ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת

הטמעת ISO 27002 בקרה 8.27 לאבטחה חזקה יותר

הרכבים מורכבים של מערכות מידע מודרניות, ונוף איומי אבטחת הסייבר המשתנה ללא הרף, הופכים את מערכות המידע לפגיעות יותר לאיומי אבטחה ידועים ופוטנציאליים.

בקרה 8.27, מתייחסת לאופן שבו ארגונים יכולים לחסל איומי אבטחה למערכות מידע על ידי יצירת עקרונות הנדסת מערכת מאובטחת המוחלים על כל שלבי מחזור החיים של מערכת המידע.

מטרת הבקרה 8.27

בקרה 8.27 מאפשרת לארגונים לשמור על אבטחת מערכות מידע במהלך שלבי התכנון, הפריסה, התפעול על ידי ביסוס ויישום עקרונות הנדסת מערכת מאובטחת שמהנדסי מערכת עומדים בהם.

טבלת בקרה של תכונות 8.27

בקרה 8.27 היא סוג מניעתי של בקרה הדורש מארגונים לחסל איומים ידועים ופוטנציאליים על סודיות, יושרה וזמינות של נכסי מידע מאוחסן או מעובד באמצעות מערכות מידע כגון אמצעי אחסון, מסדי נתונים ויישומים באמצעות ביסוס עקרונות להנדסת מערכת מאובטחת.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#אבטחת יישומים	#הֲגָנָה
	#יושרה		#אבטחת מערכת ורשת
	#זמינות

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 8.27

רֹאשׁ קצין אבטחת מידע צריך להיות אחראי להקמה, תחזוקה ויישום של עקרונות השולטים בהנדסה מאובטחת של מערכות מידע.

הנחיות כלליות בנושא ציות

בקרה 8.27 מדגישה את זה ארגונים צריכים להטמיע אבטחה בכל שכבות מערכות המידע, כולל תהליכים עסקיים, יישומים וארכיטקטורת נתונים.

יתר על כן, עקרונות הנדסה מאובטחת צריכים לחול על כל הפעילויות הקשורות למערכות מידע וצריך להיות כפוף לבדיקה ולעדכונים שוטפים תוך התחשבות באיומים ודפוסי תקיפה מתעוררים.

בנוסף למערכות מידע שפותחו ומופעלות באופן פנימי, בקרה 8.27 חלה גם על מערכות מידע שנוצרו על ידי ספקי שירות חיצוניים.

לכן, ארגונים צריכים להבטיח שהנהלים והתקנים של ספקי השירות תואמים לעקרונות ההנדסיים המאובטחים שלהם.

בקרה 8.27 דורשת עקרונות הנדסת מערכת מאובטחת כדי לכסות את שמונה הנושאים הבאים:

הדרכה על שיטות אימות משתמשים.
הנחיות בנושא בקרת הפעלה מאובטחת.
הנחיות לגבי תהליכי חיטוי ואימות נתונים.
מקיף ניתוח כל אמצעי האבטחה נחוץ כדי להגן על נכסי מידע ומערכות מפני איומים ידועים.
ניתוח מקיף על היכולות של אמצעי אבטחה לזהות, לחסל ולהגיב לאיומי אבטחה.
מנתח אמצעי אבטחה החלים על פעילויות עסקיות ספציפיות כגון הצפנת מידע.
כיצד ייושמו אמצעי אבטחה והיכן. זה עשוי לכלול שילוב של בקרת אבטחה ספציפית בתוך תשתית טכנית.
כיצד אמצעי אבטחה שונים עובדים יחד ופועלים כמערכת משולבת של בקרות.

הדרכה על עקרון אפס אמון

ארגונים צריכים לשקול את עקרונות אפס האמון הבאים:

החל מהנחה שמערכות הארגון כבר נפגעות והאבטחה ההיקפית של הרשת אינה יעילה יותר.
אימוץ גישת "לעולם אל תסמוך ותמיד תאמת" למתן גישה למערכות מידע.
מתן ביטחון שבקשות המוגשות למערכות מידע מוגנות בהצפנה מקצה לקצה.
יישום מנגנון אימות המניח בקשות גישה למידע מערכות עשויות מרשתות חיצוניות ופתוחות.
הצבת "הפריבילגיה הקטנה ביותר" ודינמית טכניקות בקרת גישה בהתאם לבקרה 5.15, 5,18 ו-8.2. זה מכסה את האימות וההרשאה של בקשות גישה למידע ומערכות מידע רגישות תוך התחשבות במידע הקשרי כגון זהויות המשתמשים כפי שהוגדרו בבקרה 5.16 וסיווג המידע כפי שנקבע בבקרה 5.12.
אימות תמיד של זהות המבקש ומאמת בקשות הרשאה לגישה למערכות מידע. הליכי אימות ואימות אלה צריכים להתבצע בהתאם למידע האימות ב-Control 5.17, User Identities in Control 5.16, ו- Multi-Factor in Control 8.5.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

מה צריכות לכסות טכניקות הנדסת מערכת מאובטחת?

אימוץ והטמעה של עקרונות ארכיטקטורה מאובטחת, לרבות "אבטחה לפי תכנון", "הגנה לעומק", "כשל מאובטח", "אי אמון בקלט מיישומים חיצוניים", "הנחה מהפרה", "הזכות הקטנה ביותר", "שימושיות וניהול" ו" הכי פחות פונקציונליות".
אימוץ ויישום תהליך סקירת עיצוב ממוקד אבטחה על לזהות אבטחת מידע נקודות תורפה והבטחה שאמצעי אבטחה מזוהים ועומדים בדרישות האבטחה.
תיעוד והכרה באמצעי האבטחה שאינם עומדים בדרישות.
התקשות המערכת.

אילו קריטריונים יש לקחת בחשבון בעת תכנון עקרונות הנדסה מאובטחת?

ארגונים צריכים לשקול את הדברים הבאים בעת הקמת עקרונות הנדסת מערכת מאובטחת:

הצורך לשלב בקרות עם ארכיטקטורת אבטחה ספציפית.
תשתית אבטחה טכנית קיימת, לרבות תשתית מפתח ציבורי, ניהול זהויות ומניעת דליפת נתונים.
האם הארגון מסוגל לבנות ולתחזק את הטכנולוגיה הנבחרת.
עלות וזמן הנדרשים כדי לעמוד בדרישות האבטחה והמורכבות של דרישות כאלה.
שיטות עבודה מומלצות קיימות.

הדרכה מעשית על יישום עקרונות הנדסת מערכת מאובטחת

בקרה 8.27 מציינת שארגונים יכולים ליישם עקרונות הנדסיים מאובטחים הלכה למעשה בעת הגדרת התצורה הבאה:

סובלנות לתקלות ושיטות חוסן דומות.
טכניקות הפרדה כגון וירטואליזציה.
התנגדות לפגיעה.

יתר על כן, השימוש ב טכנולוגיית וירטואליזציה מאובטחת יכולה לסייע בביטול הסיכון של יירוט בין שני יישומים הפועלים על אותו מכשיר.

לבסוף, מציינים כי השימוש במערכות התנגדות לפגיעה יכול לסייע בזיהוי ההתעסקות הלוגית והפיזית במערכות מידע ולמנוע חילוץ בלתי מורשה של מידע.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.27 replaces 27002:2013/(14.2.5)

גרסת 2022 מציגה דרישות מקיפות יותר בהשוואה לגרסת 2013:

בניגוד לגרסת 2013, גרסת 2022 מספקת הנחיות לגבי מה עקרונות הנדסה מאובטחים צריכים לכסות.
בניגוד לגרסת 2013, גרסת 2022 מתייחסת לאילו קריטריונים ארגונים צריכים לשקול כאשר הם מתכננים עקרונות הנדסת מערכת מאובטחת.
גרסת 2022 כוללת הדרכה על עקרון אפס האמון. גרסת 2013, לעומת זאת, לא כיסתה זאת.
גרסת 2022 כוללת המלצות על אילו טכניקות הנדסיות בטוחות יש ליישם כמו "אבטחה לפי תכנון". בניגוד לגרסת 2022, גרסת 2013 לא התייחסה לטכניקות כאלה.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

הטמעת ISO 27002 פשוטה יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך. פתרון התאימות המלא שלך עבור ISO / IEC 27002: 2022.

התקדמות של עד 81% מרגע הכניסה.
פתרון תאימות פשוט ומוחלט.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו