ISO 27002:2022, בקרה 8.5, אימות מאובטח

ISO 27002:2022 – בקרה 8.5 – אימות מאובטח

ISO 27002 בקרה 8.5 מתמקד ביישום שיטות אימות מאובטחות כמו אימות רב-גורמי (MFA), ביומטריה ואסימונים מאובטחים כדי למנוע גישה לא מורשית למערכות IT. הוא מדגיש שיטות עבודה מומלצות כגון הגבלת תצוגת מידע לפני הכניסה, שימוש באזהרות לפני כניסה והגבלת סיוע בכניסה למשתמשים לא מורשים.

מטרת הבקרה 8.5

אימות מאובטח הוא השיטה העיקרית שבה משתמשים אנושיים ושאינם אנושיים בניסיון לנצל את נכסי ה-ICT של הארגון.

במהלך העשור האחרון, טכנולוגיית האימות עברה שינוי מהותי מאימותים מסורתיים מבוססי שם משתמש/סיסמה. מגוון טכניקות משלימות הכולל מידע ביומטרי, בקרות גישה לוגיות ופיזיות, אימות מכשיר חיצוני, קודי SMS וסיסמאות חד פעמיות (OTP).

27002:2022-8.5 מכניס את כל זה להקשר ומייעץ לארגונים כיצד בדיוק הם צריכים להיות שליטה בגישה למערכות ה-ICT ולנכסים שלהם באמצעות שער כניסה מאובטח.

שליטה 8.5 היא א בקרה מונעת זֶה שומר על סיכון על ידי הטמעת טכנולוגיה והקמת נהלי אימות מאובטחים ספציפיים לנושא המבטיחים שמשתמשים וזהויות אנושיים ושאינם אנושיים יעברו הליך אימות חזק ומאובטח בעת ניסיון לגשת למשאבי ICT.

טבלת בקרה של תכונות 8.5

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ניהול זהות וגישה	#הֲגָנָה
	#יושרה
	#זמינות

בעלות על שליטה 8.5

בקרה 8.5 עוסקת ביכולת של ארגון לשלוט בגישה לרשת שלו (והמידע והנתונים הכלולים בתוכה) בצמתים קריטיים, כגון שער כניסה.

בעוד שהבקרה אכן עוסקת באבטחת מידע ונתונים כתפיסה רחבה יותר, ההדרכה התפעולית היא בעיקר בעלת אופי טכני.

ככזה, הבעלות צריכה להיות אצל ראש ה-IT (או שווה ערך ארגוני), המחזיק אחריות על פונקציות ניהול ה-IT השוטפות של הארגון.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

הנחיות כלליות בנושא בקרה 8.5

Control 8.5 מבקש מארגונים לשקול בקרות אימות הרלוונטיות לסוג ולרגישות של הנתונים והרשת שאליהם ניגשים, כולל:

אימות רב-גורמי (MFA)
אישורים דיגיטליים
בקרות גישה חכמות (כרטיסים חכמים)
כניסות ביומטריות
אסימונים מאובטחים

המטרה העליונה של בקרות האימות המאובטחות של ארגון צריכה להיות למנוע ו/או למזער את הסיכון של גישה לא מורשית למערכות המוגנות שלה.

כדי להשיג זאת, Control 8.5 מתאר 12 נקודות הנחיה עיקריות. ארגונים צריכים:

הגבל את הצגת המידע עד לאחר ניסיון אימות מוצלח.
הצג אזהרה מוקדמת כניסה המציינת בבירור שיש לגשת למידע רק על ידי משתמשים מורשים.
צמצם למינימום את הסיוע שהוא מספק למשתמשים לא מאומתים המנסים לגשת למערכת, למשל ארגונים לא צריכים לחשוף איזה חלק ספציפי של ניסיון התחברות שגוי, כגון היבט ביומטרי של התחברות ל-MFA, ובמקום זאת פשוט לציין שניסיון ההתחברות נכשל. .
אמת את ניסיון ההתחברות רק כאשר כל המידע הנדרש נמסר לשירות ההתחברות, לשמירה על האבטחה.
הטמע אמצעי אבטחה סטנדרטיים בתעשייה המגנים מפני גישה גורפת ו/או התקפות כוח גס על פורטלי התחברות. אמצעים אלה יכולים לכלול:

בקרות CAPTCHA
אכיפת איפוס סיסמה לאחר כמות מוגדרת של ניסיונות כניסה כושלים
מניעת ניסיונות כניסה נוספים בעקבות מספר מוגדר מראש של ניסיונות כושלים

הקלטת כל ניסיונות ההתחברות הכושלים עבור למטרות ביקורת ואבטחה, לרבות השימוש בהם בהליכים פליליים ו/או רגולטוריים.
ייזום א אירוע ביטחוני בכל פעם שמתגלה אי התאמה גדולה בכניסה, כגון חדירה נתפסת. במקרים אלה, יש ליידע את כל הצוות הפנימי הרלוונטי, במיוחד אלה עם גישת מנהל מערכות או כל יכולת להילחם בניסיונות התחברות זדוניים.
לאחר אימות התחברות, העבר פיסות מידע מסוימות למקור נתונים נפרד שמפרטים:

התאריך והשעה של הכניסה המוצלחת הקודמת
רשימה של כל ניסיונות ההתחברות מאז הכניסה האחרונה שאושרה

הצג סיסמאות ככוכביות (או סמלים מופשטים באופן דומה), כאשר אין צורך דחוף שלא לעשות זאת (למשל נגישות למשתמש).
איסור מוחלט על שיתוף או הצגה של סיסמאות כטקסט ברור וקריא.
שמור על מדיניות של סיום הפעלות התחברות רדומות לאחר פרק זמן מסוים. זה רלוונטי במיוחד עבור הפעלות שפעילות במקומות בסיכון גבוה (סביבות עבודה מרוחקות) או על נכסים שסופקו על ידי המשתמש כגון מחשבים ניידים אישיים או טלפונים ניידים.
הגבלת משך הזמן שבו הפעלה מאומתת יכולה להישאר פתוחה - גם כשהיא פעילה - ביחס למידע שאליו ניגשים (כלומר מידע קריטי לעסק או יישומים רגישים מבחינה פיננסית).

הדרכה - כניסות ביומטריות

ISO ממליצה כי בשל מספר גורמים הקשורים לאפקטיביות ושלמותם של תהליכי כניסה ביומטריים על פני אמצעים מסורתיים (סיסמאות, MFA, אסימונים וכו'), שיטות אימות ביומטרי לא אמור לשמש בבידוד, ובליווי לפחות טכניקת כניסה אחת נוספת.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022-8.5 מחליף את 27002:2014-9.4.2 (נהלי כניסה מאובטחים).

27002:2022-8.5 מכיל את אותן 12 נקודות הנחיה כמו המקבילה לשנת 2013, עם התאמות קלות בנוסח, ועוקבת אחר אותה מערכת של עקרונות אבטחה הבסיסיים.

בהתאם לעלייה של טכנולוגיות MFA וכניסה ביומטרית בעשור האחרון, 27002:2022-8.5 מכיל הדרכה מפורשת על השימוש בשתי הטכניקות שעל ארגונים לשקול בעת ניסוח ערכת בקרות כניסה משלהם.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

הפלטפורמה מבוססת הענן שלנו מספקת לך מסגרת חזקה של בקרות אבטחת מידע כדי שתוכל רשימת בדיקה לתהליך ה-ISMS שלך בזמן שאתה הולך כדי לוודא שהוא עומד בדרישות ISO 27000k. בשימוש נכון, ISMS. באינטרנט יכול לעזור לך השגת הסמכה במינימום זמן ומשאבים.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו