עיריית רמת-גן | דו"ח מבקר העירייה 2022

עיריית רמת גן ו"ח מבקר העירייה לשנת 2022

היערכות העירייה לשרידות מערכות מיד ע בקרות אירועי סייבר

ההליך הרישום במסגרת ניתוח מאגרי המידע הינו Business Impact Analysis (להלן :" BIA 2 ,)"

במסגרת הליך זה מבוצע תהליך ניתוח ומיפוי של תהליכים עסקיים בארגון, תוך קביעת חשיבותו

ורגישותו של כל ת הליך והבנת משמעויותיו העסקיות.

תוכנית ההגנה 2021 קובעת כי " יש לוודא כי במסגרת ה- BIA הוגדרו מדדים מקובלים לכל שירות עסקי ויעדי הגנה המשרתים אותו, דוגמת RPO, RTO ."

• RTO – Recovery Time Objective – משך הזמן עד החזרה לפעילות באתר החליפי.

לדוגמא: הגדרת RTO של ארבע שעות משמעותה שהתהליכים העסקיים נדרשים לחזור

לפעילות שוטפת, באתר החליפי, לאחר עד ארבע שעות של השבתה.

• RPO – Recovery Point Objective – כמה אחורה בזמן אנחנו כחברה יכולים לחזור – כלומר

כמה מידע אנחנו מוכנים לאבד.

בחלק מהארגונים אובדן מידע יגרום לנזק כ ה נרחב עד כי המשך קיומו של העסק כעסק חי יעמוד

בסכנה. לכן, כחלק מתכנון המשכיות עסקית, נדרש לשאול את השאלה מה משך הזמן של אובדן

נתונים שהעסק יכול לסבול כאשר כל הנתונים שנצברו עד לאותה נקודה שנקבעה – ילכו לאיבוד.

הערו ת הביקורת

9.1.1 . מהביקורת עולה כי המחלקה אכן מיפתה את כלל מאגרי המידע במסגרת רישום

מאגרי המידע במשרד המשפטים (ראה נספח -1 רשימת מאגרי מידע ), כאשר עבור

כל מאגר צוין מנהל המאגר, פרטי המאגר ורמת הקריטיות שלו – תקין .

9.1.2 . מהביקורת עולה כי נקבע עבור כל מאגר מהו משך הזמן המקסימלי בעת קרות

אירוע סייבר עד שהעירייה תח זור לשגרה, וכן צוין מהו פרק הזמן אשר יישמר עבור

כל מאגר - תקין .

9.2 . ניטור רשתות

תורת ההגנה 2018 קובעת כי במסגרת ניתוח הסיכונים " יש לבצע תכנון קיבולת הנחוצה לפעילות

למקרה אסון (לדוג' כח עיבוד, תקשורת, שירותי תמיכה) ."

2 ניתוח ומיפוי התהליכים העסקיים

397