עבור לתוכן
ISMS.online

A.8.20 אבטחת רשתות – פילוח רשתות MSP ותקני חומת אש

לקוחות ארגוניים ומבקרים מצפים כיום מספקי שירותים מנוהלים להוכיח כיצד רשתות מחולקות, מנוטרות ומנוהלות. בקרת A.8.20 של ISO 27001 קובעת את הסטנדרט לבידוד דיירים, ניהול חומת אש וראיות אמינות. הצגת האופן המדויק של אבטחת כל "מישור" לא רק מפחיתה את הסיכון לאירועים אלא גם מעוררת אמון בקרב לקוחות וחברות ביטוח כאחד.

מְחַבֵּר
מארק שרון
עודכן בדצמבר 1, 2025
4/5 כוכבים

למה A.8.20 כל כך חשוב עבור ספקי שירותי ניהול רשת (MSPs)

נספח A.8.20 חשוב לספקי שירותי ניהול (MSP) משום שהוא מחליט האם הרשת שלכם יכולה לארח בבטחה לקוחות רבים מבלי שהפרצה אחת תתפשט לאחרות. לקוחות גדולים יותר, מבקרים וחברות ביטוח משתמשים בבקרה זו כדי לשפוט בידוד דיירים, הגנה על כלי ניהול וניהול חומת אש, דבר המשקף את האופן שבו בקרות הרשת של תקן ISO 27001:2022 נספח A מטופלות כראיות מרכזיות לכך שהרשתות מנוהלות בהתאם לסיכון. כאשר אתם יכולים להסביר זאת בבירור ולהראות ראיות אמינות, אתם מפחיתים את השפעת האירועים, מגבירים את אמון הקונים בארגונים ומחזקים את מעמדכם מול חברות הביטוח.

רשתות חזקות מגנות בשקט על כל לקוח שאתם משרתים, גם כשאף אחד לא מסתכל.

אם אתם מפעילים ספק שירותים מנוהלים, הרשת שלכם הפכה בשקט לחלק ממשטח התקיפה של כל לקוח. פלטפורמת ניהול אחת עם פילוח חלש או ליבה "שטוחה" יכולה להפוך דייר פרוץ אחד לעשרים דיירים פרוצים.

רוב הארגונים בסקר ISMS.online לשנת 2025 אומרים כי הושפעו מלפחות אירוע אבטחה אחד הקשור לצד שלישי או לספק בשנה האחרונה.

תקן ISO 27001:2022 נספח A.8.20, בקרת "אבטחת רשת", הוא המקום שבו מבקרים ולקוחות גדולים בוחנים כעת האם שכבת הרשת שלכם באמת נמצאת תחת שליטה. בפועל, כאשר ארגונים מקבלים הסמכה לפי תקן ISO 27001, בודקים מתמקדים באופן שגרתי בבקרות רשת אלו ובבקרות רשת קשורות כדי להבין כיצד מטופלים בידוד דיירים, ניהול וניטור חומת אש בסביבות מרובות דיירים. זהו גם המקום שבו חברות הביטוח והרגולטורים מצפות לקבל תשובות בנוגע לבידוד דיירים, ניהול וניטור חומת אש, במיוחד בסביבות מרובות דיירים.

עבור ספקי שירותי ניהול שירותים (MSPs), התייחסות ל-A.8.20 כסטנדרט עיצוב ותפעול – ולא רק שורה במדיניות – היא מה שמבדיל בין "אנחנו חושבים שאנחנו בטוחים" לבין "אנחנו יכולים להסביר ולהוכיח כיצד כל דייר מוגן".


מה ש-A.8.20 דורש בפועל (בשפה פשוטה)

סעיף A.8.20 מצפה ממך לתכנן ולהפעיל רשתות כך שהן יגנו באופן פעיל על מידע ולא רק יניחו תעבורה, ולתכנן, לפלח ולנהל אותן כך שהן יגנו כראוי על המידע הזורם דרכן. ניסוח ה-ISO הרשמי מוגן בזכויות יוצרים, אך פרשנות ציבורית על התקן - וההנחיות הנפוצות בנושא אבטחת רשתות וחומת אש - קובעות כי יש לאבטח, לנהל ולשלוט ברשתות והתקני רשת בהתאם לסיכון כך שהמידע הזורם דרכן יהיה מוגן כראוי.

בפועל, עבור MSP, פירוש הדבר שמצופה ממך:

  • תכננו ארכיטקטורות רשת המבוססות באופן מכוון על סיכון ורגישות למידע.
  • פלח רשתות כך שדיירים, מערכות פנימיות וממשקי ניהול יהיו מופרדים.
  • שלוט בגישה בין מקטעים באמצעות חומות אש, VPN, SD-WAN ורשימות בקרת גישה.
  • הפעל את הבקרות הללו במסגרת מדיניות, סטנדרטים ותהליכים ברורים.
  • ראיות לכך שהבקרות עובדות לאורך זמן, לא רק על הנייר.

סעיף A.8.20 אינו עומד בפני עצמו. הוא קשור קשר הדוק ל:

  • A.8.22 – הפרדת רשתות: (כיצד מופרדים מקטעים ואזורים).
  • A.8.31 – הפרדת פיתוח, בדיקה וייצור: (גבולות הסביבה).
  • A.8.15 / A.8.16 – רישום וניטור: (לראות מה קורה ברשת).
  • A.8.32 – ניהול שינויים: (שליטה בשינויים בחומות אש ובמכשירי רשת).

קשרים אלה משקפים את האופן שבו נספח א' מאחד בקרות רשת, רישום ושינויים קשורים בקטלוג אחד, ולכן טבעי שמבקרים ומיישמים יתייחסו אליהן כאל "תוכנית אבטחת רשת" משולבת אחת ולא כאל קבוצה של בקרות מבודדות. אם תעשו את אותו הדבר, תגלו שנספח א' הרבה יותר קל ליישם ולהסביר, ותעניקו ללקוחות ולמבקרים סיפור משכנע יותר.



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


מודל פשוט בן 3 מישורים לאבטחת רשת MSP

A.8.20 הופך להיות הרבה יותר קל לתכנון והסבר אם מחלקים את הנכס לשלושה מישורים לוגיים ומאובטחים כל אחד מהם בכוונה תחילה. דרך מועילה לחשוב על אבטחת רשת ב-MSP היא לפצל הכל לשלושה "מישורים" לוגיים - תאגידי, דייר וניהול - כך שתוכלו להראות כיצד התעבורה זורמת, היכן היא מוגבלת וכיצד מונעים פגיעה באזור אחד מלהפוך לאירוע מרובה דיירים.

במודל זה, מחלקים הכל לשלושה "מישורים" לוגיים:

  1. מערכות מידע פנימיות/ארגוניות.
  2. נתוני שוכר/לקוח.
  3. ניהול / שליטה מחוץ לפס.

לכל מטוס יש מטרות, סיכונים וקהל יעד שונים, אך יש לאבטח, לנהל ולשלוט בשלושתם בדרכים שניתן להוכיח.

מישור IT פנימי / תאגידי

המישור הארגוני חייב להגן על המידע שלכם ולהימנע מלהפוך לדלת אחורית לסביבות לקוחות, מכיוון שמערכות העסק שלכם נמצאות במישור זה: דוא"ל, שירותי קבצים, יישומי משאבי אנוש ופיננסים, מכשירי צוות, Wi-Fi ארגוני ושירותים דומים. אם תתייחסו למישור זה כאזור נפרד עם גבולות ברורים ונתיבים מבוקרים לכלי ניהול, תפחיתו את הסיכון שמכשירי צוות או רשתות משרדיות שנפגעו יוכלו לעבור בשקט לאזורי דיירים.

דוגמאות אופייניות במישור זה כוללות את הדוא"ל שלכם, כלי שיתוף פעולה, מערכות משאבי אנוש ופיננסים, Wi-Fi ארגוני ונקודות קצה של הצוות.

מטרות:

  • הגן על המידע העסקי שלך.
  • מניעת כניסת נקודות קצה שנפגעו ישירות לרשתות דיירים.
  • לספק נתיבים מאובטחים ומבוקרים לגישה של הצוות לכלי ניהול.

מישור נתוני דייר / לקוח

מישור הדיירים זקוק לבידוד חזק בין הלקוחות ולפילוח הגיוני בתוך כל לקוח. כאשר נותנים לכל דייר מרחב לוגי משלו ומגבילים את התנועה הפנימית בין אזורים, מצמצמים באופן דרסטי את רדיוס הפיצוץ של כל פשרה והופכים את קומת הדיירים מרובת הדיירים שלכם לאמינה הרבה יותר עבור קונים ארגוניים. הנחיות מהמגזר הציבורי והתעשייתי המכוונות לספקי שירותי ניהול (MSPs) מדגישות גם הן בידוד חזק של לקוחות ונתיבי ניהול מבוקרים היטב, כך שהתייחסות להפרדה חזקה כעמדת ברירת המחדל שלכם תואמת את הציפיות המקובלות.

כל הרשתות, האתרים ועומסי העבודה שאתה מנהל עבור לקוחות נמצאים כאן: רשתות LAN מקומיות, מרכזי נתונים, VPCs/VNETs בענן וסניפים.

מטרות:

  • בידוד חזק בין דייר לשוכר.
  • פילוח פנימי מתאים בתוך כל דייר (משתמש, שרת, DMZ, OT ואזורים דומים).
  • חיבורים מבוקרים חזרה למישור הניהול שלך, ובמידת הצורך, לדיירים אחרים.

ניהול / מישור מחוץ לפס

יש להתייחס למישור הניהול כנכס הרשת בעל הערך הגבוה ביותר שלכם ולקבל את הבידוד החזק ביותר שניתן לשמר באופן ריאלי. אם ממשקי ניהול נמצאים בנתיבים ייעודיים עם בקרות גישה הדוקות וניטור מלא, תצמצמו באופן דרמטי את הסיכוי שכלי אחד שנפגע יוכל לשנות בשקט סביבות לקוחות רבות בו זמנית.

זוהי "מערכת העצבים" ששולטת בכל: כלי ניטור וניהול מרחוק, היפר-ויזורים, בקרי אחסון, מתגים, חומות אש, גישה לקונסולות ומארחי קפיצה.

מטרות:

  • גישה מוגבלת ביותר (רק מנתיבי ניהול מוקשים).
  • אין חשיפה ברשתות ציבוריות.
  • רישום מלא, אימות חזק וניטור חזק.

A.8.20 מצפה ממך להראות שכל מישור הוא:

  • מְאוּבטָח: (מוקשה, מפולח, בעל פחות פריבילגיה).
  • מְנוֹהָל: (בבעלות, מתועדת, נשלטת).
  • מְבוּקָר: (שינויים מאושרים, פעילות נרשמה ונבדקה).

ברגע שיש לכם תמונה תלת-מישרית זו, כל החלטה עיצובית לגבי VLANs, VRFs, SD-WAN וחומות אש יכולה להיות מעוגנת ביעדים ברורים במקום בבחירות אד-הוק, ותוכלו להסביר את ההיגיון הזה ללקוחות, למבקרים ולחברות הביטוח.

בנקודה זו כדאי לשרטט דיאגרמת שלושה מישורים משלך ולסמן היכן הנתיבים או השירותים המשותפים הנוכחיים חוצים את הגבולות שברצונך לאכוף.



תכנון פילוח עבור סביבות מרובות דיירים

פילוח עבור ספקי ניהול מרובי דיירים עוסק בהחלטה היכן משרטטים גבולות וכיצד שולטים בנתיבים המעטים שחוצים אותם. כאשר מפרידים במכוון דיירים, סביבות ונתיבי ניהול - תוך שימוש במודל שלושת המישורים כמדריך - הפילוח הופך לעניין של החלטה כיצד מפלסים ומחברים כל מישור, כך שמקטינים את הסיכוי שטעות או פשרה בודדים יגלשו על פני לקוחות, ומקלים על ההסבר של קומת הרשת לקונים ולמבקרים ארגוניים.

כ-41% מהארגונים בסקר ISMS.online לשנת 2025 ציינו ניהול סיכוני צד שלישי ומעקב אחר תאימות ספקים כאתגר אבטחת מידע מרכזי.

תוך מחשבה על מודל שלושת המישורים, ניתן להחליט כיצד יש לפרוס ולחבר כל מישור.

בידוד שוכרים ופילוח לפי שוכר

בידוד לכל דייר הוא הבסיס שמונע מבעיה של לקוח אחד להפוך לאירוע של כולם. אם תיתן לכל דייר תחום ניתוב משלו וקישורים מבוקרים בקפידה לשירותים משותפים, תוכל להדגים שהתעבורה שלו נשארת בתוך הגבולות שהגדרת ויכולה להסתגל מבלי לפגוע בלקוחות אחרים, ועבור מישור הדייר בידוד חזק הוא באמת הציפייה המוגדרת כברירת מחדל.

עבור מישור הדייר, בידוד חזק הוא הציפייה המוגדרת כברירת מחדל:

  • השתמש ב-VLAN או VRF לכל דייר בליבת השרת שלך כדי לתת לכל לקוח תחום ניתוב לוגי.
  • בסביבות ענן, השתמשו ב-VPCs/VNETs נפרדים לכל לקוח או יישום עיקרי.
  • התייחסו לפלטפורמות אירוח משותפות כאזורים בסיכון גבוה עם בקרות כניסה ויציאה מחמירות מאוד.

העיקרון פשוט: תעבורה של דייר אחד לעולם לא צריכה להגיע למערכות של דייר אחר אלא אם כן תכננת ותיעדת חיבור ספציפי ומוצדק ויכולת להראות כיצד הוא נשלט.

הפרדת סביבה (ייצור / בדיקה / פיתוח)

הפרדת סביבות מונעת ממערכות בדיקה ופיתוח בעלות אבטחה נמוכה לערער מערכות ייצור בעלות אבטחה גבוהה. כאשר שומרים על ניסויים, מעבדות ופיילוטים במקטעים מופרדים בבירור עם קישורים מבוקרים בקפדנות לסביבות חיות, מפחיתים את הסיכון שקיצור דרך נוח יחשוף בטעות נתוני לקוחות אמיתיים.

A.8.20, יחד עם A.8.31, מצפה ממך למנוע ממערכות בדיקה ופיתוח לפגוע בייצור. שתי הבקרות, כפי שנקבעו בתקן ISO 27001:2022, מדגישות שסביבות בעלות רמת אבטחה נמוכה יותר לא צריכות ליצור נתיבים לא מנוהלים לתוך מערכות חיות:

  • תחזקו תת-רשתות או VLAN נפרדות לפיתוח, בדיקה וייצור בכל דייר או סביבה משותפת.
  • יש לוודא שהקישוריות, משלב הבדיקה והפיתוח ועד לייצור, מבוקרת ומוצדקת בקפדנות, ולא "פתוחה מטעמי נוחות".
  • חסום רשתות מעבדה גנריות וסביבות הוכחת היתכנות מלהגיע לנתוני לקוחות בזמן אמת.

הפרדת מישור ניהול

הפרדת מישור ניהול מבטיחה שממשקי ניהול אינם קיצורי דרך בין דיירים או לרשת הארגונית שלך. כאשר ממשקי ניהול יושבים על מקטעים ייעודיים עם גישה כפויה דרך נתיבים מוקשים, ניתן להראות ששינויים בחומות אש, בהיפר-ויזורים וברכיבים משותפים אחרים תמיד עוברים דרך שערים ידועים.

מישור הניהול שלך הוא היעד בעל הערך הגבוה ביותר בנכס שלך, ולכן הוא ראוי לדפוס פילוח משלו:

  • הצב ממשקי ניהול על רשתות ניהול ייעודיות.
  • הימנעו מחשיפת ממשקי ניהול ברשתות LAN של הלקוח או באינטרנט; השתמשו במארחי קפיצה, VPN או שירותי bastion.
  • השתמש ב-VRF או בתכונות מקבילות כדי לשמור על הפרדה לוגית של תעבורת הניהול ממישורי הדיירים והארגוניים.

מובלעות שירותים משותפים

מובלעות שירותים משותפים הן המקום בו מופיעים בשקט עיצובים "שטוחים" רבים, ולכן הם ראויים לתשומת לב מיוחדת. על ידי קיבוץ שירותים משותפים למקטעים ייעודיים והגבלת גישת הדיירים לפורטים ספציפיים ומוצדקים, נמנעים מהפיכת שירותים אלה לגשר נסתר בין לקוחות.

שירותים משותפים (כגון DNS, רישום, ניטור, מאגרי גיבוי ושרתי ניהול מרחוק) הם לעתים קרובות הגורמים לפיצוח תקלות. כדי לשמור עליהם תחת שליטה:

  • קבץ שירותים משותפים למובלעות עם מקטעי רשת וחומות אש משלהם.
  • אפשר לדיירים להגיע למובלעות אלה רק ביציאות ופרוטוקולים ספציפיים ונדרשים.
  • ודא שאין נתיב מרומז מדייר אחד, דרך שירות משותף, לדייר אחר.

נתיבי גישה מרחוק מאובטחים

נתיבי גישה מרחוק מאובטחים הם הנתיבים שבהם המהנדסים שלכם משתמשים בפועל מדי יום, ולכן הם חייבים לשקף את קומת הפילוח שלכם. אם תתאימו מארחי קפיצה, תחנות עבודה מועדפות ו-VPN עם מודל שלושת המישורים שלכם, יהיה הרבה יותר קל להצדיק גישה מרחוק ללקוחות ולענות על שאלות של חברות ביטוח בנוגע לגישה מועדפת.

האופן שבו המהנדסים שלכם נכנסים לסביבות לקוחות הוא דאגה מרכזית ב-A.8.20:

  • העדיפו מארחי מעוז או תחנות עבודה עם גישה מועדפת כאבני קפיצה לאזורי דיירים.
  • שלב גישה מרחוק עם זהות חזקה ורישום כל ההפעלות.
  • הימנעו מ-RDP או SSH ישירים ממחשבים ניידים כלליים של החברה לרשתות דיירים, והימנעו מעיצובים של "VPN להכל".

יחד, דפוסים אלה עונים על שאלות הליבה של נספח A.8.20:

  • איך מפרידים בין הדיירים?
  • כיצד מופרדות רשתות פנימיות, דיירים וניהול?
  • דרך אילו נתיבים מבוקרים הם מקיימים אינטראקציה?

כשאתם בוחנים את הפילוח הנוכחי שלכם, כדאי לפרט את המעברים בין מטוסים לדיירים, ולאחר מכן לבדוק האם כל מעבר באמת נדרש ומבוקר כראוי.



טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


קווי בסיס של חומת אש שהופכים את הפילוח למציאותי

חומות אש הן המקום שבו עיצובי הסגמנטציה שלכם הופכים להתנהגות נאכפת, ולכן A.8.20 דואגת לכללים שאתם מפעילים באותה מידה כמו לדיאגרמות שאתם מציירים. דיאגרמות רשת לבדן אינן יכולות להגן על לקוחות. האכיפה טמונה בחומות אש ובשערים, ו-A.8.20 מתעניינת באופן שבו אתם מגדירים, מנהלים ומנטרים את המכשירים הללו בכל המישורים כך שקווי בסיס ברורים, המיושמים באופן עקבי ומנוהלים בקפדנות מהאינטרנט המקומי ועד לענן ול-SD-WAN, ידגימו ש-default-deny ו-least-privileges הם עקרונות תפעול חיים ולא סיסמאות במסמך.

A.8.20 מתעניין באופן שבו אתם מגדירים, מנהלים ומנטרים התקני חומת אש ושערים בכל המישורים. קו בסיס עקבי, המוחל מהאינטרנט ועד לענן ול-SD-WAN, מקל הרבה יותר על ההסבר של עמדתכם למבקרים וללקוחות.

בסיס חומת אש מבוסס סיכון

קו בסיס מבוסס סיכון של חומת אש מספק למהנדסים שלכם דפוס התחלתי המשקף את רמת האבטחה שלכם, כך שהם לא ימציאו מחדש את המדיניות עבור כל אתר או דייר. כאשר קו בסיס זה מיושר בין האתר, הענן וה-SD-WAN, קל הרבה יותר להדגים למבקרים וללקוחות שסיכון, ולא נוחות, מניע את מערכי הכללים שלכם, ועבור MSP המותאם ל-A.8.20, קו בסיס הגיוני נראה כך.

עבור MSP המיושר ל-A.8.20, קו בסיס הגיוני נראה כך:

  • מניעת גישה (deviation) מוגדרת כברירת מחדל בכל הממשקים עם כללי "היתר" מפורשים רק עבור זרימות נדרשות.
  • כללי מינימום הרשאות עם מטרה ברורה, היקף מינימלי ויציאות מינימליות.
  • בקרת יציאה הדוקה כך שרשתות יגיעו רק למה שהן באמת צריכות.
  • גישת ניהול מוקשחת עם ממשקים ייעודיים, מקורות מבוקרים ואימות חזק.

קו בסיס זה צריך לחול על:

  • חומות אש היקפיות.
  • חומות אש פנימיות של פילוח בין VLANs ואזורים מרכזיים.
  • קבוצות אבטחה בענן, חומות אש של רשת וחומות אש של יישומים המשמשות כבקרות רשת.

כשאתם משווים את חומות האש הנוכחיות מול קו בסיס זה, ערכו רשימה פשוטה של ​​הפערים הגדולים ביותר כדי שתוכלו לתעדף את התיקון היכן שהוא הכי חשוב.

ניהול כללים ובקרת שינויים

ניהול כללים ובקרת שינויים קובעים האם מצב חומת האש שלך משתפר עם הזמן או נסחף לאט לכאוס. על ידי מתן הצדקות ברורות לבעלי הכללים וביקורות סדירות, אתה מוכיח שכללים רחבים ומסורתיים מודרים במקום לחזור ולהיכנס ללא תשומת לב.

A.8.20 עוסק במידה רבה באופן ניהול חומות אש, כמו גם במיקומו. שיטות עבודה מומלצות כוללות:

  • תקן אבטחת רשת או חומת אש מתועד הקובע תצורה בסיסית ומוסכמות כללים.
  • תהליך שינוי רשמי לשינויי כללים ותצורה עם הערכת סיכונים ואישור.
  • בדיקות או לפחות תוכניות גיבוי עבור שינויים לא טריוויאליים, המתועדות לצד פרטי היישום.

רישום, ניטור ו-IDS/IPS

רישום וניטור מראים שבקרות הרשת שלך פעילות ולא תמונות מצב סטטיות של תצורה. כאשר תוכל להדגים כיצד התראות חומת אש וחיישנים מוזנות לתהליכי התפעול שלך, אתה מבהיר שאתה מבחין בפעילות חשודה ופועל עליה בגבולות החשובים ביותר.

כדי להראות שחומות אש ופילוח "מנוהלים ומבוקרים":

  • רישום אירועים רלוונטיים לאבטחה כגון היתרי מפתח, דחיית מפתחות וכניסות מנהל מערכת.
  • שליחת יומני רישום לפלטפורמה מרכזית שם הם מאוגדים ונשמרים בהתאם למדיניות.
  • פרוס זיהוי חדירות או זיהוי איומים בגבולות חשובים, כגון קצוות אינטרנט ואזורי שירותים משותפים.
  • הגדירו כיצד התראות ממוינות, מטופלות ונסגרות, וכיצד ממצאים מניעים שיפורים.

זה מקשר את A.8.20 לבקרות הרישום והניטור (A.8.15, A.8.16) ועוזר להדגים שאבטחת הרשת שלך היא בקרה פעילה, לא סטטית. במערך הבקרה של נספח א', אזורים אלה מקובצים במכוון כך שהגנות הרשת והניטור נתפסים כחלקים מלולאת משוב רציפה אחת ולא כפעילויות מבודדות.



הוכחת תאימות: תיעוד וראיות שמבקרים מצפים להם

תאימות לתקן A.8.20 נשפטת בסופו של דבר על פי מידת הברירות שבה ניתן להראות כוונה, יישום ותפעול לאורך זמן. עבור נספח A.8.20, מבקרים ולקוחות גדולים יותר רוצים לראות גם כוונת עיצוב וגם ראיות לפעולה, לכן אם תרכיבו סט רב פעמי של מסמכים ורשומות המחברים את עיצוב הרשת, תקני חומת האש ופעילויות הניטור לבקרה זו, תקל על הביקורות ותעניקו ללקוחות יותר ביטחון ב-MSP שלכם.

דו"ח מצב אבטחת המידע לשנת 2025 מצביע על כך שלקוחות מצפים יותר ויותר מספקים להתאים את עצמם למסגרות פורמליות כגון ISO 27001, ISO 27701, GDPR, Cyber ​​Essentials, SOC 2 ותקני בינה מלאכותית מתפתחים.

עבור נספח A.8.20, מבקרים ולקוחות גדולים יותר רוצים לראות גם כוונת תכנון וגם ראיות לפעולה.

חפצים ברמת העיצוב

ארטיפקטים ברמת התכנון מסבירים מדוע הרשתות שלכם נראות כפי שהן נראות וכיצד הן אמורות להתנהג. כאשר מסמכים אלה מעודכנים ומופנים ישירות מבקרת A.8.20 שלכם, הם הופכים לדרך רבת עוצמה לעדכן מהנדסים, מבקרים ולקוחות מבלי להסתובב בכל מכשיר, ופריטים אופייניים שעוזרים לכם לספר סיפור אמין כוללים את הדברים הבאים.

פריטים אופייניים שעוזרים לך לספר סיפור אמין:

  • מדיניות אבטחת רשת הקובעת עקרונות כלליים לסגמנטציה וגישה מרחוק.
  • תקן לפילוח רשת וחומת אש שמתרגם עקרונות לדפוסים קונקרטיים.
  • דיאגרמות רשת המציגות תצוגות תלת-מישוריות ופריסות מייצגות של דיירים או אתרים.
  • ערך הצהרת תחולה עבור A.8.20 ובקרות קשורות המפנה למסמכים אלה.

יחד, ממצאים אלו מראים שתכנון אבטחת הרשת שלכם מכוון, מתועד ותואם לנספח A.8.20 ולא תוצאה מקרית של צמיחה.

ראיות ברמת המבצע

ראיות ברמת התפעול מדגימות האם הרשתות שלכם אכן פועלות כמתוכנן והאם אתם מתקנים סטיות כאשר הן מופיעות. כאן מבקרי מידע ולקוחות גדולים יותר מחפשים לאשר שהדיאגרמות והסטנדרטים שלכם עומדים בשינויים ולחצים בעולם האמיתי.

כדי להראות שהבקרות נמצאות בשימוש ומתוחזקות, כדאי שיהיו:

  • קווי בסיס של תצורה או ייצוא מחומות אש, נתבים, מתגים ובקרי SD-WAN מייצגים.
  • רישומי שינויים עבור שינויים בחומת אש וברשת הליבה, כולל אישורים והערות בדיקה.
  • סקירת רשומות לצורך סקירות תקופתיות של כללי חומת אש ובדיקות פילוח.
  • דוחות ניטור המציגים התראות, תגובות ולקחים שנלמדו מאירועים הקשורים לרשת.

מערכת ניהול אבטחת מידע (ISMS) הופכת את הניהול הזה להרבה יותר קל בפועל. אנשי מקצוע הדנים בתאימות מתמשכת מציינים לעתים קרובות כי ללא מערכת ניהול מובנית, שמירה על מדיניות, ראיות והחלטות סיכונים בהתאם לבקרות ספציפיות הופכת במהירות לבלתי ניתנת לניהול. על ידי אחסון מדיניות, דיאגרמות, קווי בסיס של חומת אש, רישומי שינויים ודוחות ניטור במקום אחד וקישורם ישירות ל-A.8.20 ולסיכונים רלוונטיים, פלטפורמה כמו ISMS.online יכולה לעזור לכם להרכיב חבילות ביקורת ולענות על שאלוני לקוחות במהירות מבלי לחפש בין קבצים מפוזרים.

ב-ISMS.online תוכלו, לדוגמה, לקשר את תקן חומת האש A.8.20 שלכם, דיאגרמות רשת ורשומות שינוי ישירות לערך הבקרה ולסיכונים הנלווים, כך שהמהנדסים, המבקרים וצוותי תיקי הלקוחות שלכם יוכלו לראות כיצד הראיות משתלבות יחד.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


חולשות נפוצות וכיצד לתקן אותן מבלי לפגוע בשירותים

רוב ספקי שירותי ניהול הרשת (MSP) מגלים חולשות דומות כאשר הם ממפים את עצמם לראשונה מול A.8.20, ורבות מהחולשות הללו נובעות משלבי צמיחה מוקדמים יותר ולא מכוונות רעות. מאמרים בתעשייה על פילוח רשתות והיגיינת חומת אש מדגישים באופן קבוע רשתות שטוחות, נתיבי ניהול משותפים וכללים רחבים כטעויות חוזרות, כך שלא סביר שתהיו לבד במה שתגלו. אם תיגשו לבעיות אלו באופן מבוסס סיכונים ובשלבים, תוכלו לחזק את יציבות הרשת שלכם מבלי ליצור הפסקות או להעמיס על הצוותים שלכם.

שני שלישים מהארגונים שהשתתפו בסקר ISMS.online לשנת 2025 אומרים כי המהירות והיקף השינויים הרגולטוריים מקשים על קיום תאימות.

רשויות מקומיות רבות חולקות בעיות דומות כשהן מעריכות את עצמן לראשונה מול A.8.20:

  • רשת פנימית שטוחה ברובה עם שימוש שטחי בלבד ב-VLAN.
  • ממשקי ניהול משותפים היושבים על רשתות ייצור או חשופים לאינטרנט.
  • כללי חומת אש רחבים של "כל סוג" שנותרו מפתרון בעיות קודמות או פריסות חפוזות.
  • מעבדות, בדיקות או רשתות מדור קודם שלא עוקבות אחריהן, ועוקפות את הסטנדרטים הנוכחיים.
  • רישום וניטור לא עקביים על פני חומות אש ואזורים מרכזיים.

חולשות אלו מגבירות את הסיכון שפשרה אחת תתפשט במהירות, ששינויים יעברו מעיניו ושלא תוכלו לענות בצורה משכנעת על שאלות הלקוחות בנוגע לבידוד וממשל.

השוואה קצרה של חולשות אופייניות, הסיכונים שלהן ותיקונים ראשוניים יכולה לעזור לכם לתעדף את העבודה.

חולשה נפוצה סיכון נלווה תיקון ראשון
רשת פנימית שטוחה תנועה רוחבית על פני מערכות רבות הכנסת VLANs ליבה ואזורים פשוטים
ממשקי ניהול חשופים השתלטות ישירה על כלי ניהול מעבר לרשתות ניהול ייעודיות
כללי חומת אש "כל-כל" גישה בלתי מבוקרת בין אזורי מפתח רישום שימוש, ולאחר מכן החלפה בכללים מצומצמים יותר
מעבדה לא עקבה או רשתות מדור קודם נתיבים נסתרים לתוך הייצור או דיירים לגלות, לתעד ולהתאים לתקנים
רישום וניטור לא סדירים התקפות או תצורות שגויות נעלמות מעיניים ריכוז רישום חומת אש מרכזית ו-VPN

אם תתקנו רק שני דברים ברבעון הזה, התחילו בפירוק רשתות פנימיות לאזורים והעברת ממשקי ניהול חשופים לנתיבים ייעודיים ומבוקרים היטב.

אינכם צריכים לתקן את כל זה בן לילה, ועליכם להימנע משינויים שעלולים להוביל להפסקות נרחבות. גישה פרגמטית היא לעבוד בשלבים ולשמור על כל שינוי הפיך.

שלב 1 – סדרי עדיפויות לפי סיכון

תנו עדיפות לשוכרים, פלטפורמות משותפות ושערים שבהם פשרה תגרום לנזק הגדול ביותר ללקוחות ולעסק שלכם.

התחילו עם שוכרים במגזרים מוסדרים או בעלי רגישות גבוהה, פלטפורמות ניהול משותפות ושערים הפונים לאינטרנט, שבהם כשל יפגע ביותר.

שלב 2 - ייצוב לפני חלוקה לפלחים

ייצבו את הרשתות הנוכחיות שלכם על ידי הבטחת מידע תצורה אמין, ניטור בסיסי על מכשירים מרכזיים ותוכניות גיבוי מוכחות.

ודאו שיש לכם מידע אמין על נכסים ותצורה, ניטור בסיסי על מכשירים מרכזיים ותוכניות גיבוי שנבדקו עבור שינויים משמעותיים.

שלב 3 – הכנסת פילוח בשכבות

הציגו פילוח בשכבות ניתנות לניהול, החל מרשתות ניהול ולאחר מכן הפרדת אזורי משתמש ושרת עבור קבוצה קטנה של דיירים.

צור תחילה רשתות VLAN או VRF לניהול, לאחר מכן הפרד רשתות משתמשים ושרתים בדיירים פיילוט, ולבסוף שפר את מובלעות השירותים המשותפים ואת כללי היציאה.

שלב 4 – שימוש בפיילוטים ובדפוסים סטנדרטיים

השתמשו בפיילוטים ובדפוסים מוסכמים כדי שצוותי ה-NOC וצוותי הפרויקט יוכלו לבדוק עיצובים חדשים עם קבוצה קטנה של דיירים לפני פריסה רחבה יותר.

בדקו דפוסים עם קבוצה קטנה של דיירים לפני פריסתם באופן נרחב, והתאימו עיצובים על סמך משוב תפעולי אמיתי ממהנדסים ולקוחות.

שלב 5 – התמודדות עם כללים "כל-כל" לאורך זמן

צמצמו בהדרגה את הכללים של "כל-כל" על ידי רישום אופן השימוש בהם, החלפתם בהיתרים ספציפיים ולאחר מכן הסרת הכללים הרחבים ברגע שאתם בטוחים.

רשום כיצד נעשה שימוש בכללים רחבים, החלף אותם בהיתרים ספציפיים ודחיות מנוטרות, ובדוק את התוצאות לפני הסרת היתרים זמניים.

עם כל שיפור, עדכנו את הדיאגרמות, הסטנדרטים והראיות שלכם. A.8.20 עוסק בניהול שוטף, לא בעיצוב מחדש חד פעמי, והתייחסות לתיקונים כתוכנית הדרגתית מקלה על שמירת איכות השירות תוך כדי הקשחת הנכס.



הזמן הדגמה עם ISMS.online עוד היום

ISMS.online יכול לעזור לכם להפוך את A.8.20 מכאב ראש טכני לחלק מובנה ומגובה ראיות בתוכנית ISO 27001 שלכם, שכולם יוכלו להבין את המהנדסים, המבקרים והלקוחות שלכם. על ידי איחוד מדיניות הרשת, הסטנדרטים, הדיאגרמות, תצורות חומת האש ורישומי השינויים בסביבת עבודה אחת, ועל ידי התייחסות ל-A.8.20 כתוכנית חוזרת ולא כפרויקט חד פעמי, תוכלו לעקוב אחר מפת דרכים פשוטה שעוברת מהבנה לדפוסים לתפעול ולראיות, כך שהרשתות שלכם יהפכו לבטוחות יותר, הביקורות שלכם חלקות יותר ושיחות המכירות הארגוניות שלכם יהיו בטוחות יותר; ניתן לסכם את הבאת נספח A.8.20 לחיים ב-MSP מרובה דיירים כמסע פשוט, אם כי רב-שלבי, שהמנהיגים הטכניים והמהנדסים שלכם יכולים לעקוב אחריו יחד.

למרות הלחץ הגובר, כמעט כל המשיבים בדוח "מצב אבטחת המידע 2025" מציינים השגה או שמירה על אישורי אבטחה כגון ISO 27001 או SOC 2 כעדיפות עליונה.

שלב 1 - לראות את המציאות

ראה את המציאות של הרשתות הנוכחיות שלך על ידי מיפוי היכן דיירים, מערכות פנימיות ומישורי ניהול חופפים וכיצד התעבורה זורמת ביניהם.

מפו את הרשתות הקיימות שלכם, זהו היכן חופפים דיירים, מישורים פנימיים ומנהליים, וכמתו סיכוני אבטחה ועסקיים כאחד.

שלב 2 - הגדירו מה נראה "טוב"

הגדירו מהי רמת ה"טוב" על ידי תרגום A.8.20 ובקרות קשורות לתוצאות ספציפיות ל-MSP ותיעוד מודל שלושת המישורים וקווי הבסיס של חומת האש.

פרשנו את A.8.20 ואת הבקרות הקשורות לתוצאות ספציפיות ל-MSP, אימצו את מודל שלושת המישורים ורשמו את קווי הבסיס של הפילוח וחומת האש.

שלב 3 – עיצוב תבניות חוזרות

תכננו תבניות חוזרות כך שה-NOC, צוותי הפרויקט והאדריכלים שלכם יוכלו ליישם את אותם עיצובים מוכחים על פני לקוחות ופלטפורמות רבות.

צור ארכיטקטורות ייחוס עבור פילוח לפי דייר, שירותים משותפים וגישת מנהל, סטנדרטיזציה של כללי חומת אש והחלט כיצד סביבות ענן וסביבות מקומיות מתאימות לאותם דפוסים.

שלב 4 – יישום ותפעול

יישמו והפעילו את הדפוסים שלכם בשלבים, החל מהאזורים בעלי הסיכון הגבוה ביותר, תוך הקפדה על ניטור וסקירות שישמרו על כנות התכנון לאורך זמן.

פריסת קווי בסיס של פילוח וחומת אש בשלבים המבוססים על סיכון, ריכוז רישום וניטור בגבולות מרכזיים והפעלת ביקורות שוטפות כדי לשפר את העיצוב.

שלב 5 – הצגת ראיות ושיפור

הוכחו ושפרו על ידי הרכבת מערך ראיות A.8.20 רב פעמי וסקירתו בכל פעם שהעסק, מחסנית הטכנולוגיה או סביבת הרגולציה שלכם משתנים.

הרכב מערך ראיות רב פעמי לפי A.8.20, קשר אותו לסיכונים ולהצהרת הישימות, ובקר מחדש את התכנון לאחר שינויים עסקיים, טכנולוגיים או רגולטוריים משמעותיים.

אם תתמכו במסע הזה עם מערכת ניהול מידע (ISMS) מובנית, תקל הרבה יותר על שמירת הארכיטקטורה, התפעול והתיעוד מסונכרנים. פלטפורמת ISMS כמו ISMS.online יכולה לעזור לכם לקשר את מדיניות A.8.20, תקני הרשת, הדיאגרמות, רישומי השינויים וראיות הניטור ישירות לבקרה, כך שתוכלו להדגים אבטחה בדרכים שישביעו את רצון הלקוחות, המבקרים והרגולטורים.

עבור צוותי ה-NOC והפרויקטים שלכם, המשמעות היא פחות זמן בחיפוש אחר מסמכים, דפוסים ברורים יותר ליישום ופחות הפתעות בביקורות ובביקורות לקוחות.

עם הזמן, שילוב זה של עיצוב ברור, תפעול ממושמע וראיות מאורגנות היטב יכול לסייע בהפיכת A.8.20 מתיבת סימון לנקודת חוזק מסחרית, ולתמוך בפחות אירועים בין דיירים, מכירות ארגוניות חלקות יותר וסיקור משכנע יותר עבור מבטחים ושותפים התלויים ברשת שלכם כדי להגן על העסק שלהם.

אם אתם רוצים לראות איך זה נראה בפועל, תוכלו להזמין הדגמה עם ISMS.online ולחקור כיצד ניתן לתכנן, להפעיל ולהוכיח את קומת אבטחת הרשת A.8.20 שלכם במקום אחד.

הזמן הדגמה


שאלות נפוצות

כיצד יש להתייחס לתקן ISO 27001 A.8.20 בעת תכנון או סקירה של רשת MSP?

עליך להתייחס ל-A.8.20 כסטנדרט עיצוב ותפעול עבור כל רשת ה-MSP שלך, ולא רק כ"תיבת סימון של חומת אש". הוא מצפה ממך להראות שהפילוח הוא מכוון, שהגבולות נשלטים, ושהתפעול היומיומי מגן באופן עקבי על מידע הלקוחות והארגון.

איך נראה "טוב" עבור A.8.20 בסביבת שירות מנוהל?

דרך מעשית לחשוב על A.8.20 היא שהוא בודק ארבעה דברים:

  • יש לך אזורי רשת מוגדרים בבירור עם מטרה (תאגיד, שוכר, הנהלה, שירותים משותפים).
  • אזורים אלה מופרדים על ידי גבולות נאכפים (חומות אש, רשימות בקרת גישה, ניתוב, בקרות מודעות לזהות).
  • אתה להפעיל, לנטר ולבקר את הגבולות האלה בלוח זמנים, המקושרים לסיכון.
  • אתה יכול להסביר ולהוכיח את כל האמור לעיל לרואה חשבון או ללקוח ארגוני תוך דקות, לא שבועות.

מבחן לקמוס פשוט הוא זה: אם מישהו חדש מצטרף לארגון שלכם מחר, האם תוכלו לתת לו תרשים אחד או שניים, תקן אבטחת רשת קצר וכמה דוגמאות (כרטיסי שינוי, ביקורות, התראות) שיאפשרו לו להבין כיצד התעבורה אמורה לזרום? אם התשובה היא כן, אתם כבר קרובים למה ש-A.8.20 מצפה; אם התשובה היא "זה בראש של אנשים", A.8.20 הוא ההנחיה שלכם ללכוד את הידע הזה ולהריץ אותו דרך מערכת ניהול אבטחת המידע (ISMS) שלכם.

כיצד A.8.20 מתקשר עם סעיפים אחרים של ISO 27001 ובקרות נספח A?

A.8.20 הוא חלק מרשת של דרישות שכולן מחזקות זו את זו:

  • סעיף 4.3 (היקף): מגדיר אילו מקטעי רשת, פלטפורמות ודיירים נכללים במערכת ה-ISMS שלך.
  • סעיף 6.1 (הערכת סיכונים וטיפול בהם): מסביר מדוע בחרת בדפוסי פילוח, טכנולוגיות או מבני ענן מסוימים.
  • נספחים A.8.21 ו-A.8.22: להתמודד עם האופן שבו שירותי רשת והפרדה גזעית מנוהלים בפעילות היומיומית.
  • נספח A.5.23 (שירותי ענן): מכסה כיצד מבני ענן ציבורי (VPCs, VNets, peering) מתיישבים עם מודל הסגמנטציה שלך.
  • נספחים A.5.24–A.5.27 (ניהול אירועים): הופכים רלוונטיים כאשר חולשה ברשת מובילה לאירוע או תקרית.

כאשר הצהרת הישימות, מדיניות הרשת, רישומי הסיכונים והדיאגרמות שלך מספרים את אותה ההיסטוריה, A.8.20 מפסיק להיות "בקרת חומת האש" והופך לשכבת הרשת הגלויה של מערכת ה-ISMS הרחבה יותר שלך. שימוש בפלטפורמה כמו ISMS.online מקל על כך מכיוון שניתן לקשר את המדיניות, הסיכונים, הדיאגרמות, התצורות והסקירות שלך בחזרה לבקרה במקום אחד.

כיצד יכול MSP לתכנן רשת תלת-מישרית שתעמוד בדרישות A.8.20 ועדיין תפעל תחת לחץ?

תכנון רשת תלת-מישורית שמהנדסים יכולים לחיות איתה פירושו בידוד סביבות תאגידיות, דיירים וניהול תוך שמירה על זרימות עבודה פרקטיות. A.8.20 אינו מחייב טכנולוגיות ספציפיות; הוא מבקש ממך להראות שמישורים אלה מופרדים בכוונה ומחוברים רק כאשר העסק יכול להצדיק זאת.

מהם המרכיבים החיוניים של תכנון MSP תלת-מישורי?

עיצוב תלת-מישורי חזק כולל בדרך כלל:

  • מטוס תאגידי: – שירותי זהות, דוא"ל, מערכות משאבי אנוש ופיננסים, כלי שיתוף פעולה ויישומי קו עסקי משלכם.
  • מישור הדיירים: – רשתות ועומסי עבודה לפי לקוח, מחולקים לפי VLANs, VRFs, VPCs/VNets או מבנים דומים, עם גבולות אמון ברורים בין דיירים.
  • מישור ניהול: – כלי ניטור וניהול מרחוק, קונסולות היפר-ויזור, ממשקי ניהול התקני רשת, פלטפורמות גיבוי ותצפית.

הנקודה המכרעת עבור A.8.20 היא שתעבורה בין מישורים אלה נאלצת דרך שערים מוגדרים היטב שבהם ניתן לאכוף כללי מינימום הרשאות ולתעד פעילות. לדוגמה, מהנדסים עשויים להתחבר מנקודות קצה קשות, ל-VPN תפעולי מאובטח, ואז דרך שרת קפיצה למישור הניהול, במקום לגשת למכשירים ישירות מרשתות LAN של המשרד או מהאינטרנט. כאשר כל דייר חדש משתמש בדפוס חוזר וכל מהנדס עוקב אחר אותה כניסה, הארכיטקטורה הופכת לקלה יותר לאבטחה, הסברה וביקורת.

איך אפשר למנוע מהפילוח להפוך למבוך בלתי שמיש עבור המהנדסים שלכם?

פילוח נכשל כשהוא כל כך מסובך שאנשים מרגישים נאלצים לעקוף אותו. כדי לשמור על יעילותו:

  • הגדירו קבוצה קטנה של תוכניות סטנדרטיות של דיירים עם דיאגרמות ומטריצות פורט שפורסמו, ולאחר מכן לעשות בהן שימוש חוזר.
  • צור אזורי שירות משותפים לדברים כמו ניטור, גיבוי, אימות ורישום, עם כללים ברורים לגבי מי יכול לדבר איתם.
  • לספק מספר מוגבל של "רמפות כניסה למנהלים" (לדוגמה, שתי נקודות גישה אזוריות מאובטחות) במקום נתיבים מותאמים אישית לכל מהנדס.
  • אוטומציה של משימות שגרתיות כגון פריסת פרופיל VPN, גישה למארח קפיצה והקלטת סשן מועדפת כך שהנתיב המאובטח יהיה גם הקל ביותר.

תיעוד דפוסים אלה בתוך מערכת ה-ISMS שלכם, וקישורם לנספח A.8.20, מעניק לצוותים מקור מוסמך. ב-ISMS.online תוכלו לצרף את הדיאגרמות, הסטנדרטים ונהלי הגישה לבקרה ולשמור על יישורם עם ניהול השינויים, כך שמהנדסים יראו תמונה קוהרנטית אחת ולא מטרה נעה.

אילו תקני חומת אש וניתוב חשובים ביותר עבור A.8.20 ב-MSP מרובה דיירים?

עבור A.8.20, תקני חומת האש והניתוב שלכם הם הביטוי הקונקרטי של "הפרדת רשת". הבקרה פחות מתעניינת בשמות מותג ויותר מתעניינת בשאלה האם אתם מיישמים קו בסיס עקבי בכל מקום ויכולים להוכיח שהוא אכן פועל.

מה צריך להיות בחומת אש ובקו בסיס ניתוב המותאמים ל-A.8.20?

קו בסיס יעיל עבור ספק שירותים מכסה בדרך כלל:

  • A תנוחת ברירת מחדל של דחייה, כאשר רק זרימות מותרות במפורש וכל כלל קשור לצורך מתועד.
  • שליטה מצפון לדרום: (תעבורה באינטרנט ותעבורה בין אתרים): שימוש בבדיקה מבוססת מצב, אבטחת DNS, בקרות DDoS, חסימה מבוססת מוניטין או גיאוגרפיה, במידת הצורך.
  • הפרדה בין מזרח למערב: (בתוך ובין דיירים, חברה והנהלה): הגבלות על תנועה רוחבית, הפרדת רשתות משתמשים ושרתים ובידוד קפדני של מערכות מועדפות.
  • בקרות גישה מנהליות: מהיכן, כיצד ועל ידי מי ניתן להגיע לממשקי ניהול, כולל אימות רב-גורמי ודרישות היגיינת מכשירים.
  • רישום ופיקוח: מקורות יומן מינימליים ושמירה, קורלציה לפלטפורמות SIEM או יומן, ספים להתראות וקצב סקירה מוגדר.

אותם רעיונות חלים בענן כמו גם בסביבה מקומית: קבוצות אבטחת רשת או חומות אש בענן צריכות לפעול לפי אותם עקרונות כמו מכשירים פיזיים. לכידת קו בסיס זה כסטנדרט רשמי במערכת ה-ISMS שלכם ומיפויו לנספח A.8.20 נותנת לכם משהו קונקרטי להצביע עליו כאשר מבקרים או לקוחות שואלים כיצד אתם מנהלים את בקרות הרשת בפלטפורמות שונות.

כיצד אתם שומרים על מדיניות חומת אש וניתוב תחת שליטה ככל שאתם גדלים?

ללא משמעת, מערכות כללים יגדלו עד לנקודה שבה אף אחד לא יוכל לשנות אותן בבטחה. כדי לשמור על שליטה:

  • דרוש שלכל כלל יהיה בעלים, הצדקה עסקית וכן סקירה או תאריך תפוגה.
  • השתמש אובייקטים, קבוצות ותבניות עבור דפוסים חוזרים (לדוגמה, קבוצה סטנדרטית של פורטים לשירות גיבוי משותף) במקום ליצור רשומות חד פעמיות לכל דייר.
  • לוח זמנים ביקורות קבועות שמדגישות דפוסים מסוכנים כגון טווחי מקור/יעד רחבים, כללים any-any או ערכים שלא היו בשימוש זמן רב, וקושרות את הסקירות הללו לפעולות ב-ISMS שלכם.
  • שיהיה קל לראות אילו כללים קשורים לאילו סיכונים ושירותים כך שאנשים יוכלו לשנות אותם בביטחון כאשר דרישות העסק מתפתחות.

על ידי אחסון תקנים, רישומי שינויים ותפוקות סקירה בפלטפורמת ISMS אחת כמו ISMS.online, ניתן לעקוב אחר קו מהערכת סיכונים ועד לתצורה וחזרה. מעקביות זו היא לעתים קרובות מה שמבטיחה למבקרים שהבקרות A.8.20 שלכם לא רק מכוונות היטב, אלא גם מתוחזקות בפועל.

אילו ראיות צריך MSP כדי לשכנע את רואי החשבון והלקוחות לגבי A.8.20?

עבור A.8.20, ראיות חזקות הן בערך מראה את כוונתך ואת הפרקטיקה שלך באופן קומפקטי אך משכנע. רוב המבקרים וצוותי אבטחת המידע הארגוניים רוצים להבין את המודל שלכם במהירות, ואז להתעמק בדוגמאות ספציפיות.

אילו ארטיפקטים נותנים את התמונה הברורה ביותר של הפרדת הרשת שלכם?

ערכות ראיות שמתקבלות בהצלחה בקרב רואי חשבון ולקוחות כוללות בדרך כלל:

  • A מדיניות אבטחת הרשת שקובע ציפיות לפילוח, ניהול חומת אש וגישת מנהל בכל רחבי הנכס.
  • A פילוח ותקן חומת אש שמתאר את המישורים, האזורים וסוגי הבקרות בכל גבול.
  • מספר קטן של דיאגרמות ליבה – לדוגמה, תצוגת ארכיטקטורה אחת ברמה גבוהה ופריסת דיירים מייצגת אחת, עם גבולות אמון וזרימות תעבורה מסומנות.
  • An מלאי של רכיבי רשת מרכזיים, כולל חומות אש בקצה, מתגי ליבה, שערי VPN, בקרות אבטחה בענן ותשתיות גישה מרחוק.
  • רישומי שינויים אחרונים: עבור עדכוני כללים מהותיים או שינויי טופולוגיה, הצגת אישורים וקישורים להחלטות סיכון או התחייבויות לקוחות.
  • אחד או יותר סקירת רשומות היכן שהערכת יומני רישום או מערכי כללים, מצאת בעיות, נקטת פעולה ותעדת את התוצאה.

אם אתם משתמשים ב-ISMS.online, ניתן לקשר כל אחד מהפריטים הללו ישירות לנספח A.8.20 ולבקרות קשורות, כך שכאשר מישהו מבקש הסבר תוכלו לייצא או לשתף חבילה מאוגדת במקום להתחיל מדף ריק. זה חוסך זמן וגם מפחית את הסיכון לתשובות לא עקביות בשאלונים ובביקורות שונים.

כיצד ניתן להפוך ראיות A.8.20 לשימוש חוזר במקום לבנות אותן מחדש כל שנה?

הדרך הקלה ביותר להפוך ראיות לשימוש חוזר היא להתייחס אליהן כאל... ספרייה עם בקרת גרסאות:

  • שמרו מסמכים מרכזיים (מדיניות, תקנים, דיאגרמות ייחוס) כפריטים מבוקרים ב-ISMS שלכם, עם בעלים ברורים ותאריכי סקירה.
  • תייג ארטיפקטים טכניים (תמצית תצורה, צילומי מסך של חומת אש, היסטוריית כרטיסים) מול הפקדים שהם תומכים בהם, כך שתוכל למשוך אותם לחבילות שונות ללא כפילויות.
  • הגדירו מספר קטן של חבילות ראיות סטנדרטיות – לדוגמה, "חבילת רשת ISO 27001", "חבילת בדיקת נאותות ארגונית" – ולשפר אותן לאחר כל ביקורת או הערכה גדולה.

עבודה כזו פירושה שכל ביקורת מעקב או שאלון לקוחות גדול הופכים להזדמנות לשיפור הספרייה, ולא לתרגיל בהמצאתה מחדש. ISMS.online בנוי סביב רעיון זה, ומאפשר לך לצרף ארטיפקטים מעודכנים לאותה בקרה ולשמור על קומת A.8.20 שלך מעודכנת מבלי לאבד את ההקשר הקודם.

אילו חולשות חוזרות ונשנות מתמודדות ספקי שירותי ניהול (MSPs) במסגרת A.8.20, וכיצד הן יכולות להפחית את הסיכון מבלי לגרום להפסקות הפעלה?

רוב ספקי שירותי ניהול (MSP) מגלים ש-A.8.20 חושף דפוסי חולשה דומים: רשתות פנימיות שגדלו באופן אורגני, נתיבי ניהול משותפים החוצים את כל דיירי המערכת, כללים מתירים שנוספו "רק לבדיקה", סביבות מעבדה עם שליטה קלה וניטור לא עקבי של התקני ליבה. בעיות אלו נוטות להצטבר בשקט עד שסקירת אבטחה או אירוע אבטחה הופכים אותן לנראות לעין.

כיצד ניתן להפחית את הסיכון של A.8.20 באופן שצוותי תפעול יוכלו לקבל?

תוכנית שיפור פרגמטית מכבדת את העובדה שאתם מפעילים שירות חי:

  • התחל עם נראות: ודא שיש לך דיאגרמות עדכניות, רשימת מלאי מדויקת של מכשירים וגיבויים של תצורות תקינות לפני שאתה נוגע במשהו.
  • דירוג נקודות תורפה לפי השפעה וחשיפה: לתעדף נקודות גישה לאינטרנט, פלטפורמות משותפות ושוכרים בעלי ערך גבוה.
  • ייצוב גישת מנהל: להעביר ממשקי ניהול מאחורי נקודות גישה מבוקרות, לחזק את האימות ולהפחית את מספר הנתיבים שבהם מהנדסים יכולים להשתמש.
  • להחמיר את הכללים המתירים בהדרגה: הוסיפו רישום, התבוננו בשימוש אמיתי, הסכימו על כללים מצומצמים יותר עם בעלי השירות ורק אז הסירו את הערכים הרחבים.
  • טיפול במעבדות ובמורשת: או להביא אותם תחת אותם סטנדרטים או לבודד אותם כאזורים לא מהימנים עם קישוריות מוגבלת ומתועדת היטב.

יש לתעד כל שינוי כטיפול בסיכון וכשינוי רשמי במערכת ה-ISMS שלכם, עם תקנים ודיאגרמות מעודכנים מצורפים. ניהול זה ב-ISMS.online מאפשר לכם להציג את הסיפור כולו - בעיה, החלטה, שינוי וראיות - כאשר מישהו שואל מה עשיתם כדי לחזק את נספח A.8.20 במהלך השנה האחרונה.

כיצד ניתן להפוך את שיפורי A.8.20 למסר חיובי עבור הלקוחות?

במקום לחכות שהלקוחות יגלו חולשות במהלך בדיקת הנאותות, תוכלו למקם את עבודת A.8.20 שלכם כחלק משלב שיפור מתמיד. הסבר, בשפה ידידותית ללקוח, שזיהיתם סיכונים מסוימים, יישמתם בקרות חדשות ואימתתם את התוצאות מאותת על בגרות ושקיפות. שיתוף פריטים נבחרים - כגון דיאגרמות מעודכנות, נהלי גישה חדשים למנהל או סיכומים של סקירות כללים - באמצעות פורטל מבוקר מרגיע את הקונים שאתם לא רק עומדים בדרישות כיום, אלא גם משקיעים באופן פעיל בהפרדה ובניהול רשת טובים יותר.

כיצד יכול MSP לתכנן ולבצע הגירה בטוחה מרשת שטוחה לארכיטקטורה המותאמת ל-A.8.20?

מעבר מוצלח מרשת שטוחה או מפולחת באופן רופף לארכיטקטורה מיושרת ל-A.8.20 עוסק יותר ב... רצף וממשל מאשר חומרה חדשה ומבריקה. התוכניות העמידות ביותר מעדיפות צעדים קטנים ומובנים היטב עם תוצאות ברורות, על פני עיצובים מחדש שאפתניים שמנסים לשנות הכל בבת אחת.

איזו גישה מדורגת עובדת הכי טוב עבור רוב ספקי שירותי ניהול הרשת (MSP)?

רצף הגיוני נראה לעתים קרובות כך:

  1. תיעוד וייצוב ההווה: לאשר גיבויי תצורה, לוודא ניטור קיים במכשירים מרכזיים ולאמת תוכניות חזרה למצב קודם.
  2. צור או הקשח את מישור הניהול: להציג רשתות ייעודיות או VRFs לתעבורת ניהול, ולצמצם את נקודות הכניסה של המנהלים לקבוצה קטנה ומבוקר.
  3. דיירים בעלי עדיפות ושירותים משותפים בפלח: לבחור תת-קבוצה ניתנת לניהול של לקוחות קריטיים ופלטפורמות משותפות, ליישם את מודל שלושת המישורים, ולשפר את קווי הבסיס של חומת האש ואת מובלעות השירות סביבם.
  4. הרחב את התבנית על פני האחוזה: פריסת העיצוב המוכח בהדרגה לבסיס הדיירים הרחב יותר ולמערכות פנימיות, תוך איחוד כללים והוצאת קישוריות מיושנת משימוש תוך כדי.
  5. שלבו הכל במערכת ה-ISMS שלכם: לעדכן סטנדרטים, דיאגרמות, ערכי סיכונים וראיות ככל שכל גל נוחת, כך שנספח A.8.20 ישקף את הרשת האמיתית, ולא רק מצגת שקופיות.

ניהול התוכנית בדרך זו מאפשר לצוותים שלכם ללמוד מכל גל, לעדכן את ספרי ההליכים ולקצר את הזמן בין התכנון לערך. זה גם נותן לכם יותר הזדמנויות לאמת שהבקרות החדשות פועלות כהלכה לפני שדיירים גדולים יותר מועברים.

כיצד פלטפורמת ISMS שומרת על עלייה רב שנתית ב-A.8.20 במסלול הנכון?

במשך מספר שנים, אנשים ופלטפורמות משתנים; מערכת ה-ISMS שלכם היא זו ששומרת על קוהרנטיות בין הכוונה לראיות. בעזרת פלטפורמה כמו ISMS.online תוכלו:

  • לשמור על תקן ארכיטקטורת היעד ותוכניות קשורות כמסמכים מבוקרים.
  • קשר כל שינוי, פרויקט או גל הגירה ישירות ל נספח A.8.20 ובקרות קשורות, עם התייחסויות לסיכונים המטופלים.
  • לצרף עדות – כגון תמונות מצב של תצורה, רישומי בדיקות, תוצרי סקירה ולקחים שנלמדו מאירועים – לבקרות ולסיכונים הרלוונטיים.
  • ליצור דוחות עקביים וחבילות ראיות עבור רואי חשבון, לקוחות וממשל פנימי, תוך שימוש באותם נתונים בסיסיים.

כאשר אתם מטפלים ב-A.8.20 בדרך זו, אתם לא רק עומדים בדרישת בקרה; אתם בונים דרך נראית וחוזרת על עצמה להפעלת אבטחת רשת כחלק ממערכת ניהול אבטחת המידע שלכם. זה שולח איתות חזק ללקוחות ולבעלי עניין ש-MSP שלכם לוקח ברצינות את האחריות ארוכת הטווח של הסביבות שלו ויש לו את המבנה הנדרש להמשיך ולהשתפר.

מארק שרון

מארק שרון מוביל את תחום אסטרטגיית החיפוש והבינה המלאכותית הגנרטיבית ב-ISMS.online. הוא מתמקד בתקשורת כיצד ISO 27001, ISO 42001 ו-SOC 2 פועלים בפועל - קישור סיכונים לבקרות, מדיניות וראיות עם יכולת מעקב מוכנה לביקורת. מארק משתף פעולה עם צוותי מוצר ולקוחות כך שהלוגיקה הזו תוטמע בזרימות עבודה ובתוכן אינטרנט - ועוזר לארגונים להבין, להוכיח אבטחה, פרטיות וממשל בינה מלאכותית בביטחון.

טויטר

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.