האם ארגון נדרש לבצע סקר סיכונים טכנולוגי-תשתיתי לצורך הסמכה לתקן 27001 ISO?

אורנה קמין, מנכ"לית OK יועצים לניהול

משפחת תקני ISO270XX  מכילה את תקן 27001 ISO  לניהול אבטחת המידע של הארגון ועוד מספר וריאנטים של התקן בהתאם לצרכים המשתנים של כל ארגון: אבטחת מידע לרשומות רפואיות (27799), אבטחת מידע בענן (27018), ועוד.

מטרת תקן 27001 ISO  שהוא התקן הבסיסי לניהול אבטחת המידע של הארגון היא להבטיח נקיטת כל האמצעים המתאימים לשמירה על המידע הרגיש של הארגון וניהולו בצורה יעילה. תהליך התאמת תהליכי הארגון לדרישות תקן 27001 ISO כולל ניתוח יסודי ומעמיק של הפונקציונאליות והיכולות של המערכות בארגון.

אחת מדרישות תקן 27001 ISO מארגונים (ראה ב Annex A.12.6.1), היא למנוע ניצול של נקודות תורפה במערכות הארגון על ידי גורמים עוינים.

מאמר זה מתמקד בקשר שבין תקן 27001 ISO ומבדק חדירה.

הפסקה לפרסומת חינמית

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת 1-2 פעמים בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן

 

האם תקן 27001 ISO דורש מבדק חדירה?

ארגון עם פונקציונליות סטנדרטית ו/או ארכיטקטורת מידע בסיסית יכול להסתפק בסקר סיכונים. כאשר לארגון יש מערכות מורכבות יותר, כגון אפליקציות Web, יידרש מבדק חדירה כדי להבטיח את בטיחות מערכות אבטחת המידע.

מהן הדרישות של תקן ISO 27001 ממבדק חדירה?

בתחתית המאמר ציטוט מ-.Annex A.12.6.1
דרישת התקן היא שחולשות ופגיעות טכניות של מערכות המידע ייחקרו תקופתית, ייעשה ניתוח של פגיעות הארגון, ויינקטו האמצעים כדי להפחית את הסיכון מנקודות התורפה שזוהו.
מבדק חדירה עונה לדרישות אלה בכך שהוא מספק ניתוח סיכונים ופערים באמצעות התקפה זדונית מדומה. שירות זה מבוצע על ידי מקצועני סייבר המציעים שירותי בדיקת חדירה המזהה את החולשות של מערכת המידע. דו"ח פערים הניתן בסיום מבדק החדירה מאפשר לארגון להכין תכנית פעולה לסגירת הממצאים.

מה זה בעצם מבדק חדירה?

מבדק חדירה / Penetration Test / PT / מבדק חוסן הוא מבדק שמדמה תקיפה על מערכות המידע והמיחשוב של הארגון במטרה לאתר פריצות וסיכונים. בסיום המבדק הארגון מקבל דו"ח המסכם את הממצאים והסיכונים שאותרו כדי שהארגון יכין תכנית פעולה על מנת לסגור את הפרצות ולהקטין את סיכוני הכשל הנגרמים מאבטחת מידע לקויה.

מתי ארגון שעושה 27001 ISO צריך לעשות מבדק חדירה?

מבדק חדירה הוא מרכיב קריטי לכל מערכת מידע המותאמת לדרישות ISO 27001, ולכן יש לבצע בדיקות לאורך כל מחזור חיי המערכת של הארגון. החל מתכנון ראשוני של מערכת המידע ועד להרצה שוטפת כחלק מתוכנית התחזוקה הסטנדרטית של מערכות המידע.
למערכות המידע בארגון יש נקודות תורפה טכניות מובנות הדורשות ניטור ושיפור מתמיד. יחד עם החידושים במערכות, נולדות נקודות פגיעות חדשות. יתרה מכך, החדשנות הפלילית של עברייני הסייבר אף היא משתפרת עם הזמן. לכן ייתכן שבמערכות מידע שנמצאו חסינות לאחר תהליך של מבדק חדירה שנעשה לפני שנה-שנה וחצי קיימות נקודות חולשה חדשות שנולדו הן כתוצאה משדרוג מערכות המידע והן כתוצאה משדרוג יכולות וידע של התוקפים שמחפשים פרצות באופן תדיר.
סוקרי תקן 27001 ISO דורשים מארגונים לבצע מבדק חדירה אחת לשנה וחצי (פלוס-מינוס) כדי לוודא שאותם ארגונים משדרגים באופן שוטף את מערכות המידע שלהם מהפרצות החדשות.

נספח – ציטוט, מ-Annex A.12.6.1

במאמר התייחסתי ל Annex A.12.6.1, להלן דרישת התקן המדויקת

Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated, and appropriate measures taken to address the associated risk.

Photo by ThisIsEngineering from Pexels

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת 1-2 פעמים בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן