Skip to main content

נוהל: מדיניות פיתוח מאובטח A14.2.1

מטרה

מטרת הנוהל היא להבטיח כי כללי פיתוח מאובטח ייושמו על תהליכי הפיתוח של הארגון, על מנת למזער את הסיכונים לאבטחת המידע.

תחום יישום

הנוהל חל על כל תהליכי הפיתוח של הארגון, לרבות פיתוח תוכנה, פיתוח מערכות, ושירותים דיגיטליים נוספים.

הגדרות

  • פיתוח מאובטח: תהליך פיתוח אשר כולל מאפיינים של אבטחת מידע, כגון זיהוי וניהול סיכונים, הגנה על סודיות, שלמות וזמינות של מידע, וכו'.
  • מדיניות פיתוח מאובטח: מדיניות אשר מגדירה את הכללים לפיתוח מאובטח כדי להבטיח הגנה על נכסי המידע של הארגון.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות פיתוח מאובטח.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע המדיניות והבטחת תאימותה לדרישות הארגון.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות פיתוח מאובטח.
  • אחראי על ניהול תהליך יישום המדיניות והבטחת תאימותה לדרישות הארגון.

מנהלי מערכות:

  • אחראים על יישום מדיניות פיתוח מאובטח בתהליכי הפיתוח והתחזוקה.

תהליך

1. קביעת מדיניות פיתוח מאובטח

הנהלת הארגון תקבע מדיניות פיתוח מאובטח שתכלול את הנושאים הבאים:

  • מטרות מדיניות פיתוח מאובטח: תיאור המטרות האסטרטגיות של הארגון בתחום אבטחת המידע בתהליכי הפיתוח.
  • תחום יישום מדיניות פיתוח מאובטח: הגדרת תהליכי הפיתוח והמערכות שעליהם תחול המדיניות.
  • כללים לפיתוח מאובטח: קביעת הכללים והפרקטיקות שעל צוותי הפיתוח ליישם, לרבות זיהוי סיכונים, הצפנת מידע, בקרות גישה, וניהול מחזור חיי המידע.

2. אימוץ מדיניות פיתוח מאובטח

מנהלי מערכות יאמצו את מדיניות פיתוח מאובטח על ידי פיתוח נהלים ומסמכים אשר יתאימו למדיניות זו, הכוללים:

  • פיתוח נהלים פנימיים: התאמת נהלים ותהליכים קיימים למדיניות החדשה.
  • הכנת מסמכים: יצירת מסמכים תומכים למדיניות כמו מדריכי משתמש, הנחיות אבטחה, והנחיות לפרקטיקות קוד בטוח.

3. יישום מדיניות פיתוח מאובטח

מנהלי מערכות יפעלו ליישום מדיניות פיתוח מאובטח על ידי:

  • הדרכת עובדים: קיום סדנאות והדרכות לצוותי הפיתוח כדי להבטיח הבנה ויישום של עקרונות הפיתוח המאובטח.
  • ביצוע בדיקות אבטחה: תכנון וביצוע של בדיקות אבטחה כחלק משגרת הפיתוח כדי לזהות ולתקן פגיעויות.

4. מעקב אחר יישום מדיניות פיתוח מאובטח

הנהלת הארגון תעקוב אחר יישום מדיניות פיתוח מאובטח, על מנת לוודא כי היא מיושמת כראוי. מעקב זה יכלול:

  • בקרות שוטפות: ביצוע סקרים ובדיקות תקופתיות של תהליכי הפיתוח.
  • ניתוח דוחות: סקירת דוחות אבטחה ופעולות שננקטו בהתאם למדיניות.
  • שיפור מתמיד: התאמת המדיניות ותהליכי היישום על בסיס הממצאים.