המאמר השני מוקדש למציאות הישראלית הפורמאלית. ישנם שני חוקים ושתי רגולציות מרכזיות במדינת ישראל המחייבות מינוי של פונקציה ניהולית לעניין אבטחת מידע. אזהרה: זהו פוסט ארוך...
הפוסט יסקור בקצרה את עיקרי הדרישות בחוקים וברגולציות, האם המשמעות היא מינוי של יותר ממנהל אבטחה אחד בארגון או שישנה חפיפה, ועוד נושאים שונים.
הסקירה תתבסס על ציר הזמן, כך שהקורא יוכל לעקוב אחר ההתפתחות בנושא והאם הרגולטורים והמחוקקים אכן למדו זה מהצלחותיו או כשלונותיו של זה שפעל לפניהם.
1. חוק הגנת הפרטיות 1981,
תקנות הגנת הפרטיות: הצבת דרישות לאבטחת מידע - 1986
חוק הגנת הפרטיות נחקק בשנת 1981. התקנות העיקריות העוסקות באבטחת מידע (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים) תוקנו ב-1986.
בתקנות הוגדר שאחראי לאבטחת מידע במאגר מידע הינו מנהל המאגר. בתקנות הוגדרו דרישות אבטחת מידע שיש למלא אחריהן בתחומים הפיזיים, מיחשוביים וניהוליים. מנהל המאגר היה גורם ניהולי הקיים בכל ארגון: מנהל הארגון. בסמכותו להסמיך אחרים (כל מי שהוא מעלה בדעתו) כמנהלי מאגרים. הסמכת משנה לא קיימת. במקרים רבים הוסמכו אוטומאטית מנהלי המיחשוב. נא לזכור, זה עידן מערכות המחשב הגדולות של י.ב.מ, בורוז, דיגיטל, סי.די.סי ואחרים. המחשב האישי היה בחיתוליו, על אינטרנט לא חלמו אז במדינת ישראל. מישהו זוכר את המונח BBS?
2. חוק הגנת הפרטיות 1996:
בשנים 1994-1996 בוצע תיקון רחב היקף בחוק הגנת הפרטיות, שנודע לימים כתיקון מס' 4. התיקון כלל הוספת דרישה למינוי "ממונה אבטחת מידע"
סעיף 17 ב לחוק קובע כי: הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה (מה זה בדיוק, לא מפורט...) שיהיה ממונה על אבטחת מידע (להלן - הממונה):
(1) מחזיק בחמישה מאגרי מידע החייבים ברישום לפי סעיף 8;
(2) גוף ציבורי כהגדרתו בסעיף 23; (גם זה לא בדיוק ברור מיהם כל הגופים הציבוריים. על כן, מנהל אבטחת מידע גש ליועץ המשפטי של הארגון בו הינך עובד וקבל מענה בדוק אם הארגון הוא גוף ציבורי כהגדרתו בסעיף 23 כן או לא...)
(3) בנק, חברת ביטוח, חברה העוסקת בדירוג או בהערכה של אשראי.
מבלי לגרוע מהוראות סעיף 17, הממונה יהיה אחראי לאבטחת המידע במאגרים המוחזקים ברשות הגופים כאמור בסעיף קטן (א).
לא ימונה כממונה מי שהורשע בעבירה שיש עמה קלון או בעבירה על הוראות חוק זה.
מדובר בציון דרך חשוב בתולדות העיסוק באבטחת מידע במדינת ישראל.
הייתה זו הפעם הראשונה שהמחוקק בחקיקה ראשית חייב ארגונים גדולים, שבהם כמויות מידע גדולות למנות גורם מקצועי שיקבל אחריות על אבטחת המידע האישי באותם ארגונים. מקוצר היריעה לא אכנס לכל הפרטים, כמו גם למשמעות המעשית בשטח. אבל כן, זה היה ניצן ראשון של התפתחות העיסוק בנושא בצד האזרחי של מפת המיחשוב במדינת ישראל.
המעניין הוא שאין דרישה למינוי ממונה על הגנת הפרטיות. אז נתפסה אבטחת המידע והגנת הפרטיות כאותו הדבר. היום אנו כבר יודעים שנדרשים שני בעלי מקצוע שונים.
3. חוק להסדרת הביטחון בגופים ציבוריים - 1998:
שנתיים לאחר קבלת התיקון בחוק הגנת הפרטיות המגדיר תפקיד חדש בחלק מהארגונים במדינת ישראל, תפקיד הממונה על אבטחת המידע האישי המוגן עפ"י החוק והתקנות להגנת הפרטיות, מתקבל בכנסת החוק השני המרכזי לענינינו, החוק להסדרת הביטחון בגופים ציבוריים.
החוק קובע כי גוף ציבורי הינו "כל גוף המנוי בתוספות, ולגבי משרד ממשלתי המנוי בתוספות – לרבות יחידות הסמך שלו;"
ממונה ביטחון הינו "מי שמונה על פי חוק זה להיות אחראי על ארגון פעולות אבטחה ועל
הפיקוח עליהן בגופים המפורטים בתוספות"; ומי שמונה יהיה כפוף במישרין למנהל הגוף הציבורי או לסגנו.
פעולות אבטחה מוגדרות כ"פעולות לשמירה על בטחונו של אדם, בטחון הציבור או בטחון המדינה, לרבות שמירה על רכוש. לענין גופים המנויים בתוספות הראשונה והשניה – גם פעילות לאבטחת מידע שחשיפתו עלולה לפגוע בבטחון המדינה וכן פעולות למניעת פגיעה בכל אחד מאלה."
ובמילים פשוטות, מינו את קצין הביטחון של גופים ציבוריים כגון : משרדי הממשלה, רשויות ממשלתיות, חברות התשתית (מקורות, חברת חשמל, בזק ועוד. נא לזכור אנו
ב-1998, לא 2011!!!) כאחראי לאבטחת המידע הביטחוני בגופים אלו.
אין סתירה בין חוק הגנת הפרטיות ובין החוק להסדרת הביטחון בגופים ציבוריים. עוסקים בסוגי מידע שונים בתכלית השינוי. הראשון במידע אישי, השני במידע ביטחוני.
4. בנק ישראל, המפקח על הבנקים, הוראת ניהול בנקאי תקין מס' 357 – ניהול תקין של טכנולוגיית המידע - 2003 :
עוברות חמש שנים עד שמשתנה משהו במגזר האזרחי. המפקח על הבנקים רואה את הפער בין הגנת הפרטיות ומי שממונה עליה בבנק "ממונה אבטחת המידע" ובין הצרכים האמיתיים של הבנק בהתמודדות למול האיומים והסיכונים ההולכים ונערמים. אנו כבר בעידן האינטרנט וחיבור לקוחות למערכות המידע הבנקאיות, ונדרש בעל מקצוע שיהיה לו גם תואר וגם מעמד בכיר מספיק על מנת לקדם את הנושאים בבנק. נפתח עידן "מנהל אבטחת המידע" במדינת ישראל.
הגדרת אבטחת מידע חסרה ברגולציה זו, אם כי היא ניתנת להצגה מזווית אחרת, זווית המענה הנדרש, כפי המופיע בהוראה:
תאגיד בנקאי יישם אמצעי אבטחה פיזית ולוגית למניעה, גילוי תיקון ותיעוד של חשיפות במערך טכנולוגיית המידע ודיווח עליהם בהתאם להערכת הסיכונים ותוך התייחסות גם להיבטים הבאים:
1. זיהוי ואימות (אלו סוגי בקרות אבטחת מידע בתחום המניעה)
2. סודיות ופרטיות (מרכיב ה-Confidentiality במודל ה-CIA).
3. שלמות ומהימנות הנתונים (מרכיב ה- Integrity במודל ה-CIA).
4. מניעת הכחשה (סוג בקרה בתחום הגילוי והתיעוד).
קיבלנו דרישות בתחומים הפיזיים והמחשוביים בקטגוריות מניעה, גילוי תיקון ותיעוד בנושאי CI, אין A. זו איננה טעות. נושא הזמינות והשרידות קיים בהוראה, אבל הוא איננו חלק מאבטחת מידע. ואכן במערכת הבנקאית במדינת ישראל, נושא הטיפול בתוכנית להמשכיות עסקית (שהוא מענה השרידות) איננו בתחום האחריות של מנהל אבטחת המידע של התאגיד הבנקאי.
ההוראה דורשת מהנהלת תאגיד בנקאי למנות "מנהל אבטחת מידע" שיהיה כפוף לחבר הנהלה (כן הוא יכול להיות כפוף למנהל מערכות המידע בבנק ובתנאי שזה האחרון חבר בהנהלת הבנק). הדירקטוריון וההנהלה חייבים לקבוע ולאשר מדיניות לניהול טכנולוגיית המידע שהפרק הראשון בה הוא "אבטחת מידע". הרגולטור לא כתב איך יראה מסמך המדיניות כולו, או פרק אבטחת המידע, והשאיר זאת לבנקים עצמם.
ומה קורה עם הממונה לאבטחת המידע מחוק הגנת הפרטיות שהתאגידים הבנקאיים חוייבו למנות בשנת 1996? שוב מקוצר היריעה ניתן לומר בקיצור שאין בעיה. מנהל אבטחת המידע עפ"י הרגולציה יכול למלא גם את תפקיד הממונה. ומה עם הגנת הפרטיות נשאל? בבנקים ישנו תפקיד "קצין ציות", זה היה באחריותו ונשאר באחריותו.
אם נבחן מהי ההשפעה הישירה של המהלך בהיבט הרוחבי של על מגזרי המשק, אזי לדעתי ההשפעה שולית כיוון שמדובר במספר מצומצם של ארגונים, תאגידים בנקאיים במדינת ישראל שחלקם כבר מינו מנהל אבטחת מידע והוא כבר היה כפוף לחבר הנהלה. מסיבה זו איננו יוצר שינוי דרמטי בנוף הניהולי של אבטחת המידע. גם בתוך הבנקים, מקצתם מצייתים להוראה ככתבה וכלשונה עוד טרם שיצאה לאור, מקצתם יצייתו ומקצתם "מתחכמים". בואו נשאיר את "מנהל אבטחת המידע" בדרג נמוך ונגדיר ערוץ היררכי חדש " מנהל מקצועי למנהל אבטחת המידע" המנהל המקצועי הוא חבר הנהלה, אבל מנהל אבטחת המידע מאחר והוא מנהל זוטר, מנהלו איננו חבר הנהלה... טריק חמוד שתוך כמה שנים נעלם מהנוף.
הערה נוספת: הוראה זו איננה, אני חוזר ומדגיש איננה נקודת מוצא מספקת לנושא אבטחת מידע בתאגיד בנקאי. היא הוראה כללית לניהול תקין של טכנולוגיית המידע ובתחום אבטחת המידע עוסקת במספר מאד מאד מאד מצומצם של נושאים.
אין בכך כדי לגרוע מחשיבות פריצת הדרך בנושא ניהול אבטחת מידע כמו גם נושאים ממוקדים נוספים בתחום אבטחת המידע, כגון, הערכת סיכונים, סקרי בטיחות, בנקאות בתקשורת.
5. החוק להסדרת הביטחון בגופים ציבוריים עדכון לחוק (מס' 2) משנת 2005:
הצעת התיקון לחוק הוגשה בשנת 2002. התיקון התקבל רק בשנת 2005. מכיוון ש"תוך כדי" נכנס הנושא של אבטחת מערכות מיחשוב חיוניות שלא היה בתכנון המקורי של תיקון מס' 2 לחוק זה. על כן שינוי שמטרתו הייתה רק לתקן ולשפר הפך להיות אבן הראשה של מהפיכה של ממש בניהול אבטחת מידע במדינת ישראל.
על כן, ניתן לומר כי מהותו של השינוי הינה הכללת נושא ההגנה על מערכות ממוחשבות חיוניות, אשר באותה העת עדיין פעלו כולן בגופים ציבוריים ועל כן המיקום הנאות של הנושא היה בחוק הנ"ל.
בדברי ההסבר להצעת החוק נכתב כי: "מוצע להבחין בין "פעולות אבטחה פיזית", הכוללות פעולות הנוגעות לשמירה על ביטחונו של אדם ועל הרכוש במבנה של הגוף הציבורי, לבין "פעולות אבטחת מידע" הנוגעות לשמירה על מידע מסווג המצוי בידי הגוף הציבורי; המונח "פעולות אבטחה" כולל את שני סוגי הפעולות; אבחנה זו נדרשת כדי להבהיר את חלוקת האחריות בין המשטרה לשב"כ באשר למתן הנחיות מקצועיות ביחס לגופים המפורטים בתוספת השניה לחוק ולהבהיר כי הנחיות מקצועיות שענינן אבטחה פיזית יינתנו על ידי נציג המשטרה ואילו הנחיות מקצועיות שענינן אבטחת מידע יינתנו על ידי נציג השב"כ. (סעיף 7 לחוק המוצע)
הנוסח שהתקבל לבסוף בחוק הינו:
"פעולות לאבטחת מידע - פעולות הדרושות לשם שמירה על מידע מסווג של גוף ציבורי או מידע כאמור המצוי אצלו, וכן פעולות למניעת פגיעה בכל אחד מאלה";
ו"פעולות לאבטחת מערכות ממוחשבות חיוניות - פעולות הדרושות לשם שמירה על מערכות ממוחשבות, שגוף שהסמיכה הממשלה קבע שהן מערכות ממוחשבות חיוניות, על מידע האגור במערכות אלה ועל מידע מסווג הקשור למערכות אלה, וכן פעולות למניעת פגיעה במערכות או במידע כאמור;"
ממונה הביטחון, דהיינו קצין הביטחון של הגוף הציבורי נותר האחראי על אבטחת המידע (אם כי מהנוסח של המילים בחוק לא לגמרי ברור מהו "מידע מסווג" או "מידע כאמור המצוי אצלו" אלו דורשים פרשנות משפטית) וישנו תפקיד נוסף: "הממונה על הפעולות לאבטחת מערכות ממוחשבות חיוניות".
ישנה גם חלוקת עבודה מסודרת בין גופים מנחים, משטרה, שב"כ, מלמ"ב.
אלא שכאן מתחיל ריבוי של בעלי אחריות לאבטחת מידע בחלק מהגופים הציבוריים במדינת ישראל.
גוף ציבורי שיש לו מידע אישי (בכולם יש) והוא גם כלול בהגדרת גוף שיש לו מערכות ממוחשבות חיוניות יש לו עכשיו שלושה אחראים לאבטחת מידע:
1. ממונה לאבטחת מידע עפ"י חוק הגנת הפרטיות שאחראי על אבטחת המידע האישי. התקנות העומדות לרשותו מעודכנות באותה השנה 2005, אבל אויה! העדכון הינו מינהלי ולא טכנולוגי. מהיכן ישאב ידע מקצועי לביצוע עבודתו? מהתקנות משנת 1986??? בעיה!
2. קצין הביטחון האחראי על המידע המסווג ביטחונית באותו הגוף הציבורי. הנחיות מקצועיות יסופקו לו מגורמי ביטחון הרלוונטיים.
3. ובאם הוחלט שיש צורך למנות אחראי להגנת המערכות הממוחשבות החיוניות אז יש סיכוי שיהיה מנהל שלישי. וההנחיות לאבטחת המידע כאן יסופקו שוב ע"י גורם ביטחוני..
עברו 6 שנים, נוספו והורדו גופים והניהול הכפול והמשולש ממשיך לו.
6. הוראה לניהול סיכוני אבטחת המידע של הגופים המוסדיים המפקח על הביטוח באגף שוק ההון של משרד האוצר – ספטמבר 2006
ושוב חוזר הכדור למגזר האזרחי. במשך כשנתיים ובעקבות ההוראה של המפקח על הבנקים, פועל המפקח על שוק ההון להכיל על מגזר הביטוח הוראה המטפלת באבטחת מידע לחברות הביטוח. הוראה לובשת ופושטת צורה ומתרחבת לכלול לא רק את חברות הביטוח אלא את "הגופים המוסדיים" מונח הכולל בנוסף לחברות הביטוח את קופות הגמל וקרנות ההשתלמות.
אבטחת המידע בהוראה זו תטפל בנושאי זמינות ושרידות (Availability), אמינות שלמות ודיוק (Integrity) וסודיות (Confidentiality).
בהיבט ניהול אבטחת המידע המצב דומה להוראה של המפקח על הבנקים ומשפרת אותה.
סעיף 2.1.3 בהוראה קובע כי:
א. הנהלת הארגון תמנה את אחד מחברי ההנהלה בעל כישורים מתאימים, בכפיפות למנכ"ל אשר יהיה ממונה על נושאי אבטחת המידע בארגון (להלן – "הממונה"). אין בהוראה זו כדי לפגוע בחובת מינוי ממונה לפי סעיף 17ב לחוק הגנת הפרטיות.
ב. הממונה יהיה אחראי על פיקוח ובקרה על הפעילות המתבצעת בתחומי אבטחת מידע וכן על בקרה על תכנית עבודה בנושא אבטחת המידע בהתאם למדיניות אבטחת המידע של הארגון.
ג. הנהלת הארגון תמנה מנהל אבטחת מידע שיהיה כפוף לממונה בנושאי אבטחת המידע בארגון ותעמיד לרשותו את המשאבים הדרושים לניהול אבטחת מידע.
כלומר ישנה היררכיה:
1. מנהל אבטחת מידע שיוכל לתפקד כי הארגון נדרש להעמיד לרשותו המשאבים לכך.
2. מנהלו הינו חבר הנהלה (כפוף למנכ"ל) שיש לו אחריות במסגרת ההנהלה לאבטחת מידע.
אין פגיעה בממונה אבטחת המידע עפ"י חוק הגנת הפרטיות
בדרך כלל אין כפל תפקידים ומנהל אבטחת המידע והממונה על אבטחת המידע הינם אותו אדם.
במהלך אוגוסט 2010 מתפרסם מסמך "ניהול טכנולוגיות מידע בגופים מוסדיים" המספק מעטפת רחבה של ניהול טכנולוגיית המידע בגוף מוסדי וכך נותן קונטקסט להוראתו הקודמת שעסקה רק באבטחת המידע.
לא בכדי סימנתי בכתיב נטוי את תחומי הטיפול של אבטחת המידע, CIA מלא.
ישנם מצבים שבהם מערכות המידע שבהן נעשה שימוש הינן של תאגידים בנקאיים. אלה אמורים לעמוד בהוראה 357, כאשר מנהל אבטחת המידע בתאגיד בנקאי אחראי באמת רק על C (סודיות), מעט על I (שלמות ואמינות) וכלל לא על A (זמינות שרידות).
התוצאה הינה "סכיזופרניה ניהולית" של מנהל אבטחת המידע של התאגיד הבנקאי...
מסקנות:
1. המסקנה העיקרית לדעתי היא שנדרש שהמחוקקים והרגולטורים יחשבו על הגופים אשר כפופים לרגולציות/חקיקות הללו וישקלו שקול היטב כיצד למזער את הבלבול הניהולי של נושאי משרות מנהלי/ממוני אבטחת המידע.
2. לא בכל חקיקה /רגולציה נושא הניהול מפורט בצורה ברורה. ניהול מכיל:
א. את המיצוב הארגוני של נושא המשרה. שלושה מהארבעה שמים דגש ומציבים עמדה ברורה בעניין זה. חוק הגנת הפרטיות איננו מתייחס לסוגיה זו כלל וכלל. ווידוי אישי: כותב שורות אלה היה אחד ממעצבי הסעיף הזה בשנת 1996 בתיקון לחוק הגנת הפרטיות בתפקידו כנציג משרד הבריאות בישיבות וועדת החוקה חוק ומשפט שדנה ועיצבה את נוסח התיקון לחוק עד להבאתו להצבעה בכנסת. ראינו אז הישג ענק בהשגת המטרה של קיבוע בחקיקה ראשית את עצם החובה למנות איש מקצוע לאבטחת מידע במערכות הציבוריות הגדולות, בנקים וחברות ביטוח. לא הקדשנו אז מחשבה מספקת לנושא מיקום הממונה.
ב. את תחומי האחריות במישור CIA (סודיות, שלמות ואמינות, זמינות ושרידות) ובמישור אבטחה פיזית למול אבטחת המחשבים. חוק הגנת הפרטיות מתייחס למעשה לכל ה-CIA וכוולל התייחסות לדרישות לאבטחה פיזית ומיחשובית, חוק להסדרת הביטחון נחזה להתייחס ל-C בלבד וקיימת הפרדה בין פעילות אבטחה פיזית ופעילות אבטחת מידע, הוראת המפקח על הבנקים לC ול-I בלבד ומחייבת אספקת מענה פיזי ומיחשובי, והוראת המפקח על הביטוח שוב לכל ה-CIA. גם הוראה זו מתייחסת לפן הפיזי והמיחשובי.
אתם מוזמנים להשוות את סעיף ב עם הסיום של הפוסט הראשון ולראות שבפועל המציאות קצת שונה.
לנושא האבטחה הפיזית למול אבטחת מערכות טכנולוגיית המידע אתייחס באחד מהפוסטים הבאים.
רשומות
