מוסמך מתודולוגיות הגנת סייבר
CYBER SECURITY METHODOLOGY PROFESSIONAL
מומחה רגולציות ו- GRC
אדם בעל השכלה אקדמית[3] וידע מקיף ומעמיק, האחראי על:
גיבוש, אפיון ומימוש תפיסות, שיטות ומתודולוגיות להגנת הסייבר בארגון.
הטמעת היבטי אסדרה ותקינה ישראלית ובינלאומית והיבטי הגנת הפרטיות.
ניהול סיכונים בהגנת הסייבר.
ליווי מתודולוגי של תהליכים ארגוניים בתחום הגנת הסייבר )כגון ליווי הקמת מערכת הגנת סייבר ארגונית, ליווי פרויקטים בהיבטי הגנת סייבר, אבטחת שרשרת האספקה, המשכיות עסקית, התאוששות מאסון וניתוח השפעות עסקיות.) כל זאת תוך הכרת והבנת הפעילות, הצרכים והמטרות של הארגון.
ידע מקצועי נדרש
בסיס ידע כמו של מיישם הגנת סייבר
הכרת חוקים והחלטות ממשלה: לרבות חוק המחשבים, חוק הסדרת הביטחון בגופים ציבוריים, חוק הגנת הפרטיות, החלטות ממשלה רלבנטיות.
תקינה ואסדרה: ישראלית ובין-לאומית, בנושאי הגנת סייבר ואבטחת מידע, לרבות: סדרת 27000 SOX, PCI DSS, ISO, באזל, סדרת 800 של NIST, ISO 31000, Common Criteria, IEC 62443, HIPAA, הוראות המפקח על הבנקים, הוראות המפקח על הביטוח ושוק ההון.
הסמכות רלוונטיות: CISSP – לדף ההסמכה
ארגונים בעולם העוסקים בתקינה ובהסמכות: AFNOR,DIN, BSI, ITU, IEEE, NIST, ANSI, IEC, ISO, ISA, SANS, ISACA, ISC2, NERC, ETSI, ENISA, CENELEC, CEN.
תפיסות וגישות בהגנת סייבר: מעגלי הגנה, Least privilege, No single point of failure, Defense in depth, Need to know, הלימה בין רמת הגנה לרמת סיווג (כולל אבחנה בין סיווג למידור), מימוש בקרות מפצות כמנגנון משלים.
מתודולוגיות ומסגרות עבודה בתחום טכנולוגיות המידע: COBIT, ITIL.
מדיניות ונהלים: מטרת המדיניות, בניית מדיניות, הקשר בין מדיניות לנהלים.
GRC -Governance, Risk management and Compliance
ממשל הגנת סייבר (Governance) – ניהול הגנת סייבר ברמת הארגון, מבנים ארגוניים תומכים, מימוש מדיניות הגנת סייבר ארגונית, בעלי תפקידים, תקצוב, שליטה ובקרה ארגונית, הקצאת משאבים, מחויבות הנהלה ודירקטוריון.
ניהול סיכונים (Risk management) – מתודולוגיות ניהול סיכונים (כגון מתודולוגיית COSO), סוגי סיכונים, זיהוי הסיכונים, ניתוח הסיכונים, השפעת הסיכונים על הארגון, דרכי התמודדות, סיכונים שיוריים.
תאימות (Compliance) – תאימות לדרישות חוק, רגולציה, תקינה, חוזים, מדיניות ונהלים ארגוניים, דרישות פנים ארגוניות וחוץ ארגוניות (כגון דרישות לקוח).
ביקורת (Audit) בתחום הגנת סייבר: בקרות טכנולוגיות ומתודולוגיות נדרשות, וכן הכנת וליווי ארגונים למבדקי תאימות לתקינה.
ליווי הקמת מערכת הגנת סייבר ארגונית: הגדרת היעדים, הגדרת נכסי המידע / המערכות החיוניות, זיהוי וניהול הסיכונים, הגדרת תהליכי טיפול ומניעה, הגדרת ובחירת הבקרות הנדרשות, מיקוד בתהליכי עבודה אפקטיביים, שילוב ההגנה כחלק מהתהליכים הארגוניים, הנעת תהליכי לימוד, הפקת לקחים ושיפור.
ליווי פרויקטים בהיבטי הגנת סייבר: שילוב נושאי ההגנה במכלול מחזור החיים של מערכות ממוחשבות (SDLC).
אבטחת שרשרת האספקה.
המשכיות עסקית (BCP), התאוששות מאסון – DRP, פעילות Incident Response Plan, וניתוח השפעות עסקיות (BIA).