הערות:
1. המיפרט נבנה על-בסיס חוות דעתם של מנהלי אבטחת מידע
בכירים בישראל, ועל-בסיס מיפרטי DoD, ISO, NIST, CISM
א CISSP
2. הפירוט הינו חלקי - עד שתי רמות עומק. (המיפרט המלא נלמד
במסגרת לימודי מסלול CISO). אבטחת מידע מבוצעת על-ידי שילוב מאמץ בדיסציפלינות אחדות, בדיוק כשם שהדבר נכון בעולם האבטחה הפיזית. אנו משתמשים בגדרות, במוקשים, בכיתת שמירה, בכיתת כוננות ותגובה, בתאורה, בחיישני נפח וחום, במצלמות (כלים), אך גם בשיטה (טכניקה), בנהלים ובבקרת משאבי אנוש ותהליכים. העולמות השונים המהווים יחד "אבטחת מידע" או "הגנת מידע", מפורטים להלן. לכל אחד מהעולמות, ניתן להתייחס מאחת מהדיסציפלינות הבאות: א. זוית הראייה של מיישם (הפן הטכני של התקנה ותחזוקה).
ב. זוית הראייה של מהנדס/ארכיטקט (פן התכנון המרחבי).
ג. זוית הראייה של מנהל אבטחת המידע הארגוני (משימות,
נהלים ותהליכים). 1. עולם אבטחת תשתיות מיחשוב כולל את הכלים, הטכנולוגיות והטכניקה הכרוכה באבטחתן ובהגנתן של תשתיות המיחשוב הארגוניות ותשתיות ה- Cyber שמחוץ לגבולות הארגון. 1.1 אבטחת חומרה וקושחה
התפתחות תורת התקיפה וההנדסה לאחור (Reverse Engineering) מחד, והמונוליטיות הטכנולוגית (יצרנים מועטים) בעולם מאידך, הביאו להתפתחות איום חדש. תקיפת קושחה נחשבת למיומנות שאיננה מצויה בתחומי היכולת של התוקף הבודד, אך אפשרית ומצויה כאשר מדובר בהתמודדות עם תקיפה שלמדינה (Cyber Warfare). 1.2 הקשחת מערכות ההפעלה
(System Hardening)
מערכות ההפעלה הנהוגות במערכות ארגוניות הינן מבוססותMicrosoft, מבוססותLinux אוMain Frame. פעילות אבטחת מידע כוללת בין השאר, אטימת מערכות ההפעלה מפני פגיעויותאבטחה. יש לדעת כיצד ניתן לעשות שימוש בפונקציות הגנה המשולבות במערכתההפעלה על-מנת לשפר את בטיחותן, וכן כיצד ניתן לעשות שימוש בתוכנות-עזרנוספות שניתן להצטייד בהן להגנה על בטיחותן. הפעולות הינן בעלות אופי שונהבמערכות הפעלה של תחנות הקצה(Clients) או של השרתים(Servers). 1.3 הקשחת רכיבי התקשורת
(Network Hardening)
נהוג לתאר את הרבדים השונים של תקשורת מחשבים באמצעות מודל בן 7 שכבות הנקרא Open Systems Interconnection – OSI. שכבות אלו כוללות אלמנטים שונים השותפים בתהליך התקשורת: טופולוגיות רשתומיבנים לוגיים, רכיבי תקשורת (כרטיסי רשת, נתבים, מרכזות, גשרים, מתגים, מדיות חיווט), פרוטוקולי תקשורת (TCP/IP בראשם, וכן: SMTP, SSL, DHCP, SNMP ורבים נוספים). גם רכיבים אלו מחייבים צמצום השטח החשוף לפגיעת התקפה למינימום הנדרש לשםתפעול תקין של התקשורת, וסילוק כל אופציה ל"הרחבת הפתחים" כאשר הםמיותרים. 1.4 הקשחת מסד הנתונים
(Database Hardening)
בסיס הנתונים הינו, מטבע הדברים, היעד של כל תוקף. לפיכך – גם כאן, יש לבצע סידרת פעולות הקשחה והגנה על "איזור" זה. גם כאן, קיימים מנגנונים שונים, אופציות "פתוחות מדי" שיש להגבילן, הןבאמצעות נהלים והן באמצעות כלים טכנולוגיים מגוונים אשר יביאו לכך שהמערכתתהיה "פתוחה" רק כפי הנדרש על-מנת לאפשר תפעול ושימוש תקין במידע לצרכיו המקוריים של הארגון. 1.5 אבטחת מכשירים ניידים
(Mobile Security)
הגנת מכשירים ניידים הנה מורכבת, עקב ניידותם אל מחוץ לגבולות הארגון מחד, וקישורן למערכות הארגון מאידך. יתר-על-כן, הגורם האנושי מהווה פרמטר רבמשמעות בשגיאות אבטחה טיפוסיות לתחום מכשירים ניידים. 1.6 אבטחת תשתיות האינטרנט והתקשורת העולמיות
(Cyber Infrastructure Security) הכוונה במונח "התשתיות הבינלאומיות של האינטרנט" הינה לכל הרשתות, הפרוטוקולים, טכנולוגיות הרשת ומרכזי המידע המשמשים את רשת האינטרנט העולמית, בתוך המדינה (במסגרת ה- ISP's) ומחוצה לה. מרכיב זה איננו בשליטה של אנשי האבטחה בארגון. 2. עולם אבטחת אפליקציות וקוד (Application Security) כולל את הכלים, הטכנולוגיות והטכניקה הכרוכה באבטחתם ובהגנתם של קוד התוכנה, היישומים, ומערכות משולבות קוד. כשם שתשתית מהווה כר פורה לפעילויות תקיפה, כך גם קוד יכול להוות "נשא" ל"קוד זדוני" שמטרתו להזיק למערכת או לשאוב ממנה מידע. האפליקציה, סובלת ממספר אתגרי אבטחת מידע השונים מאתגרי האבטחה במערכות הפעלה ותקשורת. התשתיות מפותחות בדרך כלל על-ידי גורמים בינלאומיים רחבי היקף, וכאשר מתגלה "חור אבטחה", נוהגים גופי ענק אלו להפיץ "עדכון" ותיקון. מאידך – האפליקציות הן בדרך-כלל מקומיות, ופותחו בהתאמה ללקוח אחד. לכן – כאשר מתגלה "חור אבטחה" – תיקונו אינו פשוט כי מחיר התיקון אינו "מתחלק" על-פני מאות אלפי לקוחות. תהליך אבטחת יישומים מתחיל כבר בשלב התכנון, נמשך לכל אורך פיתוח ישום, ואף לאחר מכן – בשלב התחזוקה. קיימות התמחויות שונות הנוגעות ליישומים רגילים, ליישומי אינטרנט, להיבט הקוד והשפה של מסדי נתונים, וכן התמחויות הקשורות לטכנולוגיה: Java, ושפות כמו .Net, C / C++ וכן הלאה. 3. עולם מימשל אבטחת המידע (Governance) נושא "מימשל אבטחת מידע" (InfoSec Governance) מהווה אבן יסוד בלימוד עולם הניהול והאו"ש של יחידת אבטחת המידע. רבות מן הדרישות להגנה על המידע בארגון נובעות מחוקי המדינה, מרגולציה של הגופים המבקרים, מתקנים מקומיים או בינלאומיים או מדרישות הספקים והשותפים. חוקים, מטרתם בד"כ להגן על פרטיות אנשים או להגן על נכסיהם הפיננסיים או הקניינים, של פרטים שהמידע עליהם נמצא ברשות הארגונים. הרגולציות מכוונות להגן על האיתנות הפיננסית של הארגונים המבוקרים ולמנוע פגיעה בפרטי המשתמשים בארגונים אלו להשקעה. כתוצאה מכך, רגולציות וחוקים מייצרים דרישות בתחום ההגנה על המידע, אף כי אינם מכווני אבטחת מידע בבסיסם. ממשל תאגידי: הארגון עצמו מטיל אף-הוא אחריות על מנהל אבטחת המידע: לנהל את הסיכונים לנכסי המידע הארגוניים, תוך הצבת מטרות ודרישות בתחום אבטחת המידע, הנובעות מדרישות חוק ורגולציה, מחבויות חוזיות וצרכי הארגון להגן על נכסיו, כדי שיוכל לעמוד ביעדים העסקיים שלו ולזכות ביתרון תחרותי. מערך אבטחת המידע אמור לספק את הכלים לעמידה בדרישות הממשל התאגידי, להכין תכנית אבטחת מידע מכוונת ניהול סיכונים התואמת את נהלי החברה ואת היעדים העסקיים והחזון של הארגון ולדווח על רמת ההצלחה של תכנית אבטחת המידע. הארגון קובע את היעדים האסטרטגיים ארוכי הטווח לפיהם יפותחו תכניות אבטחת המידע ויקבעו היעדים בתחום אבטחת המידע. 4. עולם הניהול והאו"ש של יחידת אבטחת מידע הדרישות העסקיות והרגולטיביות מתורגמות על ידי מנהל אבטחת המידע לשורה של בקרות שמטרתן למזער את הסיכונים לנכסי המידע של הארגון. בקרות אלו הן אוסף של מדיניות, נהלים, תקנים והוראות עבודה. הבקרות יכולות להיות פרוצדוראליות, פיסיות, לוגיות או טכנולוגיות והפעלתן וישומן בארגון מהווים את תכנית אבטחת המידע הארגוני. בקרות אלו נמדדות באופן רציף, כדי לזהות את התאמתן לטיפול בסיכונים לנכסי המידע הארגוני, המדידה נעשית באמצעות מדדים כמותיים ובאמצעות ביקורות תקופתיות הכוללות סקרי סיכונים, סקרי אבטחת מידע ומבדקי חדירות. תוצאות המדידות משמשות לעדכון תכנית העבודה. תכנית העבודה של אבטחת המידע להיות מוטמעת בכל רחבי הארגון ולפנות אל כל העובדים. נושא נוסף המטופל ע"י ממונה אבטחת המידע הוא זיהוי וטיפול בתקריות אבטחת המידע, כאשר הבקרות אינן מצליחות למנוע סיכון. כיצד מנהל ה- CISO את ההיבטים הרבים והרב-תחומיים שתוארו? כיצד הוא מתייחס להיבטי האבטחה במימד הטכנולוגיות, במימד התהליכים הארגוניים, ובמימד האנושי? כיצד הוא מסנכרן ומנהל את עשרות ומאות משימותיו, את תדירות הפעילויות, מהותן, והסדר שבהן? כיצד משתלבת בכל אלו התייחסות לדרישות המדינה (חוקים ורגולציות), של הלקוחות והשותפים (תקני אבטחת מידע), ולדרישות של העסק – הארגון עצמו? כיצד הוא מנהל סדרי עדיפויות במציאות של מחסור מתמיד במשאבים? עולם זה עוסק בסדר הנכון של הפעולות, בתדירותן, בחומרי הגלם המוכנסים על-ידי ה- CISO לכל פעולה בודדת ובתוצרים היוצאים מפעולה זו ומשמשים כחומר גלם לפעולה הבאה בתהליך. פרק עולם הניהול "אורז" את עולמות אבטחת המידע שתוארו עד כה למיקשה אחת, ומתאר תהליך שבו משולבות כל הפעילויות, תוך שהן מתחשבות ברצונות העסקיים של הארגון, ברצונות של המדינה, וברצונות של השותפים – הלקוחות בדרך-כלל. |
