דברו איתנו

ניהול סיכונים – ספקים חיצוניים

ניהול סיכונים של ספקים חיצוניים (TPRM) בארגון

ניהול סיכונים של ספקים חיצוניים (Third-Party Risk Management – TPRM) הוא תהליך קריטי שנועד להבטיח שהספקים עומדים בדרישות האבטחה והרגולציה, וכן במטרות העסקיות של הארגון.

בעולם בו ארגונים מגינים על עצמם ומשקיעים משאבים רבים, שרשרת האספקה הינה שיטת התקפה מועדפת על האקרים.

בשל כך ארגונים רבים נדרשים לסיווג סיכון הספקים שלהם, בדרך חשיבה שלא הורגלנו אליה – לאחר ביצוע תהליך גילוי ספקים עם שירותים מנוהלים המתמחים בתחום ה TPRM, יגלה הארגון כי כמות הכספים למעקב גדולה.

לכן, נכון לבחון שימוש בשירות מנוהל אשר יכסה את כלל השלבים עם כוח אדם מיומן.

גילוי הספקים, התאמת שאלונים ובחינה ספקים פיזית (היכן שנדרש), הבנת ציון הסיכון של הספק אל מול הארגון שמסר לו מידע, מעקב אחר תוכנית עבודה של הספקים לטיפול בממצאים ומתן ייעוץ נקודתי לספקים אלו – בנוגע ליעילות תוכנית העבודה.

 

האחריות לניהול סיכונים של ספקים חיצוניים מוטלת בדרך כלל על מספר גורמים בארגון

1.      מנהלי אבטחת מידע  (CISO – Chief Information Security Officer) – אחראים על קביעת מדיניות האבטחה ויישומה.

2.      מחלקת רכש – אחראית על התקשרות עם ספקים וניהול חוזים.

3.      מחלקת ניהול סיכונים – עוסקת בניתוח והערכת הסיכונים שמציבים הספקים.

4.      מחלקת IT  – אחראית על היבטים טכניים של אינטגרציה עם מערכות הארגון.

 

מה צריך לדרוש מהספקים

·         עמידה בתקני אבטחת מידע ו \ או דרישות רגולטוריות כגון HIPAA, ISO27001, GDPR, PCI, DSS, חוק הגנת הפרטיות (בהתאם) + מסמך הצהרה על עמידה בהנ"ל.

·         נהלים ברורים לניהול אירועי אבטחה ודיווח עליהם.

·         מחויבות להדרכות והכשרות מתמשכות בתחום האבטחה.

·         ניתן לחייב עמידה ברמת הכשר בטחוני (סיווג) דרך שב"כ \ מכון מבדק מידות ואמון.

·         תוכניות להמשכיות עסקית ושיקום מאסון.

 

 דרישות סף – היבט עסקי ופלילי

·         על הספק להיות אחראי לכל נזק ישיר או עקיף שיגרם לארגון בעקבות אי עמידה בדרישות האבטחה.

·         התחייבות לעמידה בהיבטים פליליים, כולל אחריות פלילית במקרה של הפרות אבטחה חמורות.

 

על מה להחתים אותם?

·         הסכם סודיות (NDA).

·         חוזה הכולל סעיפים של אבטחת מידע והגנה על נתונים.

·         סעיפי אחריות ונזקים המגדירים את האחריות של הספק לנזקים ישירים ועקיפים.

 

נספח אבטחת מידע בחוזה יכלול את הסעיפים הבאים

1.      דרישות אבטחה פירוט של מדיניות האבטחה, נהלים ותקנים שהספק מחויב לעמוד בהם.

2.      בדיקות אבטחה התחייבות לביצוע בדיקות תקופתיות, כולל בדיקות חדירה (Penetration Testing) וביקורות אבטחה.

3.      ניהול אירועים תהליך ונהלים לניהול אירועי אבטחה, כולל דיווח ושיקום.

4.      הדרכה והסמכה דרישה להכשרות והסמכות תקופתיות לעובדי הספק בתחום האבטחה.

5.      סודיות והגנה על נתונים התחייבות לשמירה על סודיות הנתונים ואמצעים להגנה עליהם.

 

ביצוע בדיקות תקופתיות לספקים.

חשוב להבטיח עמידה מתמשכת בדרישות האבטחה והרגולציה.

  • בדיקות ראשוניות בעת התקשרות ראשונה עם הספק.
  • בדיקות שוטפות לפחות פעם בשנה לארגון וכל 6 חודשים לאתר \ מערכת.
  • בדיקות יזומות בעת שינוי מהותי בשירותים הניתנים או במקרה של אירוע אבטחה.

 

יש לנהל רשימת ספקים בקובץ שיכלול את העמודות

  1. שם חברה שם הספק.
  2. אנשי קשר פרטי אנשי הקשר אצל הספק.
  3. תאריך התקשרות מועד תחילת ההתקשרות עם הספק.
  4. תקן אבטחה התקנים בהם עומד הספק.
  5. תחום פעילות תחום השירותים הניתנים על ידי הספק.
  6. תדירות בדיקות תדירות הבדיקות המתבצעות לספק.

 

חיבור ספקים מרחוק

  • יש להשתמש בתוכנות VPN מאובטחות \ חיבור ייעודי \ חיבור מוצפן \ חיבור מוקלט ומתועד \ לחיבור ספקים מרחוק (או לחילופין לחייב לעבוד מאתר הלקוח).
  • כל חיבור מרחוק יאושר בכתב על ידי המזמין.
  • ניתן להשתמש בתוכנות כמו Cisco AnyConnect, Fortinet או OpenVPN.
  • יש להגדיר גישה רק למערכות הנחוצות בלבד ולמנוע גישה למערכות רגישות או מסווגות ובכלל חיבור זה יוגדר בזמן חיבור.
  • מומלץ להשתמש באימות רב-שלבי (MFA) ובקרת גישה מבוססת תפקידים (RBAC).
  • בדיקת המשתמשים המאושרים לחיבור – בדיקה ראשונית כוללת ובדיקה תקופתית לוודא חיבורים ושימוש מאושר בלבד.

  

ניהול סיכונים של ספקים חיצוניים הוא תהליך קריטי להבטחת אבטחת המידע והעמידה ברגולציה בארגון. יש להגדיר נהלים ברורים, לבצע בדיקות תקופתיות ולוודא שהספקים עומדים בדרישות האבטחה והרגולציה. ניהול נכון של תהליך זה יאפשר לארגון ליהנות מהשירותים החיצוניים תוך הפחתת סיכוני האבטחה וההיבטים הפליליים הנלווים.

 

————– 

נספח פרטיות ואבטחת מידע – דוגמה

נספח זה (להלן "הנספח"), הוא חלק מהסכם שנחתם ביום ____________

מכח מכרז מספר ________ – שם המכרז __________, במקום מתן השירות (להלן "ההסכם"), בין XXX (להלן "המשרד") לבין ___________________________ (להלן "הספק"), ומהווה חלק בלתי נפרד ממנו. כל המונחים שלא הוגדרו בנספח זה, תהא פרשנותם בהתאם להוראות ההסכם.

 

הגדרות

אבטחת מידע – הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכול ללא רשות כדין.

אירוע אבטחה – אירוע שנעשה בו שימוש במאגר, בלא הרשאה או בחריגה מהרשאה, או שנעשתה פגיעה בשלמות המידע שכלול במאגר או בחלקו.

אירוע אבטחה חמור – כהגדרתו בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.

בעל מאגר מידע – הגוף שמנהל את מאגר המידע, ומשתמש בו לצורך מטרות עסקיות (להלן "XXX" הינו בעל מאגר המידע).

דיני הגנת הפרטיות – כל הוראה וכלל החלים מכוח חוק הגנת הפרטיות, תקנות אבטחת מידע, הנחיות הרשות להגנת הפרטיות, הנחיות המשרד ומכוח כל דין.

הנחיית קצין אבטחת מידע מוסמך – הנחיות או הוראות מחייבות אשר ניתנו על ידי קצין מוסמך, כהגדרתו בחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח,1998- למשרד ו/או לספק.

מאגר מידע – בהתאם להגדרתו בסעיף 7 לחוק.

מחזיק מאגר מידע – גוף שמחזיק (מאחסן ומעבד), דרך קבע, במאגר המידע, בשמו של בעל מאגר המידע, מסייע לבעל מאגר המידע לעבד את המידע, או שמספק לבעל המאגר שירותים נלווים נוספים שקשורים בעיבוד מאגר המידע שבחזקתו.

חוק הגנת הפרטיות – חוק הגנת הפרטיות, התשמ"א – 1981 (להלן: "החוק" או "חוק הגנת הפרטיות").

מידע אישי – "מידע" ו"מידע רגיש" כהגדרתם בחוק הגנת הפרטיות, התשמ"א,1981-.

מידע של המשרד – כל המידע שהועבר ו/או יועבר לספק, מהמשרד או מי מטעמו, מידע שניתן לספק גישה אליו לצורך מתן השירות, לרבות מידע אישי ממאגרי המידע של XXX, מידע אישי שהספק יעבד כחלק ממתן השירותים למשרד או מידע שהגיע לספק במסגרת מתן השירותים מכל גורם אחר.

נושא המידע – אדם שהמידע האישי נאסף, מאוחסן ונעבד אודותיו.

עיבוד – כל פעולה המבוצעת על מידע של המשרד, לרבות אחסון, שמירה, העברה, מתן גישה, תיקון והעתקה.

תקנות אבטחת מידע – תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.

תקנים ורגולציות בינלאומיים – כולל אך לא מוגבל לתקני ISO/IEC 27001, GDPR, NIST, SOC 2.

 

הצהרות והתחייבויות הספק

עמידה בתקנים ורגולציות:

הספק מתחייב לעמוד בכל התקנים והרגולציות הבינלאומיים הרלוונטיים, כולל תקני ISO/IEC 27001 לניהול אבטחת מידע, תקנות GDPR להגנת הפרטיות באירופה, ותקני NIST האמריקאיים.

הספק מתחייב לבצע ביקורות תקופתיות להבטחת עמידה בתקנים אלו.

 

ניהול סיכונים:

הספק ינהל סיכונים באופן שוטף תוך שימוש במתודולוגיות העדכניות ביותר, כגון מתודולוגיות ניהול סיכונים של NIST ו-ISO 31000.

הספק ידווח למשרד על כל סיכון מהותי שנמצא במהלך ניהול הסיכונים.

 

מניעה והתמודדות עם אירועי אבטחה:

הספק יקים תכנית מניעה והתמודדות עם אירועי אבטחה, שתכלול תרחישים אפשריים וצעדי תגובה מפורטים.

הספק יפעל מיידית למניעת המשך אירוע אבטחה וידווח על כך למשרד ללא דיחוי.

 

הדרכות ומודעות:

הספק ינהל תכנית הדרכה למודעות לאבטחת מידע עבור כל עובדיו.

הספק ידאג לקיום הדרכות שוטפות ומעודכנות בנושא הסיכונים העדכניים בתחום הסייבר ואבטחת המידע ע"י איש מקצוע בתחום הסייבר.

 

מדיניות אבטחת מידע:

הספק ינהל ויתחזק מדיניות אבטחת מידע מעודכנת שתאושר על ידי הנהלת החברה.

המדיניות תכלול נהלים מפורטים לטיפול במידע אישי, נהלים לניהול גישה, ונהלים לתגובה לאירועי אבטחה.

הספק ירכוש שירות ניטור דלף מידע ברשת וב Darknet.

 

ניהול גישה:

הספק יתחזק מערכת ניהול גישה מבוקרת ומפוקחת.

הספק ידאג כי רק עובדים מורשים יקבלו גישה למידע רגיש בהתאם לצורכי תפקידם.

 

שמירה והגנה על מידע:

הספק יתחזק מערכות הגנה מתקדמות כנגד חדירות וניסיונות פריצה.

הספק ישתמש בטכנולוגיות הצפנה לאחסון והעברת מידע רגיש.

 

 

חתימות

 

חתימת הספק______________________________

 

חתימת המשרד______________________________

 

העדכונים כוללים שילוב תקנים ורגולציות בינלאומיים כמו ISO/IEC 27001, GDPR, ו-NIST, לצד מתודולוגיות ניהול סיכונים עדכניות לשנת 2024.

הנספח מספק תיאור ברור ומפורט של התחייבויות הספק במניעה והתמודדות עם סיכונים ואירועי אבטחה, ניהול מדיניות אבטחת מידע והדרכות לעובדים.

 

 

 

——

נכתב על ידי: רז זדה, תום מלכה ואושר עשור.

תוספות, שיפורים ודקדוק: קובי אלמליח.

ILCD – Israel Cyber Defense
אתר להגנת סייבר אזרחי