יום שלישי, 29 בנובמבר 2011

ניהול אבטחת מידע - דבר המחוקק והרגולטור הישראלי בנושא - מאמר שני בסדרה

המאמר השני מוקדש למציאות הישראלית הפורמאלית. ישנם שני חוקים ושתי רגולציות מרכזיות במדינת ישראל המחייבות מינוי של פונקציה ניהולית לעניין אבטחת מידע. אזהרה: זהו פוסט ארוך...
הפוסט יסקור בקצרה את עיקרי הדרישות בחוקים וברגולציות, האם המשמעות היא מינוי של יותר ממנהל אבטחה אחד בארגון או שישנה חפיפה, ועוד נושאים שונים.
הסקירה תתבסס על ציר הזמן, כך שהקורא יוכל לעקוב אחר ההתפתחות בנושא והאם הרגולטורים והמחוקקים אכן למדו זה מהצלחותיו או כשלונותיו של זה שפעל לפניהם.

1. חוק הגנת הפרטיות 1981,
תקנות הגנת הפרטיות: הצבת דרישות לאבטחת מידע - 1986
חוק הגנת הפרטיות נחקק בשנת 1981. התקנות העיקריות העוסקות באבטחת מידע (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים) תוקנו ב-1986.
בתקנות הוגדר שאחראי לאבטחת מידע במאגר מידע הינו מנהל המאגר. בתקנות הוגדרו דרישות אבטחת מידע שיש למלא אחריהן בתחומים הפיזיים, מיחשוביים וניהוליים. מנהל המאגר היה גורם ניהולי הקיים בכל ארגון: מנהל הארגון. בסמכותו להסמיך אחרים (כל מי שהוא מעלה בדעתו) כמנהלי מאגרים. הסמכת משנה לא קיימת. במקרים רבים הוסמכו אוטומאטית מנהלי המיחשוב. נא לזכור, זה עידן מערכות המחשב הגדולות של י.ב.מ, בורוז, דיגיטל, סי.די.סי ואחרים. המחשב האישי היה בחיתוליו, על אינטרנט לא חלמו אז במדינת ישראל. מישהו זוכר את המונח BBS?

2. חוק הגנת הפרטיות 1996:
בשנים 1994-1996 בוצע תיקון רחב היקף בחוק הגנת הפרטיות, שנודע לימים כתיקון מס' 4. התיקון כלל הוספת דרישה למינוי "ממונה אבטחת מידע"
סעיף 17 ב לחוק קובע כי: הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה (מה זה בדיוק, לא מפורט...) שיהיה ממונה על אבטחת מידע (להלן - הממונה):
(1) מחזיק בחמישה מאגרי מידע החייבים ברישום לפי סעיף 8;
(2) גוף ציבורי כהגדרתו בסעיף 23; (גם זה לא בדיוק ברור מיהם כל הגופים הציבוריים. על כן, מנהל אבטחת מידע גש ליועץ המשפטי של הארגון בו הינך עובד וקבל מענה בדוק אם הארגון הוא גוף ציבורי כהגדרתו בסעיף 23 כן או לא...)
(3) בנק, חברת ביטוח, חברה העוסקת בדירוג או בהערכה של אשראי.
מבלי לגרוע מהוראות סעיף 17, הממונה יהיה אחראי לאבטחת המידע במאגרים המוחזקים ברשות הגופים כאמור בסעיף קטן (א).
לא ימונה כממונה מי שהורשע בעבירה שיש עמה קלון או בעבירה על הוראות חוק זה.
מדובר בציון דרך חשוב בתולדות העיסוק באבטחת מידע במדינת ישראל.
הייתה זו הפעם הראשונה שהמחוקק בחקיקה ראשית חייב ארגונים גדולים, שבהם כמויות מידע גדולות למנות גורם מקצועי שיקבל אחריות על אבטחת המידע האישי באותם ארגונים. מקוצר היריעה לא אכנס לכל הפרטים, כמו גם למשמעות המעשית בשטח. אבל כן, זה היה ניצן ראשון של התפתחות העיסוק בנושא בצד האזרחי של מפת המיחשוב במדינת ישראל.
המעניין הוא שאין דרישה למינוי ממונה על הגנת הפרטיות. אז נתפסה אבטחת המידע והגנת הפרטיות כאותו הדבר. היום אנו כבר יודעים שנדרשים שני בעלי מקצוע שונים.

3. חוק להסדרת הביטחון בגופים ציבוריים - 1998:
שנתיים לאחר קבלת התיקון בחוק הגנת הפרטיות המגדיר תפקיד חדש בחלק מהארגונים במדינת ישראל, תפקיד הממונה על אבטחת המידע האישי המוגן עפ"י החוק והתקנות להגנת הפרטיות, מתקבל בכנסת החוק השני המרכזי לענינינו, החוק להסדרת הביטחון בגופים ציבוריים.
החוק קובע כי גוף ציבורי הינו "כל גוף המנוי בתוספות, ולגבי משרד ממשלתי המנוי בתוספות – לרבות יחידות הסמך שלו;"
ממונה ביטחון הינו "מי שמונה על פי חוק זה להיות אחראי על ארגון פעולות אבטחה ועל
הפיקוח עליהן בגופים המפורטים בתוספות"; ומי שמונה יהיה כפוף במישרין למנהל הגוף הציבורי או לסגנו.
פעולות אבטחה מוגדרות כ"פעולות לשמירה על בטחונו של אדם, בטחון הציבור או בטחון המדינה, לרבות שמירה על רכוש. לענין גופים המנויים בתוספות הראשונה והשניה – גם פעילות לאבטחת מידע שחשיפתו עלולה לפגוע בבטחון המדינה וכן פעולות למניעת פגיעה בכל אחד מאלה."
ובמילים פשוטות, מינו את קצין הביטחון של גופים ציבוריים כגון : משרדי הממשלה, רשויות ממשלתיות, חברות התשתית (מקורות, חברת חשמל, בזק ועוד. נא לזכור אנו
ב-1998, לא 2011!!!) כאחראי לאבטחת המידע הביטחוני בגופים אלו.
אין סתירה בין חוק הגנת הפרטיות ובין החוק להסדרת הביטחון בגופים ציבוריים. עוסקים בסוגי מידע שונים בתכלית השינוי. הראשון במידע אישי, השני במידע ביטחוני.

4. בנק ישראל, המפקח על הבנקים, הוראת ניהול בנקאי תקין מס' 357 – ניהול תקין של טכנולוגיית המידע - 2003 :
עוברות חמש שנים עד שמשתנה משהו במגזר האזרחי. המפקח על הבנקים רואה את הפער בין הגנת הפרטיות ומי שממונה עליה בבנק "ממונה אבטחת המידע" ובין הצרכים האמיתיים של הבנק בהתמודדות למול האיומים והסיכונים ההולכים ונערמים. אנו כבר בעידן האינטרנט וחיבור לקוחות למערכות המידע הבנקאיות, ונדרש בעל מקצוע שיהיה לו גם תואר וגם מעמד בכיר מספיק על מנת לקדם את הנושאים בבנק. נפתח עידן "מנהל אבטחת המידע" במדינת ישראל.
הגדרת אבטחת מידע חסרה ברגולציה זו, אם כי היא ניתנת להצגה מזווית אחרת, זווית המענה הנדרש, כפי המופיע בהוראה:
תאגיד בנקאי יישם אמצעי אבטחה פיזית ולוגית למניעה, גילוי תיקון ותיעוד של חשיפות במערך טכנולוגיית המידע ודיווח עליהם בהתאם להערכת הסיכונים ותוך התייחסות גם להיבטים הבאים:
1. זיהוי ואימות (אלו סוגי בקרות אבטחת מידע בתחום המניעה)
2. סודיות ופרטיות (מרכיב ה-Confidentiality במודל ה-CIA).
3. שלמות ומהימנות הנתונים (מרכיב ה- Integrity במודל ה-CIA).
4. מניעת הכחשה (סוג בקרה בתחום הגילוי והתיעוד).
קיבלנו דרישות בתחומים הפיזיים והמחשוביים בקטגוריות מניעה, גילוי תיקון ותיעוד בנושאי CI, אין A. זו איננה טעות. נושא הזמינות והשרידות קיים בהוראה, אבל הוא איננו חלק מאבטחת מידע. ואכן במערכת הבנקאית במדינת ישראל, נושא הטיפול בתוכנית להמשכיות עסקית (שהוא מענה השרידות) איננו בתחום האחריות של מנהל אבטחת המידע של התאגיד הבנקאי.
ההוראה דורשת מהנהלת תאגיד בנקאי למנות "מנהל אבטחת מידע" שיהיה כפוף לחבר הנהלה (כן הוא יכול להיות כפוף למנהל מערכות המידע בבנק ובתנאי שזה האחרון חבר בהנהלת הבנק). הדירקטוריון וההנהלה חייבים לקבוע ולאשר מדיניות לניהול טכנולוגיית המידע שהפרק הראשון בה הוא "אבטחת מידע". הרגולטור לא כתב איך יראה מסמך המדיניות כולו, או פרק אבטחת המידע, והשאיר זאת לבנקים עצמם.
ומה קורה עם הממונה לאבטחת המידע מחוק הגנת הפרטיות שהתאגידים הבנקאיים חוייבו למנות בשנת 1996? שוב מקוצר היריעה ניתן לומר בקיצור שאין בעיה. מנהל אבטחת המידע עפ"י הרגולציה יכול למלא גם את תפקיד הממונה. ומה עם הגנת הפרטיות נשאל? בבנקים ישנו תפקיד "קצין ציות", זה היה באחריותו ונשאר באחריותו.
אם נבחן מהי ההשפעה הישירה של המהלך בהיבט הרוחבי של על מגזרי המשק, אזי לדעתי ההשפעה שולית כיוון שמדובר במספר מצומצם של ארגונים, תאגידים בנקאיים במדינת ישראל שחלקם כבר מינו מנהל אבטחת מידע והוא כבר היה כפוף לחבר הנהלה. מסיבה זו איננו יוצר שינוי דרמטי בנוף הניהולי של אבטחת המידע. גם בתוך הבנקים, מקצתם מצייתים להוראה ככתבה וכלשונה עוד טרם שיצאה לאור, מקצתם יצייתו ומקצתם "מתחכמים". בואו נשאיר את "מנהל אבטחת המידע" בדרג נמוך ונגדיר ערוץ היררכי חדש " מנהל מקצועי למנהל אבטחת המידע" המנהל המקצועי הוא חבר הנהלה, אבל מנהל אבטחת המידע מאחר והוא מנהל זוטר, מנהלו איננו חבר הנהלה... טריק חמוד שתוך כמה שנים נעלם מהנוף.
הערה נוספת: הוראה זו איננה, אני חוזר ומדגיש איננה נקודת מוצא מספקת לנושא אבטחת מידע בתאגיד בנקאי. היא הוראה כללית לניהול תקין של טכנולוגיית המידע ובתחום אבטחת המידע עוסקת במספר מאד מאד מאד מצומצם של נושאים.
אין בכך כדי לגרוע מחשיבות פריצת הדרך בנושא ניהול אבטחת מידע כמו גם נושאים ממוקדים נוספים בתחום אבטחת המידע, כגון, הערכת סיכונים, סקרי בטיחות, בנקאות בתקשורת.

5. החוק להסדרת הביטחון בגופים ציבוריים עדכון לחוק (מס' 2) משנת 2005:
הצעת התיקון לחוק הוגשה בשנת 2002. התיקון התקבל רק בשנת 2005. מכיוון ש"תוך כדי" נכנס הנושא של אבטחת מערכות מיחשוב חיוניות שלא היה בתכנון המקורי של תיקון מס' 2 לחוק זה. על כן שינוי שמטרתו הייתה רק לתקן ולשפר הפך להיות אבן הראשה של מהפיכה של ממש בניהול אבטחת מידע במדינת ישראל.
על כן, ניתן לומר כי מהותו של השינוי הינה הכללת נושא ההגנה על מערכות ממוחשבות חיוניות, אשר באותה העת עדיין פעלו כולן בגופים ציבוריים ועל כן המיקום הנאות של הנושא היה בחוק הנ"ל.
בדברי ההסבר להצעת החוק נכתב כי: "מוצע להבחין בין "פעולות אבטחה פיזית", הכוללות פעולות הנוגעות לשמירה על ביטחונו של אדם ועל הרכוש במבנה של הגוף הציבורי, לבין "פעולות אבטחת מידע" הנוגעות לשמירה על מידע מסווג המצוי בידי הגוף הציבורי; המונח "פעולות אבטחה" כולל את שני סוגי הפעולות; אבחנה זו נדרשת כדי להבהיר את חלוקת האחריות בין המשטרה לשב"כ באשר למתן הנחיות מקצועיות ביחס לגופים המפורטים בתוספת השניה לחוק ולהבהיר כי הנחיות מקצועיות שענינן אבטחה פיזית יינתנו על ידי נציג המשטרה ואילו הנחיות מקצועיות שענינן אבטחת מידע יינתנו על ידי נציג השב"כ. (סעיף 7 לחוק המוצע)
הנוסח שהתקבל לבסוף בחוק הינו:
"פעולות לאבטחת מידע - פעולות הדרושות לשם שמירה על מידע מסווג של גוף ציבורי או מידע כאמור המצוי אצלו, וכן פעולות למניעת פגיעה בכל אחד מאלה";
ו"פעולות לאבטחת מערכות ממוחשבות חיוניות - פעולות הדרושות לשם שמירה על מערכות ממוחשבות, שגוף שהסמיכה הממשלה קבע שהן מערכות ממוחשבות חיוניות, על מידע האגור במערכות אלה ועל מידע מסווג הקשור למערכות אלה, וכן פעולות למניעת פגיעה במערכות או במידע כאמור;"
ממונה הביטחון, דהיינו קצין הביטחון של הגוף הציבורי נותר האחראי על אבטחת המידע (אם כי מהנוסח של המילים בחוק לא לגמרי ברור מהו "מידע מסווג" או "מידע כאמור המצוי אצלו" אלו דורשים פרשנות משפטית) וישנו תפקיד נוסף: "הממונה על הפעולות לאבטחת מערכות ממוחשבות חיוניות".
ישנה גם חלוקת עבודה מסודרת בין גופים מנחים, משטרה, שב"כ, מלמ"ב.
אלא שכאן מתחיל ריבוי של בעלי אחריות לאבטחת מידע בחלק מהגופים הציבוריים במדינת ישראל.
גוף ציבורי שיש לו מידע אישי (בכולם יש) והוא גם כלול בהגדרת גוף שיש לו מערכות ממוחשבות חיוניות יש לו עכשיו שלושה אחראים לאבטחת מידע:
1. ממונה לאבטחת מידע עפ"י חוק הגנת הפרטיות שאחראי על אבטחת המידע האישי. התקנות העומדות לרשותו מעודכנות באותה השנה 2005, אבל אויה! העדכון הינו מינהלי ולא טכנולוגי. מהיכן ישאב ידע מקצועי לביצוע עבודתו? מהתקנות משנת 1986??? בעיה!
2. קצין הביטחון האחראי על המידע המסווג ביטחונית באותו הגוף הציבורי. הנחיות מקצועיות יסופקו לו מגורמי ביטחון הרלוונטיים.
3. ובאם הוחלט שיש צורך למנות אחראי להגנת המערכות הממוחשבות החיוניות אז יש סיכוי שיהיה מנהל שלישי. וההנחיות לאבטחת המידע כאן יסופקו שוב ע"י גורם ביטחוני..
עברו 6 שנים, נוספו והורדו גופים והניהול הכפול והמשולש ממשיך לו.

6. הוראה לניהול סיכוני אבטחת המידע של הגופים המוסדיים המפקח על הביטוח באגף שוק ההון של משרד האוצר – ספטמבר 2006
ושוב חוזר הכדור למגזר האזרחי. במשך כשנתיים ובעקבות ההוראה של המפקח על הבנקים, פועל המפקח על שוק ההון להכיל על מגזר הביטוח הוראה המטפלת באבטחת מידע לחברות הביטוח. הוראה לובשת ופושטת צורה ומתרחבת לכלול לא רק את חברות הביטוח אלא את "הגופים המוסדיים" מונח הכולל בנוסף לחברות הביטוח את קופות הגמל וקרנות ההשתלמות.
אבטחת המידע בהוראה זו תטפל בנושאי זמינות ושרידות (Availability), אמינות שלמות ודיוק (Integrity) וסודיות (Confidentiality).
בהיבט ניהול אבטחת המידע המצב דומה להוראה של המפקח על הבנקים ומשפרת אותה.
סעיף 2.1.3 בהוראה קובע כי:
א. הנהלת הארגון תמנה את אחד מחברי ההנהלה בעל כישורים מתאימים, בכפיפות למנכ"ל אשר יהיה ממונה על נושאי אבטחת המידע בארגון (להלן – "הממונה"). אין בהוראה זו כדי לפגוע בחובת מינוי ממונה לפי סעיף 17ב לחוק הגנת הפרטיות.
ב. הממונה יהיה אחראי על פיקוח ובקרה על הפעילות המתבצעת בתחומי אבטחת מידע וכן על בקרה על תכנית עבודה בנושא אבטחת המידע בהתאם למדיניות אבטחת המידע של הארגון.
ג. הנהלת הארגון תמנה מנהל אבטחת מידע שיהיה כפוף לממונה בנושאי אבטחת המידע בארגון ותעמיד לרשותו את המשאבים הדרושים לניהול אבטחת מידע.
כלומר ישנה היררכיה:
1. מנהל אבטחת מידע שיוכל לתפקד כי הארגון נדרש להעמיד לרשותו המשאבים לכך.
2. מנהלו הינו חבר הנהלה (כפוף למנכ"ל) שיש לו אחריות במסגרת ההנהלה לאבטחת מידע.
אין פגיעה בממונה אבטחת המידע עפ"י חוק הגנת הפרטיות
בדרך כלל אין כפל תפקידים ומנהל אבטחת המידע והממונה על אבטחת המידע הינם אותו אדם.
במהלך אוגוסט 2010 מתפרסם מסמך "ניהול טכנולוגיות מידע בגופים מוסדיים" המספק מעטפת רחבה של ניהול טכנולוגיית המידע בגוף מוסדי וכך נותן קונטקסט להוראתו הקודמת שעסקה רק באבטחת המידע.

לא בכדי סימנתי בכתיב נטוי את תחומי הטיפול של אבטחת המידע, CIA מלא.
ישנם מצבים שבהם מערכות המידע שבהן נעשה שימוש הינן של תאגידים בנקאיים. אלה אמורים לעמוד בהוראה 357, כאשר מנהל אבטחת המידע בתאגיד בנקאי אחראי באמת רק על C (סודיות), מעט על I (שלמות ואמינות) וכלל לא על A (זמינות שרידות).
התוצאה הינה "סכיזופרניה ניהולית" של מנהל אבטחת המידע של התאגיד הבנקאי...



מסקנות:



1. המסקנה העיקרית לדעתי היא שנדרש שהמחוקקים והרגולטורים יחשבו על הגופים אשר כפופים לרגולציות/חקיקות הללו וישקלו שקול היטב כיצד למזער את הבלבול הניהולי של נושאי משרות מנהלי/ממוני אבטחת המידע.
2. לא בכל חקיקה /רגולציה נושא הניהול מפורט בצורה ברורה. ניהול מכיל:
א. את המיצוב הארגוני של נושא המשרה. שלושה מהארבעה שמים דגש ומציבים עמדה ברורה בעניין זה. חוק הגנת הפרטיות איננו מתייחס לסוגיה זו כלל וכלל. ווידוי אישי: כותב שורות אלה היה אחד ממעצבי הסעיף הזה בשנת 1996 בתיקון לחוק הגנת הפרטיות בתפקידו כנציג משרד הבריאות בישיבות וועדת החוקה חוק ומשפט שדנה ועיצבה את נוסח התיקון לחוק עד להבאתו להצבעה בכנסת. ראינו אז הישג ענק בהשגת המטרה של קיבוע בחקיקה ראשית את עצם החובה למנות איש מקצוע לאבטחת מידע במערכות הציבוריות הגדולות, בנקים וחברות ביטוח. לא הקדשנו אז מחשבה מספקת לנושא מיקום הממונה.
ב. את תחומי האחריות במישור CIA (סודיות, שלמות ואמינות, זמינות ושרידות) ובמישור אבטחה פיזית למול אבטחת המחשבים. חוק הגנת הפרטיות מתייחס למעשה לכל ה-CIA וכוולל התייחסות לדרישות לאבטחה פיזית ומיחשובית, חוק להסדרת הביטחון נחזה להתייחס ל-C בלבד וקיימת הפרדה בין פעילות אבטחה פיזית ופעילות אבטחת מידע, הוראת המפקח על הבנקים לC ול-I בלבד ומחייבת אספקת מענה פיזי ומיחשובי, והוראת המפקח על הביטוח שוב לכל ה-CIA. גם הוראה זו מתייחסת לפן הפיזי והמיחשובי.
אתם מוזמנים להשוות את סעיף ב עם הסיום של הפוסט הראשון ולראות שבפועל המציאות קצת שונה.
לנושא האבטחה הפיזית למול אבטחת מערכות טכנולוגיית המידע אתייחס באחד מהפוסטים הבאים.

יום שלישי, 22 בנובמבר 2011

ניהול אבטחת מידע - במה יעסקו הפוסטים.ולהתחלה: CIA בין תאוריה למציאות

לנושא ניהול אבטחת המידע בארגון היבטים רבים. סדרת הפוסטים הבאים תוקדש להם.
1. נחזור צעד לאחור, ולפני שנעסוק בסוגיות הקשורות לניהול אבטחת מידע, נזכיר לעצמנו מהי הגדרת אבטחת המידע, מהי המשמעות הנגזרת מכך והיכן באופן טבעי מצוייה הפעילות העיקרית בכל אחד מהנושאים הכלולים בהגדרת אבטחת המידע בארגונים.
2. נהול אבטחת המידע עפ"י חוק ורגולציה במדינת ישראל. החוקים: חוק הגנת הפרטיות והחוק להסדרת הביטחון בגופים ציבוריים. הרגולציות: רגולציה למגזר הבנקאות, ניהול בנקאי תקין-הוראה 357 של בנק ישראל, ורגולציה לגופים מוסדיים: הוראה לניהול סיכוני אבטחת מידע של המפקח על הביטוח באגף שוק ההון במשרד האוצר.
3. מה זה בכלל ניהול אבטחת מידע? תפקיד טכנולוגי? תפקיד ניהולי? מה מיקומו הארגוני של מנהל אבטחת המידע? בתוך מערך טכנולוגיית המידע? מחוץ למערך טכנולוגיית המידע? חבר הנהלה? לא חבר הנהלה? מהם ממשקי העבודה של מנהל אבטחת המידע עם שאר יחידות הארגון?
4. מה בין אבטחת מידע ואבטחה פיזית? האם אבטחת המידע יכולה להיות כפופה למנהל הביטחון הפיזי? האם מנהל הביטחון הפיזי יכול להיות כפוף למנהל אבטחת המידע? האם מנהל הביטחון הפיזי יכול להיות כפוף למנהל מערכות המידע? נשמע מוזר? הכל יובהר.
5. התפתחות מגמה חדשה בשנים האחרונות: הקמת משרד לניהול סיכונים פנים ארגוני. מה המשמעות מבחינת ניהול אבטחת המידע?
אנסה לפזר מעט את הערפל סביב הנושאים לעיל, ואשמח לקבל תגובות, הערות, וגם אי הסכמות לדברים שנכתבים על ידי יתקבלו בברכה.
כל הנכתב מתבסס על נסיון אישי של כ-25 שנה באבטחת מידע, מהן מעל 11 שנים בניהול אבטחת מידע בפועל כסגן מנהל אבטחת המידע וגם מנהל ביטחון ובטיחות ביבמ ישראל ומנהל אבטחת המידע במשרד הבריאות בעבר, ויועץ אבטחת מידע מזה למעלה מעשור למגוון גופים וארגונים מכל מגזרי המשק בישראל בהווה.

לפני שניגש לניהול אבטחת המידע יש לברר ביתר דיוק מה זה בדיוק "אבטחת מידע".
נוח להתבסס על התקן הישראלי הבינלאומי ISO 27001. בתקן זה נקבע כי אבטחת מידע הינה: "שמירה על חסיון, כלילות (INTEGRITY) וזמינות של מידע..."
הגדרה זו מקבילה לתפישה הרווחת של שלושת עמודי התווך של אבטחת המידע:
סודיות - Confidentiality
אמינות ושלמות - Integrity
זמינות ושרידות - Availability
וכל העוסק בנושא יודע מזה עשרות בשנים לדקלם: אבטחת מידע זה CIA. יופי נחמה...
אלא מאי?
אבטחת מידע איננה מושג מופשט, מדובר בתהליך ארגוני שיש לנהלו.
האומנם זהו תהליך אחד?
לכאורה כן, שנינו ולמדנו: אבטחת מידע זה CIA... נכון, אבל...
יש חלוקת אחריות מאד ברורה וטבעית של שלושת האותיות הללו.

סודיות - Confidentiality
הסודיות הינה באמת בתחום האחריות של אבטחת המידע. המרכיבים הבסיסיים של הזדהות (קוד משתמש וסיסמה, וגם האמצעים המודרניים יותר של TOKEN או כרטיס חכם), מערכת הרשאות, רישום נאות של מי ביצע מה, הכנת סביבה אבטחתית נאותה בגישה מרחוק ועוד ועוד, כולם באים לתמוך ישירות במרכיב הסודיות. אין ספק שנושא הסודיות הינו לב ליבה של פעילות אבטחת המידע.

שלמות ואמינות (כלילות בתקן 27001) - Integrity
באופן טבעי זה בתחום האחריות של פיתוח מערכות מידע. במהלך הפיתוח נקבע אלו נתונים עוברים תהליכי אימות טרם קליטתם לתוך המערכת ומהי רמת האימות שתבוצע. האם נעשה שימוש בתפריטים או במלל חופשי וכד'.
אבטחת המידע תורמת לנושא שלמות ואמינות, לדוגמה באמצעות מערכת הרשאות מתאימה המאפשרת רק לבעלי תפקיד מסויימים לשנות נתונים או בהצעת שימוש בכלים טכנולוגיים לדוגמה חתימה דיגיטלית.
למיטב שיפוטי ונסיוני, אבטחת מידע תורמת לשלמות ואמינות אבל רחוקה מלהיות האחראית להשגתה או לשימורה.



זמינות ושרידות - Availability
אני מרשה לעצמי לפרק את נושא ה-Availability לשני תת נושאים: זמינות (Availability) ושרידות (Survivability).
זמינות ממש אבל ממש לא קשורה לאבטחת המידע. זמינות הינה דרישה תפעולית לשימוש השוטף במערכות המידע. זמינות טובה הינה פועל יוצא של תכנון נכון של עומסים על מערך התקשורת, יכולות העיבוד, מהירויות זיכרון וכדומה. בז'רגון המקצועי נקרא לכך: Capacity Planning. מעולם לא היה באבטחת מידע. זהו תחום מקצועי של מערכות המידע, ומתחלק בין הפיתוח והתפעול. נ-ק-ו-ד-ה.
שרידות יכולה להיות קשורה לאבטחת מידע, אלא שבפועל בארגונים הגדולים בישראל זה בדרך כלל לא. השרידות מורכבת משתי תוכניות:
א. "תוכנית להמשכיות עסקית – Business Continuity Plan"
ב. "תוכנית התאוששות מאסון – Disaster Recovery Plan"


מאחר ומדובר בהיקפי תקציב גדולים ומשמעויות עסקיות אסטרטגיות, נדרש מנהל בכיר בארגון בעל יכולות לגייס את התקציב הדרוש ולהפעיל מערך ארגוני מורכב ובר קיימא לעניין זה. זה לא מנהל אבטחת המידע (בדרך כלל).
אבטחת המידע תורמת תרומה חשובה לשרידות. עליה לספק מענה אבטחתי נאות לכל התוכנית המתגבשת בארגון. זה נושא לפוסט בפני עצמו.
לסיכום: אבטחת מידע בתאוריה זה CIA במציאות זה C לחוד I לחוד ו-A לחוד.

אחרי שדי ברור לנו שמדובר בשלושה תהליכים ארגוניים שונים,נוכל להמשיך לפוסט הבא שיעסוק בניהול אבטחת מידע עפ"י חוקים ורגולציות מרכזיות במדינת ישראל.

יום שלישי, 15 בנובמבר 2011

מה בין רגישות המידע במערכת ובין חיוניותה של המערכת (קריטיות המערכת)

לאחר מספר חודשי יובש בכתיבה, (טוב היה קיץ...) חוזר ומקווה להתמיד בכתיבה.
נושא זה הינו תורתי ועוסק באחד מאבני היסוד של אבטחת מידע.
שני מרכיבי סיכון מהותיים תחת נושא אבטחת מידע הינם סודיות המידע במערכת (Confidentiality) וחשיבותה של המערכת להתנהלות היומיומית של הארגון (Criticality).
האם אלו שני דברים שונים תכלית השינוי, או דווקא שני שני צדדים של אותה המטבע?
אני חייב לציין שתקן ניהול אבטחת המידע 27001, מחבר את שני הנושאים תחת אותו פרק שתכליתו סימון ותיוות (פרק 7.2: המידע יסווג לפי ערכו, לפי הדרישות עפ"י דין, לפי רגישותו ולפי מידת הקריטיות שלו לארגון) ואולי בכך תורם גם הוא לחוסר הבהירות הקיים בנושא זה.
אנסה בפוסט קצר זה להבהיר את הנושא.

כמו כן יהווה פוסט זה גם הקדמה לנושא הבא שיתפרס עלפני מספר פוסטים ויעסוק בהבטים שונים של ניהול אבטחת מידע: מיקומו של מנהל אבטחת המידע בארגון, תחומי אחריותו, השילוב בין אבטחה פיזית ואבטחת המידע, התייחסות לניהול כולל של סיכונים בארגון ועוד.

ונחזור לעניינינו בפוסט זה.
רגישות מידע במערכת או סודיות המידע במערכת הינו מדד לעוצמת הנזק שתגרם לארגון אם מידע מסווג של המערכת ייחשף בפני מי שאיננו זכאי להיחשף אליו, ויהיה זה גורם פנימי או חיצוני. הנזק הינו בעצם חשיפת המידע לבלתי מורשה והוא בלתי הפיך. מידע מסווג שנחשף לגורם לא מורשה = נזק. ניתן לבצע הערכת נזקים (לכמת כמה נזק נגרם), אך לא ניתן להחזיר את המצב לקדמותו, המידע כבר מצוי גם ברשות הגורם האחר.
חיוניות (קריטיות) המערכת הינה עד כמה הארגון יכול לתפקד ללא אותה המערכת מאחר וזו הושבתה, לאחר שעבדה ושירתה את הארגון. סיבת השבתתה איננה רלוונטית לרמת חיוניותה. במידה והארגון התכונן כראוי לאירוע כזה (התכונן כראוי, משמע, הגדיר מהו משך הזמן המכסימלי שיכול לסבול אי פעולת המערכת, כיצד פועל בזמן שהמערכת מושבתת, כיצד מתכונן להעלאת המערכת בתום הזמן המכסימלי שיכול לפעול בלעדיה וכיצד מפעיל את המערכת לאחר חלוף פרק הזמן המכסימלי לאי פעילותה). נזק נגרם, אך במסגרת ניהול משברים זהו נזק שנלקח בחשבון וניתן לו המענה שהוגדר מראש.
מעיון בשני ההסברים לשני הנושאים, סודיות מידע במערכת וחיוניות מערכת ניתן להבין שמדובר בשני פרמטרים בלתי תלויים האחד בשני. אם כך הוא הדבר, אזי אמורים להימצא ארבע קטגוריות שונות של מערכות:
1. מערכת שבה המידע מסווג והמערכת חיונית לתפקוד השוטף של הארגון. (מסווגת וחיונית).
2. מערכת שבה המידע מסווג ואיננה חיונית להתנהלות השוטפת של הארגון. (מסווגת ולא חיונית)
3. מערכת שבה המידע איננו מסווג והיא חיונית להתנהלות השוטפת של הארגון. (חיונית ואיננה מסווגת)
4. מערכת שבה המידע איננו מסווג והמערכת איננה חיונית להתנהלות השוטפת של הארגון. (איננה חיונית ואיננה מסווגת)
נראה דוגמאות לארבע סוגי המערכות:
1. במערכת בנקאית, המערכת באמצעותה מבצע פקיד הבנק את פעילותו כאשר מולו יושב לקוח, (נהוג לקרוא למערכת מרכזית זו "המערכת הסניפית"). הפעילות של הפקיד כרוכה בגישה למידע הלקוח המצוי במחשבי הבנק ומן הסתם זהו מידע המוגן עפ"י החוק להגנת הפרטיות כמידע על מצבו הכלכלי של אדם, דהיינו, מידע מסווג. יחד עם זאת, באם המערכת מושבתת בשעות שבהן אמור הסניף לעבוד, הפקיד איננו מסוגל לשרת את הלקוח, על כן, זו מערכת חיונית להתנהלות העסקית השוטפת של הבנק.
2. מערכת השכר של הארגון. במערכת נאגר מידע המוגן עפ"י החוק והתקנות להגנת הפרטיות, מידע על מצבו הכלכלי של אדם, דהיינו, מידע מסווג. יחד עם זאת, במידה ומערכת השכר מושבתת ומדובר בטווח התאריכים שבהם חובה עפ"י החוק לשלם שכר לעובדים, ניתן לשלם להם את שכרם גם מבלי שהמערכת תפעל. לדוגמה, באמצעות העברת מקדמה בגובה לדוגמה השכר הקודם. כאשר המערכת תחזור לפעול, יבוצעו החישובים המדוייקים וישולם הפרש הכולל לדוגמה שעות נוספות וכד'.
3. מערכת המציגה את שערי הבורסה במהלך המסחר בבורסה. המידע איננו סודי, ההיפך הוא הנכון, מטרת הצגת המידע הינה להנגישו לציבור. יחד עם זאת השבתת המערכת עלולה לגרום להפסקת המסחר בבורסה מכיוון שהמידע על שערי המניות הנסחרות הינו חיוני לתהליך העסקי של קניה ומכירה של מניות בבורסה.
4. מערכת המאפשרת עריכת חישובים פיננסיים מפורטים למטרות סימולציה בלבד. אין בה כל מידע מסווג ובאם איננה פועלת מאחר ומדובר בסימולטור בלבד אין פגיעה בתהליך העסקי העיקרי של הארגון.
הדוגמה ממחישה היטב (לדעתי) את העובדה שסודיות המידע במערכת וחיוניותה של מערכת הינם שני פרמטרים בלתי תלויים.
ישנו גם הבדל בולט נוסף:
לסודיות ישנו ביטוי מוחשי ומעשי למול משתמשים. הסיווג מוצג באמצעות כותרת מילולית. לדוגמה: "סודי-אישי". הכותרת מודפסת על דוחות או על תווית המודבקת על מדיה מגנטית או אופטית ניידת או על מחשב נייד/SMARTPHONE. מטרתה פשוטה ותכליתית: להגדיר באמצעות הכותרת ובאמצעותה בלבד את כל תכולת המדיה נושאת הכותרת בהיבט סודיות המידע, וזאת ללא כל צורך לעיין בתכולה עצמה. גורם מוסמך בארגון יכול על כן להגדיר בפשטות מהן דרישות ההגנה לאותו נשא מידע בהתאם לכותרת וללא צורך להכיר תכולה ספציפית של כל דוח מודפס/מחשב נייד/מדיה מגנטית או אופטית ניידת.
לחיוניותה של מערכת אין כל צורך ליצור כותרת. אין זה מעניינו של משתמש במערכת להכיר את חיוניותה של המערכת. עליו להכיר כיצד הוא עובד במערכת בשגרה ומהם תהליכים חלופיים במידה והמערכת מושבתת. אין ולא אמור להיות לכך ביטוי בצורת כותרת למערכת או למדיה מגנטית או אופטית ניידת המהווה מרכיב שבו נעשה שימוש במערכת.