Skip to main content

נוהל: הפרדת רשתות A13.1.3

מטרה

מטרת הנוהל היא להבטיח כי קבוצות של שירותי מידע, משתמשים, ומערכות מידע יופרדו ברשתות שונות, על מנת למזער את הסיכונים לאבטחת המידע ולשפר את הגנת המידע הרגיש או הקריטי.

תחום יישום

הנוהל חל על כל הרשתות של הארגון, אשר מכילות מידע רגיש או קריטי.

הגדרות

  • רשת: מערכת של מחשבים והתקנים המחוברים זה לזה.
  • הפרדת רשתות: חלוקה של רשתות לאזורים נפרדים, על מנת להבטיח את אבטחת המידע.
  • שירותי מידע: שירותים אשר מבוססים על רשת, כגון גישה לאינטרנט, דואר אלקטרוני, שיתוף קבצים וכדומה.
  • משתמשים: עובדים או גורמים חיצוניים אשר משתמשים במערכות המידע של הארגון.
  • מערכות מידע: מערכות מחשב אשר מכילות מידע רגיש או קריטי.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות הפרדת רשתות.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע מדיניות זו.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות הפרדת רשתות.
  • אחראי על ניהול תהליך יישום מדיניות זו.

מנהלי מערכות:

  • אחראים על ביצוע מדיניות הפרדת רשתות.

תהליך

1. קביעת מדיניות הפרדת רשתות

הנהלת הארגון תקבע מדיניות הפרדת רשתות, אשר תכלול את הנושאים הבאים:

  • סוגי הרשתות שיופרדו: יש לקבוע את סוגי הרשתות שיופרדו, כגון רשתות פנימיות, רשתות חיצוניות ורשתות ייעודיות.
  • קריטריונים להפרדת רשתות: יש להגדיר קריטריונים להפרדה, כגון רמת הרגישות של המידע, סוג השירותים הניתנים וסוג המשתמשים.
  • אופן הפרדת רשתות: יש לתאר את האמצעים הטכנולוגיים והנהלים שיושמו לצורך ההפרדה, כגון שימוש ב-VLAN, חומות אש, ואמצעים נוספים.

2. ביצוע הפרדת רשתות

מדיניות הפרדת רשתות תייושם בארגון בהתאם להנחיות הממונה על אבטחת מידע. יש לבצע את הפרדת הרשתות בהתאם לקריטריונים שהוגדרו, ולהשתמש באמצעים המתאימים לשם כך.

3. מעקב אחר ביצוע הפרדת רשתות

הנהלת הארגון תבצע מעקב אחר ביצוע מדיניות הפרדת רשתות, על מנת לוודא כי היא מיושמת כראוי. המעקב יכלול בדיקות תקופתיות של הרשתות על מנת לוודא שההפרדה נשמרת בצורה בטוחה ויעילה.

דוגמאות לסוגי הרשתות שיופרדו:

  • רשת פנימית: רשת המשמשת את עובדי הארגון בלבד.
  • רשת חיצונית: רשת המשמשת גורמים חיצוניים, כגון לקוחות או ספקים.
  • רשת ייעודית: רשת המשמשת לצורך ספציפי, כגון ייצור או מחקר ופיתוח.

דוגמאות לקריטריונים להפרדת רשתות:

  • רמת הרגישות של המידע: מידע רגיש או קריטי יופרד מרשתות אחרות.
  • סוג השירותים הניתנים: שירותים רגישים או קריטיים יופרדו מרשתות אחרות.
  • סוג המשתמשים: משתמשים רגישים או קריטיים יופרדו ממשתמשים אחרים.

הנחיות נוספות

  • החברה תבצע ביקורות תקופתיות על יישום הנוהל להפרדת רשתות.
  • כל שינוי במדיניות הפרדת רשתות יתועד וייושם בהתאם להנחיות הארגון.