רשות הסייבר פרסמה טיוטה לתורת ההגנה הארגונית
"תורת ההגנה הארגונית הינה נדבך בתפיסת ההגנה הלאומית, המורכבת מרבדים שונים של הגנה על המשק הישראלי ועל הרציפות התפקודית שלו", נכתב בטיוטה ● "מטרתה למזער את סיכוני הסייבר של ארגונים במשק הישראלי"
הרשות הלאומית להגנת הסייבר במשרד ראש הממשלה פרסמה טיוטה לתורת ההגנה הארגונית בסייבר.
הטיוטה, בת 160 העמודים, מופצת בימים אלה למשרדי הממשלה השונים. "אנו מזמינים אתכם לקחת חלק במהלך גדול זה ולהיות שותפים לעשייה ולהשפיע על המשך פיתוח המסמך והטמעתו בהמשך", ציינו ברשות.
"מדובר במהלך גדול וייחודי: זו הפעם הראשונה שנכתבת תורת הגנה לאומית לארגון. המסמך נבנה על בסיס ידע וניסיון בינלאומיים, תוך התאמת הדרישות למאפיינים הישראליים".
בפתח הדבר למסמך, המופנה למנהלים, מומחי אבטחת מידע והגנת סייבר, נכתב כי "מרחב הסייבר הוא תולדה של קדמה טכנולוגית, קישוריות וחיבור גלובלי לרשת האינטרנט".
"התלות הגוברת במרחב הסייבר מביאה עמה בשורות של חדשנות טכנולוגית ופיתוחים אדירים לאדם ולסביבתו. לצד אלה מתפתח מרחב איומים, המשפיע על הרציפות התפקודית הארגונית, על שלמות תהליכי הייצור ועל סודיות המידע הארגוני. מתקפות סייבר עלולות לפגוע בארגונים ואף להביא להפסקת תהליכי ייצור, לנזק כלכלי ולפגיעה במוניטין של הארגון".
שיפור החוסן הארגוני
מדינת ישראל, נכתב, "עושה מאמץ לאומי בהגנת הסייבר במרחב האזרחי. תורת ההגנה הארגונית הינה נדבך בתפיסת ההגנה הלאומית, המורכבת מרבדים שונים של הגנה על המשק הישראלי ועל הרציפות התפקודית שלו".
"התורה רואה את הארגון כמכלול שלם ומאפשרת את העלאת רמת החוסן הארגוני, באמצעות הטמעה רציפה של תהליכים, שיטות ומוצרי הגנה. יישום תורת ההגנה הארגונית ישפר את החוסן הארגוני ואת העמידות הארגונית בפני מתקפות סייבר".
מטרת תורת ההגנה, נכתב במסמך של הרשות הלאומית להגנת הסייבר, "הינה למזער את סיכוני הסייבר של ארגונים במשק הישראלי. המסמך מגדיר מתודה סדורה שמובילה את נושא האחריות בארגון לבניית תוכנית עבודה רב-שנתית להגנה על הארגון".
"באמצעות המתודה שבמסמך, הארגון יכיר את הסיכונים הרלוונטיים אליו, יגבש מענה הגנתי ויממש תוכנית להפחתת הסיכונים בהתאם".
"בשלב הראשון, על הארגון להבין לאיזו קטגוריה הוא משויך: ארגונים שפוטנציאל הנזק שלהם כתוצאה מאירוע סייבר גדול או איננו גדול. בשלב השני, נדרש לבנות תוכנית עבודה לארגון. לשם כך, על הארגון להגדיר תחילה על מה הוא נדרש להגן, מהי רמת ההגנה הנדרשת, מהם פערי ההגנה אל מול המצב הרצוי. לאחר מכן הוא יבנה תוכנית עבודה לצמצום הפערים".
הבנת הבקרות שנדרש לממש
אז, על הארגון להבין מהן הבקרות הנדרשות מהארגון עבור נכסיו השונים. על פי אנשי הרשות, לאור העבודה עם מסמך זה יתקבל תוצר סופי: הארגון יבין מהן הבקרות הנדרשות למימוש, לטובת הפחתת סיכוני הסייבר אליהם הארגון חשוף. בקרות אלו יהוו את תוכנית העבודה להפחתת סיכוני הארגון.
"לרבים מאיתנו, בחיי היומיום בכלל ובעסקים בפרט", נכתב, "מרחב סייבר זמין, נגיש ומהימן מהווה תנאי הכרחי. קל להבין זאת כאשר הללו נמנעים מאיתנו בצורה זמנית. איך תנהל את העסק ללא טלפון סלולרי? ללא הידע האגור ברשת הארגונית? ללא יכולת לבצע סליקת כרטיסי אשראי"?
"מרחב הסייבר הינו מרחב של אפשרויות והזדמנויות מצד אחד, ומרחב של איומים וסיכונים מנגד. במרחב זה מתנהלת פעילות ענפה של ריגול מדינתי, ריגול תעשייתי, פשע מאורגן ופשע מזדמן, פריצות למידע אישי ועוד", נכתב במסמך. "הללו עלולים להשפיע על הביטחון הלאומי, למשל, באמצעות פגיעה במרחב הסייבר בתשתית לאומית קריטית כמערכת החשמל או המים; על התנהלות עסקית, למשל, ריגול מסחרי, סחיטה כלכלית; ועל פרטיות, למשל, באמצעות פרסום מידע ותמונות אישיות".
כיום, נכתב במסמך, "ארגונים שונים מגינים על עצמם מפני איומים אלה בצורות שונות. המידע הקיים באינטרנט על דרכי ההתגוננות מפני סיכוני סייבר רב ביותר – ומורכב מאוסף של מתודולוגיות סדורות, שיטות עבודה מומלצות, כללי 'עשה ואל תעשה' ועוד. הגנה על ארגון מפני איומי סייבר דורשת ידע רב. ידע זה כולל מספר רב של התמחויות – טכנולוגיות, ארגוניות ותהליכיות".
"ארגונים רבים בארץ ובעולם מתחבטים בשאלות כגון – 'האם אנחנו משקיעים די בהגנה בסייבר?', 'האם אנחנו משקיעים נכון בהגנה בסייבר?', 'האם אנחנו משקיעים בהגנה בסייבר בהתאם למקובל במשק/בענף שלנו?'. ארגונים רוצים להגן על עצמם באופן שיפחית את הסיכונים העיקריים שלהם במרחב הסייבר ויאפשר פעילות עסקית ללא פחד".
מיפוי סיכוני הסייבר
תורת ההגנה, הסבירו אנשי הרשות הלאומית להגנת הסייבר, "מסייעת לארגונים למפות את סיכוני הסייבר שהם חשופים אליהם, להבין את המשמעות העסקית של התממשות הסיכונים ולהגדיר אמצעי הגנה מידתיים להפחתת הסיכונים העיקריים". כמו כן, "תורת ההגנה מגדירה הגנה נאותה לנכסים ארגוניים בעלי השפעה על מגזר או ברמה המדינתית".
הרשות הלאומית להגנת הסייבר הוקמה, בין היתר, על-מנת לעצב, ליישם ולהטמיע תורה לאומית להגנת הסייבר. במסגרת זו החליטה הרשות לפרסם תורת הגנה זו לארגונים במשק הישראלי, תחילה במשרדי הממשלה. הרשות פיתחה תורת הגנה זו על ידי שילוב תורות מובילות בעולם, ניסיון ישראלי בתחום האזרחי והביטחוני, התאמה לסביבה הישראלית והתאמה לתרבות העסקית הישראלית.
לדברי אנשי הרשות, "תורת ההגנה תהיה מלווה בעתיד בעזרים שונים, שיסייעו לארגון לאמץ אותה בקלות. הללו יכללו דוגמאות למסמכי מדיניות הגנה בסייבר ונוהלי הגנה ו-Practices Best לתחומים שונים, טבלאות ישימות מול רגולציה ישראלית ותקינה בינלאומית, מיכון התורה באמצעות פלטפורמה טכנולוגית נוחה ועוד".
למסמך יתלוו בהמשך עזרים וכלים משלימים שיסייעו לקרוא, להטמיע וליישם את תורת ההגנה הכוללת. בתקופה הקרובה אנשי רשות הסייבר הלאומית יבצעו תהליך של שימוע וקבלת התייחסויות מול משרדי הממשלה וגורמים נוספים במשק, לטובת שיפור הטיוטה ועד להפצת גרסה 1.0 – שתיעשה בסוף יוני.
אנשי הרשות יקבלו התייחסויות למסמך עד ה-7 למאי.
תגובות
(0)