ניהול סיכונים והערכת סיכונים
TRANSCRIPT
ניהול סיכונים והערכת סיכונים
ל פריימסק"מנכ, אור לביא: מרצה
והסיכונים לנזקים לגרום העלולים אירועים של הזיהוי יכולת מינוף – נזקים מזעור1.
ההנהלה יכולת גדלה ,מכך כתוצאה .אלה סיכונים לניהול הבקרה והגדרת בגינם
.אלה מאירועים הפוטנציאלי הנזק את ולהקטין וודאויות-אי לנהל
ובאמינות בשלמות ,במהימנות הביטחון רמת העלאת – יותר ובטוח אמין דיווח2.
,הפנימי הדיווח איכות שיפור ,זאת ידי ועל (חיצוני במידע והן פנימי במידע הן) המידע
.לרשויות הכספי והדיווח הניהולי
ליעדים בהתאם אותן ולנצל עסקיות הזדמנויות לזהות היכולת – הזדמנויות ניצול3.
.יותר ואמינים מדוייקים ודיווחים מניתוחים כתוצאה ,זאת .העסקיים
את לבחון הארגון להנהלת מאפשר הסיכונים ניהול – משאבים של אופטימיזציה4.
לבצע ובכך ,הארגון ולחשיפות לסיכונים ,ליעדים בהתאם המשאבים השקעת יעילות
.וחסכונית אפקטיבית השקעה
?לצורך מה –ניהול סיכונים
מתאר האיומים
:סיכוני אבטחת המידע מחולקים לשלוש קטגוריות עיקריות
סיווג מידע
Confidentiality
שלמות ואמינות
המידע
Integrity
זמינות המידע
Availability
סיכונים עיקריים בארגון
סיכונים מנהליים
סיכונים תשתיתיים
סיכונים תדמיתיים
סיכונים אפליקטיבים
סיכונים משפטיים
מתדולוגיית הערכת סיכונים
.מיפוי תהליכי העבודה בארגון בהיבט מערכות מידע1.
.קשרי גומלין בין המערכות ואופן הפעלתן, מיפוי מערכות המידע2.
.איתור כשלים ומיפוי סיכונים פוטנציאלים3.
.מיפוי בקרות קיימות וסיווגן לקטגוריות רלוונטיות4.
.ניתוח הממצאים והערכת רמת הסיכון5.
.מתן המלצות לחיזוק בקרות למזעור הסיכונים6.
.בניית תכנית עבודה לניהול סיכונים באופן שוטף7.
מיפוי מערכות ותהליכים
עיקריים
איתור הסיכונים
ניתוח הסיכונים
המלצות
oמכילה שהמערכת המידע סוג -
-רגיש ,ארגוני-רגיש ,אישי-רגיש
.פומבי ,מוגבל
oהמשתמשים וכמות העדכון יכולות
של למערכת ביחס לעדכן שיכולה
.המשתמשים
oעד - מירבי השבתה זמן משך
.יום מעל ,יום עד ,שעתיים
סוג המערכת
כללית ,ליחידה ייעודית ,מרכזית ,מנהלית
הסביבה הטכנולוגית של המערכת
(בשנים) המערכת גיל
(כמות) הממשקים מספר
(כמות) הרכיבים מספר
(נתונים בסיס ,הפעלה מערכת ,יישום) תוכנה סביבת
(אינטרנט ,פנימית ,חיצונית) תקשורת סביבת
הסביבה האנושית של המערכת
במערכת המשתמשים מספר
(מחיקה ,עדכון ,קריאה) במערכת המשתמשים של ההרשאות רמת
(חיצוני ,פנימי) המערכת ניהול
במערכת התומכים מספר
במערכת המשתמשים אוכלוסיית
במערכת מידע עליהם שיש האנשים כמות
פרמטרים עיקריים לקביעת רמת סיכון
בקרות לא טכנולוגיות בקרות טכנולוגיות
סיווג המידע הזדהות
סקרי סיכונים ומבדקי חדירה ביצוע סיסטם
אבטחה פיזית אפליקציה
קיום מדיניות ונהלים תקשורת
בקרת הרשאות גיבויים
תכנית המשכיות עסקית ניהול שינויים
עדכניות של מסמכי אבטחת מידע רמת הפרדת סביבות
מעורבות ומודעות הנהלה ועובדים ניהול רשת
נתיב בקרה
נושאים עיקריים שמומלץ לבחון ברמת הארגון
יישום מדיניות ונהלים הפרדת סביבות
בקרות קריפטוגרפיות גיבוי
בקרות אפליקציה ניהול אבטחת רשת
הגנה מפני קוד זדוני נתיב בקרה
אחריות על נכסי מידע משתמשים ניהול גישת
עסקית למערכת תשתית המשכיות בקרת גישה במערכות ההפעלה
קוד זדוני הגנה מפני בקרת גישה ליישום ולמידע
מערכתנושאים עיקריים שמומלץ לבחון ברמת
דוגמאות
לתוצרים
בינונית63%
גבוהה22%
נמוכה15%
פילוח מערכות על פי רמת סיכון שורשי
ניתוח נתוני השאלון הארגוני לפי סוג הבקרה
71% 5%
24%
בקרה טכנולוגית
88%
2% 10%
בקרה ניהולית
72% 2%
26%
בקרה תפעולית
תדירות ביצוע הסקר חודשים 18-אחת ל גבוההרמת סיכון שנים 3-אחת ל בינוניתרמת סיכון שנים 5-אחת ל נמוכהרמת סיכון
תכנית סקרים
2ביצוע מועד 1 מועד ביצוע מועד ביצוע אחרון רמת סיכון מערכת
2014ינואר 2012יולי 2011ינואר גבוהה 'מערכת א
2014פברואר 2012אוגוסט 2011פברואר גבוהה 'מערכת ב
2013מאי 2011נובמבר גבוהה 'ג מערכת
2013יולי 2010יולי בינונית 'מערכת ד
2014מרץ 2011מרץ בינונית 'מערכת ה
2014אוקטובר 2011אוקטובר בינונית 'מערכת ו
2012ינואר נמוכה 'מערכת ז
2015נובמבר 2010נובמבר נמוכה 'מערכת ח
סביבת הבקרה
ז מתוכנן"לו סטטוס המלצה בקרה חסרה הסיכון מערכת
ארגוני', ג', ב',א מערכות ,ה, ד
מידע רגיש חשיפת אין אמצעי זיהוי חזק בגישה מרחוק לרשת
החברה ----- בוצע מערכת זיהוי מרחוק התקנת
ח, ה, מערכות ב מערכתאי זיהוי אירועי אבטחת מידע ברמת האפליקציות
לזיהוי חות "דו/מנגנוןאין אירועי אבטחת מידע
ביישומים
דיון לגבי כל יישום להגדרת אירוע אבטחת מידע
בתהליךQ1 2012
כל התהליכים
כל המערכותחסר יכולת לבצע המשכיות
עסקית בעת אסון לא מעודכנת BCPתכנית
הגדרת , BCPעדכון תכנית ממונה קבוע לנושא
בתהליךQ1 2012
כל התהליכים
'ט', ג', אמערכות הכנסת מערכת לייצור ללא
וידוא קיום הדרישות העסקיות
תהליך ניהול שינויים אינו מתועד
בתהליך תיעוד הליך ניהול שינוייםQ2 2012
'ה', מערכות ד ארגוניהשבתת מערכות בשל אי
טיפול בתקלות ----- בוצע לטיפול בתקלותכתיבת נהל חסר נהל לטיפול בתקלות
כל התהליכים
כל המערכותחשיפה לתביעה
עיצום/משפטית
תהליך הבטחת ציות בתחום מערכות מידע אינו
מגובש
הגדרת נהל להליך ציות ומעקב ביצוע משימות בתחום
טכנולוגית המידע חלקי
Q1 2012
כלל התהליכים
כל המערכותתמיכה , טיפול בתקלות
במשתמשים
היות וחלק מהמערכת י הארגון "מתופעלת ע
, י הגוף המתפעל"וחלק עלעיתים יש עיכובים במתן תמיכה היות ולא ברורה
. חלוקת האחריות
חלוקת אחריות ברורה בין הארגון לגוף המתפעל
----- בוצע
מעקב המלצות לשיפור בקרות
