הגנה על מערכות מידע במהלך בדיקת ביקורת

ISO 27002:2022 – בקרה 8.34 – הגנה על מערכות מידע במהלך בדיקות ביקורת

ISO 27002 בקרה 8.34 מתמקד בהגנה על מערכות מידע במהלך ביקורת על ידי הגבלת גישה, הבטחת התקני מבקר מאובטחים, שימוש בעותקי נתונים מבודדים ושמירה על מסלולי ביקורת כדי למנוע חשיפה לא מורשית, הפרות יושרה או שיבושים.

הבטחת מערכות מידע מאובטחות במהלך ביקורת: בקרת ISO 27002 8.34 הסבר

למבחני ביקורת יש תפקיד קריטי באיתור ובחיסול סיכוני אבטחה ופגיעות במערכות המידע.

עם זאת, תהליך ביקורת, בין אם מבוצע בסביבות תפעול, בדיקות או פיתוח, עלול לחשוף מידע רגיש לסיכונים של חשיפה לא מורשית, או אובדן שלמות וזמינות.

בקרה 8.34 עוסקת כיצד ארגונים יכולים לשמור על אבטחת נכסי מידע במהלך בדיקות ביקורת.

מטרת הבקרה 8.34

בקרה 8.34 מאפשרת לארגונים לחסל ולהפחית סיכונים ל אבטחת מערכות מידע ולהמשכיות הפעילות העסקית על ידי קביעה ויישום אמצעים ובקרות מתאימים כגון הגבלות גישה ומגבלות גישה לקריאה בלבד.

טבלת בקרה של תכונות 8.34

בקרה 8.34 היא מונעת בטבעה שכן היא דורשת את ההנהלה העליונה והמבקר לתכנן ולהסכים על בדיקות ביקורת נהלים, הגבלות ובקרות לפני ביצוע ביקורת.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#אבטחת מערכת ורשת	#ממשל ומערכת אקולוגית
	#יושרה		#הגנת מידע	#הֲגָנָה
	#זמינות

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 8.34

ה- IT צוות ההנהלה צריך להיות אחראי לתכנן ולהסכים על נהלי ביקורת וליצור וליישם אמצעים נחוצים.

הנחיות כלליות בנושא ציות

בקרה 8.34 מפרטת שמונה דרישות ספציפיות שארגונים צריכים לשקול:

ניהול מתאים והמבקר צריכים להסכים על גישה למערכות ולנכסי מידע.
הסכמה לגבי היקף בדיקות הביקורת הטכנית שיש לבצע.
ארגונים יכולים לספק גישה לקריאה בלבד למידע ותוכנה. אם לא ניתן להשתמש בטכניקת הקריאה בלבד, מנהל בעל זכויות גישה נדרשות יכול לקבל גישה למערכות או לנתונים מטעם המבקר.
אם בקשת גישה מאושרת, ארגונים צריכים לוודא תחילה שהמכשירים המשמשים לגישה למערכות עומדים בדרישות האבטחה לפני שהם מספקים גישה.
יש לספק גישה רק עבור עותקים בודדים של קבצים שחולצו מהמערכת. יש למחוק עותקים אלה לצמיתות לאחר השלמת הביקורת, אלא אם יש חובה לשמור את הקבצים הללו. אם אפשרית גישה לקריאה בלבד, שליטה זו אינה חלה.
בקשות של מבקרים לבצע עיבודים מיוחדים כגון פריסת כלי ביקורת צריכות להיות מוסכמות על ידי ההנהלה.
אם ביקורת מסתכנת בהשפעה על זמינות המערכת, הביקורת צריכה להתבצע מחוץ לשעות העבודה כדי לשמור על זמינות המידע.
בקשות גישה שנעשה לביקורות צריך להיות מתועד עבור נתיב הביקורת.

הנחיות משלימות בקרה 8.34

כאשר מבוצעות ביקורת על סביבות בדיקה או פיתוח, ארגונים צריכים להיות זהירים מפני הסיכונים הבאים:

פשרה של שלמות הקוד.
אובדן סודיות מידע רגיש.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.34 replaces 27002:2013/(12.7.1)

למרות שגרסת 2022 דומה במידה רבה לגרסת 2013, ישנם שני הבדלים עיקריים.

גרסה ISO 27002:2022 מציגה דרישה חדשה

גרסת 2022 מציגה את הדרישה הבאה שלא הוזכרה בגרסת 2013:

אם בקשת גישה מאושרת, ארגונים צריכים לוודא תחילה שהמכשירים המשמשים לגישה למערכות עומדים בדרישות האבטחה לפני שהם מספקים גישה.

גרסת 2022 מתייחסת לסביבות בדיקה ופיתוח

בהנחיה המשלימה, גרסת 2022 מזהירה ארגונים מפני סיכוני אבטחה עקב ביקורות שבוצעו על סביבות בדיקה ופיתוח. גרסת 2013, להיפך, לא התייחסה לסביבות הבדיקה והפיתוח.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרה.

הפלטפורמה שלנו הוא אינטואיטיבי וקל לשימוש. זה לא רק לאנשים טכניים מאוד; זה מיועד לכולם בארגון שלך. אנו ממליצים לך לערב צוות בכל הרמות של העסק שלך בתהליך בנייתך האיזמים, כי זה עוזר לך לבנות מערכת בת קיימא באמת.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו