8.9.2015

על מסמכים, נהלים ומדיניות אבטחת מידע

פורסם על ידי

מהי מדיניות?

מדיניות הינה קו מנחה או סט הנחיות המציינת באופן גלוי אילו החלטות ופעולות יש לבצע להשגת המטרה (במקרה שלנו, אבטחת המידע). בד"כ, מדיניות מכוונת את פעילות הארגון ומשאביה בהתאם לפרוצדורות או פעולות שיש לבצע.
במאמר זה, אנסה לספק כלים ליצירת מדיניות אבטחה יעילה ויותר חשוב – לנסות ולשפר מדיניות קיימת.
מדיניות אבטחה יעילה וברת-ביצוע (קרי "מציאותית") הינה המפתח להשגת אבטחת מידע יעילה.


התעדה

"אם זה לא תועד – זה לא קרה."

במיוחד כיום, זמן הוא מצרך יקר ולכן קיים קושי (ותסכול) לפנות זמן לתיעוד המדיניות והתהליכים הנלווים. כולנו עסוקים ויש שיאמרו שאין מספיק שעות ביממה ע"מ להספיק ולבצע משימות ומטלות שנדרשו מאתנו. נכון, כל משימה שעשויה לבזבז את זמננו – מתסכלת. אולם, באבטחת מידע בפרט יש דברים שצריכים להיעשות למרות שאנחנו חושבים שזמננו "מבוזבז" לשווא. המשימה המתסכלת ביותר הינה התעדה.
ייתכן שהנכם יודעים מה מצופה ממכם ומעובדים הכפופים אליכם, אך לאחרים פשוט אין מושג. אם תספרו משהו מסוים באופן מילולי לעובד – סביר כי הדבר יוביל לאי-הבנה או שכחה מצד אותו עובד, על אחת כמה וכמה אם מדובר בחברה עם מספר גדול של עובדים. נניח כי מנכ"ל חברה צריך להודיע משהו לעובדיו: תחילה, הוא יקיים ישיבה ולרוב הוא גם יישלח דוא"ל אודות הודעתו לעובדיו. זאת משום שאנשים שומעים ומבינים דברים מילוליים באופן שונה, אבל אם הודעת המנכ"ל תהיה כתובה – הסיכוי לאי הבנה יפחת.



סוגי מדיניות

תכנית אבטחה – תכנית אבטחה הינה בד"כ מדיניות ברמה הגבוהה ביותר הקובעת את גישת האבטחה של הארגון. מדיניות זו בד"כ קצרה ומספקת כיוון כללי אליו הארגון מכוון. בנוסף, מצורפת הדרכה מסוימת אודות סוגי מדיניות נוספים לרבות הגדרת בעלי-אחריות. סוג מדיניות זה מספק הכוונה של הארגון להתאמה לתקנים, חוקים ורגולציות.
מדיניות ספציפית – מדיניות מסוג זה נועדו לענות על צרכים ספציפיים בארגון, כגון נהלי סיסמאות והנחיות שימוש ברשת האינטרנט, מדיניות גיבוי ואנטי-ווירוס. סוג זה אינו רוחבי כמו תכנית אבטחה אך הוא רחב יותר ממדיניות מכוונת מערכת.
מדיניות מכוונת-מערכת – לכל ארגון קיימות מערכות שונות המבצעות פעולות שונות. יצירת מדיניות רוחבית לכלל המערכות אינה דבר מומלץ ולכן כדאי ליצור מדיניות ספציפית לכל מערכת.


מה עושה מסמך מסוים למדיניות (או מה התוכן במדיניות)?

  • מטרה – הסברים על סיבת יצירת המדיניות.
  • מסמכים רלוונטיים נוספים(נספחים) – רשימת כל המסמכים (או מדיניות אחרות) אשר משפיעים על תוכן המדיניות.
  • הפקעה – זיהוי והצגת מדיניות קיימות אשר מבוטלות לאחר אישור מדיניות זו.
  • רקע – הענקת מידע תומך ו\או נדרש למדיניות.
  • היקף – קביעת ההיקף של המדיניות ועל מה\מי היא מכסה (למי ו\או מה היא מתייחסת)
  • הצהרה – זיהוי עקרונות מנחים או מה בעצם צריך לעשות ולהיעשות.
  • פעולה – ציון הפעולות הנדרשות ואופן ביצוען.
  • אחריות – ציון בעלי האחריות (מי אחראי על מה).
  • בעלות – זיהוי והגדרת יוצר המדיניות ומי רשאי לשנותה.

 

חריגות

מדיניות אבטחה צריכה לקחת בחשבון מקרים ומצבים חריגים; ההחלטה על "מה עושים כאשר צריך לעשות X אך מדיניות האבטחה דורשת Y" – נעשית בתהליך הערכת הסיכונים. ניקח את הדוגמה הקלאסית הבאה: 
יום שישי, השעה 1:00 בלילה. הצוות שלך עובד בקדחתנות ע"מ לסיים פרויקט שהינו קריטי בזמן והם צריכים לשלוח את קובץ הפרויקט ללקוח. התגלתה בעיה בעת שליחת הקובץ כיוון שחומת האש אינה מאפשרת זו. הפתרון הוא ברור – לשנות חוק ספציפי בחומת האש, אך מדיניות האבטחה אוסרת על כך. אם הצוות לא ישלח את הקובץ, הארגון לא יעמוד בדד-ליין שנקבע. לעומת זאת, אם הצוות ישנה את הגדרות חומת האש – הם יסתכנו בסיכונים נלווים עת הפרת מדיניות האבטחה. מהם צריכים לעשות?
מדיניות אבטחה צריכה לנסות להשיג איזון בין המושגים "גישה" ו-"אבטחה". גישה הינה בד"כ מכוונת לביצועים ונוחות פעולות ושימוש. אבטחה מתמקדת בעקרונות של שלמות, זמינות ובטיחות. מושגים אלה אינם מכוונים רק למחשבים ולרשתות – אלא לכלל הארגון.
כאמור, מדיניות אבטחה טובה הינה לוקחת בחשבון סיכונים וחולשות המזוהות ע"י הערכת סיכונים.


זיהוי מדיניות בארגון

אין תבנית קבועה למדיניות. זכרו זאת. לכל ארגון או חברה עקרונות מנחים שונים. אם הנך מנהל אבטחת מידע בארגון, איך תוכל לזהות מהי מדיניות בארגונך? האם קיימות "מדיניות אודות המדיניות בארגון?" או מדריך המתעד את אופן יצירת מדיניות? ובכן, ארגונים רבים מחזיקים בנהלים ליצירת מדיניות. אם קיימים נהלים שכאלה – השתמש בהם. אם לא, כדאי שתנסה להסיק מהו התוכן הצפוי למדיניות בעזרת מדיניות קיימות ובעזרת עובדים החתומים על אותן מדיניות. בנוסף לזיהוי מדיניות קיימות וזיהוי אלה החתומים עליהן, כדאי שתזהה גם את אותם אנשים שיכולים לעזור בעת פיתוח המדיניות (לדוגמה, יועצים משפטיים ועובדי משאבי אנוש).
כאמור, לכל ארגון קיימות מדיניות לנושאים שונים אך האם קיימת מדיניות הקשורה באופן ישיר לנושא האבטחה? כדאי שתזהה מה הארגון עושה או לא עושה במצבים מסוימים, מה יש ומה אין – ונסה לשפרו. אחזור ואומר: ע"מ לזהות את דרישות המדיניות – יש לבצע מבעוד מועד הערכת סיכונים.


רמות שונות של מדיניות

מדיניות יכולה להתקיים ברמות שונות בארגון. סביר כי כל עוד אינך נמצא בדרג הניהולי הבכיר של הארגון – סביר כי קיים מישהו מעליך אשר יוצר מדיניות שעלייך ליישם. היררכיית מדיניות נפוצה בארגונים נראית כך:
  • מדיניות כלל ארגונית (מדיניות חברה) – מורכבת ממסמכים ונהלים מהדרג הבכיר ביותר בארגון ומעניקה הכוונה כללית ליישומה בדרגות נמוכות יותר בארגון.
  • מדיניות כלל מחלקתית – בד"כ מורכבת מהנחיות המחזקות את מדיניות הכלל-ארגונית ומתייחס למחלקה (או חטיבה) מסוימת בארגון.
  • מדיניות מקומית – מכיל מידע ספציפי לאלמנט\מרכיב ארגוני.
  • מדיניות ספציפית – מדיניות מסוג זה נועדו לענות על צרכים ספציפיים בארגון, כגון נהלי סיסמאות והנחיות שימוש ברשת האינטרנט, מדיניות גיבוי ואנטי-ווירוס. סוג זה אינו רוחבי כמו תכנית אבטחה אך הוא רחב יותר ממדיניות מכוונת מערכת.

    מה בין מדיניות לנהלים

    • מדיניות – עונה על.... מי, מה ולמה.
    • נהלים – עונה על... איך, איפה ומתי.
    נהלים נגזרים ממדיניות. לכן, אם תוכל לאפיין אילו נהלים עלייך לבצע – תוכל לגלות מהי המדיניות המנחה (גם אם היא אינה כתובה). בואו נבצע ניתוח של נהלים ע"מ להפיק מהם מדיניות בסיסית:


    שלב 1: מי מבצע את הנוהל?
    למה?

    מנהל הרשת מבצע עדכון לתוכנת האנטי וירוס לכלל המחשבים בארגון.
    כיוון שנדרשות הרשאות ניהול מסוימות להתקנת העדכונים בכונני המשתמשים

    שלב 2: מהו הנוהל?
    למה?


    קבצי העדכון נבדקים ונשמרים בתיקייה משותפת. סקריפט המופעל בעת התחברות המשתמש למערכת – מוריד את העדכון, מבצע אותו ולבסוף מאתחל את
    המחשב. מחשבים שעברו עדכון מסומנים בבסיס נתונים מסוים.

    הגנת המערכות מפני ווירוסים ע"י עדכון תוכנת האנטי ווירוס באופן תדיר. אוטומטיזציה של התהליך תהיה יעילה יותר ותפיק רשימה מסודרת של
    אילו מחשבים עודכנו ואילו לא.

    שלב 3: מתי נוהל זה מבוצע?
    למה?

    נוהל זה מבוצע בתדירות שבועית.
    ע"מ להגן על המערכות מפני ווירוסים חדשים, ידוע כי תוכנת האנטי ווירוס שלנו מפיקה עדכונים כל יום ראשון.

    שלב 4: (מ)היכן נוהל זה מבוצע?
    למה?

    נוהל זה מבוצע ממחשבי מנהל הרשת
    אין דרישה למיקום ספציפי ע"מ להחל את העדכונים. כל מחשב חייב בעדכון.

    הסקת המדיניות
    מהי המדיניות?

    ע"י התבוננות בשתי העמודות דלעיל, נוכל להסיק מהי המדיניות.

    "יש להבטיח כי כל מחשבי הארגון מוגנים מפני ווירוסים ע"י עדכון האנטי ווירוס באופן תדיר. מנהל הרשת בכל מחלקה יבצע את העדכון בתדירות
    שבועית. תהליך זה יכול להתבצע באופן אוטומטי ובתנאי שיבטיח כי כל מחשב קיבל וביצע את העדכון"



    הערכת מדיניות אבטחה קיימות

    בתקווה שפעלתם נכון ואספתם מסמכי מדיניות מכל הרמות והמחלקות בארגון – כתבתם (או לקחתם, אם קיימת) את מדיניות האבטחה של הארגון. חרף זאת, אם קיימת מדיניות אבטחה וגיליתם שאותה מדיניות אבטחת מידע אינה ברורה, מבלבלת, קשה למעקב או אינה מכסה סיכונים משמעותיים - מה אתם עושים? ובכן, משפרים אותה. תחילה, יש להכין כמובן טיוטה ולעבוד לפי רשימות פעולה (Checklists). להלן סדר נכון לביצוע שיפור המדיניות:

    שלב 1: בדוק כי מדיניות אבטחת המידע מכילה את רוב המרכיבים הנפוצים
    חפש את אותם מרכיבים נפוצים ורשום לעצמך מה חסר. אם קיים מדריך ארגוני ליצירת נהלים, השתמש בו כדי לקבוע סעיפים ומרכיבים נדרשים. אם אין מדריך שכזה, היעזר בתבנית מדיניות אחרות בארגון והתייעץ עם אותם אנשים אשר הצליחו לייצר מדיניות (קיבלו אישורים וחתימות – והושמו).
    ישנם מרכיבים שצריכים להיכלל במדיניות באופן מפורש (או משתמע) ע"מ שתהיה עקביות ארגונית. למשל, כל עובד בארגון צריך לדעת האם המדיניות מתייחסת גם אליו; הנחיה זו הינה חלק מהיקף המדיניות. ע"מ שמדיניות תפיק תוצאות, יש לקבוע מי אחראי לביצוע פעולה כזו או אחרת. השתמש בשכל הישר – האם מדיניות זו מספיק ברורה ע"מ שכל עובד יידע מי אמור לעשות מה?

    שלב 2: בדוק האם המדיניות ברורה
    דרך טריוויאלית לבדיקת בהירות המדיניות הינה לזהות את אנשי המפתח (בעלי אחריות כלשהי) ולתשאל אותם אודות הבנת תפקידם והסכמתם לאחריות פעולותיהם.

    שלב 3: בדוק האם המדיניות מתומצתת דיו
    מדיניות ספציפית (למשל מדיניות עדכון אנטי ווירוס) לא צריך להיות מעל 2 עמודים. ארגונים רבים אף יגבילו יצירת נהלים מסוג זה לכדי דף אחד. בד"כ, הצהרת המדיניות תסוכם במשפט אחד. יש לזכור כי זהו מסמך מדיניות ולא הוראות עבודה – כלומר, מסמך זה אמור לתאר מה רצוי ובד"כ על נושא ספציפי אחד.

    שלב 4: בדוק האם המדיניות ריאליסטית
    אין צורך שמדיניות אבטחת מידע תדרוש מאנשים ליישם דברים שאינם ברי ביצוע או שאינם צריכים להתבצע.

    שלב 5: בדוק האם המדיניות מעניקה הדרכה מספקת ליצירת נהלים ספציפיים
    כאמור, מדיניות מצביעה על מה צריך להיעשות ולמה בעוד שנהלים (או תהליכים, איך שתקראו לזה) מצביעים כיצד יש לבצע ואיך ליישם את המדיניות. למשל, אם קיימת מדיניות חיבור לרשת – חשוב שתוכל לגזור ממנה תהליכים להגדרת חומת האש.

    שלב 6: בדוק האם המדיניות עולה בקנה מידה אחד עם מדיניות כלל-ארגונית
    אם אתה מגלה פערים בין מדיניות אבטחת המידע לבין המדיניות הכלל-ארגונית – רשום אותם כדי למזער את אותם פערים. בנוסף, יש לשים לב כי מדיניות אבטחת מידע צריכה להיות מותאמת לחוקי המדינה, תקנים והוראות.

    שלב 7: בדוק האם המדיניות הינה פרוגרסיבית ("מסתכלת קדימה")
    כל מדיניות כלשהי, לרבות מדיניות אבטחת מידע – צריכות להיות יציבות, קרי ביצוע שינויים בהן מתבצע לעתים רחוקות. יציבות שכזו הינה תוצאה של צפייה אל העתיד. מדיניות אבטחת מידע אינה צריכה להיות תלויה בטכנולוגיה כלשהי או עובדים ותהליכים קיימים.

    שלב 8: בדוק את חיוניות המדיניות והעכשוויות שלה
    מדיניות אבטחת מידע צריכה להיסקר באופן קבוע. תיקונים ביישומה צריכים להיעשות בהתאם להסקת לקחים שנלמדו מאירועים קודמים ומאיומים חדשים כלפי הארגון.


    נספח: תרגיל בהתרחשות

    לדעתי האישית, סיכום נבון בנושא מסוים צריך להיות פרקטי, ומה יותר נכון מדוגמה מסכמת?
    אציג כעת התרחשות מסוימת בהיעדר מדיניות:

    הנך מנהל אבטחת מידע בארגון מסוים. בתוקף אחריותך, החלטת להפגין את כישוריך הטכניים ולסרוק את רשת הארגון ע"מ לזהות שירותים ושרתים לא מזוהים\מורשים. הפעלת Nmap וגילית כי קיים שרת מסוים ברשת שאינו מזוהה ובטח לא מורשה. מעקב אחר תשדורות השרת גילה כי יוסי התקין בחשאיות קו תקשורת נוסף בינו לבין רינה, הרי למה ש"האח הגדול" יעקוב אחריו אם הוא יכול לעקוף אותו, נכון? ובכן, נכון! הרי לא קיימת בארגון מדיניות העוסקת בהתקנת שרתים לא מורשים.
    החלטת לתקן את הסיטואציה. איך? יצירת מדיניות.

    תחילה, אציין כי יצירת מדיניות כרוכה בשת"פ. אם לא קיים שת"פ בינך לבין המחלקות השונות בארגון, סביר כי המדיניות לא תיאכף.
    אזכיר את מרכיבי המדיניות:
    • מטרה
    • מסמכים רלוונטיים נוספים (נספחים)
    • הפקעה
    • רקע
    • היקף
    • הצהרה
    • פעולה
    • אחריות
    • בעלות
    בואו נתחיל בעבודה:
    מסמך מדיניות שכזה צריך להכיל דף אחד לכל היותר. זכרו– היו ענייניים.


    מדיניות הארגון בדבר שרתים לא מורשים
    מטרה: מדיניות זו קובעת את הדרישות לשרתים מורשים בחברת "שקר כלשהו בע"מ". דרישות אלו נחוצות כחלק מיצירת סביבת מחשוב מאובטחת.

    היקף: מסמך זה מתייחס לכל מחשב המעניק שירות (להלן, "שרת") המחובר לרשת הארגון, ולרבות שרתים עתידיים. על מחשבים שאינם שרתים חלה מדיניות אבטחת מחשבי קצה.

    פעולות:
    • מחלקת ה-IT של הארגון יחזיקו וינהלו רשימה מסודרת של השרתים המורשים. שרתים קיימים יתועדו וירשמו גם הם. מנהל ה-IT חייב לאשר שרתים חדשים לפני הכנסתם לרשימה.
    • שרתים מורשים יסוקרו כל 6 שבועות.
    • מחלקת אבטחת המידע בארגון תבצע סריקה של רשת הארגון כל 6 שבועות ע"מ לזהות שרתים מורשים ולא מורשים. ממצאי הסריקה יעוברו למנהל מחלקת ה-IT האחראי לאיתור אי-ההתאמה (אם קיימת) לרשימה.
    • אם ונמצאה אי התאמה לרשימת השרתים המורשים, קרי זוהה שרת בלתי מורשה שמטרתו זדונית – יש לדווח במידי למנהל אבטחת המידע אשר בתורו רשאי לעבוד עם כל גורם וכל משאב ע"מ להביא פתרון לתקרית.
    אחריות: זוהי אחריותו של מנהל מחלקת ה-IT להבטיח כי מתבצעות סריקות שוטפות וכי כל אי-התאמה לרשימת השרתים המורשים תהיה מתועדת ומדווחת.

    פעולות אכיפה: עובדים אשר נמצאו מתקינים ו\או מפעילים שרת ללא הסכמה כמצוין במדיניות זו – צפויים לביטול העסקתם ובהתאם למדיניות מחלקת משאבי אנוש בדבר סיום והפסקת העסקה של
    עובד.

    עד כאן. חג שמח ובטוח לכולם.