Skip to main content

נוהל: אבטחת שירותי תכנה ברשתות ציבוריות A14.1.2

מטרה

מטרת הנוהל היא להבטיח כי מידע הנוגע לשירותי תכנה אשר עובר ברשתות ציבוריות יוגן מפני שימוש לרעה, כגון התחזות, הסגרת מידע, או שינויו, על מנת למזער את הסיכונים לאבטחת המידע.

תחום יישום

הנוהל חל על כל מידע הנוגע לשירותי תכנה, אשר עובר ברשתות ציבוריות.

הגדרות

  • שירותי תכנה: שירותים אשר ניתנים על ידי תוכנה, כגון שירותי אינטרנט, שירותי ענן וכדומה.
  • רשת ציבורית: רשת אשר נגישה לציבור הרחב.
  • התחזות: ניסיון להתחזות לאדם אחר או לגורם אחר כדי לקבל גישה לא מורשית למידע או לשירותים.
  • הסגרת מידע: גניבה או חשיפה לא מורשית של מידע.
  • שינוי מידע: שינוי של מידע ללא הרשאה נדרשת.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע המדיניות והבטחת תאימותה לדרישות הארגון.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות.
  • אחראי על ניהול תהליך יישום המדיניות והבטחת תאימותה לדרישות הארגון.

מנהלי מערכות:

  • אחראים על ביצוע מדיניות בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות.

תהליך

1. קביעת מדיניות בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות

הנהלת הארגון תקבע מדיניות ברורה ומפורטת בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות, שתכלול את הנושאים הבאים:

  • דרכי זיהוי מידע הנוגע לשירותי תכנה: תהליכים ומנגנונים לזיהוי המידע שזקוק להגנה.
  • דרכי הגנה על מידע הנוגע לשירותי תכנה ברשתות ציבוריות: אמצעים להגנה על המידע מפני התחזות, הסגרת מידע ושינוי מידע.

2. זיהוי מידע הנוגע לשירותי תכנה

מנהלי מערכות יזהו את המידע הנוגע לשירותי תכנה אשר עובר ברשתות ציבוריות:

  • מיפוי מידע: מיפוי כל המידע שעובר ברשתות ציבוריות לצורך הגנה נאותה.

3. הגנה על מידע הנוגע לשירותי תכנה ברשתות ציבוריות

מנהלי מערכות ינקטו את האמצעים הבאים להגנה על מידע הנוגע לשירותי תכנה ברשתות ציבוריות:

  • שימוש באמצעי אבטחת גישה: כגון סיסמאות חזקות, אימות דו-שלבי, ותהליכי זיהוי והזדהות מאובטחים.
  • שימוש באמצעי אבטחת מידע: כגון הצפנה של המידע, שימוש בתוכנות אנטי-וירוס, והגנה מפני תוכנות זדוניות.
  • שימוש באמצעי אבטחת רשתות: כגון חומות אש (Firewall), תוכנות הגנה מפני חדירות (Intrusion Prevention Systems) וכו'.

4. מעקב אחר ביצוע מדיניות בנוגע לאבטחת שירותי תכנה ברשתות ציבוריות

הנהלת הארגון תבצע מעקב אחר ביצוע המדיניות, על מנת לוודא כי היא מיושמת כראוי ומבטיחה את אבטחת המידע המועבר ברשתות ציבוריות.