ISO 27002:2022, בקרה 8.8 - ניהול נקודות תורפה טכניות

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

נתונים, מרכז, מתכנת, באמצעות, דיגיטלי, מחשב נייד, מחשב, תחזוקה, זה, מומחה.

מטרת הבקרה 8.8

אין רשת מחשבים, מערכת, תוכנה או מכשיר מאובטחים ב-100%. פגיעויות הן חלק בלתי נפרד מהפעלת LAN או WAN מודרניים, וחשוב לארגונים להכיר בכך שראשית, הן קיימות, ושנית, הצורך למזער סיכונים היכן שיש להן פוטנציאל להתרחש.

Control 8.8 מכיל כמות לא מבוטלת של עצות המסייעות לארגונים למנוע ניצול פנימי וחיצוני של נקודות תורפה בכל הרשת שלהם. בקרה 8.8 מסתמכת על נהלים תומכים והנחיות ממספר רב של בקרות ISO 27002:2022, במיוחד אלו הקשורות לניהול שינויים (ראה בקרה 8.32) ופרוטוקולי בקרת גישה.

טבלת תכונות

שליטה 8.8 היא א מוֹנֵעַ לשלוט בזה שומר על סיכון על ידי הטמעת נהלים אשר אוספים מידע על פגיעויות טכניות ומאפשרים לארגון לנקוט באמצעים מתאימים לשמירה על נכסים, מערכות, נתונים וחומרה.

סוג הבקרהמאפייני אבטחת מידעמושגי אבטחת סייבריכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ#סודיות
#יושרה
#זמינות		#לזהות
#לְהַגֵן		#ניהול איומים ופגיעות#ממשל ומערכת אקולוגית
#הֲגָנָה
#הֲגָנָה
קפוץ לנושא
קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

בעלות על שליטה 8.8

בקרה 8.8 עוסקת בניהול טכני ואדמיניסטרטיבי של תוכנות, מערכות ונכסי ICT. חלק מההנחיות כוללות פריסת גישה מפורטת ביותר לניהול תוכנה, ניהול נכסים וביקורת אבטחת רשת.

ככזה, הבעלות על בקרה 8.8 צריכה להיות אצל האדם המחזיק באחריות הכוללת לתחזוקת תשתית ה-ICT של הארגון, כגון ראש ה-IT, או מקבילה ארגונית.

הדרכה - זיהוי נקודות תורפה

לפני הטמעה ובקרות פגיעות, חיוני לקבל רשימה מלאה ועדכנית של נכסים פיזיים ודיגיטליים (ראה בקרות 5.9 ו-5.14) בבעלות הארגון ובניהולו.

מידע על נכסי תוכנה צריך לכלול:

  • שם ספק

  • שם אפליקציה

  • מספרי גרסה פעילים כעת

  • היכן התוכנה נפרסת ברחבי האחוזה

כאשר מנסים לאתר נקודות תורפה טכניות, ארגונים צריכים:

  1. ציין בבירור מי (בתוך הארגון) אחראי לניהול פגיעות מנקודת מבט טכנית, בהתאם לפונקציות השונות שלו, לרבות (אך לא רק):

    • ניהול נכסים

    • הערכת סיכונים

    • ניטור

    • עדכון

  2. מי אחראי על התוכנה בתוך הארגון

  3. שמור על מלאי של יישומים ומשאבים שישמשו לזיהוי נקודות תורפה טכניות.

  4. בקש מהספקים והספקים לחשוף נקודות תורפה בעת אספקת מערכות וחומרה חדשות (ראה בקרה 5.20), וציין ככאלה בכל החוזים והסכמי השירות הרלוונטיים.

  5. השתמש בכלי סריקת פגיעות, כולל מתקני תיקון.

  6. בצעו בדיקות חדירה קבועות ומתועדות - בין אם פנימית או באמצעות צד שלישי מוסמך.

  7. שים לב לשימוש בספריות קוד של צד שלישי ו/או קוד מקור עבור נקודות תורפה פרוגרמטיות (ראה בקרה 8.28).

הדרכה – פעילות ציבורית

בנוסף למערכות פנימיות, ארגונים צריכים לפתח מדיניות ונהלים המזהים נקודות תורפה בכל המוצרים והשירותים שלהם, ולקבל הערכות פגיעות הנוגעות לאספקת המוצרים והשירותים האמורים.

ISO מייעץ לארגונים לעשות מאמץ פומבי לאתר פגיעות כלשהן, ולעודד צדדים שלישיים לעסוק במאמצי ניהול נקודות תורפה באמצעות שימוש בתוכניות פרס (בהן מחפשים ניצולים ומדווחים לארגון תמורת פרס).

ארגונים צריכים להיות זמינים לציבור הרחב באמצעות פורומים, כתובות דוא"ל ציבוריות ופעילות מחקרית, כך שניתן יהיה להשתמש בידע הקולקטיבי של הציבור הרחב כדי להגן על מוצרים ושירותים במקור.

כאשר ננקטו פעולות מתקנות המשפיעות על משתמשים או לקוחות, ארגונים צריכים לשקול לשחרר מידע רלוונטי ליחידים או לארגונים המושפעים, וליצור קשר עם ארגוני אבטחה מומחים כדי להפיץ מידע על פגיעויות ווקטורי תקיפה.

בנוסף, ארגונים צריכים לשקול להציע הליך עדכון אוטומטי שלקוחות יכולים להצטרף אליו או לבטלו, בהתבסס על הצרכים העסקיים שלהם.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

הדרכה - הערכת נקודות תורפה

דיווח הולם הוא המפתח להבטחת פעולת תיקון מהירה ויעילה כאשר מתגלות פרצות.

בעת הערכת נקודות תורפה, ארגונים צריכים:

  1. נתח בקפידה כל דיווח והחליט איזו פעולה יש לנקוט, כולל (אך לא רק) תיקון, עדכון או הסרה של מערכות ו/או חומרה מושפעים.

  2. הסכים על החלטה שלוקחת בחשבון בקרות ISO אחרות (במיוחד אלו הקשורות ל-ISO 27002:2022) ומכירה ברמת הסיכונים הכרוכים בכך.

הדרכה - מניעת פגיעויות תוכנה

פגיעויות תוכנה נלחמות בצורה הטובה ביותר עם גישה פרואקטיבית לעדכוני תוכנה וניהול תיקונים.

לפני יישום תיקונים כלשהם, ארגונים צריכים לוודא שגרסאות התוכנה הקיימות נשמרות, כל השינויים נבדקים במלואם ומיושמים על עותק ייעודי של התוכנה.

כאשר מטפלים ישירות בפגיעויות לאחר זיהוין, ארגונים צריכים:

  1. נסה לפתור את כל הפגיעות בזמן וביעילות.

  2. במידת האפשר, פעל לפי הנהלים הארגוניים בנושא ניהול שינויים (ראה בקרה 8.32) ותגובה לאירועים (ראה בקרה 5.26).

  3. החל רק עדכונים ותיקונים הנובעים ממקורות מהימנים ו/או מאושרים, במיוחד באגרטל של תוכנות וציוד של ספקי צד שלישי.

    • בכל הנוגע לתוכנה של ספקים, ארגונים צריכים לבצע שיפוט על סמך המידע הזמין לגבי האם יש צורך להחיל עדכונים אוטומטיים (או חלקים מהם) על תוכנה וחומרה שנרכשו.

  4. בדוק את כל העדכונים הנדרשים לפני ההתקנה, כדי למנוע תקריות בלתי צפויות בסביבה תפעולית.

  5. חפש לטפל במערכות בסיכון גבוה ובמערכות קריטיות לעסק בראש סדר העדיפויות.

  6. ודא שכל פעולות התיקון הן יעילות ואותנטיות.

במקרה של עדכון שאינו זמין, או בעיות כלשהן המונעות התקנת עדכון (כגון בעיות בעלויות), ארגונים צריכים לשקול אמצעים אחרים, כגון:

  1. בקשת ייעוץ מהספק לגבי פתרון עוקף או "הדבקה של טיח" בזמן שמאמצי התיקון מוגברים.

  2. השבתה או הפסקה של שירותי רשת כלשהם המושפעים מהפגיעות.

  3. הטמעת בקרות אבטחת רשת בנקודות שער קריטיות, כולל כללי תעבורה ומסננים.

  4. הגדלת רמת הניטור הכוללת בהתאם לסיכון הנלווה.

  5. ודא שכל הצדדים המושפעים מודעים לפגיעות, כולל ספקים ולקוחות.

  6. דחיית העדכון כדי להעריך טוב יותר את הסיכונים הנלווים, במיוחד כאשר העלות התפעולית עשויה להוות בעיה.

בקרות תומכות

  • 5.14
  • 5.20
  • 5.9
  • 8.20
  • 8.22
  • 8.28

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

מהימן על ידי חברות בכל מקום
  • פשוט וקל לשימוש
  • תוכנן להצלחת ISO 27001
  • חוסך לך זמן וכסף
הזמן את ההדגמה שלך
img

הנחיות משלימות בקרה 8.8

  • ארגונים צריכים לנהל יומן ביקורת של כל פעילויות ניהול הפגיעות הרלוונטיות, על מנת לסייע במאמצי תיקון ולשפר נהלים במקרה של אירוע אבטחה.

  • יש לסקור ולהעריך מדי פעם את כל תהליך ניהול הפגיעות, על מנת לשפר ביצועים ולזהות עוד פרצות במקור.

  • אם הארגון השתמש בתוכנה המתארחת אצל ספק שירותי ענן, על הארגון לוודא שעמדתו של ספק השירות כלפי ניהול נקודות תורפה תואמת את עמדתו שלו, ועליה להוות חלק מרכזי בכל הסכם שירות מחייב בין שני הצדדים, לרבות כל הליכי דיווח (ראה בקרה 5.32).

שינויים והבדלים מ-ISO 27002:2013

ISO 27002:2022-8.8 מחליף שני פקדים מ-ISO 27002:2013:

  • 12.6.1 – ניהול פרצות טכניות

  • 18.2.3 – סקירת התאמה טכנית

27002:2022-8.8 מייצג גישה שונה מהותית לניהול פגיעות מזו המוכלת ב-27002:2013.

27002:2013-12.6.1 עוסק במידה רבה ביישום פעולות מתקנות לאחר שזוהתה פגיעות, בעוד ש-18.2.3 מוגבל לכלים טכניים (בעיקר בדיקות חדירה).

27002:2022-8.8 מכיל קטעים חדשים לחלוטין בנושאים כמו הפעילות הציבורית של ארגון, האופן שבו מזוהות נקודות תורפה מלכתחילה והתפקיד שספקי הענן ממלאים בהבטחת הפגיעויות למינימום.

בסך הכל, ISO שם דגש גדול יותר על התפקיד שניהול פגיעות ממלא בתחומים אחרים של 27002:2022 (בעיקר ניהול שינויים), ודוגל בגישה הוליסטית השואבת מספר רב של בקרות ונהלי אבטחת מידע אחרים.

כיצד ISMS.online עוזר

הפלטפורמה שלנו אינטואיטיבית וקלה לשימוש. זה לא רק לאנשים טכניים מאוד; זה מיועד לכולם בארגון שלך. אנו ממליצים לך לערב צוות בכל הרמות של העסק שלך בתהליך בניית ה-ISMS שלך, כי זה עוזר לך לבנות מערכת בת קיימא באמת.

צור קשר עוד היום כדי הזמן הדגמה.

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת
פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף