בקרות אבטחה
בקרות אבטחה (באנגלית: Security controls) הן אמצעי אבטחה או אמצעי מנע, לגילוי, נטרול או מזעור סיכוני אבטחה לרכוש פיזי, למידע, למערכות מחשב או לנכסים אחרים.[1] בתחום אבטחת המידע, בקרות כאלה מגנות על "משולש CIA" (באנגלית CIA Triad): סודיות, תקינות וזמינות המידע.
ניתן לכנות מערכות בקרות כמסגרות (Frameworks) או תקנים. מסגרות יכולות לאפשר לארגון לנהל בקרות אבטחה על פני סוגים שונים של נכסים באופן עקבי.
סוגי בקרות אבטחה
ניתן לסווג את בקרות האבטחה לפי מספר קריטריונים. לדוגמה, על פי זמן פעולתם, ביחס לאירוע ביטחוני:
- לפני אירוע ייעוד בקרות מניעה למנוע אירוע למשל על ידי נעילת פולשים בלתי מורשים
- במהלך אירוע, בקרות בילוש מטרתן לזהות ולאפיין אירוע בעיצומו, למשל על ידי השמעת אזעקת הפורץ והתרעת המאבטחים או המשטרה
- לאחר אירוע, בקרות מתקנות נועדו להגביל את היקף הנזק שנגרם כתוצאה מהאירוע, למשל על ידי השבת הארגון למצב עבודה רגיל בצורה היעילה ביותר האפשרית
ניתן גם לסווג אותם לפי טבעם, למשל:
- בקרות פיזיות כגון גדרות, דלתות, מנעולים ומטפים
- בקרות פרוצדורליות כגון תהליכי תגובה לאירועים, פיקוח על ניהול, מודעות אבטחה והדרכה
- בקרות טכניות כגון אימות משתמשים (כניסה) ובקרות גישה לוגיות, תוכנת אנטי-וירוס, חומות אש
- בקרות משפטיות ורגולציה או תאימות כגון חוקים, ומדיניות בנושא פרטיות מידע
תקני אבטחת מידע ומסגרות בקרה
תקני אבטחת מידע רבים מקדמים נוהלי אבטחה טובים ומגדירים מסגרות או מערכות לבניית הניתוח והתכנון לניהול בקרות אבטחת המידע. כמה מהידועים ביותר הם:
- ISO/IEC 27001, מציין 114 בקרות ב-14 קבוצות
- FIPS 200 מזהה 17 משפחות בקרה רחבות
- NIST SP-800-53
- COBIT 5
- CIS Top-20
טלקומוניקציה
בטלקומוניקציה, בקרות האבטחה מוגדרות כשירותי אבטחה כחלק ממודל ה-OSI
- המלצה על ITU-T X.800
- ISO 7498-2
אלה תואמים טכנית.[2][3] מודל זה זוכה להכרה רחבה.[4][5]
מסגרות בקרות למגזר העסקי
יש מגוון רחב של מסגרות וסטנדרטים המתייחסים לעסקים פנימיים ולבקרות בין עסקיות, כולל:
- SSAE 16
- ISAE 3402
- PCI DSS - תקן אבטחת נתונים בתעשיית כרטיסי התשלום
- HIPAA
- COBIT 4/5
- CIS Top-20
- מסגרת אבטחת הסייבר של NIST
הערות שוליים
- ^ "What are Security Controls?". www.ibm.com (באנגלית אמריקאית). נבדק ב-2020-10-31.
- ^ X.800 : Security architecture for Open Systems Interconnection for CCITT applications
- ^ ISO 7498-2 (Information processing systems – Open systems interconnection – Basic Reference Model – Part 2: Security architecture)
- ^ William Stallings Crittografia e sicurezza delle reti Seconda edizione מסת"ב 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edition Pearson 2006
- ^ Securing information and communications systems: principles, technologies, and applications Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 pages
30199255בקרות אבטחה