.

בקרה 8.26 מתייחסת כיצד ארגונים יכולים לקבוע וליישם דרישות אבטחת מידע לפיתוח, שימוש ורכישה של יישומים.

מטרת הבקרה 8.26

בקרה 8.26 מאפשרת לארגונים להגן על נכסי מידע המאוחסנים או מעובדים באמצעות יישומים על ידי זיהוי ויישום דרישות אבטחת מידע מתאימות.

טבלת תכונות

בקרה 8.26 הוא סוג מניעתי של בקרה המונע סיכונים לשלמות, זמינות וסודיות של נכסי מידע המאוחסנים באפליקציה באמצעות שימוש באמצעי אבטחת מידע מתאימים.

סוג הבקרה מאפייני אבטחת מידע מושגי אבטחת סייבריכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ#סודיות
#יושרה
#זמינות		#לְהַגֵן#אבטחת יישומים
#אבטחת מערכת ורשת		#הֲגָנָה
#הֲגָנָה
קפוץ לנושא
קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

בעלות על שליטה 8.26

קצין אבטחת מידע ראשי, בתמיכת מומחי אבטחת מידע, צריך להיות אחראי על זיהוי, אישור ויישום של דרישות מידע לצורך רכישה, שימוש ופיתוח של יישומים.

הנחיות כלליות בנושא ציות

ההנחיה הכללית מציינת כי על ארגונים לבצע א הערכת סיכונים לקביעת סוג דרישות אבטחת המידע מתאים ליישום מסוים.

בעוד התוכן והסוגים של דרישות אבטחת מידע עשויות להשתנות בהתאם לאופי הבקשה, הדרישות צריכות להתייחס לדברים הבאים:

  • מידת האמון המיוחסת לזהות של גורמים ספציפיים בהתאם לבקרה 5.17, 8.2 ו-8.5.

  • זיהוי רמת הסיווג מוקצה לנכסי מידע לאחסון או לעיבוד של האפליקציה.

  • האם יש צורך להפריד את הגישה לפונקציות ולמידע המאוחסן באפליקציה.

  • האם האפליקציה עמידה בפני התקפות סייבר כגון הזרקות SQL או יירוטים לא מכוונים כגון גלישת מאגר.

  • דרישות ותקנים משפטיים, רגולטוריים וסטטוטוריים החלים על העסקה שעובדה, נוצרה, מאוחסנת או הושלמה על ידי האפליקציה.

  • שיקולי פרטיות לכל הצדדים המעורבים.

  • דרישות עבור הגנה על נתונים סודיים.

  • הגנה על מידע בעת שימוש, במעבר או במנוחה.

  • אם הצפנה מאובטחת של תקשורת יש צורך בין כל הצדדים הרלוונטיים.

  • יישום בקרות קלט כגון אימות קלט או ביצוע בדיקות תקינות.

  • ביצוע בקרה אוטומטית.

  • ביצוע בקרות פלט, תוך התחשבות מי יכול להציג פלטים והרשאה ל-Access.

  • צריך להטיל הגבלות על התוכן של שדות "טקסט חופשי" כדי להגן על הפצת נתונים סודיים באופן בלתי נשלט.

  • דרישות הנובעות מצרכים עסקיים כגון רישום עסקאות ודרישות אי-דחייה.

  • דרישות המוטלות על ידי בקרות אבטחה אחרות כגון מערכות איתור דליפת נתונים.

  • כיצד לטפל בהודעות שגיאה.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

הנחיות משלימות בנושא שירותי עסקאות

בקרה 8.26 דורשת מארגונים לקחת בחשבון את שבע ההמלצות הבאות כאשר אפליקציה מציעה שירותי עסקאות בין הארגון לשותף:

  • מידת האמון הנדרשת לכל צד בעסקה בזהות הצד השני.

  • מידת האמון הנדרשת בשלמות הנתונים המועברים או מעובדים וזיהוי מנגנון ראוי לזיהוי כל חוסר שלמות, לרבות כלים כגון hashing וחתימות דיגיטליות.

  • הקמת תהליך הרשאה למי רשאי לאשר את התוכן של, לחתום או לחתום על מסמכי עסקה חיוניים.

  • שמירה על סודיות ושלמות המסמכים הקריטיים והוכחת שליחה וקבלה של מסמכים כאלה.

  • הגנה ושמירה על שלמות וסודיות כל העסקאות כגון הזמנות וקבלות.

  • דרישות לאיזו תקופת זמן עסקאות יישמרו בסודיות.

  • דרישות חוזיות ודרישות הקשורות לביטוח.

הנחיות משלימות לגבי יישומי הזמנה ותשלום אלקטרוניים

כאשר יישומים כוללים תשלום ופונקציונליות הזמנה אלקטרונית, ארגונים צריכים לקחת בחשבון את הדברים הבאים:

  • הדרישות מבטיחות שהסודיות והשלמות של מידע ההזמנה לא ייפגעו.

  • קביעת דרגת אימות מתאימה לאימות פרטי התשלום שסופקו על ידי לקוח.

  • מניעת אובדן או שכפול של מידע עסקה.

  • הבטחה שמידע הקשור למידע מאוחסן מחוץ לסביבה נגישה לציבור, כגון באמצעי אחסון הנמצא באינטראנט של הארגון עצמו.

  • כאשר ארגונים מסתמכים על סמכות חיצונית מהימנה, כמו למשל להנפקת חתימות דיגיטליות, עליהם להבטיח שהאבטחה משולבת לאורך כל התהליך.

הדרכה משלימה בנושא רשתות

כאשר הגישה לאפליקציות מתבצעת דרך רשתות, הן חשופות לאיומים כגון סכסוכי חוזים, פעילויות הונאה, ניתוב שגוי, שינויים לא מורשים בתוכן התקשורת או אובדן סודיות מידע רגיש.

בקרה 8.26 ממליץ לארגונים לבצע ביצוע מקיף הערכות סיכונים כדי לזהות בקרות מתאימות כגון שימוש בקריפטוגרפיה כדי להבטיח את אבטחת העברת המידע.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.26 להחליף את 27002:2013/(14.1.2 ו-14.1.3)

ישנם שלושה הבדלים גדולים בין שתי הגרסאות.

כל האפליקציות מול אפליקציות העוברות ברשתות ציבוריות

גרסת ISO 27002:2013 לא פירטה דרישות החלות על כל היישומים: היא סיפקה רשימה של דרישות אבטחת מידע שיש לקחת בחשבון עבור יישומים העוברים ברשתות ציבוריות.

שליטה ב-8.26 בגרסת 2022, להיפך, סיפק רשימה של דרישות אבטחת מידע החלות על כל האפליקציות.

הנחיות נוספות לגבי יישומי הזמנה ותשלום אלקטרוניים

בקרה 8.26 בגרסת 2022 מכילה הנחיות ספציפיות בנושא יישומי הזמנה ותשלום אלקטרוניים. לעומת זאת, גרסת 2013 לא התייחסה לכך.

דרישה נוספת על שירותי עסקה

בעוד שגרסת 2022 וגרסת 2013 כמעט זהות מבחינת הדרישות לשירותי עסקאות, גרסת 2022 מציגה דרישה נוספת שלא טופלה בגרסת 2013:

  • ארגונים צריכים לשקול דרישות חוזיות ודרישות הקשורות לביטוח.

כיצד ISMS.online עוזר

ISMS.online הוא פתרון מבוסס ענן המסייע לחברות להראות עמידה בתקן ISO 27002. ניתן להשתמש בפתרון ISMS.online לניהול הדרישות של ISO 27002 ולהבטיח שהארגון שלך יישאר תואם לתקן החדש.

הפלטפורמה שלנו הוא ידידותי למשתמש ופשוט. זה לא רק עבור אנשים טכניים מאוד; זה מיועד לכולם בחברה שלך.

צור קשר עוד היום כדי הזמן הדגמה.

ראה ISMS.online
בִּפְעוּלָה

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת
מהימן על ידי חברות בכל מקום
  • פשוט וקל לשימוש
  • תוכנן להצלחת ISO 27001
  • חוסך לך זמן וכסף
הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף