Date : 1/5/2015 2:59:17 PM
From : "Elazar.stern"
To : "Eldad Nir" , "talnevo@blossom-kc.com" , "nisim.clo@indc.org.il" , "גדעון תמר"
Cc : "Meir Azran" , "Tal.zmiri" , "shtemer@gmail.com"
Subject : ‏‏RE: מערכת בלוסום - צהל עבור אתר המב"ל
Attachment : 141152_image001.png;141152_image003.png;141152_image004.png;141152_image005.png;141152_image006.png;141152_image007.png;

מאיר שלום,
תודה על המענה המפורט.

ניסים/גדעון/אלדד/טל - ראו התייחסות צוות אבטחת מידע של ממשל זמין.
אנא התייחסותכם על כל הסעיפים הרלוונטים אליכם, בהיבטי היתכנות וזמן פיתוח. 


  1. ממשק ניהול – גישה נפרדת משאר האתר באמצעות כרטיס חכם בלבד. (בלוסום)

2.      עמידה במדיניות ממשל זמין בנושא קבצים מורשים לשימוש במערכת (קבצי אופיס וכדומה).(בלוסום)

3.      יש לבחון האם ניתן לטעון מראש את המידע שלא דרך ממשק הניהול אלא בצורת bulk – מתייחס לטעינה ראשונית של חומרים לשנת לימודים.(בלוסום)

4.      זיהוי סטודנטים – יש להוסיף למנגנון שדה זיהוי ייחודי שיקבע מראש או בעת כניסה ראשונית למערכת. יש ליישם זיהוי באמצעות מספר מזהה שאינו ת.ז. או מספר אישי.(בלוסום)

5.      שילוב captcha במסך הזיהוי (לאחר שני ניסיונות כושלים)(בלוסום)

6.      יש לבדוק מול הלקוח האם נדרשת גישה למערכת מחו"ל.(מב"ל)

7.      סקר קוד ובדיקת PT מסודרת למערכת – הבדיקה תכלול בדיקה של האפליקציה עצמה וקישור end_2_end.(בלוסום)

8.      שילוב מערכת העלאת הקבצים בממשק של המערכת.(בלוסום)

9.      יש לציין דרישות בנושא משך ה-session של לומד מול האתר.(בלוסום)

10.  המערכת צריכה לייצר לוגים ו-audit מלא על פעילות משתמשים במערכת.(בלוסום)

11.  בזמנו דובר על שיתוף לו"ז ביקורים דרך המערכת, מידע שהוגדר כ-"רגיש" – האם קיים עדיין מידע מסוג זה במערכת ?(מב"ל)

 

בברכה 
אלעזר
 
מ: Meir Azran ‏[meira@gov.il]‏
‏‏נשלח: יום ראשון 04 ינואר 2015 18:13
‏‏אל: Elazar.stern
עותק: Avraham Zaruk; Elad Paz; Noga Walker
‏‏נושא: RE: מערכת בלוסום - צהל עבור אתר המב"ל

היי אלעזר

 

מצ"ב המענה של צוות אבט"מ עבור הטמעת מערכת BLOSSOM עבור מב"ל  בחוות האירוח של ממש"ז

 

אנא העבר את הממצאים לחברת BLOSSOM לקבלת התייחסות לדרישות המצ"ב

 

נשמח לעמוד לרשותכם בכל עת בכל שאלה נוספת

 

שיהיה שבוע טוב

מאיר

From: Elad Paz
Sent: Sunday, January 04, 2015 4:29 PM
To: Meir Azran; Noga Walker
Cc: Avraham Zaruk
Subject: RE: מערכת בלוסום - צהל עבור אתר המב"ל

 

שלום לכולם,

 

להלן התייחסות אבטחת מידע:

 

1.      ממשק ניהול – גישה נפרדת משאר האתר באמצעות כרטיס חכם בלבד.

2.      עמידה במדיניות ממשל זמין בנושא קבצים מורשים לשימוש במערכת (קבצי אופיס וכדומה).

3.      יש לבחון האם ניתן לטעון מראש את המידע שלא דרך ממשק הניהול אלא בצורת bulk – מתייחס לטעינה ראשונית של חומרים לשנת לימודים.

4.      זיהוי סטודנטים – יש להוסיף למנגנון שדה זיהוי ייחודי שיקבע מראש או בעת כניסה ראשונית למערכת. יש ליישם זיהוי באמצעות מספר מזהה שאינו ת.ז. או מספר אישי.

5.      שילוב captcha במסך הזיהוי (לאחר שני ניסיונות כושלים)

6.      יש לבדוק מול הלקוח האם נדרשת גישה למערכת מחו"ל.

7.      סקר קוד ובדיקת PT מסודרת למערכת – הבדיקה תכלול בדיקה של האפליקציה עצמה וקישור end_2_end.

8.      שילוב מערכת העלאת הקבצים בממשק של המערכת.

9.      יש לציין דרישות בנושא משך ה-session של לומד מול האתר.

10.  המערכת צריכה לייצר לוגים ו-audit מלא על פעילות משתמשים במערכת.

11.  בזמנו דובר על שיתוף לו"ז ביקורים דרך המערכת, מידע שהוגדר כ-"רגיש" – האם קיים עדיין מידע מסוג זה במערכת ?

 

התייחסות אבטחת מידע הינה למידע שהוצג עד עתה. יתכן וידרש מידע נוסף על פי התשובות למייל זה.

 

אשמח לסייע בכל שאלה / בעיה.

 

בברכה,

 

 

אלעד פז  |  מוביל תחום טכנולוגיות אבטחת מידע וסייבר |  ממשל זמין

טל.  

02-6664613

  |  

052-5256128

  |  

elad@gov.il

         

 

 

From: Avraham Zaruk
Sent: Tuesday, December 23, 2014 1:25 PM
To: Elad Paz
Cc: Meir Azran; Noga Walker
Subject: FW: מערכת בלוסום - צהל עבור אתר המב"ל

 

אלעד שלום,

נא עזרתך

אברהם

 

From: Meir Azran
Sent: Tuesday, December 23, 2014 1:14 PM
To: Avraham Zaruk; Noga Walker
Subject: מערכת בלוסום - צהל עבור אתר המב"ל

 

היי אברהם

 

צה"ל מבקש להטמיע בממש"ז את המערכת בלוסום שתשמש את אתר המב"ל החדש עבור ניהול תהליכי למידה.

 

הפלטפורמה של בלוסום, נועדה לאפשר ניהול פשוט ומידי של תהליכי למידה. המערכת תומכת במגוון רחב מאוד של תהליכי למידה ידועים, הן בארגונים עסקיים והן במוסדות לימוד ואקדמיה. מערכת ה-LMS, תומכת בעיקר למידה א-סינכרונית, שאינה מקוונת.

מטרתה היא להנגיש את המידע וחומרי הלימוד לקבוצות הלומדים המתאימות ובזמן המתאים. בנוסף, ייעודה של המערכת לגרום לכך שיתבצע תהליך למידה אפקטיבי ביותר ולאפשר הטמעת המידע בקרב הלומדים.

 

מצ"ב מסמך ארכיטקטורה ומסמך בדיקת חוסן שהם העבירו אלינו

 

טרם קיום הפגישה עם החברה הם העבירו מסמכי אפיון ראשוניים להתייחסות שלנו בכדי שניתן יהיה לקדם את הטמעת הפתרון מחד ואו להבהיר  ללקוח מה עליו לעשות על מנת לעמוד בדרישות אבט"מ של ממש"ז מאידך

 

 

הנושא חשוב ודחוף ללקוח

להתייחסותכם המהירה מראש אודה

מאיר

 

 

cid:image001.png@01CE3393.314E57B0cid:image002.png@01CE3393.314E57B0

מאיר אזרן  |  מנהל פרויקט תשתית  |  ממשל זמין

טל.  

02-6664607

  |  

6901408- 052

  |  

meira@tehila.gov.il

   cid:image004.png@01CE3393.314E57B0      

 

 

תוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות

תוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות

תוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות

תוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות