בקרה 8.8, ניהול פגיעויות טכניות

ISO 27002:2022 – בקרה 8.8 – ניהול נקודות תורפה טכניות

ISO 27002:2022 בקרה 8.8 מדגיש זיהוי יזום, הערכה והפחתה של פגיעויות טכניות במערכות IT. ארגונים צריכים לתחזק מלאי נכסים, לערוך הערכות פגיעות קבועות, להחיל תיקונים באופן מיידי ולשלב אמצעי אבטחה כדי למזער סיכונים.

מטרת הבקרה 8.8

אין רשת מחשבים, מערכת, תוכנה או מכשיר מאובטחים ב-100%. פגיעויות הן חלק בלתי נפרד מהפעלת LAN או WAN מודרניים, וחשוב לארגונים להכיר בכך שראשית, הן קיימות, ושנית, הצורך למזער סיכונים היכן שיש להן פוטנציאל להתרחש.

Control 8.8 מכיל כמות לא מבוטלת של עצות המסייעות לארגונים למנוע ניצול פנימי וחיצוני של נקודות תורפה בכל הרשת שלהם. בקרה 8.8 מסתמכת על נהלים תומכים והנחיות ממספר רב של בקרות ISO 27002:2022, במיוחד אלו הקשורות לניהול שינויים (ראה בקרה 8.32) ופרוטוקולי בקרת גישה.

טבלת בקרה של תכונות 8.8

שליטה 8.8 היא א מוֹנֵעַ לשלוט בזה שומר על סיכון על ידי הטמעת נהלים אשר אוספים מידע על פגיעויות טכניות ומאפשרים לארגון לנקוט באמצעים מתאימים לשמירה על נכסים, מערכות, נתונים וחומרה.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לזהות	#ניהול איומים ופגיעות	#ממשל ומערכת אקולוגית
	#יושרה	#לְהַגֵן		#הֲגָנָה
	#זמינות			#הֲגָנָה

בעלות על שליטה 8.8

בקרה 8.8 עוסקת בניהול טכני ואדמיניסטרטיבי של תוכנות, מערכות ונכסי ICT. חלק מההנחיות כוללות פריסת גישה מפורטת ביותר לניהול תוכנה, ניהול נכסים וביקורת אבטחת רשת.

ככזה, הבעלות על בקרה 8.8 צריכה להיות אצל האדם המחזיק באחריות הכוללת לתחזוקת תשתית ה-ICT של הארגון, כגון ראש ה-IT, או מקבילה ארגונית.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

הדרכה - זיהוי נקודות תורפה

לפני הטמעה ובקרות פגיעות, חיוני לקבל רשימה מלאה ועדכנית של נכסים פיזיים ודיגיטליים (ראה בקרות 5.9 ו-5.14) בבעלות הארגון ובניהולו.

מידע על נכסי תוכנה צריך לכלול:

שם ספק
שם אפליקציה
מספרי גרסה פעילים כעת
היכן התוכנה נפרסת ברחבי האחוזה

כאשר מנסים לאתר נקודות תורפה טכניות, ארגונים צריכים:

ציין בבירור מי (בתוך הארגון) אחראי לניהול פגיעות מנקודת מבט טכנית, בהתאם לפונקציות השונות שלו, לרבות (אך לא רק):

ניהול נכסים
הערכת סיכונים
ניטור
עדכון

מי אחראי על התוכנה בתוך הארגון
שמור על מלאי של יישומים ומשאבים שישמשו לזיהוי נקודות תורפה טכניות.
בקש מהספקים והספקים לחשוף נקודות תורפה בעת אספקת מערכות וחומרה חדשות (ראה בקרה 5.20), וציין ככאלה בכל החוזים והסכמי השירות הרלוונטיים.
השתמש בכלי סריקת פגיעות, כולל מתקני תיקון.
בצעו בדיקות חדירה קבועות ומתועדות - בין אם פנימית או באמצעות צד שלישי מוסמך.
שים לב לשימוש בספריות קוד של צד שלישי ו/או קוד מקור עבור נקודות תורפה פרוגרמטיות (ראה בקרה 8.28).

הדרכה – פעילות ציבורית

בנוסף למערכות פנימיות, ארגונים צריכים לפתח מדיניות ונהלים המזהים נקודות תורפה בכל המוצרים והשירותים שלהם, ולקבל הערכות פגיעות הנוגעות לאספקת המוצרים והשירותים האמורים.

ISO מייעץ לארגונים לעשות מאמץ פומבי לאתר פגיעות כלשהן, ולעודד צדדים שלישיים לעסוק במאמצי ניהול נקודות תורפה באמצעות שימוש בתוכניות פרס (בהן מחפשים ניצולים ומדווחים לארגון תמורת פרס).

ארגונים צריכים להיות זמינים לציבור הרחב באמצעות פורומים, כתובות דוא"ל ציבוריות ופעילות מחקרית, כך שניתן יהיה להשתמש בידע הקולקטיבי של הציבור הרחב כדי להגן על מוצרים ושירותים במקור.

כאשר ננקטו פעולות מתקנות המשפיעות על משתמשים או לקוחות, ארגונים צריכים לשקול לשחרר מידע רלוונטי ליחידים או לארגונים המושפעים, וליצור קשר עם ארגוני אבטחה מומחים כדי להפיץ מידע על פגיעויות ווקטורי תקיפה.

בנוסף, ארגונים צריכים לשקול להציע הליך עדכון אוטומטי שלקוחות יכולים להצטרף אליו או לבטלו, בהתבסס על הצרכים העסקיים שלהם.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

הדרכה - הערכת נקודות תורפה

דיווח הולם הוא המפתח להבטחת פעולת תיקון מהירה ויעילה כאשר מתגלות פרצות.

בעת הערכת נקודות תורפה, ארגונים צריכים:

נתח בקפידה כל דיווח והחליט איזו פעולה יש לנקוט, כולל (אך לא רק) תיקון, עדכון או הסרה של מערכות ו/או חומרה מושפעים.
הסכים על החלטה שלוקחת בחשבון בקרות ISO אחרות (במיוחד אלו הקשורות ל-ISO 27002:2022) ומכירה ברמת הסיכונים הכרוכים בכך.

הדרכה - מניעת פגיעויות תוכנה

פגיעויות תוכנה נלחמות בצורה הטובה ביותר עם גישה פרואקטיבית לעדכוני תוכנה וניהול תיקונים.

לפני יישום תיקונים כלשהם, ארגונים צריכים לוודא שגרסאות התוכנה הקיימות נשמרות, כל השינויים נבדקים במלואם ומיושמים על עותק ייעודי של התוכנה.

כאשר מטפלים ישירות בפגיעויות לאחר זיהוין, ארגונים צריכים:

נסה לפתור את כל הפגיעות בזמן וביעילות.
במידת האפשר, פעל לפי הנהלים הארגוניים בנושא ניהול שינויים (ראה בקרה 8.32) ותגובה לאירועים (ראה בקרה 5.26).
החל רק עדכונים ותיקונים הנובעים ממקורות מהימנים ו/או מאושרים, במיוחד באגרטל של תוכנות וציוד של ספקי צד שלישי.

בכל הנוגע לתוכנה של ספקים, ארגונים צריכים לבצע שיפוט על סמך המידע הזמין לגבי האם יש צורך להחיל עדכונים אוטומטיים (או חלקים מהם) על תוכנה וחומרה שנרכשו.

בדוק את כל העדכונים הנדרשים לפני ההתקנה, כדי למנוע תקריות בלתי צפויות בסביבה תפעולית.
חפש לטפל במערכות בסיכון גבוה ובמערכות קריטיות לעסק בראש סדר העדיפויות.
ודא שכל פעולות התיקון הן יעילות ואותנטיות.

במקרה של עדכון שאינו זמין, או בעיות כלשהן המונעות התקנת עדכון (כגון בעיות בעלויות), ארגונים צריכים לשקול אמצעים אחרים, כגון:

בקשת ייעוץ מהספק לגבי פתרון עוקף או "הדבקה של טיח" בזמן שמאמצי התיקון מוגברים.
השבתה או הפסקה של שירותי רשת כלשהם המושפעים מהפגיעות.
הטמעת בקרות אבטחת רשת בנקודות שער קריטיות, כולל כללי תעבורה ומסננים.
הגדלת רמת הניטור הכוללת בהתאם לסיכון הנלווה.
ודא שכל הצדדים המושפעים מודעים לפגיעות, כולל ספקים ולקוחות.
דחיית העדכון כדי להעריך טוב יותר את הסיכונים הנלווים, במיוחד כאשר העלות התפעולית עשויה להוות בעיה.

בקרות תומכות

5.14
5.20
5.9
8.20
8.22
8.28

הנחיות משלימות בקרה 8.8

ארגונים צריכים לנהל יומן ביקורת של כל פעילויות ניהול הפגיעות הרלוונטיות, על מנת לסייע במאמצי תיקון ולשפר נהלים במקרה של אירוע אבטחה.
יש לסקור ולהעריך מדי פעם את כל תהליך ניהול הפגיעות, על מנת לשפר ביצועים ולזהות עוד פרצות במקור.
אם הארגון השתמש בתוכנה המתארחת אצל ספק שירותי ענן, על הארגון לוודא שעמדתו של ספק השירות כלפי ניהול נקודות תורפה תואמת את עמדתו שלו, ועליה להוות חלק מרכזי בכל הסכם שירות מחייב בין שני הצדדים, לרבות כל הליכי דיווח (ראה בקרה 5.32).

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

ISO 27002:2022-8.8 מחליף שני פקדים מ-ISO 27002:2013:

12.6.1 – ניהול פרצות טכניות
18.2.3 – סקירת התאמה טכנית

27002:2022-8.8 מייצג גישה שונה מהותית לניהול פגיעות מזו המוכלת ב-27002:2013.

27002:2013-12.6.1 עוסק במידה רבה ביישום פעולות מתקנות לאחר שזוהתה פגיעות, בעוד ש-18.2.3 מוגבל לכלים טכניים (בעיקר בדיקות חדירה).

27002:2022-8.8 מכיל קטעים חדשים לחלוטין בנושאים כמו הפעילות הציבורית של ארגון, האופן שבו מזוהות נקודות תורפה מלכתחילה והתפקיד שספקי הענן ממלאים בהבטחת הפגיעויות למינימום.

בסך הכל, ISO שם דגש גדול יותר על התפקיד שניהול פגיעות ממלא בתחומים אחרים של 27002:2022 (בעיקר ניהול שינויים), ודוגל בגישה הוליסטית השואבת מספר רב של בקרות ונהלי אבטחת מידע אחרים.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

הפלטפורמה שלנו אינטואיטיבית וקלה לשימוש. זה לא רק לאנשים טכניים מאוד; זה מיועד לכולם בארגון שלך. אנו ממליצים לך לערב צוות בכל הרמות של העסק שלך בתהליך בניית ה-ISMS שלך, כי זה עוזר לך לבנות מערכת בת קיימא באמת.

צור קשר עוד היום כדי הזמן הדגמה.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

אנחנו מובילים בתחומנו