ISO 27701, סעיף 6.10, אבטחת תקשורת

ISO 27701 – סעיף 6.10 – אבטחת תקשורת

ISO 27701 סעיף 6.10 מדגיש את החשיבות של אבטחת נתונים אישיים במהלך העברות רשת, תוך התמקדות באמצעי אבטחת תקשורת חזקים המתואמים עם בקרות ISO 27002 כדי להבטיח ציות לתקנות פרטיות כמו GDPR.

הבנת ISO 27701 סעיף 6.10: אבטחת תקשורת

אבטחת תקשורת היא הלחם והחמאה של רוב פעולות הגנת הפרטיות, כולל פעילויות שמגבילות ומנטרות גישה ל-PII ולנכסים הקשורים לפרטיות.

ארגונים צריכים להפעיל שליטה הדוקה על מי ומה מסוגל לגשת למשאבי ICT הקשורים לאבטחה ולפרטיות באמצעות שימוש נרחב בבקרי רשת מאובטחים, ניהול שירות והפרדה.

מה מכוסה בסעיף 27701 של ISO 6.10

ISO 27701 מכיל שלושה סעיפי משנה העוסקים בתחומים שונים של אבטחת תקשורת:

ISO 27701 6.10.1.1 - בקרות רשת (ISO 27002 בקרה 8.20)
ISO 27701 6.10.1.2 - אבטחה בשירותי רשת (ISO 27002 בקרה 8.21)
ISO 27701 6.10.1.3 - הפרדה ברשתות (ISO 27002 בקרה 8.22)

כל סעיף מכיל מידע סמוך מ-ISO 27002, עם קבוצה ארוכה של סעיפים תומכים (במיוחד בתוך סעיף משנה 6.10.1.1), כיאה לאופי המורכב של הנושא.

ISO לא מציעים הנחיות נוספות ל-PIMS או PII בנושא אבטחת תקשורת, וגם לא בריטניה GDPR מאמרים שיש לקחת בחשבון.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

ISO 27701 סעיף 6.10.1.1 - בקרות רשת

הפניות ISO 27002 בקרה 8.20

ISO 27701 סעיף 6.10.1.1 מתמקד בשני היבטים מרכזיים של אבטחת רשת:

הגנת פרטיות
הגנה מפני גישה לא מורשית

ארגונים צריכים:

סיווג נתונים (כולל PII) לפי סוג ו מיון.
ודא שרק צוות מוסמך מתבקש לתחזק ציוד רשת, בהתאם למערכת ברורה של תפקידים ואחריות.
שמור תיעוד של דיאגרמות רשת, גרסאות קושחה וקובצי תצורה של מכשירים קריטיים כגון נתבים, חומות אש, WAPs ומתגי רשת.
הפרדת אחריות רשת (ראה ISO 27002 בקרה 5.3), כולל הפרדה של תעבורה מנהלתית מתעבורת רשת רגילה.
הקפד על בקרות המאפשרות אחסון והעברת נתונים בטוחים, כולל כל היישומים והמערכות המחוברות (ראה ISO 27002 בקרות 5.22, 8.24, 5.14 ו-6.6).
שמור על יומני אבטחה עבור המערכת כולה, ורכיבים בודדים, כנדרש (ראה ISO 27002 בקרות 8.16 ו-8.15).
ביצוע תפקידי ניהול וניהול רשת בהרמוניה עם תהליכים עסקיים אחרים.
ודא שמבקשים ומקבלים אישור מתאים לפני שהצוות ניגש לחלקים הרלוונטיים של הרשת.
השתמש בהגבלות תעבורה, סינון תוכן וכללי נתונים ברחבי הרשת, הן עבור נתונים נכנסים והן עבור נתונים יוצאים.
ודא שכל מכשיר שמחובר לרשת יכול להיות מנוהל על ידי צוות מנהלי.
בעלי יכולת להפריד ולחלק אזורים קריטיים ברשת, כדי להבטיח המשכיות עסקית בעקבות אירועים קריטיים, כולל השעיית פרוטוקולי רשת.

בקרות ISO 27002 רלוונטיות

ISO 27002 5.14
ISO 27002 5.22
ISO 27002 5.3
ISO 27002 6.6
ISO 27002 8.15
ISO 27002 8.16
ISO 27002 8.24

ISO 27701 סעיף 6.10.1.2 – אבטחה בשירותי רשת

הפניות ISO 27002 בקרה 8.21

כאשר בוחנים את התפיסה הרחבה יותר של אבטחת שירותי רשת, יש לזכור שלושה גורמים עיקריים:

מאפייני אבטחה.
רמות שירות.
דרישות שירות.

ארגונים צריכים להבטיח שספקי השירות מבינים מה מצופה מהם, וממלאים את התחייבויותיהם המוצהרות על בסיס עקבי.

ארגונים צריכים להיות מסוגלים להתייחס לקבוצה חד משמעית של SLAs ולפקח על עמידה לאורך כל משך הסכם השירות.

יש לחפש ולהשיג הפניות ממקורות מהימנים, במטרה סופית לבסס את יכולתו של ספק שירות לעמוד בדרישות המסחריות והתפעוליות של הארגון.

כללי האבטחה צריכים לכלול:

כל שירותי רשת שמותר לגשת אליהם - כולל רשימה יסודית של דרישות קדם לאימות.
בקרות ניהול רשת ששומרות על PII ונכסים הקשורים לפרטיות מפני שימוש לרעה וגישה לא מורשית.
גישה מרחוק ובאתר.
רישום מידע מרכזי על גישה לשירותי רשת, כולל זמן גישה, מיקום גישה ונתוני מכשיר.
מעקב אחר פעילויות.

אבטחת שירות רשת

לארגונים מוצגים אמצעי אבטחה נוספים שונים ששומרים עוד יותר על שלמות וזמינות PII.

ארגונים צריכים:

שקול תכונות אבטחה כגון אימות, הצף ו בקרות חיבור.
קבע קווים מנחים ברורים המסדירים חיבורים לשירותי רשת.
אפשר למשתמשים לבחור את כמות הנתונים המאוחסנים במטמון כדי להגביר את הביצועים ולמזער את סיכוני הפרטיות הקשורים לאחסון מופרז.
הגבל גישה לשירותי רשת.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

ISO 27701 סעיף 6.10.1.3 – הפרדה ברשתות

הפניות ISO 27002 בקרה 8.22

כדי לשפר את השלמות והזמינות של PII ונכסים הקשורים לפרטיות, ארגונים צריכים להפריד שירותים, משתמשים ומערכות על פני כל הרשת שלהם, בהתבסס על דרישות האבטחה הייחודיות שלהם ובהתאם ל- ספציפי לנושא גישה (ראה ISO 27002 בקרה 5.15).

כדי להשיג זאת, ארגונים צריכים:

הפרד דומיינים מכל רשת ציבורית, כולל האינטרנט.
הפרד אזורים ברשת על סמך אמון, ביקורתיות ורגישות.
שקול פונקציות תפעוליות שונות בעת הפרדת הרשת, כגון משאבי אנוש, פיננסים ושיווק.
הפרדה באמצעות שילוב של בקרות פיזיות והגיוניות.
פעל עם היקפי רשת מוגדרים בבירור ושערים בשליטה הדוקה.
שקול גישה לאינטרנט אלחוטי בהתאם למה שהוא לעתים קרובות היקף רשת מוגדר רופף, עם דרישות גישה משתנות, וכדי להבטיח שתעבורה חיצונית עוברת דרך שער לפני מתן גישה פנימית (ראה ISO 27002 בקרה 8.20).
הפרד בין גישה לאינטרנט אלחוטי לאורחים ולעובדים, והצב הגבלות כבדות על גישת האורחים כדי למנוע שימוש על ידי צוות.

בקרות ISO 27002 רלוונטיות

ISO 27002 5.15
ISO 27002 8.20

בקרות תומכות מ-ISO 27002 ו-GDPR

מזהה סעיף ISO 27701	שם סעיף ISO 27701	דרישת ISO 27002	מאמרי GDPR משויכים
6.10.1.1	בקרות רשת	8.20 - אבטחת רשת עבור ISO 27002	ללא חתימה
6.10.1.2	אבטחה בשירותי רשת	8.21 - אבטחת שירותי רשת עבור ISO 27002	ללא חתימה
6.10.1.3	הפרדה ברשתות	8.22 - הפרדת רשתות עבור ISO 27002	ללא חתימה

כיצד ISMS.online עזרה

ISO 27701 מראה לך כיצד לבנות מערכת ניהול מידע פרטיות התואמת לרוב תקנות הפרטיות, כולל GDPR של האיחוד האירופי, BS 10012 ו-POPIA של דרום אפריקה. התוכנה הפשוטה, המאובטחת ובת-הקיימא שלנו עוזרת לך לעקוב בקלות אחר הגישה המתוארת בתקן המוכר הבינלאומי.

פלטפורמת ה-all-in-one שלנו מבטיחה שעבודת הפרטיות שלך תואמת ועונה על הצרכים של כל סעיף בתקן ISO 27701. ומכיוון שזה אגנוסטיקה לרגולציה, אתה יכול למפות את זה לכל רגולציה שתצטרך.

למידע נוסף על ידי הזמנת הדגמה.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

סעיפי ISO 27701

אנחנו מובילים בתחומנו