בקרה 8.26, דרישות אבטחת יישומים

הבנת ISO 27002 בקרה 8.26: דרישות אבטחת יישומים

תוכנות יישומים כגון יישומי אינטרנט, תוכנות גרפיקה, תוכנות מסד נתונים ותוכנות לעיבוד תשלומים הן חיוניות לפעולות עסקיות קריטיות רבות.

עם זאת, יישומים אלה נחשפים לעתים קרובות פרצות אבטחה שעלולות לגרום לפגיעה במידע רגיש.

לדוגמה, Equifax, לשכת אשראי בארה"ב, לא הצליחה להחיל תיקון אבטחה על מסגרת של יישום אתר המשמש לטיפול בתלונות לקוחות. תוקפי הסייבר השתמשו פגיעויות אבטחה ביישום האינטרנט לחדור לרשתות הארגוניות של Equifax וגנב נתונים רגישים של כ-145 מיליון אנשים.

בקרה 8.26 מתייחסת כיצד ארגונים יכולים לקבוע וליישם דרישות אבטחת מידע לפיתוח, שימוש ורכישה של יישומים.

מטרת הבקרה 8.26

בקרה 8.26 מאפשרת לארגונים להגן על נכסי מידע המאוחסנים או מעובדים באמצעות יישומים על ידי זיהוי ויישום דרישות אבטחת מידע מתאימות.

טבלת בקרה של תכונות 8.26

בקרה 8.26 הוא סוג מניעתי של בקרה המונע סיכונים לשלמות, זמינות וסודיות של נכסי מידע המאוחסנים באפליקציה באמצעות שימוש באמצעי אבטחת מידע מתאימים.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#אבטחת יישומים	#הֲגָנָה
	#יושרה		#אבטחת מערכת ורשת	#הֲגָנָה
	#זמינות

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 8.26

קצין אבטחת מידע ראשי, בתמיכת מומחי אבטחת מידע, צריך להיות אחראי על זיהוי, אישור ויישום של דרישות מידע לצורך רכישה, שימוש ופיתוח של יישומים.

הנחיות כלליות בנושא ציות

ההנחיה הכללית מציינת כי על ארגונים לבצע א הערכת סיכונים לקביעת סוג דרישות אבטחת המידע מתאים ליישום מסוים.

בעוד התוכן והסוגים של דרישות אבטחת מידע עשויות להשתנות בהתאם לאופי הבקשה, הדרישות צריכות להתייחס לדברים הבאים:

מידת האמון המיוחסת לזהות של גורמים ספציפיים בהתאם לבקרה 5.17, 8.2 ו-8.5.
זיהוי רמת הסיווג מוקצה לנכסי מידע לאחסון או לעיבוד של האפליקציה.
האם יש צורך להפריד את הגישה לפונקציות ולמידע המאוחסן באפליקציה.
האם האפליקציה עמידה בפני התקפות סייבר כגון הזרקות SQL או יירוטים לא מכוונים כגון גלישת מאגר.
דרישות ותקנים משפטיים, רגולטוריים וסטטוטוריים החלים על העסקה שעובדה, נוצרה, מאוחסנת או הושלמה על ידי האפליקציה.
שיקולי פרטיות לכל הצדדים המעורבים.
דרישות עבור הגנה על נתונים סודיים.
הגנה על מידע בעת שימוש, במעבר או במנוחה.
אם הצפנה מאובטחת של תקשורת יש צורך בין כל הצדדים הרלוונטיים.
יישום בקרות קלט כגון אימות קלט או ביצוע בדיקות תקינות.
ביצוע בקרה אוטומטית.
ביצוע בקרות פלט, תוך התחשבות מי יכול להציג פלטים והרשאה ל-Access.
צריך להטיל הגבלות על התוכן של שדות "טקסט חופשי" כדי להגן על הפצת נתונים סודיים באופן בלתי נשלט.
דרישות הנובעות מצרכים עסקיים כגון רישום עסקאות ודרישות אי-דחייה.
דרישות המוטלות על ידי בקרות אבטחה אחרות כגון מערכות איתור דליפת נתונים.
כיצד לטפל בהודעות שגיאה.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

הנחיות משלימות בנושא שירותי עסקאות

בקרה 8.26 דורשת מארגונים לקחת בחשבון את שבע ההמלצות הבאות כאשר אפליקציה מציעה שירותי עסקאות בין הארגון לשותף:

מידת האמון הנדרשת לכל צד בעסקה בזהות הצד השני.
מידת האמון הנדרשת בשלמות הנתונים המועברים או מעובדים וזיהוי מנגנון ראוי לזיהוי כל חוסר שלמות, לרבות כלים כגון hashing וחתימות דיגיטליות.
הקמת תהליך הרשאה למי רשאי לאשר את התוכן של, לחתום או לחתום על מסמכי עסקה חיוניים.
שמירה על סודיות ושלמות המסמכים הקריטיים והוכחת שליחה וקבלה של מסמכים כאלה.
הגנה ושמירה על שלמות וסודיות כל העסקאות כגון הזמנות וקבלות.
דרישות לאיזו תקופת זמן עסקאות יישמרו בסודיות.
דרישות חוזיות ודרישות הקשורות לביטוח.

הנחיות משלימות לגבי יישומי הזמנה ותשלום אלקטרוניים

כאשר יישומים כוללים תשלום ופונקציונליות הזמנה אלקטרונית, ארגונים צריכים לקחת בחשבון את הדברים הבאים:

הדרישות מבטיחות שהסודיות והשלמות של מידע ההזמנה לא ייפגעו.
קביעת דרגת אימות מתאימה לאימות פרטי התשלום שסופקו על ידי לקוח.
מניעת אובדן או שכפול של מידע עסקה.
הבטחה שמידע הקשור למידע מאוחסן מחוץ לסביבה נגישה לציבור, כגון באמצעי אחסון הנמצא באינטראנט של הארגון עצמו.
כאשר ארגונים מסתמכים על סמכות חיצונית מהימנה, כמו למשל להנפקת חתימות דיגיטליות, עליהם להבטיח שהאבטחה משולבת לאורך כל התהליך.

הדרכה משלימה בנושא רשתות

כאשר הגישה לאפליקציות מתבצעת דרך רשתות, הן חשופות לאיומים כגון סכסוכי חוזים, פעילויות הונאה, ניתוב שגוי, שינויים לא מורשים בתוכן התקשורת או אובדן סודיות מידע רגיש.

בקרה 8.26 ממליץ לארגונים לבצע ביצוע מקיף הערכות סיכונים כדי לזהות בקרות מתאימות כגון שימוש בקריפטוגרפיה כדי להבטיח את אבטחת העברת המידע.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.26 להחליף את 27002:2013/(14.1.2 ו-14.1.3)

ישנם שלושה הבדלים גדולים בין שתי הגרסאות.

כל האפליקציות מול אפליקציות העוברות ברשתות ציבוריות

גרסת ISO 27002:2013 לא פירטה דרישות החלות על כל היישומים: היא סיפקה רשימה של דרישות אבטחת מידע שיש לקחת בחשבון עבור יישומים העוברים ברשתות ציבוריות.

שליטה ב-8.26 בגרסת 2022, להיפך, סיפק רשימה של דרישות אבטחת מידע החלות על כל האפליקציות.

הנחיות נוספות לגבי יישומי הזמנה ותשלום אלקטרוניים

בקרה 8.26 בגרסת 2022 מכילה הנחיות ספציפיות בנושא יישומי הזמנה ותשלום אלקטרוניים. לעומת זאת, גרסת 2013 לא התייחסה לכך.

דרישה נוספת על שירותי עסקה

בעוד שגרסת 2022 וגרסת 2013 כמעט זהות מבחינת הדרישות לשירותי עסקאות, גרסת 2022 מציגה דרישה נוספת שלא טופלה בגרסת 2013:

ארגונים צריכים לשקול דרישות חוזיות ודרישות הקשורות לביטוח.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISMS.online הוא פתרון מבוסס ענן המסייע לחברות להראות עמידה בתקן ISO 27002. ניתן להשתמש בפתרון ISMS.online לניהול הדרישות של ISO 27002 ולהבטיח שהארגון שלך יישאר תואם לתקן החדש.

הפלטפורמה שלנו הוא ידידותי למשתמש ופשוט. זה לא רק עבור אנשים טכניים מאוד; זה מיועד לכולם בחברה שלך.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו