עומדים כחומה מול האיומים

מורן שקד

לפני 11 שעות

מימין לשמאל: שמואל קלדרון, רז לרנר, מתי מגירא, דימה ספקטור וארז אביטל, צילום: עוז שכטר

המשרד להגנת הסביבה הוסמך בתקני אבטחת הסייבר המחמירים, ISO 27035 ו ISO 27017

שני התקנים קובעים עקרונות שיטתיים לניהול סיכוני אבטחת מידע בסביבת מחשוב וענן ולניהול אפקטיבי של אירועי אבטחת מידע וסייבר. את הליך ההסמכה ליוותה חברת 2BSecure ובסופו ערך מכון התקנים סדרת בדיקות שמצאה את עמידותו של המשרד ברף שנקבע.

המשרד להגנת הסביבה קיבל השבוע ממכון התקנים הסמכה בשני תקני אבטחת מידע מחמירים ISO 27035 ו- ISO 27017. ההסמכה ניתנה בטקס שנערך במשרד, בהשתתפות מנכ”ל במשרד להגנת הסביבה, אסף יזדי, בכירי המשרד, נציגים של מכון התקנים, וחברת אבטחת המידע והסייבר 2BSecure, אשר ליוותה וייעצה למשרד להגנת הסביבה בתהליך ההסמכה.

ההסמכה ניתנה אחרי סדרת בדיקות במחוזות, במטה ובאגף מערכות המידע של המשרד להגנת הסביבה, שהסתיימו בהצלחה. הפרויקט הוא חלק מהייעוץ השוטף שמעניקה 2BSecure למשרד.

מתן ההסמכה נעשה מתוקף החלטת הממשלה לקידום אסדרה לאומית בהגנת הסייבר מפברואר 2015, שבמסגרתה נדרשו משרדי הממשלה לעמוד בתקני אבטחת מידע מחמירים. התקנים המשתייכים לתקן האב ISO 27000, מגדירים עקרונות שיטתיים ותכליתיים להקמה, ניהול ותחזוקה של מערכת אבטחת מידע המתאימה למשרד.

תקן ISO 27035, ניהול אירועי אבטחת מידע וסייבר מתבסס על ההכרה כי המשרד מהווה מטרה לתקיפות זדוניות מצד פושעי סייבר. בשל כך המשרד נדרש להיות מוכן ליכולת תגובה מהירה באירועים. לשם כך ייעצה חברת 2BSecure המלווה את המשרד באופן שוטף כיצד לבנות אסטרטגיה, לייצר מדיניות ובקרות המספקות זיהוי ומהנה מהיר במקרה של מתקפות סייבר זדוניות.

בנוסף גם המשרד להגנת הסביבה כמו משרדי ממשלה רבים העביר בשנה האחרונה את כל מערך המחשוב של המשרד לענן, במסגרת פרויקט נימבוס הממשלתי. לפיכך נדרש המשרד להקים סט בקרות חדשות שקודם לא היה בהם צורך. בשל כך המשיך המשרד להגנת הסביבה בתהליך סדור של עמידה בתקני אבטחת המידע ובדגש על תקן ISO 27017 העוסק באבטחת מידע וניהול סיכוני אבטחת מידע בסביבת מחשוב ענן.

לדברי מתי מגירא, מנהל תחום בכיר אבטחת מידע והגנת סייבר “בשנת 2023 המשרד להגנת הסביבה עבר לסביבת ענן באופן מלא. מעבר זה הצריך לבצע התאמות לבקרות בסביבת הענן, עפ״י ״תקן ISO27017 – טכניקות אבטחת מידע בענן״. ביוני 2024 המשרד להגנת הסביבה הוסמך לתקן ISO27017 ע״י מכון התקנים הישראלי.

בנוסף, בשל התגברות ניסיונות תקיפות סייבר על מוסדות ישראליים, המשרד להגנת הסביבה ראה צורך לשפר את הבקרות של המשרד ומערך התגובה לאירועי אבטחת מידע וסייבר.

עמידה בדרישות ״תקן ISO27035 – ניהול אירועי אבטחת מידע וסייבר״, מרחיבות את יכולות התמודדות המשרד עם אירועי אבטחת מידע וסייבר. ביוני 2024 המשרד להגנת הסביבה הוסמך לתקן ISO27035 ע״י מכון התקנים הישראלי.

עמידה בדרישות התקנים הנ״ל, מאפשר למשרד להגנת הסביבה הגנה טובה על המידע הרגיש של המשרד ויכולת רציפות תפקודית והמשכיות עסקית של המשרד”.

לדברי רז לרנר, מנהל הפעילות של חברת 2Bsecure במשרד להגנת הסביבה “המשרד להגנת הסביבה הינו המשרד הממשלתי הראשון שעבר באופן מלא לענן נימבוס, עוד לפני המעבר זיהינו פערים בהתמודדות עם הגנה על מידע רגיש של המשרד ואופן ניהול אירועי אבטחת מידע. ידיעה זו גרמה למשרד לאמץ תקנים בינלאומיים הנותנים מענה לסגירת הפערים באמצעות בקרות ייעודיות”.

בטקס השתתפו מנכ”ל המשרד להגנת אסף יזדי, מנהל תחום בכיר אבטחת מידע והגנת סייבר מתי מגירא, מנהל אגף בכיר טכנולוגיות דיגיטליות ומידע, ארז אביטל, מנכ״ל מכון התקנים הישראלי ד”ר גלעד גולוב, אביטל וינברג, סמנכ”ל גוף ההתעדה, אגף איכות והסמכה במכון התקנים, רז לרנר – מנהל לקוח של 2BSecure במשרד להגנת הסביבה ועוד.

הנתונים, המידע, הדעות והתחזיות המתפרסמות באתר זה מסופקים כשרות לגולשים. אין לראות בהם המלצה או תחליף לשיקול דעתו העצמאי של הקורא, או הצעה או שיווק השקעות או ייעוץ השקעות – בין באופן כללי ובין בהתחשב בנתונים ובצרכים המיוחדים של כל קורא – לרכישה ו/או ביצוע השקעות ו/או פעולות או עסקאות כלשהן. במידע עלולות ליפול טעויות ועשויים לחול בו שינויי שוק ושינויים אחרים. כמו כן עלולות להתגלות סטיות בין התחזיות המובאות בסקירה זו לתוצאות בפועל. לכותב עשוי להיות עניין אישי במאמר זה, לרבות החזקה ו/או ביצוע עסקה עבור עצמו ו/או עבור אחרים בניירות ערך ו/או במוצרים פיננסיים אחרים הנזכרים במסמך זה. הכותב עשוי להימצא בניגוד עניינים. בלומר אינה מתחייבת להודיע לקוראים בדרך כלשהי על שינויים כאמור, מראש או בדיעבד. בלומר לא תהיה אחראית בכל צורה שהיא לנזק או הפסד שיגרמו משימוש במאמר/ראיון זה, אם יגרמו, ואינה מתחייבת כי שימוש במידע זה עשוי ליצור רווחים בידי המשתמש.