דף הבית  >> 
 >> 

הרשם  |  התחבר


אבטחת מידע 

מאת    [ 29/11/2006 ]

מילים במאמר: 868   [ נצפה 7873 פעמים ]

אבטחת מידע

אבטחת מידע היא מכלול האמצעים במערכת ובארגון שתפקידם לוודא שהמידע האצור במערכת הוא מוגן וממודר. המונח המקביל באנגלית הוא Information Security, או בקיצור Security. בעברית מקובל גם המונח במ"מ (בטחון מערכות מחשבים). במאמר זה ננסה לתת קווים מנחים כיצד יש להגן על המידע הממוחשב בארגון, נתייחס אל הנושא בהיבט הניהולי ונסקור עקרונות ומדיניות אשר יש להנהיג בארגון.

נהוג לחלק אבטחת מידע לשלוש קטגוריות עקריות :
1) זמינות הנתונים (המידע המחשבים והתוכנות שבהן נמצא המידע יהיו זמינים לעובדים).
2) אמינות (המידע חייב להיות מדויק ואמין).
> 3) סודיות (המידע יחשף רק למי שרשאי לראותו).

כל הפרה של אחד הכללים הרשומים לעיל יחשב כפגיעה בנתונים.

נתייחס אל אבטחת הנתונים בשני אופנים:

צעדים מניעתיים (למניעת הפרה של אחד הכללים)
צעדים לגילוי (לגילוי איום המפר את אחד הכללים).

ואל ההגנה בשלושה מישורים:

הגנה פיזית (שומרים, אזעקה, מערכות כיבוי אש, מצלמות וכו')
הגנה טכנולוגית (הצפנה, סיסמאות, עידכוני אבטחה וכו')
הגנה מנהלתית ( מדיניות, מודעות, פרוצדורות וכו').

אלה הם שלושה מעגלי אבטחה אשר כל אחד מהם חייב להיות סגור. חשוב לציין כי סך כל ההגנה בארגון שווה לחוליה החלשה ביותר בארגון!!

הגנה פיזית:
בהגנה פיזית יש להתייחס לנושאים הבאים:

הגנה הקפית: גדר - חומה
הגנה כנגד אש (מערכות כיבוי והתרעה)
הגנה כנגד הצפות (מיקום חדר השרתים בקומה אמצעית ולא במרתף, גלאים
נגד הצפות)
הגנה כנגד פורצים (מנעולים, מנעולים עם קוד / הגנה ביומטרית, גדר, פתחים
ממוגנים (סורגים), תאורה ומצלמות במעגל סגור במידת הצורך)
שמירה (בני אדם, כלבים)
שמירה על טמפ' נכונה בחדר מחשב (מזגנים), מניעת לחות / יובש גבוהים מדי
על מנת למנוע פגיעה במחשבים
מערכות לגיבוי חשמל (UPS או גנרטורים).

חשיבות כל אחד מהסעיפים הנ"ל גבוהה ביותר. אי מתן מענה לכל אחד מהם חושף את החברה לאיבוד זמינות הנתונים ו/או פגיעה בהם. לדוגמא חדר השרתים: במידה ולכל עובד / אדם זר יש גישה אל חדר השרתים, הרי שכל אחד יכול להגיע אל השרת המרכזי ולעשות אחת או יותר מהפעולות הבאות:
להוציא אותו משקע החשמל (להלן פגיעה בזמינות הנתונים),
להכניס דיסקט או disk on key ולקחת מידע מהשרת (פגיעה בסודיות הנתונים).
אחת החברות הגדולות דאגה להשקיע כסף רב במיגון (טכנולוגי) של השרת באמצעות הצפנות ואבטוח הנתונים על ידי מערך הרשאות מסודר, אבל קלטות הגיבוי שהכילו את כל המידע הרגיש ביותר של החברה הונחו על השרת, וחדר המחשבים היה פתוח. הקלטות נגנבו על ידי פורץ ולמעשה כל המידע הארגוני נגנב כתוצאה מכך (כולל סודות שמורים של החברה כגון תוכניות לעתיד, פטנטים, קוד תוכנה וכו')
לכן, שמירה על אמצעי הגיבוי והשרתים הינה חלק בלתי נפרד ומשמעותי בשמירת הנתונים בעסק.

הגנה טכנולוגית:
סעיף זה מתייחס להגנה על המידע העובר בקווי התקשורת ומאוחסן בשרתים, שמטרתה בעיקר למנוע דליפת מידע חסוי.
יש לתת את הדעת לנושאים הבאים:

סיסמאות
הרשאות גישה לתוכנות ונתונים
הצפנת מידע בדיסקים מיילים וכו'
חתימה אלקטרונית
הצפנת מידע בקוי התקשורת
גיבויים ומדיניות גיבויים (כתבה בנושא פורסמה בגיליון דצמבר של 'חשבשבות' )
חומת אש ( firewall). מאמר בנושא זה יפורסם בגיליון הבא.
מערכות IDS / IPS (לגילוי ומניעת חדירות מחשוב לארגון),
אנטי וירוס והגנה כנגד "קוד עוין" כגון תוכנות ריגול, פרסומות, סוסים טרויאנים
כרטיסים חכמים המשמשים לבקרת גישה
מערכות ניתור שינויים במידע ושמירת לוגים
קנייה והתקנה של תוכנות מאושרות ועל פי תקנים בארגון.

הגנה מנהלתית:
נושא זה הינו חשוב ביותר, פירצה כאן יכולה לבטל את כל ההגנות שהוזכרו עד כה, חלק ניכר מההתקפות המוצלחות לאחרונה היו התקפות של הנדסה חברתית, כלומר מציאת החוליה החלשה ביותר בארגון - אנשים, וביצוע מניפולציות שונות לגניבת המידע ו/או שיבושו.
לכן עלינו להתייחס לנושאים הבאים:
מדיניות של סיסמאות (לא לרשום / למסור סיסמאות, להחליף אותן מידי תקופה,
לא לדבר על סודות החברה במקומות ציבוריים)
מדיניות גלישה באינטרנט באירגון
הפרדת תפקידים באירגון (לעיתים יש ליצור מצב ובו רק שני עובדים יחד יוכלו
לבצע פעולה מסוימת. לדוגמא, בבנק לכל עובד יכול להיות מפתח, אך רק שני
המפתחות יחד יוכלו לפתוח את הכספת)
Need to know עובד יודע רק מה שהוא חייב לתפקידו
סבב תפקידים (לגילוי הונאות) הוא נושא חשוב: עובד אשר מבצע מעילות לרוב
לא יקח חופשים ולא יעדר מהעבודה. במידה ופעם בתקופה מתבצע
סבב תפקידים, תתגלה ההונאה. פעולה פשוטה כזו יכלה לגרום לגילוי ההונאה
בבנק למסחר הרבה קודם, ולצמצם את מידת הנזק (הבנק פשט רגל) שנגרמה
לבנק וללקוחות
מדיניות השמדת מדיות ישנות
מדיניות גריסת חומר ומסמכים
הכנת תוכניות "התאוששות מאסון" ו "תוכניות המשכיות עסקית"
כנסים, מודעות, פרסומים בנושאי אבטחה בארגון לעידוד המודעות
מדיניות לגבי שימוש במצלמות בארגון (סלולרים עם מצלמות יצרו בעיית
אבטחה בארגונים רבים)
קביעת מדיניות שימוש במיילים ובפקסים בארגון
ציות לחוקים ותקנות. מאמר בנושא זה פורסם בגיליון הקודם של 'חשבשבות'
מדיניות התקנת תוכנות (אנו עדים למקרה האחרון של ריגול תעשייתי לכאורה
שבו הושתל סוס טרויאני במחשבי החברות, ישנו חשד כי התוכנה הושתלה על
ידי משלוח דיסק "פרסומי" לחברות, עובד התקין את הדיסק על מנת לראות
מצגת וכך הותקנה התוכנה (סוס טרויאני) במחשבי החברות. מדיניות נכונה של
התקנת תוכנות יכולה למנוע מצבים דומים.

לדוגמא, אדם המתחזה למנהל המחשוב בארגון או לאדם מטעמו מתקשר אל עובד/ת (בעיקר באירגונים גדולים) ואומר לו/ה כי יש וירוס ברשת אשר משבש את את פעילותו של מחשב המנכ"ל (ליצור הפחדה). המתחזה מבקש את סיסמת הגישה למחשב שלה בכדי ל"הסיר את הוירוס". במידה ואין נהלים מסודרים למקרים כאלו, ברוב המקרים העובד יתן את הסיסמא שלו וההמשך ברור.
נושא ההגנה המנהלית הינו חשוב ועיקרו הוא חינוך, מודעות ומדיניות ברורה בחברות.

כל אמצעי שהוזכר הוא נושא רחב וראוי לכתבה בפני עצמה.
יש להבין כדי לשמור על "אבטחת המידע בארגון" דרוש הרבה יותר מתוכנתFirewall.

נכתב ע"י אורי שמאי, מנהל System



שמאי אורי
uri@wizsoft.com
מנהל מחשוב ואבטחת מידע
cissp,mcp,cne,ccsa



מאמרים חדשים מומלצים: 

חשיבות היוגה לאיזון אורח חיים יושבני  -  מאת: מיכל פן מומחה
היתרונות של עיצוב בית בצורת L -  מאת: פיטר קלייזמר מומחה
לגלות, לטפח, להצליח: חשיבות מימוש פוטנציאל הכישרון לילדים עם צרכים מיוחדים -  מאת: עמית קניגשטיין מומחה
המדריך לניהול כלכלת משק בית עם טיפים ועצות לניהול תקציב -  מאת: נדב טל מומחה
חשבתם שרכב חשמלי פוטר מטיפולים.. תחשבו שוב -  מאת: יואב ציפרוט מומחה
מה הסיבה לבעיות האיכות בעולם -  מאת: חנן מלין מומחה
מערכת יחסים רעילה- איך תזהו מניפולציות רגשיות ותתמודדו איתם  -  מאת: חגית לביא מומחה
לימודים במלחמה | איך ללמוד ולהישאר מרוכז בזמן מלחמה -  מאת: דניאל פאר
אימא אני מפחד' הדרכה להורים כיצד תוכלו לנווט את קשיי 'מצב המלחמה'? -  מאת: רזיאל פריגן פריגן מומחה
הדרך שבה AI (בינה מלאכותית) ממלאת את העולם בזבל דיגיטלי -  מאת: Michael - Micha Shafir מומחה

מורנו'ס - שיווק באינטרנט

©2022 כל הזכויות שמורות

אודותינו
שאלות נפוצות
יצירת קשר
יתרונות לכותבי מאמרים
מדיניות פרטיות
עלינו בעיתונות
מאמרים חדשים

לכותבי מאמרים:
פתיחת חשבון חינם
כניסה למערכת
יתרונות לכותבי מאמרים
תנאי השירות
הנחיות עריכה
תנאי שימוש במאמרים



מאמרים בפייסבוק   מאמרים בטוויטר   מאמרים ביוטיוב