תצורות - בין אם הן פועלות כקובץ תצורה בודד, או כקבוצה של תצורות המקושרות זו לזו - הן הפרמטרים הבסיסיים השולטים על אופן ניהול החומרה, התוכנה ואפילו רשתות שלמות.
כדוגמה, קובץ התצורה של חומת אש יכיל את תכונות הבסיס שבהן המכשיר משתמש לניהול תעבורה אל ומרשת הארגון, כולל רשימות חסימה, העברת יציאות, רשתות LAN וירטואליות ומידע VPN.
ניהול תצורה הוא חלק בלתי נפרד מפעולת ניהול הנכסים הרחבה יותר של הארגון. תצורות הן המפתח להבטיח שרשת פועלת לא רק כפי שהיא צריכה להיות, אלא גם באבטחת מכשירים מפני שינויים לא מורשים או תיקונים שגויים מצד צוות התחזוקה ו/או הספקים.
שליטה 8.9 היא א מוֹנֵעַ לשלוט בזה שומר על סיכון על ידי הקמת סדרה של מדיניות השולטת כיצד ארגון מתעד, מיישם, מנטר וסוקר את השימוש בתצורות על פני כל הרשת שלו.
ניהול תצורה הוא אך ורק משימה אדמיניסטרטיבית העוסקת בתחזוקה ובניטור של מידע ונתונים בצד הנכס שנמצאים במגוון רחב של מכשירים ויישומים. ככזה, הבעלות צריכה להיות אצל ראש ה-IT, או שווה ערך ארגוני.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #תצורה מאובטחת | #הֲגָנָה |
ככלל, הצורך של הארגון לנסח וליישם מדיניות ניהול תצורה הן עבור מערכות חדשות וחומרה, וכל אלה שכבר נמצאים בשימוש. בקרות פנימיות צריכות לכלול אלמנטים קריטיים לעסקים כגון תצורות אבטחה, כל החומרה שמחזיקה קובץ תצורה וכל יישומי תוכנה או מערכות רלוונטיות.
Control 8.9 מבקש מארגונים לשקול את כל התפקידים והאחריות הרלוונטיים בעת יישום מדיניות תצורה, לרבות האצלת בעלות על תצורות על בסיס מכשיר אחר מכשיר, או יישום אחר יישום.
במידת האפשר, ארגונים צריכים להשתמש בתבניות סטנדרטיות כדי לאבטח את כל החומרה, התוכנה והמערכות. תבניות צריכות:
אבטחה חשובה ביותר בעת החלת תבניות תצורה, או תיקון תבניות קיימות בהתאם להנחיה לעיל.
כאשר שוקלים תבניות סטנדרטיות לשימוש ברחבי הארגון, על מנת למזער כל סיכוני אבטחת מידע, ארגונים צריכים:
לארגון יש אחריות לתחזק ולאחסן תצורות, לרבות שמירה על עקבות ביקורת של כל תיקונים או התקנות חדשות, בהתאם לתהליך ניהול שינויים שפורסם (ראה בקרה 8.32).
יומנים צריכים להכיל מידע המתאר:
ארגונים צריכים לפרוס מגוון רחב של טכניקות כדי לנטר את פעולת קובצי התצורה ברחבי הרשת שלהם, כולל:
ארגונים צריכים להגדיר תוכנה מיוחדת כדי לעקוב אחר כל שינוי בתצורה של מכשיר, ולנקוט פעולה מתאימה כדי לטפל בתיקון בהקדם האפשרי, או על ידי אימות השינוי או החזרת התצורה למצבה המקורי.
אף אחד. ל-Control 8.9 אין תקדים ב-ISO 27002:2013 מכיוון שהוא חדש.
ISMS.Online הוא פתרון מלא ליישום ISO 27002.
זוהי מערכת מבוססת רשת המאפשרת לך להראות שמערכת ניהול אבטחת המידע שלך (ISMS) תואמת את התקנים המאושרים תוך שימוש בתהליכים ונהלים ורשימות ביקורת מחושבים היטב.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |