אבטחת מידע בארגון

Questions and Answers

מהו תהליך BCP וכיצד הוא שונה מתהליך DRP?

BCP מתמקד בהמשך פעילות הארגון למרות אסונות, בעוד DRP מתמקד בהתאוששות ממערכת. (correct)

BCP כולל ייצור של גיבוי פיזי בעוד DRP כולל גיבוי דיגיטלי.

BCP מספק פתרונות למערכות בטיחות וDRP מיועד רק למערכות פיננסיות.

BCP מתשמש בעיקר בשירותים ציבוריים בעוד DRP מתשמש בפרטיים.

מהו המיקום האידיאלי ממליצים עבור מיקום המחשבים בארגון?

בקומה אמצעית כדי להימנע מהצפות ומסיכונים פיזיים אחרים. (correct)

במשרד במקרה של התקפות סייבר.

במרתף כדי להרחיק מהם אורחים לא מורשים.

על הגג כדי למנוע הצפות.

מהי אחת השיטות לניהול אבטחת מידע בארגון?

איסוף לוגים, המפרטים את הפעולות שביצעו המשתמשים בכל שלב. (correct)

התקנת חומת אש מסודרת.

הפסקת עבודה במחשבים לא מעודכנים.

הגבלת גישה למחשבים על פי שעות עבודה.

מהו חוק הגנת הפרטיות ומה הוא מתייחס אליו?

חוק המגן על כל מידע אישי שנאסף על ידי עסק.

מהי מטרת תהליך אבטחת מידע בארגון?

להגן על מידע ונתונים רגישים ולשמור על המשכיות בעקבות אסונות.

מהי התוצאה של התערבות האקר במהלך שליחת מידע?

המידע הגיע שגוי

מהו אחד מהאמצעים לאימות זהות?

שם משתמש וסיסמא

באיזה אזור נדרשת רמת הגנה גבוהה יותר?

אזור קריטי

מהו תהליך SDLC?

מחזור חיים של פיתוח תוכנה

מהו אחד הסיכונים המוצגים בתהליך הפיתוח?

קיצורי דרך של מפתחים

מהו הגורם לשינוי הבקרה על סיכונים?

שינוי ברמת הסיכון

מהי מהות הבקרה בארגון?

להוריד את רמת הסיכון

על מה אין לנו השפעה לפי המידע?

על איומים חיצוניים

מהי הגישה בה נוקטת שופרסל לגבי תאבון הסיכון?

תאבון סיכון המאפשר סיכונים גדולים יותר.

איזו שיטה משמשת להפחתת סיכונים בעסק?

Risk mitigation

מהו הסיכון השיעורי?

סיכון הכולל תכנון מוקדם של גיבוי במקרי חירום.

מהי המשמעות של הצעד Risk transfer?

ביטוח על סיכונים קיימים.

איזה מהמאפיינים שאולים לגרום לאובדן מוניטין?

איבוד עובדים.

מה תפקידו של אזור הקווארנטין?

לשחרר מיילים שהגיעו מאזור חשוד

מהי ההגדרה לאירוע אבטחת מידע?

כל אירוע שמעיד על בעיית אבטחה

מי מהבאים אינו חלק מצוות טיפול באירוע?

מנהל השיווק

מהו תפקידו של כוח אדם באירוע אבטחת מידע?

לוודא הרשאות מתאימות לעובדים

מה נכון לגבי ההרשאות שניתנות לעובדים?

יש לספק הרשאות בהתאם לצורך בלבד

מי אחראי לדווח על אירועי סייבר כלפי חוץ?

דובר הארגון

מהו ההליך כאשר יש אירוע אבטחת מידע?

הצוות מתכנס לטיפול ותגובה

מה נכון לגבי ניהול סיכוני אבטחת מידע?

סיכון שאינו מוכר הוא סיכון גבוה

מהו הכלל של 'מינימום הרשאות' בהגדרת הרשאות למשתמשים?

לספק למשתמש את ההרשאות הנדרשות בלבד לצורך עבודתו.

מהי המטרה העיקרית של Separation of Duty?

למנוע חפיפות בתפקידים ובצמצם סיכון למעילות.

מהו תהליך ניטור הפריווילגיות בארגון?

סקירה מעת לעת של ההרשאות שניתנות לכל עובדים.

מהי המטרה של סגמנטציה של מידע בארגון?

לאפשר הגנה בשכבות על מנת לשפר את רמת ההגנה.

מה יכול להתרחש כאשר משתנה תפקידו של עובד בארגון?

מומלץ לנטר את ההרשאות הקודמות ולבצע התאמות בהתאם.

מה מאפיין את תהליך ניהול הסיכונים כאשר יש סיכון שיכול לפגוע במוניטין הארגון?

יש להעריך את הנזק הצפוי ולהתמודד איתו.

מהי הפעולה הראשונה ב-IAAA בבקרות גישה?

זיהוי (identify)

מה המשמעות של Non repudiation במערכת גישה?

העובד אחראי למעשיו והפעולות מתועדות.

אילו מהארגונים נחשבים לארגוני תקינה?

NIST ו-ISO

מהו תהליך הבנצ'מארקינג בניהול סיכונים?

איסוף דעות ממנהלים על הערכת סיכונים.

מהי האפשרות שעשויה להיחשב מאוד לא בטוחה מבלי לבצע צעדים מתאימים?

הזנחה של בקרות גישה.

באילו אמצעים ניתן להתמודד עם חדירה למערכת?

בקרות גישה המתייחסות לאימות, הרשאות ואחריותיות.

מהו תהליך ההערכה המתבצע לפני הפעלת בקרת גישה חדשה?

יש להעריך את הספקים והסיכון הכרוך בכך.

Study Notes

אבטחת סייבר: מושגים בסיסיים

• סגמנטציה: חלוקה של מידע בארגון לרמות אבטחה שונות. מידע רגיש (לדוגמה, רפואי או אישי) מוגן ברמה גבוהה יותר מאשר מידע פחות רגיש.
• DMZ (אזור לא צבאי): אזור פחות קריטי ברשת, מאובטח פחות, לדוגמה, אתר אינטרנט.
• הצפנה: שימוש בקודים כדי להסתיר מידע במהלך העברתם. קיימות שיטות סימטריות וא-סימטריות להצפנה.
• מרחב קיברנטי/סייבר: כל העולם הדיגיטלי, האינטרנט ומערכות המחשב.
• אבטחת מידע במכשירים ניידים: דורש הגנה נוספת עקב אופי האלחוטיות שלהם.
• מועד אידאלי להשקעה באבטחת מידע: ככל שהשקעה באבטחת מידע מוקדמת יותר כך היא זולה יותר יעילה יותר וקל יותר ליישום.

מחזור חיי פיתוח תוכנה

• מתודולוגיית מפל המים: פיתוח שלב אחר שלב, ללא שינויים תוך כדי התהליך. איטי ולא גמיש.
• מתודולוגיית ספירלה: גישה חוזרת ונשנית, תוך קבלת קלט מהלקוח בכל סיבוב, גמישה וגמישה יחסית.
• Agile (פיתוח מהיר): פיתוח חלקים נפרדים של התוכנה בצורה עצמאית – תת-פרויקטים – עובר אינטגרציה בסוף הפיתוח. גמיש ומהיר, עם התקדמות תוך כדי תנועה.

רכיבים בסיסיים באבטחת מידע

• אימות זהות: זיהוי המשתמש כזה שהוא טוען להיות.
• הרשאות: סמכויות או גישות למערכות ומידע.
• שלמות ואמינות המידע: ודאות שהמידע נשאר שלם ובלתי פגום.
• זמינות המידע/מערכת: זמינות הגישה למידע ולמערכות.

CIA - שלושת יסודות אבטחת המידע

• סודיות (Confidentiality): הגנה על מידע מפני גישה בלתי מורשית.
• שלמות (Integrity): ודאות שהמידע נשאר שלם ובלתי פגום.
• זמינות (Availability): הגנה על זמינות המערכת למטרות הרצויות.

סיכונים ובקרות

• בקרה: כלי להפחתת סיכון.
• הדגשת אזורי מידע קריטיים: הגנה בשכבות- הגנה נוספת על אזורי מידע רגישים.
• כמות בקרות תלוייה בסיכונים: עלויות בקרה צריכות להיות פרופורציונאליות לסיכון.

גורמי סיכון

• טכנולוגיות: חומרה, תוכנה ותקשורת.
• אנשים: עובדים ממורמרים או לא מקצועיים.
• תהליכים: שגיאות אנוש או תהליכים לא יעילים.

אבטחת מידע- שכבות

• אימות זהות: תהליך של זיהוי משתמש כזה שהוא מבקש להיות (לדוגמה, סיסמה או מכשיר).
• הרשאות: סמכות או גישה למערכות ומידע.
• שלמות ואמינות מידע: אימות שהמידע נותר שלם ובלתי פגום.
• זמינות מידע/מערכת: זמינות הגישה למידע ולמערכות.

Threats (איומים)

• איומים חיצונים: לא ניתן לשלוט עליהם ישירות.
• חולשות: ניתן לשפר.
• קניין רוחני: פטנטים, מידע ומוניטין.
• Downtime: זמן שהמערכת לא זמינה.
• וירוסים, תולעים, סוסים טרויאניים: תוכנות זדוניות.

מיישם סייבר

• אדם בעל ידיעת בסיס ויישום בתחום אבטחת הסייבר.

תקן ISO27001

• תקן בינלאומי לאבטחת מידע.

• מספק מסגרת לארגון להגנה על נתונים.

• תקני אבטחת מידע: (ISO 27001, NIST, ו-PCI DSS) מספקים מסגרת לניהול אבטחת מידע.

• ניהול מסוכנים: הערכת הסיכונים, ההסתברות שלהם והנזק הצפוי, תוך בחינת התאמת הסיכון לתאבון הסיכון של הארגון. (תלבושת סייבר- צריך להגיד למי שמחליט מה הוא מוכן לספוג)

• ניהול אירוע: (Incident Response) תגובות לאירועים כמו פריצה או תקלה.

• המשכיות עסקית: (Business Continuity) הארגון צריך להמשיך לפעול גם בעת אירוע חירום או תקלה.

• אבטחה פיזית: הגנה פיזית של המערכות (דלתות, עננים, גדרות, וכו')

מודלים של אבטחת מידע

• מודל 7 שכבות OSI: מודל לתיאור שכבות תקשורת.
• מודל TCP/IP: (מכיל 4 שכבות)

בקרת גישה

• Access Control: (בקרת גישה) מי יכול לגשת ומה.
• זיהוי (Identification), אימות (Authentication), הרשאות (Authorization), אחריותיות (Accountability): כלים לבקרת גישה.

אבטחת מידע וחולשות פיתוח

• Backdoor: דרך סודית לגישה למערכת לשימוש בלתי מורשה, שאיתורו מרכיב חשוב בתחומי אבטחת מידע.
• Secure by design: שילוב אבטחה בתהליכי פיתוח.

שיטות הצפנה

• הצפנה סימטרית: מפתח אחד לשליחה ופיענוח.
• הצפנה א-סימטרית: שני מפתחות: אחד ציבורי ואחד פרטי.

Description

כיצד ננהל אבטחת מידע בארגון? במבחן זה נבחן את מושגי היסוד כמו BCP, DRP, SDLC, וניהול סיכונים. כמו כן, נעסוק בחוק הגנת הפרטיות ובדרכי חיזוק אבטחת מידע.