ניהול אבטחת מידע - הבהרה

ציפיתי לקבל תגובות על הרשימות שחלקן עשויות להיות פרובוקטיביות (?) בנושא ניהול אבטחת המידע. לצערי לא כך הוא הדבר.
אשמח מאד לקבל הערות / הסכמות וכמובן אי הסכמות. זה דיון פורה ומפרה.
ניהול אבטחת מידע (שעסקתי בה בעבר כמנהל אבטחת המידע של משרד הבריאות בשנים 1993-2000) וגם ייעוץ (שאני מספק מעל עשור, כולל ייעוץ למנהלי אבטחת מידע) מחייבים יושרה ואמירת אמת. לעתים האמת לא נעימה ולעתים היא יותר נעימה. אבל יש לאומרה בנימוס ובפומבי. אני מאמין שכך אני נוהג. אני מצפה מקהיליית מנהלי ויועצי אבטחת מידע האחרים בישראל ובעולם אלא הקוראים את הבלוג וגם אלו שאינם מוצאים בו עניין לנהוג כך.
לעצם העניין, מעולם לא טענתי שאבטחת מידע איננה כוללת את שלושת המרכיבים: סודיות, אמינות ושלמות, זמינות ואמינות. ההיפך הוא הנכון
הדיון שאני מעלה עוסק בניהולה של אבטחת המידע.

בתאוריה: אבטחת מידע זה כל השלוש

במציאות: "אבטחת מידע" הכוללת את שלושת המרכיבים מחולקת ארגונית לנושאי תפקיד שונים. הנושא בתואר: "מנהל אבטחת המידע" מנהל בפועל בעיקר את מרכיב הסודיות ואיננו אחראי לזמינות, שרידות שלמות ואמינות. איננו אחראי איננו אומר שאיננו תומך בהשגת יעדי הארגון בתחום, אך איננו המנהל האחראי להם.

זו הכללה ואני מניח שיש יוצאים מן הכלל, אך לגבי הרוב, למיטב שיפוטי זה המצב.
זה טוב? זה רע? ככה נכון לעשות? ככה לא נכון לעשות? אלו שאלות אחרות לחלוטין. לפני שדנים בכל השאלות הללו, יש להכיר את עובדת היסוד.
איך בודקים?
קל ופשוט: לכו לתקן 27001/27002 תקחו את 12 הנושאים, תעברו על העשרות הרבות של הבקרות המצויות בתקן (133 ליתר דיוק), ושימו תפקיד למול כל בקרה, מיהו זה בארגון האחראי עליה? תגלו מהר מאד שקיימת חלוקה ברורה בין מרכיבי הסודיות ושני המרכיבים האחרים. לדוגמה: פרק 14 בתקן כותרתו:

IMFORMATION SECURITY ASPECTS OF BUSINESS CONTINUITY PLANNING

שימו לב לכותרת: הבטי אבטחת מידע בתוכנית להמשכיות עסקית. כיוון שהתוכנית להמשכיות עסקית ברוב המקרים איננה באחריות אבטחת מידע...
דוגמה נוספת:
סעיף 10.3.1 בתקן: ניהול קיבולת - CAPACITY MANAGEMENT
איזהוא מנהל אבטחת המידע שאחראי על ניהול קיבולת של מערך טכנולוגיית המידע בארגון? להזכיר, ניהול קיבולת הינו מרכיב של זמינות. זמינות אחד ממרכיבי אבטחת מידע.
אשמח לקרוא ולדעת...

ותקנו אותי אם אני טועה.

ניהול אבטחת מידע - במה יעסקו הפוסטים.ולהתחלה: CIA בין תאוריה למציאות

לנושא ניהול אבטחת המידע בארגון היבטים רבים. סדרת הפוסטים הבאים תוקדש להם.
1. נחזור צעד לאחור, ולפני שנעסוק בסוגיות הקשורות לניהול אבטחת מידע, נזכיר לעצמנו מהי הגדרת אבטחת המידע, מהי המשמעות הנגזרת מכך והיכן באופן טבעי מצוייה הפעילות העיקרית בכל אחד מהנושאים הכלולים בהגדרת אבטחת המידע בארגונים.
2. נהול אבטחת המידע עפ"י חוק ורגולציה במדינת ישראל. החוקים: חוק הגנת הפרטיות והחוק להסדרת הביטחון בגופים ציבוריים. הרגולציות: רגולציה למגזר הבנקאות, ניהול בנקאי תקין-הוראה 357 של בנק ישראל, ורגולציה לגופים מוסדיים: הוראה לניהול סיכוני אבטחת מידע של המפקח על הביטוח באגף שוק ההון במשרד האוצר.
3. מה זה בכלל ניהול אבטחת מידע? תפקיד טכנולוגי? תפקיד ניהולי? מה מיקומו הארגוני של מנהל אבטחת המידע? בתוך מערך טכנולוגיית המידע? מחוץ למערך טכנולוגיית המידע? חבר הנהלה? לא חבר הנהלה? מהם ממשקי העבודה של מנהל אבטחת המידע עם שאר יחידות הארגון?
4. מה בין אבטחת מידע ואבטחה פיזית? האם אבטחת המידע יכולה להיות כפופה למנהל הביטחון הפיזי? האם מנהל הביטחון הפיזי יכול להיות כפוף למנהל אבטחת המידע? האם מנהל הביטחון הפיזי יכול להיות כפוף למנהל מערכות המידע? נשמע מוזר? הכל יובהר.
5. התפתחות מגמה חדשה בשנים האחרונות: הקמת משרד לניהול סיכונים פנים ארגוני. מה המשמעות מבחינת ניהול אבטחת המידע?
אנסה לפזר מעט את הערפל סביב הנושאים לעיל, ואשמח לקבל תגובות, הערות, וגם אי הסכמות לדברים שנכתבים על ידי יתקבלו בברכה.
כל הנכתב מתבסס על נסיון אישי של כ-25 שנה באבטחת מידע, מהן מעל 11 שנים בניהול אבטחת מידע בפועל כסגן מנהל אבטחת המידע וגם מנהל ביטחון ובטיחות ביבמ ישראל ומנהל אבטחת המידע במשרד הבריאות בעבר, ויועץ אבטחת מידע מזה למעלה מעשור למגוון גופים וארגונים מכל מגזרי המשק בישראל בהווה.

לפני שניגש לניהול אבטחת המידע יש לברר ביתר דיוק מה זה בדיוק "אבטחת מידע".
נוח להתבסס על התקן הישראלי הבינלאומי ISO 27001. בתקן זה נקבע כי אבטחת מידע הינה: "שמירה על חסיון, כלילות (INTEGRITY) וזמינות של מידע..."
הגדרה זו מקבילה לתפישה הרווחת של שלושת עמודי התווך של אבטחת המידע:
סודיות - Confidentiality
אמינות ושלמות - Integrity
זמינות ושרידות - Availability
וכל העוסק בנושא יודע מזה עשרות בשנים לדקלם: אבטחת מידע זה CIA. יופי נחמה...
אלא מאי?
אבטחת מידע איננה מושג מופשט, מדובר בתהליך ארגוני שיש לנהלו.
האומנם זהו תהליך אחד?
לכאורה כן, שנינו ולמדנו: אבטחת מידע זה CIA... נכון, אבל...
יש חלוקת אחריות מאד ברורה וטבעית של שלושת האותיות הללו.

סודיות - Confidentiality
הסודיות הינה באמת בתחום האחריות של אבטחת המידע. המרכיבים הבסיסיים של הזדהות (קוד משתמש וסיסמה, וגם האמצעים המודרניים יותר של TOKEN או כרטיס חכם), מערכת הרשאות, רישום נאות של מי ביצע מה, הכנת סביבה אבטחתית נאותה בגישה מרחוק ועוד ועוד, כולם באים לתמוך ישירות במרכיב הסודיות. אין ספק שנושא הסודיות הינו לב ליבה של פעילות אבטחת המידע.

שלמות ואמינות (כלילות בתקן 27001) - Integrity
באופן טבעי זה בתחום האחריות של פיתוח מערכות מידע. במהלך הפיתוח נקבע אלו נתונים עוברים תהליכי אימות טרם קליטתם לתוך המערכת ומהי רמת האימות שתבוצע. האם נעשה שימוש בתפריטים או במלל חופשי וכד'.
אבטחת המידע תורמת לנושא שלמות ואמינות, לדוגמה באמצעות מערכת הרשאות מתאימה המאפשרת רק לבעלי תפקיד מסויימים לשנות נתונים או בהצעת שימוש בכלים טכנולוגיים לדוגמה חתימה דיגיטלית.
למיטב שיפוטי ונסיוני, אבטחת מידע תורמת לשלמות ואמינות אבל רחוקה מלהיות האחראית להשגתה או לשימורה.

זמינות ושרידות - Availability
אני מרשה לעצמי לפרק את נושא ה-Availability לשני תת נושאים: זמינות (Availability) ושרידות (Survivability).
זמינות ממש אבל ממש לא קשורה לאבטחת המידע. זמינות הינה דרישה תפעולית לשימוש השוטף במערכות המידע. זמינות טובה הינה פועל יוצא של תכנון נכון של עומסים על מערך התקשורת, יכולות העיבוד, מהירויות זיכרון וכדומה. בז'רגון המקצועי נקרא לכך: Capacity Planning. מעולם לא היה באבטחת מידע. זהו תחום מקצועי של מערכות המידע, ומתחלק בין הפיתוח והתפעול. נ-ק-ו-ד-ה.
שרידות יכולה להיות קשורה לאבטחת מידע, אלא שבפועל בארגונים הגדולים בישראל זה בדרך כלל לא. השרידות מורכבת משתי תוכניות:
א. "תוכנית להמשכיות עסקית – Business Continuity Plan"
ב. "תוכנית התאוששות מאסון – Disaster Recovery Plan"

מאחר ומדובר בהיקפי תקציב גדולים ומשמעויות עסקיות אסטרטגיות, נדרש מנהל בכיר בארגון בעל יכולות לגייס את התקציב הדרוש ולהפעיל מערך ארגוני מורכב ובר קיימא לעניין זה. זה לא מנהל אבטחת המידע (בדרך כלל).
אבטחת המידע תורמת תרומה חשובה לשרידות. עליה לספק מענה אבטחתי נאות לכל התוכנית המתגבשת בארגון. זה נושא לפוסט בפני עצמו.
לסיכום: אבטחת מידע בתאוריה זה CIA במציאות זה C לחוד I לחוד ו-A לחוד.

אחרי שדי ברור לנו שמדובר בשלושה תהליכים ארגוניים שונים,נוכל להמשיך לפוסט הבא שיעסוק בניהול אבטחת מידע עפ"י חוקים ורגולציות מרכזיות במדינת ישראל.

מה בין רגישות המידע במערכת ובין חיוניותה של המערכת (קריטיות המערכת)

לאחר מספר חודשי יובש בכתיבה, (טוב היה קיץ...) חוזר ומקווה להתמיד בכתיבה.
נושא זה הינו תורתי ועוסק באחד מאבני היסוד של אבטחת מידע.
שני מרכיבי סיכון מהותיים תחת נושא אבטחת מידע הינם סודיות המידע במערכת (Confidentiality) וחשיבותה של המערכת להתנהלות היומיומית של הארגון (Criticality).
האם אלו שני דברים שונים תכלית השינוי, או דווקא שני שני צדדים של אותה המטבע?
אני חייב לציין שתקן ניהול אבטחת המידע 27001, מחבר את שני הנושאים תחת אותו פרק שתכליתו סימון ותיוות (פרק 7.2: המידע יסווג לפי ערכו, לפי הדרישות עפ"י דין, לפי רגישותו ולפי מידת הקריטיות שלו לארגון) ואולי בכך תורם גם הוא לחוסר הבהירות הקיים בנושא זה.
אנסה בפוסט קצר זה להבהיר את הנושא.

כמו כן יהווה פוסט זה גם הקדמה לנושא הבא שיתפרס עלפני מספר פוסטים ויעסוק בהבטים שונים של ניהול אבטחת מידע: מיקומו של מנהל אבטחת המידע בארגון, תחומי אחריותו, השילוב בין אבטחה פיזית ואבטחת המידע, התייחסות לניהול כולל של סיכונים בארגון ועוד.

ונחזור לעניינינו בפוסט זה.
רגישות מידע במערכת או סודיות המידע במערכת הינו מדד לעוצמת הנזק שתגרם לארגון אם מידע מסווג של המערכת ייחשף בפני מי שאיננו זכאי להיחשף אליו, ויהיה זה גורם פנימי או חיצוני. הנזק הינו בעצם חשיפת המידע לבלתי מורשה והוא בלתי הפיך. מידע מסווג שנחשף לגורם לא מורשה = נזק. ניתן לבצע הערכת נזקים (לכמת כמה נזק נגרם), אך לא ניתן להחזיר את המצב לקדמותו, המידע כבר מצוי גם ברשות הגורם האחר.
חיוניות (קריטיות) המערכת הינה עד כמה הארגון יכול לתפקד ללא אותה המערכת מאחר וזו הושבתה, לאחר שעבדה ושירתה את הארגון. סיבת השבתתה איננה רלוונטית לרמת חיוניותה. במידה והארגון התכונן כראוי לאירוע כזה (התכונן כראוי, משמע, הגדיר מהו משך הזמן המכסימלי שיכול לסבול אי פעולת המערכת, כיצד פועל בזמן שהמערכת מושבתת, כיצד מתכונן להעלאת המערכת בתום הזמן המכסימלי שיכול לפעול בלעדיה וכיצד מפעיל את המערכת לאחר חלוף פרק הזמן המכסימלי לאי פעילותה). נזק נגרם, אך במסגרת ניהול משברים זהו נזק שנלקח בחשבון וניתן לו המענה שהוגדר מראש.
מעיון בשני ההסברים לשני הנושאים, סודיות מידע במערכת וחיוניות מערכת ניתן להבין שמדובר בשני פרמטרים בלתי תלויים האחד בשני. אם כך הוא הדבר, אזי אמורים להימצא ארבע קטגוריות שונות של מערכות:
1. מערכת שבה המידע מסווג והמערכת חיונית לתפקוד השוטף של הארגון. (מסווגת וחיונית).
2. מערכת שבה המידע מסווג ואיננה חיונית להתנהלות השוטפת של הארגון. (מסווגת ולא חיונית)
3. מערכת שבה המידע איננו מסווג והיא חיונית להתנהלות השוטפת של הארגון. (חיונית ואיננה מסווגת)
4. מערכת שבה המידע איננו מסווג והמערכת איננה חיונית להתנהלות השוטפת של הארגון. (איננה חיונית ואיננה מסווגת)
נראה דוגמאות לארבע סוגי המערכות:
1. במערכת בנקאית, המערכת באמצעותה מבצע פקיד הבנק את פעילותו כאשר מולו יושב לקוח, (נהוג לקרוא למערכת מרכזית זו "המערכת הסניפית"). הפעילות של הפקיד כרוכה בגישה למידע הלקוח המצוי במחשבי הבנק ומן הסתם זהו מידע המוגן עפ"י החוק להגנת הפרטיות כמידע על מצבו הכלכלי של אדם, דהיינו, מידע מסווג. יחד עם זאת, באם המערכת מושבתת בשעות שבהן אמור הסניף לעבוד, הפקיד איננו מסוגל לשרת את הלקוח, על כן, זו מערכת חיונית להתנהלות העסקית השוטפת של הבנק.
2. מערכת השכר של הארגון. במערכת נאגר מידע המוגן עפ"י החוק והתקנות להגנת הפרטיות, מידע על מצבו הכלכלי של אדם, דהיינו, מידע מסווג. יחד עם זאת, במידה ומערכת השכר מושבתת ומדובר בטווח התאריכים שבהם חובה עפ"י החוק לשלם שכר לעובדים, ניתן לשלם להם את שכרם גם מבלי שהמערכת תפעל. לדוגמה, באמצעות העברת מקדמה בגובה לדוגמה השכר הקודם. כאשר המערכת תחזור לפעול, יבוצעו החישובים המדוייקים וישולם הפרש הכולל לדוגמה שעות נוספות וכד'.
3. מערכת המציגה את שערי הבורסה במהלך המסחר בבורסה. המידע איננו סודי, ההיפך הוא הנכון, מטרת הצגת המידע הינה להנגישו לציבור. יחד עם זאת השבתת המערכת עלולה לגרום להפסקת המסחר בבורסה מכיוון שהמידע על שערי המניות הנסחרות הינו חיוני לתהליך העסקי של קניה ומכירה של מניות בבורסה.
4. מערכת המאפשרת עריכת חישובים פיננסיים מפורטים למטרות סימולציה בלבד. אין בה כל מידע מסווג ובאם איננה פועלת מאחר ומדובר בסימולטור בלבד אין פגיעה בתהליך העסקי העיקרי של הארגון.
הדוגמה ממחישה היטב (לדעתי) את העובדה שסודיות המידע במערכת וחיוניותה של מערכת הינם שני פרמטרים בלתי תלויים.
ישנו גם הבדל בולט נוסף:
לסודיות ישנו ביטוי מוחשי ומעשי למול משתמשים. הסיווג מוצג באמצעות כותרת מילולית. לדוגמה: "סודי-אישי". הכותרת מודפסת על דוחות או על תווית המודבקת על מדיה מגנטית או אופטית ניידת או על מחשב נייד/SMARTPHONE. מטרתה פשוטה ותכליתית: להגדיר באמצעות הכותרת ובאמצעותה בלבד את כל תכולת המדיה נושאת הכותרת בהיבט סודיות המידע, וזאת ללא כל צורך לעיין בתכולה עצמה. גורם מוסמך בארגון יכול על כן להגדיר בפשטות מהן דרישות ההגנה לאותו נשא מידע בהתאם לכותרת וללא צורך להכיר תכולה ספציפית של כל דוח מודפס/מחשב נייד/מדיה מגנטית או אופטית ניידת.
לחיוניותה של מערכת אין כל צורך ליצור כותרת. אין זה מעניינו של משתמש במערכת להכיר את חיוניותה של המערכת. עליו להכיר כיצד הוא עובד במערכת בשגרה ומהם תהליכים חלופיים במידה והמערכת מושבתת. אין ולא אמור להיות לכך ביטוי בצורת כותרת למערכת או למדיה מגנטית או אופטית ניידת המהווה מרכיב שבו נעשה שימוש במערכת.