הצגת תקן ISO 27001 | אברהם רושט

‫מפגש ‪IT’s North‬‬
‫הצגת תקן ‪ISO 27001‬‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪1‬‬
‫תוכן העניינים‬
‫•‬
‫לשם מה יש צורך בתקן לניהול אבטחת מידע?‬
‫•‬
‫מהי אבטחת מידע ?‬
‫•‬
‫עקרונות התקן‬
‫•‬
‫מבנה התקן‬
‫•‬
‫יישום התקן בארגון‬
‫•‬
‫תהליך ההתעדה‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪2‬‬
‫הצורך בהגנה על המידע‬
‫• מידע יכול להתקיים בצורות רבות‪.‬‬
‫• כתוב על נייר‪ ,‬מאוחסן בקבצים‪ ,‬מועבר‬
‫בדואר פיזי או אלקטרוני‪ ,‬להיות מוצג בסרט‬
‫או להיות מועבר בשיחה‬
‫•‬
‫אולם תמיד יש להגן עליו כראוי‪.‬‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪3‬‬
‫מה זה מידע ? (נכסי מידע)‬
‫•‬
‫ציוד (מחשבים‪ ,‬שרתים‪ ,‬ציוד תקשורת‪ ,‬מדפסות)‬
‫•‬
‫מאגרי מידע‪ ,‬בסיסי נתונים‪ ,‬קבצים‬
‫•‬
‫תהליכים עסקיים‬
‫•‬
‫אנשים‬
‫•‬
‫תדמית הארגון‬
‫•‬
‫תוכנות‬
‫•‬
‫מסמכים‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪4‬‬
‫מה בעצם הבעיה ?‬
‫• ברוב הארגונים אין הגדרת נכסים וסיווגם‬
‫• אין סקרי סיכונים מסודרים ושיטתיים‬
‫• הגנות רק כנגד איומים ידועים(ווירוסים‪ ,‬האקרים)‬
‫• הפתרונות טכנולוגיים בלבד (‪ ,FW‬בקרת גישה)‬
‫• מעט חפיפה ואינטגרציה בין הפתרונות‬
‫• אין בקרה על ממצאי מערכות א"מ (ניתוח לוגים)‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪5‬‬
‫שאלות שכל הנהלה חייבת לשאול‬
‫• האם יש פרופורציה נאותה בין ערך המידע לבין ההשקעה‬
‫באבטחת המידע?‬
‫• האם ידוע מיהם נכסי המידע של הארגון מיקומם‪ ,‬ומי‬
‫מורשה לגשת אליהם‬
‫• האם ידוע מי אחראי על כל נכס מידע‬
‫• האם קיים ניהול תצורה מתועד המאפשר זיהוי כל צורות‬
‫הגישה לכל נכס מידע ‪.‬‬
‫• לפי מה נבנתה מערכת אבטחת המידע בארגון ?‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪6‬‬
‫האם האמצעים הננקטים בארגון מספקים ?‬
‫•‬
‫האם כל האיומים על נכסי המידע ידועים ?‬
‫•‬
‫האם ידועות פרצות וחולשות בכל הרמות‬
‫•‬
‫(תחנות‪ ,‬שרתים‪ ,‬רשת‪ ,‬אפליקציות‪ ,‬בסיסי נתונים)‪,‬‬
‫• האם קיימת בקרה מתמשכת‪?.‬‬
‫• האם האמצעים הקיימים מספקים?‬
‫• האם המשתמשים‪ ,‬עושים שימוש בתשתיות בצורה נכונה?‬
‫• האם קיימת בקרה גם על מפעילים ומפתחים ?‬
‫• האם המערכת מעודכנת ?‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪7‬‬
‫תשובה לכל השאלות שנשאלו מחייבת‬
‫• שימוש בסטנדרט אחיד מקובל ושלם‬
‫•‬
‫הסטנדרט מהווה נקודת התייחסות אחידה לכל הגורמים‬
‫בארגון‬
‫•‬
‫קובץ כללים לבניה וניהול מערכת אבטחת מידע‪.‬‬
‫•‬
‫קובץ עקרונות לאימות עמידת המערכת בדרישות‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪8‬‬
‫אבטחת מידע איננה רק טכנולוגיה‬
‫• אבטחת מידע היא תהליך מתמשך !‬
‫• הגדרת דרישות‬
‫• תכנון‬
‫• ביצוע‬
‫• בקרה‬
‫• תחזוקה ושיפור‬
‫• תהליך צריך לנהל !‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪9‬‬
‫התקן מתווה עקרונות לניהול אבטחת מידע‬
‫•‬
‫מבוססים על‪:‬‬
‫• ניהול סיכונים‬
‫• התאמת אמצעי אבטחה לפי האיום האפשרי‬
‫• הגדרה ויישום “תורת אבטחה ארגונית” המתאימה‬
‫לאיומים ומתייחסת לכל ההיבטים‪:‬‬
‫• ההיבט הטכנולוגי‬
‫• ההיבט הניהולי‬
‫• בקרה ושיפור מתמיד‬
‫• התקן מגדיר דרישות ולא פתרונות‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪10‬‬
‫מבנה התקן‬
‫•‬
‫ת"י ‪ ISO 27001‬מציין דרישות למערכות ניהול אבטחת מידע‬
‫•‬
‫ת"י ‪ ISO 27001‬הוא תקן להתעדה‬
‫•‬
‫ת"י ‪ 27001‬הוא מערכת ניהול‬
‫•‬
‫ת"י ‪ 27001‬מתבסס על תפישת ‪ PDCA‬של ‪.ISO 9001:2000‬‬
‫•‬
‫ת’י ‪ ISO 27002‬הוא מדריך המסביר על הבקרות האפשריות‬
‫•‬
‫ת"י ‪ ISO 27002‬אינו מציין דרישות מנדטוריות‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪11‬‬
‫מערכת ניהול אבטחת מידע (פרקים ‪) 4 – 8‬‬
‫•‬
‫דרישות כלליות‬
‫•‬
‫עקרונות הקמת מנא"מ (גבולות‪ ,‬סקר סיכונים‪ ,‬ניהול סיכונים‪ ,‬ניהול נכסים)‬
‫•‬
‫יישום והפעלה של מנא"מ (בחירת הבקרות והפעלתם)‬
‫•‬
‫ניטור וסקירה של המנא"מ (בקרת תהליכי היישום)‬
‫•‬
‫בקרת תיעוד ורשומות (מבנה המערכת המתועדת‪ ,‬שימור ידע וראיות היישום)‬
‫•‬
‫אחריות הנהלה ומחויבות הנהלה‬
‫•‬
‫ניהול משאבים‬
‫•‬
‫מבדקי מנא'מ פנימיים‬
‫•‬
‫סקר הנהלה של המנא'מ‬
‫•‬
‫שיפור המנא'מ‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪12‬‬
‫מבנה תקן ‪27002‬‬
‫בקרות‬
‫בקרות‬
‫מדיניות אבטחה‬
‫בקרת גישה‬
‫התארגנות לצורך אבטחת מידע‬
‫רכישה‪ ,‬פיתוח ותחזוקה של מערכות‬
‫ניהול נכסים‬
‫ניהול אירועי אבטחת מידע‬
‫ניהול תקשורת ותפעול‬
‫ניהול המשכיות עסקית‬
‫אבטחה פיזית וסביבתית‬
‫התאמה‬
‫אבטחת משאבי אנוש‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪13‬‬
‫יתרונות‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫חסכון כספי ניכר הנובע משיפור זמינות המערכות‬
‫שיפור במניעת הונאות‪ ,‬זמינות השרות‪ ,‬מניעת שיבוש‬
‫במידע ועוד ‪.‬‬
‫בנית מערכת א"מ מבוססת איומים ומתודולוגיה‪.‬‬
‫ניהול סיכונים שוטף‪ ,‬צמצום בכמות ההפתעות‬
‫בקרה מובנית בתהליכי אבטחת המידע‪.‬‬
‫ניהול א"מ לפי יעדים ובדיקת אפקטיביות המערכת‪.‬‬
‫שמירת עדכניות המערכת‪.‬‬
‫שיפור מתמיד‪.‬‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪14‬‬
‫היערכות ויישום‬
‫•‬
‫הגדרת מדיניות אבטחת מידע וכתיבת מסמך‬
‫•‬
‫הגדרת תחום‬
‫•‬
‫זיהוי סיכונים‪ ,‬לימוד חוקים‪ ,‬תקנות‪ ,‬ותקנים המחייבים‪.‬‬
‫•‬
‫ביצוע סקר נכסים (חמרה‪ ,‬תכנה‪ ,‬תהליכים)‬
‫•‬
‫בחירת מטרות ואמצעי בקרה וכתיבת הצהרת ישימות‪.‬‬
‫•‬
‫כתיבת נהלי תפעול‪ ,‬תגובה וניהול‪.‬‬
‫•‬
‫הטמעת הנהלים‪ ,‬הפעלת המערכת‪ ,‬מבדקים פנימיים‬
‫•‬
‫מבדק התעדה חיצוני‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪15‬‬
‫התעדה‪ :‬יצירת קשר עם מכון התקנים‬
‫• הזמנה הסוקר לפגישת הכרות\שיווק ראשונה‬
‫• בקשה להצעת מחיר – מרים ארז סניף חיפה‬
‫• אישור הצעת המחיר‬
‫• קביעת לוחות זמנים יחד עם הסוקר‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪16‬‬
‫התעדה‪ :‬שלב א‬
‫•‬
‫הכרת הארגון‪ ,‬סיור במתקניו‪ ,‬הכרות עם צוות הפרויקט‬
‫•‬
‫הגדרת תחום ההתעדה (מוצרים\שירותים‪ ,‬חטיבה‪ ,‬לקוח‪ ,‬אתר)‪.‬‬
‫•‬
‫בדיקת התאמת התיעוד מול דרישות התקן‬
‫•‬
‫תכנון מבדק ההתעדה(שלב ב)‬
‫•‬
‫תוצר ‪ :‬דוח בדיקת תיעוד ‪ +‬סיכום תוכנית שלב ב‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪17‬‬
‫בית ספר גבוה לטכנולוגיה‪ :‬שלב א‬
‫•‬
‫הוצג המוסד אקדמי‪ ,‬והמכונים‬
‫•‬
‫התקיימה הכרות עם הצוות‪ :‬מנהל א"מ‪ ,‬יועץ‪ ,‬נציג הנהלה‬
‫•‬
‫הוגדר תחום‪" :‬המערך המנהלי‪ ,‬האקדמי והמחקרי בבית הספר הגבוה לטכנולוגיה בירושלים"‬
‫•‬
‫הובהרו הנכסים‪ ,‬הסיכונים ‪( ,‬עובדים שהם גם סטודנטים‪ ,‬פעילות מחקרית) ואירועים שקרו‬
‫•‬
‫נבדקה התאמת התיעוד מול דרישות התקן – נדרשו תיקונים מהותיים‬
‫•‬
‫נקבע זמן מספיק להיערכות לאחר שהתברר לארגון דרישות התקן‬
‫•‬
‫הוגש דוח בדיקת תיעוד (טעון שיפור)‬
‫•‬
‫סיכום תוכנית שלב ב (רשימת הנושאים שייסקרו להשלמת המבדק הראשוני)‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪18‬‬
‫התעדה‪ :‬שלב ב‬
‫• ביצוע מבדק מלא בכל האתרים הרלוונטיים‬
‫• הכנת דוח מבדק‬
‫• דרישה לפעולה מתקנת (לאי התאמות)‬
‫• הכנת תוכנית פעולה מתקנת לממצאי המבדק‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪19‬‬
‫בית ספר גבוה לטכנולוגיה ‪ :‬שלב ב‬
‫• ביצוע מבדק מלא במכון לב‬
‫• הכנת דוח מבדק מפורט לפי סעיפי התקן‬
‫• דרישה לפעולה מתקנת (לאי התאמות)‬
‫• סיווג נכסים‪ ,‬ניהול סיסמאות‪ ,‬הרשאות לפי תפקידים‪,‬‬
‫מחשוב מרחוק‬
‫• הוכנה תוכנית פעולה מתקנת לממצאי המבדק‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪20‬‬
‫כניסה לתקופת מעקב‬
‫• בסיום תהליך האישור הראשוני‬
‫• התקשרות ומעקב שנתי‬
‫• בהתאם לתוכנית פיקוח שתוגדר‬
‫• חתימה על הסכם פיקוח‬
‫• ההסכם הוא תנאי לקבלת האישור‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪21‬‬
‫בית ספר גבוה לטכנולוגיה‪ :‬כניסה לתקופת מעקב‬
‫• נבדקה התאמת הפעולות המתקנות שסופקו על יד הארגון‬
‫• הוגדר על ידי הסוקר היקף הפיקוח והמעקב שנתי‬
‫• הארגון חתם על הסכם פיקוח‬
‫• הארגון קיבל תעודה‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪22‬‬
‫תודה על ההקשבה ובהצלחה ביישום‬
‫מכון התקנים לשירותכם‬
‫‪ 29‬מאי ‪12‬‬
‫מפגש ‪ - IT's North -‬הצגת תקן ‪ISO 27001‬‬
‫‪23‬‬