נוהל: אבטחת שירותי תכנה ברשתות ציבוריות A14.1.2
מטרה
מטרת הנוהל היא להבטיח כי מידע הנוגע לשירותי תכנה אשר עובר ברשתות ציבוריות יוגן מפני שימוש לרעה, כגון התחזות, הסגרת מידע, או שינויו, על מנת למזער את הסיכונים לאבטחת המידע.
תחום יישום
הנוהל חל על כל מידע הנוגע לשירותי תכנה, אשר עובר ברשתות ציבוריות.
הגדרות
- שירותי תכנה: שירותים אשר ניתנים על ידי תוכנה, כגון שירותי אינטרנט, שירותי ענן וכדומה.
- רשת ציבורית: רשת אשר נגישה לציבור הרחב.
- התחזות: ניסיון להתחזות לאדם אחר או לגורם אחר כדי לקבל גישה לא מורשית למידע או לשירותים.
- הסגרת מידע: גניבה או חשיפה לא מורשית של מידע.
- שינוי מידע: שינוי של מידע ללא הרשאה נדרשת.
אחריות
הנהלה:
- אחראית על קביעת מדיניות בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
- אחראית על מעקב אחר ביצוע המדיניות והבטחת תאימותה לדרישות הארגון.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות.
- אחראי על ניהול תהליך יישום המדיניות והבטחת תאימותה לדרישות הארגון.
מנהלי מערכות:
- אחראים על ביצוע מדיניות בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות.
תהליך
1. קביעת מדיניות בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות
הנהלת הארגון תקבע מדיניות ברורה ומפורטת בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות, שתכלול את הנושאים הבאים:
- דרכי זיהוי מידע הנוגע לשירותי תכנה: תהליכים ומנגנונים לזיהוי המידע שזקוק להגנה.
- דרכי הגנה על מידע הנוגע לשירותי תכנה ברשתות ציבוריות: אמצעים להגנה על המידע מפני התחזות, הסגרת מידע ושינוי מידע.
2. זיהוי מידע הנוגע לשירותי תכנה
מנהלי מערכות יזהו את המידע הנוגע לשירותי תכנה אשר עובר ברשתות ציבוריות:
- מיפוי מידע: מיפוי כל המידע שעובר ברשתות ציבוריות לצורך הגנה נאותה.