תוכנות יישומים כגון יישומי אינטרנט, תוכנות גרפיקה, תוכנות מסד נתונים ותוכנות לעיבוד תשלומים הן חיוניות לפעולות עסקיות קריטיות רבות.
עם זאת, יישומים אלה נחשפים לעתים קרובות פרצות אבטחה שעלולות לגרום לפגיעה במידע רגיש.
לדוגמה, Equifax, לשכת אשראי בארה"ב, לא הצליחה להחיל תיקון אבטחה על מסגרת של יישום אתר המשמש לטיפול בתלונות לקוחות. תוקפי הסייבר השתמשו פגיעויות אבטחה ביישום האינטרנט לחדור לרשתות הארגוניות של Equifax וגנב נתונים רגישים של כ-145 מיליון אנשים.
בקרה 8.26 מתייחסת כיצד ארגונים יכולים לקבוע וליישם דרישות אבטחת מידע לפיתוח, שימוש ורכישה של יישומים.
בקרה 8.26 מאפשרת לארגונים להגן על נכסי מידע המאוחסנים או מעובדים באמצעות יישומים על ידי זיהוי ויישום דרישות אבטחת מידע מתאימות.
בקרה 8.26 הוא סוג מניעתי של בקרה המונע סיכונים לשלמות, זמינות וסודיות של נכסי מידע המאוחסנים באפליקציה באמצעות שימוש באמצעי אבטחת מידע מתאימים.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #אבטחת יישומים #אבטחת מערכת ורשת | #הֲגָנָה #הֲגָנָה |
קצין אבטחת מידע ראשי, בתמיכת מומחי אבטחת מידע, צריך להיות אחראי על זיהוי, אישור ויישום של דרישות מידע לצורך רכישה, שימוש ופיתוח של יישומים.
ההנחיה הכללית מציינת כי על ארגונים לבצע א הערכת סיכונים לקביעת סוג דרישות אבטחת המידע מתאים ליישום מסוים.
בעוד התוכן והסוגים של דרישות אבטחת מידע עשויות להשתנות בהתאם לאופי הבקשה, הדרישות צריכות להתייחס לדברים הבאים:
בקרה 8.26 דורשת מארגונים לקחת בחשבון את שבע ההמלצות הבאות כאשר אפליקציה מציעה שירותי עסקאות בין הארגון לשותף:
כאשר יישומים כוללים תשלום ופונקציונליות הזמנה אלקטרונית, ארגונים צריכים לקחת בחשבון את הדברים הבאים:
כאשר הגישה לאפליקציות מתבצעת דרך רשתות, הן חשופות לאיומים כגון סכסוכי חוזים, פעילויות הונאה, ניתוב שגוי, שינויים לא מורשים בתוכן התקשורת או אובדן סודיות מידע רגיש.
בקרה 8.26 ממליץ לארגונים לבצע ביצוע מקיף הערכות סיכונים כדי לזהות בקרות מתאימות כגון שימוש בקריפטוגרפיה כדי להבטיח את אבטחת העברת המידע.
27002:2022/8.26 להחליף את 27002:2013/(14.1.2 ו-14.1.3)
ישנם שלושה הבדלים גדולים בין שתי הגרסאות.
גרסת ISO 27002:2013 לא פירטה דרישות החלות על כל היישומים: היא סיפקה רשימה של דרישות אבטחת מידע שיש לקחת בחשבון עבור יישומים העוברים ברשתות ציבוריות.
שליטה ב-8.26 בגרסת 2022, להיפך, סיפק רשימה של דרישות אבטחת מידע החלות על כל האפליקציות.
בקרה 8.26 בגרסת 2022 מכילה הנחיות ספציפיות בנושא יישומי הזמנה ותשלום אלקטרוניים. לעומת זאת, גרסת 2013 לא התייחסה לכך.
בעוד שגרסת 2022 וגרסת 2013 כמעט זהות מבחינת הדרישות לשירותי עסקאות, גרסת 2022 מציגה דרישה נוספת שלא טופלה בגרסת 2013:
ISMS.online הוא פתרון מבוסס ענן המסייע לחברות להראות עמידה בתקן ISO 27002. ניתן להשתמש בפתרון ISMS.online לניהול הדרישות של ISO 27002 ולהבטיח שהארגון שלך יישאר תואם לתקן החדש.
הפלטפורמה שלנו הוא ידידותי למשתמש ופשוט. זה לא רק עבור אנשים טכניים מאוד; זה מיועד לכולם בחברה שלך.
צור קשר עוד היום כדי הזמן הדגמה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |