אסדרת ספקים בשרשרת האספקה
במסגרת קידום האסדרה הלאומית והובלה ממשלתית בהגנת הסייבר על פי החלטת ממשלה 2443 , מערך הסייבר הלאומי קבע סטנדרט אחיד לצורך אסדרת ספקים בשרשרת האספקה בהיבטי אבטחת מידע. עד היום, על גוף ציבורי (משרדי ממשלה ויחידות הסמך) רכשו שירותים שונים וכל גוף קבע לעצמו אמות מידה לדרישות אבטחת מידע מספקיו. יתרה מכך, אותו ספק יכול לספק את אותו השירות לגופים שונים ודרישות רמת האבטחה מכל גוף היו שונות ולא אחידות.
אסדרת ספקים - המשמעות
ארגונים יוכלו באופן וולונטארי (התנדבותי) לבצע מרצונם החופשי את המבדק אולם האחריות הראשונית להגדרת ספק מהותי חלה על הגוף שמבקש לקבל שירות במיקור חוץ מספק ודורש מספקיו לעמוד באסדרת ספקים זו. במקרים מסויימים הרגולטור יוכל להחליט על ספקים מסויימים לעמוד בדרישות אלו כדרישת סף להתקשרות.
המוטיבציה של ספקים לעמוד בדרישות אלה באופן וולונטרי תהיה בעיקר על בסיס עסקי-אסטרטגי. ספק הנותן שירותים למספר גופים מוצא עצמו מספק דין וחשבון לאותם גופים, לכל אחד בנפרד, ועל כן נדרש לעמוד במבדקים רבים של לקוחותיו. ספק שיעמוד בדרישות אלה יוכל לחסוך לעצמו משאבים רבים של עיסוק במתן דין וחשבון בתחום אבטחת מידע והתעדה זו תספק כאחת את כלל הגופים.
המתודולוגיה זהה מאוד לדרישות תקן אבטחת מידע המוכר, ISO 27001, אולם ההבדל העקרי הינו ברמת בקרת הסף הנדרשת לשם עמידה באסדרה זו. במהלך המבדק על הסוקר לאסוף ולתעד באופן מפורש ממצאים ולא להסתפק במענה שבעל-פה. הסוקר מגיש את כלל הממצאים לגוף התעדה Certification Body אשר יספק לספקים את התעודה וימשיך לבצע סקרי מעקב על אותם ספקים.
שאלון הבקרות זמין לכלל הציבור באתר מערך הסייבר הלאומי.
• מתודולוגיה סדורה המכילה 90 בקרות בארבעה פרקים:
1. דרישות רוחביות
ממשל תאגידי
מדיניות ונהלים
משאבי אנוש
אבטחה פיזית
הגנה על מידע בתנועה
מניעת דלף מידע
בקרת גישה
הגנה על עמדות קצה ושרתים
הגנה היקפית
ניטור ובקרה
גיבויים ושחזורים
ניהול אירועים
2. גישה מרחוק
3. פיתוח תוכנה – פיתוח מאובטח
4. אחסון מידע בענן.
• מערכת יוב"ל (יעדים ובקרות לארגון) מאפשרת לארגונים לא מהותיים לדווח באופן עצמאי את הבקרות.
• מאגר בודקים מוסמכים – רשימה של בודקים שעמדו בהצלחה בבחינות הסיום לקורס בודקי תאימות סייבר לשרשרת אספקה ארגונית, ורשאים לבצע בדיקת תאימות סייבר לספקים במשק על מנת לוודא עמידתם במתודה של מערך הסייבר הלאומי לשרשרת אספקה ארגונית.
• מאגר ספקים מאושרים – אלו ספקים שעמדו בדרישות המבדק, שבוצע על ידי בודק מוסמך ויהיו חשופים, על בסיס הסכמה מרצון, לציבור הרחב.
בקומסק עובדים יועצים שעברו הסמכה זו ורשומים באתר המוזכר כבודקים מאושרים לביצוע מבדק בארגון לתאימות שרשרת האספקה. לבודקים שלנו יש ניסיון רב בתחום אבטחת המידע, לרבות תקן אבטחת מידע ISO 27001 וכל משפחת התקנים 27K, וכן ניסיון בביצוע סקרי מוכנות למבדק אבטחת מידע, ל SOC 2 ו UKGC.
