סקר סיכונים בנושא
אבטחת מערכות מידע

מאת רפי סאקוב

כותב המאמר הינו יועץ אבטחת מידע וארגון ושיטות. לשעבר מפקח מאגרי מידע בכיר במשרד המשפטים וחבר מועצת האיגוד הישראלי לביקורת ואבטחת מערכות מידע.



מבוא
שימוש במערכות מידע הינו מחויב המציאות ולא ניתן לדמיין כיום כיצד ניתן לתפעל עסק בלעדיהן. יחד עם זאת, שימוש במערכות מידע גם חושף חברות לסיכונים אשר עלולים לאיים על עסקי החברה, החל מפגיעות אשר יש בהן כדי לשתק באופן חלקי ו/או זמני את פעילות החברה, ועד כדי פגיעות אשר יש בהן כדי למוטט אותה. סיכונים לדוגמה:
  • חדירה למערכות המחשב מחוץ לארגון או מתוכו, למטרות גניבה של סודות מסחריים.
  • פגיעה במסדי הנתונים ע"י מחיקה או שיבוש אחר שאינו מאפשר שימוש בהם.
  • פגיעה בחומרה, במערכות ההפעלה או בתוכנה, המחסלת את זמינות המערכת.

    הנהלת החברה אחראית (עד כדי אחריות אישית) לנקוט בפעולות מניעה אשר יש בהן כדי לזהות את הסיכונים הקיימים ולהפחית משמעותית את החשיפה להם. אחת מפעולות המניעה החשובות בנושא זה היא עריכת סקר סיכונים (Risk Analysis) בנושא אבטחת מערכות מידע.

    מטרות סקר הסיכונים
  • לאתר את הסיכונים והאיומים להם חשופה מערכת המחשב.
  • להציג את הסיכונים שנמצאו על פי משקלם היחסי.
  • להציג את הפעולות המתקנות שיאפשרו להקטין את הסיכונים.

    הנושאים אותם חשוב לבדוק במסגרת סקר הסיכונים (רשימה חלקית)
  • מהם האמצעים הקיימים להגנה פיזית על אתר המחשב ומרכיביו השונים, מפני שריפות, הצפות, חדירות, גניבות והשמדת חלקיו החשובים? האם אמצעים אלה מספקים?
  • איזו חומרה קיימת בארגון ומהן מערכות ההפעלה שבשימוש?
  • מהם סוגי התקשורת הקיימים בארגון וכיצד הם פרוסים בו?
  • מהם תהליכי העברת התוכנה מסביבת הפיתוח (נתוני ניסיון) לסביבת הייצור (נתוני אמת)? האם נשמרת ההפרדה הנדרשת?
  • אילו תהליכים קיימים בנושא ההפעלה השוטפת של מערכות המחשב?
  • מיפוי מדויק של מחשבי P.C., של תחנות עבודה ושל המדפסות הקיימים בארגון.
  • האם קיים המידור ההכרחי לגבי תחנות העבודה, אנשי המחשב ומשתמשים אחרים?
  • כיצד ניתנות הרשאות גישה לתוכנות השונות או למסכים השונים בתוך התוכנות? איזה בקרה מבוצעת לשימור הגדרות אלו?
  • מהם האמצעים הטכניים הקיימים לאבטחת מידע? האם יש באמצעים אלו כדי לספק הגנה סבירה?
  • אילו אמצעים קיימים למעקב שוטף אחר ניסיונות פריצה ו/או גישה למערכות המחשב שלא בהתאם להרשאות, וכיצד מטופלים מקרים אלו?
  • אילו אפשרויות גישה מרחוק יש למערכות המידע של החברה? איזו בקרה מבוצעת על אפשרויות אלה?
  • מהם תהליכי הגיבוי הננקטים בארגון, הן לגבי תוכנה והן לגבי מידע, והאם אכן יש בהם כדי לאפשר חזרה מהירה לפעילות, במקרה של אירוע משברי?
  • איזו בקרה קיימת על הפצת פלטי מחשב ועל השמדת מסמכים שאינם נחוצים?
  • האם קיים אתר גיבוי ליחידת המחשב? האם מתבצעת בדיקה תקופתית (לפחות אחת לשנה) לתקינותו של אתר זה לשעת הצורך?
  • האם קיימת תוכנית פעולה לשעת חירום (אירוע בטחוני)? האם מתרגלים תוכנית זו אחת לשנה?
  • איזה מעקב מתבצע אחר תקלות המתרחשות מעת לעת במערכות המחשב? כיצד מנוצל מעקב זה למניעה בעתיד?
  • האם הנהלים הקיימים בארגון בנושא תפעול מערכות המחשב ואבטחתם - עדכניים?
  • איזה תיעוד קיים לגבי מערכות המחשב? האם יש בתיעוד זה כדי לסייע בעת הצורך? באיזו מידה קיימת בנושא זה תלות אישית וקריטית בעובד כלשהו של החברה?
  • אילו פוליסות ביטוח קיימות לכיסוי נזקים אפשריים למערכות המחשב? האם הכיסוי מספיק? האם הארגון עומד בתנאי הפוליסות?

    תהליך ביצוע הסקר
  • זיהוי הסיכונים בכל אחד מהתחומים הנסקרים, כמפורט לעיל.
  • ניתוח הסיכונים ודירוגם בהתאם להסתברות כל אירוע ופוטנציאל הנזק שייגרם.
  • בקרת הסיכונים והמלצה על פתרונות אפשריים.

    ניתוח הסיכונים
    ניתוח הסיכונים והערכת חומרתם בהתבסס על נוסחה הכוללת את שני המדדים הבאים:
  • עלות הנזק הצפוי מהסיכון, במידה והוא יתרחש.
  • ההסתברות האפשרית לאירוע בעל הסיכון.

    קבלת החלטות ע"י הנהלת החברה
    כפועל יוצא מביצוע סקר הסיכונים, תוכל הנהלת החברה לקבל החלטות בנושאים הבאים:
  • קביעת סדר קדימויות לטיפול בסיכונים שזוהו.
  • קביעת האמצעים והכלים תוך התחשבות בעלותם (עלות חד פעמית / עלות שוטפת).
  • קביעת לוח זמנים.

    סיכום
    סקר סיכונים הינו אחד מהכלים היעילים לאיתור הליקויים באבטחת מערכות המחשב של החברה. על בסיס ביצוע בקר הסיכונים מתאפשר להנהלת החברה לקבל החלטות העשויות לשפר במידה רבה את רמת אבטחת המידע, ולצמצם משמעותית את החשיפות הקיימות לחברה מהתרחשות משברים בתחום זה.


    אימייל לכותב המאמר         שלח את המאמר לחבר       הזמנת בדיקה בנושא זה



    מצאתם את המידע שימושי ומועיל?
    מעוניינים בהצעות לבדיקת נושאים נוספים?
    צרו קשר!