סקר סיכונים ואבטחת מידע

מהו סקר סיכונים ואבטחת מידע?

כיום מתקפות סייבר הפכו לנפוצות יותר ודרישות הרגולציה החריפו בהתאמה , לכן על כל ארגון להכין את עצמו ולשקף עד כמה הוא מוכן וערוך מפני מתקפות כאלה ומה חסר לו בכדי להשלים את מערך ההגנה שלו.

סקר סיכוני אבטחת מידע מתייחס לכל רמות האבטחה במסגרת התהליכים והמערכות הקיימים בארגון. החל מהתייחסות לאבטחה פיסית וכלה באבטחה של תשתיות הכוללות, מערכות הפעלה, רשתות, בסיסי נתונים, ניהול משתמשים ומתן הרשאות, תהליכי גיבוי ועוד.

במילים אחרות, הסקר בוחן את רמת אבטחת המידע הארגונית מקצה לקצה הן מבחינת תהליכים עסקיים וניהוליים, האם ישנם נהלים ומדיניות אבטחת מידע לפי הסטנדרטים המקובלים בתחום , כחלק מהתהליך נעשה מיפוי נכסי המידע הקריטיים של הארגון אשר במידה וידלפו לגורם לא מורשה, ייצרו נזקים כבדים לארגון. כמו כן חלק ניכר מהתהליך כולל סקירה טכנולוגית על המערכות הקיימות בארגון ,בדיקת ארכיטקטורה כללית של הרשת, בדיקת מערכות הפעלה מרכזיות , בחינת הגדרות בציוד אבטחת מידע פירוול ומערכות אנטי וירוס, בדיקת הקשחות לשרתים ועמדות קצה מייצגות והאם קיימת הלימה עם תקנים ורגולציה, בדיקות כלליות להגדרות בציודי תקשורת שונים כולל WI FI ועוד.. הסקר במהות שלו תשאולי ומציף את פערי אבטחת המידע הקיימים מבחינת מבנה החברה, התרבות הארגונית בהיבט אבטחת מידע, סטטוס מודעות עובדים ועוד.   

מטרת הפרויקט הינה לבצע סקר מיפוי מוקדי סיכון וחשיפות בתחום אבטחת המידע וסייבר בארגון על מנת:

לשקף מפה ראשונית של סיכוני סייבר של החברה, לרבות השלכתם של מוקדי הסיכון על תהליך ניהול סיכונים וקבלת החלטות בתחום אבטחת המידע.

לשקף מפה ראשונית של סיכוני סייבר של החברה, לרבות השלכתם של מוקדי הסיכון על תהליך ניהול סיכונים וקבלת החלטות בתחום אבטחת המידע.

לשקף מפה ראשונית של סיכוני סייבר של החברה, לרבות השלכתם של מוקדי הסיכון על תהליך ניהול סיכונים וקבלת החלטות בתחום אבטחת המידע.

במסגרת הפרויקט ימופו מוקדי הסיכון המרכזיים בתחום אבטחת המידע הקיימים במסגרת פעילות החברה תוך התייחסות להשפעתם הישירה על סיכונים כספיים, תפעוליים , סיכוני אי עמידה ברגולציה וסיכוני תדמית.

מתודולוגית עבודה והצוות המבצע

חברת InfoGuard פועלת לפי מתודולוגיית עבודה שעל פיה מוכשרים ופועלים כלל היועצים בנושא מיפוי והגנה על נכסי מידע בארגונים. חברתנו מספקת מומחים ויועצים בתחומי אבטחת מידע וניהול סיכונים בעלי היכרות מעמיקה עם תקני אבטחת המידע ISO 27001/27799

הפרויקטים מבוצעים בהתבסס על מתודולוגיית העבודה הנ”ל ועל Good Practices מקובלים בעולם הגנת המידע כגון ISO27001 .

אנו מאמינים כי שימוש במתודולוגיה שנבחנה ויישומה בהצלחה בפרויקטים ובסוגים שונים של חברות, הינה נדבך חשוב בהצלחת הפרויקט וביישומו ביעילות ובאפקטיביות. למותר לציין כי המתודולוגיה נבנתה ומתעדכנת באופן שוטף על בסיס פרויקטים שונים שנעשו על ידי כלל מומחי הגנת המידע של הרשת הגלובלית ולאור התנסותם באתגרים השונים שעולם הגנת המידע מכיל ואופן התמודדותם. הצוות המקצועי שיוקם לצורך ביצוע הפרויקט, יאפשר ביצועו תוך פגיעה מינימאלית במהלך העבודה השוטף של הארגון

תקן ISO27001

התקן פותח על ידי ארגון התקינה הבינלאומי ( ISO ) והינו תקן אבטחת מידע הנוגע להקמת מסגרת לניהול אבטחת מידע עבור ארגונים. התקן מכיל רכיבים של מסגרות ניהול אבטחת מידע אחרות הקיימות זמן רב כדוגמת התקן הבריטי BS17799 .

תקן ה-ISO27001 הינו מסגרת הניהול העיקרית המספקת הגדרה מקיפה למערכת ניהול אבטחת מידע (מנא”מ). אל המסגרת הנ”ל משויך תקן טכני ופרטני יותר הקרוי ISO27002 ומטרתו לספק הגדרה לגבי מימוש בקרות אבטחת מידע שונות לכלל הארגון.

ISO27001 חל על כל צורות המידע הרגיש לרבות רשומות מידע, דוחות כספיים, מידע אודות לקוחות הארגון, מידע אודות עובדי הארגון, תמונות, תרשימים, גרפים, קבצי ווידאו והקלטות שמע. ללא התייחסות לאופן שמירת המידע, בין אם מדובר במידע אלקטרוני או פיזי, על המידע להיות מוגן בכל עת. 

שיטת העבודה:

ראיונות עם גורמי המפתח האחראיים .

עיון במסמכים פנים ארגוניים כגון: מסמכי מדיניות אבטחת מידע, נהלים המכתיבים את התנהלות הארגון ועוד.

מיפוי מערכות קריטיות בארגון : תשאול וקיום ראיונות אל מול מנהלי המערכות והגורמים הרלוונטיים בתחום.

בדיקה באתר: הבדיקה מכסה את כל אותם תחומי חברה בהם עשויים להיווצר סיכונים פוטנציאליים ולכן הם חשובים להערכת סיכונים.

ייצור, עיבוד, אחסון, ניהול וכו ‘.

מתקני אספקה, חדרי בקרה, מרכזי מדיה וכו‘.

מתקני אספקה, חדרי בקרה, מרכזי מדיה וכו ‘. תחומים אחרים החיוניים לפעילות החברה, תחומים מועדים לסיכונים, נכסים מרוכזים וכו‘.

במסגרת הסקר תהיה התייחסות מפורטת לנושאים הבאים:

א. בחינת כל אמצעי התקשורת השייכים לרשת כגון שרתים, עמדות קצה, מכשירים סלולריים וכדומה.

ב. ניתוח תשתיות התקשורת – ניתוח קווי ה- WAN , רשת ה- LAN והתקשורת האלחוטית בארגון .

ג. ראיונות עם אנשי מפתח – ראיונות עם גורמים שונים בארגון לקבלת נקודות מבט שונות על אבטחת המידע, על תיעדוף משאבים וכדומה.

ד. בחינת נהלי אבטחת המידע בארגון, הן מבחינה פורמלית הן מבחינת היישום.

ה. בדיקת מאגרי המידע ע”פ דרישות רגולטוריות, רישום במשרד המשפטים ורגולציות שונות על פי הצורך.

ו. אפיון המידע המוחזק בארגון, הגדרת עדיפויות, הגדרת מערכות קריטיות וכדומה.

ז. בחינה מעמיקה של אמצעי האבטחה הקיימים בארגון, מבחינת הארכיטקטורה שלהם, הקונפיגורציה, וניתוח כשלי האבטחה שהם מותירים, כל זאת תוך התייחסות לאפיון המידע ובהתאם לרגישותו על פי צרכי הארגון .

ח. בדיקת האופן בו מנוהלים המשתמשים במערכות מבחינת הרשאות התחברות, גישה למשאבים ועוד .

ט. בדיקת מודעות העובדים לנושאי אבטחת מידע, מדיניות הדרכות בארגון, שמירה על סיסמאות וכדומה – Social Engineering .

י. ניתוח אופן העבודה מול חברות במיקור חוץ, צורות ההתחברות, הסכמי ההעסקה וכדומה

תוצרי הפרויקט

בסיום הפרויקט החברה תקבל דו״ח אשר יכלול את כל הממצאים שנאספו במהלך הבדיקות, המלצות ראשוניות לתיקון הכשלים שנתגלו והתייחסות. הדו״ח ייכתב בפירוט רב ויכיל בנוסף לממצאים גם רקע טכנולוגי ופירוט מתודולוגי לבדיקות.

כמו כן חלקו הראשון של הדו”ח יוגש כתקציר מנהלים, ובו יפורטו עיקרי הדו׳׳ח לטובת כוח אדם שאינו בקיא במושגים הטכנולוגיים . הממצאים העיקריים בדו”ח יסווגו על פי רמת סיכון וסבירות למימוש האיומים, והן על פי חומרת הפגיעה במקרה של מימושו.

מבנה דו”ח סופי סקר סיכונים

א. פירוט חלקי הדו”ח

1. תקציר מנהלים:

  •  תקציר מטרות ויעדי הפרויקט
  • תיאור מקוצר של תהליך הבדיקה.
  • תמצית ההמלצות לתיקון הממצאים.

2. מגבלות והיקף הבדיקה:

  •  היקף ותיחום הבדיקה ופירוט הרכיבים הנבדקים.
  •  מגבלות בהתאם לסוג הבדיקה.
  •  הגבלות בהתאם לתיחום הפרויקט.

3. עיקרי הממצאים:

  • תיאור עיקרי הממצאים
  • טבלת ממצאים בהתאם לרמת הסיכון שהוגדרה.
  • טבלת פירוט ערכי הסיכונים.
  • טבלת פירוט סיווג הסיכונים.

4. מסקנות הבדיקה ועיקרי ההמלצות:

  • חוות דעת מומחה על ממצאי הבדיקה.
  • מסקנות אופרטיביות להמשך.

5. פירוט הממצאים:

  • טבלת חישוב של רמת הסיכון.
  • טבלת חישוב של סיווג החשיפה.
  • פירוט הממצאים על פי סדר רמת סיכון יורד, כל ממצא יכיל את הנקודות הבאות:

i . שם החשיפה.

ii . רמת הסיכון – גבוהה, בינונית או נמוכה.

iii . חישוב משוקלל של רמת הסיכון ע”פ חישוב (DREAD )ראה סעיף ב’ בפרק זה.

iv . פירוט החשיפה – פירוט הממצא בהתאם לתסריט הבדיקה והסיכונים העיקריים

אשר נובעים ממנו.

v . פירוט טכני של החשיפה – פירוט טכני של החולשה/חשיפה שהתגלתה.

vi . המלצות ראשוניות – המלצות אופרטיביות לתיקון הממצא.

vii . נספחים ומידע נוסף – (תמונות מסך וכדומה )במידת האפשר.

סקר אבטחת מידע

כאשר אתם משקיעים כל כך הרבה שעות, כל כך הרבה כסף וכל כך הרבה מחשבה על הקמה של בית עסק חדש, המשימה המרכזית שלכם היא לשמור עליו מכל משמר ולצמצם את התכנות של אירועים שיסכנו את יציבות המותג שלכם. יש הרבה דרכים לעמוד ביעד הזה, על אחת כמה וכמה כאשר מדובר ביעד שנוגע לעולם המחשוב ואבטחת המידע. אולם בשנים האחרונות, חברות רבות בוחרות להשקיע משאבים בעריכת סקר אבטחת מידע תקופתי, איתו ניתן למפות את ביצועי המחשבים בעסק ולבדוק עמידות אל מול ניסיונות פריצה שונים. בעזרת אנשי הצוות המקצועיים של חברת אינפוגארד, ניתן לבצע את סקר האבטחה ברמה הכי גבוהה שיש, למצוא כל פרצה אפשרית במערכת האבטחה שלכם – ולמנוע אירועים לא נעימים.

ביצוע סקר אבטחת מידע תקופתי – מאפשר לבצע הערכת סיכונים

כל ארגון גדול שמכבד את עצמו, במיוחד אם מדובר על ארגון אשר עוסק בחומרים רגישים, כמו למשל ארגונים בריאותיים וארגונים פיננסים, בוחר לבצע באופן יזום בדיקות תקופתיות למערכות הגנת המידע השונות של העסק. אומנם זו היא הדרך היחידה לעמוד בדרישות התקנים המקצועיים של עולם אבטחת המידע, אבל הבחירה לבצע סקר אבטחת מידע יזום, יכולה לשרת את בית העסק הרבה יותר מאשר סתם לטובת עמידה בתו תקן בינלאומי.

אם יוצאים מתוך נקודת הנחה, לפיה מידי יום ביומו מתרחשים ניסיונות מסוכנים לפריצה למערכות מחשוב של ארגונים, סקר אבטחת מידע הוא הדרך הכי פשוטה לקחת אחריות ולבצע פעולות חיוניות לעסק. יתרה מכך, בתור מנהלים שמעוניינים לשמור על כשירות גבוהה של אנשי מחלקת המחשוב, יש לכם את האפשרות להפתיע את צוות העובדים שלכם ולבחון את התגובתיות שלהם לכל ניסיון פריצה בעזרת סקר אבטחת מידע שאתם בוחרים לבצע בעסק. הכל תלוי בנכונות שלכם לקחת אחריות, וביכולת שלכם לעבוד עם אנשי מחשוב ואבטחת מידע מהמעלה הראשונה. ואם אתם בוחרים לקחת את האחריות, התוצאות והיכולות של העסק שלכם ירקיעו שחקים בהתאמה.

שירותי אבטחת מידע של אינפוגארד – בחירות נכונות לעבודה נכונה של העסק

עכשיו אחרי שבחרתם לקחת את האחריות על עבודה מקצועית של צוות המחשוב ואבטחת המידע, ואתם הולכים על נתיב של ביצוע סקר אבטחת מידע תקופתי, אתם צריכים את המקצוענים בתחום אבטחת המידע לצידכם. הליווי האמין והאישי של אנשי חברת אינפוגארד יהפוך את התהליך לאפקטיבי הרבה יותר, וכך למנוע מכם התמודדות עם בעיות אבטחה חמורות.

סקר סיכונים אבטחת מידע

סביבת עבודה ממוחשבת, היא היום הסטנדרט המקצועי המינימלי, בכל משרד או ארגון גדול במדינת ישראל ובעולם כולו. זו היא נקודת המוצא ממנה כל ארגון שמכבד את עצמו רוצה לצאת לדרך, ולכן יש גם צורך להתייחס לאלמנטים הבעייתיים של עולם המחשוב והסייבר. אחת מהמשימות הכי מאתגרות וקשות של מנהלי אבטחה ומנהלים בארגונים גדולים, היא השמירה על אבטחת מידע ברמה גבוהה, כאשר הארגון הולך וגדל. בדיוק מסיבה זו, ניתן לבצע אחת לתקופה סקר סיכונים אבטחת מידע, ובו לקבל תמונת מצב של רמת המקצועיות של מחלקת המחשוב של החברה. בעזרת אנשי הצוות המקצועיים של חברת אינפוגארד ניתן לבצע בדיקת סקר סיכונים בתחום אבטחת המידע לכל ארגון ובכל שלב.

 

סקר סיכונים אבטחת מידע וארגונים גדולים – מה הקשר בין השלושה?

בכל מה שנוגע לעבודה עם ארגונים גדולים, עולם המחשוב הולך ומתפתח, ומוצא פתרונות מדהימים – במיוחד לבעיות שמטרידות כמעט כל מנהל. נכון להיום, ניתן לבצע את מרבית המשימות הממוחשבות בצורה מאובטחת לגמרי, ככל ואתם ממשיכים לשמור על תנאי העבודה ודרכי העבודה הבסיסיים של הארגון. יחד עם זאת, לעיתים רבות יש צורך לפנות לעזרתם של מומחים מחשוב בשביל לקבל עצות מקצועיות ואיתן לצאת לדרך בפעולה שתשפר לגמרי את אופן אחסנת מידע והעברת המידע בבית העסק שלכם.

בשביל לצאת לדרך עם מהלך כזה, עליכם לקחת אחריות על המתרחש בארגון ולצאת לבצע סקר סיכונים אבטחת מידע ובחינה מחודשת של תשתיות המחשוב. אינטגרציה בין שלושת הגורמים הללו, תוכל לגלות לכם מה הוא המצב המקצועי של מערכות המחשוב וההגנה בעסק שלכם, ותאפשר לכם במידת הצורך לבצע התאמות ושיפורים במערכת. סקר סיכונים אבטחת מידע מעניק תמונת ראי רחבה על נקודות החוזקה והחולשה של הארגון שלכם. ועל ידי כך יש לכם בעצם את כל הכוח בידיים ואתם יכולים לקחת אחריות על מערך אבטחת המידע בחברה שלכם ולשפר אותו בהתאם לדרישות ולצרכים.

אחריות מקצועית מא’ ועד ת’ בנושא סקר סיכונים סייבר

כל שנותר לכם בשלב זה לעשות, הוא לפנות לעזרת צוות מקצועי שיודע לבצע סקר סיכונים בנושא אבטחת המידע. מתוך שנים רבות של ניסיון, היכרות עמוקה עם עולם הסייבר ויכולות טכנולוגיות מתקדמות, לקוחות רבים פונים לקבל את עזרתם המקצועית של אנשי חברת אינפוגארד בכל מה שנוגע לסקר סיכונים. אנו יכולים להביא לידי ביטוי את הצרכים שלכם ואת הדרישות של תווי התקן המתקדמים בעולם, לטובת סקר מקצועי ואמין.

 

סקר סיכוני סייבר

שני העשורים האחרונים לימדו את כולנו שיעור משמעותי בכל מה שנוגע לאופן שבו אנו מנהלים מידע בעידן המודרני. כאשר או רוב המידע הכי חשוב שיש לנו בעולם, כולל מידע על חשבונות בנק וכספים, מאוחסן בתוך שרתים אדירים המפוזרים בכל רחבי תבל, יש גם ניסיונות רבים יותר לבצע מתקפות סייבר ולגנוב מידע יקר ערך. במידה מסוימת, זו היא פרצה הקוראת לגנב, כך שאתם צריכים לקחת אחריות ומבעוד מועד לבצע סקר סיכוני סייבר, בשביל לבחון באופן קבוע היתכנות של ניסיונות פריצה וגניבה ממאגרי המידע החסויים של החברה שלכם. בעזרת אנשי חברת הסייבר המקצועיים, אינפוגארד, תוכלו לבצע סקר סיכוני סייבר לכל אחת ממערכות ההבטחה המקצועיות של צוות המחשוב שלכם.

 

סקר סיכוני סייבר – הסר הכי חשוב שתבצעו לעסק

כל חברה גדולה, בישראל או בעולם, אשר מחזיקה מידע עסקי, פרטי או מקצועי מעוניינת לשמור על המידע רב הערך מכל משמר, ולהימנע ממצב של ניסיונות פריצה מסוכנים לבית העסק או לחברה. על פניו, נדמה כאילו זוהי משימה יחסית קלה שאפשר לפתור אותה כמעט ללא השקעה מיוחדת. אבל, ברגע שאתם מתמודדים עם סיכוני סייבר ברמה מאוד גבוהה אי אפשר לקחת החלטות בלי לקבל ידע של אנשי מקצוע מיומנים בתחום הסייבר. הפתרון הנכון והנגיש ביותר מבחינתם של מנהלים רבים, הוא הפניה לביצוע סקר סיכוני סייבר, שמפרק לפרוטות את כל התרחישים האפשריים איתם אתם אמורים להתמודד.

במהלך הסקר, אנשי מקצוע מעולמות הסייבר יסרקו את כל מערכות המחשוב של העסק שלכם, מתוך רצון לקבל תמונה מלאה על אתגרי הבטיחות ועל הפרצות האפשריות אל מאגרי המידע שלכם. ברגע של כל המידע מונח על השולחן, יש אפשרות אמיתית, כנה והוגנת, לבצע את התיקונים הנדרשים ולהפוך את המערכת שלכם חזקה הרבה יותר. אומנם נדרש מכם להשקיע זמן ומחשבה, אבל התוצרים אותם אתם עתידים לגלות בעקבות סקר סיכוני סייבר, ישמשו את צוות החברה שלכם למשך שנים ארוכות של ניהול מערך אבטחה בתוך העסק שלכם. 

סקר סיכונים סייבר הוא תהליך עבודה שמחייב מוחות מקצועיים

כעת אתם יכולים לקחת אחריות על בית העסק שלכם ולהבטיח שאתם בוחרים את רמת האבטחה המתאימה ביותר ליכולות הטכנולוגיות שלכם ולצרכים המקצועיים של אנשי הצוות שלכם. בעזרת אנשי חברת אינפוגארד, ניתן לבחון את ההיתכנות והאפקטיביות של ביצוע סקר סיכוני סייבר, ולאחר מכן גם לנתח כראוי את תוצאות הסקר.

כיום מתקפות סייבר הפכו לנפוצות יותר ודרישות הרגולציה החריפו בהתאמה , לכן על כל ארגון להכין את עצמו ולשקף עד כמה הוא מוכן וערוך מפני מתקפות כאלה ומה חסר לו בכדי להשלים את מערך ההגנה שלו.

סקר סיכוני אבטחת מידע מתייחס לכל רמות האבטחה במסגרת התהליכים והמערכות הקיימים בארגון. החל מהתייחסות לאבטחה פיסית וכלה באבטחה של תשתיות הכוללות, מערכות הפעלה, רשתות, בסיסי נתונים, ניהול משתמשים ומתן הרשאות, תהליכי גיבוי ועוד.

במילים אחרות, הסקר בוחן את רמת אבטחת המידע הארגונית מקצה לקצה הן מבחינת תהליכים עסקיים וניהוליים, האם ישנם נהלים ומדיניות אבטחת מידע לפי הסטנדרטים המקובלים בתחום , כחלק מהתהליך נעשה מיפוי נכסי המידע הקריטיים של הארגון אשר במידה וידלפו לגורם לא מורשה, ייצרו נזקים כבדים לארגון. כמו כן חלק ניכר מהתהליך כולל סקירה טכנולוגית על המערכות הקיימות בארגון ,בדיקת ארכיטקטורה כללית של הרשת, בדיקת מערכות הפעלה מרכזיות , בחינת הגדרות בציוד אבטחת מידע פירוול ומערכות אנטי וירוס, בדיקת הקשחות לשרתים ועמדות קצה מייצגות והאם קיימת הלימה עם תקנים ורגולציה, בדיקות כלליות להגדרות בציודי תקשורת שונים כולל WI FI ועוד.. הסקר במהות שלו תשאולי ומציף את פערי אבטחת המידע הקיימים מבחינת מבנה החברה, התרבות הארגונית בהיבט אבטחת מידע, סטטוס מודעות עובדים ועוד.   

 

מטרת הפרויקט הינה לבצע סקר מיפוי מוקדי סיכון וחשיפות בתחום אבטחת המידע וסייבר בארגון על מנת:

• לשקף מפה ראשונית של סיכוני סייבר של החברה, לרבות השלכתם של מוקדי הסיכון על תהליך ניהול סיכונים וקבלת החלטות בתחום אבטחת המידע.

• למפות מוקדי סיכון מהותיים, בהם נדרשת העמקה והרחבת הסקר.

• לסייע בגיבוש מתודולוגיה להערכת הסיכון העומדת בכפוף עם המתודולוגיה המתפתחת בארגון לניהול סיכונים.

במסגרת הפרויקט ימופו מוקדי הסיכון המרכזיים בתחום אבטחת המידע הקיימים במסגרת פעילות החברה תוך התייחסות להשפעתם הישירה על סיכונים כספיים, תפעוליים , סיכוני אי עמידה ברגולציה וסיכוני תדמית.

 

חברתנו בנתה מסגרת בדיקות אשר מאפשרות לחברה לזהות את נכסי המידע ולהבין את הסיכונים בתחום אבטחת המידע על כלל רמותיהם, ובמקביל ליישם מערכי התייעלות מגוונים אשר מטרתם הנה לתת מענה לסיכונים הנ”ל את היכולות לרמה אופטימלית.

מתודולוגית עבודה והצוות המבצע

חברת InfoGuard פועלת לפי מתודולוגיית עבודה שעל פיה מוכשרים ופועלים כלל היועצים בנושא מיפוי והגנה על נכסי מידע בארגונים. חברתנו מספקת מומחים ויועצים בתחומי אבטחת מידע וניהול סיכונים בעלי היכרות מעמיקה עם תקני אבטחת המידע ISO 27001/27799

הפרויקטים מבוצעים בהתבסס על מתודולוגיית העבודה הנ”ל ועל Good Practices מקובלים בעולם הגנת המידע כגון ISO27001 .

אנו מאמינים כי שימוש במתודולוגיה שנבחנה ויישומה בהצלחה בפרויקטים ובסוגים שונים של חברות, הינה נדבך חשוב בהצלחת הפרויקט וביישומו ביעילות ובאפקטיביות. למותר לציין כי המתודולוגיה נבנתה ומתעדכנת באופן שוטף על בסיס פרויקטים שונים שנעשו על ידי כלל מומחי הגנת המידע של הרשת הגלובלית ולאור התנסותם באתגרים השונים שעולם הגנת המידע מכיל ואופן התמודדותם. הצוות המקצועי שיוקם לצורך ביצוע הפרויקט, יאפשר ביצועו תוך פגיעה מינימאלית במהלך העבודה השוטף של הארגון

תקן ISO27001

התקן פותח על ידי ארגון התקינה הבינלאומי ( ISO ) והינו תקן אבטחת מידע הנוגע להקמת מסגרת

לניהול אבטחת מידע עבור ארגונים. התקן מכיל רכיבים של מסגרות ניהול אבטחת מידע אחרות

הקיימות זמן רב כדוגמת התקן הבריטי BS17799 .

תקן ה- ISO27001 הינו מסגרת הניהול העיקרית המספקת הגדרה מקיפה למערכת ניהול אבטחת

מידע )מנא”מ(. אל המסגרת הנ”ל משויך תקן טכני ופרטני יותר הקרוי ISO27002 ומטרתו לספק

הגדרה לגבי מימוש בקרות אבטחת מידע שונות לכלל הארגון.

ISO27001 חל על כל צורות המידע הרגיש לרבות רשומות מידע, דוחות כספיים, מידע אודות לקוחות

הארגון, מידע אודות עובדי הארגון, תמונות, תרשימים, גרפים, קבצי ווידאו והקלטות שמע. ללא

התייחסות לאופן שמירת המידע, בין אם מדובר במידע אלקטרוני או פיזי, על המידע להיות מוגן בכל

עת.

 

שיטת העבודה :

          ראיונות עם גורמי המפתח האחראיים .

          עיון במסמכים פנים ארגוניים כגון: מסמכי מדיניות אבטחת מידע, נהלים המכתיבים את התנהלות הארגון ועוד.

          מיפוי מערכות קריטיות בארגון : תשאול וקיום ראיונות אל מול מנהלי המערכות והגורמים הרלוונטיים בתחום.

          בדיקה באתר: הבדיקה מכסה את כל אותם תחומי חברה בהם עשויים להיווצר סיכונים פוטנציאליים ולכן הם חשובים להערכת סיכונים.

• ייצור, עיבוד, אחסון, ניהול וכו ‘.

• מתקני אספקה, חדרי בקרה, מרכזי מדיה וכו ‘.

• תחומים אחרים החיוניים לפעילות החברה, תחומים מועדים לסיכונים, נכסים מרוכזים וכו ‘.

במסגרת הסקר תהיה התייחסות מפורטת לנושאים הבאים:

א. בחינת כל אמצעי התקשורת השייכים לרשת כגון שרתים, עמדות קצה, מכשירים סלולריים וכדומה.

ב. ניתוח תשתיות התקשורת – ניתוח קווי ה- WAN , רשת ה- LAN והתקשורת האלחוטית בארגון .

ג. ראיונות עם אנשי מפתח – ראיונות עם גורמים שונים בארגון לקבלת נקודות מבט שונות על אבטחת

המידע, על תיעדוף משאבים וכדומה .

ד. בחינת נהלי אבטחת המידע בארגון, הן מבחינה פורמלית הן מבחינת היישום .

ה. בדיקת מאגרי המידע ע”פ דרישות רגולטוריות, רישום במשרד המשפטים ורגולציות שונות על פי

הצורך .

ו. אפיון המידע המוחזק בארגון, הגדרת עדיפויות, הגדרת מערכות קריטיות וכדומה .

ז. בחינה מעמיקה של אמצעי האבטחה הקיימים בארגון, מבחינת הארכיטקטורה שלהם,

הקונפיגורציה, וניתוח כשלי האבטחה שהם מותירים, כל זאת תוך התייחסות לאפיון המידע

ובהתאם לרגישותו על פי צרכי הארגון .

ח. בדיקת האופן בו מנוהלים המשתמשים במערכות מבחינת הרשאות התחברות, גישה למשאבים

ועוד .

ט. בדיקת מודעות העובדים לנושאי אבטחת מידע, מדיניות הדרכות בארגון, שמירה על סיסמאות

וכדומה – Social Engineering .

י. ניתוח אופן העבודה מול חברות במיקור חוץ, צורות ההתחברות, הסכמי ההעסקה וכדומה

 

תוצרי הפרויקט

בסיום הפרויקט החברה תקבל דו״ח אשר יכלול את כל הממצאים שנאספו במהלך הבדיקות, המלצות ראשוניות לתיקון הכשלים שנתגלו והתייחסות. הדו״ח ייכתב בפירוט רב ויכיל בנוסף לממצאים גם רקע טכנולוגי ופירוט מתודולוגי לבדיקות.

כמו כן חלקו הראשון של הדו”ח יוגש כתקציר מנהלים, ובו יפורטו עיקרי הדו׳׳ח לטובת כוח אדם שאינו בקיא במושגים הטכנולוגיים . הממצאים העיקריים בדו”ח יסווגו על פי רמת סיכון וסבירות למימוש האיומים, והן על פי חומרת הפגיעה במקרה של מימושו.

מבנה דו”ח סופי סקר סיכונים

א. פירוט חלקי הדו”ח

1. תקציר מנהלים:

תקציר מטרות ויעדי הפרויקט

תיאור מקוצר של תהליך הבדיקה.

תמצית ההמלצות לתיקון הממצאים.

2. מגבלות והיקף הבדיקה:

היקף ותיחום הבדיקה ופירוט הרכיבים הנבדקים.

מגבלות בהתאם לסוג הבדיקה.

הגבלות בהתאם לתיחום הפרויקט.

3. עיקרי הממצאים:

תיאור עיקרי הממצאים

טבלת ממצאים בהתאם לרמת הסיכון שהוגדרה.

טבלת פירוט ערכי הסיכונים.

טבלת פירוט סיווג הסיכונים.

4. מסקנות הבדיקה ועיקרי ההמלצות:

חוות דעת מומחה על ממצאי הבדיקה.

מסקנות אופרטיביות להמשך.

5. פירוט הממצאים:

טבלת חישוב של רמת הסיכון.

טבלת חישוב של סיווג החשיפה.

פירוט הממצאים על פי סדר רמת סיכון יורד, כל ממצא יכיל את הנקודות הבאות:

i . שם החשיפה.

ii . רמת הסיכון – גבוהה, בינונית או נמוכה.

iii . חישוב משוקלל של רמת הסיכון ע”פ חישוב (DREAD )ראה סעיף ב’ בפרק זה.

iv . פירוט החשיפה – פירוט הממצא בהתאם לתסריט הבדיקה והסיכונים העיקריים

אשר נובעים ממנו.

v . פירוט טכני של החשיפה – פירוט טכני של החולשה/חשיפה שהתגלתה.

vi . המלצות ראשוניות – המלצות אופרטיביות לתיקון הממצא.

 

vii . נספחים ומידע נוסף – (תמונות מסך וכדומה )במידת האפשר.

מידע שעשוי לעניין אותך

אבטחת מידע לעסקים

התקפות הסייבר – פריצות לרשת המחשוב הארגונית המגיעות מכיוון האינטרנט – הפכו נפוצות מאוד בשנים האחרונות ומכוונות היום לכל עסק

קרא עוד »

Modules

Modules & Integrations Remote Access Securely access your enterprise data from anywhere using any mobile device – without a VPN.

קרא עוד »

טוקניזציה

חברת InfoGuard מתמחה בליווי פרויקטי טוקניזציה עבור לקוחות הנדרשים לעמוד בדרישות אבטחת המידע של חברות האשראי ובתקן הרלוונטי. מדובר בדרישות

קרא עוד »

הסמכה לתקן iso

אנו מלווים גופים מגוונים במשק בהטמעת דרישות התקינה והרגולטור הספציפיות. זאת, בשורה ארוכה של נושאים תוך התאמה מלאה של הרגולציה

קרא עוד »

Call Now