אין רשת מחשבים, מערכת, תוכנה או מכשיר מאובטחים ב-100%. פגיעויות הן חלק בלתי נפרד מהפעלת LAN או WAN מודרניים, וחשוב לארגונים להכיר בכך שראשית, הן קיימות, ושנית, הצורך למזער סיכונים היכן שיש להן פוטנציאל להתרחש.
Control 8.8 מכיל כמות לא מבוטלת של עצות המסייעות לארגונים למנוע ניצול פנימי וחיצוני של נקודות תורפה בכל הרשת שלהם. בקרה 8.8 מסתמכת על נהלים תומכים והנחיות ממספר רב של בקרות ISO 27002:2022, במיוחד אלו הקשורות לניהול שינויים (ראה בקרה 8.32) ופרוטוקולי בקרת גישה.
שליטה 8.8 היא א מוֹנֵעַ לשלוט בזה שומר על סיכון על ידי הטמעת נהלים אשר אוספים מידע על פגיעויות טכניות ומאפשרים לארגון לנקוט באמצעים מתאימים לשמירה על נכסים, מערכות, נתונים וחומרה.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לזהות #לְהַגֵן | #ניהול איומים ופגיעות | #ממשל ומערכת אקולוגית #הֲגָנָה #הֲגָנָה |
בקרה 8.8 עוסקת בניהול טכני ואדמיניסטרטיבי של תוכנות, מערכות ונכסי ICT. חלק מההנחיות כוללות פריסת גישה מפורטת ביותר לניהול תוכנה, ניהול נכסים וביקורת אבטחת רשת.
ככזה, הבעלות על בקרה 8.8 צריכה להיות אצל האדם המחזיק באחריות הכוללת לתחזוקת תשתית ה-ICT של הארגון, כגון ראש ה-IT, או מקבילה ארגונית.
לפני הטמעה ובקרות פגיעות, חיוני לקבל רשימה מלאה ועדכנית של נכסים פיזיים ודיגיטליים (ראה בקרות 5.9 ו-5.14) בבעלות הארגון ובניהולו.
מידע על נכסי תוכנה צריך לכלול:
כאשר מנסים לאתר נקודות תורפה טכניות, ארגונים צריכים:
בנוסף למערכות פנימיות, ארגונים צריכים לפתח מדיניות ונהלים המזהים נקודות תורפה בכל המוצרים והשירותים שלהם, ולקבל הערכות פגיעות הנוגעות לאספקת המוצרים והשירותים האמורים.
ISO מייעץ לארגונים לעשות מאמץ פומבי לאתר פגיעות כלשהן, ולעודד צדדים שלישיים לעסוק במאמצי ניהול נקודות תורפה באמצעות שימוש בתוכניות פרס (בהן מחפשים ניצולים ומדווחים לארגון תמורת פרס).
ארגונים צריכים להיות זמינים לציבור הרחב באמצעות פורומים, כתובות דוא"ל ציבוריות ופעילות מחקרית, כך שניתן יהיה להשתמש בידע הקולקטיבי של הציבור הרחב כדי להגן על מוצרים ושירותים במקור.
כאשר ננקטו פעולות מתקנות המשפיעות על משתמשים או לקוחות, ארגונים צריכים לשקול לשחרר מידע רלוונטי ליחידים או לארגונים המושפעים, וליצור קשר עם ארגוני אבטחה מומחים כדי להפיץ מידע על פגיעויות ווקטורי תקיפה.
בנוסף, ארגונים צריכים לשקול להציע הליך עדכון אוטומטי שלקוחות יכולים להצטרף אליו או לבטלו, בהתבסס על הצרכים העסקיים שלהם.
דיווח הולם הוא המפתח להבטחת פעולת תיקון מהירה ויעילה כאשר מתגלות פרצות.
בעת הערכת נקודות תורפה, ארגונים צריכים:
פגיעויות תוכנה נלחמות בצורה הטובה ביותר עם גישה פרואקטיבית לעדכוני תוכנה וניהול תיקונים.
לפני יישום תיקונים כלשהם, ארגונים צריכים לוודא שגרסאות התוכנה הקיימות נשמרות, כל השינויים נבדקים במלואם ומיושמים על עותק ייעודי של התוכנה.
כאשר מטפלים ישירות בפגיעויות לאחר זיהוין, ארגונים צריכים:
במקרה של עדכון שאינו זמין, או בעיות כלשהן המונעות התקנת עדכון (כגון בעיות בעלויות), ארגונים צריכים לשקול אמצעים אחרים, כגון:
ISO 27002:2022-8.8 מחליף שני פקדים מ-ISO 27002:2013:
27002:2022-8.8 מייצג גישה שונה מהותית לניהול פגיעות מזו המוכלת ב-27002:2013.
27002:2013-12.6.1 עוסק במידה רבה ביישום פעולות מתקנות לאחר שזוהתה פגיעות, בעוד ש-18.2.3 מוגבל לכלים טכניים (בעיקר בדיקות חדירה).
27002:2022-8.8 מכיל קטעים חדשים לחלוטין בנושאים כמו הפעילות הציבורית של ארגון, האופן שבו מזוהות נקודות תורפה מלכתחילה והתפקיד שספקי הענן ממלאים בהבטחת הפגיעויות למינימום.
בסך הכל, ISO שם דגש גדול יותר על התפקיד שניהול פגיעות ממלא בתחומים אחרים של 27002:2022 (בעיקר ניהול שינויים), ודוגל בגישה הוליסטית השואבת מספר רב של בקרות ונהלי אבטחת מידע אחרים.
הפלטפורמה שלנו אינטואיטיבית וקלה לשימוש. זה לא רק לאנשים טכניים מאוד; זה מיועד לכולם בארגון שלך. אנו ממליצים לך לערב צוות בכל הרמות של העסק שלך בתהליך בניית ה-ISMS שלך, כי זה עוזר לך לבנות מערכת בת קיימא באמת.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |