ISO 27701 סעיף 6.9.2: חיזוק אסטרטגיות הגנה מפני תוכנות זדוניות
אפילו בתוך הרשתות החזקות והאטומות ביותר, תקלות ופריצות יכולות לקרות וקורות.
ארגונים צריכים להניח שתרחישים קריטיים יתרחשו בכל זמן נתון, ולהגן על PII מפני חדירה לצד הבטחת המשכיות עסקית עם נהלי BUDR מגוונים ומובנים בבירור.
מה מכוסה בסעיף 27701 של ISO 6.9.2
ISO 27701 סעיף 6.9.2 מכיל שני סעיפי משנה המספקים הנחיות לגבי טכניקות נגד תוכנות זדוניות ופונקציות BUDR.
שני הסעיפים מקושרים מידע הכלול במסגרת ISO 27002, עם הנחיות המוצעות במסגרת PII והגנת הפרטיות:
- ISO 27701 6.9.2.1 בקרות נגד תוכנות זדוניות (References ISO 27002 control 8.7)
- ISO 27701 6.9.3.1 גיבוי מידע (References ISO 27002 control 8.13)
ISO 27701 6.9.3.1 כולל נקודות הנחיה שרלוונטיות למספר מאמרים הכלולים בחקיקה של GDPR בבריטניה - עם סיכום מסופק לנוחיותך - והדרכה נוספת מקיפה כיצד ארגונים צריכים לגשת הן לגיבוי והן לשחזור PII.
שים לב שהציטוטים של GDPR הם למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
ISO 27701 סעיף 6.9.2.1 - בקרות נגד תוכנות זדוניות
הפניות ISO 27002 בקרה 8.7
כדי להגן על PII ונכסים הקשורים לפרטיות, ארגונים צריכים לפרוס מגוון של טכניקות ופלטפורמות נגד תוכנות זדוניות, כולל:
- שמירה על רשימה של תוכנות ויישומים מוגבלים/אסורים (ראה ISO 27002 בקרות 8.19 ו-8.32).
- שימוש בסינון תוכן כדי לחסום גישה לאתרים חשודים.
- פריסת אמצעים של 'ניהול פגיעות טכנית' (ראה ISO 27002 בקרות 8.8 ו-8.19).
- ביקורת שוטפת על השימוש בתוכנה ובנתונים, על מנת לזהות יישומים ומערכות לא מורשים או חשודים.
- הגנה מפני הסיכונים הכרוכים בהשגת נתונים ו/או יישומים ממקורות חיצוניים וגורמי צד שלישי.
- ביצוע סריקות רגילות נגד תוכנות זדוניות, המכסות את כל הרשת, כולל דואר אלקטרוני, אתרי אינטרנט ומדיה נשלפת.
- התחשבות היכן ברשת יש לפרוס כלים נגד תוכנות זדוניות (למשל אבטחת שער וקידום 'הגנה לעומק'.
- ניטור תקריות והתערבויות קריטיות, כדי להבטיח שתוכנות זדוניות לא יוכנסו בטעות לרשת בזמנים שבהם כללי ICT סטנדרטיים מועקים.
- פועל בתהליכים המאפשרים התערבות קריטית כנגד חשד לפריצות, כגון השבתה זמנית של תהליכי מערכת קריטיים, לרבות הליך נימוק ובדיקה יסודי.
- תוכניות BUDR ורציפות עסקית איתנות, הכוללות השבתה ו/או בידוד של סביבות תפעוליות (ראה ISO 27002 בקרת 8.13).
- הדרכת מודעות לכל המשתמשים (ראה ISO 27002 בקרת 6.3).
- שמירה על נוכחות פעילה בקהילה נגד תוכנות זדוניות והתעדכנות במגמות אבטחת הסייבר האחרונות, כולל הגדרות וירוסים, וקטורי תקיפה ופעולות מתקנות.
- הבטחה שכל התקשורת הניתנת לפעולה לגבי תוכנות זדוניות ממקורות חיצוניים מאומתת באופן עצמאי ותצא ממקור אמין.
בקרות ISO 27002 רלוונטיות
- ISO 27002 6.3
- ISO 27002 8.8
- ISO 27002 8.13
- ISO 27002 8.19
- ISO 27002 8.32
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
ISO 27701 סעיף 6.9.3.1 - גיבוי מידע
הפניות ISO 27002 בקרה 8.13
ארגונים צריכים לנסח מדיניות ספציפית לנושא המתייחסת ישירות לאופן שבו הארגון מגבה את האזורים הרלוונטיים ברשת שלו על מנת להגן על PII ולשפר את החוסן מפני תקריות הקשורות לפרטיות.
יש לנסח נוהלי BUDR כדי להשיג את המטרה העיקרית להבטיח זאת את כל נתונים, תוכנות ומערכות קריטיות לעסקים ניתנים לשחזור לאחר מכן אובדן נתונים, הפרעה, הפרעה עסקית ו כשלים קריטיים.
בראש סדר העדיפויות, תוכניות BUDR צריכות:
- תיאור הליכי שחזור המכסים את כל המערכות והשירותים הקריטיים.
- להיות מסוגל לייצר עותקים מעשיים של כל מערכות, נתונים או יישומים שהם חלק מעבודת גיבוי.
- לשרת את הדרישות המסחריות והתפעוליות של הארגון (ראה ISO 27002 בקרת 5.30).
- אחסן גיבויים במיקום מוגן סביבתי הנפרד פיזית מנתוני המקור (ראה ISO 27002 בקרת 8.1).
- בדוק והעריך באופן קבוע עבודות גיבוי מול זמני השחזור המוגדרים בארגונים, על מנת להבטיח זמינות נתונים.
- הצפין את כל נתוני הגיבוי הקשורים ל-PII.
- בדוק שוב אם יש אובדן נתונים לפני ביצוע עבודת גיבוי.
- הקפידו על מערכת דיווח המתריעה לצוות על מצב עבודות הגיבוי.
- חפשו לשלב נתונים מפלטפורמות מבוססות ענן שאינן מנוהלות ישירות על ידי הארגון, בעבודות גיבוי פנימיות.
- אחסן גיבויים בהתאם למדיניות שמירה מתאימה של PII (ראה ISO 27002 בקרת 8.10).
הנחיה נוספת ספציפית ל-PII
ארגונים צריכים לפתח נהלים נפרדים העוסקים אך ורק ב-PII (אם כי כלולים במסגרת תוכנית ה-BUDR הראשית שלהם).
יש לקחת בחשבון הבדלים אזוריים בתקני PII BUDR (חוזי, משפטי ורגולטורי) בכל פעם שנוצרת עבודה חדשה, משרות מתוקנות או נתוני PII חדשים מתווספים לשגרת BUDR.
בכל פעם שעולה צורך לשחזר PII בעקבות תקרית BUDR, ארגונים צריכים לדאוג להחזיר את PII למצבו המקורי, ולבדוק את פעילויות השחזור כדי לפתור בעיות עם הנתונים החדשים.
ארגונים צריכים לנהל יומן של פעילות השחזור, כולל כל הצוות המעורב בשחזור, ותיאור של ה-PII ששוחזר.
ארגונים צריכים לבדוק עם כל סוכנויות מחוקקות או רגולטוריות ולוודא שהליכי שחזור ה-PII שלהם עולים בקנה אחד עם המצופה מהם כמעבד ובקר PII.
בקרות ISO 27002 רלוונטיות
- ISO 27002 5.30
- ISO 27002 8.1
- ISO 27002 8.10
מאמרי GDPR ישימים
- סעיף 5 – (1)(ו)
- סעיף 32 – (1)(ג)
בקרות תומכות מ-ISO 27002 ו-GDPR
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | דרישת ISO 27002 | מאמרי GDPR משויכים |
|---|---|---|---|
| 6.9.2.1 | בקרות נגד תוכנות זדוניות |
8.7 - הגנה מפני תוכנות זדוניות עבור ISO 27002 | ללא חתימה |
| 6.9.3.1 | גיבוי מידע |
8.13 - גיבוי מידע עבור ISO 27002 | מאמרים (5), (32) |
כיצד ISMS.online עוזר
על מנת להשיג את תקן ISO 27701 עליך לבנות מערכת ניהול מידע פרטיות. עם ה-PIMS המוגדר מראש שלנו, אתה יכול לארגן ולנהל במהירות ובקלות מידע על לקוחות, ספקים וצוות כדי לעמוד במלואו בתקן ISO 27701.
אתה יכול גם להכיל את המספר ההולך וגדל של תקנות פרטיות גלובליות, אזוריות וספציפיות למגזר שאנו תומכים בפלטפורמת ISMS.online.
כדי להשיג הסמכה ל-ISO 27701 (פרטיות) עליך להשיג תחילה הסמכה ל-ISO 27001 (אבטחת מידע). החדשות הטובות הן שהפלטפורמה שלנו יכולה לעזור לך לעשות את שניהם ללא מאמץ!
למידע נוסף על ידי הזמנת הדגמה.
קפוץ לנושא
