לימוד עצמי: עקרונות בסיסיים באבטחת מידע






היסטוריה

HISTORY

מאז ימי התקשורת הראשונים, הבינו דיפלומטים ומפקדים צבאיים כי יש צורך לספק מנגנון כלשהו כדי להגן על סודיות ההתכתבויות ולהיות דרכים לאיתור חבלה. יוליוס קיסר המציא את צופן קיסר כדי למנוע את קריאת ההודעות שלו על ידי מלתי מורשים; עם זאת, לרוב הגנה הושגה באמצעות יישום "בקרות" טיפול פרוצדוראליות. מידע רגיש סומן כדי להצביע עליו שיש להגן עליו ולהעבירו על ידי אנשים מהימנים, לשמור עליו ולאחסן בסביבה בטוחה או בתיבה חזקה. ככל שהתרחבו שירותי הדואר, ממשלות הקימו ארגונים רשמיים ליירט, לפענוח, לקרוא ולשאול מכתבים (למשל, U.K.'s Secret Office של בריטניה, שנוסד בשנת 1653).

באמצע המאה התשע-עשרה פותחו מערכות סיווג מורכבות יותר המאפשרות לממשלות לנהל את המידע שלהן לפי מידת הרגישות. לדוגמה, ממשלת בריטניה קידדה מידע, עם פרסום חוק הסודות הרשמי בשנת 1889. בזמן מלחמת העולם הראשונה, נעשה שימוש במערכות סיווג רב-שכבתיות על מנת להעביר מידע אל החזיתות השונות וממנה, אשר עודד שימוש רב יותר ביצירת קוד ושבירת קטעים במטה הדיפלומטי והצבאי.

הקידוד נעשה מתוחכם יותר בין המלחמות, מכיוון שהמכונות הועסקו כדי לטרוף ולפרוס מידע.

היקף המידע ששיתפו מדינות בעלות הברית במלחמת העולם השנייה הצריך התאמה רשמית של מערכות הסיווג ובקרות. מפתח לטווח סיווגים התפתח כדי לציין מי יכול להתמודד עם מסמכים (בדרך כלל קצינים ולא חיילים מגויסים) וכיצד יש לאחסן אותם, ככל שפותחו כספות ומתקני אחסון מורכבים יותר ויותר.

מכונת האניגמה, שהופעלה על ידי הגרמנים כדי להצפין את נתוני הלוחמה ואשר פוענחה ונפרצה בהצלחה על ידי אלן טיורינג, יכולה להיחשב כדוגמה בולטת ליצירה ושימוש במידע מאובטח. נהלים התפתחו כדי להבטיח שהמסמכים יושמדו כראוי, והכישלון למעקב אחר הנהלים הללו הוביל לכמה מהפיכות המודיעין הגדולות ביותר של המלחמה (למשל, לכידת הצוללת U-570).

בסוף המאה העשרים ושנותיה הראשונות של המאה העשרים ואחת חלו התקדמות מהירה בתחום התקשורת, חומרת המחשוב ותוכנה, והצפנת נתונים. הזמינות של ציוד מחשוב קטן, חזק יותר ופחות יקר, גרמה לכך שעיבוד נתונים אלקטרוניים היה בהישג ידם של עסקים קטנים ומשתמשים ביתיים. מהר מאוד לאחר מכן, מחשבים אלו גם התחברו ביניהם דרך האינטרנט.

הצמיחה המהירה והשימוש הנרחב בעיבוד נתונים אלקטרוניים ובעסקים אלקטרוניים שנערכו דרך האינטרנט, יחד עם התרחשויות רבות של טרור בינלאומי, הובילו את הצורך בשיטות טובות יותר להגן על המחשבים ועל המידע שהם מאחסנים, מעבדים ומעבירים. הדיסציפלינות האקדמיות של אבטחת מחשבים ואבטחת מידע עלו יחד עם ארגונים מקצועיים רבים, שכולם חולקים את המטרות המשותפות להבטיח את האבטחה והאמינות של מערכות המידע.

מבוא

Introduction

המונחים "אבטחת מידע" ו"הגנת סייבר" אינם זהים, ואף מועד הולדתם שונה. יחד עם זאת, הפערים ביניהם מפסיקים להיות תקפים ככל שהתקשורת העולמית מתפתחת, ולכן – אנו נשתמש בהם תחת אותה כוונה.

כאשר מדובר בפרט, קיימת סדרת פעולות שעליו לבצע, ועוד פעולות שעליו להימנע מהן או לפחות, לעשותן בזהירות, ותו לא. עולם הסייבר איננו דן ביחיד, אלא במציאות ארגונית, עסקית, וכאן – נדון באבטחה ארגונית.

מדוע התפתח ענף הסייבר כל-כך מהר? כי האנושות תלויה במחשבים. כליל. תלות מוחלטת.

התפתחות התקשורת והמחשבים, נקראת "המהפכה הדיגיטלית". זו – הביאה לכך שכל המחשבים בעולם מחוברים, או מאפשרים חיבור מבחינה טכנולוגית. מצב חדש זה, הביא לכך, שגורמים עוינים יכולים לנצל לטובת האינטרס שלהם את ה"חיבוריות" ואת "התלות".

ומדוע כה קשה להגן על המידע ועל המערכות הארגוניות? כי קיים ניגוד אינטרסים: מחד – המהפכה פועלת לשיפור ה"חיבוריות והפתיחות", ומאידך – במרחב שנפתח, יש להגביל את העבריינים.

אם לא די בכך, הרי שהמלה "ארגון" מטעה מאוד. הוא מורכב ממחלקות שונות, ובכל מחלקה בנויה מבעלי עניין וזכויות וחובות שונות. הארגון אינו "מקשה אחת". לפרטים מסוימים מותר לגשת למידע מסוים ולמערכות מסוימות, לאחרים  -למידע אחר ולמערכות אחרות. לארגון גם לקוחות שאנו מעוניינים כי יתחברו, ספקים, שותפים, רשויות ועוד.

והרי, הארגון נדרש להגן על כל גבולותיו החיצוניים, כולל סוגיית הלקוחות, הספקים והשותפים, ועל כל מרחביו הפנימיים למרות ההבדלים ביניהם והאינטרסים השונים של המחלקות והפרטים, ומנגד, ההאקר, התוקף, זקוק רק לפרצה קטנה אחת, ומשם – עלול להמשיך לזחול בסתר או בגלוי – עד ליעדיו.

מכאן, שסוגיית אבטחת המידע, או הגנת סייבר, נעשתה נושא מורכב ביותר, קריטי ומסוכן לקיום הארגון בעידן הנוכחי, ומחייב סדרות נרחבות מאוד של פעולות בו-זמניות, של גורמים שונים, כדי לקיים בו בזמן גם הגנה נאותה וגם פעילות שוטפת שחיונית למטרות הארגון.

זו הסיבה שתחום אבטחת המידע צמח והתפתח משמעותית בשנים האחרונות. הוא מציע תחומים רבים להתמחות, כולל אבטחת רשתות ותשתיות, אבטחת יישומים ומאגרי מידע, בדיקות אבטחה, ביקורת מערכות מידע, תכנון המשכיות עסקית, גילוי רשומות אלקטרוניות ומערכת משפטית דיגיטלית.

אנשי מקצוע בתחום אבטחת מידע זוכים להוקרה, ועבודתם מובטחת ויציבה. המורכבות הרבה וההיקפים הגדולים של ידע נדרש, הביאו לכך שקיימים בעלי מקצוע שונים לחלוטין בענף הסייבר, כי אף אדם לא מסוגל להשתלט על כל הידע הכרוך בסייבר, ועל כל הפעולות הבו-זמניות הנדרשות להגנת סייבר.

זו הסיבה שתחום אבטחת המידע צמח והתפתח משמעותית בשנים האחרונות. הוא מציע תחומים רבים להתמחות, כולל אבטחת רשתות ותשתיות, אבטחת יישומים ומאגרי מידע, בדיקות אבטחה, ביקורת מערכות מידע, תכנון המשכיות עסקית, גילוי רשומות אלקטרוניות ומערכת משפטית דיגיטלית.

אנשי מקצוע בתחום אבטחת מידע זוכים להוקרה, ועבודתם מובטחת ויציבה. המורכבות הרבה וההיקפים הגדולים של ידע נדרש, הביאו לכך שקיימים בעלי מקצוע שונים לחלוטין בענף הסייבר, כי אף אדם לא מסוגל להשתלט על כל הידע הכרוך בסייבר, ועל כל הפעולות הבו-זמניות הנדרשות להגנת סייבר.

אבטחת מידע (infosec), היא מכלול הפעולות הנהוגות לצורך הגנה על מידע על ידי הפחתת סיכוני מידע, ומהווה חלק מתהליך רחב יותר של "ניהול סיכוני מידע". האבטחה כוללת מניעה או לפחות הפחתת ההסתברות לגישה בלתי מורשית / בלתי הולמת לנתונים, או שימוש בלתי חוקי, גילוי, הפרעה, מחיקה, שחיתות, שינוי, בדיקה, רישום או הפחתה של מידע. היא כוללת גם פעולות שנועדו לצמצם את ההשפעות השליליות של אירועים כאלה.

מידע מוגן עשוי ללבוש צורות מגוונות: אלקטרוני או פיזי, מוחשי (למשל ניירת) או בלתי מוחשי (למשל ידע).

המוקד העיקרי של אבטחת המידע הוא ההגנה המאוזנת על סודיות, שלמות וזמינות של נתונים (המכונה גם CIA, הסבר בהמשך), תוך שמירה על מיקוד ביישום יעיל של מדיניות, כל זאת מבלי לפגוע בפריון הארגון. הדבר מושג ברובו באמצעות תהליך ניהול סיכונים מובנה הכולל:

  • זיהוי מידע ונכסים קשורים, בתוספת איומים, פגיעויות ופגיעות אפשריות;
  • הערכת הסיכונים;
  • ההחלטה כיצד לטפל בסיכונים או לטפל בהם, כלומר להימנע, להקל, לשתף או לקבל אותם;
  • כאשר נדרש הפחתת סיכונים, בחירה או תכנון של בקרות אבטחה (אמצעי נגד) מתאימות והטמעתם;
  • מעקב אחר הפעילויות, ביצוע התאמות לפי הצורך כדי לטפל בכל נושא, שינויים והזדמנויות לשיפור.

כדי לתקנן תחום זה, אנשי מקצוע מציעים הנחיות, מדיניות ותקני תעשיה בנושאים שונים בתחום האבטחה, כמו: סיסמא, תוכנת אנטי-וירוס, חומת אש, תוכנת הצפנה, אחריות משפטית, מודעות לאבטחה והדרכה וכדומה. התקינה מחוזקת בעזרת מגוון רחב של חוקים ותקנות המשפיעים על אופן הגישה, העיבוד, האחסון, ההעברה וההשמדה של נתונים. עם זאת, ליישום כל סטנדרטים והנחיות בתוך ישות עשויה להיות השפעה מוגבלת אם לא תופץ בארגון תרבות של שיפור מתמיד.

בבסיס אבטחת המידע עומדת פעולת השמירה על סודיות, שלמות וזמינות (CIA) של מידע, יצירת הבטחון שמידע לא ייפגע בשום צורה כאשר מתעוררים סוגיות קריטיות. נושאים אלה כוללים התייחסויות לאסונות טבע, לתקלה במחשב וגניבה פיזית.

יש לזכור שפעילות עסקית מבוססת-נייר עדיין קיימת, ומחייבת מערכת אבטחת מידע משל עצמה.

במקביל, פעילות דיגיטלית אוחזת בנפח גדול יותר ויותר של הפעילות העסקית, ולכן – אבטחת המידע מטופלת על ידי מומחי אבטחת טכנולוגיות מידע (IT). מומחים אלה מיישמים אבטחת מידע על טכנולוגיה (לרוב צורה כלשהי של מערכת מחשבים). יש לזכור ש"מחשב" אינו בהכרח מחשב עבודה ביתי, ויכול להיות כל מכשיר עם מעבד וזיכרון. מכשירים כאלה יכולים לנוע בין התקנים עצמאיים שאינם מחוברים לרשת, פשוטים כמו מחשבונים, וכלה במכשירי מחשוב ניידים ברשת כמו סמארטפונים ומחשבי לוח. לכן, יימצאו מומחי אבטחת IT בכל מפעל / מפעל מרכזי בגלל אופי הנתונים וערכם בתוך עסקים גדולים יותר. המומחים אחראים לשמור על כל הטכנולוגיה בחברה מפני התקפות סייבר זדוניות המנסות לעתים קרובות להשיג מידע פרטי קריטי או להשיג שליטה במערכות הפנימיות, ויועצים לאנשי המחשבים למקצועותיהם, כיצד לבצע זאת נכון יותר.

להלן הגדרה של "אבטחת מידע":

"אבטחת מידע היא תחום לימודי ופעילות מקצועית רב תחומית העוסקת בפיתוח ויישום של מנגנוני אבטחה מכל הסוגים הזמינים (טכניים, ארגוניים, מונחים אנושיים וחוקיים) על מנת לשמור על מידע בכל מיקומיו (בתוך ומחוץ למתחם הארגון), וכתוצאה מכך, מערכות מידע, בהן מידע נוצר, מעובד, מאוחסן, מועבר ומושמד, נקי מאיומים. ניתן לסווג את הטרדות למערכות מידע ומערכות מידע וניתן להגדיר יעד אבטחה מתאים לכל קטגוריה של איומים. יש לעדכן מעת לעת סט של יעדי אבטחה, המזוהים כתוצאה מניתוח איום, על מנת להבטיח את מידת התאמתו ואת התאמתו לסביבה המתפתחת. מערך יעדי האבטחה הרלוונטי כיום עשוי לכלול: סודיות, יושרה, זמינות, פרטיות, אותנטיות ואמינות, אי-דחיית דין וחשבון ודיווחיות. " (Cherdantseva והילטון, 2013)

איומים

Threats

איומי אבטחת מידע מגיעים בצורות רבות ושונות. האיומים הנפוצים ביותר כיום הם התקפות תוכנה, גניבת קניין רוחני, גניבת זהות, גניבת ציוד או מידע, חבלה וסחיטת מידע. רוב האנשים חוו התקפות תוכנה מסוג כלשהו. דוגמאות נפוצות להתקפות תוכנה: וירוסים, תולעים, התקפות דיוג וסוסים טרויאניים ועוד.

  • גניבת קניין רוחני מהווה אף היא בעיה בעסקים רבים בתחום טכנולוגיות המידע (IT).
  • גניבת זהות היא הניסיון לפעול כמו מישהו אחר בדרך כלל להשיג את המידע האישי של אותו אדם או לנצל את הגישה שלהם למידע חיוני באמצעות הנדסה חברתית.
  • גניבת ציוד או מידע הופכים היום לרווחיים יותר מכיוון שרוב המכשירים כיום הם ניידים, מועדים לגניבה ונעשו מבוקשים ככל שקיבולת הנתונים שלהם גדלה.
  • חבלה מורכבת בדרך כלל מהשמדת אתר אינטרנט של ארגון בניסיון לגרום לאובדן אמון מצד לקוחותיו.
  • סחיטה במידע מורכבת מגניבת נכס או מידע של חברה כניסיון לקבל תשלום בתמורה להחזרת המידע או הנכס בחזרה לבעליו, כדוגמת תכנת ransomware. ישנן דרכים רבות להגנה מפני חלק מההתקפות הללו, אך אחד מאמצעי הזהירות היעילים ביותר, הוא – מודעות של המשתמשים.
  • איומי פנים נחשבים לאיום מספר 1 על ארגון ומדובר במשתמשים או עובדים פנימיים.

תגובות לאיומים

תגובות אפשריות לאיום או סיכון ביטחוני הן:

  • צמצום / סגירה – יישום אמצעי הגנה ואמצעים נגדיים בכדי לחסל פגיעויות או לחסום איומים
  • להקצות / להעביר – העברת עלות האיום על גורם או ארגון אחר, למשל, על-ידי רכישת ביטוח או מיקור חוץ
  • קבל – החלט כך אם עלות אמצעי הנגד עולה על עלות האובדן האפשרית עקב האיום

מושגי מפתח

KEY CONCEPTS

השילוש הנקרא CIA (Confidentiality, integrity and availability) של סודיות, יושרה וזמינות, הוא לב אבטחת המידע: (השילוש מכונה בספרות לסירוגין כ"תכונות אבטחה", "תכונות", "יעדי אבטחה", "היבטים בסיסיים באבטחת מידע", "קריטריונים של מידע", "מאפייני מידע קריטי" או "אבני בניין בסיסיות").

בשנת 1992 ובהמשך ב-2002, נכתבו הנחיות ה- OECD לאבטחת מערכות מידע ורשתות והציעו תשעה עקרונות מקובלים: מודעות, אחריות, תגובה, אתיקה, דמוקרטיה, הערכת סיכונים, תכנון ויישום אבטחה, ניהול אבטחה, הערכה מחדש.

סודיות – Confidentiality

באבטחת מידע, סודיות "היא התכונה שלפיה, מידע לא יהיה זמין לרשות יחידים, ישויות או תהליכים בלתי מורשים." למרות הדמיון למילה "פרטיות ", שתי המלים אינן זהות. סודיות היא מרכיב אחד של פרטיות שמשמשת להגנה על הנתונים מגורמים בלתי מורשים. דוגמאות: גניבת מחשבים ניידים, גניבת סיסמא או מיילים רגישים הנשלחים לאנשים הלא נכונים.

שלמות – Integrity

באבטחת מידע, שלמות נתונים פירושה שמירה והבטחת הדיוק והשלמות של הנתונים לאורך מחזור החיים כולו. פירוש הדבר שלא ניתן לשנות את הנתונים באופן לא מורשה או לא מבוקר.

זמינות – Availability

על מנת שמערכת מידע כלשהי תשרת את מטרתה, המידע חייב להיות זמין בעת ​​הצורך. משמעות הדבר היא שבקרות האבטחה המשמשות להגנה וערוצי התקשורת המשמשים לגישה אל מערכות המחשוב המשמשות לאחסון ולעיבוד המידע, חייבים לתפקד כראוי.

יש לשאוף שמערכות יהיו זמינות בכל עת, ולמנוע הפרעות בשירותים בגלל הפסקות חשמל, תקלות חומרה ושדרוג מערכות. הבטחת הזמינות כרוכה גם במניעת התקפות של מניעת שירות (הכוונה ל"שיטפון" של הודעות נכנסות למערכת היעד, במטרה לאלץ את המערכת להיסגר).

בתחום אבטחת המידע, הזמינות היא אחד החלקים החשובים ביותר להצלחת תוכנית אבטחת מידע. משתמשי הקצה צריכים להיות מסוגלים להמשיך לעבוד (מטרת הארגון), בהתאם למדיניות המפורטת של הארגון, אשר בהתאמה, קובע את הסטנדרטים למאמץ ההגנה על הזמינות. הבטחת הזמינות כוללות נושאים כמו תצורות פרוקסי, גישה חיצונית לאינטרנט, יכולת גישה לכוננים משותפים ויכולת לשלוח מיילים.

ניהול סיכונים

Risk management

הגדרה ניהול סיכונים: "ניהול סיכונים הוא תהליך של זיהוי פגיעויות ואיומים על משאבי המידע שמשמש ארגון לצורך השגת יעדים עסקיים, והחלטה אילו אמצעי נגד, אם בכלל , לקחת הפחתת סיכון לרמה מקובלת, על בסיס הערך של משאב המידע לארגון."

שני היבטים בהצהרה זו דורשים הבהרה: ראשית, תהליך ניהול הסיכונים הוא תהליך איטרטיבי מתמשך. יש לחזור על כך ללא הגבלת זמן. הסביבה העסקית משתנה כל העת ואיומים ופגיעויות חדשים צצים מדי יום. שנית, בחירת אמצעי הנגד (בקרות) המשמשות לניהול סיכונים חייבת ליצור איזון בין הפרודוקטיביות, העלות, האפקטיביות של אמצעי הנגד, לבין שווי נכס המידע המוגן.

סיכון (Risk) הוא הסיכוי שיקרה משהו רע הגורם נזק לנכס מידע (או לאובדן הנכס). פגיעות (vulnerability) היא חולשה שיכולה לשמש כדי לסכן או לגרום נזק לנכס מידע. איום (threat) הוא כל דבר (מעשה ידי אדם או מעשה הטבע) שיש לו פוטנציאל לגרום נזק.

הסבירות שאיום ישתמש בפגיעות כדי לגרום נזק יוצרת סיכון. כאשר איום אכן משתמש בפגיעות כדי לגרום נזק, יש לו השפעה בהקשר של אבטחת מידע. ההשפעה היא אובדן זמינות, שלמות וסודיות, ואולי גם הפסדים אחרים (הכנסה אבודה, אובדן חיים, אובדן רכוש אמיתי). לא ניתן לזהות את כל הסיכונים, וגם לא ניתן לחסל את כל הסיכון. הסיכון שאינו מחוסל או אינו מטופל עקב החלטה בשיקול דעת, נקרא "סיכון שיורי".

הערכת סיכונים מבוצעת על ידי צוות אנשים בעלי ידע בתחומים ספציפיים בעסק. הערכה עשויה להשתמש בניתוח איכותי סובייקטיבי המבוסס על חוות דעת מושכלות, או כאשר קיימים נתוני כספיים אמינים ומידע היסטורי, הניתוח עשוי להשתמש בניתוח כמותי.

באופן כללי, תהליך ניהול הסיכונים מורכב מ:

  • זיהוי נכסים והערכת שווים, כולל: אנשים, בניינים, חומרה, תוכנה, נתונים (אלקטרוניים, הדפסים, אחרים), חומרים מתכלים.
  • הערכת איום, כולל: מעשי טבע, מעשי מלחמה, תאונות, מעשים זדוניים שמקורם בתוך הארגון ומחוצה לו.
  • הערכת פגיעות, ולגבי כל פגיעות, חישוב ההסתברות שהיא תנוצל: הערכת מדיניות, נהלים, סטנדרטים, אימונים, ביטחון גופני, בקרת איכות, אבטחה טכנית.
  • חישוב ההשפעה שיש לכל איום על כל נכס. יש להשתמש בניתוח איכותי או בניתוח כמותי.
  • זיהוי, בחירה ויישום בקרות מתאימות. נדרשת תגובה פרופורציונאלית. יש לקחת בחשבון את הפרודוקטיביות, היעילות, העלות ואת ערך הנכס.
  • הערכת היעילות של אמצעי הבקרה: יש לוודא שהבקרות מספקות את ההגנה הנדרשת בעלות חסכונית ללא אובדן הפרודוקטיביות.

בחירה והטמעה של בקרות אבטחה מתאימות תסייע לארגון להוריד סיכון לרמות סבירות. בחירת בקרה אמורה להתבסס על הערכת הסיכון. בקרות יכולות להשתנות באופיין, אך בעיקרון הן מהוות דרך להגן על סודיות, שלמות או זמינות של מידע. סוגי בקרות:

  • בקרה מנהלית – בקרות ניהוליות מורכבות ממדיניות, נהלים, תקנים והנחיות בכתב. בקרות ניהוליות מהוות את המסגרת לניהול עסקים וניהול אנשים. הם מצהירים כיצד יש לנהל את העסק וכיצד לנהל פעולות יומיומיות. חוקים ותקנות שנוצרו על ידי גופים ממשלתיים הם גם סוג של בקרה מנהלית מכיוון שהם מיועדים לעסק. בחלק מהמגזרים בענף יש מדיניות, נהלים, תקנים והנחיות ייחודיים לענף. התקן לאבטחת מידע בתעשיות כרטיסי התשלום (PCI DSS) הנדרש על ידי ויזה ומסטרקארד הוא דוגמא כזו. דוגמאות נוספות לבקרות ניהוליות כוללות את מדיניות האבטחה התאגידית, מדיניות סיסמאות, מדיניות שכירות ומדיניות משמעתית.

בקרות ניהוליות מהוות בסיס לבחירה ויישום של בקרות לוגיות ופיזיות.

  • בקרה לוגית – בקרות לוגיות (נקראות גם בקרות טכניות) משתמשות בתוכנה ובנתונים כדי לפקח ולשלוט על הגישה למערכות מידע ומחשוב. סיסמאות, חומות אש מבוססות רשת ומארח, מערכות גילוי חדירת רשת, רשימות בקרת גישה והצפנת נתונים הן דוגמאות לבקרות לוגיות.

גם "צמצום זכות גישה" למינימום הנדרש לכל עובד בנפרד, היא בקרה לוגית.

  • בקרה פיזית – בקרות פיזיות מנטרות ושולטות בסביבת מקום העבודה ומתקני המחשוב. הם גם עוקבים אחר בקרה על הגישה למתקנים כאלה וממנה וכוללים דלתות, מנעולים, חימום ומיזוג אוויר, אזעקות אש ואש, מערכות דיכוי אש, מצלמות, בריקדות, גידור, מאבטחים, מנעולי כבלים וכו '. הפרדת הרשת ומקום העבודה לאזורים פונקציונליים הם גם בקרות פיזיות.

בקרה פיזית חשובה שמתעלמים ממנה לעיתים קרובות היא הפרדת תפקידים, המבטיחה כי אדם אינו יכול לבצע משימה קריטית בעצמו. לדוגמה, עובד שמגיש בקשה להחזר לא אמור גם להיות מסוגל לאשר תשלום או להדפיס את ההמחאה. מתכנת לא צריך להיות גם מנהל ה-Server או מנהל מסד הנתונים; יש להפריד בין תפקידים ותחומי אחריות.

יסודות החשיבה ההגנתית

Thinking Security

"הגנה לעומק" – Defense in depth

אבטחת מידע חייבת להגן על מידע לאורך כל חייו, החל מהיצירה הראשונית של המידע ועד למחיקתו הסופית של המידע. יש להגן על המידע "בתנועה" וגם ב"מנוחה". במהלך חייו, מידע עשוי לעבור במערכות עיבוד מידע רבות ושונות ובאמצעות חלקים רבים ומגוונים של מערכות עיבוד מידע. ישנן דרכים רבות בהן ניתן לאיים על מערכות המידע ועל המידע. כדי להגן על המידע באופן מלא במהלך חייו, כל רכיב במערכת עיבוד המידע חייב להיות בעל מנגנוני הגנה משלו. בניית אמצעי בטחון, שכבותיהם והחפיפות ביניהן, נקראת "הגנה לעומק". בניגוד לתפיסת המפורסמת של "הגנת שרשרת", שחוזקה שווה לחוזקה של החולייה הכי חלשה שלה, אסטרטגיית ההגנה לעומק מכוונת למבנה שבו, אם אמצעי הגנה אחד ייכשל, אמצעים אחרים ימשיכו לספק הגנה.

זכרו את הדיון הקודם אודות בקרות מנהליות, בקרות לוגיות ובקרות פיזיות. ניתן להשתמש בשלושת סוגי הבקרים כדי ליצור את הבסיס לבניית אסטרטגיית עומק הגנה. בגישה זו ניתן להמשיג את ההגנה לעומק כשלוש שכבות או מתווים ברורים המונחים זה על גבי זה. ניתן לקבל תובנה נוספת בנושא ההגנה לעומק על ידי מחשבה עליה כיצירת שכבות הדומות לשכבות של בצל, כאשר הנתונים נמצאים בליבת הבצל, האנשים בשכבה החיצונית הבאה, ואבטחת רשת, אבטחה מבוססת מארח ואבטחת יישומים, יוצרים את השכבות החיצוניות ביותר של הבצל. שתי הפרספקטיבות תקפות באותה מידה, וכל אחת מהן מספקת תובנה חשובה ליישום אסטרטגיית עומק טובה בהגנה.

סיווג סוגי מידע לצרכי אבטחה

היבט חשוב של אבטחת מידע וניהול סיכונים הוא הכרת ערך המידע והגדרת נהלים ודרישות הגנה מתאימות למידע. לא כל המידע שווה ולכן לא כל המידע דורש אותה מידה של הגנה. לכן, מתחייב סיווג אבטחה לסוגי מידע שונים.

השלב הראשון בסיווג המידע הוא זיהוי חבר בהנהלה הבכירה כבעלים של המידע הספציפי שיש לסווג.

בשלב הבא, פיתוח מדיניות סיווג. על המדיניות לתאר את תוויות הסיווג השונות, להגדיר את הקריטריונים למידע שיוקצו לתווית מסוימת ולפרט את בקרי האבטחה הנדרשים עבור כל סיווג.

קיימים גורמים המשפיעים על איזה סיווג מידע יש להקצות, לרבות: כמה ערך יש למידע לארגון, בן כמה המידע והאם המידע התיישן או לא. חוקים ודרישות רגולטוריות אחרות הם גם שיקולים חשובים בעת סיווג המידע. איגוד ביקורת ובקרת מערכות המידע (ISACA) והמודל העסקי שלה לביטחון מידע משמשים גם ככלי עבור אנשי אבטחה לבחינת אבטחה מנקודת מבט מערכתית, ויצירת סביבה בה ניתן לנהל אבטחה בצורה הוליסטית, ומאפשרת לטפל בסיכונים בפועל.

בקרת גישה

יש להגביל את הגישה למידע מוגן לאנשים המוסמכים לגשת למידע. יש לאשר גם את תוכנות המחשב, ובמקרים רבים את המחשבים שמעבדים את המידע. זה דורש שיהיו במקום מנגנונים לשליטה על הגישה למידע מוגן. התחכום של מנגנוני בקרת הגישה אמור להיות בשווה לערך המידע המוגן; ככל שהמידע רגיש או בעל ערך רב יותר, כך מנגנוני הבקרה צריכים להיות חזקים יותר. התשתית עליה נבנים מנגנוני בקרת הגישה מתחילה בזיהוי ואימות.

בקרת גישה נחשבת בדרך כלל בשלושה שלבים: זיהוי, אימות והרשאה.

זיהוי

זיהוי הוא קביעה של מי מישהו או מה משהו. הזנת שם משתמש היא טענת "אני האדם ששם המשתמש שייך אליו".

אימות

אימות הוא פעולת אימות טענת זהות. כשג'ון דו נכנס לבנק לבצע משיכה, הוא אומר לנציג הבנק שהוא ג'ון דו, טענת זהות. לנציג הבנק מבקש לראות תעודת זהות, ולכן הוא מוסר את רישיון הנהיגה שלו. נציג הבנק בודק את הרישיון כדי לוודא שהוא על שם ג'ון דו ומשווה את התצלום ברישיון מול האדם הטוען שהוא ג'ון דו. אם התצלום והשם תואמים את האדם, הנציג מאשר שג'ון דו הוא מי שהוא לטענתו. באופן דומה, על ידי הזנת הסיסמה הנכונה, המשתמש מביא הוכחות לכך שהוא האדם אליו שייך שם המשתמש.

ישנם שלושה סוגים שונים של מידע שניתן להשתמש בהם לאימות:

  • משהו שאתה יודע: דברים כמו מספר זיהוי אישי, סיסמא או שם הנעורים של אמך.
  • משהו שיש לך: רישיון נהיגה או כרטיס החלקה מגנטי
  • משהו שאתה: ביומטריה, כולל הדפסי כף יד, טביעות אצבע, הדפסים קוליים וסריקות רשתית (עיניים)

אימות חזק מחייב לספק יותר מסוג אחד של מידע אימות (אימות דו-גורמי). שם המשתמש הוא צורת הזיהוי הנפוצה ביותר במערכות מחשב כיום והסיסמה היא צורת האימות הנפוצה ביותר. שמות משתמש וסיסמאות שימשו את מטרתם, אך הם הולכים וגדלים. שמות משתמש וסיסמאות מוחלפים אט אט או משלימים אותם באמצעות מנגנוני אימות מתוחכמים יותר.

הרשאה

לאחר שאדם, תוכנית או מחשב זוהו ואושרו בהצלחה, יש לקבוע לאילו משאבי מידע הם רשאים לגשת ולאילו פעולות יורשו לבצע (להפעיל, להציג, ליצור, למחוק או לשנות). התהליך נקרא הרשאה. הרשאה לגישה למידע ושירותי מחשוב אחרים מתחילה במדיניות ונהלים. המדיניות קובעת לאילו שירותי מידע ומחשוב ניתן לגשת, על ידי מי ובאילו תנאים. לאחר מכן מוגדרים מנגנוני בקרת הגישה לאכיפת מדיניות זו. מערכות מחשוב שונות מצוידות בסוגים שונים של מנגנוני בקרת גישה.

קריפטוגרפיה

אבטחת מידע משתמשת בקריפטוגרפיה כדי להפוך מידע שמיש לצורה שהופכת אותו לבלתי שמיש על ידי בלתי מורשה; תהליך זה נקרא הצפנה. מידע שהוצפן ניתן לאחזור לצורתו השימושית המקורית על ידי משתמש מורשה המחזיק במפתח הקריפטוגרפי, דרך תהליך הפענוח. קריפטוגרפיה משמשת באבטחת מידע כדי להגן על מידע מפני גילוי בלתי מורשה או מקרי בזמן שהמידע במעבר (אלקטרונית או פיזית) ובזמן שהמידע מאוחסן.

ממשל אבטחת מידע

Information Security Governance

ממשל לאבטחת מידע הוא מסגרת או תקן שנקבעו על ידי חברי הדירקטוריון, הדירקטורים או השותפים בארגון. מערכת זו מתווה את יעדי האבטחה של החברה, וקובעת כיצד היא תפעל. בכל עסק בוגר, אך ורק חברי הדירקטוריון, הדירקטורים או השותפים בארגון אחראים לממשל אבטחת מידע. יש לראות בכך דרישה עסקית שאינה ניתנת לערעור, אשר מוטמעת "מלמעלה למטה".

ממשל מבטיח באופן הדוק ואמין יותר כי יעדים קיימים וניתן למדוד אותם מול הביצועים הנוכחיים. הם מספקים פיקוח מטעם בעלי המניות ומבטיחה כי ניתן למתן את הסיכון בצורה מספקת. על ממשל גם להבטיח שהאבטחה תואמת את חוקי הרגולציה המקומיים והבינלאומיים. הממשל הוא חלק מאסטרטגיית ניהול הסיכונים של העסק, והיא תהיה בעלת השפעה ישירה על הדרך בה החברה תעבור בהצלחה בטווח הארוך.

 

להמשך הבנתך המלאה, עבור לפרק

התקני אבטחת תשתית רשת

היה סבלני וקרא עד הסוף. הקריאה תשפר את יכולתך לקבל החלטה כה חשובה ותחסוך לך טעויות אפשריות.