מדריך זה דן באבטחת מידע כוללת בארגון והוא מיועד לסייע בפרויקט שמטרתו לשפר את תשתית אבטחת המידע בארגון. תשתית זו קשורה באופן הדוק עם מערכות המידע והצדקתה חייבת לנבוע מצורכי מערכות המידע ומדרישותיהן בתחום זה. פרויקט אבטחת מידע אינו מטפל במערכת מידע מסוימת אלא ברמה ארגונית, וכולל גם עיסוק בהיבטי אבטחת מידע שלא קשורים ישירות למערכות מידע, כגון אבטחה פיסית, מדיניות ונהלים וטיפול בתהליכים הקשורים לכוח אדם.
המדריך סוקר את ההיבטים המיוחדים של פרויקט מהסוג הזה ואת השלכותיהם על מחזור החיים ועל עץ המערכת. המדריך מדגיש את הנקודות השונות או הנוספות המיוחדות לפרויקט אבטחת מידע ואיננו בא במקום מחזור החיים ועץ המערכת האוניברסאליים. השימוש במדריך זה מיועד, אפוא, בעיקר למי שמכיר את מפת"ח ורוצה להתמקד בייחודיות של פרויקט תשתית אבטחת מידע בארגון.
קיט זה דן באבטחת מידע כוללת בארגון והוא מיועד לסייע בפרויקט שמטרתו לשפר את תשתית אבטחת המידע בארגון. תשתית זו קשורה באופן הדוק עם מערכות המידע והצדקתה חייבת לנבוע מצורכי מערכות המידע ומדרישותיהן בתחום זה. פרויקט אבטחת מידע אינו מטפל במערכת מידע מסוימת אלא ברמה ארגונית, וכולל גם עיסוק בהיבטי אבטחת מידע שלא קשורים ישירות למערכות מידע, כגון אבטחה פיסית, מדיניות ונהלים וטיפול בתהליכים הקשורים לכוח אדם.
המדריך סוקר את ההיבטים המיוחדים של פרויקט מהסוג הזה ואת השלכותיהם על מחזור החיים ועל עץ המערכת. המדריך מדגיש את הנקודות השונות או הנוספות המיוחדות לפרויקט אבטחת מידע ואיננו בא במקום מחזור החיים ועץ המערכת האוניברסאליים. השימוש במדריך זה מיועד, אפוא, בעיקר למי שמכיר את מפת"ח ורוצה להתמקד בייחודיות של פרויקט תשתית אבטחת מידע בארגון
מטרת המדריך היא לשמש כלי עבודה בשלבי מחזור החיים השונים של פרויקט בנייה או שיפור של תשתית אבטחת המידע בארגון. המדריך מתאר עץ מערכת מיוחד לפרויקט תשתית אבטחת מידע ארגוני, ממנו ניתן לגזור את העץ הפרטי לסוג והיקף הפרויקט הספציפי העומד על הפרק. במדריך זה מתוארים רק השינויים והתוספות הייחודיים לפרויקט תשתית אבטחת מידע ארגוני בהשוואה למערכות מידע רגילות, בלי הגבלת הכלליות של מחזור החיים, עץ המערכת ושאר הנחיות מפת"ח.
במציאות של היום, בה מערכות ממוחשבות מניעות את רוב התהליכים הארגוניים בכל הרבדים, והקישוריות בין רשתות, כולל לאינטרנט, הולכת וגדלה, הופך נושא אבטחת המידע והמערכות הממוחשבות לכורח שאין בלתו.
הפגיעה במערכות הממוחשבות בארגונים שונים עלולה לגרום לנזקים גדולים. לדוגמה:
בעולם העסקי
· הפסדים כספיים
· מניעת השגת היעדים העסקיים
· לעיתים אף להתמוטטות הארגון
בתחום הממשלתי\ציבורי
· פגיעה ברמת השירותים הניתנים לאזרח
· פגיעה בצנעת הפרט
בתחום הביטחוני\צבאי
· פגיעה ברמת הביטחון
· חשיפת סודות צבא או מדינה
· פגיעה פיסית באנשים (חיילים, דיפלומטים, כוחות בטחון וכד').
בתשתיות לאומיות
· הפרעות במתן שירותים בסיסיים כגון חשמל, מים, תקשורת וכד', עד כדי הפסקה מוחלטת.
אבטחת מערכות מידע עוסקת בשמירה על שלושה פרמטרים:
· חיסיון המידע (Confidentiality)
· זמינות מערכות המידע (Availability)
· שלימות המידע (Integrity)
אבטחת מידע מטרתה להגן על ארבע הפעולות הבסיסיות המבוצעות על ידי כל מערכת וכל בסיס נתונים. פעולות אלה מכונות CRUD:
· Create - יצירה\ הוספה של מידע (רשומה) חדש(ה)
· Read – קריאה\שליפה של מידע
· Update – עדכון\שינוי מידע
· Delete – מחיקה\ביטול של מידע
חיסיון המידע נוגע בעיקר לקריאה ושליפה ומטרתו לוודא שרק מי שמורשה יכול לקרוא ולשלוף את המידע (שהוא מורשה לגביו). זמינות ושלימות המידע נוגעות לשלוש הפעולות האחרות: יצירה, עדכון וביטול שהן בעצם כתיבה בצורה זו או אחרת. במילים אחרות, על מנת לוודא את זמינות המערכת ושלימות הנתונים, יש לוודא שרק מי שמורשה אכן מבצע הוספה של מידע חדש, עדכון או ביטול, היינו, מורשתה לכתיבה.
אבטחת מערכות מידע הוא נושא הנוגע לכל רוחב הארגון, וכולל הטמעת תהליכים ארגוניים המשולבים עם פתרונות טכנולוגיים. ניתן להתייחס אל אבטחת מערכות מידע מרמת האפליקציה הבודדת, עד לרמת התשתית עליה מופעלות האפליקציות השונות. קיט זה מטפל בפרויקט לשיפור רמת האבטחה ברמת התשתית של הארגון.
ניתן להגדיר כאקסיומה שאין אפשרות ריאלית להגיע לרמת אבטחת מידע של 100% עבור מערך מחשוב ארגוני. המורכבות של מערך המחשוב, התלות ברכיבים רבים ומגוונים, והדינאמיות הטכנולוגית המתמדת, גורמות לכך שגם אם נדמה ברגע מסוים שמערכת ספציפית "בטוחה" לגמרי, סביר להניח שזהו מצב זמני.
טכנולוגיות אבטחת המידע תמיד יפגרו אחרי פיתוחי המחשוב החדישים ואחרי המוחות המחפשים באופן תמידי את הפרצות ואת הדרך לתקוף ולגרום להרס, כגון: ריגול תעשייתי או מפתחי הוירוסים והתולעים למיניהם.
בהתאם לכך, ניתן לתאר את תהליך אבטחת המידע בארגון הרצוי באמצעות מודל של ניהול סיכונים הכרוך מחד גיסא בניתוח האיומים והסיכונים הרלבנטיים למערך המחשוב; ומאידך גיסא, ביישום מדיניות, נהלים ופתרונות טכניים שיביאו את מערך המחשוב לרמת אבטחת מידע סבילה עבור הארגון הספציפי.
המודל ניתן לתיאור בעזרת השרטוט הבא:
.jpg)
המודל מתאר רצף של תהליכים מעגליים ותוצרים המשתלבים במחזור החיים של פרויקט תשתית אבטחת מידע בארגון. כמפורט להלן:
· סקר סיכונים
· מדיניות אבטחת המידע
· בדיקת יישום המדיניות
· איתור חולשות אבטחה
· עדכון מדיניות האבטחה
היבט אחר, הוא בחינה והחלטה על הרוחב והעומק הדרושים כדי להגיע לתשתית מאובטחת במידה מספקת לאופי הארגון. אין גבול לרמת אבטחת מידע הניתנת להשקעה, ופרויקטים מהסוג הזה בדרך כלל יקרים מטבעם. לכן, יש צורך להגדיר את היקף הפרויקט כך שיקנה רמת אבטחה מספקת בעלות סבירה. בנוסף, המגבלות הנוצרות בתהליך שיפור רמת האבטחה עלולות להפריע לזרימת תהליכים ארגוניים (בעיקר בתפעול המערכות הממוחשבות). נדרשת זהירות לא ליצור רמת אבטחה שתשרת רק את עצמה תוך שיתוק או הפרעה בלתי סבירה לתהליכים הארגוניים. יש לזכור שמלכתחילה, הצורך נובע מהדרישה למזער את הסיכונים למערכות המידע בארגון.
פרויקט תשתית אבטחת מידע ארגוני מתפרס על מישורים רבים, ואינו דן רק ביישומי מחשב בנושא אבטחת מידע. הפרויקט כולל גם טיפול בהגדרת מדיניות ארגונית בנושא, קביעת תהליכים, קביעת ארכיטקטורת תשתית הרשתות בארגון, כולל סוגי חומרה ותוכנה בסיסית, וגם פתרונות ייחודים לאבטחת מידע, הכוללים חומרה ויישומי תוכנה.
שוק אבטחת המידע מציע מגוון רחב מאד של פתרונות. חשוב לבחון היטב, במסגרת הפרויקט, את היכולת לבצע אינטגרציה בין הרכיבים הבודדים הנראים על פניו כמתאימים לארגון. יישומי האבטחה חייבים להיות מותאמים האחד לשני, עם תשתית המחשוב ועם סוגי מערכות המידע הקיימות. ללא בחינת היבט זה, הארגון עלול למצוא את עצמו עם אוסף יקר ערך של פתרונות מעולים שאינם משפרים את האבטחה מכיוון שהאינטגרציה ביניהם או התפעול שלהם קשים מדי.
קיימות מערכות מידע לניהול אבטחת המידע, היודעות בין היתר:
· לאסוף חיוויים מתשתיות המחשוב וממערכות אבטחת המידע השונות
· לבצע ניתוח של הנתונים שנאספו מול מדיניות שהוגדרה מראש על המערכת עצמה
· להתריע על אירועים חשודים כפגיעה ברמת אבטחת המידע.
פרויקט תשתית אבטחה בארגון גדול יכיל מערכת מהסוג הזה לניטור ובקרת האבטחה. שוב, בחירת המערכת מחייבת לבחון אותה בצמוד לשאר הרכיבים הקיימים או המתווספים לתשתית הארגון במסגרת הפרויקט.
לתשתית אבטחת מידע, הכוללת כחלק אינהרנטי שינויים בתשתית המחשוב בארגון, יש השפעה לא רק בטווח הקצר, אלא גם בטווח הבינוני והארוך. מכאן שההיבט הטכנולוגי משמעותי מאד בבחירת סוגי התשתיות והפתרונות העומדים לשרת את הארגון בתחום אבטחת המידע. יש לקחת בחשבון את התכנון לטווח הבינוני והארוך בנושא מערכות מידע האמורות להישען על תשתית זו.
פרויקט תשתית אבטחת מידע הוא ארוך לרוב. יש חשיבות לתכנן את הפרויקט באופן שבעת המימוש לא תפגע רמת האבטחה הקיימת. לא יתכן מצב שהגנות מוסרות מהתשתית הקיימת לפני שההגנות החדשות מותקנות. מימוש נכון דורש הסתכלות רחבה והתייחסות לכל הקשרים בין התשתיות והמערכות השונות, מאחר שחוזק האבטחה הוא כחוזק החוליה החלשה.
פרויקט מסוג זה דורש השתתפות פעילה של אנשי תשתיות וסיוע טכני: אחראי מערכות הפעלה ובסיסי נתונים, מנהלי רשתות, מפעילים וטכנאי מחשב. אנשים אלה בדרך כלל עסוקים ולחוצים במטלות היומיומיות, אך אין מנוס מלשתפם. קשה מאד להצליח בפרויקט תשתית ללא היערכות מתאימה של כוח אדם מראש.
פרויקטי תשתית האבטחה יקרים. יש חשיבות לאבטחת קיום התקציבים הנדרשים לאורך הפרויקט על מנת שלא להגיע למצב שלאחר הוצאות גדולות, אין אפשרות לסיים את הפרויקט, ורמת האבטחה תרד לעומת המצב בתחילת הפרויקט.
מודל אבטחת המידע בארגון המתואר להלן, מציג תהליך מחזורי שמטרתו לשפר באופן שוטף את הרמה של תשתית אבטחת המידע. יש חשיבות לעובדה הזאת בקביעת תוכניות עבודה רב שנתיות בארגון.
שימוש נכון בעץ המערכת המפורט בקיט זה, יחד עם הדגשים המתוארים לעיל, במהלך מחזור החיים של הפרויקט, יעזרו מאד להצלחת הפרויקט.
התהליך של סקר סיכונים נועד לזהות סיכונים קיימים לנכסי המידע ולמערכות המחשב של הארגון, בהתבסס על איומים ידועים, חולשות במערכות ואמצעי אבטחה קיימים. לאחר זיהוי הסיכונים, מתבצעת הערכה של השפעתם לדרישות העסקיות של הארגון בהיבטים של אמינות(Integrity), חיסיון (Confidentiality) וזמינות (Availability) המידע. במסגרת התהליך נערך תיעדוף (Prioritization) של הנכסים בהתאם לערכם העסקי ורמת ההגנה הנדרשת.
סקר הסיכונים הוא תהליך הכרחי להגדרת מדיניות אבטחת מידע משמעותית התואמת את מטרות הארגון. הסקר כולל אוסף של פעילויות, כמפורט להלן:
· מיפוי תהליכים ארגוניים,
· מיפוי וניתוח המערכת,
· מיפוי וניתוח האבטחה,
· סיכום והמלצות.
מטרת מיפוי התהליכים הארגוניים היא לתת תמונה מדויקת ככל שניתן לתהליכים הארגוניים הנתמכים ע"י מערכות המחשוב. ניתוח זה מתבצע באמצעות ראיונות של אנשי הארגון האמונים על תחום זה.
מטרת ניתוח המערכת היא לזהות ולתעד את משאבי המחשוב של הארגון, את הישויות ואת הפעילויות אותן הן מבצעות. ניתוח זה מתבצע באופן הבא:
· מיפוי וניתוח תשתיות.
· מיפוי וניתוח יישומים.
מיפוי תשתיות יבוצע באופן הבא:
· מיפוי מערכות התקשורת,
· מיפוי שרתים,
· מיפוי מערכות קצה,
· מיפוי תוכנות תשתית,
· מיפוי ממשקים,
· מיפוי מערכות ניטור ובקרה,
· מיפוי מערכות אבטחה.
מטרת מיפוי מערכות התקשורת היא לתת תמונה מדויקת של מבנה ואופי מערכות התקשורת בארגון. מיפוי זה יתבצע באמצעות ראיונות עם אנשי התקשורת של הארגון.
תוצר המיפוי - שרטוטי רשתות התקשורת וסוגי הציודים המחוברים.
מטרת מיפוי השרתים היא לתת תמונה מדויקת של ה"קופסאות" המותקנות בארגון, של אופיין ומיקומן ברשת. מיפוי זה יתבצע באמצעות ראיונות עם אנשי ה- System של הארגון.
תוצר המיפוי - רישום התחנות, מערכות ההפעלה שלהן, תפקידיהן ומיקומן ברשת.
מטרת מיפוי מערכות הקצה היא לתת תמונה מדויקת של סוגי מערכות הקצה (מחשבים אישיים, מחשבים נישאים וכו'), אופיים ומיקומם ברשת. מיפוי זה יתבצע באמצעות ראיונות עם אנשי ה- System של הארגון.
תוצר המיפוי - רישום התחנות, מערכות ההפעלה שלהן, תפקידיהן ומיקומן ברשת.
מטרת מיפוי תוכנות התשתית היא לתת תמונה מדויקת של תוכנות התשתית המותקנות על השרתים ומערכות הקצה השונות (מערכות הפעלה, שרתי דוא"ל, שרתי מסד נתונים וכו'). מיפוי זה יתבצע באמצעות ראיונות עם אנשי ה- System של הארגון.
תוצר המיפוי - רישום התוכנות התשתיתיות המותקנות על כל השרתים ומערכות הקצה.
מטרת מיפוי הממשקים היא לתת תמונה מדויקת של הממשקים בין מערכות המחשוב בארגון למערכות מחשוב אחרות, פנימיות או חיצוניות. מיפוי זה יתבצע באמצעות ראיונות עם אנשי מערכות המידע של הארגון.
תוצר המיפוי - רשימה של הממשקים, אופיים, המערכות המשיקות והטכנולוגיה הכללית עליה הם מבוססים (למשל העברת קבצים באמצעות FTP).
מערכות ניטור ובקרה הן מערכות הממוקמות בלב תשתית המערכות. מטרת מיפוי מערכות הנו"ב היא לתת תמונה מדויקת לגבי מערכות הנו"ב המותקנות. מיפוי זה יבוצע באמצעות ראיונות עם אנשי ה- System של הארגון.
תוצר המיפוי - רשימה של מערכות נו"ב, אופיין, המערכות אותן הן מנטרות, הטכנולוגיה הכללית עליהן הן מבוססות ויכולותיהן.
מטרת מיפוי מערכות האבטחה היא לתת תמונה מדויקת של מערכות האבטחה הייעודיות המיושמות בארגון. מיפוי זה יבוצע באמצעות ראיונות עם אנשי ה- System של הארגון.
תוצר המיפוי - רשימת מערכות האבטחה, אופיין והמקומות בהם הן מותקנות.
ניתוח יישומים יבוצע לגבי יישומים מרכזיים בארגון. ניתוח זה יבוצע באופן הבא:
· מיפוי תהליכים מרכזיים.
· ניתוח זרימת המידע דרך רכיבי המערכת בתהליכים השונים.
מטרת מיפוי התהליכים היא לתת תמונה של התהליכים העיקריים המבוצעים ע"י היישומים המרכזיים המופעלים בארגון. מיפוי זה יבוצע באמצעות ראיונות עם אנשי מערכות המידע של הארגון.
תוצר המיפוי - רשימת תהליכים עיקריים עבור היישומים המרכזיים בארגון.
מטרת ניתוח זרימת המידע הוא לתת תמונה מדויקת של האופן בו מתבצעות הפעילויות של התהליכים. מיפוי זה יבוצע באמצעות ראיונות עם אנשי מערכות המידע של הארגון.
תוצר המיפוי - תיאור זרימת המידע בין המשאבים השונים בתהליכים שמופו.
ניתן להתייחס לתהליכי עבודה ממוחשבים כאל ישויות המבצעות פעילויות (גישות) על משאבים, כאשר:
· ישויות מוגדרות כמשתמשים אינטראקטיביים או מודולי תוכנה (תהליכים וכו'),
· פעילויות מוגדרות כגישות לביצוע קריאה, כתיבה והרצה,
· משאבים קבצים/נתונים, שיח (Session) ועיבוד (Processing).
אבטחת מידע, כשמירה על סודיות, זמינות ואמינות הנתונים, מבוצעת בפן הטכני, ע"י יישום מנגנוני בקרה על המשאבים והגישות אליהם:
· מנגנוני בקרת תצורה,
· מנגנוני אימות,
· מנגנוני בקרת גישה,
· מנגנוני תקפות,
· מנגנוני רישום,
· מנגנוני מעקב אבטחת מידע,
· מנגנוני המשכיות.
מטרת ניתוח האבטחה היא לתת תמונה מדויקת אודות אופן יישום מנגנוני הבקרה האבטחתיים (מנגנוני האבטחה) על הגישות למשאבים השונים.
ניתוח האבטחה ייעשה על מדגם מייצג של מערכות תקשורת, שרתים, מערכות קצה ויישומים.
מנגנוני בקרת תצורה הם מנגנונים שתפקידם שמירה על עדכניות ותאימות של גרסאות התוכנה/הקושחה המותקנות במערכת.
מנגנוני אימות הם מנגנונים שתפקידם וידוא זהותה של ישות (משתמש או תהליך). לדוגמא: מנגנון הקולט ממשתמש שם חשבון וסיסמא.
מנגנוני בקרת גישה הם מנגנונים המנהלים והמבצעים את פעולות מידור הגישה של ישויות למשאבים. לדוגמא: מנגנון הממדר פעילויות שונות על קבצים (קריאה, כתיבה וכו') עפ"י מזהה חשבון, הקיים כחלק מובנה משרתי קבצים. דוגמא נוספת: Firewall הממדר פעילות של העברת נתונים בתקשורת בין ישויות עפ"י כתובת ה- IP של התחנות עליהן הן נמצאות.
מנגנוני תקפות הם מנגנונים המבצעים בדיקה ואישור תכונות של נתונים. לדוגמא: מנגנון המאשר שקובץ הגיע בשלמותו ללא שינוי ושהוא נכתב ע"י מחבר מסוים - מנגנון חתימה אלקטרונית. דוגמא נוספת היא מנגנון המאשר שבקובץ לא קיים קוד עוין (אנטי-וירוס).
מנגנוני רישום הם מנגנונים המבצעים תיעוד של ביצוע פעילויות או של ניסיונות כושלים לביצוען. לדוגמא: מנגנון המבצע רישום גישות מוצלחות לקבצים שהוא חלק ממערכת ההפעלה Windows.
מנגנוני מעקב אבטחה הם מנגנונים המזהים פעילות החשודה כתקיפה של מערכת המידע ומעבירים הודעות על כך בצורות שונות (למשל שליחת SMS, ביפר או דואר אלקטרוני לאחראי האבטחה).
מנגנוני המשכיות הם מנגנונים שתפקידם להבטיח פעילות רציפה של מערכות במקרה של בעיות. דוגמא למנגנון מסוג זה הוא מנגנון גיבוי המאפשר שיחזור מערכת והפעלתה מחדש במקרה של פגיעה בדיסק. ניתוח האבטחה באמצעות ראיונות עם אנשי התקשורת, ה- System, אבטחת מידע ומערכות המידע של הארגון, וביצוע בדיקות אבטחה טכניות בהתאם לנושאים השונים.
לאחר סיום שלבי המיפוי המפורטים לעיל, יתועדו וינותחו הממצאים, יגובשו המלצות ויוגשו המסמכים הבאים:
· תקציר מנהלים,
· מסמך ניתוח מערכת,
· מסמך ניתוח סיכונים,
· מסמך המלצות לשיפור רמת האבטחה עפ"י סדר עדיפות.
לאחר גיבוש מסמכים אלה, ניתן לגשת למלאכת עיצוב וכתיבת מדיניות אבטחת מידע המתאימה לארגון.
להלן תיאור תהליך העבודה לביצוע הפעילויות שתוארו לעיל:
|
פעילות |
תת-פעילות |
|---|---|
|
מנהלה |
תכנון הפרויקט |
|
ניהול שוטף |
|
|
איסוף נתונים |
מיפוי תהליכים ארגוניים |
|
מיפוי תשתיות |
|
|
מיפוי מערכות תקשורת |
|
|
מיפוי שרתים |
|
|
מיפוי מערכות קצה |
|
|
מיפוי תוכנות תשתית |
|
|
מיפוי ממשקים |
|
|
מיפוי מערכות אבטחה |
|
|
מיפוי מערכות נו"ב |
|
|
ניתוח יישומים ארגוניים – מיפוי תהליכים |
|
|
ניתוח יישומים ארגוניים – מיפוי זרימת מידע |
|
|
מיפוי תהליכי אבטחה ארגוניים |
|
|
ניתוח נתונים |
איתור חולשות בארכיטקטורה |
|
איתור חולשות בתהליכים ארגוניים |
|
|
איתור חולשות ביישום מנגנוני אבטחה |
|
|
בניית מדגם לבדיקות טכניות |
|
|
בדיקות טכניות |
סריקת פורטים |
|
בדיקת מערכות תקשורת (מדגם מייצג) |
|
|
בדיקת שרתים (מדגם מייצג) |
|
|
בדיקת יישומים (מדגם מייצג) |
|
|
תיעוד |
תיעוד הניתוח |
|
תיעוד ממצאים טכניים |
|
|
כתיבת מסמך המלצות |
|
|
אפיון פתרונות טכניים |
|
|
סיכומים |
בנייה וביצוע מצגות |
מדיניות האבטחה בארגון היא הבסיס לכל פעילות האבטחה בו. עיצוב או הגדרה של מדיניות אבטחת מידע הינן תהליך, ואינן פעולה חד פעמית של כתיבת מסמך. לרוב, תהליך זה כולל שני שלבים עיקריים, העוסקים בשתי רמות שונות של המדיניות:
· עקרונות אבטחת מידע כלליים,
· מדיניות מפורטת.
שלב ראשוני זה כולל הגדרת עקרונות ברמה גבוהה, הנובעים מעקרונות בסיסיים ארגוניים, כגון מדיניות עסקית, תחרותיות בשוק, מדיניות לשרידות, רגולציות מטעם החוק או מגופים מנחים, וגם מהגיון בריא.
ברמה זאת של מדיניות אין התייחסות לפרטי סביבת המחשוב בארגון או לסיכונים ספציפיים, ואין ירידה לפרטים.
להלן דוגמאות של נושאים הכלולים בחלק זה של המדיניות:
· איסור העברת מידע רגיש אודות הארגון לגורמים בלתי מורשים, מתחרים או עוינים,
· הצורך במנגנוני זיהוי ואימות הזיהוי עבור כל משתמש במערכות המחשוב,
· איסור הכנסת אמצעי זיכרון חיצוניים למחשבי הארגון ללא אישור ובדיקתם לפני כן ("הלבנה"),
· איסור הוצאת מידע ממחשבי הארגון למחשבים חיצוניים,
· הצורך ברישום כל אירוע חריג בשימוש במערכות המחשב בארגון,
· כיבוי מחשבים בסוף היום ואחסון של מצעי זיכרון בהתאם לרגישות המידע האגור בהם,
· דווח מיידי לאחראי על אבטחת המידע בארגון על כל חשד לעבירה או תקלת אבטחת מידע.
בשלב זה של הגדרת המדיניות קיימת התייחסות מפורטת לסביבת המחשוב בארגון, לתהליכים הארגוניים הממוחשבים ולסיכונים הספציפיים הנובעים מאותם הסביבות והתהליכים הממוחשבים. תהליך מקדים להגדרת המדיניות המפורטת הוא ביצוע של סקר אבטחת מידע (סקר סיכונים).
סקרי אבטחת מידע תקופתיים עשויים לגרום לעדכון של מדיניות אבטחת המידע, בעיקר של המדיניות המפורטת.
להלן מספר דוגמאות של מדיניות מפורטת:
· בניית ארכיטקטורת רשת מאובטחת בהתאם לאיומים הרלבנטיים,
· ביצוע הקשחה של השרתים בארגון,
· ביצוע הקשחה של רכיבי התקשורת (נתבים, מתגים וכד'),
· התקנת תוכנות אנטי-וירוס מתמחות לשרתים ולתחנות הקצה,
· התקנה שוטפת של עדכוני תוכנה הקשורים לאבטחה עבור תוכנות תשתית, כגון מערכות הפעלה, דפדפן, שרתי דואר וכד',
· שימוש במוצר להצפנת תעבורת דואר אלקטרוני מול ספקים רגישים
· מדיניות לגבי סוג האימות של המשתמשים (סיסמה, כרטיס חכם וכד'),
· נטרול של כונני הדיסקטים וכונני ה-CD במחשבים,
· אוסף הנחיות של מותר ואסור עבור השימוש במחשב נייד,
· שימוש במנגנוני אבטחה ביישומים ומסדי נתונים (לדוגמא, איסור מנגנון "דלת אחורית" (Backdoor) במערכי תוכנה).
במהלך חיי המערכת קיים צורך לבצע בדיקה שוטפת לחלק ממנגנוני האבטחה, ולפחות בדיקות תקופתיות עבור מנגנונים אחרים. הבדיקות תתבצענה במסגרת ביקורת יזומה ע"י גורם פנימי או חיצוני (גוף מקצועי), ותיעוד תוצאות הבדיקות יוצג להנהלת הארגון ע"י האחראי לאבטחת המידע.
בדיקות מנגנוני האבטחה נחלקות לשני סוגים:
· בדיקות ארגוניות,
· בדיקות טכניות.
שני תהליכים נוספים המתבצעים כחלק מתחזוקת מערכת אבטחת המידע והם:
· איתור חולשות אבטחה,
· עדכון מדיניות האבטחה.
הבדיקות הארגוניות תתרכזנה בעיקר בקיום וביישום המנגנונים שנקבעו ברמה הארגונית של המדיניות, החל מקיום ישות האחראית לאבטחת המידע בארגון ומהות פועלה, ועד ליישום היום יומי של נוהלי אבטחה ע"י כלל העובדים בארגון. להלן מספר דוגמאות לנושאים במדיניות הדורשים בדיקה ברמה הארגונית:
· איסור הכנסת מצעי זיכרון פרטיים למחשבי הארגון,
· שמירה על סודיות הסיסמאות,
· רישום ומעקב אחר מצעי זיכרון נתיקים,
· חתימה של כל עובד על הצהרה לשמירת חיסיון מידע רגיש (ראה דוגמא בקיט היבטים משפטיים בכרך נושאים תומכים),
· איסור התקנת תוכנות בתחנות הקצה באופן עצמאי.
הבדיקות הטכניות מיועדות לוודא כי מנגנוני האבטחה ברמה הטכנית של המדיניות, ממלאים את ייעודם באפקטיביות, שאינם הופכים למיושנים, ושהם מותאמים לשינויים המתרחשים באופן שוטף בסביבות המחשוב של הארגון. להלן מספר דוגמאות לבדיקות אבטחה של רכיבים טכניים:
· עדכניות של חבילות עדכון ושירות של מערכות ההפעלה ותוכנות תשתית (Service Packs),
· עדכניות של תוכנות האנטי-וירוס ושל רשימת החתימות שלהן,
· אפקטיביות של החוקים במדיניות ה-Firewall מול הצרכים העדכניים,
· ניסיונות של שחזור קבצים מגיבוי כדי לוודא תקינות תהליך הגיבוי,
· בדיקת רשימות ה-Access Control Lists (ACL) בנתבים.
איתור חולשות האבטחה יושג באמצעות מספר תהליכים:
· ניתוח התוצאות מבדיקת האבטחה,
· ביצוע בדיקות חדירות לרשת הארגון,
· שינויים והוספת מערכות ורכיבים חדשים,
· גילוי שוטף של חולשות אבטחה בעולם.
פועל יוצא של בדיקות האבטחה היא רשימת מדיניויות (Policies) שאינן מתקיימות כפי שהוגדרו. יכולות להיות מספר סיבות לכך:
· המדיניות בלתי סבירה ולא ניתן לעמוד בה,
· הזנחה, חוסר מודעות או חוסר משמעת,
· המדיניות מיותרת, לא תורמת לאבטחת המידע.
ניתוח תוצאות הבדיקות הקשורות לשתי הסיבות הראשונות לעיל, יציף חולשות אבטחתיות הקיימות בפועל בארגון. מקובל לעשות שימוש בכלים המבצעים סריקה ברשת תוך כדי חיפוש עדכוני תוכנה המומלצים ע"י יצרני התוכנה, המיועדים להתגבר על חולשות אבטחה.
ביצוע בדיקות חדירה לתשתיות ולמערכות המידע בארגון הינה דרך מקובלת לאיתור חולשות אבטחה. לרוב, הבדיקות תבוצענה ע"י גורם חיצוני מקצועי המתמחה בסוג כזה של פעילות. תוצר הבדיקות הוא דו"ח המפרט את החולשות שנמצאו וקובע דירוג חומרתן, והמלצות לפתרונות מתאימים.
לכל שינוי, הוספה או הסרה של רכיבים ברשת, פוטנציאל להוספת חולשות חדשות הנובעות מהמצב החדש. חשוב לבצע בדיקות ממוקדות לאיתור חולשות לאחר כל שינוי. לדוגמה, הוספת שרת ברשת מחייבת התקנה של כל עדכוני התוכנה המיועדים לפתור חולשות אבטחה ידועות.
כיום ישנם מקורות רבים שתפקידם לידע את הציבור באשר לחולשות חדשות המתגלות מדי יום במערכות מחשב. מומלץ לבדוק באופן שוטף את הפרסומים של מספר מקורות ולהיערך בהתאם.
איתור חולשות אבטחה בכל רמה שהיא, וכן איתור חלקים במדיניות הקיימת שהפכו ללא רלבנטיים או שהמשתמשים אינם מסוגלים לעמוד בהם, מצביעים על הצורך לבצע שינויים במדיניות האבטחה כך שתשמש כלי עבודה אמיתי לשמירה ולשיפור רמת אבטחת המידע בארגון. מדיניות האבטחה נדרשת להכיל תהליך של בחינה ועדכון עצמי במקרים כאלה.
בסיום עדכון המדיניות יש צורך לעבור שוב את שלבי הטמעתה בקרב מנהלי ועובדי הארגון, ובכך נכנסים לתהליך המעגלי המרכיב את מודל אבטחת המידע הארגוני המתואר במדריך זה. (ראה איור בפרק "מודל אבטחת מידע בארגון")
פרויקט בניית תשתית אבטחת מידע בארגון הוא פרויקט לכל דבר ובעיקרון יש לנהל אותו לפי מחזור החיים האוניברסאלי של מפת"ח. בפרק זה מפורטים היבטים והשלכות מיוחדים על מחזור החיים.
להלן תרשים המתאר בקצרה את שלבי מחזור החיים בפרויקט:
.jpg)
ייזום של פרויקט מסוג זה נולד מאחת הסיבות הבאות:
· הנהלת הארגון מבינה שמשאבי המידע של הארגון הם משאב יקר, והנזק העלול להיגרם עקב פגיעה במערכות המידע או זליגה של מידע למתחרים/אויבים הוא עצום והיא יוזמת מהלך כזה.
· הממונה על אבטחת המידע בארגון מזהה כי רמת האבטחה הקיימת אינה תואמת את מדיניות ההנהלה.
· הארגון מחויב לעמוד בחוקים, הוראות והנחיות בתחום הגנה על מערכות המידע.
כמו בכל פרויקט, נדרש מנהל פרויקט המוביל ודוחף אותו קדימה. אבל, שלא כמו בפרויקטים אחרים, נדרשת מעורבות ואינטראקציה מאד אקטיבית של ההנהלה הבכירה בארגון, מאחר שחלק מרכזי בפרויקט הוא הגדרה של מדיניות ארגונית בנושא אבטחת מידע.
המורכבות של פרויקט תשתית אבטחת מידע והשפעתו הרחבה בארגון, יוצרים מצב שה"לקוח" של הפרויקט הוא גם הממונה על אבטחת המידע, גם אנשי תשתיות המחשוב בארגון, גם ההנהלה ואפילו העובדים המשתמשים במערכות המידע. צריכים למנות "לקוח מוביל", שחלק מתפקידו יהיה לאסוף מכלל הלקוחות את הדרישות, המגבלות והחלומות בנושא אבטחת מידע, שישמשו כחומר גלם בשלב האפיון. לרוב, הלקוח המוביל הוא הממונה על אבטחת המידע בארגון.
התהליך הנדרש בשלב הייזום כולל העלאת הצורך והדרישה לפרויקט, וקבלת אישור ההנהלה להתנעתו.
מסמך ייזום מאושר ע"י הנהלת הארגון.
אפיון פרויקט זה יכיל, בנוסף לפעילויות אפיון רגילות המוגדרות בפרק אפיון מערכת, דגש על הנושאים הבאים:
· סקר סיכונים למערכות המידע בארגון,
· הגדרה או עדכון מדיניות אבטחת מידע ארגוני.
שני השלבים האלה הכרחיים כשלב ראשון באפיון מאחר והם יכתיבו את אפיון הפתרונות והתהליכים הנדרשים לסגירת הפערים המזוהים בניתוח שלהם. הדבר נכון גם אם תיחום הפרויקט אינו מקיף את כלל הארגון אלא רק מחלקה או תשתיות ספציפיות.
נושאים אחרים הדורשים שימת דגש כחלק מהאפיון הם:
· היבטי חוק ומנהל בתחום אבטחת מידע,
· סקירה ומיפוי של אמצעי אבטחה קיימים בארגון,
· סקירת כלים לאבטחת מידע הקיימים בשוק.
כאמור, התהליכים הנדרשים בשלב זה הם:
· ביצוע סקר סיכונים,
· כתיבה או עדכון מדיניות האבטחה,
· אפיון בקרות ארגוניות ובקרות טכניות הנדרשות לסגירת הפערים.
התוצרים הנדרשים הם פועל יוצא מהפעילות המבוצעת:
· מסמך סקר סיכונים,
· מסמך מדיניות אבטחה מעודכנת,
· מסמך אפיון הבקרות הארגוניות והטכניות הנדרשות לסגירת הפערים.
שלב זה ינוהל בדומה לכל מכרז אחר. מאחר ומדובר בנושא אבטחת מידע, יש נטייה להגדיר הרבה סעיפי חובה (סף). יש להקפיד לדרג את הדרישות באופן מושכל, כך שלא ייפסלו פתרונות שעשויים להקנות אולי רק 80% מהדרישה, מול מצב שבו אין פתרון כלל או שהפתרון כל כך יקר שהופך ללא רלבנטי.
שלב הבקשה להצעה יכול להשתנות מפרויקט לפרויקט, בהתאם לתכולת הפרויקט, להמצאות אנשים מומחים בארגון ורמת הרצון לשתף גורמים חיצוניים בבעיות אבטחת המידע הרגישות בארגון. יש ארגונים שיעדיפו לבצע גם את שלב האפיון כולו בעזרת גורם מומחה/יועץ, ואז תהיינה מספר בקשות להצעה.
אין בד"כ צידוק להכריז על "מכרז סגור" בטענה שיש מעט חברות העוסקות בנושא. אפשר ורצוי, לדרוש ניסיון וידע מוקדם בתחום.
כתיבת מסמך או מסמכי RFP לפעילויות הרלבנטיות – ביצוע סקר סיכונים, כתיבת מדיניות, רכש ואינטגרציה של בקרות טכניות, וכד'.
מסמך או מסמכי RFP כפועל יוצא מהפעילות הרלבנטית.
שלב עיצוב ובניה בפרויקט לאבטחת מידע ברמת התשתית כולל אלמנטים ארגוניים וטכניים. בהתבסס על מסמך אפיון הבקרות הארגוניות והטכניות הנדרשות לסגירת הפערים, יש צורך לעצב את ארכיטקטורת הרשת הכוללת את הבקרות הטכניות שהוחלט לממש. כמו כן, יש צורך לכתוב נהלים המאפשרים לסגור את הפערים הארגוניים, ונהלים המתארים תהליכים טכניים לשיפור רמת האבטחה.
להלן פרוט הפעילויות הנדרשות בשלב זה:
· שרטוט מדויק של ארכיטקטורת הרשת על מרכיביו, כולל הבקרות הטכניות שהוחלט ליישם.
· הקמת סביבות מייצגות הכוללות את הבקרות הטכניות לצורכי בדיקה לפני הטמעתן בסביבת הייצור.
· כתיבת נהלים והוראות עבודה טכניים עבור הבקרות והרכיבים החדשים ברשת.
כתיבת נהלי אבטחת מידע ארגוניים הנובעים מהמדיניות המעודכנת.
· מסמך עיצוב מפורט של ארכיטקטורת הרשת כולל הבקרות הטכניות.
· מסמך נהלים והוראות עבודה של אבטחת מידע ארגוניים וטכניים.
שלב הבדיקות הוא הכרחי בעיקר לקראת הטמעת הבקרות הטכניות והשינויים בארכיטקטורה בסביבת הייצור של רשת הארגון. אי ביצוע בדיקות טכניות ובדיקת נכונות נהלי העבודה הטכניים, עלול לגרום לכשלים ולנזקים גדולים מאוחר יותר.
בשלב זה יש צורך להעביר את הנהלים הארגוניים למספר מצומצם ונבחר של עובדים כדי לקבל הערות ובעיקר לבדוק שהם ניתנים למימוש ע"י העובדים.
להלן הפעילויות הנדרשות בשלב הבדיקות:
· ביצוע בדיקות להטמעת הבקרות הטכניות בארכיטקטורה החדשה, בתנאי מעבדה כפי שהוקמה בשלב הקודם. הבדיקות הנ"ל תבוצענה ע"פ הנהלים הטכניים שנכתבו בשלב הקודם.
· הטמעת הנהלים הארגוניים על קבוצת משתמשים נבחרת לזמן קצוב, לצורך קבלת משוב על היכולת לקיים את הנהלים בארגון.
· תיק בדיקות ותיק סיכום הבדיקות הטכניות.
· מסמך תכנון להטמעת המדיניות והבקרות הטכניות.
· מסמך סיכום למשוב המשתמשים בנושא הנהלים הארגוניים.
שלב זה הוא בעל סיכון גבוה מאחר והשפעת הפעילויות באה לידי ביטוי בסביבת הייצור.
מדיניות אבטחת המידע בארגון מיושמת בשתי רמות:
היישום ברמה הארגונית מתבטא קודם כל בקביעת ישות ארגונית האחראית לנושא אבטחת המידע בארגון, והגדרת האחריות והסמכות הניתנות לה במסגרת תפקידה. בשלב שני, מתבצעת הפצה והטמעה של מסמכי המדיניות והנהלים הנגזרים ממנה בקרב העובדים בארגון. זהו תהליך המלווה בהדרכה והגברת המודעות לנושא, החתמת העובדים וקביעת מחויבותם לעמוד במדיניות ולפעול בהתאם לנהלים, וכמו כן הפעלת מנגנון לאכיפת המדיניות, כגון מנגנון ניהולי או משמעתי.
היישום ברמה הטכנית כולל ביצוע פעילויות כגון הקשחת שרתים ורכיבי תקשורת, התקנת אמצעי הגנה כגון Firewall, אנטי-וירוס, IDS, מנגנוני אימות זיהוי חזקים וכד'. יעשה שימוש בנהלים המגדירים את הפעולות הטכניות למימוש פתרונות האבטחה, נהלי "מקרים ותגובות" עבור אירועים שונים המשפיעים על אבטחת המידע, נהלי גיבוי ושחזור, נהלי התאוששות מאסון וכד'.
· התקנה ושילוב הבקרות הטכניות בסביבת הייצור בתשתית הארגון.
· הטמעת המדיניות ונהלי אבטחת המידע בארגון.
· מסמך מעודכן של ארכיטקטורת התשתיות כולל הבקרות הטכניות.
· מדיניות ונהלי אבטחת מידע חתומים ע"י העובדים לאחר קריאתם.
התהליכים והמנגנונים ליישום מדיניות אבטחת המידע דורשים תחזוקה ועדכניות מתמדת. חלקם הם תהליכים יום יומיים שמחייבים מודעות גבוהה ומשמעת כדי להתבצע.
מנגנוני האבטחה הטכניים נבדקים בעת יישומם כדי להבטיח שהם ממלאים את ייעודם, אך לעיתים מוזנחים לאחר זמן מה. במסגרת מדיניות הארגון נדרשים נהלים לבדיקת יישום המדיניות בכל הרמות.
פעילויות התחזוקה של מערכת אבטחת המידע מפורטות בפרק הבא.
התהליך המרכזי הנדרש בשלב זה של מחזור החיים בפרויקט הוא ביצוע מחזורי של בדיקות אבטחה וסקר סיכונים מעודכן, במטרה לאתר חולשות חדשות הן טכניות והן ארגוניות.
התוצר הסופי בשלב זה יהיה מסמך המלצות לעדכון מדיניות אבטחת המידע הן ברובד הטכני והן ברובד הארגוני.
גלופה זו מיועדת לסייע לפרויקטים שמטרתם לטפל בתשתית אבטחת מידע בארגון. הגלופה מכילה עץ מערכת מתמחה (ייחודי) אשר בנוי על גבי עץ המערכת האוניברסאלי ומדגישה את ההיבטים הייחודיים לפרויקט תשתית אבטחת מידע.
סקר הסיכונים הוא תהליך הכרחי להגדרת מדיניות אבטחת מידע משמעותית התואמת את מטרות הארגון. הסקר כולל אוסף של פעילויות, כמפורט להלן:
· מיפוי תהליכים ארגוניים,
· מיפוי וניתוח מערכת,
· מיפוי וניתוח אבטחה,
· סיכום והמלצות.
מדיניות האבטחה בארגון היא הבסיס לכל פעילות האבטחה בו. עיצוב או הגדרה של מדיניות אבטחת מידע כרוך בתהליך, ואינו פעולה חד פעמית של כתיבת מסמך. לרוב, תהליך זה כולל שני שלבים עיקריים, העוסקים בשתי רמות שונות של המדיניות:
· מדיניות מפורטת
במדידת פרויקט תשתית אבטחת מידע ואבטחת האיכות שלו, יילקחו, בין השאר, הפרמטרים\מדדים הבאים:
· תדירות סבבי ביצוע תהליך האבטחה: סקר סיכונים-מדיניות-המלצות-ביצוע,
· מס' "מומחי היישום" המעורבים בפרויקט,
· חריגות בלו"ז ומשאבים,
· שינויים טכנולוגיים,
· מס' פריצות וחדירות שהתגלו \ נמנעו,
· מס' פריצות וחדירות שלא התגלו (אומדן, דגימה),
· תדירות כינוס פורום אבטחה ראשי בארגון,
· תדירות סבבי הכשרה פנימית לעובדים ורמת המודעות בארגון.