לימוד עצמי: ממשל אבטחת מידע - Information Security Governance

אחד הדברים הראשונים שחברה צריכה לעשות בהקשר זה, הוא לכתוב את הצהרת המדיניות הארגונית שלה (Information Security Policy). הצהרה זו מתארת ​​את הפונקציות האסטרטגיות של הארגון ומחוקקת את מדיניות החברה, והיא צריכה להתמודד כחלק מהותי מהתכנית האסטרטגית לטווח הארוך של העסק.

בעיקרון, מדיניות ארגונית צריכה להגן על הכספים, המוניטין והנכסים של החברה; לכן עליה לפרט כיצד יש לנהל את העסק ונכסיו, וכך ארגון מאפשר להקצות משאבים, בהתאמה ועל סמך הסיכון שלהם.

מדיניות אבטחת מידע מסופקת על ידי ארגון על מנת להבטיח כי כל משתמשי טכנולוגיית המידע הנמצאים בתחום הארגון או הרשתות שלו, עומדים בכללים ובהנחיות הקשורים לאבטחת המידע המאוחסן באופן דיגיטלי בכל נקודה ברשת או בתוך גבולות הסמכות של הארגון.

ארגון עשוי להפעיל מדיניות בנושא אבטחת מידע כדי להגן על נכסיו הדיגיטליים ועל זכויותיו הרוחניות במאמצים למנוע גניבת סודות תעשייתיים ומידע שיכול להועיל למתחרים.

מדיניות אבטחה טיפוסית עשויה להיות היררכית, ובמקרה כזה – תחול באופן שונה בהתאם לאוכלוסייה אחרת בארגון. לדוגמא, אנשי המזכירות שמקלידים את כל התקשורת של ארגון נאלצים בדרך כלל מחויבים שלא לשתף מידע לעולם, אלא אם כן הוסמכו במפורש. מאידך, מנהל בכיר יותר יכול להיחשב סמכותי מספיק בכדי להחליט איזה מידע שהפיקה המזכירות יכול להיות משותף עם אחרים. בכדי לכסות את הארגון כולו, מדיניות אבטחת מידע מכילה לעתים קרובות מפרטים שונים בהתאם לסטטוס הסמכות של הגורמים בארגון.

מהם מרכיבי המפתח במדיניות אבטחת מידע?

מדיניות אבטחת מידע יכולה להיות רחבה ככל שיחליט הארגון. היא יכולה לכסות אבטחת IT ו / או אבטחה פיזית, כמו גם שימוש במדיה חברתית, ניהול מחזור חיים ואימוני אבטחה. באופן כללי, מדיניות אבטחת מידע כוללת תשעה מרכיבים עיקריים אלה:

1. מטרת מסמך המדיניות – תיאור המטרה של מדיניות אבטחת המידע.
2. קהל יעד – על מי חלה מדיניות אבטחת המידע ומי היוצאים מן הכלל. יתכן שגם ספקים ושותפים יהיו כלולים, אם יש בכוחו של הארגון ליישם זאת.
3. יעדי אבטחת מידע – המטרות שהנהלה סיכמה עליהן, כמו גם האסטרטגיות המשמשות להגשמתן. בסופו של דבר, תהיה ההגדרה אשר תהיה, אבטחת המידע נוגעת לשלישיית ה- CIA: סודיות, שלמות, זמינות.
4. מדיניות בקרת גישה וסמכות – אילו נתונים ניתן לשתף ואלו אסורים בשיתוף. יתכן שלעיתים הדבר אינו תלוי בהחלטת הארגון אלא בחוק.
5. סיווג נתונים – סיווג נתונים לקטגוריות.
6. תמיכה ותפעול נתונים – כיצד מטפלים בנתונים בכל רמות. בדרך כלל ישנם שלושה מרכיבים לחלק זה של מדיניות אבטחת המידע: (1) תקנות להגנה על מידע (2) דרישות לגיבוי נתונים (3) תנועת נתונים.
7. אימון ותרגול מודעות לאבטחת מידע – מדיניות אבטחת מידע "מושלמת" שאיש לא עוקב אחריה גרועה בדיוק כמו מצב של העדר מדיניות. יש לבצע הדרכות מודעות שוטפות לעובדים.
8. אחריות וחבויות העובדים – תיאור האחראים על היבטים שונים כמו: תוכניות אבטחה, מדיניות שימוש קבילה, אבטחת רשת, ביטחון פיזי, רציפות עסקית, ניהול גישה, מודעות, הערכת סיכונים, תגובה לאירוע, התאוששות מאסון, ניהול אירועי אבטחה
9. פריטים מיוחדים – נוהל הגנה מפני וירוסים, נוהל הגנה מפני תוכנות זדוניות, נוהל גילוי חדירת רשת, נוהל עבודה מרחוק, הנחיות טכניות, השלכות על אי ציות, דרישות אבטחה פיזיות, הפניות למסמכים תומכים וכו'.

הערכת סיכוני אבטחה היא הערכה הכרוכה בזיהוי הסיכונים בחברה, בטכנולוגיה ובתהליכים, כדי לוודא שקיימות בקרות נאותות להגנה מפני איומי אבטחה.

ניהול סיכונים ארגוניים (ERM) הוא גישה בסיסית לניהול ארגון. התקנות אינן מורות לארגונים כיצד לשלוט או לאבטח את המערכות שלהם, אך דורשות כי מערכות אלה יהיו מאובטחות בדרך כלשהי וכי הארגון "יוכיח" כי תשתית האבטחה והבקרה שלהם קיימת ופועלת ביעילות. מתודולוגיית הערכת הסיכון הארגונית הפכה לגישה מבוססת לזיהוי וניהול סיכונים מערכתיים עבור ארגון.

באופן קלאסי, סיכון אבטחת IT נתפס כאחריותם של אנשי ה- IT מכיוון שלאותם אנשים יש את ההבנה הטובה ביותר של מרכיבי תשתית הבקרה. יתר על כן, בדרך כלל הערכות סיכוני אבטחה נערכו במחלקת ה- IT עם מעט תשומת לב למחלקות אחרות.

דרישות האבטחה צריכות להיות מבוססות על צרכים עסקיים, אשר בדרך כלל מוגדרים על ידי ההנהלה הבכירה, כדי לזהות את הרמה הרצויה של הגנת האבטחה. מרכיב מרכזי בכל הערכת סיכונים צריך להיות הדרישות הרגולטוריות הרלוונטיות, כגון חוקי מדינת ישראל.

תוכנית תגובה לאירועים היא קבוצת מדיניות המכתיבה תגובה של ארגונים למתקפת סייבר. לאחר שזוהה הפרת אבטחת מידע, התוכנית מופעלת. לאירוע פריצה, יכולות להיות השלכות משפטיות על הפרת נתונים.

לכן, הכרת החוקים המקומיים היא קריטית. כל תוכנית היא ייחודית לצרכי הארגון והיא יכולה להיות כרוכה במערך מיומנויות ובעלי תפקיד מחוץ לצוות IT. לדוגמה, עורך דין עשוי להיכלל בתוכנית התגובה שתסייע בניווט בהשלכות משפטיות להפרת נתונים.

ניהול המשכיות עסקית (BCM) נוגע להסדרים שמטרתם להגן על הפונקציות העסקיות הקריטיות של הארגון מפני הפרעות כתוצאה מאירועים, או לפחות למזער את ההשפעות. BCM חיונית לכל ארגון בכדי לשמור על טכנולוגיה ועסקים בקנה אחד עם האיומים הנוכחיים על המשך העסק כרגיל.

יש לכלול את ה- BCM בתוכנית ניתוח סיכונים של ארגונים בכדי להבטיח שלכל הפונקציות העסקיות הנחוצות יש את הדרוש להם כדי להמשיך במקרה של איום מכל סוג על פונקציה עסקית כלשהי.

חוקי הגנת סייבר בישראל

חוק המחשבים

חוק המחשבים נחקק ב-1995, ונועד להסדיר היבטים מיוחדים הנובעים מהחלק המשמעותי שתופס המחשב בחיי האדם והציבור בכלל, הופעת פשיעה שקשורה במחשבים, המשמעויות המיוחדות לתכנה ולחומרה, ששונה במהותה מהמדיות האחרות המסורתיות, היבטי ראיות שקשורים למחשב (פלט), וכן – התאמה של חוק האזנת סדר לעידן המחשבים והתקשורת.

עבירה על חוק המחשבים נקבעה ענישה פלילית של משלוש ועד חמש שנות מאסר. עבירה, משמעה: כל מי שמשבש פעולת מחשב או מפריע לפעולתו, מוחק חומר או משנה אותו, מבצע פעולה שיש בה כדי להביא לשיבוש תוצאות מחשב, חודר למחשב (משתמש במחשב שלא ברשות בעליו).

חוק הגנת הפרטיות

החוק נחקק ב-1981, וזכה לתיקונים ולתוספות במשך השנים, במטרה להסדיר את סוגיית ההגנה על הפרטיות בישראל. החוק עוסק בהגדרת המונח "פרטיות" וההגנה עליה, לרבות מאגרי מידע ודיוור ישיר, וכן כללים בנוגע למסירת מידע וידיעות מצד גופים ציבוריים. החוק מגדיר כי פגיעה בפרטיות היא עוולה אזרחית המאפשרת תביעת פיצוי בנזיקין, וכן עבירה פלילית.

העיקרון שמנחה את החוק, שלאדם זכות לפרטיות, ואין לפגוע בה ללא הסכמתו. אל החוק נוספו גם תקנות אבטחת מידע ייעודיות, המבוססות על החוק.

רגולציות אבטחת מידע בישראל

תקנות הגנת הפרטיות (אבטחת מידע)

הרשות להגנת הפרטיות פרסמה מדריך העומד לרשות הציבור. התקנות חלות על כל המשק הישראלי, והן מבקשות להגן על האנשים שמידע אודותיהם קיים במאגר מידע. התקנות קובעות שלוש רמות של מאגרי מידע, עליהן חלות רמות אבטחה שונות, בהתאם לסיכוני האבטחה שהם מייצרים.

התקנות מטילות חובת דיווח על אירועי אבטחה לרשות להגנת הפרטיות, ומקרים אחדים, גם למשתמשים ולקוחות שנפגעו או נמצאים בסכנה בשל אירוע אבטחה. התקנות גורפות ומחייבות על כל פעילות של עיבוד מידע אישי הכפופה לחוק בישראל, בכל מגזרי המשק, הן הציבורי והן הפרטי.

חוזר גופים מוסדיים – סיכוני סייבר

חוזר הממונה על שוק ההון, ביטוח וחסכון במשרד האוצר ל"ניהול סיכוני סייבר בגופים מוסדיים" חל על כל הגופים המוסדיים וקובע "עקרונות להגנה על נכסי הגוף המוסדי במטרה להבטיח את שמירת זכויות העמיתים והמבוטחים על ידי שמירה על סודיות, שלמות וזמינות נכסי המידע, מערכות המידע, התהליכים העסקיים ופעילותו התקינה של הגוף המוסדי". פעילות הניהול של סיכוני הסייבר תכלול פעולות מניעה, נטרול, חקירה והתמודדות עם איומי ואירועי סייבר, על-מנת לצמצם את השפעתם והנזק הנגרם מהם, בטרם התרחשותם, במהלכם ולאחריהם.

הוראות לניהול בנקאי תקין 361

נב"ת 361 מהווה אוסף הנחיות, שבנק ישראל מעדכן על-מנת לחזק את יכולת המגזר הבנקאי להתמודד עם הגנת סייבר, ובעיקר – לבאר נושאים חוקתיים בהקשר הבנקאי. לצורך כך, נדרשים הבנקים לעמוד בהנחיות ספציפיות בתחום אבטחת המידע והסייבר.

תקני אבטחת מידע / הגנת סייבר

תקני הגנת סייבר הם אוספים של שיטות עבודה מומלצות אשר פותחו על ידי מומחים להגנה על ארגונים מפני איומי סייבר. תקני ומסגרות אבטחת סייבר חלים בדרך כלל על כל הארגונים, ללא קשר לגודל, לתעשייה או למגזר שלהם, אך ארגונים רגישים יותר, מחויבים ברמת הקפדה גבוהה יותר.

