ואצאפ
כפתור הקפץ למעלה
02 מבוא ותקצירים

תקציר פרק: ציות ותאימות (Compliance)

ציות לתאימות מתייחס לדרכים שבהן הארגון תואם לתקנות ורגולציות. זה כולל את הדרישות החוקיות והרגולטוריות החלות על הארגון. התאמת אבטחת מידע טובה מבטיחה שהארגון פוגע בחוק ועומד בדרישות הרגולטוריות. תאימות כוללת את הגורמים הבאים:

  • זיהוי הדרישות הרגולטוריות והעסקיות לאבטחת המידע

  • פיתוח תהליכים להשגת עמידה בדרישות

  • ניטור עמידה בדרישות

כל ארגון "רוצה" בעיקרון להגן על עצמו, והטעמים ברורים: כדי להגן על יכולתו להתקיים ולפעול. אבל ה"רוצה" אינו מספיק, כי ההגנה עולה בממון ובמאמץ רב, והארגון סוטה מהיעד העיקרי שלו, ועוסק ב"מניעת סכנה פוטנציאלית" במקום בקידום מעשי של ענייניו (רווח או שירות לציבור וכו').

גם כל נהג "רוצה" ביטוח לרכב, ביטוח למצב של פגיעה בגופו ובחייו וביטוח לפגיעה בצד ג', אבל ה"רצון" לא מספיק, ורבים מהנהגים לא יעשו ביטוח, כדי לחסוך בהוצאות. הם פשוט ייטלו סיכונים מוגזמים.

לכן, ה"רצון" של ארגון להגן על עצמו, מחייב חוק, בדיוק כשם שה"רצון" של הנהג מחייב חוק מלמעלה, מטעם המדינה. גם הארגון יעדיף להשקיע כספים בקידום המחשוב עצמו, אשר יקדם את העסקים, ולא בהגנה מפני "אולי סכנה עתידית".

כדי לאכוף על הארגונים התנהגות אחראית ורצויה, המדינה מחוקקת חוקים ומתקנת תקנות. 

אם כך, מעל מנהל הגנת הסייבר, קיימים כמה "דורשי דרישות": המנכ"ל, המדינה, ויש עוד (כמו לקוחות למשל, ואפילו ספקים...). 

הדרישות העסקיות והרגולטיביות הללו, מתורגמות על ידי מנהל אבטחת המידע לשורה של בקרות הגנה שמטרתן למזער את הסיכונים לנכסי המידע של הארגון. הבקרות יכולות להיות פרוצדורליות, פיזיות, לוגיות או טכנולוגיות והפעלתן וישומן בארגון מהווים את תוכנית אבטחת המידע הארגוני. על הבקרות הטכנולוגיות נרחיב בפרקים הטכנולוגיים. הבקרות האחרות הן אוסף של מדיניות, נהלים, תקנים והוראות עבודה.

הפרק על Compliance באבטחת מידע מתמקד בחשיבות ההתאמה לתקנים ולחוקים בתחום אבטחת המידע. Compliance, או התאמה לדרישות, מדגיש את הצורך של הארגונים לעמוד בקריטריונים ובדרישות שנקבעו על ידי רגולטורים, תקנים בינלאומיים, וחוקים רלוונטיים.

בפרק זה, מובאת הדגשה על החשיבות של ידע נרחב בתחום אבטחת המידע ובקרות טכנולוגיות לשם הגעה לרמת Compliance גבוהה. מתוך הידע והניסיון שנצברו בפרקים הקודמים, מוסבר כיצד ארגונים יכולים להבטיח שמערכותיהם מתוחזקות בהתאם לדרישות הנדרשות.

הפרק מסביר כיצד ניתן להשתמש בעקרונות אבטחת המידע ובבקרות הטכנולוגיות לצורך זיהוי פגמים וחולשות אשר עלולים להוביל לחוסר תאימות. כמו כן, מוצגות שיטות לתיקון ושיפור המערכות לצורך התאמתן לתקנים הרלוונטיים.

לסיכום, הפרק מדגיש את הקשר ההדוק בין התאמה לתקנים ובין בניית סביבת אבטחת מידע איתנה ומתקדמת, תוך הדגשה על החשיבות של עדכון והטמעה מתמדת של הידע בתחום זה.