אבטחת מידע בארגון

Questions and Answers

מהו תהליך BCP וכיצד הוא שונה מתהליך DRP?

• BCP מתמקד בהמשך פעילות הארגון למרות אסונות, בעוד DRP מתמקד בהתאוששות ממערכת. (correct)
• BCP כולל ייצור של גיבוי פיזי בעוד DRP כולל גיבוי דיגיטלי.
• BCP מספק פתרונות למערכות בטיחות וDRP מיועד רק למערכות פיננסיות.
• BCP מתשמש בעיקר בשירותים ציבוריים בעוד DRP מתשמש בפרטיים.

מהו המיקום האידיאלי ממליצים עבור מיקום המחשבים בארגון?

• בקומה אמצעית כדי להימנע מהצפות ומסיכונים פיזיים אחרים. (correct)
• במשרד במקרה של התקפות סייבר.
• במרתף כדי להרחיק מהם אורחים לא מורשים.
• על הגג כדי למנוע הצפות.

מהי אחת השיטות לניהול אבטחת מידע בארגון?

• איסוף לוגים, המפרטים את הפעולות שביצעו המשתמשים בכל שלב. (correct)
• התקנת חומת אש מסודרת.
• הפסקת עבודה במחשבים לא מעודכנים.
• הגבלת גישה למחשבים על פי שעות עבודה.

מהו חוק הגנת הפרטיות ומה הוא מתייחס אליו?

חוק המגן על כל מידע אישי שנאסף על ידי עסק. (C)

מהי מטרת תהליך אבטחת מידע בארגון?

להגן על מידע ונתונים רגישים ולשמור על המשכיות בעקבות אסונות. (D)

מהי התוצאה של התערבות האקר במהלך שליחת מידע?

המידע הגיע שגוי (C)

מהו אחד מהאמצעים לאימות זהות?

שם משתמש וסיסמא (B)

באיזה אזור נדרשת רמת הגנה גבוהה יותר?

אזור קריטי (D)

מהו תהליך SDLC?

מחזור חיים של פיתוח תוכנה (B)

מהו אחד הסיכונים המוצגים בתהליך הפיתוח?

קיצורי דרך של מפתחים (D)

מהו הגורם לשינוי הבקרה על סיכונים?

שינוי ברמת הסיכון (C)

מהי מהות הבקרה בארגון?

להוריד את רמת הסיכון (D)

על מה אין לנו השפעה לפי המידע?

על איומים חיצוניים (D)

מהי הגישה בה נוקטת שופרסל לגבי תאבון הסיכון?

תאבון סיכון המאפשר סיכונים גדולים יותר. (C)

איזו שיטה משמשת להפחתת סיכונים בעסק?

Risk mitigation (D)

מהו הסיכון השיעורי?

סיכון הכולל תכנון מוקדם של גיבוי במקרי חירום. (D)

מהי המשמעות של הצעד Risk transfer?

ביטוח על סיכונים קיימים. (A)

איזה מהמאפיינים שאולים לגרום לאובדן מוניטין?

איבוד עובדים. (D)

מה תפקידו של אזור הקווארנטין?

לשחרר מיילים שהגיעו מאזור חשוד (A), למנוע הודעות מאיפי (IP) לא מוכרים (D)

מהי ההגדרה לאירוע אבטחת מידע?

כל אירוע שמעיד על בעיית אבטחה (B), אירוע שדורש טיפול מהיר מאנשי אבטחת מידע (D)

מי מהבאים אינו חלק מצוות טיפול באירוע?

מנהל השיווק (A)

מהו תפקידו של כוח אדם באירוע אבטחת מידע?

לוודא הרשאות מתאימות לעובדים (B)

מה נכון לגבי ההרשאות שניתנות לעובדים?

יש לספק הרשאות בהתאם לצורך בלבד (D)

מי אחראי לדווח על אירועי סייבר כלפי חוץ?

דובר הארגון (B)

מהו ההליך כאשר יש אירוע אבטחת מידע?

הצוות מתכנס לטיפול ותגובה (C)

מה נכון לגבי ניהול סיכוני אבטחת מידע?

סיכון שאינו מוכר הוא סיכון גבוה (D)

מהו הכלל של 'מינימום הרשאות' בהגדרת הרשאות למשתמשים?

לספק למשתמש את ההרשאות הנדרשות בלבד לצורך עבודתו. (B)

מהי המטרה העיקרית של Separation of Duty?

למנוע חפיפות בתפקידים ובצמצם סיכון למעילות. (A)

מהו תהליך ניטור הפריווילגיות בארגון?

סקירה מעת לעת של ההרשאות שניתנות לכל עובדים. (C)

מהי המטרה של סגמנטציה של מידע בארגון?

לאפשר הגנה בשכבות על מנת לשפר את רמת ההגנה. (C)

מה יכול להתרחש כאשר משתנה תפקידו של עובד בארגון?

מומלץ לנטר את ההרשאות הקודמות ולבצע התאמות בהתאם. (C)

מה מאפיין את תהליך ניהול הסיכונים כאשר יש סיכון שיכול לפגוע במוניטין הארגון?

יש להעריך את הנזק הצפוי ולהתמודד איתו. (C)

מהי הפעולה הראשונה ב-IAAA בבקרות גישה?

זיהוי (identify) (D)

מה המשמעות של Non repudiation במערכת גישה?

העובד אחראי למעשיו והפעולות מתועדות. (D)

אילו מהארגונים נחשבים לארגוני תקינה?

NIST ו-ISO (A)

מהו תהליך הבנצ'מארקינג בניהול סיכונים?

איסוף דעות ממנהלים על הערכת סיכונים. (B)

מהי האפשרות שעשויה להיחשב מאוד לא בטוחה מבלי לבצע צעדים מתאימים?

הזנחה של בקרות גישה. (C)

באילו אמצעים ניתן להתמודד עם חדירה למערכת?

בקרות גישה המתייחסות לאימות, הרשאות ואחריותיות. (C)

מהו תהליך ההערכה המתבצע לפני הפעלת בקרת גישה חדשה?

יש להעריך את הספקים והסיכון הכרוך בכך. (D)

Flashcards

DRP - תכנון התאוששות מאסון

הקמת מערכת חלופית ומרוחקת (באמצעות שכפול מערכת המחשוב) לשימוש במקרה של אסון.

BCP - תכנון המשכיות עסקית

הגנה על נתונים ופעילות עסקית במקרי אסון. מערכות גיבוי, תוכנות חלופיות ותשתיות רשת תורמות ל- BCP.

לוגים (Logs) באבטחת מידע

מאגר מידע שמתעד כל פעולה של משתמש, אפליקציה או מערכת. משמש להוכחת מה קרה ולמעקב אחר פעילות.

חוק הגנת הפרטיות

חוק שמטרתו להגן על מידע אישי ופרטי. רלוונטי לאבטחת מידע

CIA - Confidentiality, Integrity, Availability

שלושה עקרונות יסודיים לאבטחת מידע: סודיות, שלמות וזמינות

קווארנטין

אזור מבודד ברשת אשר אליו נשלחים קבצים חשודים לפני שהם נותנים גישה למערכת.

צוות טיפול באירוע (IRT)

צוות שאחראי על ניהול וגילוי של אירועי אבטחת מידע.

אירוע אבטחת מידע

כל אירוע אשר עלול להוות סיכון לאבטחת המידע של הארגון.

הרשאות

מערכת ההרשאות שניתנות לעובדים בארגון.

עקרון מינימום ההרשאות

המדיניות של מתן מינימום ההרשאות הנדרשות לעבודה, כדי למנוע גישה לא מורשית למידע.

דובר (יחסי ציבור)

גורם התקשורת בארגון, אחראי על ניהול התקשורת עם הציבור בנושאים הקשורים לאבטחת מידע.

אובדן זמינות

מצב בו מידע אינו זמין או נגיש למשתמשים מורשים, כתוצאה מפגיעה בזמינות המערכת.

שלמות המידע נפלה

הבטחת שלמות המידע מוודאת שהמידע נשמר ללא שינוי ושהוא נכון ומדויק.

רשימות בקרת גישה

בקרת גישה (Access Control) היא מערכת שנועדה לוודא שרק אנשים מורשים יוכלו לגשת למידע ולמערכות מסוימות.

אימות זהות

בדיקה אימותית (Authentication) מוודאת שמי שמנסה להיכנס למערכת הוא מי שהוא טוען להיות.

Secure by design

Secure by design (SBD) הוא עקרון אבטחה שדורש שתכנון המערכת יכלול את מנגנוני האבטחה כבר משלב התכנון הראשוני.

SDLC

מחזור חיי פיתוח תוכנה (SDLC) מתאר את התהליכים והשלבים בפיתוח תוכנה, תוך התחשבות בתהליכי אבטחת מידע.

איומים

איומים (Threats) הם גורמי סיכון חיצוניים שיכולים לפגוע במערכת. לא ניתן לשלוט עליהם

חולשות

חולשות (Vulnerabilities) הן פגיעויות במערכת שיכולות לפגוע בה. ניתן להשפיע עליהם

תאבון סיכון

היכולת לקחת סיכון. הסיכון יכול להתבטא ברמות שונות, ותלוי באופי הארגון וגודל הסיכון שחוטף.

סיכון שיעורי

הסיכון שמתרחש במקרה של אירוע מזיק. מוערכת על פי הסבירות לאירוע והנזק הפוטנציאלי.

בקרה

פעולה שמטרתה להפחית את הסיכון. כוללת גם תגובה לאירוע מזיק.

קבלה של סיכון

שיטה לבקרת סיכונים שבה ארגון מקבל את הסיכון כפי שהוא, ולא עושה צעדים משמעותיים להפחתתו.

העברת סיכון

שיטה לבקרת סיכונים שבה ארגון מעביר את הסיכון לצד שלישי. דוגמה: קניית ביטוח.

בקרות גישה? מה הן?

בקרות גישה הן אמצעים למניעת גישה לא מורשית למידע או למערכות. הן מבוססות על עקרונות של זיהוי, אימות, הרשאה ואחריות.

זיהוי (identify) - בקרת גישה

זיהוי כולל זיהוי של משתמש, למשל באמצעות שם משתמש או כתובת דוא"ל.

אימות (authentication) - בקרת גישה

אימות מוודא את הזהות של משתמש שזוהה, למשל באמצעות סיסמא או טביעת אצבע.

הרשאה (authorization) - בקרת גישה

הרשאות מגדירות לאיזה מידע או פעולות במערכת משתמש מורשה גישה.

אחריותיות (Accountability) - בקרת גישה

אחריותיות מבטיחה כי משתמש איש הוא אחראי לפעולות שביצע במערכת.

אי הכחשה (Non repudiation) - בקרת גישה

אי הכחשה מוודא כי משתמש לא יוכל להכחיש את הפעולות שביצע במערכת.

Nist - תקנים?

Nist (המכון הלאומי לתקנים וטכנולוגיה) הוא ארגון אמריקאי לקביעת תקנים.

ISO - תקנים?

ISO הוא ארגון בינלאומי לקביעת תקנים.

Need to know

שיטה להגדרת הרשאות למשתמשים במערכת, המבוססת על מתן רק את מה שהם באמת צריכים לביצוע תפקידם.

List privilege

שיטה להגדרת הרשאות למשתמשים במערכת, המבוססת על מתן מינימום הרשאות אפשרי.

Separation of duty

עקרון באבטחת מידע שמטרתו למנוע קנוניה על ידי חלוקת התפקידים והאחריות.

Collusion

מקרים בהם שני אנשים או יותר משתפים פעולה במטרה לבצע פעולה לא חוקית.

סיווג מידע

תהליך תכנון וחשיבה על הצעדים הדרושים להגנה על המידע, תוך התחשבות בסוגי המידע, רמת הסיכון וצרכים אחרים של הארגון.

Study Notes

אבטחת סייבר: מושגים בסיסיים

• סגמנטציה: חלוקה של מידע בארגון לרמות אבטחה שונות. מידע רגיש (לדוגמה, רפואי או אישי) מוגן ברמה גבוהה יותר מאשר מידע פחות רגיש.
• DMZ (אזור לא צבאי): אזור פחות קריטי ברשת, מאובטח פחות, לדוגמה, אתר אינטרנט.
• הצפנה: שימוש בקודים כדי להסתיר מידע במהלך העברתם. קיימות שיטות סימטריות וא-סימטריות להצפנה.
• מרחב קיברנטי/סייבר: כל העולם הדיגיטלי, האינטרנט ומערכות המחשב.
• אבטחת מידע במכשירים ניידים: דורש הגנה נוספת עקב אופי האלחוטיות שלהם.
• מועד אידאלי להשקעה באבטחת מידע: ככל שהשקעה באבטחת מידע מוקדמת יותר כך היא זולה יותר יעילה יותר וקל יותר ליישום.

מחזור חיי פיתוח תוכנה

• מתודולוגיית מפל המים: פיתוח שלב אחר שלב, ללא שינויים תוך כדי התהליך. איטי ולא גמיש.
• מתודולוגיית ספירלה: גישה חוזרת ונשנית, תוך קבלת קלט מהלקוח בכל סיבוב, גמישה וגמישה יחסית.
• Agile (פיתוח מהיר): פיתוח חלקים נפרדים של התוכנה בצורה עצמאית – תת-פרויקטים – עובר אינטגרציה בסוף הפיתוח. גמיש ומהיר, עם התקדמות תוך כדי תנועה.

רכיבים בסיסיים באבטחת מידע

• אימות זהות: זיהוי המשתמש כזה שהוא טוען להיות.
• הרשאות: סמכויות או גישות למערכות ומידע.
• שלמות ואמינות המידע: ודאות שהמידע נשאר שלם ובלתי פגום.
• זמינות המידע/מערכת: זמינות הגישה למידע ולמערכות.

CIA - שלושת יסודות אבטחת המידע

• סודיות (Confidentiality): הגנה על מידע מפני גישה בלתי מורשית.
• שלמות (Integrity): ודאות שהמידע נשאר שלם ובלתי פגום.
• זמינות (Availability): הגנה על זמינות המערכת למטרות הרצויות.

סיכונים ובקרות

• בקרה: כלי להפחתת סיכון.
• הדגשת אזורי מידע קריטיים: הגנה בשכבות- הגנה נוספת על אזורי מידע רגישים.
• כמות בקרות תלוייה בסיכונים: עלויות בקרה צריכות להיות פרופורציונאליות לסיכון.

גורמי סיכון

• טכנולוגיות: חומרה, תוכנה ותקשורת.
• אנשים: עובדים ממורמרים או לא מקצועיים.
• תהליכים: שגיאות אנוש או תהליכים לא יעילים.

אבטחת מידע- שכבות

• אימות זהות: תהליך של זיהוי משתמש כזה שהוא מבקש להיות (לדוגמה, סיסמה או מכשיר).
• הרשאות: סמכות או גישה למערכות ומידע.
• שלמות ואמינות מידע: אימות שהמידע נותר שלם ובלתי פגום.
• זמינות מידע/מערכת: זמינות הגישה למידע ולמערכות.

Threats (איומים)

• איומים חיצונים: לא ניתן לשלוט עליהם ישירות.
• חולשות: ניתן לשפר.
• קניין רוחני: פטנטים, מידע ומוניטין.
• Downtime: זמן שהמערכת לא זמינה.
• וירוסים, תולעים, סוסים טרויאניים: תוכנות זדוניות.

מיישם סייבר

• אדם בעל ידיעת בסיס ויישום בתחום אבטחת הסייבר.

תקן ISO27001

• תקן בינלאומי לאבטחת מידע.

• מספק מסגרת לארגון להגנה על נתונים.

• תקני אבטחת מידע: (ISO 27001, NIST, ו-PCI DSS) מספקים מסגרת לניהול אבטחת מידע.

• ניהול מסוכנים: הערכת הסיכונים, ההסתברות שלהם והנזק הצפוי, תוך בחינת התאמת הסיכון לתאבון הסיכון של הארגון. (תלבושת סייבר- צריך להגיד למי שמחליט מה הוא מוכן לספוג)

• ניהול אירוע: (Incident Response) תגובות לאירועים כמו פריצה או תקלה.

• המשכיות עסקית: (Business Continuity) הארגון צריך להמשיך לפעול גם בעת אירוע חירום או תקלה.

• אבטחה פיזית: הגנה פיזית של המערכות (דלתות, עננים, גדרות, וכו')

מודלים של אבטחת מידע

• מודל 7 שכבות OSI: מודל לתיאור שכבות תקשורת.
• מודל TCP/IP: (מכיל 4 שכבות)

בקרת גישה

• Access Control: (בקרת גישה) מי יכול לגשת ומה.
• זיהוי (Identification), אימות (Authentication), הרשאות (Authorization), אחריותיות (Accountability): כלים לבקרת גישה.

אבטחת מידע וחולשות פיתוח

• Backdoor: דרך סודית לגישה למערכת לשימוש בלתי מורשה, שאיתורו מרכיב חשוב בתחומי אבטחת מידע.
• Secure by design: שילוב אבטחה בתהליכי פיתוח.

שיטות הצפנה

• הצפנה סימטרית: מפתח אחד לשליחה ופיענוח.
• הצפנה א-סימטרית: שני מפתחות: אחד ציבורי ואחד פרטי.

Description

כיצד ננהל אבטחת מידע בארגון? במבחן זה נבחן את מושגי היסוד כמו BCP, DRP, SDLC, וניהול סיכונים. כמו כן, נעסוק בחוק הגנת הפרטיות ובדרכי חיזוק אבטחת מידע.