האם ארגון נדרש לבצע סקר סיכונים טכנולוגי-תשתיתי לצורך הסמכה לתקן 27001 ISO?

פעמים רבות, תמונות במאמרים שנוגעים לאירועי סייבר הן בצבעי שחור לבן של דמות לא ברורה עם כובע קפוצון על הראש ומשקפי שמש כהים. בחיים האמיתיים מומחי סייבר נראים כאחד האדם, למרות פוטנציאל הפגיעה (וגם ההגנה) הגבוה שלהם.

ארגונים מטמיעים תקן ISO 27001 על מנת לנהל מערכות אבטחת סייבר ואבטחת מידע וסייבר (ISMS). אחת מדרישות תקן 27001 ISO מארגונים (ראה ב Annex A.12.6.1), היא למנוע ניצול של נקודות תורפה במערכות הארגון על ידי גורמים עוינים.

אמצעי מעולה לבדיקת פרצות במערכת המידע הוא סקר סיכונים תשתיתי ו/או אפליקטיבי ומבדק חדירה. למרות זאת חלק מהארגונים דוחים אמצעי זה לשלב מאוחר יותר, ולפעמים נמנעים מלבצע מבדק חדירה.

האם זאת חובה לבצע מבדק חדירה לארגונים שמטמיעים תקן 27001?

מאמר זה מתמקד בקשר שבין תקן 27001 ISO ומבדק חדירה.

הפסקה לפרסומת חינמית

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת פעם בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן

 

האם תקן 27001 ISO דורש מבדק חדירה?

ארגון עם פונקציונליות סטנדרטית ו/או ארכיטקטורת מידע בסיסית יכול להסתפק בסקר סיכונים. כאשר לארגון יש מערכות מורכבות יותר, כגון אפליקציות Web, יידרש מבדק חדירה כדי להבטיח את בטיחות מערכות אבטחת המידע.

מהן הדרישות של תקן ISO 27001 ממבדק חדירה?

בתחתית המאמר ציטוט מ-.Annex A.12.6.1
דרישת התקן היא שחולשות ופגיעות טכניות של מערכות המידע ייחקרו תקופתית, ייעשה ניתוח של פגיעות הארגון, ויינקטו האמצעים כדי להפחית את הסיכון מנקודות התורפה שזוהו.
מבדק חדירה עונה לדרישות אלה בכך שהוא מספק ניתוח סיכונים ופערים באמצעות התקפה זדונית מדומה. שירות זה מבוצע על ידי מקצועני סייבר המציעים שירותי בדיקת חדירה המזהה את החולשות של מערכת המידע. דו"ח פערים הניתן בסיום מבדק החדירה מאפשר לארגון להכין תכנית פעולה לסגירת הממצאים.

מה זה בעצם מבדק חדירה?

מבדק חדירה / Penetration Test / PT / מבדק חוסן הוא מבדק שמדמה תקיפה על מערכות המידע והמיחשוב של הארגון במטרה לאתר פריצות וסיכונים. בסיום המבדק הארגון מקבל דו"ח המסכם את הממצאים והסיכונים שאותרו כדי שהארגון יכין תכנית פעולה על מנת לסגור את הפרצות ולהקטין את סיכוני הכשל הנגרמים מאבטחת מידע לקויה.

מתי ארגון שעושה 27001 ISO צריך לעשות מבדק חדירה?

מבדק חדירה הוא מרכיב קריטי לכל מערכת מידע המותאמת לדרישות ISO 27001, ולכן יש לבצע בדיקות לאורך כל מחזור חיי המערכת של הארגון. החל מתכנון ראשוני של מערכת המידע ועד להרצה שוטפת כחלק מתוכנית התחזוקה הסטנדרטית של מערכות המידע.
למערכות המידע בארגון יש נקודות תורפה טכניות מובנות הדורשות ניטור ושיפור מתמיד. יחד עם החידושים במערכות, נולדות נקודות פגיעות חדשות. יתרה מכך, החדשנות הפלילית של עברייני הסייבר אף היא משתפרת עם הזמן. לכן ייתכן שבמערכות מידע שנמצאו חסינות לאחר תהליך של מבדק חדירה שנעשה לפני שנה-שנה וחצי קיימות נקודות חולשה חדשות שנולדו הן כתוצאה משדרוג מערכות המידע והן כתוצאה משדרוג יכולות וידע של התוקפים שמחפשים פרצות באופן תדיר.
סוקרי תקן 27001 ISO דורשים מארגונים לבצע מבדק חדירה אחת לשנה וחצי (פלוס-מינוס) כדי לוודא שאותם ארגונים משדרגים באופן שוטף את מערכות המידע שלהם מהפרצות החדשות.

נספח – ציטוט, מ-Annex A.12.6.1

במאמר התייחסתי ל Annex A.12.6.1, להלן דרישת התקן המדויקת

Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated, and appropriate measures taken to address the associated risk.

Photo by ThisIsEngineering from Pexels

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת פעם בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן