אימות מאובטח הוא השיטה העיקרית שבה משתמשים אנושיים ושאינם אנושיים בניסיון לנצל את נכסי ה-ICT של הארגון.
במהלך העשור האחרון, טכנולוגיית האימות עברה שינוי מהותי מאימותים מסורתיים מבוססי שם משתמש/סיסמה. מגוון טכניקות משלימות הכולל מידע ביומטרי, בקרות גישה לוגיות ופיזיות, אימות מכשיר חיצוני, קודי SMS וסיסמאות חד פעמיות (OTP).
27002:2022-8.5 מכניס את כל זה להקשר ומייעץ לארגונים כיצד בדיוק הם צריכים להיות שליטה בגישה למערכות ה-ICT ולנכסים שלהם באמצעות שער כניסה מאובטח.
שליטה 8.5 היא א בקרה מונעת זֶה שומר על סיכון על ידי הטמעת טכנולוגיה והקמת נהלי אימות מאובטחים ספציפיים לנושא המבטיחים שמשתמשים וזהויות אנושיים ושאינם אנושיים יעברו הליך אימות חזק ומאובטח בעת ניסיון לגשת למשאבי ICT.
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ניהול זהות וגישה | #הֲגָנָה |
בקרה 8.5 עוסקת ביכולת של ארגון לשלוט בגישה לרשת שלו (והמידע והנתונים הכלולים בתוכה) בצמתים קריטיים, כגון שער כניסה.
בעוד שהבקרה אכן עוסקת באבטחת מידע ונתונים כתפיסה רחבה יותר, ההדרכה התפעולית היא בעיקר בעלת אופי טכני.
ככזה, הבעלות צריכה להיות אצל ראש ה-IT (או שווה ערך ארגוני), המחזיק אחריות על פונקציות ניהול ה-IT השוטפות של הארגון.
Control 8.5 מבקש מארגונים לשקול בקרות אימות הרלוונטיות לסוג ולרגישות של הנתונים והרשת שאליהם ניגשים, כולל:
המטרה העליונה של בקרות האימות המאובטחות של ארגון צריכה להיות למנוע ו/או למזער את הסיכון של גישה לא מורשית למערכות המוגנות שלה.
כדי להשיג זאת, Control 8.5 מתאר 12 נקודות הנחיה עיקריות. ארגונים צריכים:
ISO ממליצה כי בשל מספר גורמים הקשורים לאפקטיביות ושלמותם של תהליכי כניסה ביומטריים על פני אמצעים מסורתיים (סיסמאות, MFA, אסימונים וכו'), שיטות אימות ביומטרי לא אמור לשמש בבידוד, ובליווי לפחות טכניקת כניסה אחת נוספת.
27002:2022-8.5 מחליף את 27002:2014-9.4.2 (נהלי כניסה מאובטחים).
27002:2022-8.5 מכיל את אותן 12 נקודות הנחיה כמו המקבילה לשנת 2013, עם התאמות קלות בנוסח, ועוקבת אחר אותה מערכת של עקרונות אבטחה הבסיסיים.
בהתאם לעלייה של טכנולוגיות MFA וכניסה ביומטרית בעשור האחרון, 27002:2022-8.5 מכיל הדרכה מפורשת על השימוש בשתי הטכניקות שעל ארגונים לשקול בעת ניסוח ערכת בקרות כניסה משלהם.
הפלטפורמה מבוססת הענן שלנו מספקת לך מסגרת חזקה של בקרות אבטחת מידע כדי שתוכל רשימת בדיקה לתהליך ה-ISMS שלך בזמן שאתה הולך כדי לוודא שהוא עומד בדרישות ISO 27000k. בשימוש נכון, ISMS. באינטרנט יכול לעזור לך השגת הסמכה במינימום זמן ומשאבים.
צור קשר עוד היום כדי הזמן הדגמה.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
