1. No category

‫הגדרת מקצועות‬
‫אבטחת מידע‬
‫ותחומי ידע‬
‫בפורום הישראלי לאבטחת מידע‬
‫גרסה ‪232121‬‬
‫מסמך זה נבנה באמצעות הועדה המקצועית של הפורום הישראלי לאבטחת מידע ‪.IFIS‬‬
‫הפורום נוסד בידי קבוצת אנשי ומנהלי אבטחת מידע מובילים שמטרתם קידום נושא אבטחת המידע ברמה‬
‫הממלכתית והציבורית‪ ,‬צמצום הסיכונים לפרט ולמדינה‪ ,‬ובניית מדרג מקצועי והכרה לעוסקים בתחום אבטחת‬
‫המידע‪.‬‬
‫בראשה עמדו נשיא הפורום האלוף (מיל') יעקב עמידרור (כיום – ראש המועצה לבטחון לאומי)‪ ,‬ויו”ר הפורום –‬
‫אבי ויסמן – מנכ”ל מכללת שיא סקיוריטי‪ .‬בנוסף‪ ,‬שימשו יו”ר איל”א – עמירם שור וסגני יו”ר הפורום – איתי‬
‫ינובסקי – ‪ CISO‬צים שירותי ספנות ומשה חורב – מנכ”ל ‪.Oracle‬‬
‫חברי הנהלה נוספים בפורום‪ :‬מיכה וייס (בנק מזרחי)‪ ,‬רחל יעקובי (בנק ישראל)‪ ,‬דוד טוביאס (תעשייה אווירית)‪,‬‬
‫שוקי פרייס (מכון התקנים)‪ ,‬איציק כוכב (שירותי בריאות כללית)‪ ,‬אבנר בן‪-‬אפרים (משהב”ט)‪ ,‬בועז דולב (תהילה‬
‫– ממשל זמין)‪ ,‬אופיר זילביגר (סקעוז)‪.‬‬
‫פעילות הפורום הצטמצמה עם הקמת המטה הקיברנטי בשנת ‪ ,2102‬והפורום רואה עצמו כגוף עזר מתנדב‬
‫למטה הקיברנטי‪.‬‬
‫בברכה‪,‬‬
‫אבי ויסמן‪,‬‬
‫יו”ר הפורום‪.‬‬
‫איתי ינובסקי‪,‬‬
‫ס‪ .‬יו”ר‪ ,‬ר‪ .‬ועדה מקצועית‬
‫מסמך ‪ :4.0‬הגדרת מקצועות אבטחת מידע ותחומי ידע‬
‫בפורום הישראלי לאבטחת מידע‬
‫מעודכן‪ 21 :‬דצמבר ‪1021‬‬
‫תוכן העניינים‬
‫מבוא ‪6 ................................. ................................ ................................‬‬
‫רקע ‪6............................ ................................ ................................ ................................‬‬
‫האתגר ‪6........................ ................................ ................................ ................................‬‬
‫מטרה ‪7.......................... ................................ ................................ ................................‬‬
‫שיטה ‪7.......................... ................................ ................................ ................................‬‬
‫גופים בעלי עניין בחוק אבטחת המידע והסמכות מקצועיות באבטחת מידע ופרטיות ‪8.....................‬‬
‫מקצועות ראשיים ‪8........... ................................ ................................ ................................‬‬
‫התמחויות מקצועיות ‪8....................................... ................................ ................................‬‬
‫דרישות סף ‪9................... ................................ ................................ ................................‬‬
‫התפלגות בעלי המקצוע ב‪9...................... ................................ ................................ 2102 -‬‬
‫מדרג בכירּות ‪9................ ................................ ................................ ................................‬‬
‫גופי התאגדות מקצועית בישראל ‪01 ..................... ................................ ................................‬‬
‫גופי הסמכה מקצועית בישראל ‪01 ........................ ................................ ................................‬‬
‫המלצות ‪01 ..................... ................................ ................................ ................................‬‬
‫גופי התאגדות מקצועית בישראל ‪23 ......................... ................................‬‬
‫לשכת רואי החשבון בישראל ‪01 ........................... ................................ ................................‬‬
‫לשכת עורכי הדין בישראל ‪01 .............................. ................................ ................................‬‬
‫לשכת המהנדסים‪ ,‬האדריכלים והאקדמאים במקצועות הטכנולוגיים בישראל ‪01 ............................‬‬
‫לשכת מנתחי המערכות בישראל ‪01 ..................... ................................ ................................‬‬
‫גופי הסמכה ‪26 ..................... ................................ ................................‬‬
‫המועצה להשכלה גבוהה – מל”ג ‪06 ..................... ................................ ................................‬‬
‫המכון הממשלתי להכשרה בטכנולוגיה ובמדע – מה”ט ‪07 ......................... ................................‬‬
‫מועצת רואי החשבון ‪08 ..................................... ................................ ................................‬‬
‫הסמכת עורכי דין ‪09 ......................................... ................................ ................................‬‬
09 .......................... ................................ ................................ ‫מועצת ההנדסה והאדריכלות‬
11 .......................... ................................ ‫לשכת אנשי אבטחת המידע והגנת הפרטיות בישראל‬
12 .............. ................................ ................................ ‫מקצועות ראשיים‬
10 ....................................... Information Security Administrator: ISAD : ‫מנהלן אבטחת מידע‬
11 .................................. Information Security Systems Integrator: ISSI : ‫מיישם אבטחת מידע‬
11 ................... ................................ InfoSec Systems Engineer: ISSE :‫ארכיטקט אבטחת מידע‬
11 ................................... Information Systems Security Engineer: ISSE :‫מהנדס אבטחת מידע‬
16 ............................... .Information Security Systems Officer: ISSO :IT -‫מנהל אבטחת מידע ב‬
19 ................................. .Chief Information Security Officer: CISO :‫מנהל אבטחת מידע ארגוני‬
10 .................. ................................ .Information Security Auditor: ISA :‫מבקר אבטחת מידע‬
11 ................ ................................ .InfoSec Penetration Experts: ISPTE :‫ בודק חדירות‬/ ‫תוקף‬
33 .......................................... ................................ ‫התמחויות מקצועיות‬
11 ............... ................................ :InfoSec Incident Expert: ISIE :‫מומחה ניטור אירועי אבטחה‬
11 ........................ Information Systems Forensics Expert: ISFE :‫מומחה חקירות למערכות מידע‬
11 .............. :Application Development Security Expert: ADSE :‫מומחה אבטחת יישומים ופיתוח‬
11 .............. ................................ ................................ ‫מנהל פרויקט לאבטחת מערכות מידע‬
11 ............................. ................................ ................................ Behavior Analysis ‫מומחה‬
11 ........................ ................................ ................................ Reverse Engineering ‫מומחה‬
16 ............ ................................ ................................ ................................ SCADA ‫מומחה‬
33 ....................................... ................................ ‫תחומי ידע פרלימינארי‬
17 ............................. ................................ ................................ Windows ‫מערכת הפעלה‬
18 .................................. ................................ ................................ Linux ‫מערכת הפעלה‬
18 ............. ................................ ................................ ................................ Basic Linux
18 ...................................... ................................ ................................ Advanced Linux
19 ............................ ................................ ................................ ‫תקשורת מחשבים ורשתות‬
11 ............... ................................ ................................ ................................ ‫שפות פיתוח‬
11 .................. ................................ ................................ ................................ Python
11 ....................... ................................ ................................ ................................ Perl
10 ........................... ................................ ................................ ................................ C
11 ............. ................................ ................................ ................................ Assembler
‫תחומי ידע למקצועות אבטחת מידע ‪44 ..................... ................................‬‬
‫כללי ‪11 .......................... ................................ ................................ ................................‬‬
‫‪ .0‬עולם האסטרטגיה ותורת ההגנה הכוללת ‪11 ...................................... ................................‬‬
‫‪ .2‬עולם הטכנולוגיות‪ ,‬הטכניקות‪ ,‬ההקשחות והארכיטקטורה ‪11 ................. ................................‬‬
‫‪ .3‬עולם הפגיעויות‪ ,‬האיומים ושיטות התקיפה ‪16 .................................... ................................‬‬
‫‪ .4‬עולם ממשל אבטחת המידע )‪16 ................................... ................................ (Governance‬‬
‫‪ .5‬עולם הניהול והאו”ש של יחידת אבטחת מידע ‪17 ................................ ................................‬‬
‫‪ .6‬עולם הלוחמה הקיברנטית הלאומית )‪17 ..................... ................................ (Cyber Warfare‬‬
‫הצעה למערך לימודים למקצועות ארכיטקט ומנהל אבטחת מידע ‪44 .............‬‬
‫כללי ‪18 .......................... ................................ ................................ ................................‬‬
‫עולם האסטרטגיה ותורת ההגנה הכוללת ‪18 .......................................... ................................‬‬
‫עולם הטכנולוגיות‪ ,‬הטכניקות והארכיטקטורה ‪18 ..................................... ................................‬‬
‫עולם הפגיעויות‪ ,‬האיומים ושיטות התקיפה ‪11 ........................................ ................................‬‬
‫עולם ממשל אבטחת המידע ‪11 ........................... ................................ ................................‬‬
‫עולם הארגון‪ ,‬השיטות וניהול יחידת אבטחת מידע ‪11 .............................. ................................‬‬
‫פערים בעולם ההגנה בסביבה מאוימת ‪10 .............. ................................ (Cyber Warfare) APT‬‬
‫נספח ‪ :'2‬תסקיר‪ :‬ישראל בתחום הסייבר – ינואר ‪12 .......................... 1021‬‬
‫מבוא‬
‫רקע‬
‫ענף אבטחת המידע מכונה בקיצור גם ‪ – InfoSec‬קיצור למונח המקובל‪.Information Security :‬‬
‫מרחב הידע העצום הנכלל במסגרת הענף מחייב קיומם של מקצועות היררכיים מגוונים (דגש על‬
‫שליטה בכמות נושאים רבה)‪ ,‬ולצידם – מקצועות שמאופיינים כהתמחויות צרות‪ ,‬אך עמוקות‪.‬‬
‫אבטחת מידע הינו תחום רחב במיוחד המתייחס לאבטחת מערכות המידע מפני סיכונים שונים החלים‬
‫עליהם בעידן המודרני‪ ,‬לרבות הנתונים שבהן (נכסי המידע)‪ ,‬המערכות הפיזיות (“חומרה”)‪ ,‬התקשורת‬
‫(תוכנה‪ ,‬פרוטוקולים ואמצעי החומרה הייחודיים שלהם)‪ ,‬התוכנות הבסיסיות המנהלות את המערכות‬
‫(מערכות הפעלה‪ ,‬כלי עזר לאנשי המחשבים)‪ ,‬ועד היישומים המשרתים את המשתמשים‪ .‬ויש‬
‫המייחסים לענף גם את ההגנה הפיזית הכרוכה בכך (מצלמות‪ ,‬דלתות מפוקחות וכו')‪ .‬יש אשר המירו‬
‫את המונח “אבטחת מידע” במונח הרחב יותר – “הגנת מידע”‪.‬‬
‫משמעות “הגנה על מערכות מידע” הינה – הגנה על כל השכבות‪ ,‬על כל הכלים‪ ,‬על כל הטכנולוגיות‪ ,‬על‬
‫כל רכיבי האחסון‪ ,‬על כל קווי התקשורת ועוד‪ ,‬ומכאן – היקפו העצום של התחום‪.‬‬
‫על‪-‬מנת להתמודד עם אתגרי ההגנה‪ ,‬יש צורך במינוי אנשי “אבטחת מידע” ייעודיים אשר יסנכרנו את‬
‫המאמצים המשותפים עם בעלי מקצוע אחרים בתחומי המחשבים‪ ,‬ירכזו אותם‪ ,‬יתוו דרך‪ ,‬ידריכו ויפקחו‬
‫על המאמץ המשותף‪.‬‬
‫אך כדי להגן על כל אלו‪ ,‬אין די באנשי אבטחת המידע הייעודיים‪ .‬על‪-‬מנת להצליח במשימה זו‪ ,‬מחייב‬
‫היקף האתגר סיוע מבעלי מקצועות שונים אחרים בתחום מערכות המידע‪ ,‬לסייע בהגנה על דל”ת‬
‫אמותיהם‪ .‬כך – יגן ה‪ DBA -‬על מסדי הנתונים‪ ,‬מנהל הסיסטם על מערכות ההפעלה‪ ,‬מנהל התקשורת‬
‫על הקווים והפרוטוקולים‪ ,‬התוכניתן על הקוד וכן הלאה‪.‬‬
‫בישראל פועלים כמה אלפי אנשי מקצוע‪ ,‬והענף נחשב לבעל פוטנציאל התפתחות המוביל בענף‬
‫המחשבים‪.‬‬
‫בענף אבטחת המידע בישראל קיים כאוס הגדרתי‪ ,‬אנשי אבטחת המידע בישראל אינם מאוגדים‪ ,‬לא‬
‫קיימים לימודים מוסדרים ומפוקחים מכל סוג שהוא‪.‬‬
‫האתגר‬
‫כתוצאה מכך‪:‬‬
‫‪.0‬‬
‫‪.2‬‬
‫‪.3‬‬
‫‪.4‬‬
‫‪.5‬‬
‫‪.6‬‬
‫החקיקה לקויה עקב העדר יכולת להסתמך על מינוחים מקצועיים והגדרות מקצועיות קבילות‬
‫משפטית‪.‬‬
‫יכולת אכיפה לקויה של רגולציה וחקיקה‪.‬‬
‫הידע המקצועי לקוי‪ ,‬מקורו‪ ,‬עומקו ורוחבו מגוונים‪ ,‬ואינם נשקלים על‪-‬בסיס מקצועי בהכרח‪.‬‬
‫המעסיקים מתקשים לאתר מועמדים ומועמדים מתקשים לאתר תפקידים‪.‬‬
‫תפקידים רגישים מאוישים על‪-‬ידי חסרי הכשרה הולמת‪.‬‬
‫קיימת דעיכה מקצועית מתמשכת‪.‬‬
‫מטרה‬
‫ועדת הסמכות הגדירה‪ ,‬לפיכך‪ ,‬את המטרות הבאות‪:‬‬
‫‪.1‬‬
‫‪.2‬‬
‫‪.3‬‬
‫‪.4‬‬
‫‪.5‬‬
‫ליצור הגדרות מוסכמות לשמות מקצועות בעולם אבטחת המידע ולוחמת הסייבר‪ ,‬לתכולת הידע‬
‫הנדרש עבורם ולדרגות בכירּות‪ ,‬כמצע למיסוד הענף‪ ,‬החקיקה והרגולציה‪.‬‬
‫להגדיר רשימת מקצועות מוכרת ומקובלת‪.‬‬
‫להגדיר מפרטי ידע נדרשים לכל אחד מהמקצועות‪ ,‬בעומק‪ ,‬ברוחב‪ ,‬ובזוית הראייה המתאימים‪.‬‬
‫להביא לקונצנזוס מקצועי את מירב הגופים במשק הישראלי‪ ,‬על‪-‬בסיס מפרטי הידע והמקצועות‪,‬‬
‫תוך התאמה מרבית למקובל בעולם‪.‬‬
‫להסכים על מדרג מקצועי מוסכם המביא לידי ביטוי דרישות ידע וניסיון לבעלי המקצוע‪.‬‬
‫שיטה‬
‫‪ .0‬שלב ראשון ‪ -‬הגדרת מספר מקצועות אבטחה הנפוצים בישראל ובעולם‪ ,‬תוך דגש על התאמתם‬
‫למציאות בישראל‪ ,‬עבור ארגונים טיפוסיים שמשקלם הסגולי במשק הישראלי גדול במיוחד‪.‬‬
‫ההתייחסות המחקרית תבוצע עבור ארגונים גדולים‪ ,‬מתוך תפיסה שארגונים קטנים יותר שאינם‬
‫נדרשים לכל סוגי בעלי המקצוע‪ ,‬יאחדו מקצועות שונים תחת מישרות בהיקף מוגבל יותר‪.‬‬
‫‪ .2‬שלב שני ‪ -‬איסוף תכניהם של קורסים נפוצים שונים בתחומי התקשורת‪ ,‬מערכות ההפעלה‪ ,‬מסדי‬
‫הנתונים‪ ,‬היישומים‪ ,‬החומרה‪ ,‬ורכיבים חיוניים נוספים המרכיבים את ההוויה של עולם מערכות‬
‫המידע הדורשים הגנה‪.‬‬
‫‪ .3‬שלב שלישי – סינון ומיון תכני ידע אלו לשתי קטגוריות‪ :‬ידע פרלימינארי (דרישת‪-‬סף)‪ ,‬וידע יעודי‬
‫ההולם כל מקצוע אבטחה בנפרד‪.‬‬
‫‪ .4‬שלב רביעי ‪ -‬בניית מטריצת ידע‪ ,‬אשר שורותיה כוללים את מקצועות האבטחה המוסכמים‪,‬‬
‫ועמודותיה כוללים את פרטי הידע הנדרשים‪.‬‬
‫‪ .5‬שלב חמישי ‪ -‬בניית תפישת הידע הנדרשת עבור כל מקצוע כנגד כל פרט ידע‪ :‬עומק הידע הנדרש‪,‬‬
‫הרוחב‪ ,‬וזווית הראייה הייחודית הנדרשת למקצוע מול פרט המידע‪.‬‬
‫‪ .6‬שלב שישי ‪ -‬הוספת מרכיב הניסיון המקצועי והמרכיב האקדמי‪ ,‬על תת‪-‬רכיביו‪ :‬וותק‪ ,‬גודל ארגונים‪,‬‬
‫סוגי ארגונים וכדומה‪ ,‬לנוסחת המדרג‪ ,‬לצורך קביעת רמות בכירּות‪.‬‬
‫‪ .7‬שלב שמיני – הפצת המדרג המוסכם בקרב הארגונים בישראל‪ ,‬לרבות לגופים ממלכתיים לצורך‬
‫יישומו‪.‬‬
‫‪ .8‬שלב תשיעי – בניית מערך הסמכות הנשען על המדרג המוסכם‪.‬‬
‫‪ .9‬שלב עשירי – מיסוד התורה במסגרת התאגדות מקצועית המוכרת על‪-‬ידי המדינה‪.‬‬
‫הערות‪:‬‬
‫‪.0‬‬
‫‪.2‬‬
‫‪.3‬‬
‫‪.4‬‬
‫מבוצעת אבחנה בין מקצועות עיקריים להתמחויות‪.‬‬
‫שיקול הדעת מתבסס על הפרמטרים הבאים‪:‬‬
‫‪ .9.0‬סוג הפעילות המאפיינת‬
‫‪ .9.2‬סוג תכני הידע הנדרשים‬
‫‪ .9.3‬זווית הראייה הנדרשת‬
‫‪ .9.4‬ותק וניסיון‬
‫‪ .9.5‬דרישות‪-‬סף‬
‫מובאים בחשבון אך ורק שיקולים מקצועיים‪ ,‬ללא התייחסות לשיקולים של משאבי אנוש‪,‬‬
‫שיקולי שכר‪ ,‬שיקולי היררכיה מנהלית וכדומה‪.‬‬
‫לארגונים שונים “הגדרות תפקיד” הנובעות מצרכיהם‪ .‬אין בהגדרות המקצוע המתוארות כדי‬
‫לסתור כל הגדרה הנובעת משיקול אחר‪.‬‬
‫‪ .5‬הרשימה מבוססת על לימוד הנושא מפי מנהלי אבטחת המידע בישראל‪ ,‬על בסיס הנהוג‬
‫בחו”ל‪ ,‬ועל‪-‬בסיס מסמכים של ארגונים בינלאומיים שונים‪.‬‬
‫‪ .6‬הרשימה מתאימה לארגונים "גדולים"‪ ,‬אך מהווה תבנית גם לארגונים קטנים יותר‪ ,‬כמתווה‪.‬‬
‫גופים בעלי עניין בחוק אבטחת המידע והסמכות מקצועיות באבטחת מידע ופרטיות‬
‫בעת קבלת החלטות בדבר הסדרת מקצועות אבטחת המידע והסייבר‪ ,‬יש להביא בשיקול הדעת את‬
‫עמדתם של הגופים הבאים‪:‬‬
‫‪ .0‬המטה הקיברנטי הלאומי במשרד ראה”מ‬
‫‪ .2‬הרשות למשפט וטכנולוגית המידע (רמו”ט) במשרד המשפטים‬
‫‪ .3‬משרד הבטחון‪ ,‬הממונה על הבטחון (מלמ”ב)‬
‫‪ .4‬הרשות הממלכתית לאבטחת מידע (ראם) במשרד ראה”מ‬
‫‪ .5‬הרשות ללוחמה בטרור‬
‫‪ .6‬מטה הסייבר בצה”ל (ובעיקר‪ -‬מחלקת הגנה)‬
‫‪ .7‬ממשל זמין‬
‫‪ .8‬הפורום הישראלי לאבטחת מידע‬
‫‪ .9‬שירותי הבטחון ‪ /‬מל”ל‬
‫‪ .01‬המפקח על הבנקים‬
‫‪ .00‬הממונה על שוק ההון במשרד האוצר‬
‫‪ .02‬הרשות לניירות ערך‬
‫‪ .03‬רשות חירום לאומית (רח”ל)‬
‫‪ .04‬משטרת ישראל‬
‫‪ .05‬מכון התקנים הישראלי (מת”י)‬
‫‪ .06‬לשכת רואי החשבון‬
‫‪ .07‬לשכת עורי הדין‬
‫‪ .08‬הציבור‬
‫מקצועות ראשיים‬
‫‪ISAD – InfoSec Administrator‬‬
‫‪.0‬‬
‫מינהלן אבטחת מידע‬
‫‪.2‬‬
‫מיישם מערכות אבטחת מידע‬
‫‪.3‬‬
‫ארכיטקט אבטחת מידע‬
‫‪.4‬‬
‫מהנדס אבטחת מידע‬
‫‪.5‬‬
‫מנהל יישום אבטחת מידע‬
‫‪ISSO – Information System Security Officer‬‬
‫‪.6‬‬
‫מנהל אבטחת מידע ארגוני‬
‫‪CISO - Chief InfoSec Officer‬‬
‫‪.7‬‬
‫מבקר אבטחת מידע‬
‫‪.8‬‬
‫מומחה תקיפה‬
‫‪ISSI – InfoSec Systems Integrator‬‬
‫‪ISSA – InfoSec Architect‬‬
‫‪ISSE – Information Systems Security Engineer‬‬
‫‪ISA - Information Systems Auditor‬‬
‫‪ISPTE - InfoSec Penetration Testing Expert‬‬
‫התמחויות מקצועיות‬
‫‪.9‬‬
‫מומחה ניטור אירועים‬
‫‪ .01‬מומחה חקירות‬
‫‪ISIE - Information Security Incident Analyst‬‬
‫‪Information Security Forensics Expert‬‬
‫‪ .00‬מומחה אבטחת יישומים‬
‫‪Application Security Expert‬‬
‫‪ .02‬מנהל פרויקט לאבטחת מערכות מידע‬
‫‪Information Security Project Manager‬‬
‫‪ .03‬מומחה ‪Behavior Analysis‬‬
‫‪Behavior Analysis Experts‬‬
‫‪ .04‬מומחה ‪Reverse Engineering‬‬
‫‪Reverse Engineering Experts‬‬
‫‪ .05‬מומחה ‪SCADA‬‬
‫‪SCADA Security Expert‬‬
‫דרישות סף‬
‫לצורך לימודי אבטחת מידע נדרש ידע מוקדם‪:‬‬
‫‪ .0‬במערכות ההפעלה של תחנת קצה (‪ ,PC) - Windows 7‬ומערכות שרת ( ‪Server) -‬‬
‫‪ .Windows 2008‬הכרת מערכת ההפעלה ‪ Linux‬מהווה יתרון אך אינה חובה בתחילת הדרך‪.‬‬
‫‪ .2‬בתקשורת מחשבים (אפשרי גם קורס בסיסי של ‪ Cisco‬להסמכת ‪.)CCNA‬‬
‫‪ .3‬בקוד פיתוח (רצוי ‪ C‬ואסמבלר‪ ,‬או ‪ ,Python‬לפי היעד המקצועי)‬
‫בחלק מן המקצועות‪ ,‬דרישת הסף לקוד פיתוח איננה חד משמעית‪.‬‬
‫התפלגות בעלי המקצוע ב‪1021 -‬‬
‫‪.0‬‬
‫‪.2‬‬
‫‪.3‬‬
‫‪.4‬‬
‫‪.5‬‬
‫כ‪ 81% -‬מאנשי הענף עוסקים בהגדרה‪ ,‬התקנה‪ ,‬תחזוקה ותמיכה בכלים‪.‬‬
‫כ‪ 01% -‬הנם בעלי תובנות וידע המאפשר עיסוק בארכיטקטורה ותכנון‪.‬‬
‫כ‪ 5% -‬מוגדרים כמנהלי אבטחת מידע שמנהלים אנשי אבטחת מידע‪.‬‬
‫כ‪ 2% -‬עוסקים במקצועות התקיפה‪.‬‬
‫כ‪ 5% -‬עוסקים בביקורת מערכות‪ ,‬לרבות אבטחה‪.‬ליצור הגדרות מוסכמות לשמות מקצועות‪,‬‬
‫לתכולת הידע הנדרש עבורם‪ ,‬כמצע למיסוד הענף‪ ,‬הרגולציה והלימודים‪.‬‬
‫מדרג בכירּות‬
‫מסמך זה יעסוק גם במדרגי בכירות עבור המקצועות המוגדרים‪ ,‬כדלקמן‪:‬‬
‫מקצוע‪/‬ניסיון‬
‫עד ‪ 5‬שנות ניסיון‬
‫‪ 01-5‬שנות ניסיון‬
‫מעל ‪ 01‬שנות ניסיון‬
‫מינהלן‬
‫מיישם‬
‫ארכיטקט‬
‫מהנדס‬
‫מנהל יישום‬
‫מנהל ‪CISO‬‬
‫מבקר‬
‫מומחה תקיפה‬
‫בכיר‬
‫מומחה‬
‫גופי התאגדות מקצועית בישראל‬
‫בעלי מקצוע שונים בישראל הקימו התאגדויות מקצועיות‪ ,‬כנהוג בחו”ל‪ ,‬במסגרת לשכות מקצועיות‪ .‬לכל‬
‫תחום הנדסי – התאגדות ‪ /‬לשכה מקצועית נפרדת‪.‬‬
‫דוגמאות אחדות‪ :‬עורכי דין‪ ,‬רואי חשבון‪ ,‬מנתחי מערכות ומקצועות נוספים‪.‬‬
‫לשכת רואי החשבון בישראל‬
‫לשכת רואי חשבון בישראל נוסדה בשנת ‪ 0930‬ומאגדת למעלה מ‪ 00,111-‬רואי חשבון העוסקים‬
‫במקצוע ו‪ 031-‬חברים נלווים בינלאומיים‪ .‬הלשכה הינה הארגון היחידי של בעלי מקצוע חופשי בישראל‬
‫העוסק בקביעת הנורמות והסטנדרטים של המקצוע כאשר בנוסף מקפידה הלשכה להיות מעורבת בכל‬
‫הקשור למהלכים הכלכליים והחברתיים במשק‪.‬‬
‫לשכת עורכי הדין בישראל‬
‫לשכת עורכי הדין בישראל הוקמה בשנת ‪ 0960‬כגוף אוטונומי שמוסדותיו העיקריים נבחרים בבחירות‬
‫דמוקרטיות‪ ,‬ע”י כלל עורכי הדין‪ ,‬על‪-‬פי חוק לשכת עורכי הדין‪ ,‬התשכ”א ‪ ,0960 -‬על מנת שתאגד את‬
‫עורכי הדין בישראל ותשקוד על רמתו וטהרו של מקצוע עריכת הדין‪ .‬הלשכה היא תאגיד והיא עומדת‬
‫לביקורת מבקר המדינה‪.‬‬
‫לשכת המהנדסים‪ ,‬האדריכלים והאקדמאים במקצועות הטכנולוגיים בישראל‬
‫לשכת המהנדסים‪ ,‬האדריכלים והאקדמאים במקצועות הטכנולוגיים בישראל‪ ,‬היא הגוף המקצועי היציג‬
‫של ציבור זה בארץ‪ .‬מטרתה להוות גוף לאומי מרכזי‪ ,‬אשר מטפח ומקדם את המשק בתחומי ההנדסה‪,‬‬
‫האדריכלות והטכנולוגיה‪ ,‬ובמקביל פועל לקידום המעמד המקצועי של המהנדסים והאדריכלים במדינה‪.‬‬
‫לשכת מנתחי המערכות בישראל‬
‫לשכת מנתחי מערכות מידע בישראל היא הגורם המקצועי המרכזי והמוביל בתחום מערכות מידע‬
‫וטכנולוגיית המידע בישראל‪ .‬הלשכה הוקמה במטרה לפעול לקידום מקצוע ניתוח מערכות המידע‬
‫ולייצוג חברי הלשכה בכל העניינים המקצועיים הנוגעים להם‪.‬‬
‫הלשכה החלה את דרכה כ”איגוד מנתחי המערכות” בשנת ‪ ,0968‬ובשנת ‪ ,0994‬במלאת חצי יובל‬
‫להקמת האיגוד‪ ,‬הוא הפך ללשכה‪ .‬היום מונה הלשכה אלפי חברים פעילים‪ ,‬המהווים את עילית בעלי‬
‫המקצוע בתחום מערכות המידע בישראל‪.‬‬
‫לשכת אנשי אבטחת המידע והגנת הפרטיות בישראל‬
‫עבור מקצועות אבטחת מידע והגנת הפרטיות לא קיימת התאגדות‪ ,‬לא הוגדרו הסמכות “מהנדס” או‬
‫“הנדסאי”‪ ,‬ולא הוגדרו דרישות מקצועיות אחרות‪.‬‬
‫גופי הסמכה מקצועית בישראל‬
‫תהליכי ההסמכה המקצועית הקיימים בישראל מתנהלים באמצעות גורם מסמיך הממונה על‪-‬ידי‬
‫המדינה‪ ,‬ובמקרים אחדים‪ ,‬גם באמצעות גורם מאשר ובוחן המהווה מועצה מקצועית ממלכתית‪.‬‬
‫במסגרת זו הוגדרו הסמכות למקצוע “מהנדס” ולמקצוע “הנדסאי”‪ ,‬עבור תחומים התמחותיים הנדסיים‬
‫שונים‪ .‬במקביל‪ ,‬מעורבות בתהליך האישור ‪ /‬ההסמכה גם הלשכות המקצועיות השונות‪.‬‬
‫המועצה להשכלה גבוהה‬
‫המועצה להשכלה גבוהה (להלן – המל”ג) היא תאגיד סטטוטורי אשר הוקם בחוק המועצה להשכלה‬
‫גבוהה‪ ,‬התשי”ח‪( 0958-‬להלן – חוק המל”ג) והיא המוסד הממלכתי לענייני השכלה גבוהה במדינה‪,‬‬
‫אשר מבצעת תפקידיה על פי הסמכויות המוענקות לה בחוק האמור‪ .‬המועצה להשכלה גבוהה מתווה‬
‫את מדיניות מערכת ההשכלה הגבוהה במדינה‪.‬‬
‫בין סמכויותיה של המועצה להשכלה גבוהה‪ :‬לתת למוסד היתר לפתוח מוסד להשכלה גבוהה ולקיימו‪,‬‬
‫להכיר במוסד כמוסד להשכלה גבוהה‪ ,‬להסמיך מוסד מוכר להעניק תואר אקדמי‪ ,‬לאשר קיום לימודים‬
‫באחריות אקדמית של מוסד מוכר‪ ,‬ועוד‪.‬‬
‫המכון הממשלתי להכשרה בטכנולוגיה ובמדע‬
‫מה”ט ‪ -‬המכון הממשלתי להכשרה בטכנולוגיה ובמדע הוא גוף ממלכתי המופקד על הכשרת טכנאים‬
‫מוסמכים והנדסאים במקצועות הנדסיים‪-‬טכנולוגיים‪ ,‬במסגרת האגף להכשרה ופיתוח כח אדם‪ ,‬משרד‬
‫התעשייה‪ ,‬מסחר ותעסוקה‪ .‬מה”ט מעניק לבוגריו תואר טכנאי מוסמך ותואר הנדסאי‪ ,‬בשיתוף משרד‬
‫החינוך והתרבות והסתדרות הטכנאים וההנדסאים‪.‬‬
‫ייעוד מה”ט הוא להבטיח השכלה והכשרה של עובדים מקצועיים בתחומים טכנולוגיים מתקדמים‬
‫ובהתמחויות מיוחדות עדכניות הדרושות לתעשייה ולמשק הישראלי‪.‬‬
‫תהליך ההכשרה נעשה באמצעות רשת מכללות טכנולוגיות ובתי ספר להנדסאים ולטכנאים מוסמכים‬
‫הפועלים ברחבי הארץ‪ .‬כיום פועלות בפיקוח מה”ט כ‪ 75 -‬מכללות ושלוחות שבמסגרתן לומדים כ‪-‬‬
‫‪ 20,111‬סטודנטים לקראת קבלת תואר של הנדסאי או טכנאי מוסמך‪ .‬המכללות פועלות על פי הנחיות‬
‫מוגדרות ומתועדות‪ ,‬בשיתוף פעולה מלא עם גורמים מקצועיים במה”ט‪ .‬פעילויותיהן מסתייעות בתקציב‬
‫ממשלתי ייעודי‪ ,‬שנועד להיות חלק נכבד משכר הלימוד של הסטודנטים‪ ,‬וכן נועד להבטיח את המשך‬
‫התפתחותן התקינה של המכללות והשלוחות‪.‬‬
‫מועצת רואי החשבון‬
‫מועצת רואי‪-‬חשבון הוקמה מכח “חוק רואי חשבון‪ ,‬התשט”ו ‪( ”-0955‬להלן החוק)‪ .‬המועצה‪,‬‬
‫שבסמכותה להעניק רישיון רואה חשבון‪ ,‬מונה ‪ 04‬חברים‪ ,‬ותפקידיה העיקריים של המועצה הם‪ :‬עריכת‬
‫בחינות לקראת קבלת רישיון רואה חשבון‪ ,‬פיקוח על התמחות ועל תלונות בגין התנהגות שאינה הולמת‬
‫את כבוד מקצוע רואה החשבון‪.‬‬
‫הסמכת עורכי דין‬
‫שלא כמקצוע רואי החשבון‪ ,‬לא קיימת מועצה נפרדת במשרד המשפטים אשר בוחנת את המתמחים‬
‫ורשאית להסמיכם‪ ,‬הסמכות להסמיך עורכי דין נתונה בידי לשכת עורכי הדין (ראה “לשכת עורכי הדין‬
‫בישראל”)‪.‬‬
‫מועצת ההנדסה והאדריכלות‬
‫מועצת ההנדסה והאדריכלות קיימת מכוח חוק המהנדסים שנחקק בשנת התשי”ח‪ .0958 ,‬בראש‬
‫המועצה עומד שר התעשייה‪ ,‬המסחר והתעסוקה או נציגו‪.‬‬
‫מועצת ההנדסה והאדריכלות מורכבת מ‪ 27-‬נציגים‪ ,‬על פי החלוקה הבאה‪ 04 :‬נציגי הממשלה‪ 9 ,‬נציגי‬
‫לשכת המהנדסים והאדריכלים‪ ,‬נציג אוניברסיטת תל‪-‬אביב‪ ,‬נציג אוניברסיטת בן‪-‬גוריון בנגב ושני נציגים‬
‫נוספים מהמוסדות להשכלה גבוהה‪.‬‬
‫המלצות‬
‫‪.1‬‬
‫‪.2‬‬
‫‪.3‬‬
‫‪.4‬‬
‫הקמת מחלקה לתוכניות לימוד במטה הקיברנטי הלאומי‪ ,‬כגורם ממליץ לתכני תוכניות לימוד‪.‬‬
‫המחלקה תרכז‪ ,‬בין השאר‪ ,‬את דרישות הגופים הביטחוניים ואת דרישות במגזר האזרחי הפרטי‬
‫והעסקי‪.‬‬
‫יצירת מסלולים מפוקחים באמצעות מיסוד תוכניות לימודים במה”ט ובמל”ג‪ ,‬כמפורט בנפרד לכל‬
‫מקצוע‪.‬‬
‫הכרה בלימודים עבור “דור הביניים” – עד שנת ‪:2121‬‬
‫‪ .3.1‬יוכרו ‪ 5‬שנות ניסיון כשווי ערך לתואר אקדמי כנדרש‪.‬‬
‫‪ .3.2‬יוכר תואר אקדמי הנדסי אחר כתואר אקדמי כנדרש‪.‬‬
‫הכרה בניסיון וותק עבור יוצאי צבא עם ניסיון רלבנטי‪ :‬מפורט בנפרד לכל מקצוע‪.‬‬
‫גופי התאגדות מקצועית בישראל‬
‫בעלי מקצוע שונים בישראל הקימו התאגדויות מקצועיות‪ ,‬כנהוג בחו”ל‪ ,‬במסגרת לשכות מקצועיות‪ .‬לכל‬
‫תחום הנדסי – התאגדות ‪ /‬לשכה מקצועית נפרדת‪.‬‬
‫דוגמאות אחדות‪ :‬עורכי דין‪ ,‬רואי חשבון‪ ,‬מנתחי מערכות ומקצועות נוספים‪.‬‬
‫לשכת רואי החשבון בישראל‬
‫לשכת רואי חשבון בישראל נוסדה בשנת ‪ 0930‬ומאגדת למעלה מ‪ 00,111-‬רואי חשבון‬
‫העוסקים במקצוע ו‪ 031-‬חברים נלווים בינלאומיים‪ .‬הלשכה הינה הארגון היחידי של בעלי‬
‫מקצוע חופשי בישראל העוסק בקביעת הנורמות והסטנדרטים של המקצוע כאשר בנוסף‬
‫מקפידה הלשכה להיות מעורבת בכל הקשור למהלכים הכלכליים והחברתיים במשק‪ .‬בין‬
‫מוסדותיה ופעילויותיה‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫פרסום של כ‪ 111 -‬תקנים בתחומי החשבונאות והביקורת‪ ,‬היא מעורבת בהליכי חקיקת‬
‫המסים ומלווה אותה בכל שלביה‪ ,‬תוך קיום קשר עם רשויות המסים‪ ,‬המפקח על הבנקים‪,‬‬
‫המפקח על הביטוח‪ ,‬מרכז ההשקעות‪ ,‬המוסדות להשכלה גבוהה וגורמים רבים אחרים‪.‬‬
‫חברות נשיאי ה לשכה מישראל בהנהלה של ארגון הגג של רואי החשבון איפ”ק‪ ,‬המאגד בתוכו‬
‫‪ 2.5‬מיליון רואי חשבון מ – ‪ 161‬לשכות ברחבי העולם‪.‬‬
‫ועדות מקצועיות לכללי חשבונאות ותקני ביקורת‪ ,‬מועצה מייעצת‪ ,‬בתי דין‪ ,‬ועדה לפירוש כללי‬
‫התנהגות ולמעלה מ‪ 211-‬ועדות מקצועיות וארגוניות נוספות בנושאים שונים‪.‬‬
‫שיפוט משמעתי וועדות‪ ,‬שתפקידן לטפל בתלונות של מקבלי שירותים‪.‬‬
‫הוצאה לאור ענפה ומגוונת הכוללת מגזינים שונים‪.‬‬
‫מרכז לגישור ולבוררות ובו פועלים רואי חשבון אשר עברו הכשרה לנהל הליכי גישור ובוררויות‪,‬‬
‫מרביתם עתירי ניסיון בהליכי בוררות עסקית וגישור‪.‬‬
‫מאגר השמה המסייע למתמחים ולרואי חשבון ללא תשלום‪ ,‬למצוא עבודה במגוון תפקידים‬
‫במשק‪ :‬ביקורת חיצונית ופנימית‪ ,‬חשבות‪ ,‬ניהול כספים ותפקידים ניהוליים וכלכליים‪.‬‬
‫קידום עליית עולים העוסקים בחשבונאות וקידום סטודנטים מצטיינים ונצרכים במתן מלגות‬
‫ופרסים‪ ,‬קרן לעזרה הדדית לחבריה הנזקקים‪.‬‬
‫כנסים והכשרות – כ‪ 141 -‬מפגשי השתלמות בשנהו‪ 3 -‬כנסים מדי שנה‪.‬‬
‫מכון להשתלמויות ולימודי תעודה להעמקת הידע בתחומים נקודתיים‪.‬‬
‫לאתר לשכת רואי החשבון בישראל‪.‬‬
‫למסמך תזכיר ההתאגדות של לשכת רואי החשבון בישראל‪.‬‬
‫חוק רואי החשבון‬
‫לשכת עורכי הדין בישראל‬
‫לשכת עורכי הדין בישראל הוקמה בשנת ‪ 0960‬כגוף אוטונומי שמוסדותיו העיקריים נבחרים‬
‫בבחירות דמוקרטיות‪ ,‬ע”י כלל עורכי הדין‪ ,‬על‪-‬פי חוק לשכת עורכי הדין‪ ,‬התשכ”א ‪,0960 -‬‬
‫על מנת שתאגד את עורכי הדין בישראל ותשקוד על רמתו וטהרו של מקצוע עריכת הדין‪.‬‬
‫הלשכה היא תאגיד והיא עומדת לביקורת מבקר המדינה‪.‬‬
‫הלשכה הסטטוטורית קמה בשנת ‪ ,0960‬לאחר דיונים מקיפים שנמשכו ‪ 02‬שנים‪ .‬המחוקק הישראלי‬
‫מצא לראוי לשנות את המצב שהיה לפני קום המדינה לפיו פעלה הסתדרות עורכי דין וולנטרית לצד‬
‫מועצה ממונה מטעם השלטון המנדטורי‪ ,‬וניהול ענייני המקצוע הועבר למוסדות נבחרים על הלשכה‪ .‬עם‬
‫הקמתה‪ ,‬איחדה הלשכה במסגרת פעילותה את תפקידיהם של שני הגופים‪ :‬המועצה המשפטית‬
‫(‪ )0938‬והסתדרות עורכי הדין בישראל‪ .‬הכנסת קבעה בשנת תשכ”ח כי מקום מושבה של הלשכה יהיה‬
‫ירושלים‪ .‬מתפקידי הלשכה‪:‬‬
‫‪ .1‬לרשום‪ ,‬לפקח ולבחון מתמחים במקצוע עריכת דין;‬
‫‪ .2‬להסמיך עורכי דין חדשים;‬
‫‪ .3‬לקיים את השיפוט המשמעתי לעורכי הדין והמתמחים‪.‬‬
‫בנוסף רשאית הלשכה בין השאר‪:‬‬
‫‪.1‬‬
‫‪.2‬‬
‫‪.3‬‬
‫‪.4‬‬
‫‪.5‬‬
‫‪.6‬‬
‫‪.7‬‬
‫לחוות דעתה על הצעות החוק בעניני בתי משפט וסדרי דין‪.‬‬
‫לתת סעד משפטי למעוטי אמצעים‪.‬‬
‫לשמש בורר ולמנות בוררים‪.‬‬
‫לפעול להגנת ענייניהם המקצועיים של חברי הלשכה‪.‬‬
‫לייסד קרנות ביטוח‪ ,‬קרנות פנסיה ומוסדות אחרים של עזרה הדדית לחברי הלשכה‪.‬‬
‫ליזום פעולות ומפעלים של מחקר המשפט בכלל‪ ,‬והמשפט העברי בפרט‪ ,‬ולהשתתף בפעולות‬
‫ובמפעלים כאלה‪.‬‬
‫לעסוק בהוצאת ספרות משפטית‪.‬‬
‫לאתר לשכת עורכי הדין בישראל‪.‬‬
‫למסמך תזכיר ההתאגדות של לשכת עורכי הדין בישראל‪.‬‬
‫לחוק לשכת עורכי הדין‪.‬‬
‫לשכת המהנדסים‪ ,‬האדריכלים והאקדמאים במקצועות הטכנולוגיים בישראל‬
‫לשכת המהנדסים‪ ,‬האדריכלים והאקדמאים במקצועות הטכנולוגיים בישראל‪ ,‬היא הגוף‬
‫המקצועי היציג של ציבור זה בארץ‪ .‬מטרתה להוות גוף לאומי מרכזי‪ ,‬אשר מטפח ומקדם‬
‫את המשק בתחומי ההנדסה‪ ,‬האדריכלות והטכנולוגיה‪ ,‬ובמקביל פועל לקידום המעמד‬
‫המקצועי של המהנדסים והאדריכלים במדינה‪.‬‬
‫לשכת המהנדסים במתכונתה הנוכחית הוקמה בשנת ‪ ,0985‬לפי הסכם בין אגודת האינג'נרים‬
‫והארכיטקטים – א‪.‬א‪.‬א‪.‬י‪( .‬אחד הארגונים הציבוריים הראשונים ביישוב העברי‪ ,‬שנוסד בשנת ‪,)0920‬‬
‫הסתדרות המהנדסים (בישראל) וארגון האקדמאים העצמאיים במקצועות ההנדסה‪ ,‬האדריכלות‬
‫והטכנולוגיה בישראל‪.‬‬
‫במרוצת שנות פעילותה ייסדה לשכת‬
‫מכון התקנים הישראלי‪ ,‬המכון לפריון‬
‫הלשכה מיוצגת עד היום בהנהלות מוסדות אלה‪.‬‬
‫המהנדסים מוסדות טכנולוגיים רבים וביניהם‪:‬‬
‫העבודה והייצור‪ ,‬המכון לחקר הבנייה ועוד‪.‬‬
‫הלשכה פועלת לייזום ושינוי תחיקה בתחומי ההנדסה והאדריכלות‪ ,‬הובלת וועדות תקינה ממלכתיות‪,‬‬
‫קיום השתלמויות מקצועיות‪ ,‬כנסים ותערוכות‪ ,‬ייזום וקידום נושא התכנון הלאומי‪ ,‬קיום תחרויות‬
‫אדריכליות‪ ,‬מינוי בוררים‪ ,‬מומחים ומגשרים‪ ,‬הפקת עיתונות מקצועית ועוד‪.‬‬
‫ללשכה נציגות מכובדת במועצת ההנדסה והאדריכלות‪ ,‬גוף הקיים מתוקף חוק המהנדסים והאדריכלים‬
‫(‪ ,)0958‬והעוסק בייעוץ למשרד התמ”ת בתחומי רישום‪ ,‬רישוי ואתיקה‪ .‬בין תפקידיה של מועצה זו‬
‫הכרה במסלולי לימודים במוסדות להשכלה גבוהה‪ ,‬לצורך רישום בפנקס המהנדסים והאדריכלים‪.‬‬
‫ללשכה נציגות במוסדות חשובים נוספים כגון ‪ :‬מכון התקנים‪ ,‬מוסדות להשכלה גבוהה‪ ,‬וועדות כנסת‪,‬‬
‫וועדות רשם המהנדסים‪ ,‬וועדות הבנייה המחוזיות והמקומיות ועוד‪ ,‬ובכך מתאפשר לה להשפיע ישירות‬
‫על המתרחש במשק ולקדם את מעמד המקצוע במדינה‪.‬‬
‫הלשכה פועלת באמצעות מספר אגודות מקצועיות בתחומים שונים‪ :‬הנדסת חשמל ואלקטרוניקה‪ ,‬בניין‬
‫ותשתיות‪ ,‬מכונות‪ ,‬כימיה‪ ,‬תעשייה וניהול‪ ,‬אגרונומיה‪ ,‬מדע‪ ,‬מחשבים ותוכנה‪ ,‬אדריכלות‪ ,‬הנדסה‬
‫אווירונאוטית והנדסת בטיחות‪ .‬בתוך האגודות המקצועיות ענפים הנדסיים לתחומים ספציפיים‬
‫ולמקצועות בין‪-‬תחומיים‪ ,‬כגון הנדסת רכב‪ ,‬ריתוך‪ ,‬רובוטיקה‪ ,‬חקר כשל‪ ,‬בדיקות לא הורסות‪ ,‬אדריכלות‬
‫ימית והנדסת אוניות‪ ,‬קורוזיה‪ ,‬חשמל סטטי ועוד‪ .‬ללשכה ולאגודות המקצועיות קשרים עם אגודות‬
‫מקצועיות בינלאומיות ברחבי העולם‪.‬‬
‫לאתר מועצת ההנדסה והאדריכלות‪.‬‬
‫לשכת מנתחי המערכות בישראל‬
‫לשכת מנתחי מערכות מידע בישראל היא הגורם המקצועי המרכזי והמוביל בתחום‬
‫מערכות מידע וטכנולוגיית המידע בישראל‪ .‬הלשכה הוקמה במטרה לפעול לקידום‬
‫מקצוע ניתוח מערכות המידע ולייצוג חברי הלשכה בכל העניינים המקצועיים הנוגעים‬
‫להם‪.‬‬
‫הלשכה החלה את דרכה כ”איגוד מנתחי המערכות” בשנת ‪ ,0968‬ובשנת ‪ ,0994‬במלאת חצי יובל‬
‫להקמת האיגוד‪ ,‬הוא הפך ללשכה‪ .‬היום מונה הלשכה אלפי חברים פעילים‪ ,‬המהווים את עילית בעלי‬
‫המקצוע בתחום מערכות המידע בישראל‪.‬‬
‫מטרות הלשכה‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫לפעול לקידום מקצוע ניתוח מערכות המידע באמצעות‪:‬‬
‫‪ o‬השגת הכרה סטטוטורית למקצוע ניתוח מערכות מידע בישראל‪.‬‬
‫‪ o‬הגברת מודעות הציבור לתרומת מנתח מערכות המידע לקהיליית המחשוב‪.‬‬
‫לאסוף ולהפיץ ידע בין חברי הלשכה ולהוציא לאור פרסומים מקצועיים‪.‬‬
‫לשמור על האינטרסים המקצועיים והחברתיים של חברי הלשכה ולקדמם תוך שמירה על אמינות‬
‫ואתיקה מקצועית של חבריה‪.‬‬
‫לקשור קשרים עם אגודות דומות בארץ ובחו”ל‪ ,‬לרבות חברות באגודות אלה‪ ,‬בכל הקשור לניתוח‬
‫מערכות מידע‪ ,‬לניהול פרוייקטים של מערכות מידע ולניהול מערכות מידע‪.‬‬
‫לקיים שירותי עזר לחברי הלשכה בתחומים מקצועיים‪ ,‬לרבות בנושאים הקשורים באתיקה‬
‫מקצועית ובבוררות מקצועית‪.‬‬
‫לפעול בכל הקשור לתכניות הכשרה‪ ,‬לעדכון מקצועי ולהעלאת הרמה המקצועית של חברי‬
‫הלשכה‪.‬‬
‫לסייע לקידום המקצועי של חברי הלשכה באמצעות פרסים ומענקים ולגייס מקורות מימון לשם כך‪.‬‬
‫לקדם ולעדכן את רמת הידע המקצועי של מנתחי מערכות המידע והמנהלים‪ ,‬בתחום מערכות‬
‫מידע‪.‬‬
‫להשתתף בקביעת תקנים הנוגעים למידע ולמערכות מידע‪ .‬כל זאת כדי להבטיח שמערכות המידע‪.‬‬
‫יתוכננו זרמה מקצועית טובה‪ ,‬יבוצעו לפי התכנון וימלאו אחר כל החוקים‪ ,‬התקנות והתקנים‬
‫המחייבים את מפתחי מערכות המידע‪.‬‬
‫להגדיר את תפקידי מנתחי המערכות ואת תחומי אחריותו המקצועית ולעדכן את ההגדרות עם‬
‫התפתחות הענף‪.‬‬
‫לשאוף שמערכת מידע תחויב בקבלת אישור של “מנתח מערכות מידע מורשה” לפני הפצתה‪,‬‬
‫שיווקה או הפעלתה‪.‬‬
‫‪‬‬
‫לסייע בנושאים לאומיים הקשורים במערכות מידע‪ ,‬לרבות השתתפות בגופים ובוועדות הקשורים‬
‫בנושאים אלו‪ ,‬בארץ ובחו”ל‪.‬‬
‫לאתר לשכת מנתחי המערכות בישראל‪.‬‬
‫גופי הסמכה‬
‫המועצה להשכלה גבוהה – מל”ג‬
‫המועצה להשכלה גבוהה (להלן – המל”ג) היא תאגיד סטטוטורי אשר הוקם בחוק המועצה להשכלה‬
‫גבוהה‪ ,‬התשי”ח‪( 0958-‬להלן – חוק המל”ג) והיא המוסד הממלכתי לענייני השכלה גבוהה במדינה‪,‬‬
‫אשר מבצעת תפקידיה על פי הסמכויות המוענקות לה בחוק האמור‪ .‬המועצה להשכלה גבוהה מתווה‬
‫את מדיניות מערכת ההשכלה הגבוהה במדינה‪.‬‬
‫החידוש במעשה חקיקה זה היה שהכנסת היתה מעונינת כי עניני ההשכלה הגבוהה במדינה יימסרו‬
‫בלעדית לשיקול דעתו של גוף עצמאי‪ ,‬בלתי תלוי‪ ,‬המגבש את מדיניותו ומקבל את החלטותיו לאחר דיון‬
‫עניני ומקצועי‪.‬‬
‫שני יסודות חשובים משתקפים מחוק המועצה‪ :‬האחד‪ ,‬שמירת עצמאות המוסדות להשכלה גבוהה‬
‫לכלכל את ענייניהם האקדמיים והמנהליים‪ ,‬במסגרת תקציבם‪ ,‬והשני‪ -‬הקביעה כי לפחות שני שליש‬
‫מחברי המועצה ייבחרו בשל מעמדם האישי בשדה ההשכלה הגבוהה‪ .‬שני עיקרים אלה עמדו ביסוד‬
‫הוויתה של המועצה להשכלה גבוהה במשך שנים ארוכות‪.‬‬
‫סמכויות המועצה (חלקי)‬
‫סמכויותיה העיקריות של המועצה להשכלה גבוהה‪:‬‬
‫‪.1‬‬
‫‪.2‬‬
‫‪.3‬‬
‫‪.4‬‬
‫‪.5‬‬
‫‪.6‬‬
‫‪.7‬‬
‫לתת למוסד היתר לפתוח מוסד להשכלה גבוהה ולקיימו‪.‬‬
‫להכיר במוסד כמוסד להשכלה גבוהה – נשיא המדינה מעניק למוסד שהוכר כמוסד להשכלה‬
‫גבוהה את תעודת ההכרה לאחר אישור הממשלה‪ .‬הודעה על מתן הכרה מתפרסמת ברשומות‪.‬‬
‫להסמיך מוסד מוכר להעניק תואר אקדמי‪.‬‬
‫לאשר קיום לימודים באחריות אקדמית של מוסד מוכר‪.‬‬
‫לאשר למוסד להשתמש בכינויים הטעונים אישור על פי חוק המועצה להשכלה גבוהה‪.‬‬
‫להציע למוסדות מוכרים הצעות בדבר ביסוסם‪ ,‬הרחבתם ושכלולם‪ ,‬ובדבר שיתוף פעולה אקדמי‬
‫ביניהם‪ ,‬בהוראה ובמחקר‪.‬‬
‫להעניק רישיון לשלוחות של מוסדות להשכלה גבוהה מחו”ל‪.‬‬
‫דוגמאות להחלטות המועצה (חלקי)‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫אישור ועדה לבדיקת בקשת המכללה האקדמית נתניה לפתוח תוכנית לימודים לתואר שני ללא‬
‫תזה )‪ (M.A.‬בנדל”ן‪.‬‬
‫בקשת המכללה האקדמית גליל מערבי לקבל הכרה כמוסד להשכלה גבוהה והסמכה להעניק‬
‫תואר ראשון )‪ (B.A.‬בלימודי שימור‪.‬‬
‫אישור פרסום והרשמת סטודנטים לתוכנית הלימודים לתואר שני )‪ (M.A.‬ללא תזה ב”טיפול‬
‫באמצעות אמנויות דרמה תרפיה במכללה האקדמית תל חי‪.‬‬
‫המכון הממשלתי להכשרה בטכנולוגיה ובמדע – מה”ט‬
‫מה”ט ‪ -‬המכון הממשלתי להכשרה בטכנולוגיה ובמדע הוא גוף ממלכתי המופקד על הכשרת טכנאים‬
‫מוסמכים והנדסאים במקצועות הנדסיים‪-‬טכנולוגיים‪ ,‬במסגרת האגף להכשרה ופיתוח כח אדם‪ ,‬משרד‬
‫התעשייה‪ ,‬מסחר ותעסוקה‪ .‬מה”ט מעניק לבוגריו תואר טכנאי מוסמך ותואר הנדסאי‪.‬‬
‫המכון הממשלתי להכשרה בטכנולוגיה ובמדע (מה”ט) הוקם בשנת ‪ 0971‬כזרוע של האגף להכשרה‬
‫טכנולוגית ופיתוח כח אדם במשרד העבודה והרווחה‪ ,‬בשיתוף משרד החינוך והתרבות והסתדרות‬
‫הטכנאים וההנדסאים‪.‬‬
‫תהליכי הצמיחה הכלכלית והתעשייתית בדגש על טכנולוגיה גבוהה‪ ,‬מצביעים על צורך בפיתוח סגל‬
‫עובדים בעלי מיומנויות וכישורים‪ ,‬שהם חוט השדרה המקשר בין המהנדסים ואנשי הפיתוח לעובדי‬
‫הייצור‪ .‬התקדמות מדעית וטכנולוגית‪ ,‬האצת הביקוש ללימודים טכנולוגיים בקרב האוכלוסייה‬
‫הישראלית בכלל‪ ,‬והעלאת המודעות להשכלה טכנולוגית בקרב מגזרים שונים באוכלוסייה כמו המגזר‬
‫הערבי‪ ,‬המגזר החרדי‪ ,‬אימהות חד הוריות‪ ,‬אוכלוסייה בדואית ועוד – כל אלה העלו את התואר טכנאי‬
‫מוסמך ואת התואר הנדסאי על מפת ההכשרה וההשכלה בארץ‪ .‬מה”ט הוא כיום גורם אקטיבי בחינוך‬
‫הטכנולוגי בישראל‪ .‬הדיפלומות של מה”ט הן כרטיס כניסה חשוב להשתלבות בשוק העבודה בתעשייה‬
‫ובמשק הישראלי‪.‬‬
‫ייעוד מה”ט הוא להבטיח השכלה והכשרה של עובדים מקצועיים בתחומים טכנולוגיים מתקדמים‬
‫ובהתמחויות מיוחדות עדכניות הדרושות לתעשייה ולמשק הישראלי‪.‬‬
‫תהליך ההכשרה נעשה באמצעות רשת מכללות טכנולוגיות ובתי ספר להנדסאים ולטכנאים מוסמכים‬
‫הפועלים ברחבי הארץ‪ .‬כיום פועלות בפיקוח מה”ט כ‪ 75 -‬מכללות ושלוחות שבמסגרתן לומדים כ‪-‬‬
‫‪ 20,111‬סטודנטים לקראת קבלת תואר של הנדסאי או טכנאי מוסמך‪ .‬המכללות פועלות על פי הנחיות‬
‫מוגדרות ומתועדות‪ ,‬בשיתוף פעולה מלא עם גורמים מקצועיים במה”ט‪ .‬פעילויותיהן מסתייעות בתקציב‬
‫ממשלתי ייעודי‪ ,‬שנועד להיות חלק נכבד משכר הלימוד של הסטודנטים‪ ,‬וכן נועד להבטיח את המשך‬
‫התפתחותן התקינה של המכללות והשלוחות‪.‬‬
‫הלימודים מתקיימים במסלולי בוקר או במסלולים משולבים ‪ -‬בוקר וערב‪ ,‬במגוון מגמות כגון‪ :‬אדריכלות‬
‫ועיצוב פנים‪ ,‬אדריכלות נוף‪ ,‬הנדסה אזרחית‪ ,‬הנדסת ביוטכנולוגיה‪ ,‬מדידות‪ ,‬הנדסת כימיה‪ ,‬הנדסת‬
‫חקלאות‪ ,‬הנדסת מכשור ובקרה‪ ,‬הנדסת פלסטיקה‪ ,‬הנדסת חשמל‪ ,‬הנדסת אלקטרוניקה‪ ,‬הנדסת‬
‫תוכנה‪ ,‬הנדסת סביבה‪ ,‬הנדסת תעשיה וניהול‪ ,‬הנדסת מכונות‪ ,‬הנדסת קירור ומיזוג אויר‪ ,‬צילום ומדיה‬
‫דיגיטאליים‪ ,‬עיצוב תעשייתי‪ ,‬הפקות דפוס‪ ,‬קולנוע וטלוויזיה‪ ,‬הנדסת קול‪-‬הגברה והקלטה (סאונד)‪,‬‬
‫הנדסת תקשורת חזותית‪ ,‬הנדסת תקשורת אינטראקטיבית‪.‬‬
‫מטרת מה”ט היא להעלות בהתמדה את רמת איכות הלימודים‪ .‬תהליך ההשכלה וההכשרה במכללות‬
‫מפוקח בידי מה”ט באמצעות קביעת תוכניות לימודים ברמה גבוהה ובאוריינטציה אקדמית‪ ,‬פיקוח על‬
‫איכות ההוראה וההכשרה‪ ,‬המעבדות ותשתיות לימוד‪ ,‬באמצעות מפקחים מקצועיים ויועצים‪ ,‬כולם‬
‫אקדמאים בעלי תואר שני ושלישי‪ ,‬באמצעות בחינות ממלכתיות‪ ,‬בחינת פרויקט גמר ואישור דיפלומות‬
‫לבוגרים‪ .‬מה”ט מחייב ומקיים השתלמויות לראשי המגמות בתחומי המקצועות השונים‪.‬‬
‫תהליכי העבודה הנהוגים במה”ט נועדו לתמוך בצורה אפקטיבית בהשגת המטרות והיעדים של‬
‫המכללות והסטודנטים‪ .‬במסגרת מה”ט פועלות ועדות שונות‪ :‬ועדת הכרה‪ ,‬ועדת חריגים‪,‬ועדה לאישור‬
‫מגמות‪ ,‬ועדת משמעת וטוהר הבחינות וועדת ערעורים‪ ,‬שנועדו להתמודד עם דרישות ייחודיות של‬
‫הלקוחות (המכללות והסטודנטים) ולהבטיח שירות אמין‪ ,‬באיכות גבוהה ביותר‪ .‬ענפי הלימודים‪:‬‬
‫‪ ‬אלקטרוניקה ‪ -‬טכנאי מוסמך מהתעשיה‬
‫‪ ‬אדריכלות ועיצוב פנים‬
‫‪ ‬הנדסה אזרחית ‪ -‬מגמת משנה תכנון מבנים‬
‫‪ ‬אדריכלות נוף‬
‫‪ ‬הנדסה אזרחית ‪ -‬מגמת משנה ניהול בניה‬
‫‪ ‬אלקטרוניקה ‪ -‬טכנאי מוסמך‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫הנדסה רפואית ‪ -‬מכשור רפואי‬
‫הנדסת חשמל‬
‫הנדסת אלקטרוניקה ‪ -‬מגמת משנה מחשבים‬
‫הנדסת אלקטרוניקה ‪ -‬מגמת משנה מחשבים ‪-‬‬
‫מיקרו אלקטרו'‬
‫הנדסת אלקטרוניקה ‪ -‬מגמת משנה מחשבים‬
‫תוכנה‬
‫הנדסת אלקטרוניקה – מגמת משנה תקשורת‬
‫הנדסת אלקטרוניקה ‪ -‬מגמת משנה תקשורת‬
‫נתונים‬
‫הנדסת ביוטכנולוגיה‬
‫הנדסת חקלאות ‪ -‬מגמת משנה בעלי חיים‬
‫הנדסת כימיה ‪ -‬מגמת משנה טכנולוגיה של‬
‫המזון‬
‫הנדסת כימיה – מגמת משנה מעבדתית‬
‫תעשייתית‬
‫הנדסת כימיה מגמת משנה כימיה תרופתית‬
‫(פרמצבטית)‬
‫הנדסת מיכשור ובקרה‬
‫הנדסת מכונות – מגמת משנה מכטרוניקה‬
‫הנדסת מכונות – מגמת משנה רכב‬
‫הנדסת מכונות – מגמת משנה תכנון וייצור‬
‫ממוחשב‬
‫הנדסת סביבה‬
‫הנדסת קול הגברה והקלטה (סאונד)‬
‫הנדסת קירור ומיזוג אויר‬
‫הנדסת תוכנה‬
‫הנדסת תעשיה וניהול – מגמת משנה‬
‫לוגיסטיקה‬
‫הנדסת תעשייה וניהול – מגמת משנה מערכות‬
‫ייצור‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫הנדסת תעשייה וניהול – מגמת משנה מערכות‬
‫מידע‬
‫הנדסת תעשייה וניהול – מגמת משנה ניהול‬
‫האיכות‬
‫הנדסת תעשייה וניהול – מגמת משנה שיווק‬
‫וניהול‬
‫הנדסת תקשורת אינטראקטיבית ‪( -‬אינטרנט‬
‫ומולטימדיה)‬
‫חשמל ‪ -‬טכנאי מוסמך‬
‫חשמל ‪ -‬טכנאי מהתעשייה‬
‫טכנולוגיות מים‬
‫מכונות מגמת משנה מכטרוניקה ‪ -‬טכנאי‬
‫מוסמך‬
‫מכונות רכב ‪ -‬טכנאי מוסמך‬
‫מכונות רכב ‪ -‬טכנאי מוסמך מהתעשייה‬
‫מכונות‪-‬מגמת משנה תכנון וייצור ממוחשב‬
‫מכונות‪-‬מגמת משנה תכנון וייצור ממוחשב‪-‬‬
‫טכנאי מוסמך‬
‫מכינה טכנולוגית‬
‫עיצוב תעשייתי‬
‫פרויקט רקיע ‪ -‬הנדסת אלקטרוניקה מחשבים‬
‫פרויקט רקיע ‪ -‬הנדסת חשמל‬
‫פרויקט רקיע ‪ -‬הנדסת מכונות תכנון וייצור‬
‫ממוחשב‬
‫צילום ומדיה דיגיטלית‬
‫קולנוע וטלוויזיה‬
‫קולנוע וטלוויזיה‪ -‬מגמת משנה הדמיה‬
‫ואנימציה ממוחשבת‬
‫תוכנה ‪ -‬טכנאי מוסמך‬
‫תעשייה וניהול ‪ -‬מגמת משנה ייצור ‪ -‬טכנאי‬
‫מוסמך‬
‫תקשורת חזותית‬
‫מועצת רואי החשבון‬
‫מועצת רואי‪-‬חשבון הוקמה מכח “חוק רואי חשבון‪ ,‬התשט”ו ‪( ”-0955‬להלן החוק)‪ .‬המועצה‪,‬‬
‫שבסמכותה להעניק רישיון רואה חשבון‪ ,‬מונה ‪ 04‬חברים‪ ,‬ותפקידיה העיקריים של המועצה הם‪ :‬עריכת‬
‫בחינות לקראת קבלת רישיון רואה חשבון‪ ,‬פיקוח על התמחות ועל תלונות בגין התנהגות שאינה הולמת‬
‫את כבוד מקצוע רואה החשבון‪.‬‬
‫הנושאים בטיפול מועצת רואי חשבון‪:‬‬
‫‪ .1‬המועצה עורכת בחינות פעמיים בשנה‪ ,‬באביב (מאי‪/‬יוני‪/‬יולי) ובסתיו (נובמבר‪/‬דצמבר‪/‬ינואר)‪ .‬בכל‬
‫מועד נערכות ‪ 15‬בחינות הנחלקות ל‪ -4‬שלבים‪ ,‬ובסך הכל מתבצעות בחינות ל‪- -17,111‬‬
‫‪ 21,111‬נבחנים בשנה; כן מטפלת המועצה בעררים לגבי כל הבחינות‪.‬‬
‫‪ .2‬המועצה מטפלת בהענקת פטורים מנושאים ספציפיים של הבחינות‪ ,‬על סמך הלימודים‬
‫האקדמיים; המועצה בודקת את תוכניות הלימוד של האוניברסיטאות למטרה זו‪.‬‬
‫‪ .3‬המועצה חוקרת תלונות על התנהגות שאינה הולמת את כבוד המקצוע‪ .‬המועצה מוסמכת‪ ,‬על פי‬
‫ס' ‪ 12‬וס' ‪ 13‬לחוק‪ ,‬להטיל סנקציה על רואה חשבון האשם בהתנהגות שאינה הולמת את כבוד‬
‫המקצוע או שהתחייב בדין בעבירה שיש עימה קלון‪.‬‬
‫‪ .4‬המועצה מגבשת סטנדרטים ופרשנות לעניין דרכי פעולתה ואתיקה מקצועית של רו”ח‪.‬‬
‫‪ .5‬המועצה רושמת תחילת התמחות וסיומה ומאשרת אימון מתמחים ע”י רואה חשבון‪.‬‬
‫‪ .6‬המועצה בודקת את הבקשות של מחלקות במפעלים עסקיים ובמוסדות ציבור‪ ,‬לאישורן כמקום‬
‫התמחות‪ .‬המועצה בודקת פניות אלה על מנת לוודא שמתמחים יקבלו את ההכשרה המקצועית‬
‫הנדרשת במחלקות אלה‪.‬‬
‫‪ .7‬המפקח על המתמחים מטעם המועצה‪ ,‬עורך בדיקות שדה במקומות התמחות ומדווח למועצה על‬
‫ממצאיו‪ ,‬הוא בוחן את מידת התועלת שהמתמחה מפיק מעבודתו וחוקר בתלונות מתמחים‬
‫ומאמנים‪.‬‬
‫‪ .8‬המועצה עורכת טקס שנתי לחלוקת רשיונות רואי חשבון‪ .‬הטקס נערך בחודש ינואר בירושלים‬
‫בשיתוף עם לשכת רואי חשבון‪.‬‬
‫‪ .9‬המועצה מטפלת בהכנת הצעות לתיקון החוק והתקנות‪ ,‬בעזרת אנשי החקיקה במשרד המשפטים‬
‫ודנה בנושא הסכמי ה‪ GATS -‬והשפעתם על חוק רואה חשבון והתקנות‪.‬‬
‫‪ .11‬המועצה עוקבת אחרי התפתחויות המקצוע בחו”ל בעיון בהצעות ובהחלטות של הגופים הבאים‪:‬‬
‫)‪(AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS‬‬
‫)‪(FINANCIAL ACCOUNTING STANDARDS BOARD‬‬
‫)‪(GOVERNMENT ACCOUNTING STANDARDS BOARD‬‬
‫)‪(INTERNATIONAL ACCOUNTING STANDARDS COMMITTEE‬‬
‫)‪(INTERNATIONAL FEDERATION OF ACCOUNTANT‬‬
‫)‪(INTERNATIONAL ORGANIZATION OF SECURITIES COMMISSIONS‬‬
‫‪AICPA‬‬
‫‪FASB‬‬
‫‪GASB‬‬
‫‪IASC‬‬
‫‪IFAC‬‬
‫‪IOSCO‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪ .11‬מליאת המועצה נפגשת אחת לחודש ודנה בנושאים העומדים על הפרק‪.‬‬
‫‪ .12‬המועצה תומכת בקליטת העלייה של רו”ח ובוגרים בחשבונאות מכל רחבי העולם‪ ,‬בשיתוף פעולה‬
‫עם המשרד לקליטת העלייה והסוכנות היהודית לארץ ישראל‪.‬‬
‫הסמכת עורכי דין‬
‫שלא כמקצוע רואי החשבון‪ ,‬לא קיימת מועצה נפרדת במשרד המשפטים אשר בוחנת את המתמחים‬
‫ורשאית להסמיכם‪ ,‬הסמכות להסמיך עורכי דין נתונה בידי לשכת עורכי הדין (ראה “לשכת עורכי הדין‬
‫בישראל”)‪.‬‬
‫מועצת ההנדסה והאדריכלות‬
‫מועצת ההנדסה והאדריכלות קיימת מכוח חוק המהנדסים שנחקק בשנת התשי”ח‪ .0958 ,‬בראש‬
‫המועצה עומד שר התעשייה‪ ,‬המסחר והתעסוקה או נציגו‪.‬‬
‫מועצת ההנדסה והאדריכלות מורכבת מ‪ 27-‬נציגים‪ ,‬על פי החלוקה הבאה‪ 04 :‬נציגי הממשלה‪ 9 ,‬נציגי‬
‫לשכת המהנדסים והאדריכלים‪ ,‬נציג אוניברסיטת תל‪-‬אביב‪ ,‬נציג אוניברסיטת בן‪-‬גוריון בנגב ושני נציגים‬
‫נוספים מהמוסדות להשכלה גבוהה‪.‬‬
‫המועצה‪ ,‬המייעצת לשר‪ ,‬עוסקת בעיקר בתחומי הרישום‪ ,‬הרישוי והאתיקה הממלכתית‪ .‬בצד רשם‬
‫המהנדסים והאדריכלים פועלת ועדה מקצועית ומייעצת‪ ,‬הממונה ע”י מועצת ההנדסה והאדריכלות‪,‬‬
‫והיא זו שדנה בכל אותן בקשות לרישום שקיים לגביהן ספק ו‪/‬או צורך בבירור‪.‬‬
‫תחת מועצת ההנדסה והאדריכלות פועלות הוועדות הבאות‪:‬‬
‫‪‬‬
‫ועדת בחינות‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ועדה מייעצת‬
‫ועדת אתיקה מקצועית של המהנדסים והאדריכלים‬
‫ועדה להכרה במסלולים הנדסיים במוסדות שאינם אוניברסיטאות‬
‫ועדות שונות עפ”י הצורך‬
‫אתר מועצת ההנדסה והאדריכלות‪..‬‬
‫לחוק המהנדסים והאדריכלים‪.‬‬
‫לשכת אנשי אבטחת המידע והגנת הפרטיות בישראל‬
‫עבור מקצועות אבטחת מידע והגנת הפרטיות לא קיימת התאגדות‪ ,‬לא הוגדרו הסמכות “מהנדס” או‬
‫“הנדסאי”‪ ,‬ולא הוגדרו דרישות מקצועיות אחרות‪.‬‬
‫מקצועות ראשיים‬
‫מנהלן אבטחת מידע ‪Information Security Administrator: ISAD :‬‬
‫מבוא‬
‫המנהלן אחראי על מנגנון אישור ובקרת הרשאות גישה לאנשי הארגון במחלקת אבטחת מידע‪ ,‬על‬
‫ניהול מערכת ה‪ ,IDM -‬על הגדרת מדיניות בקרת גישה למערכות מידע בחברה‪ ,‬אחריות על בקרות‬
‫‪ SOX‬הקשורות לעניין הרשאות גישה‪ .‬בדרך‪-‬כלל נדרשת הכרות עם סביבת ‪,Active Directory‬‬
‫היכרות עם מבנים ארגוניים טיפוסיים על מחלקותיהם‪ ,‬והכרות עם מבנה אפליקציות ארגונית‪ ,‬שרתים‬
‫ומערכות הפעלה‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ניתוח‪ ,‬אפיון‪ ,‬הקמה‪ ,‬תחזוקה וניהול מערך הרשאות‪.‬‬
‫ניהול משתמשים וגישה למערכות וליישומים‪ ,‬בהתחשב במדיניות‪ ,‬בתקנים ובנהלים הארגוניים‪.‬‬
‫בניית חוקים‪.‬‬
‫אפיון דרישות והבנת צרכי משתמשים‪.‬‬
‫פתיחת משתמשים חדשים‪.‬‬
‫טיפול בתקלות‪.‬‬
‫הגדרה ותחזוקה של אובייקטי הרשאות‪.‬‬
‫הבנה עסקית וראייה תהליכית‪.‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫תקשורת – מודל ‪ 7‬השכבות ופרוטוקול ‪.TCP/IP‬‬
‫שליטה במערכת ‪.Active Directory‬‬
‫שליטה במערכת ‪.LDAP‬‬
‫שליטה בסקריפטים‪.‬‬
‫שליטה במערכת ניהול זהויות ‪.IDM‬‬
‫כשירות טכנית‬
‫‪‬‬
‫‪‬‬
‫היכרות עם עקרונות (בסיס בלבד) אבטחת מידע‪ ,‬לרבות מניעת חדירה‪ ,NAC ,‬ניהול פגיעויות‪,‬‬
‫ניהול גישות ומשתמשים )‪.(IAM‬‬
‫היכרות בסיסית עם מערכות אבטחה‪ ,‬כלים וטכנולוגיות‪ ,‬ובעיקר מן הסוג שבשימוש הארגון‬
‫מיישם אבטחת מידע ‪Information Security Systems Integrator: ISSI :‬‬
‫מבוא‬
‫מיישם (טכנאי) אבטחת המידע הינו תפקיד טכני‪-‬מעשי הדורש התנסות טכנית גבוהה‪ .‬ממלא מישרה זו‬
‫אחראי למגוון רחב של משימות טכניות‪ ,‬לרבות הטיפול השוטף במשימות אבטחת מערכות ההפעלה‪,‬‬
‫רכיבי הרשת‪ ,‬הכלים והטכנולוגיות לאבטחת מידע‪ ,‬והמערכות לניהול מידע ואירועי אבטחה (‪.)SIEM‬‬
‫המיישם אחראי להתקנה‪ ,‬הגדרה‪ ,‬תחזוקה ותפעול שוטף של כלי אבטחת מידע כגון‪Firewall, IDS, :‬‬
‫‪ IPS, Anti-Virus, Anti-Spam, Anti-Spy‬ועוד‪ .‬בדרך‪-‬כלל יבוצע תפקיד זה באמצעות טכנאי‬
‫המחשבים או מנהל הרשתות‪ .‬בארגונים גדולים במיוחד י ְיּוחד בעל מקצוע נפרד לתפקיד זה‪ .‬המיישם‬
‫מופעל ומונחה על‪-‬ידי מהנדס אבטחת המידע‪.‬‬
‫משימות מנהליות ומשימות התאמה לדרישות סביבה עשויות לכלול‪ :‬בקרת תצורה לרשתות ולמערכות‬
‫ההפעלה‪ ,‬ניהול חשבון משתמשים וסיסמאות‪ ,‬ניהול גישת משתמשים למשאבים ולמידע‪ ,‬איסוף המידע‬
‫ממערכות ‪ SIEM‬ודיווח‪ ,‬לרבות דוחות תגובה לאירועי אבטחה‪ ,‬בניית דוחות ניהול דוחות חריגים‬
‫חודשיים‪ .‬מינהלן האבטחה יהיה חבר בצוותי התכנון‪ ,‬היישום והפרויקטים של מערכות ההפעלה‪.‬‬
‫מגוון תפקידיו משתנה בהתאם לגודל הארגון‪ ,‬גודל יחידת ה‪ ,IT -‬מחלקת האבטחה‪ ,‬הטכנולוגיות‬
‫שבשימוש‪ ,‬ועוד‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ביצוע פעולות אבטחת תשתיות על בסיס טכנולוגיות רלבנטיות‪ ,‬לרבות מערכות הפעלה ורכיבי‬
‫תקשורת‪ ,‬בהתחשב במדיניות‪ ,‬בתקנים ובנהלים הארגוניים‪ ,‬בטכנולוגיות הנהוגות בשימוש‬
‫בענף‪ ,‬ובהתאם למדריכי‬
‫התקנה והגדרה של מערכות אבטחת מידע‪.‬‬
‫התקנת עדכונים‪ ,‬הסרת חולשות ונקודות תורפה‪ ,‬לרבות הסרת שירותים מיותרים‪ ,‬חשבונות‬
‫משתמש מיותרים‪ ,‬הקשחת המערכות‪ ,‬בהתאם למדיניות ולנהלים‪.‬‬
‫תיקון תקלות אבטחה‪.‬‬
‫תיאום או יישום פעולות תיקון המומלצות על‪-‬ידי ביקורת החברה‪.‬‬
‫דיווח על פעילות חשודה ברשתות‪.‬‬
‫דיווח להנהלה על חשיפה שלא נפתרה‪ ,‬שימוש לא ראוי במשאבים‪ ,‬או שימוש הנוגד את הנהלים‬
‫והתקנים השונים‪.‬‬
‫‪‬‬
‫ידע וכישורים נדרשים‬
‫בדרך‪-‬כלל מדובר בבעלי רקע או הסמכה מהסוגים הבאים‪ ISSI :‬של ‪ ,See Security‬או ‪CheckPoint-‬‬
‫‪ ,CCSA, Cisco-CCNA‬או ‪.Microsoft-ISA‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫מינימום ‪ 2‬שנות ניסיון ב‪ , IT -‬או אבטחת רשתות‪ .‬מינימום ‪ 5‬שנים למיישם בכיר‪.‬‬
‫תואר ראשון במערכות מידע‪ ,‬או ניסיון בהיקף מקביל‪.‬‬
‫הסמכה של ספקי פתרונות אבטחה כגון‪. ..‬‬
‫הסמכה של ספקי הסמכות בלתי‪-‬תלויים כגון ‪...‬‬
‫כשירות טכנית‬
‫‪‬‬
‫‪‬‬
‫היכרות עם עקרונות (בסיס בלבד) אבטחת מידע‪ ,‬לרבות הערכת סיכונים‪ ,‬מניעת חדירה‪,NAC ,‬‬
‫ניהול פגיעויות‪ ,‬ניהול גישות ומשתמשים )‪.(IAM‬‬
‫היכרות עם מערכות אבטחה‪ ,‬כלים וטכנולוגיות‪ ,‬ובעיקר מן הסוג שבשימוש הארגון‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ניסיון בפיתוח‪ ,‬בתיעוד ובתחזוקת נהלי אבטחה‪.‬‬
‫הכרה עמוקה של ארכיטקטורת הרשת‪ ,‬לרבות רכיביה כגון נתבים‪ ,‬מתגים‪,Firewall ,‬‬
‫ופרוטוקולים‪.‬‬
‫מיומנות מקצועית גבוהה בתשתיות וביישומים‪ ,‬ובעיקר מערכות ההפעלה העיקריות‪ ,‬מערכות‬
‫ניהול אבטחה‪ ,‬כלי התגוננות מפני קוד זדוני‪ ,‬מערכות מניעת חדירה‪ ,‬ניהול עמידה בתקנים‪,‬‬
‫ובכלי אבטחת תחנות קצה‪.‬‬
‫ניסיון בפיתוח‪ ,‬בתיעוד ובתחזוקת נהלי אבטחה‪.‬‬
‫היבטים אישיותיים‪-‬תעסוקתיים‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫יכולות ניתוח ופתרון בעיות‪.‬‬
‫יכולת מוכחת לעבודת תחת לחץ‪ ,‬לביצוע יעיל ושקול של מספר משימות דחופות במקביל‪.‬‬
‫תפקוד נאות תחת בקרה מינימאלית‬
‫יחסי אנוש המאפשרים עבודת צוות‪ ,‬ויחסי אנוש המאפשרים קשר יעיל עם צוותי ה‪ , IT-‬צוותי‬
‫פרויקטים ופיתוח‪ ,‬ההנהלה ואנשי העסקים בארגון‪.‬‬
‫יכולת לתקשורת בין אישית מילולית וכתובה‪.‬‬
‫אוריינטציית שירות גבוהה ללקוחות ויכולת בניית קשר ארוך טווח‪.‬‬
‫דרגות בכירּות‬
‫ארכיטקט אבטחת מידע‪InfoSec Systems Architect: ISSA :‬‬
‫מבוא‬
‫תפקיד זה הינו המהותי ביותר בתחום אבטחת המידע‪ ,‬הרחב ביותר‪ ,‬ומהווה אבן יסוד בבניין ההגנה‪.‬‬
‫הארכיטקט אחראי לתכנון ולבניית ההגנה הכלל ארגונית‪ :‬על מערכות ההפעלה‪ ,‬רשת התקשורת‪ ,‬הקוד‬
‫והיישומים כנגד האקרים‪ ,‬על הנחיית המיישמים ואנשי ה‪ ,IT -‬ועל ניהול “קרב ההגנה” הטכני בעת‬
‫אירוע‪ .‬הארכיטקט הוא “הראש” שמאחורי ההגנה על המידע‪ .‬הוא‪-‬הוא שיעמוד מול התוקף‪ ,‬יעצב את‬
‫שיטת העבודה‪ ,‬יעקוב אחר האירועים לצורך איתור התקפה‪ ,‬וינחה את התגובה וההתמודדות עם‬
‫התקפה‪ .‬ימצא בארגונים כלליים בינוניים וגדולים ובחברות יעוץ ושירות בתחום אבטחת המידע‪ .‬מקצוע‬
‫זה מהווה גם קרש קפיצה להתפתחות נוספת במגוון המקצועות ההנדסיים של עולם הסייבר‪.‬‬
‫תחומי הידע הנדרשים‪ :‬הקשחת תשתיות מחשוב‪ ,‬הקשחת יישומים‪ ,‬כלים וטכנולוגיות אבטחת מידע‪,‬‬
‫וכלים וטכניקות נפוצות של עולם התקיפה (האקינג)‪.‬‬
‫זווית הראיה של הארכיטקט היא תכנונית (להבדיל מהשקפת המיישם) בנושאים הבאים‪ :‬הבנת‬
‫טכניקות התקיפה הנפוצות‪ ,‬הבנת ארכיטקטורת הגנה‪ ,‬הבנת משמעויות ההקשחה של תשתיות מחשוב‬
‫ושל יישומים‪ ,‬הבנת תפקידיהם ויכולותיהם של כלים וטכנולוגיות אבטחת מידע‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ניהול הערכת סיכוני איומים ופגיעויות‪ ,‬סיכונים שיוריים‪ ,‬על‪-‬מנת לוודא שהמערכות מוגנות כליל‬
‫מפני איומים ידועים ומוגנות מפני איומים פוטנציאליים אחרים‪.‬‬
‫תגובה לאירועי אבטחה‪ ,‬פתירתם‪ ,‬ובמידת הצורך – הסלמתם באמצעות דיווח‪.‬‬
‫תגובה לאירועי אבטחה המדווחים על‪-‬ידי מערכות ‪ SIEM‬או לוגים‪.‬‬
‫איתור תקלות אבטחה‪.‬‬
‫השוואת אירועים ונתוניהם לצורך בניית דוח אירועים וחריגים חודשי‪.‬‬
‫ייצוג צוות האבטחה בפורומים שונים‪ ,‬לרבות צוותי פרויקטים‪.‬‬
‫חקירת פגיעויות ואיומים‪.‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫כשירות טכנית‬
‫‪‬‬
‫דרגות בכירּות‬
‫מהנדס אבטחת מידע‪Information Systems Security Engineer: ISSE :‬‬
‫מבוא‬
‫תפקיד זה עוסק בתכנון ובבנייה של תוכנית אבטחה למערכת מסוימת‪ ,‬המצויה בשלב התכנון‪ ,‬הפיתוח‬
‫או בשלבי חיים מתקדמים אחרים‪.‬‬
‫תחומי הידע הנדרשים‪ :‬הקשחת תשתיות מחשוב‪ ,‬הקשחת יישומים‪ ,‬כלים וטכנולוגיות אבטחת מידע‪,‬‬
‫וכלים וטכניקות נפוצות של עולם תקיפת יישומים (האקינג)‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫כשירות טכנית‬
‫‪‬‬
‫דרגות בכירּות‬
‫‪‬‬
‫‪‬‬
‫מנהל אבטחת מידע ב‪.Information Security Systems Officer: ISSO :IT -‬‬
‫מבוא‬
‫ל‪ ISSO -‬מכנה משותף רחב עם ארכיטקט אבטחת מידע‪ .‬תפקידו של ה‪ ISSO -‬דומה לתפקיד‬
‫הארכיטקט‪ ,‬אך כולל היבטים הנוגעים לניהול אנשי המקצוע שתחת אחריותו – המיישמים‬
‫והארכיטקטים‪ ,‬וניהול תקציבי יישום האבטחה בארגון‪ ,‬בדרך‪-‬כלל – על‪-‬בסיס כל פרויקט או מערכת‬
‫בנפרד‪.‬‬
‫תחומי הידע הנדרשים כוללים את אלו הנדרשים לארכיטקט‪ ,‬ובנוסף – ניסיון בניהול‪.‬‬
‫תפקידו – לתרגם את דרישות ה‪ CISO -‬לכלל עשייה באגף או מחלקת ה‪ .IT -‬מנהל תפעול אבטחת‬
‫המידע מתרגם למעשה את הצרכים העסקיים‪ ,‬כפי שהם מופיעים במסמך מדיניות אבטחת המידע‪,‬‬
‫לדרישה טכנית הכוללת היבטי מדידת ביצועים ודיווח‪ .‬המנהל אחראי על יישום וניהול הפעילות הטכנית‬
‫של יחידת ה‪ IT -‬בהיבטי האבטחה ואספקת דוחות אבטחה להנהלה‪.‬‬
‫התפקיד דורש כושר מנהיגות‪ ,‬ידע טכני נרחב‪ ,‬כושר ניהול פרויקטים‪ ,‬הובלת צוותי עבודה‪ ,‬ויכולת‬
‫לעבוד מול הנהלת הארגון‪ ,‬תוך קביעת סדרי עדיפויות לפעילויות‪ ,‬מתוך מודעות להיבטי הצרכים‬
‫העסקיים של הארגון‪ .‬המנהל משתתף פעיל בתכנון הפעילות של יחידת ה‪ ,IT -‬ואחראי על שילוב‬
‫מערכות חומרה‪ ,‬תוכנה ויישומים במערך המידע‪ ,‬בהיבטי האבטחה‪ ,‬כמו גם שילוב כלי אבטחה‪ ,‬לצד‬
‫פיקוח על אחריות הספקים של יחידת ה‪ IT -‬לאספקת רמת שירות הנדרשת להיבט האבטחתי של‬
‫מוצריהם ושירותיהם‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫שיתוף פעולה עם ה‪ CISO -‬בפיתוח תוכנית אבטחה ופרויקטי אבטחה המיועדים לתת מענה‬
‫לסיכונים ולדרישות האבטחה העסקיות‪.‬‬
‫תיאום‪ ,‬מדידה ודיווח להיבטים הטכניים של ניהול מערך האבטחה‪.‬‬
‫הגדרת מחלקות עסקיות בארגון הנדרשות לסיוע באבטחה‪.‬‬
‫סיוע לאותן מחלקות עסקיות בהגדרת צרכיהן ותרגומן למח' ‪.IT‬‬
‫סיוע למחלקות עסקיות ולמח' ‪ IT‬בתרגום הערות מח' ביקורת אבטחה‪.‬‬
‫לוודא כי צוות ה‪ IT -‬מתייחס להיבטי האבטחה בשלב ההערכה‪ ,‬הבחירה‪ ,‬ההתקנה והיישום של‬
‫מערכות חומרה‪ ,‬תוכנה ויישומים‪.‬‬
‫להמליץ‪ ,‬לתאם ולאכוף יישומה של מדיניות אבטחת המידע בהיבטיה הטכניים‪.‬‬
‫לספק דוחות אודות אירועי אבטחה‪ ,‬רמת שירות ומצב הפרויקטים הרלבנטיים‪.‬‬
‫הערכה של איומים‪ ,‬מפגעי אבטחה‪ ,‬וסיכונים שיוריים והמלצה על פעולות מתקנות‪.‬‬
‫להוות סמכות מקצועית לשילוב הארכיטקטורה והאינטגרציה של האבטחה עם האסטרטגיה‬
‫העסקית והאסטרטגיה של יחידת ה‪.IT -‬‬
‫לייצר התמחויות מקצועיות וניהוליות לאנשי אבטחת המידע‪.‬‬
‫לחקור‪ ,‬להעריך‪ ,‬לתכנן‪ ,‬לבחון אמצעי תוכנה וחומרה חדשים או עדכונים לאבטחת מידע ולנתח‬
‫משמעויותיהם על הסביבה הקיימת‪.‬‬
‫לתחזק את ספריית המידע והנוגעת לעדכונים ולחומרי יעוץ לאבטחת המידע המיועדת לאנשי‬
‫האבטחה‪.‬‬
‫לפתח חומרי הכשרה טכניים וסדנאות על מגמות‪ ,‬איומים‪ ,‬והמלצות עבור אנשי ה‪.IT -‬‬
‫לנהל פרויקטי אבטחה ולהוות מדריך מקצועי לשאר הפרויקטים ב‪IT -‬‬
‫לפעול לבחירת פתרונות אבטחה ההולמים את צרכי האבטחה וההתאמה למחויבויות האבטחה‪.‬‬
‫לפעול בשיתוף פעולה עם ה‪ CISO -‬לפיתוח תקציב בראייה לטווח קצר וארוך של היעדים‪.‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫להוות איש קשר עם ספקים‪ ,‬עם המחלקה המשפטית ועם מחלקת הרכש ליצירת הסכמי רכש‬
‫ושירות ההולמים את צרכי האבטחה‪.‬‬
‫להשגיח ולדווח בנושא ההקפדה על מילוי דרישות מדיניות האבטחה בקרב מחלקת ה‪.IT -‬‬
‫להדריך ולסייע לצוות התאוששות מאסון בבחינת התוכניות ותחזוקתם‪.‬‬
‫להוות מדריך מקצועי בישיבות הועדה לאבטחת מידע‪.‬‬
‫לנהל בעיות תפעוליות ואירועים‪ ,‬ולהשתתף בפורומים של שינויים ובעיות‪.‬‬
‫הגברת מודעות אבטחת המידע של האחראים למשאבי המידע והכלים במערכת ושל‬
‫המשתמשים‪ ,‬לרבות המודעות לנהלים ולמדיניות החברה בנושא‪.‬‬
‫תכנון ותחזוקת תוכניות‪ , DRP‬תהליכים ונהלים‪ ,‬בהתאמה למדיניות‪ ,‬לנהלים ולתקנים הנהוגים‪,‬‬
‫ובהתאמה לצרכים העסקיים‪.‬‬
‫סיוע והדרכה של אנשי צוות אבטחת מידע מתחילים בשימוש בכלי אבטחה‪ ,‬בהכנת דוחות‬
‫ובהבנה של סוגיות אבטחה‪.‬‬
‫ייצוג צוות האבטחה בפורומים שונים‪ ,‬לרבות צוותי פרויקטים‪.‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫מינימום ‪ 7‬שנות ניסיון ב‪ ,IT -‬מתוכן ‪ 5‬שנים בתפקידי אבטחת מידע‪ ,‬ומהם ‪ -‬לפחות שנתיים‬
‫ניסיון בתפקיד פיקוח‪.‬‬
‫תואר ראשון במערכות מידע‪ ,‬או ניסיון בהיקף מקביל‪ ,‬עדיפות לתואר ‪ MBA‬או ‪ MS‬באבטחת‬
‫מידע‪.‬‬
‫הסמכה של ספקי פתרונות אבטחה כגון ‪...‬‬
‫הסמכה של ספקי הסמכות בלתי‪-‬תלויים כגון ‪...‬‬
‫כשירות טכנית‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫מוכר כמנהיג מקצועי בעל היכרות מעמיקה של כלים‪ ,‬טכנולוגיות‪ ,‬אסטרטגית אבטחה‪,‬‬
‫והשלכותיהם על הסביבה העסקית‪.‬‬
‫בעל הבנה מעמיקה של תפיסות ועקרונות סיכוני מידע‪ ,‬בהקשר של צרכים עסקיים ומשמעותם‬
‫בבחירת אמצעי האבטחה הננקטים‪.‬‬
‫בעל ידע וניסיון בתכנון ובתיעוד של ארכיטקטורת אבטחת מידע‪ ,‬בהיבט האסטרטגי‪ ,‬הטקטי‪,‬‬
‫וברמה הפרויקטאלית‪.‬‬
‫בעל הבנה מעולה של עקרונות אבטחת המידע‪ ,‬פרוטוקולים‪ ,‬הכרת השוק והאסטרטגיות‬
‫המקובלות‪.‬‬
‫בעל ניסיון בשיתוף פעולה עם גורמים משפטיים‪ ,‬גורמי ביקורת ואנשי ‪.compliance‬‬
‫ניסיון בפיתוח מדיניות אבטחת מידע‪ ,‬נהלי אבטחה‪ ,‬תקנים ומדריכים‪.‬‬
‫היכרות מעמיקה עם מסגרות תקנים מקובלות בענף‪ ,‬כגון ‪.ISO 17799q27001, ITIL, CobiT‬‬
‫הכרת של חוקים ורגולציות מקובלות כגון ‪Sarbanes-Oxley, HIPPA, EuroSOX, J-SOX, BASELL-‬‬
‫‪.II, EUDPD‬‬
‫כישורי ניהול פרויקטים חזקים‪ ,‬לרבות יכולת בניה וניהול פרויקט‪ ,‬תקציב וניוד משאבים‪.‬‬
‫מומחיות בהצגת הסיכונים‪ ,‬משמעויות עסקיות‪ ,‬שיטות הגנה והערכת פגיעויות‪ ,‬לרבות הצגת‬
‫פתרונות‪.‬‬
‫ידע מקצועי מעולה במערכות ההפעלה העיקריות ‪ ,Windows, Linux/Unix‬כלים וטכנולוגיות‬
‫לאבטחת מידע‪ ,‬ניהול זהויות וניהול גישה‪ ,‬תוכנות הגנה נגד קוד זדוני‪ ,‬תוכנות תומכות עמידה‬
‫בתקנים‪ ,‬וכלי אבטחת תחנות קצה‪.‬‬
‫היבטים אישיותיים‪-‬תעסוקתיים‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ידע טוב בתהליכים עסקיים‪ ,‬הבנת מניעים ויעדים עסקיים ויכולת לתרגמם לדרישות אבטחה‪.‬‬
‫יכולת ניתוח גבוהה לשם ניתוח דרישות אבטחה וייחוסם לאמצעי פיקוח נאותים‪.‬‬
‫יחסי אנוש המאפשרים קשר עם כל הדרגים בארגון‪ ,‬בכל היחידות העסקיות והאחרות‪ ,‬והבנת‬
‫התרבות העסקית‪.‬‬
‫כושר מנהיגות המאפשר לפתוח ולהדריך את צוות אבטחת המידע ואת צוותי ה‪ IT -‬ולפעול‬
‫בתנאי בקרה מינימאלית‪.‬‬
‫כושר ביטוי מעולה בכתב ובעל פה‪ ,‬יחסי אנוש מעולים המאפשרים קשר יעיל עם צוותי ה‪,IT -‬‬
‫צוותי פרויקטים ופיתוח‪ ,‬ההנהלה ואנשי העסקים בארגון‪.‬‬
‫דרגות בכירּות‬
‫‪‬‬
‫‪‬‬
‫מנהל אבטחת מידע ארגוני‪.Chief Information Security Officer: CISO :‬‬
‫מבוא‬
‫ל‪ CISO -‬מכנה משותף רחב עם ארכיטקט אבטחת מידע‪ .‬גם תפקידו של ה‪ CISO -‬דומה לתפקיד‬
‫הארכיטקט‪ ,‬אך כולל היבטים ניהוליים והיבטים הקשורים לטיפול בפן העסקי – ניהול סיכונים‪ ,‬טיפול‬
‫בהיבטי חוק ורגולציה‪ ,‬וטיפול בסתירה האינהרנטית שבין משימות האבטחה לצרכי הפתיחות של‬
‫הארגון‪ .‬ה‪ CISO -‬גם אחראי גם לביצוע ביקורת טכנית ומנהלית על מנהל צוות אבטחת המידע‪ .‬מיקומו‬
‫– מחוץ למחלקת ה‪ .IT -‬כמו כן‪ ,‬תחת אחריותו גם מרכז השליטה המרכזית – ה‪ SEIM -‬הארגוני‪,‬‬
‫תהליכי מודעות עובדים‪ ,‬הכשרות מקצועיות בתחומי האבטחה‪.‬‬
‫מנהל אבטחת מידע ארגוני (‪ )CISO‬אחראי על גיבושה ומימושה של תוכנית אבטחת המידע שמטרתה‬
‫להבטיח שנכסי המידע הארגוניים מוגנים כנדרש‪ .‬במסגרת זו‪ ,‬מנהל אבטחת המידע אחראי על זיהוי‪,‬‬
‫ניתוח וניהול של סיכוני אבטחת מידע באופן העונה על דרישות העסק והרגולציה‪ .‬התפקיד מצריך חזון‬
‫ומנהיגות בשילוב יכולות טובות בתחום הניהול הטכנולוגי והעסקי‪ .‬ה‪ CISO-‬פועל ביחד עם הגורמים‬
‫העסקיים בארגון לצורך גיבוש מדיניות וסטנדרטים של אבטחת מידע‪ .‬הוא גם מפקח על כלל פעילויות‬
‫ניהול הסיכונים ב‪.IT-‬‬
‫ה‪ CISO-‬משמש כאחראי על כלל התהליכים והפעילויות הכרוכים בשמירה על זמינות‪ ,‬כלילות‬
‫(‪ )integrity‬וחשאיות המידע של העסק‪ ,‬של לקוחותיו‪ ,‬של שותפיו העסקיים ושל עובדיו‪ .‬כל זאת‬
‫בהתאם למדיניות אבטחת המידע הארגונית‪ .‬גורם מפתח בתפקידו של ה‪ CISO-‬טמון ביכולתו לעבוד‬
‫עם ההנהלה הבכירה בארגון בכדי להגדיר‪ ,‬במשותף‪ ,‬את רמות הסיכון המקובלות על העסק‪ .‬מנהל‬
‫אבטחת המידע חייב להיות בעל ידע רחב בסביבה העסקית וחייב לוודא שמערכות המידע מנוהלות‬
‫ופועלות באופן מאובטח‪.‬‬
‫באופן אידיאלי‪ ,‬מנהל אבטחת המידע משמש כמתווך בין אנשים ותהליכים‪ ,‬מנהיג בעל מחשבה ויכולת‬
‫לפתרון בעיות‪ ,‬יועץ אפקטיבי‪ ,‬בעל יכולות רחבות בתחום אבטחת המידע ובעל ניסיון של ‪ 8‬שנים בניהול‬
‫ואבטחת מידע‪.‬‬
‫תחומי הידע הנדרשים כוללים את אלו הנדרשים לארכיטקט‪ ,‬ובנוסף ‪ -‬ממשל אבטחת מידע וניהול‬
‫יחידת אבטחת מידע‪ ,‬לרבות ביקורת אבטחה‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫פיתוח‪ ,‬יישום וניטור של תוכנית מקיפה ופרטנית לאבטחת המידע וניהול סיכונים בהיבטי זמניות‪,‬‬
‫כלילות וחשאיות המידע הארגוני‬
‫ניהול גוף האבטחה של הארגון‪ ,‬במתווי דיווח ישירים ועקיפים‪ ,‬לרבות גיוס‪ ,‬אימון‪ ,‬פיתוח והערכת‬
‫ביצועי עובדים‪.‬‬
‫פיתוח‪ ,‬תקשור ווידוא של מימוש מדינות ונוהלי אבטחת המידע של הארגון‪.‬‬
‫גיבוש וניהול תקציבי אבטחת מידע‬
‫יצירה וניהול של תוכנית מודעות והדרכת אבטחת מידע לכלל עובדי הארגון‪ ,‬ספקים חיצוניים‬
‫ומשתמשי המערכות‪.‬‬
‫עבודה מול היחידות העסקיות השונות בכדי לנתח סיכוני אבטחת מידע‪ ,‬לזהות רמות מקובלות‬
‫של סיכון ולמסד תפקידים ותחומי אחריות בתחום סיווג והגנה על המידע‬
‫לספק ייעוץ להנהלה הבכירה במגוון רחב של סטנדרטים ופרקטיקות מקובלות בתחום אבטחת‬
‫המידע‪.‬‬
‫לספק הנחיה טקטית ואסטרטגית בתחום אבטחת המידע לפרויקטי ‪ ,IT‬לרבות הערכה והמלצה‬
‫על שילוב בקרות טכניות‪.‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫תיאום מול גופי התכנון ב‪ IT-‬במטרה לוודא ששיקולי אבטחת מידע נלקחים בחשבון באסטרטגיית‬
‫הבניה והתשתית של מערכות המידע בארגון‬
‫תיאום פרויקטים של אבטחה וניהול סיכונים מול גוף ה‪ IT-‬והגורמים העסקיים הרלבנטיים‬
‫ווידוא קיום דרישות החוק‪ ,‬הרגולציה והמדיניות הנוגעים לאבטחת מידע‬
‫תיאום וקישור בין גוף האבטחה לגופי הממשל התאגידי‪ ,‬הביקורת‪ ,‬כוח האדם‪ ,‬היועצים‬
‫המשפטיים וכיו”ב‬
‫יצירה וניהול של תהליך הערכת סיכוני אבטחת מידע‪ ,‬לרבות דיווח ופיקוח על הפעולות‬
‫המתקנות כתוצאה מזיהוי מפגעי אבטחה‪.‬‬
‫ניהול אירועי אבטחת מידע‬
‫תיאום השימוש במשאבים חיצוניים הקשורים בתוכנית האבטחה‪ ,‬לרבות ניהול מו”מ‪ ,‬גיבוש‬
‫הסכמים ותנאי עסקות לאספקת שירותים או מוצרים בתחום אבטחת מידע‪.‬‬
‫פיתוח מדיניות אפקטיבית להתאוששות מאסון‪ ,‬תיאום של יצירת תוכניות ונוהלי התאוששות‪,‬‬
‫בכדי להבטיח המשכיות עסקית במקרה של אסון‪.‬‬
‫פיתוח מדדים רלבנטיים להערכת היעילות והאפקטיביות של תוכנית האבטחה‪ ,‬בכדי לוודא‬
‫הקצאה נכונה של משאבים ופיתוח הבשלות של התוכנית‪.‬‬
‫התאמה של האבטחה לצרכי העסק ויצירת תקשורת עם ההנהלה באמצעות יצירת צוות היגוי‬
‫בכיר לאבטחת מידע‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫לפחות ‪ 8-01‬שנות ניסיון בתחומי ניהול סיכונים‪ ,‬אבטחת מידע ו‪ .IT-‬עדיף בתחומי עסק דומים‪.‬‬
‫יכולות וורבליות ויכולות כתיבה מעולות‪ .‬כישורים בינאישיים מצוינים‪ .‬יכולת עבודה בצוות‪ .‬בפרט‪,‬‬
‫יכולת לתקשר מושגי אבטחה וניהול סיכונים לקהלים טכניים ולא טכניים‪.‬‬
‫בעל חשיבה ביקורתית ויכולת חזקה לפתרון בעיות‬
‫ידע במגמות טכנולוגיות ופיתוחים בתחום אבטחת מידע וניהול סיכונים‪.‬‬
‫יכולות בתחום ניהול פרויקטים‪ ,‬ניהול תקציב‪ ,‬ניהול זמן ומשאבים‪.‬‬
‫יכולת להוביל ולהנהיג צוותים הטרוגניים לעמידה ביעדים טקטיים ואסטרטגיים‬
‫תואר בתחום ניהול עסקים‪ ,‬תחום טכנולוגי‪ ,‬או תואר אחר או ניסיון שווה ערך‪.‬‬
‫הכרה של תקינות בתחום אבטחת מידע (למשל‪)ISO27110 :‬‬
‫הסמכה מקצועית – עדיפות‪.‬‬
‫יכולת טובה של עבודה עם מחשב אישי‪ ,‬תוכנות עיבוד תמלילים וכיו”ב‬
‫ניסיון בניהול מו”מ עם ספקים‬
‫רמה גבוהה של יושרה אישית‪ ,‬דיסקרטיות‪ ,‬בגרות ויכולת שיפוט‪.‬‬
‫רמה גבוהה של יוזמה אישית‪ ,‬עצמאות ומהימנות‪.‬‬
‫דרגות בכירּות‬
‫‪‬‬
‫‪‬‬
‫מבקר אבטחת מידע‪.Information Security Auditor: ISA :‬‬
‫תפקיד המבקר‪ ,‬לבצע את הבדיקות והמבדקים הנדרשים על‪-‬מנת לוודא תקינות מנהלית ומבצעית של‬
‫מערכי ההגנה והאבטחה‪ ,‬בהיבטים תהליכיים‪ ,‬טכנולוגיים ואישיים‪ ,‬תוך השוואת הממצאים מול‬
‫המחויבויות של יחידת אבטחת המידע כלפי היעדים העסקיים‪ ,‬החוקיים והחברתיים של הארגון‪ .‬רצוי‬
‫מאוד‪ ,‬כי מבקר אבטחת המידע יהיה ארכיטקט אבטחה בהכשרתו‪.‬‬
‫יש להבחין בין מבקר מערכות מידע‪ ,‬אשר בדרך‪-‬כלל הינו בעל הסמכה של רואה חשבון ולימודי ביקורת‬
‫מערכות‪ ,‬לבין מבקר אבטחת מידע בעל הכשרה טכנית‪-‬ארכיטקטונית‪ .‬השילוב בין השניים נדיר מאוד‪,‬‬
‫אך מאפשר יכולות רבות יותר בזכות שילוב הדיסציפלינות‪.‬‬
‫תוקף ‪ /‬בודק חדירות‪.InfoSec Penetration Experts: ISPTE :‬‬
‫מבוא‬
‫מומחה תקיפה (‪ )White Hat‬מבצע בדיקות חדירות למערך ההגנה הארגוני‪ .‬מקצוע זה הינו מן‬
‫המורכבים והמתוחכמים‪ ,‬מתאפיין במולטי‪-‬דיסציפינריות וביצירתיות רבה‪ .‬גם מקצוע זה מהווה שלב‪,‬‬
‫להתפתחות נוספת במגוון המקצועות הטכניים של עולם הסייבר‪.‬‬
‫תחומי הידע הנדרשים‪ :‬שליטה במערכות הפעלה‪ ,‬בתקשורת על כל נדבכיה‪ ,‬ובעיקר פרוטוקולים‬
‫מגוונים לסביבות שונות‪ ,‬שליטה בשפות תכנות (לפחות ‪ ,C‬ורצוי גם ‪ Python‬או ‪ ,Perl‬וכן ‪,)Assembly‬‬
‫בטכניקות הגנה וכלי אבטחת מידע‪ ,‬וכן שליטה בטכניקות ובכלי חקירה ותקיפה מגוונים‪ .‬מומחי תקיפה‬
‫מנוסים יכירו גם היבטים של ‪ , Reverse Engineering‬של ‪ ,Forensics‬וכן יישומים ארגוניים נפוצים‬
‫שונים‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫כשירות טכנית‬
‫‪‬‬
‫דרגות בכירּות‬
‫‪‬‬
‫התמחויות מקצועיות‬
‫מומחה ניטור אירועי אבטחה‪:InfoSec Incident Expert: ISIE :‬‬
‫מבוא‬
‫מרכז ניטור ( ‪SIEM/SOC - Security Information and Event Management / Security‬‬
‫‪ )Operation Center‬הינו מרכז שליטה ובקרה לאבטחת מידע‪ ,‬המכיל מספר בעלי התמחויות‪ ,‬ופועל‬
‫במשולב עם שאר מומחי האבטחה בארגון‪ .‬תפעול מרכז אבטחה ‪ SOC‬מתבצע בדרך‪-‬כלל במתכונת‬
‫‪ ,24/7/365‬ונועד לשמור על המידע והמערכות הארגוניות מפני התקפות מחשב‪ ,‬באמצעות ניטור של‬
‫התקשורת והמערכות הארגוניות‪ ,‬זיהוי אירועים חשודים וביצוע פעולות מניעה‪ .‬בנוסף‪ ,‬מבצע ה‪SOC -‬‬
‫פעילות פרואקטיבית לאיתור התקפות עתידיות פוטנציאליות‪.‬‬
‫אנליסט ב‪ SOC -‬נדרש להגיב לאירועים בזמן גילויים‪ ,‬לזהות חתימות ולפענח את מנות הנתונים‪,‬‬
‫ולבצע הערכת סיכונים רלבנטית למשאבי הארגון אשר נובעת מהאירוע‪ .‬בנוסף‪ ,‬תתבצע בדיקה מול‬
‫יומני המערכות הארגוניות אשר עלולות היו להיות מושפעות מהאירוע‪ :‬יישומים‪ ,‬מסדי נתונים‪ ,‬שרתי‬
‫‪ Web‬ואחרים‪ ,‬תחנות עבודה‪ ,‬משאבי הרשת ועוד‪.‬‬
‫דרישות הסף הינן ידע במערכות הפעלה ותקשורת‪ ,‬יתרון לרקע בשפת תכנות ‪( C‬או ‪,)Python/Perl‬‬
‫ומומלצת הכשרת מהנדס‪/‬ארכיטקט הכוללת רכישת ידע בטכניקות וכלי תקיפה‪ ,‬טכניקות וכלי אבטחה‪,‬‬
‫וארכיטקטורת אבטחת מידע‪ .‬הכשרה ייעודית משלימה לתפקיד הספציפי כמומחה ‪ SOC‬לא קיימת‬
‫ומבוצעת בארגון עצמו‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫יכולת עבודה במשמרות‪.‬‬
‫יכולת לעקוב ולטפל באירועי אבטחה מרובים בו‪-‬בזמן‪.‬‬
‫ידע נרחב בטכנולוגיית האינטרנט ופרוטוקולי תקשורת‪.‬‬
‫ידע במערכות ‪.Windows, Linux, UNIX‬‬
‫היכרות עם ציוד תשתיות רשת (נתבים‪ ,‬מתגים‪ ,‬אמצעי אבטחת מידע‪ ,‬וכו')‪.‬‬
‫ידע מעמיק ביישומי אינטרנט (‪ SMTP, HTTPs, FTP, Telnet, SSH‬וכו')‪.‬‬
‫שליטה בתוכנות ‪.Office‬‬
‫כשירות טכנית‬
‫‪‬‬
‫מומחה חקירות למערכות מידע‪Information Systems Forensics Expert: ISFE :‬‬
‫מבוא‬
‫ארגונים מתקשים מאוד לזהות התקפות דיגיטליות‪ ,‬או אפילו לאבחנן‪ ,‬להסירן או להתגונן מפניהן‪.‬‬
‫לעיתים מזומנות נדמה למתגוננים כי אירועים במחשב או ברשת הארגונית הינן תוצאה של תקלה‪,‬‬
‫ואינם מצליחים לזהות התקפה חיצונית‪ .‬ההתקפות המודרניות הינן מתקדמות‪ ,‬ועתירות באמצעי‬
‫הסתרה וטשטוש עקבות‪ .‬מומחה חקירות נדרש לזהות התקפה‪ ,‬לפענחה על כל מרכיביה‪ ,‬לאתר את כל‬
‫חלקיה ברשת‪ ,‬להגיב‪ ,‬להסיר את כל רכיבי ההתקפה‪ ,‬ולהמליץ על הגנה נאותה כנגד התקפות בעלות‬
‫אופי דומה‪ .‬חוקר הגנה יבצע פעילות פרואקטיבית של חקירות באינטרנט כדי ללמוד על התקפות מסוג‬
‫חדש שהארגון טרם התנסה בהן‪ ,‬וינסה לאתר נקודות חולשה של הארגון שאליהן יכול תוקף פוטנציאלי‬
‫להגיע מחוץ לארגון‪ .‬עבודת החוקר מחייבת רקע מקיף בתכנות‪ ,‬בתקשורת‪ ,‬בסיסטם‪ ,‬ביישומי אינטרנט‪,‬‬
‫היכרות עם השלכות משפטיות‪ ,‬ועם נהלים ורגולציות הרלבנטיים לארגון בו הוא מועסק‪ ,‬וכמובן –‬
‫היכרות מעמיקה עם ארכיטקטורת אבטחת המידע‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫כשירות טכנית‬
‫‪‬‬
‫מומחה אבטחת יישומים ופיתוח‪Application Development Security Expert: :‬‬
‫‪:ADSE‬‬
‫מבוא‬
‫למעלה מ‪ 81% -‬מהפגיעויות נמצאות בשכבת האפליקציה‪ .‬מצב זה מחייב התייחסות ניכרת לפיתוח‬
‫יישומים‪ ,‬הן בשלב התכנון‪ ,‬הן בשלב הפיתוח‪ ,‬ולאחר מכן – בשלב התחזוקה ובכל סיטואציה של עדכוני‬
‫תכנה‪ .‬כל מקצועני הפיתוח העוסקים בכל שלב במחזור החיים של יישום‪ ,‬נדרשים לשאת בנטל אבטחת‬
‫היישום‪ ,‬ולפיכך‪ ,‬נדרש מומחה אשר ירכז את המאמץ‪ ,‬ינחיל ידע למפתחים‪ ,‬למתכננים ולמנתחי‬
‫המערכת‪ ,‬ויפעל להכשרתם גם בתחום אבטחת היישום‪.‬‬
‫מנהל פרויקט לאבטחת מערכות מידע‬
‫מבוא‬
‫תחומי אחריות‬
‫‪‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫כשירות טכנית‬
‫‪‬‬
‫מומחה ‪Behavior Analysis‬‬
‫מבוא‬
‫ניתוח התנהגות רשת היא דרך נוספת לשיפור אבטחת רשת פנימית על ידי ניטור התנועה וציון פעולות‬
‫יוצאות דופן או סטיות מפעולה טיפוסית המאפיינת את הארגון או מחלקה בו‪ .‬קונבנציונלי מניעת חדירות‬
‫פתרונות להגן על מערכת היקפית של הרשת באמצעות בדיקה מנות‪ ,‬זיהוי חתימה בזמן אמת חסימה‪.‬‬
‫פתרונות ה‪ NBA-‬ולראות מה קורה בתוך הרשת‪ ,‬לאיסוף נתונים מנקודות רבות כדי לתמוך ניתוח לא‬
‫מקוון‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫כשירות טכנית‬
‫‪‬‬
‫מומחה ‪Reverse Engineering‬‬
‫מבוא‬
‫הנדסה לאחור הינו כלי חיוני של חוקרי פגיעויות (‪ .)Vulnerability researcher‬במקרים רבים של‬
‫אירועי אבטחת מידע לא יכול צוות התגובה והחקירות להשלים במדויק את תהליך הניתוח‪ ,‬מבלי להבין‬
‫היטב את התהליך של ‪ .Runtime‬האקרים מתקדמים עושים שימוש בטרויאנים מתוחכמים שאינם‬
‫מזוהים על ידי אנטי וירוס‪ ,‬ולפיכך – ניתן לזהותם ולפענח את פעולתם רק באמצעות הנדסה לאחור‪.‬‬
‫כלי הנדסה לאחור משמשים גם כדי לפענח את הקוד המעורבל של ספקי הגנות שונות על תוכנה‪ ,‬ועל‪-‬‬
‫מנת לזהות נקודות תורפה בקוד המפותח על‪-‬ידי תכניתני הארגון‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫כשירות טכנית‬
‫‪‬‬
‫מומחה ‪SCADA‬‬
‫מבוא‬
‫ארגוני אנרגיה תקשורת‪ ,‬תעבורה‪ ,‬רפואה‪ ,‬וארגונים מסוגים נוספים נחשבים כתשתיות קריטיות‬
‫לניהולה התקין של שגרת מדינה‪ .‬המערכות התעשייתיות המנוהלות על‪-‬ידי מחשבים מכונות – ‪ICS‬‬
‫‪ .Industrial Control Systems‬מערכות רבות מתוך אלו‪ ,‬מופעלות על‪-‬ידי ‪SCADA - Supervisory‬‬
‫‪ .Control And Data Acquisition‬מערכות אלו נחשבות “חוליה חלשה” בשרשרת ההגנה‪.‬‬
‫מומחה הינו מי שמכיר את ההיבטים הטכנולוגיים ההנדסיים והתפעוליים של מערכות אלו‪ ,‬לצד היבטי‬
‫הגנת מידע‪ ,‬והבנה של שיטות תקיפה טיפוסיות‪.‬‬
‫תחומי אחריות‬
‫‪‬‬
‫ידע וכישורים נדרשים‬
‫‪‬‬
‫כשירות טכנית‬
‫‪‬‬
‫תחומי ידע פרלימינארי‬
Windows ‫מערכת הפעלה‬
1. Windows 7





Installing and Upgrading Windows 7
Deploying Windows 7
Hardware and Applications
Network Connectivity
Access to Resources



Configuring Mobile Computing
Backup and Recovery Options
Domain Name System (DNS) for Active
Directory
2. Windows Server 2008 Active Directory, Configuring


Directory infrastructure
Active Directory Roles and Services


Active Directory objects
Active Directory Certificate Services
3. Windows Server 2008 Network Infrastructure



Addressing and Services
Names Resolution
Network Access


File and Print Services
Monitoring a Network Infrastructure
4. Windows Server 2008 Applications Infrastructure



Deploying Servers
Remote Desktop Services
Web Services Infrastructure



Network Application Services
Application and Data Provisioning
Business Continuity and High Availability
5. Windows Server 2008 R2, Desktop Virtualization

Enterprise Desktop Virtualization
Environment
Presentation Virtualization Environment

Application Virtualization (App-V)
Environment
Exchange Servers Infrastructure
Exchange Recipients and Public Folders
Client Access
Message Transport



Monitoring and Reporting
High Availability and Recovery
Message Compliance and Security

6. Exchange Server 2010




Linux ‫מערכת הפעלה‬
Basic Linux
1. User Software
6. Windows Integration
2. The command-line
7. Automation
3. Basic Administration
8. System Administration II
4. System Administration
9. Networking Tools
5. Apache and MySQL administration
10. Customizing user environment
Advanced Linux
1. The Apache Web server
5. Services Under Linux
2. Linux Security
6. Programming under Linux
3. Setting Up A Virtual Mail System
7. Miscellaneous Topics
4. System Administration
‫תקשורת מחשבים ורשתות‬
7. Telecommunications and Networking Introduction
 Network classification
 Types of networks
 Basic hardware components
 List of computer networking devices
 Network Monitoring Tools
 Protocol
8. Open Systems Interconnection Reference Model
 Definition of a Communications Network
 Types of Network
 Types of Equipment
 Types of Packet-Switched Network
 Types of Communication
 Open System Interconnection
9. Physical Layer
 Properties of the Physical Layer
Movement of bits
 Transmission Media
 Synchronous Transmission
 Bit Timing
 Shift Register, Bit Order
 Principles of Clock Encoding
10. Link Layer
 Role of the data link layer.
11. Local Area Networks




Definition of a Local Area Network
Medium Access Control Layer
Access to the Shared Medium (Cable)
Cabling (media)
 Higher Speed Communciation
 Gigabit Ethernet 1 Gbps and 10 Gbps
 11 Mbps Wireless Ethernet; The “Hidden
Node” problem in Wireless Ethernet
12. LAN Interconnection
 Repeaters
 Bridges and Switches
 Routers, and Operation of Routers
13. The Internet
 The Internet
 The Internet Protocol
 Names and Addresses
 The Internet Protocol
 IP over Ethernet
 ICMP
14. Transport Protocols and Applications
 Functions of the Transport Service
 Best Effort Transport Service
 User Datagram Protocol; Port ID; Transport
 Reliable Transport Service
 Transmission Control Protocol) Port ID;
Data.
checksum.
15. Performance of Protocols and Applications
 Drawing Frame Transition Diagrams
 Calculating Utilization
 Calculating Throughput
‫שפות פיתוח‬
Python
'‫חלופה א‬
8. decisions
1. preliminaries
9. loops
2. computers
10. program design
3. writing programs
11. classes
4. numbers
12. collections
5. strings
13. object-oriented design
6.
14. algorithms recursion
7. functions
objects / graphics
'‫חלופה ב‬

o Object Oriented Programming
Working with Python: Tools and
Environment
The Python Library:
 String and Text Handling
 Data Structures and Algorithms
 Threading
 Networking
 Web Programming
 Graphical Programming
 Database Access


The Python Language:
o Lexical Conventions and
Syntax
o Types and Objects
o Operators and Expressions
o Flow Control and Exceptions
o Modules
Python's Programming Paradigms:
o Imperative/Procedural/Scripti
ng
o Functional Pogramming

Perl
1. Perl Fundamentals







3. Useful/necessary functions to
memorize
First program with minimal explanation
Variables : scalar, array, hash
Operators
Print statements
Comments
Executing the program
Use of use strict and use warnings
pragma










2. Control structure and loops





if, if else, if elsif else, nested if else
for, foreach, while, do while
next, unless, return, exit, last, until, redo
Ternary operators, goto label,
Given and when similar to switch and
case
4.
chop and chomp
sort and reverse
caller, wantarray
exec, system and eval
uc, ucfirst, lc lcfirst
grep and map
length
undef
qw, qq,q, qx, qr
warn, die
Array Functions




push
pop
join
split
 slice
 shift
 unshift
 Regexp basics
 Modifiers, quantifier, metacharacters
 Pattern matching, search and replace,
transliteration
5. Hash Functions






keys
values
exists
defined
delete
each
8. File Handling
6. Array and hash manipulation
 Array and hash reference
 Anonymous reference
 Sorting array and hash elements






File Input/output
Read, write, append, open , close files
Binary file manipulation using binmode
File testing
Open directory, read files into it etc
Introduction to Modules and Packages
Database Connectivity
 Connection to the database
 Manipulating the fetched values from
databases
 Inserting/updating database
7. Inbuilt special variables Regular
Expressions basics
C
1. Introduction






What is a program?
What is a programming language?
Steps in Programming
Skills needed to do programming
A little introduction to C
Writing a Program
 Fundamentals of a Programming





Language
Different Programming Techniques
Procedural Programming
Modular Programming
Object Oriented Programming
Getting started with compiler




variables
Basic Data Types in C
Constants
Comments in C




If
If-else
If-else-if
Nested if-else
2. Words and Sentences in C language




Alphabets in C
Keywords in C
Rules of forming Words in C language
Data Variables, Data Types and Rules for
naming and declaring data
3. C Instructions and Rules for Writing





Types of instructions
Data Manipulation Instructions
Input/Output Instructions
Flow Control Instructions
Decision Control Instructions
4. Flow Control Instructions
 Loop Control Instructions
 For Loop
 While Loop
 Do While
 Selection Instructions
5. Functions
 Why use Functions
 Components of Function
 Name of a function
 Body of a function
 Local variables of a function
 Parameters or Arguments to a function
 Return Values
6. Arrays




What is an array?
Array Declaration
Array Initialization
Accessing individual elements of an array
 Prototype of a function
 Two Dimensional Arrays
 Passing an array element to a function
 Rules of using an array
7. Pointers




What is a pointer?
Declaring a Pointer variable
Initializing a pointer variable
Using a Pointer Variable
 Pointer Arithmetic
 Pointers and array
 Passing an entire array to a function
8. Strings
 What are strings?
 String I/O
 String Manipulation Functions
9. Structures
 Declaring and Accessing Structure
 variables Uses of Structures
10. Storage Classes and Scoping
 Automatic
 Register
 External
 Unions
 Static
 Scope of a Variable
Assembler
‫תחומי ידע למקצועות אבטחת מידע‬
‫כללי‬
‫רשימת עולמות הידע מתבססת על חיבור ומיצוע של המלצות של גופים ישראליים וגופי בינלאומיים‬
‫שונים‪ ,‬בעלי התמחויות שונות בענף‪:‬‬
‫‪National Institute of Standards and Technology's – NIST .1‬‬
‫‪ .a‬דרישות הכשרה למקצועות‪Information Security Training Requirements: A Role - and :‬‬
‫‪Performance-Based Model‬‬
‫‪.2‬‬
‫‪.3‬‬
‫‪.4‬‬
‫‪.5‬‬
‫‪– Department of Homeland Security – DHS‬‬
‫‪Information Technology (IT) Security Essential Body of Knowledge .a‬‬
‫‪The International Information Systems Security Certification Consortium -(ISC)2‬‬
‫‪- ISACA‬‬
‫‪See Security College for Information Security & Cyber Warfare‬‬
‫להלן רשימת עולמות הידע הנדרשים בענף אבטחת המידע‪ .‬הרשימה – כללית‪ ,‬לפני סינונה על‪-‬בסיס‬
‫מקצוע נתון‪ .‬העולמות השונים המהווים יחד “אבטחת מידע” או “הגנת מידע”‪ ,‬מפורטים להלן‪ .‬לכל אחד‬
‫מהעולמות‪ ,‬ניתן להתייחס מאחת מהדיסציפלינות הבאות‪:‬‬
‫א‪ .‬זווית הראייה של מיישם (הפן הטכני של התקנה ותחזוקה)‪.‬‬
‫ב‪ .‬זווית הראייה של מהנדס‪/‬ארכיטקט (פן התכנון המרחבי)‪.‬‬
‫ג‪ .‬זווית הראייה של מנהל אבטחת המידע הארגוני והמבקר (משימות‪ ,‬נהלים ותהליכים)‪.‬‬
‫ד‪ .‬זווית הראייה של בודק חדירות (טכנולוגיה‪ ,‬טכניקה‪ ,‬הגורם האנושי‪ ,‬נהלים ותהליכים)‪.‬‬
‫‪ .0‬עולם הקשחת תשתיות מיחשוב (מערכת הפעלה‪ ,‬תקשורת‪ ,‬אלחוטית‪ ,‬ניידים‪ ,‬קוד ואפליקציה‪)Web ,‬‬
‫‪ .2‬עולם הארכיטקטורה‪ ,‬הכלים והטכניקה‬
‫‪ .3‬עולם התקיפה והלוחמה הקיברנטית )‪(Hacking & Cyber Warfare‬‬
‫‪ .4‬עולם ממשל אבטחת המידע ופרטיות & ‪(Governance: Laws, Regulations, Standards‬‬
‫)‪Business‬‬
‫‪ .5‬עולם הניהול והאו”ש של יחידת אבטחת מידע (משימות‪ ,‬תהליכים‪ ,‬תיאור התפקיד)‬
‫* עולם האבטחה הפיזית – לא נכלל במתודולוגיה‪ ,‬אך נושק לעולם אבטחת המידע ואף חופף לו‬
‫בהיבטים אחדים‪ ,‬בהגנה ובהתקפה‪.‬‬
‫רשימה זו‪ ,‬כמוה כארון קיר אליו יש להכניס את פריטי הידע באופן הגיוני ועקבי כלשהו‪ .‬ברם‪ ,‬ניתן‬
‫“לסדר” את מכלולי הידע באופנים שונים ולוגיים באותה מידה‪.‬‬
‫החשיבות המכרעת‪ ,‬הינה‪ ,‬האופן שבו יש “להוציא” את פרטי הידע עבור כל מקצוע‪ ,‬הסדר הנכון‪ ,‬וזווית‬
‫הראייה הנכונה שבה יחונך כל בעל‪-‬מקצוע‪.‬‬
‫‪ .2‬עולם האסטרטגיה ותורת ההגנה הכוללת‬
‫בנייתה של תורת אבטחת מידע רבת שכבות ומימדים‪ ,‬מחייבת תשתית איתנה ושורשים עמוקים של‬
‫הבנה אסטרטגית‪.‬‬
‫הבנה שכזו‪ ,‬תתבסס על תורות חיצוניות לעולם האבטחה )”‪ ,(“The Art of War‬על תורות ואסטרטגיות‬
‫מתוך עולם האבטחה )‪ ,(NSA’s Defense in Depth – DiD‬ועל בסיס אלה – עקרונות אבטחת המידע‬
‫המיועדים לכל אחד ממקצועות האבטחה בנפרד‪.‬‬
‫‪ .1‬עולם הטכנולוגיות‪ ,‬הטכניקות‪ ,‬ההקשחות והארכיטקטורה‬
‫התקנה והגדרה של כלי אבטחת מידע אינה מבטיחה הגנה נאותה‪ ,‬כשם שקיומם של תותחים‪ ,‬מטוסים‬
‫וצוללות אינה מבטיחה ניצחון‪ .‬תורת הלחימה דורשת הבנה ארכיטקטונית‪ ,‬ראייה רחבה‪ ,‬ויכולת‬
‫להפעיל טקטיקות הנובעות – הן מהראייה הרחבה‪ ,‬והן מתוך הבנה של “הפרטים הקטנים”‪ .‬עולם זה‬
‫עוסק בראייה הארכיטקטונית‪ ,‬בתורת הלחימה‪ ,‬בהפעלה האסטרטגית של הטכנולוגיות ובטכניקה‬
‫הכרוכה בהפעלת הכלים‪ ,‬ומכאן ‪ -‬באבטחתן ובהגנתן של תשתיות המיחשוב הארגוניות ותשתיות ה‪-‬‬
‫‪ Cyber‬שמחוץ לגבולות הארגון‪.‬‬
‫עולם זה כולל את הכלים‪ ,‬הטכנולוגיות והטכניקה הכרוכה באבטחתן ובהגנתן של תשתיות המיחשוב‬
‫הארגוניות ותשתיות ה‪ Cyber -‬שמחוץ לגבולות הארגון‪.‬‬
‫הנושאים העיקריים בתחום ההקשחות‪:‬‬
‫א) הקשחת חומרה וקושחה‬
‫התפתחות תורת התקיפה וההנדסה לאחור )‪ (reverse Engineering‬מחד‪ ,‬והמונוליטיות‬
‫הטכנולוגית (יצרנים מועטים) בעולם מאידך‪ ,‬הביאו להתפתחות איום חדש‪ .‬תקיפת קושחה נחשבת‬
‫למיומנות שאיננה מצויה בתחומי היכולת של התוקף הבודד‪ ,‬אך אפשרית ומצויה כאשר מדובר‬
‫בהתמודדות עם תקיפה של מדינה )‪.(Cyber Warfare‬‬
‫ב) הקשחת מערכות ההפעלה )‪(System Hardening‬‬
‫מערכות ההפעלה הנהוגות במערכות ארגוניות הינן מבוססות ‪ ,Microsoft‬מבוססות ‪ Linux‬או‬
‫‪.Main Frame‬‬
‫פעילות אבטחת מידע כוללת בין השאר‪ ,‬אטימת מערכות ההפעלה מפני פגיעויות אבטחה‪ .‬יש‬
‫לדעת כיצד ניתן לעשות שימוש בפונקציות הגנה המשולבות במערכת ההפעלה על‪-‬מנת לשפר את‬
‫בטיחותן‪ ,‬וכן כיצד ניתן לעשות שימוש בתוכנות‪-‬עזר נוספות שניתן להצטייד בהן להגנה על‬
‫בטיחותן‪ .‬הפעולות הינן בעלות אופי שונה במערכות הפעלה של תחנות הקצה )‪ (Clients‬או של‬
‫השרתים )‪.(Servers‬‬
‫ג) הקשחת רכיבי התקשורת )‪(Network Hardening‬‬
‫נהוג לתאר את הרבדים השונים של תקשורת מחשבים באמצעות מודל בן ‪ 7‬שכבות הנקרא ‪Open‬‬
‫‪ .Systems Interconnection – OSI‬שכבות אלו כוללות אלמנטים שונים השותפים בתהליך‬
‫התקשורת‪ :‬טופולוגיות רשת ומבנים לוגיים‪ ,‬רכיבי תקשורת (כרטיסי רשת‪ ,‬נתבים‪ ,‬מרכזות‪,‬‬
‫גשרים‪ ,‬מתגים‪ ,‬מדיות חיווט)‪ ,‬פרוטוקולי תקשורת (‪ TCP/IP‬בראשם‪ ,‬וכן‪SMTP, SSL, DHCP, :‬‬
‫‪ SNMP‬ורבים נוספים)‪.‬‬
‫גם רכיבים אלו מחייבים צמצום השטח החשוף לפגיעתה של התקפה‪ ,‬למינימום הנדרש לשם‬
‫תפעול תקין של התקשורת‪ ,‬וסילוק כל אופציה ל”הרחבת הפתחים” כאשר הם מיותרים‪.‬‬
‫ד) הקשחת מסד הנתונים )‪(Database Hardening‬‬
‫בסיס הנתונים הינו‪ ,‬מטבע הדברים‪ ,‬היעד של כל תוקף‪ .‬לפיכך – גם כאן‪ ,‬יש לבצע סידרת פעולות‬
‫הקשחה והגנה על “איזור” זה‪.‬‬
‫גם כאן‪ ,‬קיימים מנגנונים שונים‪ ,‬אופציות “פתוחות מדי” שיש להגבילן‪ ,‬הן באמצעות נהלים והן‬
‫באמצעות כלים טכנולוגיים מגוונים אשר יביאו לכך שהמערכת תהיה “פתוחה” רק כפי הנדרש על‪-‬‬
‫מנת לאפשר תפעול ושימוש תקין במידע לצרכיו המקוריים של הארגון‪.‬‬
‫ה) הקשחת מכשירים ניידים )‪(Mobile Security‬‬
‫הגנת מכשירים ניידים הנה מורכבת‪ ,‬עקב ניידותם אל מחוץ לגבולות הארגון מחד‪ ,‬וקישורן‬
‫למערכות הארגון מאידך‪ .‬יתר‪-‬על‪-‬כן‪ ,‬הגורם האנושי מהווה פרמטר רב משמעות בשגיאות אבטחה‬
‫הטיפוסיות לתחום המכשירים הניידים‪.‬‬
‫ו) הקשחת תשתיות האינטרנט והתקשורת העולמיות )‪(Cyber Infrastructure Security‬‬
‫הכוונה במונח “התשתיות הבינלאומיות של האינטרנט” הינה לכל הרשתות‪ ,‬הפרוטוקולים‪,‬‬
‫טכנולוגיות הרשת ומרכזי המידע המשמשים את רשת האינטרנט העולמית‪ ,‬בתוך המדינה‬
‫(במסגרת ה‪ )ISP's -‬ומחוצה לה‪ .‬מרכיב זה איננו בשליטה של אנשי האבטחה בארגון‪.‬‬
‫ז) הקשחת תשתיות האינטרנט והתקשורת העולמיות )‪(Cyber Infrastructure Security‬‬
‫הכוונה במונח “התשתיות הבינלאומיות של האינטרנט” הינה לכל הרשתות‪ ,‬הפרוטוקולים‪,‬‬
‫טכנולוגיות הרשת ומרכזי המידע המשמשים את רשת האינטרנט העולמית‪ ,‬בתוך המדינה‬
‫(במסגרת ה‪ )ISP's -‬ומחוצה לה‪ .‬מרכיב זה איננו בשליטה של אנשי האבטחה בארגון‪.‬‬
‫ח) הקשחת אפליקציות וקוד )‪(Application Security‬‬
‫כולל את הכלים‪ ,‬הטכנולוגיות והטכניקה הכרוכה באבטחתם ובהגנתם של קוד התוכנה‪ ,‬היישומים‪,‬‬
‫ומערכות משולבות קוד‪.‬‬
‫כשם שהתשתית מהווה כר פורה לפעילויות תקיפה‪ ,‬כך גם הקוד יכול להוות “נשא” ל”קוד זדוני”‬
‫שמטרתו להזיק למערכת או לשאוב ממנה מידע‪.‬‬
‫האפליקציה‪ ,‬סובלת ממספר אתגרי אבטחת מידע השונים מאתגרי האבטחה במערכות הפעלה‬
‫ותקשורת‪ .‬התשתיות מפותחות בדרך‪-‬כלל על‪-‬ידי גורמים בינלאומיים רחבי היקף‪ ,‬וכאשר מתגלה‬
‫“חור אבטחה”‪ ,‬נוהגים גופי ענק אלו להפיץ “עדכון” ותיקון‪ .‬מאידך – האפליקציות הן בדרך‪-‬כלל‬
‫מקומיות‪ ,‬ופותחו בהתאמה ללקוח אחד‪ .‬לכן – כאשר מתגלה “חור אבטחה” – תיקונו אינו פשוט כי‬
‫מחיר התיקון אינו “מתחלק” על‪-‬פני מאות אלפי לקוחות‪.‬‬
‫תהליך האבטחה של יישומים מתחיל כבר בשלב התכנון‪ ,‬נמשך לכל אורך פיתוח היישום‪ ,‬ואף‬
‫לאחר מכן – בשלב התחזוקה‪.‬‬
‫קיימות התמחויות שונות הנוגעות ליישומים רגילים‪ ,‬ליישומי אינטרנט‪ ,‬להיבט הקוד והשפה של‬
‫מסדי נתונים‪ ,‬וכן התמחויות הקשורות לטכנולוגיה‪ Java, .Net, C / C++ :‬וכן הלאה‪.‬‬
‫‪ .3‬עולם הפגיעויות‪ ,‬האיומים ושיטות התקיפה‬
‫“אלוהים נמצא בפרטים הקטנים”‪ ,‬אמר מאן דהוא‪ .‬על‪-‬מנת לתכנן הגנה על פרטי‪-‬פרטיה‪ ,‬יש להבין‬
‫התקפה על נפתוליה‪ .‬מכיוון שאבטחת מידע עוסקת בהגנה מפני תוקפים‪ ,‬לא ניתן להסתפק רק בהכרת‬
‫סביבת ההגנה‪ ,‬ונדרשת היכרות מעמיקה עם סביבת ההתקפה‪ ,‬הן מבחינה טכנולוגית‪ ,‬הן מבחינת‬
‫טכניקה‪ ,‬והן מבחינת הלך‪-‬רוח‪.‬‬
‫כל הגדרה תפעולית של כלי אבטחה מבלי להבין במדויק מפני מה הוא מגן‪ ,‬נדונה לכישלון‪ .‬הניסיון‬
‫מלמד‪ ,‬כי מנהלי תשתיות ומומחי אבטחת מידע ותיקים נדהמו לגלות פערים ניכרים בין הדרך שבה הם‬
‫תופשים בדמיונם תקיפה‪ ,‬לבין הדרך שבה תקיפה מתקיימת בפועל‪ .‬פערים אלו מהווים יסודות‬
‫לשגיאות נפוצות רבות מספור בדרך בה מיושמת הגנה על נכסי הארגון‪.‬‬
‫הבנת שיטות ‪ Hacking‬משמען‪ ,‬הבנת של כל השלבים בתהליך ההתקפה‪ :‬החל משלב איסוף המידע‬
‫(חקירה ומודיעין)‪ ,‬עבור בריכוז כלי ההתקפה‪ ,‬עבור בחדירה וכלה בשלב ה”ניקיון” שלאחר ההתקפה‬
‫)‪.(House Keeping‬‬
‫עולם התקיפה מחולק כרונולוגית לשלב החקירה והאיסוף‪ ,‬שלב התקיפה‪ ,‬ושלב הכיסוי‪.‬‬
‫מבחינה טכנולוגית‪ ,‬מחולק עולם התקיפה לסביבת הסיסטם‪ ,‬התקשורת‪ ,‬מסדי הנתונים‪ ,‬מכשירים‬
‫ניידים‪ ,‬היישומים הרגילים‪ ,‬יישומי אינטרנט‪ ,‬תקיפת הגורם האנושי )‪ (Social Engineering‬ולבסוף ‪-‬‬
‫מערכות מיוחדות ‪(CAM-Computer-aided manufacturing, HMI-Human-Machine Interface,‬‬
‫)‪.SCADA-supervisory control and data acquisition‬‬
‫‪ .4‬עולם ממשל אבטחת המידע )‪(Governance‬‬
‫נושא “ממשל אבטחת מידע” )‪ (InfoSec Governance‬מהווה אבן יסוד בלימוד עולם הניהול והאו”ש‬
‫של יחידת אבטחת המידע‪.‬‬
‫רבות מן הדרישות להגנה על המידע בארגון נובעות מחוקי המדינה‪ ,‬מרגולציות של הגופים המבקרים‪,‬‬
‫מתקנים מקומיים או בינלאומיים או מדרישות הספקים והשותפים‪ .‬חוקים‪ ,‬מטרתם בד”כ להגן על‬
‫פרטיותם של אנשים או להגן על נכסיהם‪ ,‬הפיננסיים או הקניינים‪ ,‬של פרטים שהמידע עליהם נמצא‬
‫ברשות הארגונים‪ .‬הרגולציות מכוונות להגן על האיתנות הפיננסית של הארגונים המבוקרים ולמנוע‬
‫פגיעה בפרטים המשתמשים בארגונים אלו להשקעה‪ .‬כתוצאה מכך‪ ,‬הרגולציות והחוקים מייצרים‬
‫דרישות בתחום ההגנה על המידע‪ ,‬אף כי אינם מכווני אבטחת מידע בבסיסם‪.‬‬
‫ממשל תאגידי‪ :‬הארגון עצמו מטיל אף‪-‬הוא אחריות על מנהל אבטחת המידע‪ :‬לנהל את הסיכונים לנכסי‬
‫המידע הארגוניים‪ ,‬תוך הצבת מטרות ודרישות בתחום אבטחת המידע‪ ,‬הנובעות מדרישות חוק‬
‫ורגולציה‪ ,‬מחבויות חוזיות וצרכי הארגון להגן על נכסיו‪ ,‬כדי שיוכל לעמוד ביעדים העסקיים שלו ולזכות‬
‫ביתרון תחרותי‪ .‬מערך אבטחת המידע אמור לספק את הכלים לעמידה בדרישות הממשל התאגידי‪,‬‬
‫להכין תכנית אבטחת מידע מכוונת ניהול סיכונים התואמת את נהלי החברה ואת היעדים העסקיים‬
‫והחזון של הארגון ולדווח על רמת ההצלחה של תכנית אבטחת המידע‪ .‬הארגון קובע את היעדים‬
‫האסטרטגיים ארוכי הטווח לפיהם יפותחו תכניות אבטחת המידע ויקבעו היעדים בתחום אבטחת‬
‫המידע‬
‫‪ .1‬עולם הניהול והאו”ש של יחידת אבטחת מידע‬
‫הדרישות העסקיות והרגולטיביות מתורגמות על ידי מנהל אבטחת המידע לשורה של בקרות שמטרתן‬
‫למזער את הסיכונים לנכסי המידע של הארגון‪ .‬בקרות אלו הן אוסף של מדיניות‪ ,‬נהלים‪ ,‬תקנים‬
‫והוראות עבודה‪ .‬הבקרות יכולות להיות פרוצדוראליות‪ ,‬פיסיות‪ ,‬לוגיות או טכנולוגיות והפעלתן וישומן‬
‫בארגון מהווים את תכנית אבטחת המידע הארגוני‪ .‬בקרות אלו נמדדות באופן רציף‪ ,‬כדי לזהות את‬
‫התאמתן לטיפול בסיכונים לנכסי המידע הארגוני‪ ,‬המדידה נעשית באמצעות מדדים כמותיים ובאמצעות‬
‫ביקורות תקופתיות הכוללות סקרי סיכונים‪ ,‬סקרי אבטחת מידע ומבדקי חדירות‪ .‬תוצאות המדידות‬
‫משמשות לעדכון תכנית העבודה‪ .‬תכנית העבודה של אבטחת המידע להיות מוטמעת בכל רחבי‬
‫הארגון ולפנות אל כל העובדים‪ .‬נושא נוסף המטופל ע”י ממונה אבטחת המידע הוא זיהוי וטיפול‬
‫בתקריות אבטחת המידע‪ ,‬כאשר הבקרות אינן מצליחות למנוע סיכון‪.‬‬
‫אחד ההיבטים המהותיים בהצלחה ובכישלון של מערכי ההגנה‪ ,‬הינו הגורם האנושי‪ .‬הגורם האנושי‬
‫אחראי למרבית דליפות המידע הקיימות בעולם‪ ,‬בין – בהעדר נהלים הולמים‪ ,‬ובין – בהעדר ציות‬
‫לנהלים‪ .‬אבטחת המידע אינה נסמכת על “מומחי אבטחת מידע” בלבד‪ ,‬ואינה יכולה להתבצע ללא‬
‫מעורבות פרואקטיבית של עובדי הארגון שאינם אנשי מיחשוב‪ ,‬וכל שכן – אינה יכולה להתבצע ללא‬
‫אנשי ‪ .IT‬מכאן‪ ,‬שהטיפול בגורם זה בעידן הנוכחי – מוכיח עצמו כלא מספק במקרה האחד‪ ,‬וכמחדל –‬
‫בראייה קרה יותר‪.‬‬
‫ההשלכות של המחדל האנושי יכול שתתבטאנה בכל אחד מהתחומים האחרים המפורטים בעולמות‬
‫האחרים‪ ,‬אך כאן – המוקד הינו – הגורם האנושי מחוץ ליחידת אבטחת המידע‪ .‬לפיכך‪ ,‬עוסק פרק זה‬
‫באופן שבו מגויס ההון האנושי של הארגון כדי לסייע בפועל בהגנה‪ ,‬באמצעות מודעּות גבוהה‪ ,‬ועשייה‬
‫אקטיבית תורמת‪ .‬דגשים‪ :‬התנהגות אחראית שוטפת ברחבי הארגון‪ ,‬התנהגות מונעת בבית‪ ,‬רשתות‬
‫חברתיות‪ ,‬אמצעים ניידים‪ ,‬אמצעי אחסון ניידים‪ ,‬ערנות אישית‪ ,‬תהליכים להגברת המודעּות‪.‬‬
‫כיצד מנהל ה‪ CISO -‬את ההיבטים הרבים והרב‪-‬תחומיים שתוארו? כיצד הוא מתייחס להיבטי‬
‫האבטחה במימד הטכנולוגיות‪ ,‬במימד התהליכים הארגוניים‪ ,‬ובמימד האנושי? כיצד הוא מסנכרן ומנהל‬
‫את עשרות ומאות משימותיו‪ ,‬את תדירות הפעילויות‪ ,‬מהותן‪ ,‬והסדר שבהן? כיצד משתלבת בכל אלו‬
‫התייחסות לדרישות של המדינה (חוקים ורגולציות)‪ ,‬של הלקוחות והשותפים (תקני אבטחת מידע)‪,‬‬
‫ולדרישות של העסק – הארגון עצמו? כיצד הוא מנהל סדרי עדיפויות במציאות של מחסור מתמיד‬
‫במשאבים?‬
‫עולם זה עוסק בסדר הנכון של הפעולות‪ ,‬בתדירותן‪ ,‬בחומרי הגלם המוכנסים על‪-‬ידי ה‪ CISO -‬לכל‬
‫פעולה בודדת ובתוצרים היוצאים מפעולה זו ומשמשים כחומר גלם לפעולה הבאה בתהליך‪.‬‬
‫פרק עולם הניהול “אורז” את עולמות אבטחת המידע שתוארו עד כה למיקשה אחת‪ ,‬ומתאר תהליך‬
‫שבו משולבות כל הפעילויות‪ ,‬תוך שהן מתחשבות ברצונות העסקיים של הארגון‪ ,‬ברצונות של המדינה‪,‬‬
‫וברצונות של השותפים – הלקוחות בדרך‪-‬כלל‪.‬‬
‫‪ .6‬עולם הלוחמה הקיברנטית הלאומית )‪(Cyber Warfare‬‬
‫הצעה למערך לימודים למקצועות ארכיטקט ומנהל אבטחת מידע‬
‫כללי‬
‫ שעות כיתה בהדרכה פרונטאלית‬311 ‫ מהן‬,‫ שעות לימוד‬611 ‫המערך שלהלן מהווה מתווה למסלול בן‬
.‫ שעות משימות אישיות נמדדות‬311 -‫וכ‬
‫עולם האסטרטגיה ותורת ההגנה הכוללת‬
.‫מונחי יסוד‬
InfoSec common Certifications overview )‫א‬
InfoSec Rolls & Knowledge base matrix )‫ב‬
.‫עקרונות אבטחת המידע‬
Security overview )‫א‬
InfoSec Risk management and prioritize approach )‫ב‬
Security planning )‫ג‬
.(“The Art of War”) ‫תורת הלחימה‬
Methods of Information Security )‫א‬
Information security and the Art of War )‫ב‬
The technical landscape )‫ג‬
Threats & vulnerabilities )‫ד‬
CVSS )‫ה‬
The Human Factor )‫ו‬
Adversaries )‫ז‬
End users )‫ח‬
Attack and Defense Techniques )‫ט‬
Attacks types )‫י‬
Methodologies )‫יא‬
.NSA ‫” של‬Defense in Depth“ ‫אסטרטגיית‬
Trusted computing )‫א‬
InfoSec engineering )‫ב‬
Common criteria )‫ג‬
.0
.1
.1
.1
‫ הטכניקות והארכיטקטורה‬,‫עולם הטכנולוגיות‬
‫ המצע – קריפטוגרפיה‬.0
Key Management )‫א‬
Public Key Cryptography )‫ב‬
Message Integrity and Authentication Controls )‫ג‬
Public Key Infrastructure )‫ד‬
.(Access Control) ‫ בקרת גישה‬.1
Identification and Authentication )‫א‬
Authorization and AC models )‫ב‬
Centralized Access Control methodologies )‫ג‬
IAM Process )‫ד‬
Role Definition .i
Workflow .ii
‫‪.1‬‬
‫‪.1‬‬
‫‪.1‬‬
‫‪.6‬‬
‫‪.7‬‬
‫‪.8‬‬
‫‪User Provisioning/De-provisioning .iii‬‬
‫‪Audit and monitor .iv‬‬
‫אבטחת רשת )‪(Network Architecture Security‬‬
‫א) ‪Enclave defined‬‬
‫ב) ‪The need for Perimeter Protection‬‬
‫ג) ‪Router security‬‬
‫אבטחת נגזרות טכנולוגיות מיוחדות‪:‬‬
‫א) אבטחת יישומים‪.‬‬
‫ב) אבטחת מסדי נתונים‪.‬‬
‫ג) אבטחת אמצעים ניידים‪.‬‬
‫ד) אבטחת מערך מידע וירטואלי‪.‬‬
‫ה) אבטחת מיחשוב מבוסס ענן‪.‬‬
‫ו) אבטחת חומרה וקושחה‪.‬‬
‫ז) אבטחת מערכות נתמכות ‪ /‬מבוססות מחשב‬
‫‪.RT / Embedded Systems .i‬‬
‫‪ .ii‬מערכות בקרה תעשייתיות )‪.(ICS‬‬
‫הקשחת מערכות‬
‫א) הקשחת מערכות הפעלה‬
‫‪Windows Server 2008 .i‬‬
‫‪Linux .ii‬‬
‫ב) הקשחת ציוד תקשורת‪.‬‬
‫ג) הקשחת אמצעים ניידים‪.‬‬
‫ד) הקשחת קוד‪.‬‬
‫ה) הקשחת מסדי נתונים‪.‬‬
‫ו) הקשחת חומרה וקושחה‬
‫ז) הקשחת ‪ICS‬‬
‫מניעת זליגת מידע )‪.(Data loss/leak prevention - DLP‬‬
‫מערך זיהוי ותגובה )‪.(Detection & Response‬‬
‫א) ‪Detection Systems Principles‬‬
‫ב) ‪IDPS Systems Capabilities‬‬
‫ג) ‪Implementation & Management‬‬
‫ד) ‪Security Information & Event Management‬‬
‫ה) ‪Log Retention And Management‬‬
‫ו) ‪Organizing a SIEM Project‬‬
‫ארכיטקטורת אבטחת מידע‪.‬‬
‫א) ארכיטקטורת אבטחה קונטקסטואלית (מה הארגון צריך כ”עסק”)‬
‫ב) ארכיטקטורת אבטחה קונספטואלית (איזו אבטחה נדרשת לארגון בהתחשב בצרכיו‬
‫וסיכוניו)‬
‫ג) השכבה הלוגית‪:‬‬
‫‪ .0‬סיווג נכסי מידע‬
‫‪ .1‬סיווג מערכות‬
‫‪ .1‬בניית ערכות מדיניות (כללית ונקודתיות)‬
‫‪ .1‬בניית מערך בקרה‬
‫ד) השכבה הפיזית‪:‬‬
‫‪ .0‬בניית נהלים‬
‫‪ .1‬בניית תהליכים‬
‫ה) שכבת רכיבי אבטחת המידע‪.‬‬
‫ האיומים ושיטות התקיפה‬,‫עולם הפגיעויות‬
.‫סט הכלים והטכנולוגיות בתקיפה‬
.‫המחקר והמודיעין המקדים‬
:‫תהליך התקיפה‬
‫א) מערכות הפעלה‬
‫ב) מסדי נתונים‬
‫ג) רשתות ותקשורת‬
‫ד) קוד ויישומים‬
Web ‫ה) סביבת‬
‫ו) אמצעים ניידים‬
.‫יסודות וירולוגיה‬
.(Reverse Engineering) ‫יסודות תורת ההנדסה לאחור בתוכנה ובחומרה‬
.(Exploit Writing) ‫יסודות תורת פיתוח אמצעי תקיפה‬
.‫ ההעלמה והנסיגה‬,‫ ההסתרה‬,‫תורת המיסוד‬
.0
.1
.1
.1
.1
.6
.7
‫עולם ממשל אבטחת המידע‬
Security Administration
Strategic Planning
InfoSec Governance - Corporate governance - IT Governance
InfoSec Program framework
The InfoSec Program Framework by ISO/IEC 27001 )‫א‬
The ISMS )‫ב‬
Control Objectives and Controls )‫ג‬
Law Regulation and Standards
Laws and Regulations )‫א‬
Industry and International Standards )‫ב‬
The Compliance )‫ג‬
Risks and Solutions )‫ד‬
Security Policy and Procedures
The Policy Paper )‫א‬
Management Support )‫ב‬
InfoSec Audit and Audit Controls
.0
.1
.1
.1
.1
.6
.7
‫ השיטות וניהול יחידת אבטחת מידע‬,‫עולם הארגון‬
The CISO Role
InfoSec Risk management
Applicable Laws and Regulations )‫א‬
Industry and International Standards )‫ב‬
Risks and Solutions )‫ג‬
Asset Identified )‫ד‬
Vulnerability and Threat Recognition )‫ה‬
Microsoft MSAT )‫ו‬
Managing Infosec (plan\build\run)
BCM and DRP (disaster recovery Plan) )‫א‬
InfoSec Governance: Infosec as a Process
.1
.2
.3
.4
Managing InfoSec as a process of processes )‫א‬
InfoSec Process catalogue )‫ב‬
Assessing Process and Program maturity )‫ג‬
The IAM Process .5
InfoSec Project Management .6
The TVM Process .7
Incident Response .8
Communication and awareness .9
InfoSec Budget and Investment Control .11
Computer Forensic & Intellectual Rights .11
Computer Crime investigation )‫א‬
Forensics and guarding )‫ב‬
Intellectual property )‫ג‬
Security measurements and Metrics .12
Organizational Security Program .13
Putting it all together )‫א‬
From InfoSec program to Annual Plan )‫ב‬
(Cyber Warfare) APT ‫פערים בעולם ההגנה בסביבה מאוימת‬
2102 ‫ ישראל בתחום הסייבר – ינואר‬:‫ תסקיר‬:'2 ‫נספח‬