ISO 27701, סעיף 6.6, בקרת גישה

ISO 27701 – סעיף 6.6 – בקרת גישה

ISO 27701 סעיף 6.6 מתאר דרישות בקרת גישה להגנה על מידע אישי מזהה (PII), המבטיח שהגישה ניתנת על סמך צרכים ספציפיים לתפקיד תוך הקפדה על העקרונות של מינימום הרשאות ואימות מאובטח. הוא מחייב מדיניות לגישה לרשת, ניהול משתמשים ובקרות מערכת כדי למנוע חשיפה לא מורשית של נתונים.

הבנת ISO 27701 סעיף 6.6: שיטות עבודה מומלצות לבקרת גישה

בקרת הגישה קובעת את הדרכים שבהן ישויות אנושיות ושאינן אנושיות מקבלים גישה לנתונים, משאבי IT ויישומים - ובמקרה של ISO 27701 6.6, PII וחומר הקשור לפרטיות.

בקרת גישה היא פונקציית ICT מורכבת ורבת פנים השואבת פונקציות עסקיות רבות אחרות, כגון ניהול שינויים, אבטחת נכסים, הרשאות ספציפיות לנושא, בקרות אבטחה פיזיות ומושגים טכניים כגון RBAC, MAC ו-DAC. ככזה, ISO 27701 6.6 מכיל הרבה הנחיות תומכות מהגנה על פרטיות ומידע דומים בקרות הכלולים בתקן ISO 27002.

קבלת זכות בקרת גישה היא אחת הפונקציות העיקריות של פעולת הגנה על פרטיות משומנת היטב, במיוחד בהקשר של שמירה על PII.

מה מכוסה בסעיף 27701 של ISO 6.6

ISO 27701 6.6 מכיל שני סעיפי משנה המקשרים את המידע המסופק בקונטקסט ISO 27002 5.15 (בקרת גישה) בתחום של PII והגנת הפרטיות, עם סעיפים תומכים רבים שסופקו העוסקים בהיבטים שונים אחרים של אבטחת מידע (ראה לעיל):

ISO 27701 6.6.1.1 - מדיניות בקרת גישה (References ISO 27002 Control 5.15)
ISO 27701 6.6.1.2 - גישה לרשתות ושירותי רשת (References ISO 27002 Control 5.15)

אף אחד מהסעיפים אינו מכיל הנחיה ספציפית ל-PIMS, והם אינם רלוונטיים לחקיקת ה-GDPR בבריטניה.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

ISO 27701 סעיף 6.6.1.1 – מדיניות בקרת גישה

הפניות ISO 27002 בקרה 5.15

בעלים של נכסים המכילים PII, והנתונים עצמם, צריכים לפתח דרישות גישה מבוססות פרטיות הן על בסיס כללי והן על בסיס ספציפי לנושא, ולהעביר בצורה ברורה את מדיניות בקרת הגישה לכל הצוות הרלוונטי.

מדיניות בקרת גישה

דרישות כלליות ומדיניות ספציפית לנושא צריכים:

לקבוע מי דורש גישה לנכסים ונתונים ספציפיים ולנהל זכויות כאלה בהתאם (ראה ISO 27002 5.18).
שקול את דרישות האבטחה הייחודיות של יישומים המשתמשים ב-PII (ראה ISO 27002 5.16, 5.18 ו-8.26).
שליטה בגישה הפיזית לנתוני PII (ראה ISO 27002 7.2, 7.3 ו-7.4).
הפצת PII ואישור בקשות גישה מתועדות על בסיס 'צריך לדעת' (ראה ISO 27002 5.10, 5.12 ו-5.13).
הגבלות על גישה 'מועדפת' ל-PII' (ראה ISO 27701 8.2).
הפרדת חובות, כדי להגביל את האפשרות של יחידים וקבוצות להיות הסמכות הבלעדית על אלמנטים (ראה ISO 27002 5.3).
קח בחשבון את חובות הארגון כלפי כל חקיקה להגנת הפרטיות, הנחיות רגולטוריות או דרישות חוזיות (ראה ISO 27002 5.31, 5.32, 5.33, 5.34 ו-8.3).
ודא כי יומנים מדויקים ומעודכנים נשמרים, המפרטים גישה ל-PII ברחבי הארגון (ראה ISO 27002 8.15).

הגדרת ישויות בקרת גישה וכללים נלווים

ISO מסווג 'ישות' כפריט פיזי, אנושי ו/או לוגי שיש לו את היכולת לגשת לנתונים.

יש להקצות לגופים תפקידים ספציפיים, הנוגעים לתפקודם ולנתונים שהם דורשים גישה אליהם.

בעת יישום כללי בקרת גישה עבור הישויות השונות שהיא הגדירה, ארגונים צריכים:

ודא שלישויות מוענקת גישה ל-PII באופן עקבי, בהתאם לתפקיד ו/או לתפקיד הספציפי שלהם.
זכור צרכי אבטחה פיזיים בעת ניהול גישה ל-PII.
במקרה של סביבות רב-צדדיות מבוססות ענן ו/או מבוזרות, לישויות מוענקת גישה רק לקטגוריות הנתונים PII שבהן הם מורשים להשתמש (במקום לספק גישה גורפת.

הנחיות נוספות

בקרת גישה יכולה לעתים קרובות להיות מרכיב מורכב וקשה לניהול של פעולת ה-ICT של ארגון.

להלן מספר עקרונות כלליים שיש לדבוק בהם:

לפעול במסגרת 'צריך לדעת' ו'צריך להשתמש' – כלומר לספק גישה ל-PII רק אם הישות דורשת ממנה לבצע את תפקידו, ולא פחות מכך.
ארגונים צריכים לדבוק במושג 'הזכות הקטנה ביותר'. ISO מגדיר זאת כ"הכל אסור בדרך כלל, אלא אם כן מותר במפורש". במילים אחרות, בקרת הגישה צריכה להיות מנוהלת מקרוב, במקום לתת אמון בעובדים עם רמות רחבות של גישה על פני מספר יישומים, התקני אחסון ושרתי קבצים.
יש להתייחס לשינויים בהרשאות הגישה בשתי דרכים - שינויים ביוזמת מנהלי מערכות, ואלה שיוזמו על ידי מערכות ואפליקציות ICT עצמן - לרבות מתי יש לבדוק את האישורים.
למטרות PII של גישה, ISO מתאר ארבעה סוגי בקרת גישה עיקריים שעל ארגונים לשקול, בהתבסס על הדרישות הייחודיות שלהם:

בקרת גישה חובה (MAC) - הגישה מנוהלת באופן מרכזי על ידי רשות אבטחה יחידה.
בקרת גישה לפי שיקול דעת (DAC) - השיטה ההפוכה ל-MAC, שבה בעלי אובייקטים יכולים להעביר הרשאות למשתמשים אחרים.
בקרת גישה מבוססת תפקידים (RBAC) - הסוג הנפוץ ביותר של בקרת גישה מסחרית, המבוסס על פונקציות והרשאות עבודה מוגדרות מראש.
בקרת גישה מבוססת תכונות (ABAC) - זכויות גישה ניתנות למשתמשים באמצעות שימוש במדיניות המשלבת תכונות יחד.

בקרות ISO 27002 רלוונטיות

ISO 27002 5.3
ISO 27002 5.10
ISO 27002 5.12
ISO 27002 5.13
ISO 27002 5.16
ISO 27002 5.18
ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
ISO 27002 7.2
ISO 27002 7.3
ISO 27002 7.4
ISO 27002 8.2
ISO 27002 8.3
ISO 27002 8.26

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

ISO 27701 סעיף 6.6.1.2 - גישה לרשתות ושירותי רשת

הפניות ISO 27002 בקרה 5.15

ראה ISO 27701 סעיף 6.6.1.1

בקרות תומכות מ-ISO 27002 ו-GDPR

מזהה סעיף ISO 27701	שם סעיף ISO 27701	דרישת ISO 27002	מאמרי GDPR משויכים
6.6.1.1	מדיניות בקרת גישה	5.15 - בקרת גישה עבור ISO 27002	ללא חתימה
6.6.1.2	גישה לרשתות ושירותי רשת	5.15 - בקרת גישה עבור ISO 27002	ללא חתימה

כיצד ISMS.online עוזר

איך אנחנו עוזרים?

ISO 27701 מראה לך כיצד לבנות מערכת ניהול מידע פרטיות התואמת לרוב תקנות הפרטיות, כולל GDPR של האיחוד האירופי, BS 10012 ו-POPIA של דרום אפריקה.

התוכנה הפשוטה, המאובטחת ובת-הקיימא שלנו עוזרת לך לעקוב בקלות אחר הגישה המתוארת בתקן המוכר הבינלאומי.

פלטפורמת הכל-באחד שלנו מבטיחה שעבודת הפרטיות שלך תואמת ועונה על הצרכים של כל סעיף בתקן ISO 27701.

ומכיוון שזה אגנוסטיקה לרגולציה, אתה יכול למפות את זה לכל רגולציה שתצטרך.

למידע נוסף על ידי הזמנת הדגמה מעשית.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

סעיפי ISO 27701

אנחנו מובילים בתחומנו