רגישות של ארגון יכולה להיגזר מסיבה כלכלית, רפואית, מדינית, ביטחונית, או מטעמי צנעת הפרט.

תקני אבטחת סייבר הם טכניקות המוצגות בדרך כלל כ"תקנים" שמטרתם – להגן על סביבת הסייבר של משתמש או ארגון.

עם זאת, תקן אבטחת סייבר חייב להיות מותאם לענף, ולעיתים נדרש לעמוד במספר תקנים, כי לארגון יש מספר סוגי לקוחות או ספקים. תקנים שונים עשויים לחפוף, מה שעלול ליצור בלבול ועודף עבודה עבור ארגונים המשתמשים בגישה מבוססת רשימת checklist.

תקנים נפוצים אשר להגנת סייבר:

ISO / IEC 27001

ISO 27001 הוא התקן הבינלאומי המתאר את הדרישות למערכת ISMS (מערכת ניהול אבטחת מידע). מסגרת התקן נועדה לסייע לארגונים לנהל את נוהלי האבטחה שלהם במקום אחד, באופן עקבי וחסכוני.

ISO / IEC 27032

ISO 27032 הוא התקן הבינלאומי המציע הנחיות לניהול אבטחת סייבר. הוא מספק הנחיות להתייחסות למגוון רחב של סיכוני אבטחת רשת, כולל אבטחת נקודות קצה של משתמשים, אבטחת רשת והגנה על תשתיות קריטיות.

GDPR (General Data Protection Regulation)

ה- GDPR של האיחוד האירופי הוא תקנת פרטיות העוסקת במידע אישי ובפעילויות המתקיימות בתוך האיחוד האירופי גם כאשר הצד המעבד את המידע האישי אינו נמצא באיחוד. GDPR הוא חוק שהוקם ברמת האיחוד האירופי ומחייב עונשים כבדים למפירים אותו. הגדרת המידע האישי בחקיקה רחבה ביותר. החוק עוסק בכל מידע שהיה או יכול להיות קשור לאדם מסוים.

PCI DSS, SSH, and PCI

תקן שנוצר על ידי חברות כרטיסי האשראי הגדולות American Express, Visa, MasterCard, Discover ועוד. התקן מספק קו בסיס של דרישות טכניות ותפעוליות שנועדו להגן על נתוני חשבון.

Health Insurance Portability and Accountability Act (HIPAA)

החוק לניידות וניהול מידע רפואי (HIPAA), הוא חוק פדרלי שנחקק בשנת 1996. מטרתו, להקל על אנשים לשמור על ביטוח הבריאות שלהם בעת החלפת מקום עבודה, להגן על הסודיות ואבטחת המידע על שירותי הבריאות ולעזור לתעשיית שירותי הבריאות לשלוט על עלויות הניהול שלה.

NERC

ניסיון ראשוני ליצור תקני אבטחת מידע לתעשיית תחנות הכוח החשמליות. תקן האבטחה הידוע ביותר של NERC הוא NERC 1300, והגרסה החדשה ביותר של NERC 1300 נקראת CIP-002-3 דרך CIP-009-3 (CIP = הגנת תשתית קריטית). תקנים אלה משמשים לאבטחת מערכות חשמליות מבוזרות אם כי NERC יצרה תקנים בתחומים אחרים. תקני המערכות המבוזרות מספקים גם ניהול אבטחת רשת תוך שהם תומכים בתהליכי התעשייה הכלליים המומלצים ביותר.

תרבות אבטחת מידע היא הרעיונות, המנהגים והתנהגויות חברתיות של ארגון, אשר משפיעים על אבטחת המידע בדרכים חיוביות ושליליות כאחד. מושגי תרבות יכולים לעזור לקטעים שונים בארגון לעבוד ביעילות או לפעול נגד האפקטיביות של אבטחת מידע בתוך ארגון.

האופן בו העובדים חושבים ומרגישים לגבי אבטחה, והפעולות שהם מבצעים, עלולים להשפיע מאוד על אבטחת המידע בארגונים.