יאיר רודיאקוב*
מאמר זה מסכם את סידרת המאמרים בנושא
ניהול אבטחת מידע ומתייחס גם לאופנה
הנפוצה כיום של איחוד נושאי ניהול סיכונים
תחת "מטריה אחת" - ניהול סיכונים ארגוני.
מבט קצר על פרקי הסדרה
תחילת הסידרה עסקה בשאלה: את מה מנהל מנהל אבטחת המידע?
המתודולוגיה מכתיבה, שאבטחת מידע הינה טיפול בשלושה
מרכיבים: סודיות, שלמות ואמינות, זמינות ושרידות.
במדינת ישראל, אם בארגון מונה מנהל אבטחת מידע, אזי בפועל
הוא אחראי בעיקר על מרכיב הסודיות. אין לזלזל במרכיב זה. מבין
השלושה, דווקא המענה לסודיות דורש את ההתייחסות הרחבה ביותר,
כאשר אנו עוסקים בטכנולוגיית מידע. המענה לנושא האיומים על
הסודיות מתפרס על פני התחומים הבאים: ארכיטקטורת פריסת
מערכות טכנולוגיית המידע הגדרת מדיניות להפעלת מערכות
טכנולוגיית המידע, רכיב אחרי רכיב (רכיבי התקשורת, מערכות
ההפעלה, מסדי הנתונים, יישומים) ולבסוף, מגוון תהליכי העבודה,
שנקבעו עבור המשתמשים במערכות לסוגיהם השונים. האחריות
לנושא שלמות ואמינות המידע תמצא בדרך כלל בידי מנהלי הפיתוח
/ מנהל מערכות המידע (מנמ"ר) עצמו, כך גם נושא הזמינות. שונה
לגמרי נושא השרידות, שכן שרידות היא פתרון לתרחיש/ים של פגיעה
בזמינות. בדרך כלל האחריות לשרידות ניתנת למנהל בכיר בארגון, שכן
מדובר בתקציבים ובמשאבים גדולים ליישום מענה.
ניהול אבטחת מידע וחקיקה/רגולציה בישראל
מספר חוקים רגולציות עוסקות בנושא זה ומחייבות חברות וסקטורים
שונים:
1. חוק ותקנות להגנת הפרטיות,
2. חוק להסדרת הביטחון בגופים ציבוריים,
3. הוראת ניהול בנקאי תקין מספר 753 לתאגידים בנקאיים מטעם
המפקח על הבנקים.
4. ניהול סיכוני אבטחת מידע לגופים מוסדיים מטעם המפקח על
הביטוח.
שני מרכיבים לניהול אבטחת מידע: מיצוב ארגוני ותחומי אחריות.
מיצוב ארגוני. שלושה מהארבעה (חוק להסדרת הביטחון,
והוראות המפקח על הבנקים והמפקח על הביטוח) שמים דגש
ומציבים עמדה ברורה בעניין זה (מנהל אבטחת המידע הינו
נושא משרה בכיר). חוק הגנת הפרטיות איננו מתייחס לסוגיה זו
כלל וכלל. גם הסמנטיקה של "ממונה אבטחת מידע" בלשון חוק
הגנת הפרטיות ממעיטה מחשיבות/בכירות המשרה.
(סודיות, שלמות ואמינות, זמינות
CIA
תחומי אחריות. במישור
ושרידות) ובמישור אבטחה פיזית למול אבטחת המחשבים:
וכולל התייחסות לדרישות
CIA
1. חוק הגנת הפרטיות מתייחס לכל ה־
לאבטחה פיזית ומיחשובית,
בלבד וקיימת הפרדה
C
2. חוק להסדרת הביטחון נחזה להתייחס ל־
בין פעילות אבטחה פיזית ופעילות אבטחת מידע,
בלבד ומחייבת אספקת מענה
I
ול־
C
3. הוראת המפקח על הבנקים ל
פיזי ומיחשובי,
. גם הוראה זו מתייחסת לפן
CIA
4. הוראת המפקח על הביטוח לכל ה־
הפיזי והמחשובי.
נראה שבמבחן ההתאמה למציאות, המחוקקים והרגולטורים
במדינת ישראל אינם קוהרנטיים בינם לבין עצמם, דבר העלול להקשות
על ארגונים הנדרשים לעמוד במספר חוקים/דרישות רגולטוריות
לקבלת החלטות בעניין תחומי האחריות של מנהל אבטחת המידע.
מנהל אבטחת מידע: טכנולוג או מנהל
אבטחתמידע בארגון הינו תהליך החוצה את כל היחידותהארגוניות.
מדובר במגוון פעילויות הדורשות הכרת תהליכי יצירה, שינוע ואגירת
מידע בכל תהליכי העבודה בכל אחת מהיחידות הארגוניות. ככזה
מחייב מוטת שליטה רחבת היקף. מזה זמן כבר לא מדובר על משימה
טכנולוגית בלבד. זו משימה המחייבת כישורים ניהוליים. כישורים
ניהוליים נדרשים כוללים את:
1. היכולת להבין מתוך הגדרת התפקיד כפי שהוטל, כיצד לפרק אותו
לנושאים הספציפיים.
2. לסמן בכל נושא מי אמור לבצע אותו, מתי אמור להתחיל ולהסתיים,
ומה המשאבים נדרשים על מנת לבצע אותו.
3. להוציא לפועל את הפעילויות הנ"ל.
4. להוביל בארגון את ניתוח האיומים, הסיכונים והמענים להם למידע
ולטכנולוגיית המידע בתחום הסודיות, ובמידה מסויימת גם בנושאי
שלמות, אמינות וזמינות.
5. להגדיר פרמטרים למדידת רמת אבטחת המידע של הארגון בתחומי
אחריותו.
6. להציג בפני הנהלת הארגון מעת לעת ועל־פי בקשה את מצב
אבטחת המידע לפי פרמטרי המדידה.
מערך הנושאים המתואר לעיל הינו במובהק בתחום הניהול. על כן,
מנהל אבטחת המידע, בין שהינו בעל רקע טכנולוגי רחב או צר, חייב
* הכותב הינו מתודולוג ומידען בתחום אבטחת מערכות מידע ומנהל תחום תקינה ומתודולוגיה ב"אבנת אבטחת מידע וניהול סיכונים"
ניהול אבטחת מידע -
מילות סיכום ומבט לעתיד
מאמר שישי ומסכם בסידרה בת שישה מאמרים
>
טכנולוגיות אבטחתיות
אפריל-מאי 3102
הביטחון
| 12
60...,13,14,15,16,17,18,19,20,21,22 2,3,4,5,6,7,8,9,10,11,...1