תקנים לאבטחת מידע ותקנים המשפיעים על אבטחת המידע 1. תקנים כלליים משפחת תקני ISO-27000 משפחת תקנים של ארגון התקינה הבינלאומי המטפלים בניהול אבטחת המידע בארגון ומהווים מסגרת לבנית תכנית עבודה לאבטחת מידע. עד כה פורסמו שניים ממשפחת תקנים זו: ISO 27001 התקן למערכת הניהול לאבטחת המידע בארגון. התקן מגדיר עקרונות פשוטים שיטתיים ותכליתיים, להקמת ניהול ותחזוקה של מערכת אבטחת מידע המתאימה לארגון. מוכיחה שהארגון נוקט באמצעים המתאימים בכדי לממש את מחויבותו לשמירה על המידע ולנהלו בצורה יעילה http://www.27000.org/iso-27001.htm 27002 ISOBest Practices – מתכונת מומלצת למילוי דרישות תקן .ISO 27001
http://www.27000.org/iso-27002.htm ISO 27005 תקן בינלאומי זה קובע קווים מנחים לניהול סיכוני אבטחת מידע בארגון. מיועד לסייע ליישום הולם של אבטחת מידע המבוססת על גישה של ניהול סיכונים הכרת התפיסות, המודלים, התהליכים והמינוח המפורטים בתקן .ISO 27002 http://www.27000.org/iso-27005.htm ISO 15408 (Common Criteria) תקן בינלאומי המהווה מסגרת עבודה בה צרכי האבטחה של המשתמש נענים ע"י יצרנים המצהירים על היכולות של מוצריהם ומידת היענותם לדרישות המשתמש ומעבדות בלתי תלויות בודקות את רמת המהימנות של הצהרת היצרן. התקן מהוה ערובה לכך שתהליך ההגדרה, העיצוב, ההטמעה והערכה של מוצר אבטחת מידע נבדקו בצורה קפדנית ואמינה. http://www.p2080.co.il/go/p2080h/files/3859571158.pdf SOX חוק פדראלי בארה"ב המחייב כל חברה הנסחרת בבורסות ארה"ב או חברות הקשורות בהן ישירות ומטרתו לשפר את אמינות הדוחות הכספיים תוך הטלת אחריות אישית על המנכ"ל וסמנכ"ל הכספים. בהיות הדוחות הכספיים תוצר של מערכות המידע יש התייחסות רחבה לנושאי אבטחת מידע בחוק. http://en.wikipedia.org/wiki/Sarbanes%E2%80%93Oxley_Act iSOX הוראת המפקח על שוק ההון בנושא הדוחות הכספיים של החברות הציבוריות בישראל. מבוסס על חוק SOX האמריקאי ומותאם לצרכים בישראל. כמו החוק האמריקאי גם הוראה זו כוללת דרישות אבטחת מידע לשיפור הדוחות הכספיים של החברות הציבוריות http://www.icpas.org.il/upload/forum/BQTEKD8702447.pdf PCI-DSS תקן אבטחת מידע לסליקת כרטיסי אשראי. התקן נקבע ומתוחזק על ידי מועצת ה PCI, שהינה פורום כלל עולמי שהוקם על ידי חמש חברות האשראי הבינלאומיות ב- 2006. התקן חל על כל גוף המעביר, מאחסן, מעבד או מכבד נתוני אשראי. בהגדרה זו נכללים כל בתי העסק, וכן ספקי שירותים, בנקים וחברות האשראי הסולקות. מטרתו של התקן להגן על המשתמשים בכרטיסי האשראי מפני הונאות, גניבת זהות או גניבת כרטיסי אשראי והגנה על פרטיות המשתמשים https://www.pcisecuritystandards.org/security_standards/ FIPS 140 הוראה של ממשלת ארה"ב בנושא ניהול נכון של מערכות לעיבוד מידע. בהוראה התייחסות נרחבת לדרישות אבטחת מידע והגדרות להגנה באסטרטגית .Defense in Depth
http://en.wikipedia.org/wiki/Federal_Information_Processing_Standard FISMA חוק פדראלי בארה"ב המחייב הקמת מנגנונים כלל ארגוניים לאבטחת מידע בכל הסוכנויות הממשלתיות ובניית תכנית אבטחת מידע מבוססת ניהול סיכונים תוך התייחסות מיוחדת ל- .Cyber Security
http://csrc.nist.gov/groups/SMA/fisma/index.html 2. הגנות מפני מתקפת סייבר נאט"ו – אסטרטגית הגנה בפני מלחמת סייבר מדיניות הגנה בפני מלחמת סייבר שאומצה ע"י נאט"ו ביוני 2010 ומשמשת כיום את כל החברות בברית הצפון אטלנטית ואת המדינות הקשורות אליהן http://www.nato.int/cps/en/natolive/topics_49193.htm ארה"ב – הצעת חוק להגנת תשתיות חיוניות הממשל האמריקאי פרסם הצעת חוק להגנה על תשתיות לאומיות חיוניות מפני התקפות סיבר.
http://www.whitehouse.gov/sites/default/files/omb/legislative/letters/Cybersecurity-Regulatory-Framework-for-Covered-Critical-Infrastructure-Act.pdf 3. הגנה על הפרטיות חוק הגנת הפרטיות (ישראל, OECD, האיחוד האירופי, ארה"ב) – חוקים אלו דנים בהגנה על פרטיותם של אזרחי ואורחי מדינות אלו. החוק והדרישות בישראל תואמים את דרישות ה OECD. החוק מגדיר שורת תקנות לאבטחת מידע הדרושות לקיומו. משרד המשפטים (רמו"ט) הוא בעל הסמכות לוודא קיומן של תקנות אלו http://www.justice.gov.il/NR/rdonlyres/8D081CC2-225B-4269-95F7-BF6860654DA4/18194/tyutat_takanot_avtachat_meida_100112.pdf 4. המשכיות עסקית ISO-27031 תקן חדש מבית ISO הדן במוכנות מערכות המידע והתקשורת הארגונית למקרה אסון והצורך ליישם תכניות להמשכיות עסקית. תקן זה הוא תקן טכנולוגי ומציב דרישות למוכנות טכנולוגית להמשכיות עסקית. http://www.iso27001security.com/html/27031.html BS 25999 תקן של מכון התקנים הבריטי, מועמד לקבלת מעמד רשמי של ISO.תקן זה מתאר את הדרישות למערכת ניהול להמשכיות עסקית ומספק קווים מנחים למילוי דרישות אלו. התקן מבסס את התהליכים העקרונות והטרמינולוגיה להמשכיות עסקית. http://en.wikipedia.org/wiki/BS_25999 5. רגולציה אבטחת מידע לארגונים פיננסיים (ישראל) הוראת המפקח על הבנקים לניהול בנקאי תקין ניהול טכנולוגיות המידע (357) הוראת המפקח על הבנקים בבנק ישראל לניהול בנקאי תקין מבוססת תקן BASEL II. בתוך הוראה זו יש פרק הדן בניהול תקין של מערכות המידע בבנקים וניהול סיכוני המידע http://www.bankisrael.gov.il/deptdata/pikuah/nihul_takin/h2292.pdf הוראת המפקח על הביטוח, הפנסיה ושוק ההון לניהול הסיכונים לאבטחת מידע
בגופים המוסדיים ובחברות הביטוח (257) הוראת המפקח על הביטוח, הפנסיה ושוק ההון במשרד האוצר לניהול סיכוני המידע בחברות הביטוח ובגופים המוסדיים (מכונה גם הוראה 257) מבוססת בעיקר על ISO 27001. ההוראה מפרטת את הדרישות לניהול אבטחת מידע בארגון ואת אופן הפיקוח על גופים חיצוניים המשתמשים במערכות המידע של הארגון (סוכנויות וסוכני ביטוח וכו') http://ozar.mof.gov.il/hon/2001/mosdiym/memos/2006-9-06.pdf 6. אבטחת מידע ברפואה ISO 27799 אינפורמטיקה בתחום הבריאות-ניהול אבטחת מידע בתחום הבריאות באמצעות שימוש בתקן הבינלאומי.ISO/IEC27002 תקן זה קובע מערכת של אמצעי בקרה ((CONTROLS מפורטים לניהול אבטחת מידע בתחום הבריאות, ומספק קווים מנחים לגבי הנהגים המיטביים ( (BEST PRACTICEהמקובלים באבטחת מידע בתחום הבריאות. על ידי מימוש תקן זה יוכלו ארגונים המספקים שירותי בריאות וגופים אחרים שברשותם מידע בתחום הבריאות להבטיח רמת אבטחה מינימלית נדרשת ההולמת את תנאי הפעולה של ארגונם ואשר תאפשר שמירה על החיסיון, השלמות והזמינות של מידע אישי בתחום הבריאות http://www.27000.org/iso-27799.htm HIPPA חוק פדראלי בארה"ב הדן בדרישה להגנת פרטיותם של החולים במערכת המידע של ספקי שירותי הבריאות בארה"ב. http://www.hippa.com/ הוראות משרד הבריאות לקופות החולים בנושא שמירת פרטיותם
של החולים במערכות המידע של קופות החולים http://www.pratiut.com/2010/06/blog-post_24.html 7. אבטחת מידע בארגוני תקשורת ISO 27011 טכנולוגיית מידע-שיטות אבטחה-קווים מנחים לניהול אבטחת מידע בארגוני תקשורת המבוססים על התקן ISO/IEC 27002 . תקן זה מגדיר קווים מנחים לתמיכה ביישום ניהול אבטחת מידע בארגוני תקשורת (TeleCommunication Organizations) פעולה לפי תקן זה תאפשר לארגוני תקשורת לעמוד בדרישות הבסיסיות של ניהול אבטחת מידע, כגון: סודיות, שלמות, זמינות וכל דרישת אבטחה רלוונטית אחרת. http://www.27000.org/iso-27011.htm 8. ארכיטקטורת אבטחת מידע SABSA מסגרת עבודה אפקטיבית להטמעת ארכיטקטורת אבטחת מידע ארגונית התואמת את המבנה הארגוני, את ארכיטקטורת מערכות המידע בארגון ואת דרישות ניהול הסיכונים. ל SABSA יש הסמכה פרטנית הן לארגונים העומדים במטריצה של SABSA והן לארכיטקטים לאבטחת מידע. http://www.sabsa.org/ 9. תקני שרות למערכות מידע ISO 20000 תקן בין לאומי למדידת איכות רמת הניהול לשירותי IT בארגון ושיפורו על-מנת להתאימו לצרכים העסקיים של הארגון. התקן בוחן עד כמה ה-IT מנהל נכון את השירותים שהוא נותן לארגון, ועד כמה הוא מספק את הצרכים העסקיים של הארגון, במסגרת המשאבים שהוסכמו. התקן בוחן האם ה-IT מספק שירות מקצועי, יעיל, חסכוני, והאם הסיכונים התפעוליים מנוהלים כראוי. בתקן לא כלולות הבהרות באשר לדרך שבה העמידה בהגדרות מסייעת לשיפור, והוא אף אינו עוסק בהמלצות ליישום ניהול השירות (ההמלצות כלולות במסגרת ITIL להלן). http://20000.fwtk.org/20000-itil.htm ISO 20001 חלקו השני של תקן ISO 20000, חלק זה מתאר המלצות לפעילות והטמעה לדרישות הנמצאות בתקן ISO 20000. http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51986 10.תקנים מקצועיים למערכות מידע ITIL (Information Technology Infrastructure Library) תיאור טכני מפורט להטמעת תהליכי שירות ב- IT כדי להתאימם לדרישות העסקיות של הארגון בצורה מיטבית. זו הטכניקה המעשית ליישום ISO 20000. מסגרת ITIL מהווה אוסף של הנחיות לניהול יחידת המחשב בכלארגון, וכיצד ה- IT אמור לפעול על מנת לספק שירותי IT ולעזור לארגון לעשות עסקים. המתודה המבוססת על הניסיון המצטבר של אלפי ארגונים בעולם, והיא מגדירה שיטתעבודה ממוקדת שירות. השיטה מגדירה סידרה של תהליכי עבודה שמטרתם לספקשירותי מערכות מידע איכותיים ולתמוך ברצף אספקת שירותים אלה בהתאם לציפיותמשתמשי המחשב בארגון. מתודת ITIL נכתבה על ידי OGC - משרד המסחר הבריטי, ומופצת בעולם על ידי פורום itSMF. יישום המתודה הינו תהליך הנתקל לעתים בקשיים, אף במדינת ישראל בה ישנם כאלה שאינם מקנים סדר לתהליכי העבודה של יחידות המחשב בארגון. כתוצאה מכך סובלים משתמשי המחשב במקום העבודה מבעיות מחשב, ממשך זמן ארוך לטיפול בבעיה, מתקלות חוזרות ונשנות, מבעיות של עומסים וכדומה. אחוז האימוץ של המתודה בקרב הארגונים הגדולים במערב עומד על 86% (סקר של Forrester מ- 2006 בקרב 670 חברות גדולות באנגליה). http://www.itil-officialsite.com/ CobIT מסגרת עבודה ומערכת כלים התומכת בממשל טכנולוגיות המידע. המסייע ביישום נושא הניהול והבקרה של מערכות מידע ארגוניות, תוך תמיכה ביעדים ארגוניים, אופטימיזציה של השקעת הארגון במערכות המידע וניהול נאות של הסיכונים בסביבה זו. המסגרת מסייעת למנהלים בארגון לגשר על הפערים שבין דרישות הבקרה והסיכונים העסקיים. המסגרת גם מספקת כלים המאפשרים לפתח מדיניות ברורה ויישום Good Practice לבקרה על IT. זאת, באמצעות סט של יעדי בקרה, המספקים קווים מנחים לקידום ממשל של טכנולוגית המידע בארגון. כמו כן, CobIT מדגישה את התאימות לרגולציה ומסייעת לארגונים להגדיל את הערך של מערכות המידע לארגון. http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx |
