נוהל: הגבלות על התקנת תוכנות על ידי המשתמשים A12.6.2
מטרה
מטרת הנוהל היא להבטיח כי הגבלות על התקנת תוכנות על ידי המשתמשים יחולו וייושמו, על מנת למזער את הסיכון להתקנת תוכנות זדוניות או לא מאובטחות, אשר עלולות לפגוע באבטחת המידע של הארגון.
תחום יישום
הנוהל חל על כל התקנת תוכנות על ידי משתמשים בארגון, אשר מכילות מידע רגיש או קריטי.
הגדרות
- תוכנה: תוכנת מחשב, לרבות תוכנות יישום, תוכנות מערכת ותוכנות אבטחת מידע.
- משתמש: עובד או גורם חיצוני אשר משתמש במערכות המידע של הארגון.
- התקנה: תהליך של הטמעת תוכנה במערכת מחשב.
אחריות
הנהלה:
- אחראית על קביעת מדיניות הגבלות על התקנת תוכנות על ידי המשתמשים.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
- אחראית על מעקב אחר ביצוע מדיניות זו.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות הגבלות על התקנת תוכנות על ידי המשתמשים.
- אחראי על ניהול תהליך יישום מדיניות זו.
מנהלי מערכות:
- אחראים על ביצוע מדיניות הגבלות על התקנת תוכנות על ידי המשתמשים.
תהליך
1. קביעת מדיניות הגבלות על התקנת תוכנות על ידי המשתמשים
הנהלת הארגון תקבע מדיניות הגבלות על התקנת תוכנות על ידי המשתמשים, אשר תכלול את הנושאים הבאים:
- סוגי התוכנה המותרים להתקנה על ידי משתמשים.
- פרוצדורה לאישור התקנת תוכנה על ידי משתמשים.
2. יישום מדיניות הגבלות על התקנת תוכנות על ידי המשתמשים
מדיניות הגבלות על התקנת תוכנות על ידי המשתמשים תייושם בארגון בהתאם להנחיות הממונה על אבטחת מידע.
3. מעקב אחר ביצוע מדיניות הגבלות על התקנת תוכנות על ידי המשתמשים
הנהלת הארגון תבצע מעקב אחר ביצוע מדיניות הגבלות על התקנת תוכנות על ידי המשתמשים, על מנת לוודא כי היא מיושמת כראוי.
דוגמאות לתוכנות שמותר להתקין על ידי משתמשים:
- תוכנות חיוניות לתפקוד הארגון.
- תוכנות אשר אושרו על ידי הממונה על אבטחת מידע.
דוגמאות לתוכנות שאסור להתקין על ידי משתמשים:
- תוכנות זדוניות או לא מאובטחות.
- תוכנות אשר עלולות לפגוע ביציבות או בתפקוד של מערכות המידע.
פרוצדורה לאישור התקנת תוכנה על ידי משתמשים
לפני התקנת תוכנה על ידי משתמש, יש לקבל אישור מהממונה על אבטחת מידע. האישור יינתן בהתאם למדיניות הגבלות על התקנת תוכנות על ידי המשתמשים.