ISO 27001 - תקנות חדשות להגנה בסייבר עבור ספקי שירותים לגופים ממשלתיים

על מנת לשפר את בטיחות המערכות של גופים ממשלתיים, גיבש מערך הסייבר הנחיות מחייבות לאבטחת המידע של ספקי השירותים שלהם.
מטרת בלוג זה היא לפרט את עיקרי ההנחיות ולדון במשמעות שלהם. בהצלחה! וקריאה מהנה.

מערך הסייבר גיבש תקנות חדשות אשר יחייבו ספקי שירותים לגופים ממשלתיים בהגנת סייבר (ראה ערך - תקן אבטחת מידע ISO 27001), על מנת לשפר את בטיחות המערכות שלהם.מטרת התוכנית היא ליצור תקן אחיד להגנת סייבר בקרב ספקי שירות, המיועד לשימוש במגזר הציבורי והפרטי במטרה לשפר את אבטחת מערכות המחשוב לכל אורך שרשרת האספקה. זאת תוך דגש על ספקים ששירותיהם מהווים מוקד משיכה לתוקפים [קריאה נוספת - כיצד תדע שהגיע הזמן להגן על המידע?].

כיום, חברות ממשלתיות, משרדי ממשלה ומפעילים של תשתיות חיוניות כפופים לתקנים ונהלים של מערך הסייבר בכל הקשור באבטחת מערכותיהם.אולם בפועל, לא קיים גוף המפעיל את כל המערכות שלו בעצמו - נתח גדול מהגופים הללו משתמשים בשירותים חיצוניים אשר אינם נמצאים תחת אחריות ישירה של מערך הסייבר. מסיבה זו, האקרים יכולים למצוא נקודות חולשה גם במערכות מאובטחות ביותר באמצעות תקיפה "עקיפה" דרך נותני השירות החיצוניים.

התקן מיועד לספקים שאופי השירות שהם מעניקים מהווה מוקד משיכה לתוקפים, כדוגמת שירותי הפצת דוא"ל, בתי דפוס שמדפיסים המחאות עבור בנקים, חברות פיתוח ואתרים, יצרני רכיבים למערכות תעשיתיות ושירותי אחסון מידע. לפי הערכת מערך הסייבר ישנם אלפי בתי עסק שעונים להגדרה זו במדינת ישראל.

התקן גובש תוך שיתוף פעולה עם ספקי השירות שלהם הוא מיועד, ועל סמך השיחות שהתקיימו עם נותני השירות גיבש מערך הסייבר תקן אחיד שמאפיין את כל דרישות הגנת הסייבר של ספקי שירותים. התקן ייושם בכמה שלבים. בשלב הראשון, יחויבו לעמוד בו ספקים של גופי ממשל וגופים קריטיים כמו בתי חולים שפעילותם חיונית להבטחת רציפות שירותים לאזרחים. בהמשך תורחב המחויבות גם לספקים של גופים פיננסיים, גופי תחבורה ועוד.כל גוף יידרש לבצע בדיקה המאפשרת אפיון ספקים לפי אופי השירות ומידת הרגישות, במטרה לזהות את הספקים שנדרשים לעמוד בתקן.

 

מערך הסייבר הלאומי פיתח 3 תוצרים בהקשר זה על מנת לייצר סטנדרט אחיד לבדיקת ספק בהיבטי הגנת סייבר:

• מתודולוגיה סדורה לשאלון ספקים- מונה כ- 90 בקרות, המחולקות ל- 4 תחומי בדיקה : גישה מרחוק, דרישות רוחביות, אחסון בענן ופיתוח תוכנה מאובטח.
• מערכת יוב"ל -נועדה לתת מענה מקוון לבקרות אלו בכדי להקל על המשרדים לבצע התקשרות נכונה עם ספקים מהותיים ואחרים.
• בודקים- סיימו בהצלחה הכשרה ייעודית ומבחן התמצות באופן בדיקת הספק ותהליך הסמכתו מול גוף התעדה ייעודי.

 

לאחר ה - 31.12.2020 לא תותר התקשרות עם ספק מהותי ללא התעדה.

* ניתן לעיין בעיקרי הנחיית יה"ב (ניהול ספקים בשרשרת האספקה של משרדי הממשלה ויחידות הסמך) בקישור הבא: לחץ כאן

 

 

ההנחיות כבר כאן ולא כדאי לחכות לרגע האחרון!
אנו בחברת סינק פרויקטים יודעים להתאים את תקן אבטחת מידע אל הארגון ומקפידים על שימוש בכלים מעשיים שיאפשרו יישום אפקטיבי ויעיל של דרישות התקן בארגון. לשם כך יצוות לכל ארגון מהנדס שילווה את תהליך ההכנה, הטמעה והסמכה.

לחצו לקבלת הצעת מחיר להסמכה לתקן ISO 27001