1. No category

‫אי‪Ar-‬‬
‫ע'י‬
‫‪.‬‬
‫" תתיאנ ‪ ,‬נ ‪ -‬גו‬
‫מגקרהע ‪ ,‬רי ‪ ,‬ה‬
‫א‬
‫אבטחת מידע‬
‫כללי‬
‫‪.1‬‬
‫דוח זה הוא דוח מעקב אחר יישום החלטות שהתקבלו בדו " ח ביקורתי מס '‬
‫שעסק בנושא אבטחת מידע ( להלן דו " ח ביקורת‬
‫‪735‬‬
‫לשנת ‪2006‬‬
‫‪. ) 2006‬‬
‫מטרת הביקורתל‬
‫א‪.‬‬
‫מעקב יישום החלטות שהתקבלו על סמך דו " ח הביקורת שנערך בשנים ‪; 2006 / 7‬‬
‫ב‪.‬‬
‫בדיקה מעמיקה של יחידת אבטחת המידע ‪ -‬תכניותי משימותי סמכויותי שיטת ביצועי‬
‫בקרה וכו ' ;‬
‫ג‪.‬‬
‫ביקורת על פעילות הערכת סיכונים ;‬
‫ד‪.‬‬
‫ביקורת על תחקור אירועי אבטחת מידע ‪ -‬שיטות ויישומים ;‬
‫ה‪.‬‬
‫בדיקת אופן תיעוד נהלי סיווג מידע ואבטחתו ;‬
‫ו‪.‬‬
‫תיעוד מערכות קיימות ‪ -‬חומרותי תוכנותי גיבויים‬
‫וכו ' ‪.‬‬
‫איסוף הממצאים לדוח הביקורת כללל עיון בנתונים ומסמכים שונים‪ 7‬ראיונות עם בעלי תפקידים‬
‫באגף‬
‫‪.4‬‬
‫המחשוב ‪.‬‬
‫איסוף הממצאים לדוח הביקורת בוצע במהלך שנת ‪. 2011‬‬
‫ממצאים‬
‫העלאת נושא אבטחת מידע בסדר הקדימויות הארגוני‬
‫בדיון שהתקיים בנושא בחודש אפריל‬
‫‪72007‬‬
‫קבע מנכ " ל העירייה כי " אבמחת‬
‫מערכות מידע הוא נושא‬
‫בעל חשיבות עליונה ויש להעלות את רמת הקדימות שלו בסדר העדיפויות העירוני " לצורך בחינת יישום‬
‫‪7‬‬
‫המלצה זו מדו " ח‬
‫באבטחת‬
‫מידע ‪.‬‬
‫קו‪707‬‬
‫הביקורת בחנה את היקף התקציב שהוקצה לאבטחת מידע ואת היקף כ " א העוסק‬
‫אי‪Ar-‬‬
‫ע 'י‬
‫"ת ת‬
‫מנקי‬
‫אג ' ‪ ' - 1‬גו‬
‫‪,‬‬
‫הע ‪ " 1‬ה‬
‫~‬
‫*‬
‫תקצוב אבטחת מידע‬
‫‪.5‬‬
‫על פי דו " ח אבטחת מערכות מידעי מס '‬
‫היווה בשנת‬
‫‪72006‬‬
‫כ‬
‫‪1 . 8%‬‬
‫‪735‬‬
‫לשנת‬
‫‪72006‬‬
‫התקציב הישיר לצורך אבטחת מידע‬
‫מהתקציב הכולל של האגף לאותה שנה ‪ .‬המלצת הביקורת היתה כי‬
‫יש להפריד בין תקציב אבטחת מידע לבין התקציב הכולל של האגף ‪ .‬ממידע שנמסר לביקורת על‬
‫ידי בוחן תקציבים באגף תקציבים וכלכלה בתאריך ‪ 13 . 6 . 11‬עולה כי במסגרת התקציב השוטף‬
‫והתקציב הבלתי רגיל נקבעו סעיפי תקציב ייעודיים לאבטחת מידעי כדלקמן‬
‫(‬
‫במסגרת התקציב הרגיל לשנת ‪) 2010‬‬
‫סעיף התקציב‬
‫פירוט‬
‫תקציב מקורי‬
‫תקציב מעודכן‬
‫‪01 - 99341 - 751 - 2‬‬
‫" אבטחת מידע "‬
‫‪5607000‬‬
‫‪8167000‬‬
‫הסעיף הנ " ל מיועד להעסקת נש " מים ויועצים בתחום‬
‫זה ‪.‬‬
‫סעיף התקציב‬
‫פירוט‬
‫תקציב מקורי‬
‫תקציב מעודכן‬
‫[ ‪01 - 99328 - 754 -‬‬
‫" אבטחת מידע "‬
‫‪3507000‬‬
‫‪3507000‬‬
‫הסעיף הנ " ל מיועד בעיקר להעסקת נש " מים ויועצים בתחום זה במסגרת פרויקט‬
‫ג‪.‬‬
‫המחו " ג ‪.‬‬
‫בנוסף כלל התקציב הקצבה לנושא שכירות ואחזקת תוכנה בשנה זו ( סעיף‬
‫‪ ) 99331782‬י על פי הפירוט להלן‬
‫‪01 -‬‬
‫(‬
‫אומדן להוצאה בשנה " ע ‪2010‬‬
‫שם החברה‬
‫נושא ‪ /‬ציוד‬
‫סו בי סקיור‬
‫‪FIREWALL‬‬
‫‪237000‬‬
‫משרד המשפטים‬
‫אגרה לבעלי מאגרי מידע‬
‫‪57000‬‬
‫מכון התקנים הישראלי‬
‫תקליטור א " מ‬
‫‪17000‬‬
‫טו בי סקיור‬
‫‪ESAFE‬‬
‫‪897000‬‬
‫( בש " ח כולל מעם )‬
‫כמו כן כלל התקציב הקצבה לנושא שכירות ואחזקת ציוד בשנה זו ( סעיף‬
‫‪ ) 99331783‬י על פי הפירוט להלן‬
‫‪01 -‬‬
‫(‬
‫אומדן‬
‫להוצאה בשנה " ע ‪2010‬‬
‫שם החברה‬
‫נושא ‪ /‬ציוד‬
‫טו בי סקיור‬
‫קופסא לא " מ‬
‫‪237000‬‬
‫טו בי סקיור‬
‫קופסת פרוטגריטי לא " מ‬
‫‪267000‬‬
‫טו בי סקיור‬
‫צ ' קפוינט אדג ' ‪16‬‬
‫‪17000‬‬
‫( בש " ח כולל מעמ )‬
‫אי‪Ar-‬‬
‫ע ' י " תתיא‬
‫ה‪.‬‬
‫‪.‬‬
‫מגקרהע ‪ ,‬רי ‪ ,‬ה‬
‫‪ ,‬נ ‪ -‬גו‬
‫א‬
‫~‬
‫במסגרת התקציב הרגיל מתוקצבים עובדי‬
‫עירייה ‪.‬‬
‫‪1‬‬
‫עלות עובדי אחזקת מידעי כפי שהיא‬
‫מופיעה בספר התקציבי נכללת בעלות השכר הכולל של ענף‬
‫ארכיטקטורה ‪.‬‬
‫במסגרת התקציב הבלתי רגיל לשנת ‪) 2010‬‬
‫סעיף התקציב‬
‫פירוט‬
‫מקורי‬
‫תוספת בשנת ‪2010‬‬
‫‪02 - 009312 - 200 - 3‬‬
‫" אבטחת מידע "‬
‫‪1457921‬‬
‫‪7557000‬‬
‫הסעיף הנ " ל מיועד לרכישת חומרה‪ 7‬תוכנה ולהעסקת יועצים לפיתוח בתחום‬
‫כמו‬
‫כן‪7‬‬
‫במסגרת סעיף תקציב בלתי רגיל‬
‫‪702 - 009316 - 220 - 5‬‬
‫זה ‪.‬‬
‫המיועד לפיתוח‬
‫המחו " ג‪7‬‬
‫נכלל‬
‫סכום כספי שיועד למימון אבטחת מידע בפרויקט זה ‪ .‬רכזת פיקוח תב " ר מסרה לביקורת כי בשנת‬
‫‪ 2010‬הוצא מתוך תב " ר שת " פ ארנונה סכום של‬
‫לטובת פיתוחים בנושאי אבטחת‬
‫‪ 6977325‬נ‬
‫~‬
‫מידע בפרויקט‬
‫מחו " ג ‪.‬‬
‫הביקורת בחנה את סעיפי התקציב לתקופה ( ‪ 2011 - 2008‬להלן עיקרי הממצאים‬
‫(‬
‫אגף מחשוב ומערכות מידע ( פרק מס ' ‪ 993‬בהצעת התקציב הרגיל)‬
‫שנה‬
‫תקציב מתוכנן‬
‫אחוז הגידול בכל שנה ביחס לשנה קודמת‬
‫‪2008‬‬
‫‪6578807000‬‬
‫‪2009‬‬
‫‪7278007000‬‬
‫‪10 . 50 %‬‬
‫‪2010‬‬
‫‪8672707000‬‬
‫‪18 . 50 %‬‬
‫‪2011‬‬
‫‪9472907000‬‬
‫‪9 . 29 %‬‬
‫ענף ארכיטקטורה באגף מיחשוב ומערכות מידע ( פרק מס ' ‪ 9934‬בתקציב הרגיל)‬
‫י‬
‫אחוז הגידול בכל שנה ביחס לשנה קודמת‬
‫שנה‬
‫תקציב מקורי‬
‫‪2008‬‬
‫‪000‬‬
‫‪2009‬‬
‫‪87870 000‬‬
‫‪4 . 10 %‬‬
‫‪2010‬‬
‫‪97550 000‬‬
‫‪7 . 66 %‬‬
‫‪2011‬‬
‫‪107998 000‬‬
‫‪15 . 16 %‬‬
‫‪87520‬‬
‫לביקורת לא נמסרו נתונים לגבי עלות המשכורת הכוללת של עובדי אבטחת מידע בין השנים ‪. 2008 - 2011‬‬
‫‪4‬ר~וש‬
‫ש‬
‫*‬
‫‪44‬‬
‫ע ' ר " ת תל‬
‫אשב ‪ -‬יפי‬
‫מבקר העירייה‬
‫*‬
‫לסך‬
‫~‬
‫ב‪.‬‬
‫אבטחת מידע בסעיף ארכיטקטורה ( פרק מס ' ‪ 751 - 2‬בתקציב הרגיל)‬
‫תקציב מקורי‬
‫שנה‬
‫)‬
‫(‪2‬‬
‫אחוז הגידול בכל שנה ביחס‬
‫לשנה קודמת‬
‫‬‫‪2008‬‬
‫‪6577000‬‬
‫‪2009‬‬
‫‪6657000‬‬
‫‪2010‬‬
‫‪5607000‬‬
‫‪- 15 . 79 %‬‬
‫‪2011‬‬
‫‪9807000‬‬
‫‪75 %‬‬
‫‪1 . 2%‬‬
‫אבטחת מידע בסעיף מערכת חיוב וגביה ( פרק מס ' ‪ 754 - 1‬בתקציב הרגיל)‬
‫‪2008‬‬
‫תקציב מקורי‬
‫סעיף לא קיים בתקציב‬
‫שנה‬
‫‪2009‬‬
‫סעיף לא קיים בתקציב‬
‫‪2010‬‬
‫‪3507000‬‬
‫‪2011‬‬
‫‪5307000‬‬
‫אחוז הגידול בכל שנה ביחס לשנה קודמת‬
‫‪51 . 42 %‬‬
‫כח אדם ביחידת אבטחת מידע‬
‫על פי נתוני דו " ח מס '‬
‫בנושא אבטחת מידע משנת‬
‫‪735‬‬
‫‪72006‬‬
‫ליחידת אבטחת מידע נקבעו שישה תקני‬
‫כ " א שאוישו על ידי חמישה עובדים קבועים ויועץ חיצוני ‪ .‬בשנת ‪ 2010‬נוספו ליחידה ‪ 3‬עובדים‪ 7‬אחד‬
‫מהם פועל בפרויקט המחו " ג‬
‫בלבד ‪.‬‬
‫כמו כןי על פי מידע שנמסר לביקורת על ידי מנהל יחידת אבטחת מידע בתאריך ‪ 729 . 6 . 11‬נוספו כ ‪500 -‬‬
‫שעות עבור עבודת יועצים‬
‫חיצוניים ‪.‬‬
‫ממידע שנמסר על ידי מנהל אבטחת מידע נמצא כי נכון לחודש יולי‬
‫גידול בהיקפי העבודה של אבטחת מידעי להלן‬
‫‪72011‬‬
‫בהשוואה לשנת ‪ 2010‬חל‬
‫(‬
‫נתונים השוואתיים‬
‫‪2010‬‬
‫עד יולי ‪2011‬‬
‫שיעור גידול‬
‫מספר קריאות שטופלו ע " י אבטחת מידע‬
‫‪698‬‬
‫‪776‬‬
‫‪11 %‬‬
‫כמות פניות בדוא " ל‬
‫‪5712‬‬
‫טפסים ) ‪ BPM‬בלבד )‬
‫‪1897‬‬
‫רכיבים מכוסים ב ‪AV‬‬
‫‪37810‬‬
‫חיבורי ‪ OWA‬בו זמנית‬
‫‪4515‬‬
‫‪19 %‬‬
‫כ ‪ 500 -‬ליום‬
‫הנפקת מוקנים‬
‫‪360‬‬
‫‪420‬‬
‫‪17 %‬‬
‫יישומים שנבדקו‬
‫‪20‬‬
‫‪21‬‬
‫‪5%‬‬
‫לנתונים אלו יש להוסיף את נתוני כ " א אבטחת מידע ‪.‬‬
‫אי‪Ar-‬‬
‫ע 'י‬
‫"ת ת‬
‫מנקי‬
‫א‪ ' - 1 ' 1‬גו‬
‫~‬
‫נתרנים השרראתיים‬
‫‪2010‬‬
‫עד ירמי‬
‫מערכות אבטחת מידע‬
‫‪30‬‬
‫‪36‬‬
‫‪20 %‬‬
‫קווי תקשורת מחוברים דרך היחידה‬
‫‪31‬‬
‫‪35‬‬
‫‪13 %‬‬
‫‪10‬‬
‫‪18‬‬
‫‪80 %‬‬
‫בקרות שבוצעו על‬
‫‪,‬‬
‫הע ‪ " 1‬ה‬
‫ידי היחידה‬
‫*‬
‫שיערר גידרל‬
‫‪2011‬‬
‫מדיניות ועקרונות שימוש מאובטח במערכות מידע‬
‫‪.8‬‬
‫אחת ההמלצות בדו " ח הביקורת בנושא אבטחת מידע משנת‬
‫העירייה היתה כיל‬
‫‪72006‬‬
‫שהתקבלה על ידי הנהלת‬
‫" על העירייה להגדיר עקרונות שימוש מאובמח במערכות המידע‬
‫עקרונות אלה מגדירים את אופן השימוש‬
‫בשרתים ‪,‬‬
‫מחשבים‬
‫ניידים ‪,‬‬
‫מחשבים‬
‫תקשורת וכל ציוד מחשובי אחר המשמש את העירייה לצרכי עיבוד או שמירת‬
‫שברשותה ‪.‬‬
‫נישאים ‪,‬‬
‫ציוד‬
‫מידע " ‪ .‬מבדיקת‬
‫הביקורת עולה כי נושא אבטחת מידע עוגן במסמך מדיניות בנושא אבטחת מידעי הוגדרו נהלים‬
‫בנושאי הוגדר תפקידו של ממונה אבטחת מידעי הוגדרו סמכויות ואחריות ליישום המדיניות‬
‫והוקמה ועדת‬
‫‪.9‬‬
‫היגוי ‪.‬‬
‫מסמך ' מדיניות אבטחת מידע ' אושר באפריל ‪ . 2007‬מטרתו של מסמך מדיניות אבטחת המידע‬
‫להציג את המדיניות שאושרה על ידי הנהלת העירייה בנושא אבטחת‬
‫מידע ‪.‬‬
‫במסמך המדיניות פירוט של תחומים שונים והוא כוללי בין היתרי פירוט תחומי האבטחה ; מבנה‬
‫ארגוני לניהול וליישום אבטחת מידע ; הגדרה של רמה מחייבת של אבטחת מידע ; סמכות ואחריות‬
‫ועוד ‪.‬‬
‫‪. 10‬‬
‫מבדיקת הביקורת עולה כי לא כל התחומים המוגדרים במסמך המדיניות יושמו בתקופת‬
‫לדוגמהל מבחינת סעיף‬
‫‪5.6‬‬
‫הביקורת ‪.‬‬
‫במסמך עולה כי רכזי המחשוב ישמשו כנאמני אבטחת מידע יסייעו‬
‫לממונה על אבטחת מידע במטלות אבטחת המידע ויונחו על ידו ‪ .‬מבדיקת הביקורת עולה כי נכון‬
‫לתקופת הביקורת סעיף זה לא מיושם ‪ .‬בתקופת הביקורת (בשנת ‪ )2011‬נעשה פיילוט במחלקה‬
‫אחת‪ 7‬בענף פיתוח באגף‬
‫המחשוב ‪.‬‬
‫אי‪Ar-‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫‪ ,‬נ ‪ -‬גו‬
‫מ קרהע ‪ ,‬רי ‪ ,‬ה‬
‫~‬
‫~‬
‫א‬
‫ועדת היגוי‬
‫‪. 11‬‬
‫ועדת ההיגוי לאבטחת מידע מייעצת למנכ " ל העירייה אודות מדיניות אבטחת המידע ומנחה את‬
‫הממונה על אבטחת המידע בהתאם למדיניות‬
‫‪. 12‬‬
‫זו ‪.‬‬
‫לבקשת הביקורת נמסרו לה פרוטוקולים של ועדת‬
‫הביקורת הוא מחודש יוני‬
‫ההיגוי ‪.‬‬
‫הפרוטוקול האחרון שנמסר לידי‬
‫‪. 2009‬‬
‫בתגובה לממצאים נמסר לביקורת על ידי מנהלת אגף המחשוב ומ " מ כי‬
‫הוועדה ב ‪-‬‬
‫(‬
‫" התקיים כינוס נוסף של‬
‫‪. " . 14 . 09 . 11‬‬
‫נהלי ם‬
‫‪. 13‬‬
‫במסמך ימדיניות אבטחת מידע ' נקבע כי הממונה על אבטחת מידע אחראי לפיתוח נהלי עבודה‬
‫לשם הסדרת פעילות אבטחת מידעי יהיה מעורב בפיתוח כל הנהלים שיש להם השלכה על אבטחת‬
‫מידע ‪.‬‬
‫בנוסף‪7‬‬
‫על העירייה לעגן בחוזה את החלת תנאי אבטחת מידע על כלל המשתמשים‬
‫החיצוניים‪ 7‬ועל כל יתר הגורמים אשר יש להם מעורבות בפיתוחי תפעול ותחזוקת מערכות מידע‬
‫בעירייה לרבות מיקור‬
‫‪. 14‬‬
‫חוץ ‪.‬‬
‫על פי דו " ח הביקורתי מס '‬
‫‪735‬‬
‫בנושא אבטחת מידע משנת ‪ 2006‬מרבית הנהלים היו בסטטוס של‬
‫כתיבה בדיקה ו ‪ /‬או המתנה לאישור ‪ .‬באופן כללי התחייב האגף בעקבות הדו " ח הנ " ל לפרסום ‪16‬‬
‫ ‪ 21‬נהלים ועוד כ ‪ 30‬הוראות עבודה באתר האינטראנט העירוני עד סוף שנת‬‫‪. 15‬‬
‫‪. 2007‬‬
‫תהליך אישור הנהלים ( הביקורת המליצה כי במקרים בהם הנוהל דורש מספר רב ולא סביר של‬
‫גורמים מאשרים‪ 7‬יש להבחין בין נהלי מיקרו המתייחסים לתהליכי עבודה נקודתיים ובין נהלי‬
‫מאקרו המתייחסים לתהליכים כלל מערכתיים ומהותיים יותר‪ 7‬ובהתאם לזאת לקבוע את הגורמים‬
‫הרלונטיים לאישור הנוהל ‪ .‬לביקורת נמסר על ידי הארכיטקט הראשי כי המלצה זו‬
‫‪. 16‬‬
‫יושמה ‪.‬‬
‫מבדיקת הפורטל העירוני בתאריך ‪ 9 . 6 . 11‬נמצא כי בפורטל אגף המחשוב קיימים נהלים‪ 7‬הנחיות‬
‫עבודה וטפסים בנושא אבטחת מידעי על פי הפירוט להלן‬
‫(‬
‫כתיבה מאובטחת של מערכות אינטרנט ואינטראנט ; נוהל הגדרת משתמש חיצוני ברשת העירונית ;‬
‫הצהרת סודיות ; הנחיות לצפייה בדואר עירוני מהבית ; העברת קבצים לגורם חיצוני ; הרשאות‬
‫גישה למאגרי מידע ; נוהל הגדרת משתמש חיצוני ברשת העירונית ; ניהול ותפעול מערך‬
‫הסיסמאות ; נוהל להפעלת עובדים חיצוניים ; בקשה לפתיחת תיבת דואר יחידתית ; נוהל אבטחת‬
‫מצעי אחסון ; נוהל אבטחת מחשבים נישאים ; אבטחת אינטרנט ודואל ; נוהל אבטחה לוגית ; מודעות‬
‫הדרכה והסברה ; דיווח על אירועים חריגים ; אבטחת תקשורת ותשתיות ; נוהל גיבוי ; נוהל ניקוי‬
‫אי‪Ar-‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫‪ ,‬נ ‪ -‬גו‬
‫מ קרהע ‪ ,‬רי ‪ ,‬ה‬
‫~‬
‫~‬
‫א‬
‫תחנה החשודה כנגועה ; נוהל אבטחת יישומים ; נוהל בדיקת‪141414‬יין‪ ; [ 11)1‬אבטחה פיזית ;‬
‫מדיניות חיבור גורמים חיצוניים לרשת העירונית ; מסמך מדיניות אבטחת מידע עירונית ; מסמך‬
‫מדיניות הנפקת טוקן ; טופס הצהרת סודיות ; הצהרת סודיות ; בקשה מרוכזת להרשאות גישה‬
‫למאגר ‪.‬‬
‫‪. 17‬‬
‫על פי דו " ח הביקורתי מס '‬
‫לאבטחת מידע כלל‬
‫‪735‬‬
‫בנושא אבטחת מידע משנת ‪ 2006‬מספר הנהלים הקשורים‬
‫(‬
‫נוהל לשעת חרום למקרה של קריסת מערכות ; נוהל הכנסת תוכנה חיצונית ע " י ספק תוכנה‬
‫רלוונטי ; נוהל אבטחת מידע המטפל בניהולי הכנסה‪ 7‬תפעול והוצאה של מידע מהעירייה‪ 7‬כולל‬
‫מערכות המכילות זכרון נייד כדוגמת מחשבים ניידים וכרטיסי‬
‫‪. 18‬‬
‫זכרון ‪.‬‬
‫הביקורת בחנה ‪ 21‬נהלים המופיעים בפורטל ולהלן עיקרי הממצאים‬
‫א‪.‬‬
‫(‬
‫בחלק מהמקרים לא ניתן לדעת את תאריכי כתיבת הנוהל ותאריך התוקף שלו משום‬
‫שהמידע אינו רשום על הנוהל ( רק ב ‪ 3 -‬נהלים מתוך ‪ 21‬נרשם תאריך פרסום ורק ב ‪7 -‬‬
‫נרשם תאריך התוקף של הנוהל ‪.‬‬
‫נהלים ‪.‬‬
‫ב‪.‬‬
‫חלק מהנהלים אינם כתובים בתבנית קבועה לכתיבת‬
‫ג‪.‬‬
‫חלק מהנהלים אינם עדכניים ו ‪ /‬או אינם מיושמים במלואם ‪ .‬להלן מספר דוגמאות‬
‫(‬
‫הנרגיל‬
‫פיררה הפעילרת הנדרשת‬
‫ניהול ותפעול מערך‬
‫פקידי משאבי אנוש ורכזי מחשוב ידווחו על עזיבת עובד על‬
‫על‬
‫פי הנרגיל‬
‫הסיסמאות העירוני‬
‫מנת לחסום את הגדרות הלקוח‬
‫סעיף ‪ 5 . 3‬לנוהל‬
‫באחריות ממונה אבטחת מידע לנהל רישום של כל האמצעים‬
‫אבטחת אמצעי איחסון‬
‫העירוניים המכילים נתונים עירוניים שהועברו לגורמים‬
‫חיצוניים‬
‫סעיף‬
‫‪4.4‬‬
‫בנוהל בקשה‬
‫לפתיחת תיבת דוא " ל‬
‫שלו ‪.‬‬
‫‪.‬‬
‫מנהל צוות התמיכה וממונה על אבטחת מידע יפקחו יבקרו‬
‫ויאכפו את היישום‬
‫יחידתית ‪.‬‬
‫סעיף ‪1‬‬
‫‪6.‬‬
‫בנוהל בקשה‬
‫לפתיחת תיבת דוא " ל‬
‫באופן שוטף תיערכנה ביקורות מדגמיות לבחינת יישום‬
‫ההנחיות המפורטות בנוהל‬
‫זה ‪.‬‬
‫יחידתית ‪.‬‬
‫סעיף ‪ 3 . 3‬בנוהל‬
‫בנוהל מוגדר כי סביבת העבודה העירונית מורכבת‪ 7‬בין היתו‬
‫אבטחה לוגית‬
‫ממחשב מרכזיי‬
‫נספח א ' בנוהל אבטחה‬
‫קובע בין היתר כי נוהל זה מטפל בשימוש בקוד לקוח בזמן‬
‫‪. mainframe‬‬
‫אי‪Ar-‬‬
‫ע 'י‬
‫"ת ת‬
‫מנקי‬
‫א‪ ' - 1 ' 1‬גו‬
‫‪,‬‬
‫הע ‪ " 1‬ה‬
‫~‬
‫הנרהל‬
‫*‬
‫פיררט הפעילרת הנדרשת על פי הנרהל‬
‫העדרות‬
‫לוגית‬
‫עובד ‪.‬‬
‫מבדיקת הביקורת עולה כי אין מערכת אשר עושה הצלבה בין‬
‫שעות עבודה לבין כניסה למערכות העירייה ולכן לא ניתן‬
‫לאתר פעולות רגישות או חריגותי אלא רק בבדיקה‬
‫מודעות הדרכה‬
‫והסברה‬
‫ידנית ‪.‬‬
‫בנוהל נקבע כי תפורסמנה הנחיות אבטחת מידע בתלוש‬
‫המשכורת אחת‬
‫לשנה ‪.‬‬
‫אחריות מנהלים‬
‫‪. 19‬‬
‫על פי סעיף ‪ 8 . 3 . 2‬במסמך ' מדיניות אבטחת מידע ' מנהלים ישאו באחריות לוודא נקיטת אמצעים‬
‫לקיום דרישות החוק והתקנות הנלוות‪ 7‬ולוודא יישום ואכיפת הנהלים במערכות‬
‫מבדיקת הביקורת עולה כי לא נעשות פעולות הדרכה ובקרה לבחינת היבט‬
‫בתגובה לממצאים מסר מנהל אבטחת מידע לביקורת כי‬
‫לדוגמא‬
‫(‬
‫" בוצעו‬
‫שבאחריותם ‪.‬‬
‫זה ‪.‬‬
‫מגוון‬
‫של‬
‫פעולות‬
‫הדרכה ‪,‬‬
‫‪ -‬בהנחיית המנכ " ל התקיים כנס מנהלי מחלקות בכנס הוצג נושא אבמחת המידע‬
‫למנהלים ‪ .‬נושא אבמחת המידע הוצג בפורום מנכ " ל וגם בפורומים אגפיים ומחלקתיים‬
‫שונים ‪" .‬‬
‫‪.‬‬
‫מרדניות והדרכה‬
‫‪. 20‬‬
‫על פי המלצות דו " ח הביקורתי מס '‬
‫‪735‬‬
‫בנושא אבטחת מידע לשנת ‪ 2006‬נדרש טיפול מערכתי‬
‫תוך שילוב מודעותי אחריות מנהלים לאורך המדרג העירוני‪ 7‬לצורך הטמעת החשיבות בקרב‬
‫העובדים ‪.‬‬
‫‪. 21‬‬
‫בנוהל מודעות הדרכה והסברה הנמצא בפורטל אגף המחשוב נקבע בסעיף ‪ 3‬כי פעם בשנה‬
‫תתבצענה פעילויות הדרכה בנושא אבטחת מידע לקבוצות עובדים משתמשי מחשב ו ‪ /‬או לקבוצות‬
‫שיש להן נגיעה למידע ‪ .‬סעיף זה אף קובע כי הפעילות תתבצע באופן קבוצתי בחלוקה לבעלי‬
‫תפקידים שונים ( מנהלים בכירים עובדי האגפים השונים‬
‫‪. 22‬‬
‫וכו ' ‪.‬‬
‫ממידע שנמסר לביקורת על ידי מנהל אבטחת מידע עולה כי כחלק מיישום המלצות על פי דו " חי‬
‫הביקורתי מס '‬
‫א‪.‬‬
‫‪735‬‬
‫בנושא אבטחת מידע משנת‬
‫‪72006‬‬
‫נעשו פעולות שונות על פי הפירוט הבא‬
‫בוצעה הדרכה אחת למנהלי מחלקות והנושא הוצג במספר פורומים של מנהלי‬
‫מנכ " ל ‪.‬‬
‫ב‪.‬‬
‫ניתנה הרצאה אחת לפורום‬
‫ג‪.‬‬
‫נציג מטעם אבטחת מידע נותן הרצאה בכל קורס של‬
‫העירייה ‪.‬‬
‫מחלקות ‪.‬‬
‫(‬
‫אי‪Ar-‬‬
‫ע'י‬
‫‪.‬‬
‫" תתיא‪ , 1‬נ ‪ -‬גו‬
‫מנקרהע ‪ ,‬רי ‪ ,‬ה‬
‫ד‪.‬‬
‫הוקם פורטל מידע‬
‫ה‪.‬‬
‫הדרכת עובדים חדשים ‪ -‬בנוסף‪ 7‬על פי דו " ח סטטוס מיום ‪ 5 . 8 . 07‬לגבי‬
‫א‬
‫בנושא ‪.‬‬
‫‪. 1 . 07‬‬
‫עובדים שהתחילו עבודתם אחרי‬
‫לעובדים‬
‫חדשים " נכתב כי‬
‫בנובמבר‬
‫‪. 2007‬‬
‫‪1‬‬
‫" האוכלוסייה‬
‫לצורך תיאום הדרכה‬
‫אותרה ‪.‬‬
‫" איתור אוכלוסיית‬
‫וביצועה ‪.‬‬
‫הדרכה תקופתית‬
‫משאבי אנוש התחייבו לביצוע ההדרכה‬
‫‪.‬‬
‫‪ 2007‬ואח " כ כל ‪ 4‬חודשים " ‪.‬‬
‫ההדרכה הראשונה בדצמבר‬
‫לביקורת נמסר על ידי הארכיטקט הראשי כי כל עובד חדש הנקלט באגף המחשוב עובר‬
‫הדרכה בנושא אבטחת מידע בטווח של חצי‬
‫שנה ‪.‬‬
‫בתגובה לממצאים מסר מנהל אבטחת מידע לביקורת כיל‬
‫" מהיבם ההדרכה התבצע שינוי גדול ‪:‬‬
‫נציג אבמחת מידע מדריך בכל קורס עירוני ‪ .‬בקורס לעובדי חיוב וגביה חדשים משולבת דרך קבע‬
‫הרצאה של אבמחת מידע ‪ .‬מתוכננים‬
‫נאמני אבמחת מידע‬
‫למפתחים ) ‪.‬‬
‫‪2‬‬
‫קורסים באבמחת מידע נקורם אבמחת מידע כללי וקורס‬
‫היתה‬
‫תוכנית יחד עם מחלקת תכנון ופתוח משאבי אנוש‬
‫העירונית לחייב כל עובד חדש להגיע לקורס אבמחת מידע אולם לא יצא לפועל ‪ .‬באגף מיחשוב‬
‫מתבצעת‬
‫הדרכה‬
‫בנושא‬
‫לעובדים‬
‫חדשים ‪.‬‬
‫למפעילים ‪ ,‬לרכזי המיחשוב ‪1‬לצ‪11‬ת‬
‫המזכירות ‪.‬‬
‫מבחינת המודעות יש שינוי גדול‬
‫לסובה ‪,‬‬
‫הגדלים‬
‫בתחום ‪.‬‬
‫מנהל הידע‬
‫בוצעו‬
‫מספר‬
‫הדרכות‬
‫לצוותי‬
‫הפיתוח‬
‫באגף ‪,‬‬
‫יחד עם זאת נדרשת עבודה נוספת נוכח הסיכונים‬
‫בועדת היגוי לאבמחת מידע הנחה הסמנכ " ל שתתבצע עבודה בנושא יחד עם‬
‫העירוני ‪.‬‬
‫מבחינת הכשרת עובדי מחלקת אבמחת מידע ‪ -‬כיום מתנהל קורס ‪ cissp‬ייחודי בלמידה עצמית‬
‫לכל עובדי‬
‫המחלקה ‪.‬‬
‫הקורס מקיף את כל תחומי אבמחת המידע באופן‬
‫העובדים יוכלו לגשת לבחינה לצורך קבלת‬
‫‪. 23‬‬
‫התואר ‪" .‬‬
‫מעמיק ‪.‬‬
‫בסיום הקורס‬
‫‪.‬‬
‫עובדים חדשים הנקלטים בעירייה באגפים אחרים אינם עוברים הכשרה ייעודית בנושא אבטחת‬
‫מידע ‪.‬‬
‫‪. 24‬‬
‫הכשרת עובדי אבטחת מידע ‪ -‬בדו " ח הביקורת מס '‬
‫‪735‬‬
‫לשנת‬
‫‪72006‬‬
‫הביקורת המליצה כי‬
‫תתבצע הכשרה ייעודית בנושא אבטחת מידע לעובדי אבטחת מידעי הכוללת השתלמויות וקורסים‬
‫בתדירות גבוהה‪ 7‬מתוך הנחה כי החידושים בעולם אבטחת המידע מתעדכנים ומתחדשים בקצב‬
‫מסחרר ‪.‬‬
‫בקרה ואכיפה‬
‫‪. 25‬‬
‫בעקבות דו " ח הביקורתי מס ' ‪ 35‬בנושא אבטחת מידע לשנת ‪ 2006‬גובשה תוכנית עבודה לביצוע‬
‫בקרות ברמה יומית‪ 7‬חודשית‪ 7‬רבעונית‪ 7‬חצי שנתית ושנתית ‪ .‬תוכנית העבודה מגדירה פעילות‬
‫וגורם‬
‫אחראי ‪.‬‬
‫אי‪Ar-‬‬
‫‪. 26‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫מגקרהע ‪ ,‬רי ‪ ,‬ה‬
‫‪ ,‬נ ‪ -‬גו‬
‫~‬
‫מניתוח של תכנית העבודה אל מול ביצוע בפועלי נכון לחודש מרץ‬
‫הבאים‬
‫א‪.‬‬
‫א‬
‫‪72011‬‬
‫עולים הממצאים‬
‫(‬
‫בקרה יומית‬
‫(‬
‫לביקורת נמסרה טבלה שאינה כוללת פירוט ברמה יומית של ביצועי אלא ברמה חודשית‬
‫בלבד ‪ .‬מניתוח נתונים אלו הביקורת לא יכולה לקבוע באם כל הבקרות המתוכננות לבדיקה‬
‫יומית מבוצעות מדי‬
‫מבוצעת‬
‫ב‪.‬‬
‫יום ‪ .‬בנוסף נמצא כי הפעילות לבדיקת תשובות מוקד השירות ‪av‬‬
‫כלל ‪.‬‬
‫בקרה חודשית‬
‫(‬
‫מבדיקת הביקורת נמצא כי‬
‫‪)1‬‬
‫אינה‬
‫(‬
‫חלק מהבקרות שהוגדרו בשנת ‪ 2009‬בעקבות דו " ח הביקורת מס '‬
‫‪72006‬‬
‫‪735‬‬
‫לשנת‬
‫בוטלו ולא בוצעו כללי על פי הפירוט להלן ( בדיקה ה ‪ ( wsadmin -‬ריקה ) ו ‪-‬‬
‫‪ ( NotlnGpo‬ריקה ) בדיקת תשובות מוקד השירות לגבי תחנות ללא ‪ , av‬נוכחות‬
‫‪7‬‬
‫מורשים בחדר‬
‫‪)2‬‬
‫מחשב ‪.‬‬
‫בשנת ‪ 2011‬הוכנסה בקרה אחת‪ 7‬שלא נכללה בביקורות החודשיות בשנים קודמות‬
‫הכנת דיסק אנטי וירוס עבור ‪. pcs‬‬
‫‪)3‬‬
‫להלן פירוט הנתונים כפי שנמסרו לביקורת‬
‫(‬
‫סרג הבקרה‬
‫‪2009‬‬
‫‪2010‬‬
‫‪2011‬‬
‫בדיקה ה ‪ ( wsadmin‬ריקה ) ו ‪ ( NotlnGpo‬ריקה )‬
‫'ו‬
‫)(‬
‫)(‬
‫ביצוע בדיקת ‪ - FW‬האם עונה ל ‪PING‬‬
‫'ו‬
‫'ו‬
‫'ו‬
‫דו " ח למחשבים ושרתים ללא אנטיוירוס‬
‫'ו‬
‫'ו‬
‫'ו‬
‫ביצוע פעולות נדרשות לפי הדו " ח הנ " ל‬
‫'ו‬
‫)(‬
‫)(‬
‫'ו‬
‫)(‬
‫)(‬
‫'ו‬
‫)(‬
‫)(‬
‫‪FireWall‬‬
‫'ו‬
‫'ו‬
‫'ו‬
‫‪users‬‬
‫'ו‬
‫'ו‬
‫'ו‬
‫)(‬
‫'ו‬
‫'ו‬
‫בדיקת תשובות מוקד השירות לגבי תחנות ללא‬
‫נוכחות מורשים בחדר מחשב‬
‫גיבוי סביבת‬
‫בדיקת טס בשם‬
‫הכנת דיסק אנטי וירוס עבור ‪pcs‬‬
‫"ו = בוצע‬
‫)( = לא בוצע‬
‫‪av‬‬
‫(‬
‫אי‪Ar-‬‬
‫ג‪.‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫מנקרהע ‪ ,‬רי ‪ ,‬ה‬
‫‪ ,‬נ ‪ -‬גו‬
‫א‬
‫~‬
‫בקרה רבעונית‬
‫(‬
‫תוכנית הבקרה המתוכננת כוללת שני סוגי בקרותי אשר אמורות להתבצע אחת‬
‫מניתוח הבקרות שנערכו בשנים‬
‫‪2010 72009‬‬
‫עולה כי הבקרות לא בוצעו כללי או בוצעו‬
‫באופן חלקי ולא כמתוכנן ‪ .‬להלן פירוט הממצאים‬
‫ביקררת שתרכננה לשנים‬
‫לרבעון ‪.‬‬
‫(‬
‫היצרע בפרעל‬
‫‪2010 - 2008‬‬
‫ארבע פעמים בשנה ‪ -‬נעילה וביטול‬
‫‪ - 2008‬בוצע‬
‫משתמשים בסביבות עבודה‬
‫‪- 2009‬‬
‫פעמיים ‪.‬‬
‫לא בוצע‬
‫כלל ‪.‬‬
‫ח‪ - 201‬בוצע שלוש‬
‫פעמים ‪.‬‬
‫נכון ליום בדיקת הביקורת בחודש מרץ‬
‫‪ 2011‬הביקורת האחרונה שבוצעה‬
‫הייתה בתאריך ‪10‬‬
‫ארבע פעמים בשנה ‪ -‬נעילה וביטול‬
‫‪- 2008‬‬
‫מחשבים‬
‫‪- 2009‬‬
‫לא בוצע‬
‫‪. 1 . 10 .‬‬
‫כלל ‪.‬‬
‫לא בוצע‬
‫כלל ‪.‬‬
‫ח‪ - 201‬בוצע שלוש‬
‫פעמים ‪.‬‬
‫נכון ליום בדיקת הביקורת בחודש מרץ‬
‫‪ 2011‬הביקורת האחרונה שבוצעה‬
‫הייתה בתאריך ‪10‬‬
‫להלן פירוט הנתונים כפי שנמסרו לביקורת‬
‫ח‬
‫‪.,‬‬
‫ילומ‬
‫נעילה וביטול‬
‫‪. 1 . 10 .‬‬
‫(‬
‫‪1 . 06 . 08‬‬
‫‪1 . 09 . 08‬‬
‫‪01 . 01 . 09‬‬
‫‪1 . 04 . 09‬‬
‫‪1 . 08 . 09‬‬
‫‪1 . 12 . 09‬‬
‫‪1 . 02 . 10‬‬
‫‪1 . 06 . 10‬‬
‫‪01 . 10 . 10‬‬
‫ץ‬
‫ץ‬
‫ן‬
‫‪%‬‬
‫‪%‬‬
‫‪%‬‬
‫ץ‬
‫ץ‬
‫י‬
‫משתמשים‬
‫בסביבות עבודה‬
‫נעילה וביטול‬
‫ן‬
‫מחשבים‬
‫"ו = בוצע‬
‫ן‬
‫ן‬
‫י‬
‫י‬
‫)נ = לא בוצע‬
‫בקרה חצי שנתית‬
‫(‬
‫תוכנית הבקרה המתוכננת כוללת ארבע סוגים של בקרותי אשר אמורות להתבצע אחת‬
‫לחצי שנה ‪ .‬להלן עיקרי הממצאים‬
‫(‬
‫י‬
‫אי‪Ar-‬‬
‫ע 'י‬
‫"ת‬
‫ת(‬
‫אג ' ‪ ' - 1‬גו‬
‫מגק‬
‫ביקררת שתרכננה לשנים‬
‫‪2008‬‬
‫‪.‬‬
‫‪,‬‬
‫הע ‪ " 1‬ה‬
‫*‬
‫ביצרע בפרעל‬
‫‪2010 -‬‬
‫בקרה חצי שנתית ‪ -‬החלפת סיסמא של כל ה‬
‫בוצע פעם אחת‬
‫‪Domain‬‬
‫‪Administrators‬‬
‫בקרה חצי שנתית ‪ -‬החלפת סיסמת ‪compadd‬‬
‫לא בוצע כלל‬
‫בקרה חצי שנתית ‪ -‬שינוי סיסמת קודן‬
‫לא בוצע כלל ‪ -‬אין קודן‬
‫בקרה חצי שנתית ‪ -‬קו ‪ - IpVpn‬בדיקת ‪ Ipsec‬בנתב המרכזי‬
‫בוצע פעמיים ב‬
‫להלן סיכום פירוט הנתונים כפי שנמסרו לביקורת‬
‫(‬
‫‪. .‬‬
‫פעילרת‬
‫‪1 01 09‬‬
‫החלפת סיסמא של כל ה‬
‫‪2010‬‬
‫‪. .‬‬
‫‪1 06 09‬‬
‫‪Domain Administrators‬‬
‫‪. .‬‬
‫‪22 12 09‬‬
‫‪. .‬‬
‫‪01 06 10‬‬
‫ץ‬
‫החלפת סיסמת ‪compadd‬‬
‫אין קודן‬
‫שינוי סיסמת קודן‬
‫אין קודן‬
‫קו ‪ - IpVpn‬בדיקת ‪ Ipsec‬בנתב המרכזי‬
‫אין קודן‬
‫ץ‬
‫ץ‬
‫"ו = בוצע‬
‫בקרה שנתית‬
‫(‬
‫תוכנית הבקרה המתוכננת כוללת ‪ 5‬סוגי בקרות‬
‫(‬
‫אשר אמורות להתבצע אחת לשנה ‪-‬‬
‫שנתיים ‪ .‬מניתוח הבקרות שנערכו בשנים ‪ 2010 - 2009‬עולה כי הבקרות לא בוצעו כלל‬
‫או בוצעו באופן חלקי ולא כמתוכנן ‪ .‬להלן עיקרי הממצאים‬
‫ביקררת המתרכננת לשנים‬
‫‪2010 - 2008‬‬
‫ביצוע בקרה אחת לשנה ‪ -‬אבטחת הקישור‬
‫(‬
‫ביצרע בפרעל‬
‫בוצע פעם אחת יוני‬
‫(‬
‫‪. 2008‬‬
‫לנתיבי איילון‬
‫ביצוע בקרה אחת לשנה ‪ -‬החלפת סיסמת‬
‫בוצע בכל התקופה שלוש‬
‫פעמים ‪.‬‬
‫פעם אחת בוצע לאחר חצי שנה בלבד‬
‫‪d001‬‬
‫‪om‬‬
‫‪ladministrator‬‬
‫במקום לאחר‬
‫(‬
‫שנה ‪.‬‬
‫נכון ליום בדיקת הביקורת בחודש מרץ‬
‫‪ 2011‬הביקורת האחרונה שבוצעה‬
‫הייתה ב ‪. 12 . 2009 -‬‬
‫ביצוע בקרה אחת לשנה ‪ -‬רענון תקופתי של‬
‫לא בוצע כלל‬
‫קובץ מנהלי המאגרים ‪ -‬בעירייה ובמשרד‬
‫המשפטים‬
‫ביצוע בקרה אחת לשנתיים ‪ -‬בקורת פיזית‬
‫באתרים עירוניים‬
‫‪12‬‬
‫לא בוצע כלל‬
‫(‬
‫אי‪Ar-‬‬
‫ע 'י‬
‫"ת ת‬
‫מנקי‬
‫אג ' ‪ ' - 1‬גו‬
‫‪,‬‬
‫הע ‪ " 1‬ה‬
‫~‬
‫ביקררת המתרכננת לשנים‬
‫*‬
‫ביצרע בפרעל‬
‫‪2010 - 2008‬‬
‫ביצוע בקרה אחת לשנתיים ‪ -‬להזמין נסיון‬
‫בטבלה לא נרשם ביצוע בפועל אולם‬
‫פריצה לרשת מבחוץ‬
‫לביקורת נמסר כי בקרה זו בוצעה‬
‫כמתוכנן ‪.‬‬
‫להלן פירוט הנתונים כפי שנמסרו לביקורת‬
‫‪. .‬‬
‫פעילרת‬
‫‪1 06 08‬‬
‫ביצוע בקרה אחת לשנה ‪-‬‬
‫ץ‬
‫‪. .‬‬
‫‪1 06 09‬‬
‫‪.‬‬
‫‪12 2009‬‬
‫‪.‬‬
‫‪12 2010‬‬
‫אבטחת הקישור לנתיבי‬
‫איילון‬
‫ביצוע בקרה אחת לשנה ‪-‬‬
‫ץ‬
‫ץ‬
‫ץ‬
‫החלפת סיסמת‬
‫‪domOO 1. ladministrator‬‬
‫ביצוע בקרה אחת לשנה ‪-‬‬
‫רענון תקופתי של קובץ‬
‫מנהלי המאגרים ‪ -‬בעירייה‬
‫ובמשרד המשפטים‬
‫ביצוע בקרה אחת לשנתיים‬
‫אחת‬
‫ בקורת פיזית באתרים‬‫עירוניים‬
‫לשנתיים‬
‫ביצוע בקרה אחת לשנתיים‬
‫אחת‬
‫ להזמין נסיון פריצה‬‫לרשת מבחוץ‬
‫לשנתיים‬
‫"ו = בוצע‬
‫ניתוח בקרות ‪ -‬בדיקת סביבת ‪FIRE WALL‬‬
‫בנוהל בדיקת סביבת ‪ FIRE WALL‬נקבע כיל‬
‫יש לבצע את הבדיקות הבאותל גלישה מתחנה בתוך הרשת העירונית לאתרים חיצוניים‪7‬‬
‫גלישה מתחנה בתוך הרשת לאתר האינטראנט העירוני‪ 7‬שליחת דואר החוצה‪ 7‬קבלת דואר‬
‫מבחוץי ביצוע‬
‫‪ PING‬לשרת‬
‫שב " א‪7‬‬
‫בדיקת קישוריות והתחברות לאתר המחובר ב‬
‫‪ , /VPN‬התחברות מתחנה מחוץ לרשת העירונית לעירייה באמצעות ‪ , VPN‬התחברות‬
‫מתחנה מחוץ לרשת העירונית לעירייה על ידי ‪ , TS‬התחברות מתחנה מחוץ לרשת‬
‫העירונית לעירייה על ידי ‪ , OWA‬התחברות מתחנה מחוץ לרשת העירונית לעירייה‬
‫בערוץ בזק עסקי ( כיבויי תברואה ) י התחברות מתחנה מחוץ לרשת העירונית לעירייה‬
‫בערוץ‬
‫‪. /VPN‬‬
‫אי‪Ar-‬‬
‫ע'י‬
‫‪.‬‬
‫" תתיא‪ , 1‬נ ‪ -‬גו‬
‫מנקרהע ‪ ,‬רי ‪ ,‬ה‬
‫א‬
‫את הבדיקות יש לתעד בטבלה הכוללת את הפירוט הבא ( סוג הבדיקהל שם מבצעי תאריך‬
‫וחתימה ‪.‬‬
‫ושעהל סטטוס‬
‫מבדיקת הביקורת עולה כי לא כל הוראות הנוהל מבוצעות על ידי היחידה לאבטחת‬
‫בתגובה לממצאים מסר מנהל אבטחת מידע לביקורת כי‬
‫" א‪.‬‬
‫הוכנה תוכנית‬
‫חצי שנתיות‬
‫ב‪.‬‬
‫בקרות ‪ ,‬מצ " ב קובץ‬
‫הבקרות ‪.‬‬
‫מידע ‪.‬‬
‫(‬
‫הוא מכיל בקרות‬
‫יומיות ‪,‬‬
‫חודשיות ‪ ,‬רבעוניות ‪,‬‬
‫ושנתיות ‪.‬‬
‫מבחינת הביצוע ‪ :‬מפורם במבלה גם הביצוע בפועל‬
‫מתבצעות עקב קשיי‬
‫נ‬
‫שלא תמיד נרשם‬
‫)‪.‬‬
‫חלק מהבקרות לא‬
‫כ" א ‪.‬‬
‫ג ‪ .‬בקרה היומית ‪ -‬בקרת אנמי וירוס מבוצעת ע " י אבמחת מידע במלואה ‪ ,‬מתוכננת לעבור לספק‬
‫החדש של שירותי מוקד התמיכה‬
‫ד ‪ .‬הבקרות על‬
‫ה‪ .‬ב ‪-‬‬
‫‪2012‬‬
‫מ ‪. 4 / 2012 -‬‬
‫שינוי סיסמת קודן ובקרת הקו לנתיבי איילון ‪ -‬בומלו ‪ ,‬עקב בימול הצורך‬
‫בהם ‪.‬‬
‫ימונה עובד שחלק מהממלות שלו תהיינה אחריות על הבקרות ‪. " .‬‬
‫אבטחה פיזית‬
‫‪. 27‬‬
‫במסמך ' מדיניות אבטחת מידע ' נקבע כי אחת הפעולות הנדרשות לאבטחת מידע היא הגנה פיזית‬
‫על מאגרי מידע ונתונים או גיבוייםל מפני מכלול אפשרויות הפגיעה הפיזית בהם או‬
‫גנבתם ‪.‬‬
‫על פי נוהל אבטחה פיזית מנהל אבטחת מידע אחראי לביצוע בקרות תקופתיות על מאגרי מידע‬
‫ונתונים או גיבויים ומנהל אבטחת מידע או מי מטעמו אחראי לבצע ביקורת אבטחת מידע פיזיתל‬
‫אחת לשנתיים וממצאיה יוגשו למנהלי היחידה ולמנהל אגף‬
‫המחשוב ‪.‬‬
‫נספח ‪ 2‬לנוהל אבטחת מידע מגדיר ‪ 23‬סעיפים לבדיקה פיזיתל מתוכם ‪ 9‬סעיפים הוגדרו‬
‫מממצאי הביקורת עולה כי היחידה לאבטחת מידע לא מבצעת ביקורות על אבטחה‬
‫‪. 28‬‬
‫כחובה ‪.‬‬
‫פיזית ‪.‬‬
‫אזורים מאובטחים ( על פי המלצת הביקורת על ממונה אבטחת המידע לחלק את סביבת העבודה‬
‫שלו למעגלי אבטחה ‪ /‬אזורים מאובטחים לפי רמות רגישותי לקבוע את רגישות אזורי העבודה‬
‫ואופי ההגנה עליהם וליישם מספר מעגלים של בקרות גישה פיזיתל הגדרת בקרותי מידור אזורים‬
‫ועוד ‪ .‬מבדיקת הביקורת הדבר לא‬
‫‪. 29‬‬
‫נעשה ‪.‬‬
‫שימוש בקודנים לנעילת דלתות אוטומטית ( עד לתקופת הביקורת לא נעשתה בדיקה שיטתיתל‬
‫גורפת לצורך הכנסת קודנים במקומות רגישיםל אשר יבטיחו נעילה אוטומטית של‬
‫‪14‬‬
‫דלתות ‪.‬‬
‫לרעול‬
‫‪dr‬‬
‫ע ' ר " ת תל‬
‫אביב ‪ -‬יפי‬
‫מבקר העירייה‬
‫מנהל אבטחת מידע מסר לביקורת בתגובה לממצאים כיל‬
‫למעגלי‬
‫א‪.‬‬
‫כל‬
‫לזך‬
‫)‬
‫העבודה‬
‫האבמחה ‪.‬‬
‫חדר מחשב ומרכז התקשורת בבניין הראשי ‪ -‬במסגרת הבינוי שהתבצע בבנין הראשי נסגרו‬
‫הכניסות ‪,‬‬
‫הכניסה מתבצעת באמצעות כרסיס מגנמי לפי רשימת‬
‫בקרה לנוכחים בחדר‬
‫החדרים מבוקרים ע " י‬
‫ב‪.‬‬
‫" בוצעה‬
‫חלוקה‬
‫של סביבת‬
‫עי"‬
‫ע‪ .‬ן‬
‫מחשב ‪.‬‬
‫מורשים ‪.‬‬
‫קיים ומיושם נוהל‬
‫קיים גם נוהל לליווי עובדים חיצוניים החייבים לעבוד בחדר‬
‫מחשב ‪.‬‬
‫מצלמות ‪.‬‬
‫חדר המחשב ומרכז התקשורת במנהל הנדסה ‪ -‬התבצעה ומתבצעת פעילות של העברת‬
‫השרתים לחדר מחשב בבנין המרכזי ‪ .‬חדר זה נעול והמפתחות נמצאים בהנהלת הבית ואצל מנהל‬
‫הרשת ‪.‬‬
‫ג ‪ .‬מרכזי התקשורת והחשמל בבנין הראשי‬
‫ד ‪ .‬חדר מנהלי הרשת נאזור‬
‫רגיש ) נעול‬
‫ה ‪ .‬חדר מנהלי הרשת במנהל הנדסה ‪-‬‬
‫נעולים ‪.‬‬
‫בקודן ‪.‬‬
‫נעול ‪.‬‬
‫‪ . 1‬חדרי אבמחת מידע בציימלין נמצאים במתחם נעול נאינו נגיש לעובדים לא‬
‫מורשים ) ‪.‬‬
‫התבצעו מספר בקרות אבמחה פיזית ‪ .‬העובד שבצע את העבודה עבר לתפקיד אחר ‪ .‬הבעיה היתה‬
‫שהיחידות‬
‫ביקשו ‪,‬‬
‫בסיום כל‬
‫ביקורת ‪,‬‬
‫שאבמחת מידע יממנו את תיקון‬
‫בקרות כשהבנו שאין תועלת בבקרות ‪ -‬הן‬
‫הממצאים ‪.‬‬
‫לאחר מספר‬
‫הופסקו ‪. " .‬‬
‫נתיב בקרה ( ‪( audit 1 ] 88‬‬
‫‪. 30‬‬
‫במסמך ' מדיניות אבטחת מידע ' נקבע כי במסגרת הבקרה ייקבע נתיב בקרהל במערכות‬
‫המחשוב ‪.‬‬
‫כלומר ייושמו כלים המאפשרים זיהוי חד ערכי של משתמשים אשר ביצעו שינויים במידע או‬
‫בתכנהל או ניגשו למידע רגישי תוך פירוט ורישום של כל סוג פעילות שבוצעהל מועד ביצועה‬
‫ופרטי המבצע ‪ .‬לשאלת הביקורת מסר מנהל אבטחת מידע ביום ה ‪ 28 . 8 . 2011 -‬כי‬
‫" הפעילות‬
‫בנושא זה נעשית ברבדים שונים ‪ :‬מודעות ‪ ,‬מתודולוגיות עבודה ‪ ,‬בקרת הפרוייקמים ועוד ‪ .‬במסגרת‬
‫מערכת מחו " ג שפיתוחה הסתיים לא מכבר ‪ -‬הוממע בתהליכים הנושא של רישום המבצעים‬
‫שינויים‬
‫בנתונים ‪.‬‬
‫במבגרת מתודולוגיית הפיתוח המאובמח ‪ -‬המפתחים נדרשים לבצע רישום‬
‫שינויים ‪ .‬במסגרת בדיקות אבמחה של המערכות לפני עליה לאויר ‪ -‬הנושא‬
‫נבדק ‪.‬‬
‫למרות השיפור העצום בנושא ‪ -‬הוא עדיין איננו מתבצע לשביעות רצוני המלאה ואפשר להכניס‬
‫בו עוד שינויים‬
‫ושיפורים ‪. " .‬‬
‫‪4‬ר~וש‬
‫‪dr‬‬
‫ע ' ר " ת תל‬
‫אביב ‪ -‬יפי‬
‫מבקר העירייה‬
‫‪,‬‬
‫עי"‬
‫ל‬
‫~‬
‫ע‪ .‬ן‬
‫ך‬
‫)‬
‫מנהל אבטחת מידע מסר לביקורת בתגובה לממצאים כיל‬
‫" אין לי ספק שהמצב השתפר מבחינת המודעות לנושא והפעילות המתבצעת בהקשר‬
‫נתיב הבקרה נדרש לכל פעילות נברמת מערכת‬
‫הפעלה ‪,‬‬
‫ברמת‬
‫התשתית ‪,‬‬
‫זה " ‪.‬‬
‫ביישומים ) ‪.‬‬
‫בנוסף‬
‫נדרשת בקרה על הרישום בכל נתיבי הבקרה ‪ .‬הרישום הוא בהיקף של מליוני תנועות ביממה ואין‬
‫אפשרות אנושית לקרוא את כל הלוגים ובמיוחד לא לעשות קורלציה בין הלוגים‬
‫מבחינת מערכת ההפעלה ‪ -‬הרישום מתבצע באופן שוסף בכל המערכות‬
‫האבמחה‬
‫השונים ‪. ) . . .‬‬
‫השונים ‪.‬‬
‫נבשרתים ‪,‬‬
‫ברכיבי‬
‫הוממעה מעררכת ‪ mom‬מתוצרת מיקרוסופם שמדווחת לגורמים שונים‬
‫באגף על אירועים ספציפיים במערכות ההפעלה נאני מקבל מיילים על אירועי אבמחה ‪ -‬למשל‬
‫הוספת לקוח לקבוצת ‪~ IDomaln Admins‬‬
‫מבחינת התשתיות ‪ -‬בסיסי הנתונים ‪ -‬הנושא ממופל‬
‫‪. DBA‬‬
‫ע " י צ‪11‬ת ה ‪-‬‬
‫מערכת נת " ע שהוממעה ע " י מחלקת אינמגרציה באגף מכילה רישום מפורם של כל הפניות‬
‫אליה ‪.‬‬
‫מבחינת יישומים ‪-‬‬
‫בקפדנות לנושא זה‬
‫מתודולוגית הכתיבה המאובמחת ובדיקות אבמחה של היישומים מתייחסים‬
‫‪.‬‬
‫נהדבר אינו נכון לגבי יישומים‬
‫דרישה‬
‫קנויים ) ‪.‬‬
‫המערכות האחרונות‬
‫שעלו ‪,‬‬
‫מחו " ג וחות " ם ‪,‬‬
‫עונות‬
‫על‬
‫זו ‪. " .‬‬
‫כרטיס חכם‬
‫‪. 31‬‬
‫בסעיף ‪ 18‬בהערות ראש העירייה לדו " ח הביקורת בנושא אבטחת מידע משנתי מס '‬
‫" המנכ " ל יקיים‬
‫דיון לגבי‬
‫אופן‬
‫שילוב‬
‫כרמים‬
‫בת " ע‬
‫חכם‬
‫‪" . 2008‬‬
‫‪.‬‬
‫‪735‬‬
‫נכתבל‬
‫מבדיקת הביקורת עולה כי‬
‫התקיים דיון בנושא כרטיס חכם והוא אושר להפעלה בשנת ‪ 2008‬ל ‪ 1000 -‬יחידות ‪ .‬ממנהל‬
‫אבטחת מידע נמסר לביקורת בתאריך ‪11‬‬
‫‪23 . 3 .‬‬
‫ובמאגרים מיוחדים בלבדי בנושא טפסי אבטחת מידע‬
‫‪. 32‬‬
‫בלבד ‪.‬‬
‫על פי מידע שנמסר לביקורת על ידי מנהל היחידה לאבטחת מידעי השימוש בכרטיסים חכמים‬
‫נעשה בצורה מצומצמת בלבד בגלל שיקולים‬
‫‪. 33‬‬
‫כי נעשה שימוש בכרטיס חכם בפרויקטים‬
‫מבדיקת הביקורת עולה כי לא‬
‫כלכליים ‪.‬‬
‫נעשה תהליך של בחינת הכדאיות‪ /‬עלויות לאור הניסיון הקיים‬
‫בשימוש בכרטיסים חכמים ולא נבחנו העלויות ביחס‬
‫לסיכונים ‪.‬‬
‫‪dr‬‬
‫‪4‬ר‪4‬וש‬
‫אשב ‪ -‬יפי‬
‫ע ' ר " ת תל‬
‫עי"‬
‫מבקר העירייה‬
‫ע‪ .‬ן‬
‫לתך‬
‫)‬
‫~‬
‫מחשבים ניידים ו ‪DOK -‬‬
‫‪. 34‬‬
‫על פי סעיף ‪ 18‬בהערות ראש העירייה לדו " ח הביקורתי מס '‬
‫‪735‬‬
‫בנושא אבטחת מידע משנת‬
‫‪ 2006‬נקבע כי יתקיים דיון לגבי עקרונות השימוש במחשבים ניידים ו ‪ key) DOK -‬מס‬
‫‪. 35‬‬
‫על פי דו " ח סטטוס מתאריך ‪. 8 . 07 -‬‬
‫למחשבים‬
‫‪. 36‬‬
‫‪75‬‬
‫‪. disk‬‬
‫שנמסר לביקורת על ידי מנהל אבטחת מידע קיים נוהל‬
‫ניידים ‪.‬‬
‫לביקורת נמסר על ידי מנהל אבטחת מידע כי התקיים דיון מנכ " ל בנושא המשך טיפול בהיבטים‬
‫הקשורים ב ‪ , DOK -‬שבו סוכם כי קומה ‪ 12‬תהווה פיילוט לבדיקת היתכנות ' תחנות הלבנה ' נכון‬
‫‪7‬‬
‫למועד עריכת הביקורת לא בוצע פיילוט‬
‫זה ‪.‬‬
‫מנהלי מאגר‬
‫‪. 37‬‬
‫מממצאי דו " ח הביקורתי מס '‬
‫‪735‬‬
‫בנושא אבטחת מידע לשנת ‪ 2006‬בנושא קביעת הרשאות על‬
‫ידי מנהלי המאגרים נמצא כיל למנהלי המאגרים אין כלים המתאימים לקביעת רמת ההרשאות‬
‫שאמורה להינתן לעובדים ‪ .‬מבדיקת הביקורת עולה כי הנושא טופל על ידי מעבר לשימוש בטופס‬
‫ממוחשב למתן‬
‫‪. 38‬‬
‫הרשאות ‪.‬‬
‫בדו " ח הביקורתי מס '‬
‫‪735‬‬
‫בנושא אבטחת מידע לשנת ‪ 2006‬בנושא פעולות חריגות במאגרים‬
‫נכתב כי מנהלי המאגרים אינם מקבלים חיווי שוטף על פעולות חריגות שמבוצעות במאגרים‬
‫עליהם הם אחראים‪ 7‬למרות שעל פי הוראות חוק הגנת הפרטיות האחריות מוטלת על מנהל המאגר‬
‫ומנהל אבטחת מידע ביחד‬
‫‪. 39‬‬
‫ולחוד ‪.‬‬
‫בסעיף ‪ 12‬ב ' בהערות ראש העירייה‪ 7‬בדו " ח הביקורתי מס '‬
‫נכתב כי‬
‫" תיבנה‬
‫פורום לעדכונים‬
‫תוכנית ייעודית קבועה‬
‫ושימתיח‬
‫‪735‬‬
‫בנושא אבטחת מידע לשנת ‪2006‬‬
‫של מנהלי מאגרי המידע‬
‫העירוניים ‪.‬‬
‫שוספים ‪ . " .‬משיחה של הביקורת עם מנהל אבטחת מידע בתאריך‬
‫‪. 11‬‬
‫ימוסד‬
‫‪722 . 3‬‬
‫עולה‬
‫כי לא נבנתה תוכנית ייעודית לנושא זה ‪ .‬מנהל אבטחת מידע מסר לביקורת כי הוא אמור להוציא‬
‫אחת לשנה עדכונים שוטפים למנהלי המאגרים‪ 7‬אולם הדבר לא נעשה בשנה‬
‫בתגובה לממצאים מסר מנהל אבטחת מידע לביקורת כיל‬
‫הקודם ‪,‬‬
‫האחרונה ‪.‬‬
‫" במשך מספר שנים אחרי הדו " ח‬
‫הופץ לכל מנהלי המאגרים מכתב המפרם את מחויבויותיהם על פי‬
‫המודעות לאבמחת מידע בכלל אנו רואים הקפדה רבה יותר מבעבר על אישור‬
‫החוק ‪.‬‬
‫עקב עליית‬
‫ההרשאות ‪" .‬‬
‫‪.‬‬
‫ש‬
‫רשושי‬
‫*‬
‫‪4‬ש‬
‫ע ' ר " ת תל אבך ‪ -‬יפז‬
‫מבקר העירייה‬
‫*‬
‫לתך‬
‫)‬
‫טיפול במתן הרשאות ו ' הקמת משתמש '‬
‫‪. 40‬‬
‫בדו " ח הביקורתי מס '‬
‫‪735‬‬
‫בנושא אבטחת מידע לשנת ‪ 2006‬נכתב כי הטיפול בהרשאות הינו‬
‫תחום טיפול מרכזי של עובדי אבטחת מידעי על פי הממצאים בדו " ח זה נהוג היה לתת לעובדים‬
‫הרשאות בצורה פרטנית‪ 7‬על פי דרישות יחידות העירייה ‪ .‬כמו כן נמצא כי בתהליך מתן ההרשאות‬
‫שולבו תהליכי עבודה ידניים ארוכים‪ 7‬הדורשים ניירת מרובה ‪ .‬מבדיקת הביקורת נמצא כי נכון‬
‫לתקופת הביקורת נבנה מנגנון ממוחשב להעברת טפסים בין הגורמים‬
‫השונים ‪.‬‬
‫בהרשאות ‪.‬‬
‫‪. 41‬‬
‫אנשי יחידת אבטחת מידע עוסקים בטיפול‬
‫‪. 42‬‬
‫הגדרת ההרשאות ניתנת לעובד ולא לתפקיד ‪ .‬במערכות המחשוב החדשות משייכים עובד לתפקיד‬
‫ובמערכות המחשוב הישנות לא ניתן לעשות‬
‫‪. 43‬‬
‫בדו " ח הביקורתי מס '‬
‫‪735‬‬
‫כן ‪.‬‬
‫בנושא אבטחת מידע משנת ‪ 2006‬נכתב כי על אבטחת מידע לוודא‬
‫שהרשאות גישה למערכות מידע ולשירותים‪ 7‬מוקצות ומתוחזקות כראוי ולכן נדרשת הגדרה של‬
‫תהליך רישום וביטול להרשאות גישה למערכות מידע ולשירותים ‪ .‬נכון למועד עריכת הביקורת‬
‫המלצה זו‬
‫‪. 44‬‬
‫יושמה ‪.‬‬
‫נכון לתקופת איסוף הממצאים לדו " ח הביקורת מתן ההרשאות לגישה למאגרי מידע נעשה‬
‫באמצעות שימוש בטופס ממוחשב ‪ .‬טופס זה כולל הצהרת סודיותי חתימות של מאשרי הבקשה‪7‬‬
‫פירוט הרשאות מבוקשות ועוד ‪ .‬מבדיקת הביקורת עולה כי השימוש בטופס זה מאפשר ניהול יעיל‬
‫ומבוקר של מתן‬
‫‪. 45‬‬
‫הרשאות ‪.‬‬
‫על פי מידע שנמסר לביקורת על ידי מנהל יחידת אבטחת מידע נמצא כי היחידה מטפלת בכ ‪500 -‬‬
‫טפסי בקשה למתן הרשאותי מדי חודש ‪ .‬כלומר כ ‪ 25 - 20‬טפסים ליום עבודה‬
‫‪. 46‬‬
‫בממוצע ‪.‬‬
‫מנהל יחידת אבטחת מידע מסר לביקורת כי הטיפול במתן הרשאות והקמת משתמש ( ' יוזר ' ) י הוא‬
‫לעיתים תהליך ארוך הדורש פתיחת הרשאות במערכות שונות כגון ( רשתי מחשב מרכזיי מרשם‬
‫תושבים‪ 7‬מחו " ג ומשרד הפנים ‪ .‬אורכו של תהליך פתיחת משתמש במערכת הוא כ ‪ 20 - 15 -‬דקות‬
‫לעובד חדש‬
‫וכ ‪ 30 -‬דקות לעובד שצריך לקבל הרשאה למחשב המרכזי ‪ .‬על בסיס נתונים אלו‬
‫נמצא כי כ ‪ 250 - 125 -‬שעות עבודה בכל חודש מוקדשות על ידי עובדים באבטחת מידע לטיפול‬
‫בהרשאות ‪.‬‬
‫‪18‬‬
‫רשושן‬
‫‪dr‬‬
‫‪. 47‬‬
‫ע ' ר " ת תל‬
‫אבך ‪ -‬יפי‬
‫מבקר העירייה עי‬
‫ע‪ .‬ן‬
‫"‬
‫לתך‬
‫)‬
‫מבדיקת הביקורת עולה כי אין מיפוי של הרשאות לקוחותי ולא ניתן למצוא בצורה קלה ופשוטה‬
‫את כל ההרשאות של משתמש אחדי אלא רק לאחר חיפוש במספר מערכות ‪ .‬כלומר יכול להיות‬
‫מצב שבו המשתמש נעול לכניסה לרשתי אולם יש לו הרשאות שימוש במערכות שונות שלא‬
‫נחסמו ולעיתים השימוש במערכות אלו מחייב תשלום עבור רישיון‬
‫בתוגבה לממצאים מסר מנהל אבטחת מידע לביקורת כי‬
‫הזמן תלויה בבקשת ההרשאה‬
‫מידע נאישור‬
‫הבקשה ‪,‬‬
‫עצמה ‪.‬‬
‫שימוש ‪.‬‬
‫" לגבי משך המיפול‬
‫כך לדוגמא יש מפסים רבים שעוברים‬
‫הגדרת הרשאות בסביבה‬
‫הגדרת הרשאות ביישום למשל מחו " ג או‬
‫המבוזרת ‪,‬‬
‫בהרשאות ‪,‬‬
‫‪4‬‬
‫הערכת‬
‫תחנות באבמחת‬
‫הגדרת הרשאות במחשב‬
‫המרכזי ‪,‬‬
‫חות " ם ) ‪.‬‬
‫מתבצעת פעילות פיתוח חדשה לביצוע הגדרות בצורה ממוחשבת ואומוממית בסביבה המבוזרת‬
‫עם אינמגרמור‬
‫חיצוני ‪.‬‬
‫התוכנה מתוכננת גם לענות על הצורך במיפוי מדויק יותר של הרשאות‬
‫הלקוח ‪.‬‬
‫מתבצעת בקרה‬
‫רבעונית לנעילת משתמשים‬
‫מבומלות הרשאותיו‬
‫‪800‬‬
‫ברשת ‪,‬‬
‫שבמסגרתה‬
‫עובד שהפסיק‬
‫את עבודתו‬
‫ננעל ‪,‬‬
‫ומבומלות הרשאותיו במערכת מחו " ג ‪ -‬שבה עלות הרשיון היא כ‬
‫יורו ‪. " .‬‬
‫‪DBA‬‬
‫‪. 48‬‬
‫על פי מידע שנמסר לביקורת על ידי מנהלת מסדי הנתונים עולה כי שלושה בעלי תפקידים ביחידה‬
‫עובדים עם ' יוזר גנרי '‬
‫אחד ‪.‬‬
‫לשאלת הביקורת נמסר כי כיום לא ניתן לזהות מי מבין בעלי‬
‫התפקידים עשה שימוש ב ' יוזר הגנרי ' ומתיי ובמקרה שיתעורר צורך בניטור המידעי לא ניתן יהיה‬
‫לעשות זאת‬
‫‪. 49‬‬
‫בדיעבד ‪.‬‬
‫בתגובה לממצאי דו " ח הביקורתי מס '‬
‫‪735‬‬
‫בנושא אבטחת מידע לשנת ‪ 2006‬נמסר על ידי הנהלת‬
‫האגף כי ביצוע בקרה וניטור מדגמי של היחידה נכללת במשימות אבטחת מידע ‪ .‬מבדיקת הביקורת‬
‫את פירוט הבקרות הנערכות על ידי יחידת אבטחת מידע נמצא כי נכון למועד עריכת הביקורת לא‬
‫בוצעו בקרות כלל ‪ .‬בוצעה החלפת סיסמא של כל ה ‪ Domain Administrators‬פעם אחת בשנת‬
‫‪. 2009‬‬
‫בתגובה למממצאים מסר מנהל אבטחת מידע לביקורת‬
‫על בסיסי‬
‫כיל " מחלקת ה ‪ Dba‬מבצעת בקרות משלה‬
‫הנתונים ‪.‬‬
‫מוצר סנמריגו שהוממע בחלק מבסיסי הנתונים משפר את מצב האבמחה של בסיסי‬
‫הנתונים ‪.‬‬
‫המשתמש הגנרי הבעייתי הוא משתמש ‪ 58‬המשמש את עובדי מחלקת ‪ dba‬לצרכים‬
‫עבודת משתמש זה הוגבלה ל‬
‫‪4‬‬
‫רבים ‪.‬‬
‫מחשבים נקבע שהסיסמא תהיה שונה בין הדומיינים השונים‬
‫ובחלק מהסביבות ‪ .‬שונתה פעם אחת‬
‫הסיסמא ‪.‬‬
‫אי‪Ar-‬‬
‫ע'י‬
‫‪.‬‬
‫" תתיאנ ‪ ,‬נ ‪ -‬גו‬
‫מנקרהע ‪ ,‬רי ‪ ,‬ה‬
‫א‬
‫במסגרת הנימור השוסף של סנמריגו נרשמות פעולות חריגות אבמחתית בבסיסי הנתונים שבהם‬
‫הסנמריגו ‪.‬‬
‫מוממע‬
‫נשכר עובד בהיקף‬
‫‪500‬‬
‫נתונים " ‪.‬‬
‫שעות לשנה שתפקידו לבצע " אבמחת בסיסי‬
‫מתודולוגיה לאבמחת בסיסי‬
‫נכתבה סיומת‬
‫נתונים ‪.‬‬
‫בקרת היישומים כוללת כמובן גם היבמי אבמחה של בסיסי הנתונים מבחינה‬
‫אפליקמיבית ‪. " .‬‬
‫מרריקט ה ‪DRP -‬‬
‫‪. 50‬‬
‫במסגרת פרויקט ה ‪ DRP‬נערך מיפוי של מערכות העירייה והגדרת רמות הקריטיות של כל‬
‫מערכת ‪ .‬על פי מסמך סטטוס של אגף המחשוב מיום‬
‫‪5 . 8 . 2007‬‬
‫שנמסר לידי הביקורת על ידי‬
‫מנהל אבטחת מידע עולה כיל‬
‫הוחלט על מיפוי המידע העירוני מבחינה אבטחתית‪ 7‬להוסיף את רמת הסיכון לכל מערכת‬
‫בטבלת מערכות שהוכנה ל ‪. DRP -‬‬
‫מתבצעת הכנה של רשימת מערכות ע " י רכזי המחשוב ‪ .‬יבוצע טיוב בין רשימה זו לרשימה‬
‫הקיימת באבטחת מידע ‪ .‬לרשימה יוכנס הסיכון האבטחתי ‪ .‬הרשימה תוכנס לדיון בפורום‬
‫מטה ‪ .‬המועד המעודכן לביצוע היה ספטמבר‬
‫‪. 2007‬‬
‫מנהל אבטחת מידע מסר לביקורת בתאריך ‪ 28‬באוגוסט ‪ 2011‬כי‬
‫יצאה מידי אבמחת מידע לפני כ ‪-‬‬
‫במסה חמיבת‬
‫‪8‬‬
‫" הפעילות בנושא ה ‪drp‬‬
‫שנים והועברה לתפעול ‪ .‬מתפעול הועברה לפרוייקמור‬
‫תכנון ‪. " .‬‬
‫גיבוי‬
‫‪. 51‬‬
‫גיבוי מערכות המידע וביצוע בקרה על איכות‬
‫נעשים על ידי מנהלי‬
‫הגיבויים ‪.‬‬
‫מבדיקת הביקורת עולה כי הגיבויים‬
‫הרשת ‪.‬‬
‫סקר סיכונים‬
‫‪. 52‬‬
‫בסעיף ‪ 15‬בהערות ראש העירייה בדו " ח הביקורתי מס '‬
‫נכתבו‬
‫‪735‬‬
‫בנושא אבטחת מידע לשנת ‪2006‬‬
‫" המנכ " ל אישר לבצע סקר ניהול סיכוני אבמחת מידע במערכות המידע והממשקים‬
‫הפועלים בעירייה ‪ .‬לצורך ביצועו ויישום ההמלצות אושר תקציב‬
‫‪. 53‬‬
‫ייעודי ‪" .‬‬
‫לביקורת נמסר על ידי מנהל היחידה לביטוח וניהול סיכונים בתאריך ‪11‬‬
‫‪.‬‬
‫‪79 . 2 .‬‬
‫כי בעבר התקיימו‬
‫דיונים עם בעלי תפקידים באגף המחשוב לצורך בחינה של סוגיות שונות בנושא אבטחת מידע‬
‫ובחינת כדאיות הביטוחי אולם לא מתקיימת עבודה שיטתית וקבועה‬
‫‪20‬‬
‫בנושא ‪.‬‬
‫אי‪Ar-‬‬
‫‪. 54‬‬
‫ע'י‬
‫‪.‬‬
‫" תתיאנ ‪ ,‬נ ‪ -‬גו‬
‫מנקרהע ‪ ,‬רי ‪ ,‬ה‬
‫על פי מסמך ' מדיניות אבטחת מידע ' נקבע כי באחריות ממונה אבטחת מידע להכין הערכת סיכונים‬
‫ולבצע סקר סיכונים תקופתי המבוסס על פעילות העירייה ומערכות המידע‬
‫‪. 55‬‬
‫א‬
‫מבדיקת הביקורת עולה כי בדצמבר ‪ 2007‬בוצעה‬
‫' הערכת סיכוני‬
‫שברשותה ‪.‬‬
‫אבמחת מידע ' על ידי חברה‬
‫חיצונית ‪ .‬במסגרת בחינה זו התקבלה תמונת האיומים הכוללת ‪ .‬ניתוח הממצאים כלל דירוג כמותי‬
‫של דרגות הסיכון ומדרוג רמות הסיכון‪ 7‬מסקנות‬
‫‪. 56‬‬
‫בסעיף יא ' לדו " ח‬
‫לבדיקה‬
‫זו )‬
‫' הערכת סיכוני אבמחת‬
‫מידע ' ‪,‬‬
‫והמלצות ‪.‬‬
‫נכתב כי‬
‫" מומלץ לבצע בדיקת סיכונים‬
‫נבדומה‬
‫לאחר גמר ביצוע התיקונים לאחר פרק זמן של מספר חודשים על מנת לקבל תמונת‬
‫מצב עדכנית של סיכוני אבמחת המידע ברשת‬
‫המחשוב ‪,‬‬
‫בדיקה ומעקב אחר יישום התיקונים‬
‫שנדרשו בבדיקה הנוכחית וקבלת רשימת פעולות לביצוע על מנת לסגור את הפרצות הקרימיות‬
‫בארגון ‪. " .‬‬
‫‪. 57‬‬
‫לא בוצע סקר סיכונים‬
‫‪. 58‬‬
‫בתגובה לממצאים מסר מנהל אבטחת מידע לביקורת כיל‬
‫נוסף‪ 7‬נכון לחודש יוני ‪. 2011‬‬
‫מותנע בימים אלו סקר‬
‫מתבצע על‬
‫‪3‬‬
‫סיכונים ‪,‬‬
‫דומיינים נרשת‬
‫הכולל אף הקצאת‬
‫העירייה ‪,‬‬
‫אתר האינמרנם‬
‫" בעקבות החלמה של מנהלת האגף‬
‫שעות לבדיקת‬
‫העירוני ‪,‬‬
‫החדש שהוקם לאחרונה נחוות תקשוב החינוך ) התבצע נסיון‬
‫באישוש ‪ /‬תיקוף‬
‫הסיכונים‬
‫שהוגדרו ‪,‬‬
‫בת " ע‬
‫‪2012‬‬
‫התיקון ‪.‬‬
‫תוקצבו‬
‫‪2‬‬
‫רשת ארגון‬
‫פריצה ‪,‬‬
‫נסיונות‬
‫סקר הסיכונים‬
‫העובדים ) ‪.‬‬
‫לדומיין‬
‫נסיונות אלו מסייעים‬
‫פריצה‬
‫לרשת ‪,‬‬
‫שיסייעו‬
‫‪.‬‬
‫באיתור הסיכונים "‬
‫יכולת הניטור והמעקב‬
‫‪. 59‬‬
‫בסעיף ‪ 16‬בהערות ראש העירייה בדו " ח הביקורתי מס '‬
‫נכתבו‬
‫‪735‬‬
‫" נושא שיפור יכולת הנימור והמעקב יקבל עדיפות‬
‫בנושא אבטחת מידע לשנת ‪2006‬‬
‫בת " ע ‪ , 2008‬כולל הבימוי התקציבי‬
‫לכך ‪" .‬‬
‫‪. 60‬‬
‫לשאלת הביקורת נמסר על ידי מנהל יחידת אבטחת מידע כי ברשותם כלים טכנולוגיים למניעת‬
‫זליגת מידעי אולם הדבר דורש החלטה ניהולית והקצאה של שעות הטמעה‪ 7‬פיקוח ובקרה‪ 7‬וביצוע‬
‫ניטור מדגמי של בעלי הרשאות לנושא‬
‫‪. 61‬‬
‫זה ‪.‬‬
‫ניטור אבטחתיל‬
‫לשאלת הביקורת נמסר כי נעשית פעילות אבטחת מידע רשתית הכוללת ‪ ips‬פנימי‪ 7‬אולם אין‬
‫בדיקה פרטנית של כל מסוףי בדיקה טכנולוגית לאיתור תוכנות מאיימות ופוגעניות בנקודות קצה‬
‫ובנוסף אין בדיקה פיזית של אתרים‬
‫חדשים ‪.‬‬
‫‪21‬‬
‫אי‪Ar-‬‬
‫ע'י‬
‫‪.‬‬
‫" תתיא‪ , 1‬נ ‪ -‬גו‬
‫מ‪1‬קרהע ‪ ,‬רי ‪ ,‬ה‬
‫בתגובה לממצאים מסר מנהל אבטחת מידע לביקורת כי‬
‫כיום חיוויים מ‬
‫‪4‬‬
‫תוכנות מרכזיות ‪ :‬מערכת האנמי וירוס‬
‫מערכת ‪ , Mom‬מערכת ‪ setntrigo‬נבסיסי‬
‫נימור אתרי האינמרנם העירוניים ‪ -‬במהלך‬
‫נתונים )‬
‫‪2011‬‬
‫(‬
‫א‬
‫" חיוויים ‪ -‬יחידת אבמחת מידע מקבלת‬
‫) ‪. ISymantec Endpoint Protection‬‬
‫ומערכת ה ‪ spectrum‬לשלימה‬
‫נרכש מוצר לנימור וגיבוי אתרי‬
‫ובקרה ‪.‬‬
‫אינמרנם ‪.‬‬
‫המוצר כולל ביצוע גיבוי שבועי של אתר האינמרנם העירוני ‪ ,‬נימור האתר נאנושי ‪ -‬בשעות‬
‫העבודה )‬
‫של‬
‫ויכולת מעבר לאתר חלופי בענן מיקרוסופם ‪ .‬בימים אלה נרכשת גירסא מתקדמת יותר‬
‫המוצר ‪.‬‬
‫ל ‪ 20 12‬מתוכננת רכישת שירות ‪ siemisoc‬לשיפור יכולות הנימור והתגובה לאירועי‬
‫‪. 62‬‬
‫בקרה על בסיס הנתונים‬
‫אבמחה ‪. " .‬‬
‫(‬
‫קיימת תוכנה לבקרה על בסיס הנתונים‪ 7‬המופעלת כיום‪ 7‬על פי מנהל אבטחת מידעי בהיקף של‬
‫‪ 600‬שעות שנתיות ‪ .‬התוכנה מבצעת בקרות ברמת הניטור בלבדי אולם לא מבוצעות בקרות באופן‬
‫כללי ‪.‬‬
‫טיפול בענייני משמעת‬
‫לביקורת נמסר על ידי התובע לענייני משמעת כי לא טופלו עבירות הקשורות באבטחת מידע במהלך‬
‫השנים ‪. 2010 - 2008‬‬
‫מיקום ארגוני‬
‫‪. 63‬‬
‫יחידת אבטחת מידע ממוקמת בכפיפות לארכיטקט הראשי ‪ .‬על פי המלצות דו " ח ביקורתי מס '‬
‫‪735‬‬
‫בנושא אבטחת מידע לשנת ‪ 2006‬המנכ " ל הנחה את אגף ארגון ותקינה לבצע בחינה ארגונית לגבי‬
‫כפיפות היחידה בתוך אגף המחשובי תוצאות הבחינה אמורות היו להיות מוצגות עד ‪ 15‬ביולי‬
‫‪. 2007‬‬
‫‪. 64‬‬
‫מבדיקת הביקורת עולה כי לא התקבלה החלטה בנושא למרות שנערכו מספר דיונים והוצגו מספר‬
‫חלופות ‪.‬‬
‫היערכות למצב חירום‬
‫‪. 65‬‬
‫בדו " ח אבטחת מערכות מידעי מס '‬
‫של קריסת‬
‫‪. 66‬‬
‫‪735‬‬
‫לשנת‬
‫‪72006‬‬
‫נכתב כי נדרש נוהל לשעת חירום למקרה‬
‫מערכות ‪.‬‬
‫בסעיף ‪ 7‬בהערות ראש העירייה בדו " ח אבטחת מערכות מידעי מס '‬
‫‪735‬‬
‫לשנת‬
‫‪72006‬‬
‫תוכן תוכנית היערכות למצב חירום‪ 7‬הכוללת צעדים אופרטיביים ליישום עד סוף שנת‬
‫‪22‬‬
‫נכתב כי‬
‫‪. 2007‬‬
‫אי‪Ar-‬‬
‫‪. 67‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫‪ ,‬נ ‪ -‬גו‬
‫מ קרהע ‪ ,‬רי ‪ ,‬ה‬
‫~‬
‫~‬
‫א‬
‫ממידע שנמסר לביקורת על ידי הארכיטקט הראשי עולה כי התקציב לכך התקבל בשנת ‪2011‬‬
‫ובתקופת הביקורת התבצעה עבודה ברמה עירונית‬
‫בנושא ‪.‬‬
‫רכזי המחשוב‬
‫‪. 68‬‬
‫על פי דו " ח מס '‬
‫‪735‬‬
‫לשנת‬
‫‪ 2006‬בתקופת הביקורת בוצעה עבודה בהובלת ארגון ותקינה‬
‫להגדרת תפקיד רכז המחשוב ותפקידו בהקשר של אבטחת‬
‫‪. 69‬‬
‫מידע ‪.‬‬
‫מבדיקה שנערכה על ידי הביקורתי נכון לחודש יוני ‪ 2011‬עולה כי במהלך השנים נבחנו מספר‬
‫הצעות בנוגע לתפקיד רכז המחשובי אולם עד לתקופת איסוף הממצאים לדוח ביקורת זה לא‬
‫התקבלה החלטה‬
‫‪. 70‬‬
‫בנושא ‪.‬‬
‫מבדיקת הביקורת עולה כי לרכז המחשוב משימות בנושא אבטחת מידע המוגדרות במספר נהלים‬
‫המופיעים בפורטל אגף‬
‫מבדיקת הביקורת עולה כי קיימת שונות ביישום ובביצוע‬
‫המחשוב ‪.‬‬
‫התפקיד כפי שהוא מוגדר בנהלים אלו על ידי רכזי המחשוב ביחידות‬
‫בתגובה לממצאים מסר מנהל אבטחת מידע לביקורת כי‬
‫מידע ‪,‬‬
‫רכזי המחשוב‬
‫הם‬
‫מרכזיים ‪,‬‬
‫שותפים‬
‫וכבאלה‬
‫(‬
‫השונות ‪.‬‬
‫" מנקודת מבמה של יחידת אבמחת‬
‫מקבלים‬
‫שירות‬
‫הלקוחות לאבמחת מידע מחויבות במעורבות רכז המחשוב נלמשל מתן‬
‫בהתאם ‪.‬‬
‫הרשאה ) ‪.‬‬
‫חלק‬
‫מפניות‬
‫התקיימו אף‬
‫‪2‬‬
‫ישיבות עם רכזי המיחשוב לליבון סוגיות שונות באבמחת מידע ‪. " .‬‬
‫קליטת עובד חדש‬
‫‪. 71‬‬
‫מסמך ' מדיניות אבטחת מידע ' המגדיר כי המידע יסווג לפי אופיו וכללי האבטחה שיחולו עליו יהיו‬
‫לפי‬
‫סיווגו ‪.‬‬
‫להלן פירוט הסיווגים‬
‫(‬
‫מערכת בלתי מסווגתי מערכת תפעולית‪ 7‬מערכת כספית‬
‫ומערכת המכילה נתוני צנעת הפרט ‪ .‬כהחלטה אסטרטגית החליטה העירייה לקטלג את כלל המידע‬
‫ברמה ביטחונית " נתוני צנעת הפרט " ‪ .‬בסעיף‬
‫‪8. 1 .2‬‬
‫למסמך זה נכתב כי‬
‫" כל עובד עירייה וכל‬
‫קבלן חיצוני אשר תורשה לו גישה למערכות המחשב של העירייה יעבור בדיקה במרם תאושר‬
‫הגישה למערכות ‪. " .‬‬
‫‪. 72‬‬
‫מבדיקת הביקורת עולה כי בעת קליטת עובד חדש לא נעשית בדיקה מעמיקה אודות העובדי גם‬
‫במקרים שבהם הוא מיועד לתפקיד שיש בו גישה למאגרי מידע רבים ורגישים‪ 7‬כדוגמת מנהלי‬
‫רשתות ‪.‬‬
‫‪23‬‬
‫אי‪Ar-‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫מנקרהע ‪ ,‬רי ‪ ,‬ה‬
‫‪ ,‬נ ‪ -‬גו‬
‫א‬
‫~‬
‫תחומי אחריות וסמכות במערך התפקידים באבטחת מידע‬
‫‪. 73‬‬
‫בדו " ח הביקורת מס '‬
‫‪735‬‬
‫בנושא אבטחת מידע לשנת‬
‫‪72006‬‬
‫נמצא כי אבטחת מידע בעירייה‬
‫עוסקת בעיקר במישור התפעוליי המתבטא בעיקר בנושא הטיפול בהרשאות ‪ .‬בדו " ח זה נמצא כי‬
‫הטיפול במישור התורה ובנהלי העבודה נעשה בצורה חלקית ועל ידי מנהל היחידה בלבד ‪ .‬לשאלת‬
‫הביקורת נמסר על ידי מנהל אבטחת מידע כי נכון לתקופת איסוף הממצאים לדוח זה‪ 7‬מספר בעלי‬
‫תפקידים ביחידה עוסקים במישור התורה וקביעת מדיניות אבטחת מידע אבל עדיין מרבית בעלי‬
‫התפקידים עוסקים בעיקר במישור‬
‫התפעול ‪.‬‬
‫בתגובה לממצאים מסר מנהל אבטחת מידע לביקורת כי‬
‫‪2‬‬
‫תחומים‬
‫נסביבת ה ‪ perimitter‬והסביבה‬
‫שוספים ולצרכי‬
‫בתחום‬
‫(‬
‫" העבודה התפעולית מתחלקת היום בין‬
‫הפנימית )‬
‫ומתבצעת העברת משאבים לצרכים‬
‫התמקצעות ‪.‬‬
‫המתודולוגי מתבצעת‬
‫העבודה‬
‫ע" י‬
‫מתודולוגיה ‪ :‬מתודולוגיית אבמחת בסיסי‬
‫‪3- 4‬‬
‫נתונים ‪,‬‬
‫אנשים ‪.‬‬
‫נכתבו‬
‫נהורחבו )‬
‫מתודולוגיית כתיבה‬
‫לאחרונה‬
‫מאובמחת ‪,‬‬
‫אבמחה למוצרי תוכנה נרכשים נמוצרי מדף או מוצרים המפותחים במיוחד עבור‬
‫תוכניות העבודה השנתיות מגובשות במחלקה בשיתוף אותם‬
‫בתחום‬
‫התכנון‬
‫המווח‬
‫ארוך‬
‫משתתפים מצד העיריה שני‬
‫נאסמרמגי )‬
‫מתבצעת‬
‫‪3‬‬
‫רכיבי‬
‫ריכוז דרישות‬
‫העירייה ) ‪.‬‬
‫גורמים ‪.‬‬
‫עם‬
‫עבודה‬
‫חברת‬
‫ייעוץ‬
‫נקיורימי )‬
‫שבה‬
‫נציגים ‪. " .‬‬
‫שחזור חסימה‬
‫‪. 74‬‬
‫נכון לתקופת הביקורת תהליך שחזור סיסמא אמור להעשות על‬
‫נוהל זיהוי‬
‫משתמש ‪.‬‬
‫ידי מוקד התמיכה והשירותי על פי‬
‫מבדיקת הביקורת עולה כי נוהל זה אינו מיושם ואינו‬
‫מבוקר ‪.‬‬
‫מנתונים‬
‫שנמסרו לביקורת על ידי מנהלת מרכז השירות והתמיכה עולה כי כ ‪ 30 % -‬מהפניות אל מרכז‬
‫השירות נעשות בנושא סיסמאות ‪ .‬מבדיקת הביקורת עולה כי לא נעשות פעולות יזומות לרענון‬
‫הנוהל ו ‪ /‬או על ביצוע בקרה על יישומו על ידי יחידת אבטחת‬
‫‪. 75‬‬
‫המידע ‪.‬‬
‫מבדיקת הביקורת עולה כי קיימת הנחיית עבודה לאופן שחזור סיסמת משתמש ‪ .‬על פי הנחיית‬
‫העבודה לצורך אימות נתונים יש לבצע מספר פעולות כגון‬
‫(‬
‫לבקש שם משתמש ומספר‬
‫ת ‪ .‬ז‪7‬‬
‫לשאול מספר שאלות לגבי זהות המשתמש ועוד ‪ .‬הנחיית העבודה אינה מיושמת במלואה ואינה‬
‫מבוקרת בצורה‬
‫ראויה ‪.‬‬
‫‪24‬‬
‫אי‪Ar-‬‬
‫‪. 76‬‬
‫ע'י‬
‫‪.‬‬
‫" תתיא‪ , 1‬נ ‪ -‬גו‬
‫מ ‪ :‬קרהע ‪ ,‬רי ‪ ,‬ה‬
‫א‬
‫הביקורת בחנה הנחיית עבודה ולהלן פירוט הממצאים ( אחת ההוראות המופיעות בהנחיית העבודה‬
‫לשחזור סיסמא היא כי אסור לאפס סיסמאות למשתמשים נעולים ב ‪ Disabled‬או להחזיר ל‬
‫‪ , Enable‬אלא רק משתמשים ב ‪ Locked out‬כלומר ננעלו כתוצאה מהקשת סיסמא שגויה ניתן‬
‫לשחרר ‪ .‬מבדיקת הביקורת עולה כי לא קיימים כלים טכנולוגיים שיאפשרו בדיקה של שחזור‬
‫סיסמא בניגוד להנחיות והנושא אינו מבוקר‬
‫כלל ‪.‬‬
‫בתגובה לממצאים מסר מנהל אבטחת מידע לביקורת כי‬
‫שחרור משתמשים הנעולים ב‬
‫אין מעקב אחר קיום ‪ /‬אי קיום‬
‫במהלך‬
‫‪2011‬‬
‫‪. disabled‬‬
‫הנוהל ‪.‬‬
‫התקיים פיילום למימוש האפשרות של שחרור סיסמא ע " י משתמש הקצה נע " י‬
‫התחברות לפורמל‬
‫סיסמא‬
‫(‬
‫" מוקד השירות אינו מורשה ואינו מבצע‬
‫חדשה ) ‪.‬‬
‫הפנימי ‪,‬‬
‫מענה על שאלות שתשובותיהן קיימות במערך משאבי אנוש ובחירת‬
‫הפיילום נערך בשיתוף מחלקת אינמגרציה והוקצה תקציב לפעילות זו במהלך‬
‫‪. " . 2012‬‬
‫טימרל וכתקלות‬
‫‪. 77‬‬
‫על ידי‬
‫מרכז תמיכה ושירות‬
‫טיפול בתקלות מחשב נעשה מרחוק באמצעות תוכנה‪ 7‬על‬
‫ידי עובדי מרכז השירותי הטיפול מרחוק‬
‫נעשה אך ורק לאחר שהלקוח מאשר את ההשתלטות בזמן אמת על המחשב‬
‫שלו ‪.‬‬
‫בתגובה לממצאים נמסר על ידי מנהלת מחלקת שירות וקשרי לקוחות כי‬
‫‪ damware‬מבוצע באישור ובידיעת מנהלת‬
‫שירות‬
‫ללקוחות ‪,‬‬
‫מתוך הבנת המצוקה הקיימת בצורך במתן‬
‫כאשר קיים פער בתשתיות הקיימות לצורך‬
‫תחילה את אישור הלקוח להשתלמות על‬
‫‪. 78‬‬
‫האגף ‪,‬‬
‫(‬
‫" השימוש בכלי ה ‪-‬‬
‫כך ‪.‬‬
‫מפעילי המוקד הונחו לבקש‬
‫התחנה ‪. " .‬‬
‫על פי מנהלת מרכז השירות והתפעול הם מטפלים בכ ‪-‬‬
‫‪ 47500‬לקוחות ‪ .‬אולם לכ ‪ 500 -‬לקוחות‬
‫מתוכם אין אפשרות גישה מרחוק באמצעים הרגילים משום שלא מותקנת בהם המערכת‬
‫המאפשרת השתלטות מרחוק לצורך מתן שירות ‪ .‬במקרים אלו נעשה שימוש בתוכנת‬
‫‪.‬‬
‫השימוש בתוכנה זו אינו מחייב קבלת אישור להשתלטות מהלקוח בזמן אמתי ולפיכך ניתן לכאורה‬
‫להשתלט על המחשב מרחוק מבלי ידיעת‬
‫‪. 79‬‬
‫הלקוח ‪.‬‬
‫מבדיקת הביקורת עולה כי בעיה זו מוכרת ומטופלת על ידי אגף המחשובי ואמורה להגיע לפתרונה‬
‫עד סוף שנת ‪. 2011‬‬
‫‪25‬‬
‫אי‪Ar-‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫מגקרהע ‪ ,‬רי ‪ ,‬ה‬
‫‪ ,‬נ ‪ -‬גו‬
‫א‬
‫~‬
‫הגדרת מסמאות‬
‫‪. 80‬‬
‫על פי הערות ראש העירייה בדו " ח מס '‬
‫‪735‬‬
‫בנושא אבטחת מערכות מידעי לשנת‬
‫‪72006‬‬
‫אכיפה של שימוש בסיסמאות והרכבת הסיסמה משילוב של סימן מיוחד אחד ולפחות ‪5‬‬
‫‪. 81‬‬
‫בהמלצות בדו " ח נכתב בין היתר כי‬
‫א‪.‬‬
‫נדרשת‬
‫ספרות ‪.‬‬
‫(‬
‫תוגדר מדיניות סיסמאותי בהתאם לרגישות המערכת על ידי מנהל אבטחת‬
‫במידה וסיסמא נמסרת למשתמש‬
‫(‬
‫מידע ‪.‬‬
‫הסיסמא לא תימסר דרך רשת האינטרנט‪ 7‬או דרך‬
‫תשתית לה נדרשת הסיסמא להזדהותי יש לאמת תחילה את זהות המשתמשי המשתמש‬
‫יחויב לשנות וניסמא בהתחברות ראשונית‬
‫למערכת ‪.‬‬
‫הסיסמאות לא יישמרו באופן גלויי או באופן הניתן לשחזור ברשומותי בזכרון‪ 7‬או במאגרי‬
‫מידע ‪.‬‬
‫סיסמא תבוטל מיידית בכל מקרה של חשש‬
‫לחשאיותה ‪.‬‬
‫אי שימוש בחשבון למשך תקופה של חצי שנה יביא לביטול הסיסמא הנדרשת בתהליך‬
‫ההזדהות לאותו‬
‫‪. 82‬‬
‫חשבון ‪.‬‬
‫מבחינת הביקורת עולה כי המלצות יושמו בתהליכי העבודה ובנהלים שהוגדרו ‪ .‬לביקורת אין כלים‬
‫לבחון את יישומם‬
‫בפועל ‪.‬‬
‫מוקד תמיכת משתמשים‬
‫‪. 83‬‬
‫מוקד תמיכת משתמשים באגף המחשובי מופעל על ידי חברה חיצונית החל משנת ‪ . 2006‬הביקורת‬
‫בחנה את חוזה ההתקשרות ולהלן הממצאים ( במפרט הטכני לחוזה‬
‫שרות '‬
‫משנת‬
‫‪72006‬‬
‫' הקמה ניהול ותפעול של מרכז‬
‫נקבע כי על הספק ועובדיו לנהוג על פי כללי ונהלי ומדיניות אבטחת המידע‬
‫הנהוגים בעירייה‪ 7‬ולהבטיח קיום מנגנוני אבטחת מידע באמצעות נהלים ברורים כולל מידע‬
‫שמופץ ברשת האינטרנט‪ 7‬עפ " י נהלי העבודה לאבטחת המידע הנהוגים‬
‫‪. 84‬‬
‫בעירייה ‪.‬‬
‫לביקורת נמסר הן על ידי מנהל אבטחת מידע והן על ידי מנהלת המוקד כי הנהלים הקשורים‬
‫לשחזור סיסמאות אינן מיושמות כהלכה ‪ .‬מניתוח דו " ח הקשבות במוקד תמיכת משתמשים מיום‬
‫‪ 10 . 1 . 10‬עולה כי ‪ 35 %‬מהפניות למוקד הן בנושא סיסמאות ( שינוי סיסמא‪ 7‬איפוס סיסמא ‪ .‬והזמן‬
‫הממוצע לטיפול בפנייה בנושא סיסמאותי על בסיס הנתונים המופיעים בדו " ח‬
‫דקות ‪.‬‬
‫‪26‬‬
‫זה‪7‬‬
‫עמד על‬
‫‪4.2‬‬
‫אי‪Ar-‬‬
‫ע'י‬
‫‪.‬‬
‫" תתיאנ ‪ ,‬נ ‪ -‬גו‬
‫מנקרהע ‪ ,‬רי ‪ ,‬ה‬
‫א‬
‫מנגנונים לניהול בקרות גישה במערכות חדשות‬
‫‪. 85‬‬
‫על פי דו " ח מס '‬
‫‪735‬‬
‫בנושא אבטחת מערכות מידעי לשנת‬
‫החדשות את מיטב המנגנונים לניהול בקרות‬
‫‪. 86‬‬
‫יש לכלול במערכות המחשוב‬
‫‪72006‬‬
‫גישה ‪.‬‬
‫בדו " ח סטטוס מיום ‪ 5 . 8 . 07‬צוין כי נכון ל ‪-‬‬
‫‪ 7 . 9 . 2008‬מתבצעת בקרה מפורטת של כל מערכת‬
‫בשלבי הפיתוח לצורך עמידה בהנחיות אבטחת מידע ובוצעה הדרכה לחלק מהצוותי כמו כן‬
‫אמורה היתה להיות הדרכה נוספת בסוף שנת ‪. 2007‬‬
‫‪. 87‬‬
‫משיחה שהתקיימה עם מנהל אבטחת מידע עולה כי מערכת המחו " ג מהווה דוגמה ליישום החלטה‬
‫זו ובשלב פיתוחה היתה מעורבת חברה המתמחה באבטחת‬
‫מידע ‪.‬‬
‫שטרתי האנטי וירוס‬
‫‪. 88‬‬
‫בדו " ח מס '‬
‫‪735‬‬
‫בנושא אבטחת מערכות מידעי לשנת‬
‫‪72006‬‬
‫נמצא כי מצב תחזוקת שרתי האנטי‬
‫וירוסי אינו יעיל דיו בהגנה בפני וירוס עבור כל קישור לרשת עירונית ולכן הביקורת המליצה‬
‫ליישם מנגנונים ממוכנים לניהול בקרות גישה במערכות מידע וביישומים‬
‫לשאלת הביקורת מסר מנהל אבטחת מידע ביום ה‬
‫מספקות יכולות ניהול של‬
‫במוצר ‪.‬‬
‫המוצר ‪.‬‬
‫האנמי וירוס‬
‫" מערכות האנמי וירוס השונות‬
‫יכולות המוצר הם כרגע המנגנונים הממוכנים לניהול הבקרות‬
‫הדיווחים המתקבלים נוגעים למחשבים‬
‫שלהם ‪.‬‬
‫‪28 . 8 . 2011‬‬
‫כי‬
‫( אפליקציות ) ‪.‬‬
‫שנדבקו ‪,‬‬
‫מחשבים שיש קשיים כלשהם מערכת‬
‫בנוסף הוגדר נוהל למיפול בשירות האנמי וירוס ‪ .‬תכננו לתקציב‬
‫אכיפת מדיניות הכולל אופצית מניעת התחברות לרשת ללא אנמי וירוס‬
‫לא‬
‫מעודכן ‪,‬‬
‫‪2012‬‬
‫מוצר‬
‫אבל התקציב‬
‫אושר ‪. " .‬‬
‫על פי דו " ח סטטוס מיום‬
‫‪. 8 . 07‬‬
‫‪75‬‬
‫אשר נמסר לידי הביקורת על ידי מנהל אבטחת מידע עולה כי‬
‫נכון ל ‪ ( 7 . 9 . 2008 -‬התאריך הנ " ל במקור ) הם מטפלים‬
‫בחסימה ‪.‬‬
‫החסימה נתקלת בקשיים‬
‫תפעוליים ומתבצעת עבודה לתיקון תקלות ( יחד עם יצרן הציוד וספק הציוד ) ‪ .‬מבצעים‬
‫הגנה‬
‫בתחנת עבודה סורקים כל שבוע באופן יזום עורכים בדיקה שבועית על קיום ‪ /‬אי קיום אנטי וירוס‬
‫מעודכן בת " ע ושרתים ותיקון תקלות ‪ .‬בנוסף מתבצע ניטור שוטף על כל הרשת וכל מחשב או‬
‫שרת ללא אנטי וירוס‬
‫מטופל ‪.‬‬
‫בדו " ח סטטוס זה נכתב כי החלפת התוכנה שמתבצעת אמורה לפתור את הבעיה ‪ .‬עד סוף השנה‬
‫יוחלפו כולם עד כה הוחלפו כ ‪ 200 -‬כפיילוט ‪ .‬לשאלת הביקורת מסר מנהל אבטחת מידע ביום ה‬
‫‪28 . 8 . 2011‬‬
‫כי‬
‫" מנהלת‬
‫הפריסה המתבצעת בימים‬
‫האגף‬
‫אלה ‪.‬‬
‫הנחתה‬
‫להתקדם‬
‫עם‬
‫הפרוייקם ‪.‬‬
‫סממוס ההפצה ‪ -‬נכון לרגע זה כ‬
‫יסתיים לקראת סוף אוקמובר השנה ‪. " .‬‬
‫יש תוכנית עבודה‬
‫‪750‬‬
‫להמשך‬
‫תחנות ושרתים ‪ .‬התהליך‬
‫אי‪Ar-‬‬
‫ע'י‬
‫‪.‬‬
‫" תתיאו ‪ ,‬נ ‪ -‬גו‬
‫א‬
‫מוקרהע ‪ ,‬רי ‪ ,‬ה‬
‫בתגובה לממצאים מסר מנהל אבטחת מידע לביקורת כיל‬
‫" שירותי‬
‫האנמי‬
‫העירוניים‬
‫וירוס‬
‫החינוך ) ‪.‬‬
‫מבוצעים בכל הרשתות נעירייה ‪ ,‬ארגון ‪ ,‬אתר האינמרנם העירוני ‪ ,‬אתר תקשוב‬
‫שירותי האנמי וירוס מורכבים מ ‪ :‬אנמי וירוס ב ‪ perimitter‬מתוצרת ‪ safenet‬שמבקר כל מה‬
‫שנכנס ויוצא מהרשת העירונית‬
‫‪1‬םורכב מ‬
‫‪4‬‬
‫מנועים שונים‬
‫נתקין ) ‪,‬‬
‫נתקין ) ‪,‬‬
‫אנמי וירוס בתוך ה ‪ exchange‬מתוצרת ‪Microsoft‬‬
‫אנמי וירוס בתחנות ובשרתים נראה פירום‬
‫‪ forfront‬מתוצרת ‪ Microsoft‬בשרתי ה ‪ mos -‬נלא מוממע באופן‬
‫ב‬
‫‪3‬‬
‫להלן ) ‪,‬‬
‫ואנמי וירוס‬
‫מלא ) ‪.‬‬
‫שנים האחרונות השתמשה העירייה ב ‪ trendmicro‬כמוצר האנמי וירוס בתחנות‬
‫המוצר לקה בחסר ב‪ 3‬תחומים ‪ :‬יכולות ניהול‬
‫גרועות ‪,‬‬
‫נשמשמעותה הפסקת קבלת עידכונים ופקודות משרת‬
‫לעבור למוצר‬
‫העירוני ‪.‬‬
‫נובמבר‬
‫אחר ובוצע פיילום‬
‫התנתקות תחנה או מעבודה מול השרת‬
‫הניהול )‬
‫ויכולות תמיכה‬
‫‪2011‬‬
‫העירייה למוצר‬
‫החדש ‪" .‬‬
‫גרועות ‪.‬‬
‫הוחלם‬
‫עם חברת מיקרוסופם להממעת ‪ Forefront‬כאנמי וירוס‬
‫הפיילום נכשל והוחלם לעבור ל ‪ sep‬המספק אנמי וירוס ויכולות‬
‫בוצע מעבר לב ‪-‬‬
‫ובשרתים ‪.‬‬
‫‪4050‬‬
‫תחנות עבודה‬
‫ושרתים ‪.‬‬
‫נוספות ‪.‬‬
‫נכון לחודש‬
‫לקראת סוף השנה תעבור כל‬
‫‪.‬‬
‫לתשומת לב ‪:‬‬
‫התייחסויות המבוקרים ואחרים לטיוטת ממצאי הביקורת בשלב אימות הממצאים ‪,‬‬
‫מצורפות לדוח בפרק הנספחים ‪,‬‬
‫ומהוות חלק בלתי נפרד מדוח‬
‫להתייחסויות ( אם צורפו ) שמורים במשרד מבקר‬
‫נספח א ‪ -‬התייחסות אגף מחשוב‬
‫ומ " מ‪7‬‬
‫מתאריך ‪11‬‬
‫הביקורת ‪.‬‬
‫הנספחים‬
‫העירייה ‪.‬‬
‫‪. 28 . 11 .‬‬
‫מסקר‬
‫כללי‬
‫‪. 89‬‬
‫מרבית המלצות דוח הביקורת בהיבטים של ניהולי קביעת מדיניותי קביעת נהלים ותהליכי עבודה‬
‫יושמו על ידי אגף המחשוב‬
‫ומ " מ‪7‬‬
‫בעוד שהמלצות הקשורות בנושאים הנוגעים לביצוע מעקבי‬
‫בקרה והטמעה של נושא אבטחת מידע בוצעו בצורה חלקית ולא‬
‫‪. 90‬‬
‫מספקת ‪.‬‬
‫היקפי העבודה של היחידה גדלו‪ 7‬גידול אשר קיבל ביטוי בהגדלת התקציב ובהגדלת‬
‫כ"א‪.‬‬
‫ההשקעה התקציבית הגדלה כמו גם הגדלת כ " א בנושא אבטחת מידע מעידה‪ 7‬לדעת הביקורתי על‬
‫תפיסת החשיבות של נושא אבטחת מידע בעיני הנהלת‬
‫‪28‬‬
‫העירייה ‪.‬‬
‫אי‪Ar-‬‬
‫‪. 91‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫‪ ,‬נ ‪ -‬גו‬
‫מ קרהע ‪ ,‬רי ‪ ,‬ה‬
‫~‬
‫~‬
‫המידע אודות ההשקעה התקציבית ביחידה הינו מבוזר ולביקורת נדרש תהליך של איסוף מידע‬
‫ממקורות שונים לצורך קבלת תמונה מדויקת של ההשקעה‬
‫‪. 92‬‬
‫א‬
‫התקציבית ‪.‬‬
‫הביקורת סבורה כי יחידת אבטחת מידע משקיעה משאבים רבים במשימות תפעוליות כגון מתן‬
‫הרשאות בעוד שהיא משמשת כגוף מטה מתכנןי מנהל ומבקר את הביצוע של נושא אבטחת מידע‬
‫בעירייה ‪ .‬לדעת הביקורת מצב שבו אותה יחידה מבצעת משימות תפעוליות ובקרה כאחד אינו‬
‫מיטבי ‪.‬‬
‫‪. 93‬‬
‫לדעת הביקורת אחד התפקידים החשובים של אבטחת מידע הוא ביצוע בקרות שוטפות על אופן‬
‫יישום המדיניות בנושאי אולם לדעת הביקורת נושא זה מטופל בצורה לא‬
‫מספקת ‪.‬‬
‫תקציב וכ " א‬
‫‪. 94‬‬
‫יש הפרדה בין תקציב אבטחת מידע לבין התקציב הכולל של האגף ‪ .‬במסגרת התקציב השוטף‬
‫והתקציב הבלתי רגיל נקבעו סעיפי תקציב ייעודיים לאבטחת מידעי אולם אין הבחנה בין עלות‬
‫עובדי אבטחת מידע לבין עלות השכר הכולל של ענף ארכיטקטורה‪ 7‬בספר‬
‫התקציב ‪.‬‬
‫מדיניות ‪ ,‬נהלים ותהליכי עבודה‬
‫‪. 95‬‬
‫נושא אבטחת מידע עוגן במסמך מדיניות בנושא אבטחת מידעי הוגדרו נהלים בנושאי הוגדר‬
‫תפקידו של ממונה אבטחת מידעי הוגדרו סמכויות ואחריות ליישום המדיניות והוקמה ועדת היגויל‬
‫א‪.‬‬
‫לא כל התחומים המוגדרים במסמך המדיניות יושמו בתקופת הביקורת ‪ -‬מסמך ' מדיניות‬
‫אבטחת מידע ' כולל פירוט של תחומים שונים‪ 7‬ובין היתר פירוט תחומי האבטחה ; מבנה‬
‫ארגוני לניהול וליישום אבטחת מידע ; הגדרה של רמה מחייבת של אבטחת מידע ; סמכות‬
‫ואחריות‬
‫ב‪.‬‬
‫ועוד ‪.‬‬
‫ועדת היגוי לנושא אבטחת מידע אמורה לייעץ למנכ " ל העירייה אודות מדיניות אבטחת‬
‫המידע ולהנחות את הממונה על אבטחת המידע בהתאם למדיניות‬
‫מתכנסת בצורה סדירה‬
‫זו‪7‬‬
‫אולם ועדה זו לא‬
‫וקבועה ‪.‬‬
‫קודם ‪.‬‬
‫ג‪.‬‬
‫תהליך אישור הנהלים שונה וקוצר על פי המלצות דוח‬
‫ד‪.‬‬
‫המלצות דוח קודם בנושא הגדרת נהלים יושמו ‪ .‬בפורטל אגף המחשוב יש נהלים‪ 7‬הנחיות‬
‫עבודה וטפסים‪ 7‬אולם אין אחידות באופן כתיבת הנהלים וחלק מהנהלים אינן עדכניים ו ‪ /‬או‬
‫אינם מיושמים‬
‫במלואם ‪.‬‬
‫‪29‬‬
‫רשושן‬
‫‪dr‬‬
‫‪. 96‬‬
‫ע ' ר " ת תל אבך ‪ -‬יפז‬
‫מבקר העירייה‬
‫עי ע ‪ .‬ן‬
‫"‬
‫לתך‬
‫)‬
‫מודעות והדרכה‬
‫א‪.‬‬
‫הביקורת סבורה כי נעשות פעולות רבות של הגברת המודעות ומתן הנחיות לעובדים אולם‬
‫לא מתקיימות מספיק פעולות המיועדות לדרג הניהולי ‪ .‬לדעת הביקורת פעולות אלו נעשות‬
‫יותר בהיבט של תפעול ותחזוקה ופחות כמהלך שמטרתו עידוד חשיבה ולקיחת‬
‫ב‪.‬‬
‫הביקורת סבורה כי לא נעשות הדרכות מקצועיות מספיקות לעובדים באבטחת‬
‫ג‪.‬‬
‫עובדים חדשים הנקלטים בעירייה באגפים אחרים אינם עוברים הכשרה ייעודית בנושא‬
‫אבטחת‬
‫‪. 97‬‬
‫אחריות ‪.‬‬
‫מידע ‪.‬‬
‫מידע ‪.‬‬
‫בקרה‬
‫חל שינוי משמעותי בהיקף ובסוג הבקרות המבוצעות על ידי אבטחת מידע ‪ .‬הבקרות הנדרשות‬
‫הוגדרו על ידי אבטחת מידע בתוכנית עבודה שיטתית ומקיפהל אולם למרות זאת חלק מן הבקרות‬
‫אינן מבוצעות או שהמידע על ביצועם אינו‬
‫‪. 98‬‬
‫מתועד ‪.‬‬
‫אבטחה‬
‫א‪.‬‬
‫היחידה לאבטחת מידע לא מבצעת מספיק ביקורות על אבטחה פיזית למרות שעל פי נוהל‬
‫אבטחה פיזית מנהל אבטחת מידע אחראי לביצוע בקרות תקופתיות על מאגרי מידע ונתונים‬
‫או גיבויים ומנהל אבטחת מידע או מי מטעמו אחראי לבצע ביקורת אבטחת מידע פיזיתל‬
‫אחת לשנתיים ולהגיש את ממצאיה למנהלי היחידה ולמנהל אגף‬
‫ב‪.‬‬
‫המחשוב ‪.‬‬
‫יישום כלים המאפשרים זיהוי חד ערכי של משתמשים אשר ביצעו שינויים במידע או‬
‫בתכנהל או ניגשו למידע רגישי תוך פירוט ורישום של כל סוג פעילות שבוצעהל מועד‬
‫ביצועה ופרטי המבצע מתבצע בעיקר במערכות חדשותי משום שהרישום הוא בהיקף של‬
‫מיליוני תנועות ביממה ‪ .‬המלצה זו מדוח קודם אינה ניתנת ליישום נרחב ואוטמטי במערכות‬
‫הישנות של העירייה ‪ .‬לאור ממצא זה יש לבחון את הסיכונים הקיימים בכל‬
‫‪. 99‬‬
‫מערכת ‪.‬‬
‫כרטיס חכם‬
‫לא נעשה תהליך של בחינת הכדאיות‪ /‬עלויות לאור הניסיון הקיים בשימוש בכרטיסים חכמים ולא‬
‫נבחנו העלויות ביחס‬
‫‪. 100‬‬
‫לסיכונים ‪.‬‬
‫מחשבים ניידים ו ‪DOK‬‬
‫א‪.‬‬
‫נכתב נוהל בנושא המחשבים‬
‫ב‪.‬‬
‫בנושא ה ‪ key) DOK‬מס ‪ ) 4151‬לא חל כל שינוי בנושא זה למרות בחינת השימוש‬
‫ב ' תחנות‬
‫הלבנה ' ‪.‬‬
‫הניידים ‪.‬‬
‫אי‪Ar-‬‬
‫‪. 101‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫‪ ,‬נ ‪ -‬גו‬
‫מ קרהע ‪ ,‬רי ‪ ,‬ה‬
‫~‬
‫~‬
‫א‬
‫מנהלי מאגר‬
‫א‪.‬‬
‫נושא ההרשאות טופל על ידי מעבר לשימוש בטופס ממוחשב למתן‬
‫ב‪.‬‬
‫מנהלי המאגרים אינם מקבלים חיווי שוטף על פעולות חריגות שמבוצעות במאגרים עליהם‬
‫הרשאות ‪.‬‬
‫הם אחראיםל למרות שעל פי הוראות חוק הגנת הפרטיות האחריות מוטלת על מנהל המאגר‬
‫ומנהל אבטחת מידע ביחד ולחוד ‪ .‬לא נבנתה תוכנית ייעודית לנושא‬
‫‪. 102‬‬
‫זה ‪.‬‬
‫טיפול במתן הרשאות ו ' הקמת משתמש '‬
‫בנושא הטיפול במתן הרשאות ו ' הקמת משתמש ' חל שינוי מהותי ונושא זה מנוהלי לדעת‬
‫הביקורתי בצורה‬
‫טובה ‪.‬‬
‫נבנה מנגנון ממוחשב להעברת טפסים בין הגורמים השונים לצורך טיפול‬
‫בהרשאות ‪.‬‬
‫אנשי יחידת אבטחת מידע עוסקים בטיפול בהרשאות ‪ .‬היקף העבודה המוטל על יחידת‬
‫אבטחת מידעי בטיפול בטפסי בקשה למתן הרשאות הוא גדול מאוד ‪ .‬תהליך זה גוזל שעות‬
‫עבודה רבות של עובדי‬
‫היחידה ‪.‬‬
‫הגדרת ההרשאות ניתנת לעובד ולא לתפקיד ‪ .‬במערכות המחשוב החדשות משייכים עובד‬
‫לתפקיד ובמערכות המחשוב הישנות לא ניתן לעשות כן ולפיכך יכולים להיווצר מקרים‬
‫שבהם לא מתבטלות באופן מיידי הרשאות של אדם שעוזב תפקיד‬
‫מסוים ‪.‬‬
‫יש הגדרה של תהליך רישום וביטול להרשאות גישה למערכות מידע‬
‫ו‪.‬‬
‫עדיין לא ניתן מענה למיפוי הרשאות לקוח על מנת שניתן יהיה למצוא בצורה קלה ופשוטה‬
‫את כל ההרשאות של משתמש אחדל אלא רק לאחר חיפוש במספר‬
‫‪. 103‬‬
‫מערכות ‪.‬‬
‫‪DBA‬‬
‫בקרות על בסיסי הנתונים מבוצעות על ידי מחלקת ה‬
‫‪. 104‬‬
‫ולשירותים ‪.‬‬
‫‪. DBA‬‬
‫פרויקט ה ‪DRP -‬‬
‫במסגרת פרויקט ה ‪ DRP‬נערך מיפוי של מערכות העירייה והגדרת רמות הקריטיות של כל‬
‫מערכתי הפעילות בתחום זה הועברה לפרויקטור במטה חטיבת‬
‫‪. 105‬‬
‫גיבוי‬
‫הגיבויים נעשים על ידי מנהלי‬
‫‪. 106‬‬
‫התכנון ‪.‬‬
‫הרשת ‪.‬‬
‫סקר סיכונים‬
‫לא מתבצעת הערכת סיכונים וסקר סיכונים תקופתי המבוסס על פעילות העירייה ומערכות המידע‬
‫שברשותהל מלבד סקר חד פעמי שבוצע בדצמבר‬
‫‪. 2007‬‬
‫אי‪Ar-‬‬
‫‪. 107‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫‪ ,‬נ ‪ -‬גו‬
‫מ קרהע ‪ ,‬רי ‪ ,‬ה‬
‫~‬
‫~‬
‫א‬
‫יכולת הניטור והמעקב‬
‫א‪.‬‬
‫ברשות אבטחת מידע יש כלים טכנולוגיים למניעת זליגת מידעי אולם לא התקבלה החלטה‬
‫ניהולית לצורך הקצאה של שעות הטמעהל פיקוח ובקרהל וביצוע ניטור מדגמי של בעלי‬
‫הרשאות לנושא‬
‫ב‪.‬‬
‫זה ‪.‬‬
‫ניטור אבטחתי ( נעשית פעילות אבטחת מידע רשתית הכוללת ‪ ips‬פנימיל אולם אין בדיקה‬
‫פרטנית של כל מסוףי בדיקה טכנולוגית לאיתור תוכנות מאיימות ופוגעניות בנקודות קצה‬
‫ובנוסף אין בדיקה פיזית של אתרים‬
‫ג‪.‬‬
‫חדשים ‪.‬‬
‫בקרה על בסיס הנתונים ( קיימת תוכנה לבקרה על בסיס הנתוניםל התוכנה מבצעת בקרות‬
‫ברמת הניטור בלבדי אולם לא מבוצעות בקרות באופן‬
‫‪. 108‬‬
‫כללי ‪.‬‬
‫טיפול בענייני משמעת‬
‫הביקורת סבורה כי העובדה שאין עבירות משמעת בנושא אבטחת מידע אינה סבירה ויכולה‬
‫להעיד על חוסר אכיפה ‪/‬בקרה בנושא‬
‫‪. 109‬‬
‫זה ‪.‬‬
‫מיקום ארגוני‬
‫יחידת אבטחת מידע כפופה לארכיטקט הראשיי כפיפות זו מבטאת לדעת הביקורת את תפקידה של‬
‫היחידה כגוף מעצב ומטמיע של מתודולוגיהל מנהל ועורך‬
‫‪. 110‬‬
‫בקרות ‪.‬‬
‫רכזי המחשוב‬
‫רכזי המחשוב נתפסים על ידי יחידת אבטחת מידע כשותפים מרכזיים להטמעת הנושא והדבר בא‬
‫לידי ביטוי בנהלי עבודה של היחידה ‪ .‬הביקורת סבורה כי קיימת שונות בהגדרה ובביצוע תפקיד‬
‫רכז המחשוב ביחידות השונות ולכן לא מומלץ להגדיר אותם כשותפים מרכזייםל אלא רק לאחר‬
‫שתפקידם יוגדר ויבוקר בצורה‬
‫‪.1 1 1‬‬
‫שיטתית ‪.‬‬
‫קליטת עובד חדש‬
‫בנושא קליטת עובד חדש ומתן הרשאות למערכת לא נעשית בדיקה מעמיקה אודות העובדי גם‬
‫במקרים שבהם הוא מיועד לתפקיד שיש בו גישה למאגרי מידע רבים ורגישיםל כדוגמת מנהלי‬
‫רשתות ‪.‬‬
‫‪. 112‬‬
‫תפקידי היחידה‬
‫מספר בעלי תפקידים ביחידה עוסקים במישור התורה וקביעת מדיניות אבטחת מידע אבל עדיין‬
‫מרבית בעלי התפקידים עוסקים בעיקר במישור התפעול ובעיקר במתן‬
‫‪. 113‬‬
‫הרשאות ‪.‬‬
‫שחזור חסימה‬
‫בנושא שחזור סיסמא נקבע נוהל אך נוהל זה מיושם בצורה חלקית ואינו‬
‫‪32‬‬
‫מבוקר ‪.‬‬
‫אי‪Ar-‬‬
‫‪. 114‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫‪ ,‬נ ‪ -‬גו‬
‫~‬
‫טיפול בתקלות על‬
‫א‪.‬‬
‫מ קרהע ‪ ,‬רי ‪ ,‬ה‬
‫~‬
‫ידי מרכז תמיכה ושירות‬
‫טיפול בתקלות מחשב נעשה מרחוק באמצעות תוכנהל על ידי עובדי מרכז השירותי הטיפול‬
‫מרחוק נעשה אך ורק לאחר שהלקוח מאשר את ההשתלטות בזמן אמת על המחשב‬
‫ב‪.‬‬
‫א‬
‫יש מקרים שבהם נעשה שימוש בתוכנת‬
‫‪.‬‬
‫שלו ‪.‬‬
‫השימוש בתוכנה זו אינו מחייב קבלת‬
‫אישור להשתלטות מהלקוח בזמן אמתי ולפיכך ניתן לכאורה להשתלט על המחשב מרחוק‬
‫מבלי ידיעת‬
‫‪. 115‬‬
‫הלקוח ‪.‬‬
‫הגדרת סיסמאות‬
‫כל ההמלצות בנושא הגדרת סיסמא יושמו בנהלים ובתהליכי‬
‫‪. 116‬‬
‫עבודה ‪.‬‬
‫מנגנונים לניהול בקרות גישה במערכות חדשות‬
‫המלצת דוח קודם לגבי הכללת מיטב המנגנונים לניהול בקרות גישה במערכות המחשב‬
‫‪. 117‬‬
‫מיושמת ‪.‬‬
‫שרתי האנטי וירוס‬
‫מתקיים תהליך של החלפת תוכנת אנטי וירוס בכל‬
‫העירייה ‪.‬‬
‫המיושרת‬
‫‪. 118‬‬
‫הביקורת סבורה כי השינויים שחלו בהיקפי העבודה של אבטחת מידע ובאופייה מחייבים את אגף‬
‫המחשוב ומ " מ בחינת הפרדת פעילות הקשורה בתפעול מפעילות הקשורה‬
‫‪. 119‬‬
‫בבקרה ‪.‬‬
‫המידע אודות ההשקעה התקציבית ביחידה הינו מבוזר וקיים קושי לקבל מידע המאפשר בחינה‬
‫והשוואה לאורך מספר שנים ‪ .‬מומלץ כי מידע מרוכז יהיה בידי גורם אחד מאגף התקציבים ‪ /‬אגף‬
‫המחשוב ‪.‬‬
‫‪. 120‬‬
‫באחריות הנהלת האגף לבצע מעקב אחר יישום התחומים שהוגדרו במסמך מדיניות אבטחת מידע‬
‫ולקיים את ישיבות ועדת ההיגוי בקביעות ובתדירות‬
‫‪. 121‬‬
‫סבירה ‪.‬‬
‫באחריות מנהל אבטחת מידע לערוך בחינה של כל הנהלים לצורך ביצוע סטנדרטיזציה ותיקוף‬
‫מחודש ‪ .‬מומלץ להגדיר בכל נוהל תהליכי בקרה לבחינת יישומו‬
‫‪. 122‬‬
‫בפועל ‪.‬‬
‫הביקורת סבורה כי נדרשות פעולות ייעודיות לדרג הניהוליל שיעודדו חשיבה ולקיחת‬
‫אחריות ‪.‬‬
‫מומלץ לשקול הקמתו של פורום חשיבה שיתכנס אחת לשנה לדיון בנושאי שמטרתו שיפור‬
‫תהליכי עבודה והגברת תחושת האחריות ‪ .‬נושא זה נמצא בתחום האחריות של יחידת אבטחת‬
‫מידע ‪.‬‬
‫אי‪Ar-‬‬
‫‪. 123‬‬
‫ע ' י " תתיא‬
‫‪.‬‬
‫‪ ,‬נ ‪ -‬גו‬
‫מ קרהע ‪ ,‬רי ‪ ,‬ה‬
‫~‬
‫~‬
‫א‬
‫יש לקיים הכשרה ייעודית בנושא אבטחת מידע לעובדי אבטחת מידעי הכוללת השתלמויות‬
‫וקורסים בתדירות גבוההל מתוך הנחה כי החידושים בעולם אבטחת המידע מתעדכנים ומתחדשים‬
‫בתדירות גבוהה ‪ .‬נושא זה נמצא בתחום האחריות של יחידת אבטחת‬
‫‪. 124‬‬
‫באחריות אגף משאבי אנוש לשלב בתהליך הקליטה של עובד חדש בעירייה הכשרה ייעודית‬
‫בנושא אבטחת‬
‫‪. 125‬‬
‫מידע ‪.‬‬
‫באחריות ועדת ההיגוי לנושא אבטחת מידע לוודא כי תוכנית הבקרות מעודכנת ושכל פעולות‬
‫הבקרה המוגדרות בה מבוצעות‬
‫‪. 126‬‬
‫מידע ‪.‬‬
‫ומתועדות ‪.‬‬
‫הביקורת סבורה כי כל פעילות שינוי הנעשית בצורה מצומצמת כפיילוט ראוי שתבחן בסיומה‬
‫לצורך הפקת לקחים על ידי היחידה המבצעת ‪ .‬במקרה של כרטיסים חכמים לא נעשה תהליך של‬
‫בחינת הכדאיות‪/‬עלויות לאור הניסיון הקיים בשימוש בכרטיסים חכמים ולא נבחנו העלויות ביחס‬
‫לסיכונים ‪.‬‬
‫‪. 127‬‬
‫באחריות יחידת אבטחת מידע לבנות תוכנית ייעודית בנושא עדכון מנהלי המאגרים בפעילות‬
‫חריגה ‪.‬‬
‫‪. 128‬‬
‫נדרש עדכון מיידי של המערכות במקרה שמישהו עוזב את העירייה או מחליף תפקידי באחריות‬
‫אבטחת מידע להגדיר תהליכי עבודה בהתאמה לאגף משאבי אנושל כך שהתהליך יהיה אוטומטי‬
‫מול מרכז‬
‫‪. 129‬‬
‫התמיכה ‪.‬‬
‫באחריות אבטחת מידע למצוא מענה למיפוי הרשאות לקוח על מנת שניתן יהיה למצוא בצורה‬
‫קלה ופשוטה את כל ההרשאות של משתמש אחדל מבלי לערוך חיפוש במספר‬
‫‪. 130‬‬
‫הביקורת רואה חשיבות רבה בביצוע סקר סיכוניםל כאמצעי שיאפשר קבלת החלטות טובה‬
‫באחריות ועדת ההיגוי לנושא אבטחת מידע לבצע מעקב אחר נושא‬
‫‪. 131‬‬
‫מערכות ‪.‬‬
‫יותר ‪.‬‬
‫זה ‪.‬‬
‫באחריות ועדת ההיגוי לנושא אבטחת מידע לקבל החלטה ניהולית בנושא השימוש בכלים‬
‫טכנולוגיים לצורך מניעת זליגת מידע ובקרה על בסיס נתונים ‪ .‬הביקורת ממליצה כי החלטה זו‬
‫תתקבל לאחר ביצוע תהליך של מיפוי‬
‫‪. 132‬‬
‫יש לבחון את תפקיד רכזי המחשוב במשימות הקשורות באבטחת מידע רק לאחר שתפקיד הרכז‬
‫יוגדר ויוטמע בצורה‬
‫‪. 133‬‬
‫הסיכונים ‪.‬‬
‫אחידה ‪.‬‬
‫הביקורת סבורה כי מתן גישה לעובד חדש למאגרי מידע מסווגים ורגישים מחייב קביעת מדיניות‬
‫לגבי אופי והיקף בדיקת הרקע של העובדי לאחר הפעלת שיקול דעת לגבי הסיכונים ‪ .‬באחריות‬
‫ועדת ההיגוי לפעול לקידום הנושא בשיתוף משאבי‬
‫‪34‬‬
‫אנוש ‪.‬‬
‫אי‪Ar-‬‬
‫‪. 134‬‬
‫ע'י‬
‫‪.‬‬
‫" תתיאנ ‪ ,‬נ ‪ -‬גו‬
‫מנקרהע ‪ ,‬רי ‪ ,‬ה‬
‫א‬
‫הביקורת ממליצה להנהלת האגף לבחון הוספת כוח אדם ו ‪/‬או העברת המשימות התפעוליותל על‬
‫מנת שהיחידה תפעל בצורה‬
‫מיטבית ‪.‬‬
‫לדעת הביקורת תפקידי היחידה צריכים להיות בעיקר‬
‫במישור התכנוןי בקרה והכשרה ולכן מרבית הפעילות של עובדי היחידה צריכה להיות קשורה‬
‫בהיבטים‬
‫‪. 135‬‬
‫אלו ‪.‬‬
‫בנושא שחזור סיסמא ‪ -‬באחריות יחידת אבטחת מידע לבצע בקרות על אופן יישום הנוהל‬
‫והכשרות ייעודיות של מרכז השירות והתמיכה ‪ .‬כמו כן הביקורת סבורה כי יש לבחון אפשרות של‬
‫מתן מענה טכנולוגי שיאפשר שדרוג תוכנה בצורה עצמאיתל על ידי העובדי ללא צורך בסיוע של‬
‫מרכז‬
‫התמיכה ‪.‬‬