ואצאפ

מבוא לאסדרת מקצועות הסייבר

רגולציה/ חקיקה

מדינת ישראל, באמצעות מערך הסייבר הלאומי, הכריזה ומיישמת תהליך “אסדרת מקצועות הסייבר בישראל" (רגולציה).

נושא האסדרה למקצועות הועלה לראשונה על-ידי הפורום הישראלי לאבטחת מידע IFIS, אשר הוקם ב- 2007 על-ידי אבי ויסמן (יו”ר) והאלוף יעקב עמידרור.

ב- 2012 הוקם מטה הסייבר הישראלי אשר אימץ בפועל את המלצות הפורום לבצע אסדרה. ב- 2015 הוקמה הרשות הלאומית להגנת סייבר אשר מתכננת את פרטי ההחלטה ומיישמת אותה. ב- 2016 אוחדו הגופים לגוף הנקרא מערך הסייבר הלאומי (INCD).

רגולציה זו לא מאפשרת “המצאת קורסים” ומחייבת מכללות לתוכנית לימודים ולאיכות לימודים ברמה ההולמת את צרכי מקצועות הסייבר. תוכניות לימוד אשר לא תעמודנה בתקן זה לא תאושרנה על-ידי מערך הסייבר והאגף להכשרה מקצועית במשרד העבודה (בשם מדינת ישראל).

ראשי הפרקים באסדרה:

  • מערך הסייבר הלאומי
  • המטרה
  • השיטה
  • תכולה
  • שיטת בחינה
  • התייחסות לאנשי מקצוע ותיקים
  • דרישות-סף למקצועות הסייבר
  • התייחסות לאנשי מקצוע ותיקים
  • דרישות-סף למקצועות הסייבר
  • הדרישה מהמשק
  • רשימת מקצועות הסייבר שהוגדרו רישמית – תמצית
  • רשימת מקצועות הסייבר שהוגדרו רישמית – מורחב

מהו מערך הסייבר הלאומי? (Israel National Cyber Directorate)

המערך הוא גוף ממלכתי, ביטחוני וטכנולוגי האמון על הגנת מרחב הסייבר הלאומי ועל קידום וביסוס עוצמתה של ישראל בתחום. המערך פועל ברמת המדינה לחיזוק תמידי של רמת ההגנה של הארגונים והאזרחים, לטיפול בתקיפות סייבר ולסילוקן ולהיערכות לחירום. כחלק מתפקידיו, מקדם המערך פתרונות חדשניים וטכנולוגיות צופות פני עתיד, מתווה אסטרטגיה ומדיניות בזירות הלאומית והבין-לאומית, ומפתח את ההון האנושי בתחום. המערך חותר לקיום מרחב סייבר מוגן, בטוח וחופשי עבור כלל האזרחים, המאפשר את צמיחתה ואת ביסוס עוצמתה של מדינת ישראל.

ב- 2007 הוקם הפורום הישראלי לאבטחת מידע IFIS, על-ידי אבי ויסמן (יו”ר) והאלוף יעקב עמידרור, כגוף לאומי התנדבותי. ב- 2012 הוקם הגוף הממלכתי הרשמי –  מטה הסייבר הישראלי, אשר "ירש" את התפקיד, אימץ את רעיון אסדרת המקצועות, והחל לקדמו באופן ממלכתי. ב- 2015 הוקמה הרשות הלאומית להגנת סייבר אשר תכננה את פרטי ההחלטה ויישמה אותה. ב- 2016 אוחדו הגופים תחת השם הנוכחי.

רגולציה זו לא מאפשרת “המצאת קורסים” ומחייבת מכללות לתוכנית לימודים ולאיכות לימודים ברמה ההולמת את צרכי מקצועות הסייבר. תוכניות לימוד אשר לא תעמודנה בתקן זה לא תאושרנה על-ידי מערך הסייבר והאגף להכשרה מקצועית במשרד העבודה (בשם מדינת ישראל).

המטרה

העלאה ניכרת ברמת המקצועיות של אנשי הגנת הסייבר בישראל

השיטה

קביעת רשימת מקצועות והתמחויות, והגדרת תכנים נכונים וזווית הראייה הרלוונטית לכל מקצוע.

יצירת אמת מידה (מבחן לאומי) הבוחנת את בעלי המקצוע השונים.

תכולה

אנשי סייבר המועסקים במישרין ובעקיפין כקבלני מישנה על-ידי המדינה וגופיה, ו/או כפופים לרגולציה ממשלתית כללית או מיגזרית (גופי בטחון, רפואה, אנרגיה, פיננסים וכו’)

ההערכה הקיימת היא שהרגולציה תקיף את כלל אנשי המקצוע בישראל (אנשי מקצוע שאינם מחויבים יבחרו בהסמכה מרצון).

 שיטת בחינה

מבחן תאורטי ומבחן מעשי, וכן מבחני כשירות תלת-שנתיים.

התייחסות לאנשי מקצוע ותיקים

טרם נקבעה התייחסות רשמית. צפויה הקלה חלקית בתנאי המבחנים.

דרישות-סף למקצועות הסייבר

כל בעל מקצוע בתחום הסייבר מחויב ברכישת ידע במערכות הפעלה, תקשורת וטכנולוגיות בסיסיות בהגנת סייבר:

Windows Server or Linux Server System

השלמה ברמת Linux Client or Windows Client (בהתאמה וכהשלמה לסעיף קודם)

תקשורת מחשבים: טופולוגיות, רכיבים ופרוטוקולים

טכנולוגיות בסיסיות בהגנת סייבר: חומת אש, אנטי-וירוס, אנטי-ספאם.

לעיתים, גם לימוד שפת Python.

הדרישה מהמשק

תהליך החלת היישום במשק (עבודה בפועל של בעלי המקצוע המוסמכים במגזרי המשק והארגונים השונים) יתבצע באופן מדורג בהתאם לחשיבות ודחיפות, לסוג המגזרים והארגונים, לקיום תשתית משפטית מתאימה וכדומה. זאת תוך איזון הולם בין המרכיבים, האילוצים והסיכונים הרלוונטיים:

 

במשרדי הממשלה – העוסקים בהגנת הסייבר יידרשו לעמוד בהסמכות הרלוונטיות כפי שנקבע בהחלטת ממשלה 2443:

כל עובד חדש שיועסק בתחום הגנת הסייבר בממשלה יעמוד בהסמכות הרלוונטיות.

בתוך חמש שנים, לכל היותר, כלל העובדים העוסקים בהגנת הסייבר בממשלה יעמדו בהסמכות הרלוונטיות.

במגזרי המשק האזרחי (בכלל המגזר או בגופים מסוימים בו) – העוסקים בהגנת הסייבר יידרשו לעמוד בהסמכות הרלוונטיות על פי הכוונת הרגולטורים הרלוונטיים בהתאמה למדיניות המערך. זאת, בהלימה להחלטת ממשלה 2443, אשר הטילה על הרגולטורים המגזריים להכווין ולהנחות את גופי המגזר בהגנת הסייבר, לרבות הגדרת המדיניות ודרישות האסדרה בהתאם למאפיינים של הגופים אשר ביחס אליהם מתבצעת הפעילות.

בגופים ייחודיים שיוגדרו על ידי הרשות כבעלי נזק פוטנציאלי משמעותי כתוצאה מפגיעה במערכות הממוחשבות שלהם[1] – העוסקים בהגנת הסייבר יידרשו לעמוד בהסמכות הרלוונטיות על פי החלטת המערך, ובמידת הצורך תוך היוועצות עם הרגולטורים המגזריים הרלוונטיים.