בדיקות אבטחה בפיתוח וקבלה

הבטחת אבטחה מפיתוח ועד פריסה: ISO 27002 בקרה 8.29 הסבר

פושעי סייבר ממציאים כל הזמן דרכים חדשות ומשפרים את האסטרטגיות שלהם לחדור לרשתות ארגוניות ולקבל גישה לנכסי מידע רגיש.

לדוגמה, תוקפי סייבר עשויים לנצל פגיעות הקשורה למנגנון האימות בקוד המקור כדי לחדור לרשתות. יתר על כן, הם עשויים גם לנסות לתמרן את משתמשי הקצה בצד הלקוח לבצע פעולות לחדור לרשתות, לקבל גישה לנתונים או לבצע התקפות של תוכנות כופר.

אם אפליקציה, תוכנה או מערכת IT נפרסת בעולם האמיתי עם פגיעויות, הדבר יחשוף נכסי מידע רגיש לסיכון של פשרה.

לכן, ארגונים צריכים להקים וליישם הליך בדיקות אבטחה מתאים כדי לזהות ולתקן את כל הפגיעות במערכות ה-IT לפני פריסתן לעולם האמיתי.

מטרת הבקרה 8.29

בקרה 8.29 מאפשרת לארגונים לוודא שכל דרישות אבטחת המידע מתקיימות כאשר יישומים, מסדי נתונים, תוכנה או קוד חדשים מופעלים על ידי הקמת ויישום נוהל בדיקות אבטחה חזק.

זה עוזר לארגונים לזהות ולחסל פגיעויות בקוד, ברשתות, בשרתים, באפליקציות או במערכות IT אחרות לפני השימוש בהן בעולם האמיתי.

תכונות שליטה 8.29

בקרה 8.29 היא מונעת במהותה. זה מחייב ארגונים להכפיף מערכות מידע חדשות וגרסאות חדשות/עדכניות שלהן לתהליך בדיקות אבטחה לפני שהן משוחררות לסביבת הייצור.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לזהות	#אבטחת יישומים	#הֲגָנָה
	#יושרה		#אבטחת מידע
	#זמינות		#אבטחת מערכת ורשת

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 8.29

בהתחשב בכך שבקרה 8.29 כרוכה בהקמה, תחזוקה והטמעה של נוהל בדיקות אבטחה שיחול על כל מערכות המידע החדשות בין אם פותחו בבית ובין אם על ידי גורמים חיצוניים, קצין אבטחת המידע צריך להיות אחראי לציות.

הנחיות כלליות בנושא ציות

ארגונים צריכים לשלב בדיקות אבטחה בתהליך הבדיקה של כל המערכות ועליהם לוודא שכל מערכות המידע החדשות והגרסאות החדשות/המעודכנות שלהן עומדות בדרישות אבטחת המידע כשהן נמצאות בסביבת הייצור.

בקרה 8.29 מפרטת שלושה אלמנטים שיש לכלול בתהליך בדיקת האבטחה:

פונקציות אבטחה כגון אימות משתמש כפי שהוגדר ב-Control 8..5, הגבלת גישה כפי שנקבעה ב-Control 8.3, והצפנה כפי שכתובה ב-Control 8.24.
קידוד מאובטח כמתואר בבקרה 8.28.
תצורות מאובטחות כפי שנקבע בפקדים 8.9, 8.20, 8.22. זה עשוי לכסות חומות אש ומערכות הפעלה.

מה צריכה לכלול תוכנית בדיקה?

בעת תכנון תוכניות בדיקות אבטחה, ארגונים צריכים לקחת בחשבון את רמת הקריטיות ואת אופי מערכת המידע הקיימת.

תוכנית בדיקת האבטחה צריכה לכסות את הדברים הבאים:

קביעת לוח זמנים מפורט לפעילויות ולבדיקות שייערכו.
תשומות ותפוקות צפויות להתרחש בסט נתון של תנאים.
קריטריונים להערכת התוצאות.
במידת הצורך, החלטות לנקוט בפעולות על סמך התוצאות.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

פיתוח פנימי

כאשר מערכות IT מפותחות על ידי צוות הפיתוח הפנימי, צוות זה צריך לבצע את בדיקות האבטחה הראשוניות כדי לוודא שמערכת ה-IT עומדת בדרישות האבטחה.

לאחר מכן יש לעקוב אחר בדיקה ראשונית זו בבדיקת קבלה של עצמאות בהתאם לבקרה 5.8.

ביחס לפיתוח הביתי, יש לקחת בחשבון את הדברים הבאים:

ביצוע פעילויות סקירת קוד כדי לזהות ולחסל פגמי אבטחה, לרבות תשומות ותנאים צפויים.
ביצוע סריקת פגיעות לאיתור תצורות לא מאובטחות ופגיעות אחרות.
ביצוע בדיקות חדירה לאיתור קוד ועיצוב לא מאובטחים.

מיקור חוץ

ארגונים צריכים לעקוב אחר תהליך רכישה קפדני כאשר הם מיקור חוץ לפיתוח או כאשר הם רוכשים רכיבי IT מגורמים חיצוניים.

ארגונים צריכים להתקשר בהסכם עם הספקים שלהם והסכם זה צריך להתייחס לדרישות אבטחת המידע כפי שנקבע בבקרה 5.20.

יתר על כן, ארגונים צריכים לוודא שהמוצרים והשירותים שהם רוכשים עומדים בתקני אבטחת המידע.

הנחיות משלימות בקרה 8.29

ארגונים יכולים ליצור סביבות בדיקה מרובות כדי לבצע בדיקות שונות כגון בדיקות פונקציונליות, לא פונקציונליות ובדיקות ביצועים.

יתר על כן, הם יכולים ליצור סביבות בדיקה וירטואליות ולאחר מכן להגדיר את הסביבות הללו כדי לבדוק את מערכות ה-IT בהגדרות תפעוליות שונות.

Control 8.29 מציין גם שבדיקות אבטחה אפקטיביות מחייבות ארגונים לבדוק ולנטר את סביבות הבדיקה, הכלים והטכנולוגיות.

לבסוף, ארגונים צריכים לקחת בחשבון את רמת הרגישות והקריטיות של הנתונים בעת קביעת מספר השכבות של מטא-בדיקות.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.29 מחליף את 27002:2013/(14.2.8 ו-14.2.9)

שינויים מבניים

בעוד שגרסת 2022 מתייחסת לבדיקות מאובטחות תחת בקרת יחידה אחת, גרסת 2013 התייחסה לבדיקות מאובטחות בשני פקדים נפרדים; בדיקת אבטחת מערכת בבקרה 14.2.8 ובדיקת קבלת מערכת בבקרה 14.2.9

בקרה 8.29 מביאה דרישות מקיפות יותר

בניגוד לגרסת 2013, גרסת 2022 כוללת דרישות והמלצות מפורטות יותר בנושאים הבאים:

תוכנית בדיקות אבטחה ומה היא צריכה לכלול.
קריטריונים לבדיקות אבטחה לפיתוח פנימי של מערכות IT.
תהליך בדיקת אבטחה ומה הוא צריך לכלול.
שימוש בסביבות בדיקה מרובות.

גרסת 2013 הייתה מפורטת יותר ביחס לבדיקות קבלה

בניגוד לגרסת 2022, גרסת 2013 הייתה יותר מחייבת עבור בדיקות קבלת המערכת. הוא כלל דרישות כמו בדיקות אבטחה על רכיבים שהתקבלו ושימוש בכלים אוטומטיים.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISMS.online מייעל את תהליך ההטמעה של ISO 27002 על ידי מתן מסגרת מתוחכמת מבוססת ענן לתיעוד נהלי מערכת ניהול אבטחת מידע ורשימות ביקורת כדי להבטיח עמידה בתקנים מוכרים.

צרו קשר ו הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו