שיעור 5: מסגרות, תקנים והגישה הניהולית
תורת ההגנה בסייבר לארגון (מבית מערך הסייבר הלאומי) מעבירה מסר מרכזי: אבטחת סייבר אינה פרויקט טכנולוגי של מחלקת המחשוב, אלא תהליך של ניהול סיכונים עסקי. בשיעור זה נכיר את מסגרות העבודה והתקנים המרכזיים (NIST, ISO 27001, SOC, PCI DSS, GDPR ועוד) ונבין את שינוי התפיסה הניהולי שהדוקטרינה דורשת.
תקנים הם 'כללי משחק' מוסכמים לאבטחה. והמסר הגדול: סייבר הוא החלטה ניהולית-עסקית, לא רק רכישת טכנולוגיה.
- מסגרת עבודה
- מערכת מובנית של הנחיות ובקרות לניהול אבטחת מידע וסיכוני סייבר (למשל NIST CSF, CIS Controls, COBIT).
- מסגרת NIST לסייבר
- מתודולוגיה גמישה (מנחה, לא מחייבת) לניהול סיכוני סייבר, בנויה מחמש פונקציות: זיהוי, הגנה, גילוי, תגובה והתאוששות.
- תקן ISO/IEC 27001
- תקן בינלאומי להקמה, יישום ותחזוקה של מערכת ניהול אבטחת מידע (ISMS) בארגון.
- תקן SOC 2
- תקן דיווח (AICPA) המעריך כיצד ספק שירות מנהל נתוני לקוחות לפי עקרונות האמון: אבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות.
- תקן PCI DSS
- תקן גלובלי מחייב להגנה על נתוני כרטיסי אשראי ומניעת הונאה בעסקאות תשלום.
- חוק HIPAA
- רגולציה אמריקאית הקובעת סטנדרטים להגנה על מידע רפואי רגיש של מטופלים (PHI).
- תורת ההגנה בסייבר לארגון
- מסמך של מערך הסייבר הלאומי שמתרגם הגנת סייבר לשפה ניהולית של ניהול סיכונים עסקי.
- מנהל אבטחת מידע ראשי
- האחראי על אסטרטגיית אבטחת המידע; לפי הדוקטרינה תפקידו עובר משומר סף טכנולוגי למתכנן אסטרטגי בהנהלה.
- תקן SOC 1
- דוח (AICPA) המעריך בקרות אצל ספק שירות שעשויות להשפיע על הדיווח הכספי של לקוחותיו (ICFR) — בשונה מ-SOC 2 שמתמקד באבטחה ובתפעול.