אבטחת מידע
אוגוסט-ספטמבר 4102
הביטחון
| 18
יאיר רודיאקוב*
תחום הגנת מידע וסייבר הינו תחום ידע
מקצועי. ארגונים נדרשים להטמיע את נושא
הגנת המידע והסייבר והטמעה זו אמורה
לבוא לידי ביטוי בתהליכי עבודה שונים
בארגון.
הגנת מידע סייבר בהיותה תחום ידע
מקצועי מחייבת שלארגון יהיה בסיס הידע
המקצועי הנדרש. בסיס ידע כזה נתן להקמה בשלוש אפשרויות:
גורם חיצוני בעל סמכות פורמלית כדוגמת מחוקק, רגולטור, או גוף
.1
סטאטוטורי שהוקם לצורך כך. במקרה זה נתן להניח, שהגוף גם
מוסמך להפיץ ולאכוף את תשתית הידע בארגונים הרלוונטיים.
אימוץ והתאמת רגולציה קיימת כדוגמת תקני הגנת מידע וסייבר
.2
72 של מכון התקנים העולמי והישראלי)
xk
בינלאומיים (סדרת תקני
או תקנים לאומיים - בינלאומיים אחרים.
הפקה עצמית של בסיס הידע האמור.
.3
בסיס ידע זה יהווה פועל יוצא של הגדרת האיומים והסיכונים
לארגון (איום הייחוס) כנגדם צריך לספק מענה והאמצעים שנדרש
לנקוט על־מנת לספק מענה כנגדם כגון, מסמכי הקשחה לרכיבי
טכנולוגיית המידע, מדיניות סיסמאות ארגונית, תורת הפיתוח
המאובטח (באופן כללי ובאופן מפורט על־פי סביבות הפיתוח
וגרסאות התוכנה, שבהן נעשה שימוש בארגון או עבור הארגון),
הגנת מידע וסייבר במערכות טכנולוגיות שאינן בבעלות הארגון ובהן
מידע רגיש, סיווג מידע, יישום הגנת מידע וסייבר במערכות מחשוב
ניידות, הגנת מידע וסייבר במערכות תפעוליות כדוגמת מערכות
ניהול בניין, מכשור רפואי, שיטת הגנת מידע וסייבר בגישה מרחוק
למערכות מידע של הארגון ועוד.
בסיס הידע כולל למעשה את כל הידע המקצועי הנדרש על־מנת
לספק את המענה הנדרש לאיום הייחוס. ככזה ברור לחלוטין שהוא
איננו בסיס ידע סטאטי והוא מתעדכן בהתאם לצרכים.
אופן ההטמעה בארגון
שני יסודות נדרשים על־מנת שארגון יממש את בסיס הידע
והפעילות בתחום הגנת הסייבר תהיה מנוהלת, יעילה, ברת מדידה
ותקצור את הפירות המקווים לאורך זמן:
מחוייבות פורמאלית של הנהלת הארגון. מחוייבות זו באה לידי
.1
ביטוי במסמך מדיניות הגנת מידע וסייבר, שהנהלת הארגון חתומה
עליו. זה מסמך מיוחד בעל חשיבות עליונה. שכן מסמך זה מתורגם
לשורה של מסמכים (נוהלים, הנחיות, הוראות עבודה וכיו"ב)
המעבדים אותה לצעדים תפעוליים, תוך שימוש בבסיס הידע.
חלוקת אחריות וסמכות ארגונית לנושא הגנת מידע וסייבר תוך
.2
הגדרת תפקידים ברורה. מנהל הגנת מידע וסייבר הינו הסמכות
המקצועית העליונה בארגון בנושא בסיס הידע המקצועי גם
. הוא
)2(
אם זו נסמכת על בסיס ידע, שהכין גורם מקצועי חיצוני
מספק הנחייה מקצועית לכל הגורמים שהנהלת הארגון קבעה
להם תפקיד בתחום במסגרת המדיניות. בנוסף הוא מבצע את
הפעילויות הנוספות, שהנהלת הארגון הטילה עליו במסגרת
המדיניות.
מה כולל מסמך מדיניות הגנת מידע וסייבר
מסמך מדיניות הגנת מידע וסייבר חובה שיכלול מספר נושאים
מרכזיים. על מנת להבין מדוע אלו הם הנושאים, להלן הסבר קצר.
המסמך אמור לייצג כלפי הארגון וגם כלפי גוף ביקורת (פנימי או
חיצוני) את מעטפת הגנת המידע והסייבר, דהיינו, האם הנהלת הארגון
מבינה במה דברים אמורים כאשר נזרקות לחלל האוויר המילים: "הגנת
מידע וסייבר" והאם הנהלת הארגון יצרה את המחוייבות הארגונית
המספקת על־מנת שהבנה זו תמומש באופן מעשי? על־כן, פרקי חובה
במסמך מדיניות הגנת מידע וסייבר יהיו:
הצגת הארגון ומערך המידע וטכנולוגיית המידע, שעליו יש להגן.
.1
מדוע הגנת מידע וסייבר? דהיינו, האיומים והסיכונים למידע
.2
ולמערך טכנולוגיית המידע והסייבר, שבגינם (ורק בגינם) נדרשת
ההגנה.
כיצד עושים הגנת מידע וסייבר בארגון?
.3
תפישה כללית בנושא הגנת מידע וסייבר מספקת את המעטפת
א.
הניהולית לתשתית הידע.
מבנה ארגוני: חלוקת סמכות ואחריות במסגרת הארגון בנושא
ב.
הגנת מידע וסייבר, החל מוועדת היגוי להגנת מידע וסייבר
תפקידיה וחבריה, מנהל הגנת מידע וסייבר כולל מיקומו בארגון
(אחת משתי אפשרויות: מנהלו הינו חבר הנהלה או הוא עצמו
....? המאמרים בגיליונות:
Buzzword
(1) על ההבדל בין הגנת מידע והגנת סייבר, ראה: "אבטחת/הגנת המידע והגנה בסייבר: עולמות שונים או סתם
45 (ינואר־פברואר 4102, חלק ראשון) ו־55 (אפריל־מאי 4102, חלק שני).
(2) בפועל, ארגונים מחלקים את התחום המקצועי לשני חלקים. אחריות להיבטים הפיזיים של הגנת מידע וסייבר ניתנת למנהל הביטחון/קב"ט
הארגון בנוסף על שאר תפקידיו כמנהל הביטחון/קב"ט האחראי על ביטחון כלל האנשים והנכסים. חלוקה זו חייבת לקבל ביטוי במסמך המדיניות של
הארגון שההנהלה חתומה עליו.
*הכותב הינו מתודולוג ומידען בתחום אבטחת מידע וניהול סיכונים מערכות מידע ומנהל תחום תקינה ומתודולוגיה ב"אבנת"
)1(
הגנת מידע וסייבר
- היערכות ארגונית
