סקר סיכוני אבטחת מידע
מהו סקר סיכונים ואבטחת מידע?
כיום מתקפות סייבר הפכו לנפוצות יותר ודרישות הרגולציה החריפו בהתאמה , לכן על כל ארגון להכין את עצמו ולשקף עד כמה הוא מוכן וערוך מפני מתקפות כאלה ומה חסר לו בכדי להשלים את מערך ההגנה שלו.
סקר סיכוני אבטחת מידע מתייחס לכל רמות האבטחה במסגרת התהליכים והמערכות הקיימים בארגון. החל מהתייחסות לאבטחה פיסית וכלה באבטחה של תשתיות הכוללות, מערכות הפעלה, רשתות, בסיסי נתונים, ניהול משתמשים ומתן הרשאות, תהליכי גיבוי ועוד.
במילים אחרות, הסקר בוחן את רמת אבטחת המידע הארגונית מקצה לקצה הן מבחינת תהליכים עסקיים וניהוליים, האם ישנם נהלים ומדיניות אבטחת מידע לפי הסטנדרטים המקובלים בתחום , כחלק מהתהליך נעשה מיפוי נכסי המידע הקריטיים של הארגון אשר במידה וידלפו לגורם לא מורשה, ייצרו נזקים כבדים לארגון. כמו כן חלק ניכר מהתהליך כולל סקירה טכנולוגית על המערכות הקיימות בארגון ,בדיקת ארכיטקטורה כללית של הרשת, בדיקת מערכות הפעלה מרכזיות , בחינת הגדרות בציוד אבטחת מידע פירוול ומערכות אנטי וירוס, בדיקת הקשחות לשרתים ועמדות קצה מייצגות והאם קיימת הלימה עם תקנים ורגולציה, בדיקות כלליות להגדרות בציודי תקשורת שונים כולל WI FI ועוד.. הסקר במהות שלו תשאולי ומציף את פערי אבטחת המידע הקיימים מבחינת מבנה החברה, התרבות הארגונית בהיבט אבטחת מידע, סטטוס מודעות עובדים ועוד.
מטרת הפרויקט הינה לבצע סקר מיפוי מוקדי סיכון וחשיפות בתחום אבטחת המידע וסייבר בארגון על מנת לשקף מפה ראשונית של סיכוני סייבר של החברה, לרבות השלכתם של מוקדי הסיכון על תהליך ניהול סיכונים וקבלת החלטות בתחום אבטחת המידע.
במסגרת הפרויקט ימופו מוקדי הסיכון המרכזיים בתחום אבטחת המידע הקיימים במסגרת פעילות החברה תוך התייחסות להשפעתם הישירה על סיכונים כספיים, תפעוליים , סיכוני אי עמידה ברגולציה וסיכוני תדמית.
מתודולוגית עבודה והצוות המבצע
חברת InfoGuard פועלת לפי מתודולוגיית עבודה שעל פיה מוכשרים ופועלים כלל היועצים בנושא מיפוי והגנה על נכסי מידע בארגונים. חברתנו מספקת מומחים ויועצים בתחומי אבטחת מידע וניהול סיכונים בעלי היכרות מעמיקה עם תקני אבטחת המידע ISO 27001/27799
הפרויקטים מבוצעים בהתבסס על מתודולוגיית העבודה הנ”ל ועל Good Practices מקובלים בעולם הגנת המידע כגון ISO27001 .
אנו מאמינים כי שימוש במתודולוגיה שנבחנה ויישומה בהצלחה בפרויקטים ובסוגים שונים של חברות, הינה נדבך חשוב בהצלחת הפרויקט וביישומו ביעילות ובאפקטיביות. למותר לציין כי המתודולוגיה נבנתה ומתעדכנת באופן שוטף על בסיס פרויקטים שונים שנעשו על ידי כלל מומחי הגנת המידע של הרשת הגלובלית ולאור התנסותם באתגרים השונים שעולם הגנת המידע מכיל ואופן התמודדותם. הצוות המקצועי שיוקם לצורך ביצוע הפרויקט, יאפשר ביצועו תוך פגיעה מינימאלית במהלך העבודה השוטף של הארגון
תקן ISO27001
התקן פותח על ידי ארגון התקינה הבינלאומי ( ISO ) והינו תקן אבטחת מידע הנוגע להקמת מסגרת לניהול אבטחת מידע עבור ארגונים. התקן מכיל רכיבים של מסגרות ניהול אבטחת מידע אחרות הקיימות זמן רב כדוגמת התקן הבריטי BS17799 .
תקן ה-ISO27001 הינו מסגרת הניהול העיקרית המספקת הגדרה מקיפה למערכת ניהול אבטחת מידע (מנא”מ). אל המסגרת הנ”ל משויך תקן טכני ופרטני יותר הקרוי ISO27002 ומטרתו לספק הגדרה לגבי מימוש בקרות אבטחת מידע שונות לכלל הארגון.
ISO27001 חל על כל צורות המידע הרגיש לרבות רשומות מידע, דוחות כספיים, מידע אודות לקוחות הארגון, מידע אודות עובדי הארגון, תמונות, תרשימים, גרפים, קבצי ווידאו והקלטות שמע. ללא התייחסות לאופן שמירת המידע, בין אם מדובר במידע אלקטרוני או פיזי, על המידע להיות מוגן בכל עת.
שיטת העבודה:
- ראיונות עם גורמי המפתח האחראיים .
- עיון במסמכים פנים ארגוניים כגון: מסמכי מדיניות אבטחת מידע, נהלים המכתיבים את התנהלות הארגון ועוד.
- מיפוי מערכות קריטיות בארגון : תשאול וקיום ראיונות אל מול מנהלי המערכות והגורמים הרלוונטיים בתחום.
- בדיקה באתר: הבדיקה מכסה את כל אותם תחומי חברה בהם עשויים להיווצר סיכונים פוטנציאליים ולכן הם חשובים להערכת סיכונים.
- ייצור, עיבוד, אחסון, ניהול וכו ‘.
- מתקני אספקה, חדרי בקרה, מרכזי מדיה וכו‘.
- תחומים אחרים החיוניים לפעילות החברה, תחומים מועדים לסיכונים, נכסים מרוכזים וכו‘.
במסגרת הסקר תהיה התייחסות מפורטת לנושאים הבאים:
- בחינת כל אמצעי התקשורת השייכים לרשת כגון שרתים, עמדות קצה, מכשירים סלולריים וכדומה.
- ניתוח תשתיות התקשורת – ניתוח קווי ה- WAN , רשת ה- LAN והתקשורת האלחוטית בארגון .
- ראיונות עם אנשי מפתח – ראיונות עם גורמים שונים בארגון לקבלת נקודות מבט שונות על אבטחת המידע, על תיעדוף משאבים וכדומה.
- בחינת נהלי אבטחת המידע בארגון, הן מבחינה פורמלית הן מבחינת היישום.
- בדיקת מאגרי המידע ע”פ דרישות רגולטוריות, רישום במשרד המשפטים ורגולציות שונות על פי הצורך.
- אפיון המידע המוחזק בארגון, הגדרת עדיפויות, הגדרת מערכות קריטיות וכדומה.
- בחינה מעמיקה של אמצעי האבטחה הקיימים בארגון, מבחינת הארכיטקטורה שלהם, הקונפיגורציה, וניתוח כשלי האבטחה שהם מותירים, כל זאת תוך התייחסות לאפיון המידע ובהתאם לרגישותו על פי צרכי הארגון .
- בדיקת האופן בו מנוהלים המשתמשים במערכות מבחינת הרשאות התחברות, גישה למשאבים ועוד .
- בדיקת מודעות העובדים לנושאי אבטחת מידע, מדיניות הדרכות בארגון, שמירה על סיסמאות וכדומה – Social Engineering .
- ניתוח אופן העבודה מול חברות במיקור חוץ, צורות ההתחברות, הסכמי ההעסקה וכדומה
תוצרי הפרויקט
בסיום הפרויקט החברה תקבל דו״ח אשר יכלול את כל הממצאים שנאספו במהלך הבדיקות, המלצות ראשוניות לתיקון הכשלים שנתגלו והתייחסות. הדו״ח ייכתב בפירוט רב ויכיל בנוסף לממצאים גם רקע טכנולוגי ופירוט מתודולוגי לבדיקות.
כמו כן חלקו הראשון של הדו”ח יוגש כתקציר מנהלים, ובו יפורטו עיקרי הדו׳׳ח לטובת כוח אדם שאינו בקיא במושגים הטכנולוגיים . הממצאים העיקריים בדו”ח יסווגו על פי רמת סיכון וסבירות למימוש האיומים, והן על פי חומרת הפגיעה במקרה של מימושו.
מבנה דו”ח סופי סקר סיכונים
א. פירוט חלקי הדו”ח
1. תקציר מנהלים:
- תקציר מטרות ויעדי הפרויקט.
- תיאור מקוצר של תהליך הבדיקה.
- תמצית ההמלצות לתיקון הממצאים.
2. מגבלות והיקף הבדיקה:
- היקף ותיחום הבדיקה ופירוט הרכיבים הנבדקים.
- מגבלות בהתאם לסוג הבדיקה.
- הגבלות בהתאם לתיחום הפרויקט.
3. עיקרי הממצאים:
- תיאור עיקרי הממצאים.
- טבלת ממצאים בהתאם לרמת הסיכון שהוגדרה.
- טבלת פירוט ערכי הסיכונים.
- טבלת פירוט סיווג הסיכונים.
4. מסקנות הבדיקה ועיקרי ההמלצות:
- חוות דעת מומחה על ממצאי הבדיקה.
- מסקנות אופרטיביות להמשך.
5. פירוט הממצאים:
- טבלת חישוב של רמת הסיכון.
- טבלת חישוב של סיווג החשיפה.
- פירוט הממצאים על פי סדר רמת סיכון יורד, כל ממצא יכיל את הנקודות הבאות:
- שם החשיפה.
- רמת הסיכון – גבוהה, בינונית או נמוכה.
- חישוב משוקלל של רמת הסיכון ע”פ חישוב (DREAD) ראה סעיף ב’ בפרק זה.
- פירוט החשיפה – פירוט הממצא בהתאם לתסריט הבדיקה והסיכונים העיקריים אשר נובעים ממנו.
- פירוט טכני של החשיפה – פירוט טכני של החולשה/חשיפה שהתגלתה.
- המלצות ראשוניות – המלצות אופרטיביות לתיקון הממצא.
- נספחים ומידע נוסף – (תמונות מסך וכדומה) במידת האפשר.