נוהל: בקרת התקנת תוכנה על מערכות תפעוליות A12.5.1
מטרה
מטרת הנוהל היא להבטיח כי התקנת תוכנה על מערכות תפעוליות תתבצע באופן מבוקר ובטוח, על מנת למנוע התקנת תוכנות זדוניות או לא מאובטחות, אשר עלולות לפגוע באבטחת המידע של הארגון.
תחום יישום
הנוהל חל על כל התקנת תוכנה על מערכות תפעוליות בארגון, אשר מכילות מידע רגיש או קריטי.
הגדרות
- תוכנה: תוכנת מחשב, לרבות תוכנות יישום, תוכנות מערכת ותוכנות אבטחת מידע.
- מערכת תפעולית: תוכנת מחשב אשר מספקת בסיס לתפקוד של תוכנות אחרות.
- התקנה: תהליך של הטמעת תוכנה במערכת מחשב.
אחריות
הנהלה:
- אחראית על קביעת מדיניות בקרת התקנת תוכנה על מערכות תפעוליות.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
- אחראית על מעקב אחר ביצוע מדיניות זו.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות בקרת התקנת תוכנה על מערכות תפעוליות.
- אחראי על ניהול תהליך יישום מדיניות זו.
מנהלי מערכות:
- אחראים על ביצוע מדיניות בקרת התקנת תוכנה על מערכות תפעוליות.
תהליך
1. קביעת מדיניות בקרת התקנת תוכנה על מערכות תפעוליות
הנהלת הארגון תקבע מדיניות בקרת התקנת תוכנה על מערכות תפעוליות, אשר תכלול את הנושאים הבאים:
- סוגי התוכנה המותרים להתקנה: יש להגדיר אילו תוכנות מותרות להתקנה על מערכות תפעוליות, בהתאם לאבטחת המידע הנדרשת.
- פרוצדורה לאישור התקנת תוכנה: יש לקבוע את תהליך האישור הנדרש לפני התקנת כל תוכנה חדשה, כולל אישור ממונה אבטחת המידע.
- פרוצדורה להתקנת תוכנה: יש להגדיר את תהליך ההתקנה עצמו, כולל הנחיות לבדיקות אבטחה והתאמה לפני ההתקנה ואחריה.
2. יישום מדיניות בקרת התקנת תוכנה על מערכות תפעוליות
מדיניות בקרת התקנת תוכנה על מערכות תפעוליות תייושם בארגון בהתאם להנחיות הממונה על אבטחת מידע. יש לוודא שכל התקנה מתבצעת בהתאם לפרוצדורות שנקבעו.
3. מעקב אחר ביצוע מדיניות בקרת התקנת תוכנה על מערכות תפעוליות
הנהלת הארגון תבצע מעקב אחר ביצוע מדיניות בקרת התקנת תוכנה על מערכות תפעוליות, על מנת לוודא כי היא מיושמת כראוי, ולוודא שאין חריגות מהמדיניות שנקבעה.
הנחיות נוספות
- החברה תבצע ביקורות תקופתיות על תהליך התקנת התוכנה, כדי לוודא שהוא מתבצע בהתאם למדיניות.
- יש לשמור תיעוד של כל התקנה שבוצעה, כולל אישורים והנחיות.