ISO 27701 – סעיף 6.8.2 – ציוד

ISO 27701 סעיף 6.8.2: ציוד הגנה לתאימות פרטיות

לצד בקרות 'לוגיות' – הגבלות גישה מבוססות תוכנה ופונקציות אדמיניסטרטיביות מבוססות שרת, ISO גם שם דגש רב על התפקיד שיש לאבטחת הציוד למלא בהגנה על PII ונכסים הקשורים לפרטיות.

ארגונים צריכים לקחת בחשבון מגוון רחב של גורמים, החל מפרוטוקולי BYOD, למיקום של נכסי פרטיות, איך משתמשים מתנהגים כשהם ניגשים אליהם, איך הערכה מוסרת ומדיניות ברורה של שולחן עבודה/מסך.

מה מכוסה בסעיף 27701 של ISO 6.8.2

ISO 27701 סעיף 6.8.2 הוא סעיף מרחיק לכת המכסה היבטים רבים ושונים של בקרת ציוד ואבטחה.

ישנם 9 תתי סעיפים שכדאי לקחת בחשבון, כאשר כל אחד מהם מכיל הערות הנחיות מא סעיף נלווה ב-ISO 27002, מיושם בהקשר של הגנת הפרטיות:

• ISO 27701 6.8.2.1 - מיקום והגנה על ציוד (הפניות ISO 27002 בקרת 7.8)
• ISO 27701 6.8.2.2 - כלי עזר תומכים (References ISO 27002 control 7.11)
• ISO 27701 6.8.2.3 - אבטחת כבלים (References ISO 27002 control 7.12)
• ISO 27701 6.8.2.4 - תחזוקת ציוד (הפניות ISO 27002 בקרת 7.13)
• ISO 27701 6.8.2.5 - הסרת נכסים (References ISO 27002 control 7.10)
• ISO 27701 6.8.2.6 - אבטחת ציוד ונכסים מחוץ לשטח (References ISO 27002 control 7.9)
• ISO 27701 6.8.2.7 - סילוק מאובטח או שימוש חוזר בציוד (הפניות ISO 27002 בקרת 7.14)
• ISO 27701 6.8.2.8 - ציוד למשתמש ללא השגחה (References ISO 27002 control 8.1)
• ISO 27701 6.8.2.9 - מדיניות ברורה של שולחן עבודה ומסך ברור (References ISO 27002 control 7.7)

ISO אינו מציע הנחיות נוספות בנוגע להטמעה או תחזוקה של PIMS, ורק שני סעיפי משנה (6.8.2.9 ו-6.8.2.7) מכילים מידע שיש לקחת בחשבון לצד חקיקת GDPR בבריטניה.

שים לב שהציטוטים של GDPR הם למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.

ISO 27701 סעיף 6.8.2.1 - מיקום והגנה על ציוד

הפניות ISO 27002 בקרה 7.8

על מנת למזער את הסיכון ל-PII ולנכסים הקשורים לפרטיות, העלולים להיות חשופים לאובדן או גישה לא מורשית עקב נזק, ארגונים צריכים:

• הצב ציוד כראוי - כולל נכסים ומתקנים לעיבוד פרטיות - כדי למנוע את הצורך של צוות לא מורשה לגשת לאזורים מוגבלים.
• צמצם את הסיכון של צפייה מקרית או מכוונת בחומר מוגבל (במיוחד PII).
• הפחת את הסיכון לאיומים סביבתיים או פיזיים (כגון גניבה, שריפה, שיטפון).
• הגדר את הכללים הברורים שלנו העוסקים באכילה, עישון או שתייה ליד נכסים ומידע הקשורים לפרטיות.
• ודא שנכסים הקשורים לפרטיות נשמרים בסביבות עם רמות מתאימות של חום ולחות.
• הטמע בקרות הגנה מפני ברקים.
• יישום צעדים אד-הוק עבור נכסים הקשורים לפרטיות המוחזקים באזורי ייצור (מגני אבק, דיור מאובטח, מיגון אלקטרומגנטי וכו').
• הפרד בין מתקנים לעיבוד פרטיות ארגוניים ולא ארגוניים.

ISO 27701 סעיף 6.8.2.2 - כלי עזר תומכים

הפניות ISO 27002 בקרה 7.11

חשוב להגן על מתקנים לעיבוד PII מכל שיבושים או תקריות הנובעות ממה ש-ISO רואה כ"שירותים תומכים" (חשמל, גז, מים, ביוב וכו').

כדי למזער את הסיכון ל-PII, ארגונים צריכים:

• הקפד תמיד על ההמלצות של ספקי השירות בעת הגדרת הציוד באתר.
• בצע ביקורות תקופתיות של שירותים כדי להבטיח שהם עונים על הצרכים התפעוליים והפיננסיים של הארגון, ומתאים לספק את כל השירותים האחרים.
• בדוק באופן קבוע כלי עזר כדי להבטיח המשכיות עסקית, והעלה כל דאגה ישירות עם ספק השירות.
• ודא שכלי עזר נהנים מהזנות מרובות ו'ניתוב מגוון'.
• שמור על מערכת שמפרידה בין שירותים ברשת הפנימית שלהם לבין מתקנים לעיבוד PII, כאשר מתקנים כאלה דורשים גישה ל-LAN, ומספקים להם גישת WAN רק אם הדבר נדרש במפורש.
• ספק שירותי שירות לשעת חירום - כגון תאורת חירום, ציוד טלפון עם מעגל ייעודי מיותר ממערכת התקשורת הראשית, מספרי קשר לשעת חירום ויציאות חירום נגישות בקלות.
• חקור את האפשרות לקבל נתבים מרובים לכל ספק שירות.

ISO 27701 סעיף 6.8.2.3 - אבטחת כבלים

הפניות ISO 27002 בקרה 7.12

PII מועבר בעיקר באמצעות כבלים. ככזה, ארגונים צריכים להקים בקרות אבטחה בכבלים המגנות על מידע הקשור לפרטיות מפני יירוט ו/או אובדן.

אבטחת כבלים היא תחום מיוחד ביותר, וארגונים צריכים לפנות לייעוץ מומחה במידת הצורך. עם זאת, יש כמה עקרונות שלטוניים בסיסיים שצריך לדבוק בהם.

ליווי כללי

ארגונים צריכים:

• הפעל כבלי חשמל ותקשורת מתחת לאדמה.
• ודא שהכבלים הקרקעיים מוגנים באמצעים כגון גזעים נאותים, דיור רצפה ועמודי שירות.
• הפרד כבלי חשמל מכבלי רשת וכבלי תקשורת, כדי למנוע הפרעות.
• ודא שלכבלים מסופקים תוויות בכל קצה, כדי לסייע בפעילויות תחזוקה וחיבור.

מערכות קריטיות

כאשר מדובר במידע קריטי לעסקים ורגיש מבחינה מסחרית, ישנן מספר בקרות נוספות שארגונים צריכים לשקול:

• ציוד משוריין, כולל אזעקות וחדרים מאובטחים בנקודות סיום כבלים, כולל גישה מבוקרת ונרשמת.
• מיגון אלקטרומגנטי.
• הגברת הבדיקות הפיזיות.

ISO 27701 סעיף 6.8.2.4 – תחזוקת ציוד

הפניות ISO 27002 בקרה 7.13

כדי למנוע גישה לא מורשית ל-PII - או נזק לנכסים הקשורים לפרטיות - ארגונים צריכים לתחזק את כל הציוד בהתאם להנחיות היצרן, כולל:

• עמידה בלוח זמנים תחזוקה איתן, המתבצע על ידי צוות מיומן ומורשה.
• רישום כל התקלות - כולל כל חשד לתקלות.
• במידת הצורך, הכפפת אנשי תחזוקה חיצוניים להסכם סודיות.
• הבטחה שקבלני אחזקה של צד שלישי נמצאים בפיקוח מתאים בעת ביצוע תפקידם באתר.
• הפעלת שליטה צמודה על פונקציות תחזוקה מרחוק, במיוחד אלו המבוצעות על ידי צוות צד שלישי.

ISO 27701 סעיף 6.8.2.5 – הסרת נכסים

הפניות ISO 27002 בקרה 7.10

מדיית אחסון נשלפת

בעת פיתוח מדיניות המסדירה את הסרת נכסי מדיה המאחסנים PII, ארגונים צריכים:

• עקוב אחר העברת PII למדית אחסון, לכל מטרה.
• לפתח מדיניות ספציפית לנושא המבוססת על דרישות תפקיד ספציפיות.
• ודא שמבקשים ומעניקים הרשאה, לפני שאנשי הצוות יוכלו להסיר מדיית אחסון מהרשת.
• אחסן את המדיה בהתאם למפרטי היצרן.
• ודא שהמדיה נקייה מכל נזק סביבתי.
• שקול להשתמש בשיטות הצפנה, ויישום אמצעי אבטחה פיזיים נוספים.
• צמצם למינימום את הסיכון של פגיעה ב-PII על ידי העברת מידע בין מדיית אחסון למערכת של הנחיות שיטות עבודה מומלצות.
• הצג יתירות על ידי אחסון PII על מספר נכסים בו זמנית.
• השתמש רק באמצעי אחסון בכניסות מאושרות (למשל כרטיסי SD ויציאות USB).
• שקול את הסיכונים הטמונים בעת העברת PII בין מדיית אחסון, או בעת העברת נכסים בין צוות או מתחם (ראה ISO 27002 בקרת 5.14).

ייעוד מחדש ו/או סילוק נכסים

בעת שימוש מחדש, שימוש חוזר או השלכה של אמצעי אחסון, ארגונים צריכים:

• פרמט מדיית אחסון, וודא שכל הפרטים האישיים של המידע מתועדים ומוסרים לפני שימוש חוזר (ראה ISO 27002 בקרת 8.10).
• השלך באופן מאובטח מכל מדיה שאין לארגון שימוש נוסף בה, וששימשה לאחסון PII.
• (אם סילוק מצריך מעורבות של צד שלישי) הקפד לוודא שהם שותפים ראויים ומתאימים, בהתאם לאחריות הארגון כלפי PII והגנה על הפרטיות.
• הטמע נהלים המזהים מדיית אחסון הזמינה למטרות חוזרות, או שניתן להיפטר מהם בבטחה.

בקרות ISO 27002 רלוונטיות

• ISO 27002 5.14
• ISO 27002 8.10

ISO 27701 סעיף 6.8.2.6 - אבטחת ציוד ונכסים מחוץ לשטח

הפניות ISO 27002 בקרה 7.9

ארגונים יצטרכו לפעמים להטיל סנקציות על השימוש במכשירים מחוץ לאתר, שבתורם יש להם פוטנציאל לגשת למידע אישי ו/או מידע הקשור לפרטיות - כולל מכשירי BYOD.

ציוד זמני מחוץ לאתר

בעת ניהול כל מכשיר שמאחסן או משתמש באופן פעיל ב-PII במיקום אחר מאשר אתרים שיועדו רשמית, ארגונים צריכים:

• בקש מכל הצוות לא להשאיר מכשירים כאלה ללא השגחה במקומות ציבוריים.
• ודא שההנחיות של היצרנים מבוצעות, במיוחד בכל הנוגע לאבטחת המכשיר והגנת הסביבה.
• נהלו יומן מדויק ומעודכן של אופן העברת התקנים מחוץ לאתר בין אנשי צוות, אם יתעורר צורך בכך.
• (עבור נכסים ארגוניים) לדרוש הרשאה מתאימה לפני הוצאת הציוד מהמקום, וניהול יומן של כל הפעילויות הללו (ראה ISO 27002 בקרת 5.14).
• בקש מהעובדים לשים לב לאופן שבו הם משתמשים בנכסים במקומות ציבוריים, כדי למנוע צפייה לא מורשית של PII וחומר הקשור לפרטיות.
• השתמש בטכנולוגיית GPS וניהול מרחוק כדי לעקוב אחר מכשירים מחוץ לאתר, תוך שמירה על היכולת למחוק אותם מרחוק.

ציוד קבוע מחוץ לאתר

לפעמים יש צורך בארגון להתקין רכוש קבוע, מחוץ לחצרים או למתקני המשרד שלו. ציוד כזה כולל:

• כספומטים.
• אנטנות תקשורת.
• ציוד רדיו.

בעת התקנת ערכה כזו, ארגונים צריכים לשקול:

• ניטור מסביב לשעון (באופן אישי או באמצעות טלוויזיה במעגל סגור) (ראה ISO 27002 בקרת 7.4).
• בקרות גישה מבוססות תוכנה.

בקרות ISO 27002 רלוונטיות

• ISO 27002 5.14
• ISO 27002 7.4

ISO 27701 סעיף 6.8.2.7 - סילוק מאובטח או שימוש חוזר בציוד

הפניות ISO 27002 בקרה 7.14

מידע אישי ופרטיות הקשורים לפרטיות נמצאים בסיכון במיוחד כאשר מתעורר צורך להיפטר, או לייעד מחדש נכסי אחסון ועיבוד - בין אם פנימית או בשותפות עם ספק צד שלישי מיוחד.

מעל לכל, ארגונים צריכים להבטיח שכל אמצעי אחסון המסומנים לסילוק, שהכילו PII, צריך להיות נהרס פיזית, ניגב or כתוב יתר על המידה (ראה ISO 27002 בקרות 7.10 ו-8.10).

כדי למנוע פגיעה ב-PII בכל דרך שהיא, בעת סילוק או שימוש חוזר בנכסים, ארגונים צריכים:

• ודא שכל התוויות יוסרו או יתוקנו, לפי הצורך - במיוחד אלה המציינים את נוכחות PII.
• הסר את כל בקרות האבטחה הפיזיות והלוגיות, בעת פירוק מתקנים או העברת מתחמים, במטרה לעשות בהם שימוש חוזר במיקום חדש.

בקרות ISO 27002 רלוונטיות

• ISO 27002 7.10
• ISO 27002 8.10

מאמרי GDPR ישימים

• סעיף 5 – (1)(ו)

ISO 27701 סעיף 6.8.2.8 - ציוד משתמש ללא השגחה

הפניות ISO 27002 בקרה 8.1

ארגונים צריכים ליישם מדיניות ספציפית לנושא העוסקת בקטגוריות שונות של התקני קצה, תוך התמקדות בשיפור הגנת הפרטיות ואבטחת PII.

ארגונים צריכים לנסח מדיניות ונהלים הלוקחים בחשבון:

• קיומו של PII ברשת של ארגון.
• כיצד מכשירים נרשמים בתחילה ולאחר מכן מזוהים.
• בקרות הגנה פיזית.
• הגבלות על התקנת תוכנה.
• שליטה מרחוק.
• בקרות גישה למשתמש.
• קריפטוגרפיה.
• פלטפורמות נגד תוכנות זדוניות.
• גיבוי ושחזור מאסון.
• הגבלות גלישה וסינון תוכן.
• ניתוח משתמש (ראה בקרת ISO 27002 8.16).
• אחסון נשלף והתקנים קשורים.
• הפרדת נתונים מבוססת מכשיר – כלומר יצירת מחסום בין נתונים ארגוניים לאישיים.
• תוכניות מגירה לאיבוד או גניבה של מכשירים.

אחריות המשתמש

משתמשי מכשיר מחוץ לאתר צריכים להיות מודעים ללא הרף לכל מדיניות ונהלים החלים עליהם, כמשתמשים מחוץ לאתר.

כמערכת כללית של עקרונות, המשתמשים צריכים:

• סגור הפעלות עבודה/מרחוק כשהן כבר לא בשימוש.
• הקפידו על אמצעי הגנה פיזיים והגיוניים.
• שימו לב לסביבה הפיזית שלהם בעת גישה למידע אישי או מידע הקשור לפרטיות (כלומר הימנעות מ'גלישה בכתפיים' באזורים ציבוריים).

פרוטוקולים של Bring Your Own Device (BYOD).

ארגונים המאפשרים לעובדים להשתמש במכשירים האישיים שלהם צריכים לשקול גם:

• התקנת תוכנה המסייעת בהפרדת נתונים עסקיים ואישיים.
• אכיפת מדיניות BYOD הכוללת:
• הכרה בבעלות ארגונית על PII.
• אמצעי הגנה פיזיים ודיגיטליים (ראה לעיל).
• מחיקה מרחוק של נתונים.
• כל אמצעי המבטיח התאמה לחקיקת PII והנחיה רגולטורית.
• זכויות IP, הנוגעות לבעלות החברה על כל דבר שהופק במכשיר אישי.
• גישה ארגונית למכשיר - או למטרות הגנה על פרטיות, או לציית לחקירה פנימית או חיצונית.
• EULAs ורישוי תוכנה שעלולים להיות מושפעים מהשימוש בתוכנה מסחרית במכשיר בבעלות פרטית.

הנחיות WiFi

כאשר שוקלים כיצד לנהל קישוריות WiFi עבור מכשירים מחוץ לאתר, ארגונים צריכים:

• שקול היטב כיצד התקנים מסוגלים להתחבר לרשתות אלחוטיות (כלומר הימנעות מרשתות לא מאובטחות בזמן שימוש ב-PII).
• ודא של-WiFi יש קיבולת מספקת כדי להקל על גיבויים, לספק פעילויות תחזוקה ולעבד נתונים ללא כל מניעה גדולה לביצועי המכשיר ואבטחת הנתונים.

בקרות ISO 27002 רלוונטיות

• ISO 27002 8.9
• ISO 27002 8.16

ISO 27701 סעיף 6.8.2.9 - מדיניות ברורה של שולחן עבודה ומסך נקי

הפניות ISO 27002 בקרה 7.7

PII ומידע הקשור לפרטיות נמצאים בסיכון במיוחד כאשר צוות רשלני וקבלני צד שלישי אינם מצליחים לציית לאמצעי אבטחה במקום העבודה המגינים מפני צפייה מקרית או מכוונת של PII על ידי צוות לא מורשה.

ארגונים צריכים לנסח מדיניות ברורה בנושא שולחן עבודה ומדיניות מסך ברורה (על בסיס סביבת עבודה אחר סביבת עבודה אם יש צורך בכך) הכוללת:

• הסתרה מראייה סתמית, נעילה או אחסון מאובטח של PII ומידע הקשור לפרטיות, כאשר אין צורך בחומר מידע כזה.
• מנגנוני נעילה פיזיים על נכסי ICT.
• בקרות גישה דיגיטליות - כגון פסקי זמן לתצוגה, שומרי מסך מוגני סיסמה ומתקני יציאה אוטומטית.
• הדפסה מאובטחת ואיסוף מסמכים מיידי.
• אחסון מאובטח ונעול של תיעוד רגיש וסילוק נאות של חומר כזה כאשר הם אינם נדרשים עוד (גריסה, שירותי סילוק צד שלישי וכו').
• הקפדה על תצוגות מקדימות של הודעות (אימייל, SMS, תזכורות יומן) שעשויות לספק גישה לנתונים רגישים; בכל פעם שמסך משותף או צופה במקום ציבורי.
• ניקוי תצוגות פיזיות (כגון לוחות ולוחות מודעות) ממידע רגיש, כאשר אין צורך עוד.

כאשר ארגונים עוזבים יחד את המקום - כמו במהלך מעבר משרד או העברה דומה - אני צריך לעשות מאמצים להבטיח שלא יישאר מאחור שום תיעוד, לא בשולחנות ובמערכות תיוק, או כל תיעוד שאולי נפל למקומות לא ברורים.

מאמרי GDPR ישימים

• סעיף 5 – (1)(ו)

בקרות תומכות מ-ISO 27002 ו-GDPR

כיצד ISMS.online עוזר

אנחנו הופכים את ROPA לקל

אנו הופכים את מיפוי הנתונים למשימה פשוטה. קל להקליט ולסקור את הכל, תוך הוספת פרטי הארגון שלך לכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות.

תבניות הערכה בשבילך

קל להגדיר ולהפעיל סוגים שונים של הערכות פרטיות, מהערכות השפעה על הגנת נתונים ועד להערכות מוכנות לרגולציה או לציות.

יש לנו בנק סיכונים מובנה

יצרנו בנק סיכונים מובנה ועוד מגוון כלים מעשיים שיעזרו בכל חלק בתהליך הערכת הסיכונים וניהולם.

הזמינו הדגמה עוד היום וגלה כיצד אנו יכולים לעזור לארגון שלך להשיג את ISO 27701.