סעיף 6.6.4, בקרת גישה למערכת ואפליקציות

ISO 27701 – סעיף 6.6.4 – בקרת גישה למערכת ואפליקציות

ISO 27701 סעיף 6.6.4 מתמקד בבקרת גישה למערכת ויישומים כדי להגן על PII על ידי אכיפת הגבלות גישה, הליכי כניסה מאובטחים, ניהול סיסמאות חזק, שימוש מבוקר בכלי שירות מועדפים ואמצעי אימות חזקים.

הגנה על PII עם בקרות גישה של מערכת ואפליקציות חזקות

הצבת הגבלות גישה על משימות, נכסים ונהלים קריטיים לעסקים היא היבט בסיסי הן בהגנה על PII והן בהבטחה שיישומים ומערכות הקשורות לפרטיות נקיות משחיתות, שימוש לרעה או מחיקה.

ISO 27701 6.6.4 מתאר מגוון אמצעים - מבקרות אימות דרך ניהול קוד מקור ושימוש בתוכניות שירות מועדפות - המאפשרות לארגונים להפעיל שליטה מפורטת על מי ומה מותר לגשת לרשת שלהם, ובאמצעות אילו אמצעים.

מה מכוסה בסעיף 27701 של ISO 6.6.4

ISO 27701 6.6.4 מכיל חמישה סעיפי משנה העוסקים בנושאים לעיל. כל סעיף משנה מכיל מידע הנחיות מא מגוון של סעיפי משנה בתוך ISO 27002, אך נמסר בהקשר של אבטחת PII והגנה על פרטיות:

ISO 27701 6.6.4.1 – הגבלות גישה למידע (References ISO 27002 control 8.3).
ISO 27701 6.6.4.2 - נהלי כניסה מאובטחים (References ISO 27002 control 8.5).
ISO 27701 6.6.4.3 – מערכת ניהול סיסמאות (References ISO 27002 control 5.17).
ISO 27701 6.6.4.4 - שימוש בתוכניות שירות מועדפות (References ISO 27002 control 8.18).
ISO 27701 6.6.4.5 – בקרת גישה לקוד מקור התוכנית (References ISO 27002 control 8.4).

סעיף משנה 6.6.4.2 מכיל הנחיות נוספות לגבי מאמרים רלוונטיים במסגרת חקיקת ה-GDPR בבריטניה (סעיף 5 [1][f]).

שים לב שהציטוטים של GDPR הם למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

ISO 27701 סעיף 6.6.4.1 - הסרה או התאמה של זכויות גישה

הפניות ISO 27002 בקרה 8.3

כדי לשלוט ב-PII ובמידע הקשור לפרטיות, ולתמיכה באמצעי הגבלת גישה, ארגונים צריכים:

מנע גישה אנונימית ל-PII, כולל גישה ציבורית.
שמור על מערכות פרטיות, וכל יישומים או תהליכים עסקיים הקשורים.
ניהול גישה ל-PII על בסיס משתמש אחר משתמש.
נהל זכויות גישה ל-PII ברמה פרטנית (קריאה, כתיבה, מחיקה וביצוע).
הפרד תהליכי פרטיות ויישומים קריטיים באמצעות שילוב של בקרות גישה פיזיות והגיוניות.

ניהול גישה דינמית

ISO תומך ב- a דינמי גישה לגישה למידע, המתרחבת למערכות PII ופרטיות.

ניהול גישה דינמי מאפשר לארגונים לשתף או להשתמש בנתונים פנימיים עם משתמשים חיצוניים, כדי להשפיע על זמני פתרון תקריות מהירים יותר (דרישת מפתח של תקריות הקשורות ל-PII).

ארגונים צריכים לשקול יישום ניהול גישה דינמי כאשר:

הפעלת שליטה מפורטת על הנתונים שמשתמשים אנושיים ולא אנושיים יכולים לגשת אליהם.
שיתוף מידע עם ספקים, ארגוני אכיפת חוק או גופים רגולטוריים.
אימוץ גישה "בזמן אמת" לניהול PII (ניטור וניהול השימוש ב-PII כפי שהוא מתרחש).
הגנה על PII מפני תיקונים לא מורשים, שיתוף או פלט (הדפסה וכו').
ניטור/ביקורת על הגישה למידע הקשור לפרטיות ושינויו.
פיתוח תהליך השולט ב מבצע ו ניטור של נתונים, כולל תהליך דיווח.

ניהול גישה דינמי אמור להגן על הנתונים על ידי:

הגישה מושגת באמצעות תהליך אימות חזק.
הפעלת גישה מוגבלת.
הצפנה.
הרשאות הדפסה מאובטחות.
רישום מי ניגש ל-PII וכיצד נעשה שימוש בנתוני PII.
יישום נוהל התראות המסמן שימוש בלתי הולם ב-PII.

ISO 27701 סעיף 6.6.4.2 - נהלי כניסה מאובטחת

הפניות ISO 27002 בקרה 8.5

PII ונכסים הקשורים לפרטיות צריכים להיות מאוחסנים ברשת הכוללת מגוון של בקרות אימות, כולל:

אימות רב-גורמי (MFA).
תעודות דיגיטליות.
כרטיסים/טלפונים חכמים.
אימות ביומטרי.
אסימונים מאובטחים.

כדי למנוע ולמזער את הסיכון של גישה לא מורשית ל-PII, ארגונים צריכים:

מנע הצגה של PII על צג או התקן נקודת קצה, עד שמשתמש יבצע אימות מוצלח.
תן למשתמשים לעתיד אזהרה ברורה - לפני כל ניסיון התחברות - המתאר את האופי הרגיש של הנתונים שהם עומדים לגשת אליהם.
היזהר ממתן סיוע רב מדי לאורך תהליך האימות (כלומר הסבר איזה חלק מניסיון התחברות כושל אינו חוקי).
פריסת אמצעי אבטחה מומלצים, כולל:

טכנולוגיית CAPTCHA.
אילוץ איפוסי סיסמה ו/או מניעת התחברות באופן זמני בעקבות מספר ניסיונות כושלים.

רישום ניסיונות התחברות כושלים לצורך ניתוח נוסף ו/או הפצה לרשויות אכיפת החוק.
התחל אירוע אבטחה בכל פעם שמתגלה אי התאמה גדולה בכניסה, או שהארגון מגלה חריגת אימות שיש לה פוטנציאל להשפיע על PII.
העבר יומני אימות - המכילים ניסיון כניסה אחרון ופרטי כניסה שנכשלו - למקור נתונים נפרד.
פלט נתוני סיסמה רק כסמלים מופשטים), אלא אם למשתמש יש בעיות נגישות/ראייה.
מנע שיתוף של כל נתוני אימות.
הרוג הפעלות התחברות רדומות, במיוחד כאשר PII נמצא בשימוש בסביבות עבודה מרוחקות, או בנכסי BYOD.
הגדר מגבלת זמן על הפעלות מאומתות, במיוחד אלה שניגשים באופן פעיל ל-PII.

מאמרי GDPR ישימים

סעיף 5 – (1)(ו)

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

ISO 27701 סעיף 6.6.4.3 – מערכת ניהול סיסמאות

הפניות ISO 27002 בקרה 5.17

יש להפיץ ולנהל את פרטי האימות כך:

מידע אימות שנוצר באופן אוטומטי (סיסמאות וכו') נשמר בסוד מכל מי שאינו מורשה להשתמש בהם, אינו ניתן לניחוש ומנוהל באופן שמאלץ משתמש לשנות אותם לאחר הכניסה הראשונית.
לפני הנפקה או החלפה של פרטי אימות, נקבעים נהלים לאימות זהות האדם שדורש אותם.
הערוצים המאובטחים הנכונים משמשים להעברת פרטי אימות (כלומר לא באמצעות דואר אלקטרוני).
לאחר שהפרטים הועברו בהצלחה לכל מי שצריך אותם, המשתמש/ים מאשרים קבלה בזמן.
כל מידע אימות שסופק על ידי הספק (כגון ברירת המחדל של שם המשתמש והסיסמה הנתבים וחומות האש) משתנה עם הקבלה.
נשמרים רישומים של אירועי אימות רלוונטיים - במיוחד לגבי ההקצאה הראשונית והניהול הבא של פרטי האימות.

כל צוות המשתמש במידע אימות ארגוני צריך לוודא כי:

הכל פרטי האימות נשמרים חסויים לחלוטין.
אם פרטי האימות נפגעים, מוצגים או שותפים על ידי כל אחד מלבד הבעלים המקורי, פרטים אלה ישתנו מיד.
כל סיסמאות נוצרות ו/או נוצרות בהתאם למדיניות הסיסמאות של הארגון, והסיסמאות הן ייחודיות בפלטפורמות שונות (כלומר, סיסמאות דומיין אינן זהות לסיסמאות של שירותי ענן).
חוזי העסקה מכילים דרישה מפורשת לציית למדיניות הסיסמאות של החברה (ראה ISO 27002 6.2).

מערכות ניהול סיסמאות

ארגונים צריכים ליישם מערכת ניהול סיסמאות ש:

נותן מענה למשתמשים שצריכים לשנות כל סיסמה שבה הם משתמשים.
מתוכנת לדחות סיסמאות הנופלות מחוץ להנחיות השיטות המומלצות.
מאלץ משתמשים לשנות את הסיסמה שנוצרה על ידי המערכת, לאחר שהם משתמשים בה בפעם הראשונה.
אינו מתיר המשך שימוש בסיסמאות ישנות, או ביטויים דומים ושילובים אלפאנומריים.
מסתיר סיסמאות בזמן שהן מוזנות.
מאחסן ושולח מידע סיסמה בצורה מאובטחת.
מספק הצפנת סיסמה וטכניקות הצפנה דומות (ראה ISO 27002 8.24).

כדי להגן על PII ולשפר את מאמצי ההגנה על הפרטיות הארגונית, סיסמאות צריכות לפעול לפי ארבעה עקרונות מנחים:

אין לבנות סיסמאות סביב מידע שניתן לנחש או ביוגרפי.
סיסמאות לא צריכות להכיל מילים ניתנות לזיהוי, במקום תווים אלפאנומריים אקראיים.
יש להשתמש בתווים מיוחדים כדי להגביר את מורכבות הסיסמה.
לכל הסיסמאות צריך להיות אורך מינימלי (אידיאלי 12 תווים).

ארגונים צריכים לשקול גם שימוש בפרוטוקולי אימות כגון כניסה יחידה (SSO) כדי לשפר את אבטחת הסיסמה, אך יש לשקול אמצעים כאלה רק לצד הדרישות הטכניות והתפעוליות הייחודיות של הארגון.

בקרות ISO 27002 רלוונטיות

ISO 27002 6.2
ISO 27002 8.24

ISO 27701 סעיף 6.6.4.4 - שימוש בתוכניות שירות מועדפות

הפניות ISO 27002 בקרה 8.18

כדי להגן על PII ונכסים הקשורים לפרטיות - ובו זמנית לשפר את שלמות הרשת - ארגונים צריכים:

הגבל את השימוש בתוכניות שירות לצוות תחזוקה ו/או קבלנים המופקדים על ניהול הרשת של הארגון.
ודא שהשימוש בכל תוכנית שירות בודדת מורשה על ידי ההנהלה, כולל ניהול רשימה של עובדים שצריכים להשתמש בתוכניות שירות כחלק מהאחריות שהוקצתה להם.
מנע את השימוש בתוכניות שירות באזורים ברשת הכוללים חובות נפרדות.
סקור מעת לעת את השימוש בתוכניות שירות, הסרה או הוספה של תוכניות כפי שהארגון רואה לנכון.
חלק את תוכניות השירות להבדיל מיישומים סטנדרטיים.
רישום את השימוש בתוכניות שירות, כולל מידע שמור על חותמות זמן ומשתמשים מורשים.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

ISO 27701 סעיף 6.6.4.5 - בקרת גישה לקוד המקור של התוכנית

הפניות ISO 27002 בקרה 8.4

הגישה לקוד המקור ולכלי הפיתוח צריכה להיות בשליטה הדוקה, כך שיישומים הקשורים לפרטיות לא ייפגעו, ו-PII לא ייחשף לצפייה ציבורית, או לכל צורה של גישה לא מורשית.

קוד המקור ו'פריטים קשורים' כוללים:

עיצובים.
מפרטים.
תוכניות אימות.
תוכניות אימות.

כלי הפיתוח כוללים:

מהדרים.
בונים.
כלי אינטגרציה.
פלטפורמות בדיקה.
סביבות.

ISO ממליצה לארגונים לאחסן ולנהל קוד מקור באמצעות 'מערכת ניהול קוד מקור' ייעודית המגנה על IP, קוד וכלי פיתוח ומנהלת גישה לחומר מוגבל. קוד המקור צריך להיות מנוהל בדרגות שונות של גישת קריאה וכתיבה, בהתבסס על תפקידו של אדם.

כדי למנוע שחיתות ולשמור על PIMS, PII ומידע ונכסים הקשורים לפרטיות, ארגונים צריכים:

נהל מקרוב את הגישה לקוד המקור ולכל הספריות המשויכות.
הגבל את מתן הגישה לקוד מקור על בסיס 'צריך לדעת' ו'צריך להשתמש'.
שים לב לנהלי ניהול שינויים כלל-ארגוניים, בעת עדכון/שינוי קוד מקור, או ביצוע הרשאות גישה לשינויים כלשהם (ראה ISO 27002 8.32).
לאסור את גישה ישירה של קוד מקור על ידי מפתחים, ובמקום זאת מתן גישה באמצעות כלי מפתח מיוחדים.
אחסן בצורה מאובטחת רשימות תוכניות, עם רמות רלוונטיות של גישת קריאה וכתיבה.

בקרות ISO 27002 רלוונטיות

ראה ISO 27002 8.32

בקרות תומכות מ-ISO 27002 ו-GDPR

מזהה סעיף ISO 27701	שם סעיף ISO 27701	דרישת ISO 27002	מאמרי GDPR משויכים
6.6.4.1	8.3	8.3 – הגבלת גישה למידע עבור ISO 27002	ללא חתימה
6.6.4.2	8.5	8.5 - אימות מאובטח עבור ISO 27002	סעיף (5)
6.6.4.3	5.17	5.17 – מידע אימות עבור ISO 27002	ללא חתימה
6.6.4.4	8.18	8.18 - שימוש בתוכניות שירות מועדפות עבור ISO 27002	ללא חתימה
6.6.4.5	8.4	8.4 - גישה לקוד המקור עבור ISO 27002	ללא חתימה

כיצד ISMS.online עוזר

ISO 27701 מראה לך כיצד לבנות מערכת ניהול מידע פרטיות התואמת לרוב תקנות הפרטיות, כולל GDPR של האיחוד האירופי, BS 10012 ו-POPIA של דרום אפריקה.

התוכנה הפשוטה, המאובטחת ובת-הקיימא שלנו עוזרת לך לעקוב בקלות אחר הגישה המתוארת בתקן המוכר הבינלאומי.

פלטפורמת ה-all-in-one שלנו מבטיחה שעבודת הפרטיות שלך תואמת ועונה על הצרכים של כל סעיף בתקן ISO 27701. ומכיוון שזה אגנוסטיקה לרגולציה, אתה יכול למפות את זה לכל רגולציה שתצטרך.

למידע נוסף על ידי הזמנת הדגמה מעשית.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

סעיפי ISO 27701

אנחנו מובילים בתחומנו