ISO IEC TR 27008

מהן בקרות אבטחת מידע?

בקרות אבטחת מידע הן צעדים שננקטים כדי לצמצם פגיעויות באבטחת מידע כגון כשלים במכשיר, גניבת נתונים, הפרות מערכת ושינויים לא מכוונים במידע או תהליכים דיגיטליים.

אלה בקרות אבטחה מיושמות בדרך כלל בתגובה לסיכון אבטחת מידע הערכה על מנת להבטיח טוב יותר את הזמינות, הסודיות והפרטיות של נתונים ורשתות.

בקרות אלו שומרות על סודיות, שלמות וזמינות המידע בתחום אבטחת המידע.

סוגי בקרות אבטחת מידע

פרוטוקולי אבטחה, נהלים, לוחות זמנים, התקנים ויישומים נכנסים כולם לקטגוריה של בקרות אבטחת מידע.

1. בקרות אבטחה מונעות, פרוטוקולי אבטחה שנועדו למנוע תאונות אבטחת סייבר
2. בקרות אבטחה בלשיות שמטרתה לזהות ולהתריע על צוות אבטחת סייבר על ניסיון חדירת אבטחת סייבר או פרצת אבטחה פוטנציאלית.
3. בקרות אבטחה מתקנות משמשות לאחר אירוע אבטחת סייבר כדי לעזור לצמצם אובדן נתונים והפרעות במכשיר או ברשת ולשחזר בקלות מערכות ופעולות עסקיות רגישות.

בנוסף, ניתן לסווג אמצעי אבטחה לפי מטרתם, כדלקמן:

בקרות גישה:

אלה כוללים ניטורי כניסה פיזיים כגון שומרים חמושים ביציאות מבניין, מנעולים וגדרות היקפיות.

בקרות פרוצדורליות:

מודעות לאיומים הדרכה, הכשרה לאכיפת מסגרות אבטחה ותהליכים ונהלים לתגובה לאירועים.

בקרות טכניות:

אלה כוללים אימות חשבון רב-גורמי בנקודת הכניסה (כניסה) ו בקרות גישה לוגיות, יישומי אנטי וירוס וחומות אש.

בקרות ציות:

אלה כוללים כללי פרטיות, מסגרות ודרישות, כמו גם גישות וסטנדרטים של אבטחת סייבר.

מהי המטרה של ISO 27008?

ISO 27008 נוצר כדי:

• מסייע בהכנה והטמעה של ביקורת ISMS ושיטת ניהול סיכוני מידע;
• לספק הנחיות לביקורת בקרות אבטחת מידע בהתאם להנחיות הבקרות של ISO/IEC 27002;
• משפר את ביקורת ה-ISMS על-ידי אופטימיזציה של הקשרים בין תהליכי ה-ISMS והבקרות הנחוצות;
• מבטיחה שמשאבי הביקורת מנוצלים ביעילות וביעילות.
• הוסף ערך ומשפר את העקביות והתועלת של מפרטי ISO 27k על ידי גישור על ההבדל בין עדכון ה-ISMS באופן עקרוני, ובמידת הצורך, בדיקת הוכחה של בקרות ISMS מיושמות (למשל, הערכת מרכיבי אבטחה של פעולות עסקיות, מבני IT ותפעול IT סביבות בארגוני משתמש ISO27k);

מה ההיקף של ISO 27008?

ISO 27008 מספק הנחיות לכל המבקרים לגבי בקרות מערכות ניהול אבטחת מידע. זה מנחה את תהליך ניהול סיכוני מידע כמו גם הערכות פנימיות, חיצוניות וצד שלישי של ISMS על ידי הדגמת הקשר בין ה-ISMS והבקרות הנלוות לה.

הוא כולל הנחיות כיצד לבדוק את המידה שבה מיושמות "בקרות מערכת ניהול אבטחת מידע" הכרחיות. בנוסף, היא מסייעת לארגונים המיישמים את ISO/IEC 27001 או ISO/IEC 27002 בעמידה בקריטריונים של תאימות ומשמשת כפלטפורמה טכנית לניהול טכנולוגיית מידע.

כיצד פועל ISO 27008?

תקן ISO 27008 מגדיר נהלים כלליים, לא טכניקות עבור כל בקרה מסוימת או צורות של בקרות.

הוא מגדיר סקירות שיטתיות ולאחר מכן מתאר את הגישות והצורות השונות של ביקורות החלות על בקרות אבטחת מידע. לבסוף, הוא דן בפרקטיקות הנדרשות לתהליך סקירה מוצלח.

קשר עם ISO 27001 ו-ISO 27002

ISO 27008 דומה מאוד ל- ISO 27007 מפרט ביקורת למערכות ניהול אבטחת מידע.

עם זאת, בניגוד ל-ISO 27007, המתמקד בסקירת רכיבי מערכת הניהול של ISMS כפי שמוגדר ב-ISO 27001, ISO 27008 מתמקד בביקורת בקרות אבטחת מידע ספציפיות, כגון אלו המפורטות ב-ISO 27002 והמפורטות ב נספח A של ISO 27001.

ISO 27008 "מתמקד בהערכות של בקרות אבטחת מידע, כולל ציות לרגולציה, מול תקן יישום אבטחת מידע שהוקם על ידי הארגון.

עם זאת, אין הכוונה לספק הנחיות מפורטות לגבי בדיקות ציות ביחס לחישוב, הערכת סיכונים או ביקורת של ISMS, כמפורט ב- ISO 27004, ISO 27005, או 27007, בהתאמה.

מי צריך ליישם את ISO 27008?

ISO 27008 מיועד למבקרים פנימיים וחיצוניים המופקדים באחריות לבחון בקרות ניהול מידע שהן חלק מ-ISMS. עם זאת, זה יהיה מועיל לכל מי שעושה ניתוח או הערכה של בקרות של ISMS, בין אם כחלק מהליך ביקורת מובנה ובין אם אחרת. המסמך מיועד בעיקר למבקרי אבטחת מידע אשר אחראים לוודא שבקרות אבטחת המידע של ארגון תואמות מבחינה טכנית ל-ISO/IEC 27002 ולכל דרישות הבקרה האחרות המשמשות את הארגון.

ISO 27008 יסייע להם בדרכים הבאות:

• להכיר ולהבין את היקף הבעיות והחולשות האפשריות בבקרות אבטחת מידע.
• זהה והבין את ההשלכות האפשריות של סיכונים וחולשות טכנולוגיות ממוחשבות שאינן מספקות עבור החברה.
• תעדוף שיטות בקרת סיכונים הקשורות לניהול מידע.
• ודא שפגיעויות או פגמים שנמצאו בעבר או שהתגלו לאחרונה נפתרו במידה מספקת.

ISO 27008 חל על מגוון רחב של ארגונים, כולל עסקים ציבוריים ופרטיים, סוכנויות ממשלתיות וארגונים ללא מטרות רווח.