אבטחת מידע
מדיניות אבטחת המידע והגנת הסייבר של האוניברסיטה
הגדרת כוונות
- אבטחת המידע והגנת הסייבר הינן מכלול הפעולות והאמצעים, הנדרשים, הננקטים והמיושמים במטרה להגן על נכסי המידע מפני חדירה, דליפה, פגיעה, הרס, חשיפה ו/או שינוי לא מאושר במזיד או בשוגג. פעולות אבטחת המידע והגנת הסייבר נועדו להבטיח את סודיות, שלמות, אמינות וזמינות המידע, לרבות מזעור סיכונים תפעוליים ומניעת נזקים כספיים ונזקי מוניטין, עמידה בדרישות החוק, אבטחת רציפות הפעילות של האוניברסיטה ושמירה על סודיות ופרטיות המידע של עובדי האוניברסיטה, תלמידיה וספקיה.
עקרונות מדיניות אבטחת מידע וסייבר
- האוניברסיטה רואה במידע הקיים במחשביה משאב בעל ערך מהותי לפעילותה, ולכן האוניברסיטה מציבה את אבטחת המידע והגנת הסייבר כמטרה חשובה ורואה לעצמה חובה להגן על המידע ועל האמצעי הנושא אותו, כדי למנוע את עיוותו, גניבתו, מחיקתו ושימוש בו לרעה. האוניברסיטה רואה חשיבות רבה בהקניית מודעות אבטחת מידע לכלל עובדיה וגורמים הפועלים באוניברסיטה.
- השימוש במידע ובמערכות המחשוב יעשה על פי הדרישות הרגולטוריות והחוקיות אשר חלות על הארגון.
- רמת ההגנה על המידע האגור במערכות המחשוב והמידע של אוניברסיטה תיקבע על פי רמת הסיווג של המידע.
- האוניברסיטה שואפת לדאוג לסביבת מחשוב זמינה, רציפה, אמינה ויעילה, כדי לתמוך בפעילותה, ביעדים ובניהולה השוטף של האוניברסיטה. כפועל יוצא, תנקוט האוניברסיטה ככל יכולתה והבנתה באמצעים הדרושים כדי למנוע סיכונים הנובעים מחדירה של גורמים ו/או רכיבי ציוד ותקשורת בלתי מורשים למערכות שבאחריותה, לשמור את זמינות המידע ולהגן עליו מפני הרס, פגיעה או שינוי לא מוסמך.
- הגישה למידע תהיה מותרת רק לגורמים ולרכיבי ציוד שהורשו לכך במפורש, למטרות מפורשות שלשמן קיבלו את ההיתר ובאופנים מותרים בלבד.
- אבטחת המידע והגנת הסייבר תיושם על פי עקרון השכבות – כל שכבה תהיה בלתי תלויה בשכבה אחרת. כלומר, לא תהא תלות בין הגנות בהיבטי התקשור/מערכות הפעלה/אפליקציות וכו'.
אחריות מנהלי הארגון
- כל נושא תפקיד ניהולי בארגון מחויב לנושא אבטחת המידע והסייבר כחלק בלתי נפרד מאחריותו המקצועית כמנהל.
- המנהלים יקפידו על יישום נהלי אבטחת המידע, יפעלו לאכיפתם, יעודדו מודעות העובדים לנושא אבטחת המידע וכן יתמכו בפעילות יועצי המחשוב/נאמני אבטחת מידע.
- מנהלי מאגרי מידע על פי חוק הגנת הפרטיות יישאו באחריות כמפורט בחוק ויסתייעו בממונה אבטחת המידע לגבי מימוש אחריותם
עובדים - אחריות אישית
- האוניברסיטה דורשת מכל אחד מעובדיה (סגל אקדמי וסגל מנהלי), סטודנטים, ספקים, קבלנים וספקי שירותים (קבועים או מזדמנים) מחויבות לנושאי אבטחת המידע ואחריות אישית ליישום כללי המדיניות בתחום תפקידו ודיווח מידי על גורמי סיכון ואירועים הקשורים לאבטחת המידע וסייבר.
- כל עובד בארגון וכל ספק שירות חיצוני יחתמו על טופס התחייבות לשמירת סודיות וקיום הוראות אבטחת המידע.
- מחויבות העובד תכלול בין היתר את כל אלה:
- שימוש אישי בלבד בחשבון המשתמש במחשב
- שימוש במידע ארגוני לנושאי מילוי תפקיד בלבד
- שמירה על חסיון הסיסמה האישית
- דיווח על חריגות אבטחה
- שמירה מאובטחת של מסמכים ורשומות
- אבטחת סביבת העבודה
- הרשאת גישה למידע תינתן אך ורק לעובדי האוניברסיטה הזקוקים לכך במסגרת תפקידם. אין למסור מידע למי שאיננו מורשה גישה. כל סטודנט או עובד זמני, הזקוק להרשאת גישה במסגרת תפקידו, דינו כעובד רגיל לעניין חובות אלו.
- לא יעשה עובד ולא ינסה לעשות כל שינוי במאגר מידע, אלא אם הורשה לכך, בהתאם להרשאה שקיבל והשינוי מתחייב מצרכי עבודתו.
- לא יעשה עובד ולא ינסה לעשות כל פעולה להשגת מידע שהגישה אליו לא הורשתה לו.
היחידה לאבטחת המידע והגנת הסייבר
תיאור היחידה
היחידה לאבטחת מידע אחראית לפקוח על יישום מדיניות אבטחת המידע הממוחשב באוניברסיטת בר-אילן.
תחומי פעילות ואחריות
- מניעת פגיעה במשאבי המחשוב של האוניברסיטה
- מניעת זליגת מידע אל מחוץ לאוניברסיטה
- שמירה על שלימות הנתונים
- שמירה על פרטיות הנתונים
- עמידה ברגולציה הנוגעת לאבטחת המידע
- ניהול צוות התגובה לארועי אבטחה וניהול חקירת ארוע אבטחה
- טיפול בתלונות בנושאי אבטחת המידע
פעילויות אופייניות
- קביעת נהלים של מיגון מערכות התקשורת
- קביעת נהלים של מיגון המחשב האישי, כולל אימון והדרכת המשתמשים, כדי לוודא את קיום כללי אבטחת המידע
- קביעת דרישות להכנסת ציוד ותוכנה, לצורך אבטחת המידע.
- אישור פרויקטים וציוד חדש באוניברסיטה
- טיפול בתלונות בנושאי אבטחת המידע
חלק מן הפעילויות הנ"ל ואחרות מפורטות במסמך "כללי שימוש נאות במערכות המחשוב"
מנהל היחידה:
רוני סולומון
דוא"ל: roni.solomon@biu.ac.il
טל: 072-264-4804