תינוגראה הנגהה תרות הציחל קחרמב תיעוצקמ...
TRANSCRIPT
תורת ההגנה הארגוניתמתודה מקצועית במרחק לחיצה
ס"בלממשרד ראש הממשלה
מערך הסייבר הלאומי
2017
1995
1981
חוק הגנת
הפרטיות
תקנות הגנת הפרטיות
חוק המחשבים
ס"בלממשרד ראש הממשלה
ובינתיים בעולםמערך הסייבר הלאומי
20132008
2007
2005
ISO 27001
2009
ISO 27002
ISO 27006
ISO 27005
ISO 27799
ISO 27000
ISO 27003
ISO 27004
ISO 27033
ISO 27007
ISO 27008
ISO 27031
ISO 27034
ISO 27035
2010
2012
ISO 27010
ISO 27032
ISO 27033-2
ISO 27001
ISO 27002
ISO 27014
ISO 27019
2015/6
ISO ,27006 ISO 27010
ISO 27013, ISO 27017
ISO 27023, ISO 2739
ISO 27040, ISO 27041
ISO 27042, ISO 27043
ס"בלממשרד ראש הממשלה
מערך הסייבר הלאומי
תורת ההגנה הארגונית
מגדלור למשק
ס"בלממשרד ראש הממשלה
עקרונות תורת ההגנהמערך הסייבר הלאומי
הגנה על הארגון
מורכבת משלושה
נדבכים עיקריים
3 P’sהיתרון בהיותנו
קטנים
ידע וניסיון מקומיתוכנית עבודה
ארגונית אפקטיבית
חייבת להישען על
הערכת סיכונים
טובה
מידתיותההגנה על הארגון
הינה באחריות של
הנהלת הארגון
אחריות הנהלה
ס"בלממשרד ראש הממשלה
מערך הסייבר הלאומי
ס"בלממשרד ראש הממשלה
מערך הסייבר הלאומי
8
פיתחנו עבור
המשק את
השריון הכי טוב
9
רק , הוא יסייע
אם תשתמשו בו
10
11
12
במספרים2018שנת
16Best
Practices3 מסמכי
הרחבה
אות"דפ11עזרים14
תבניות 3
סקרים
תאימות 8
לתקנים
13
תוצרים עיקריים -2018
מערכת למיכון תורת
ההגנה
עזרים למימוש תורת ההגנה
תאימות לתקניםבניית מערכי הדרכה ומבחנים
אות"דפמול תוהג
מימוש תורת ההגנה
בשלבים
מסמכים משלימים
(BP+ הרחבות )
14
תאימות לתקנים ורגולציות
357ת.ב.נ361ת.ב.נ
ISO 27017ISO 27018ISO 27032
(רשות שוק ההון)טכנולוגיות מידע ניהול סיכוני
GDPRתקנות הגנת הפרטיות
15
פיתוח עזרים
SMBעשרת הדברות עבור נספח להחתמת ספק
המלצות סייבר
לדרג הנהלההדרכת עובד
חדש
טופס ניהול
אירוע
מבנה מחלקת ג"תוהמבחן
סייבר בארגון
KPI’s
עבור מערכות קליסט'צ
SCADA
קיט נהלים
מבחן ידע לעובדיםמסמך מדיניות לדוגמא
ביקורות ספקיםהנגשת
16
הרחבה מקצועית
הגנה ארגונית
במצבי חירום
תורת ההגנה בעיני
CISO-ה
הגנה על שרשרת
האספקה
Scadaביצוע סקר סיכוני
17
Best practices
NAC מיינפרייםהקשחת
הקשחת שרת
אפליקציההקשחת שרת
DB
הקשחת
קצהעמדת
הפרדת
סביבות בענן
Secure SSL VPN
מרחוקחיבוריות
הקשחת
דפדפנים
ERPהקשחת MDM
Building the right
secure environment
DBשינוי נתונים ב
WAF עבודה בקוד
פתוח
18
וראיית התוקףא"דפהתפשטות וירוס
ברשת
האזנה לתעבורת רשת
חדירה לארגון
דרך תשתיות
המייל
השתלטות על
תחנות קצה
ושרתים
באמצעות גלישה
השתלטות על
משאבים חיצוניים
תשתיתיים
זיוף זהויות במערכות
הזדהות
השחתת אתר
לאתר DDOSל"למכחואות"דפבנק
MITRE VS CKCאיום פנימי
19
כיצד להשפיע על התוצרים
קבוצת בשלב הייזום
בקרה/מיקוד
התייחסות
לטיוטה
פרסוםלאחר
VV'תאימות לתקן א
V'בתאימות לתקן
VV'אא"דפ
V'בא"דפ
V'גא"דפ
הרחבה
'מקצועית א
VV
הרחבה
'מקצועית ב
V
20
?מה לדרוש מהספק
להגדרת מתודה מוסכמת לא קיימת
הדרישות מספקי השירות והמוצרים
המצב הנוכחי מייצר מציאות לפיה
הארגונים לא מצליחים לנהל את
, תהליך ההנחיה והבקרה ומאידך
הספקים נדרשים לעמוד בדרישות
רבות אשר משיתות עליהן עול כלכלי
ובזבוז זמן ומשאבים
משאביםאיגום
קושי לעבוד מול מאות ואלפי ספקים קיים
(ניתוח, תמיכה, הפצה, דרישות)
כפילות של מענה על שאלונים –אפקטיביות הבקרה
עודפות הן לספק והן ללקוחתקורותזהים מייצרת
אתגרים במצב הקיים
21
מיכון התוצרים לפלטפורמה אינטגרטיבית
רמת הגנה+ מיפוי נכסים
אות"דפחוסן מול תאימות לתקניםDDOS
RANSOMDefacemen
t
DB
APP
WEB
R&D
WIFI
גישה
מרחוק
SCMAPP
DB