Skip to main content

נוהל: מבדקי אבטחה למערכות A14.2.8

מטרה

מטרת הנוהל היא להבטיח כי מבדקי אבטחה למערכות יבוצעו במהלך מחזור הפיתוח, על מנת למזער את הסיכונים לאבטחת המידע ולהבטיח שהמערכות יהיו מוגנות כנגד איומים פוטנציאליים.

תחום יישום

הנוהל חל על כל מערכות המידע של הארגון, לרבות מערכות תוכנה, מערכות חומרה, וכל סביבה פיתוחית בה מתבצעים פרויקטים שקשורים לארגון.

הגדרות

  • מבדק אבטחה למערכות: תהליך של בדיקה מקיפה של מערכות מידע מבחינת אבטחת המידע שלהן, הכולל זיהוי וניהול סיכונים, איתור פרצות, ובדיקת עמידה בתקני האבטחה.
  • מחזור פיתוח: התהליך של פיתוח, הטמעה, ותחזוקה של מערכות מידע, כולל שלבי אפיון, תכנון, פיתוח, בדיקה, הטמעה ותחזוקה.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות מבדקי אבטחה למערכות.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו, כולל תקציב, כלים ואנשי מקצוע מומחים.
  • אחראית על מעקב אחר ביצוע מדיניות זו, לרבות קיום ביקורות תקופתיות על יישום המבדקים.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות מבדקי אבטחה למערכות, כולל פיקוח על ביצוע מבדקים על פי הדרישות.
  • אחראי על ניהול תהליך יישום מדיניות זו, כולל הכשרת אנשי צוות, שימוש בכלים מקצועיים ובדיקת תוצאות.

מנהלי מערכות:

  • אחראים על יישום מדיניות מבדקי אבטחה למערכות בכל סביבות הפיתוח שבאחריותם.
  • אחראים על ביצוע מבדקי האבטחה בפועל, תוך תיאום עם צוותי הפיתוח והאבטחה להבטחת התאמה לנהלים ולתקנים.

תהליך

1. קביעת מדיניות מבדקי אבטחה למערכות

הנהלת הארגון תקבע מדיניות מבדקי אבטחה למערכות, אשר תכלול את הנושאים הבאים:

  • מטרות מדיניות מבדקי אבטחה למערכות: להבטיח שכל מערכת מידע תעבור תהליך בדיקה מקיף לאבטחתה, למנוע פרצות אבטחה ולהבטיח עמידה בדרישות החוק והתקנים הרלוונטיים.
  • תחום יישום מדיניות מבדקי אבטחה למערכות: הגדרת סוגי המערכות והסביבות שעליהם תחול המדיניות.
  • דרישות מבדקי אבטחה למערכות: הגדרת הקריטריונים והכלים שישמשו לביצוע המבדקים, לרבות שימוש במבדקי חדירה, ניתוח קוד ובדיקות תאימות לתקנים.

2. אימוץ מדיניות מבדקי אבטחה למערכות

מנהלי מערכות יאמצו את מדיניות מבדקי אבטחה למערכות, על ידי פיתוח נהלים ומסמכים אשר יתאימו למדיניות זו. פעולה זו תכלול:

  • פיתוח נהלים פנימיים: יצירת נהלים מפורטים לאופן ביצוע מבדקי האבטחה, כולל תהליך אישור בדיקות, תיאום עם צוותי הפיתוח ותיעוד תוצאות הבדיקות.
  • התאמת מסמכים קיימים: עדכון מסמכים קיימים בהתאם למדיניות החדשה.

3. יישום מדיניות מבדקי אבטחה למערכות

מנהלי מערכות יפעלו ליישום מדיניות מבדקי אבטחה למערכות, על ידי:

  • הדרכת עובדים וספקים: הדרכת צוותי הפיתוח, האבטחה והספקים החיצוניים בנוגע לשיטות ולכלים הנדרשים לביצוע מבדקי האבטחה.
  • ביצוע מבדקי אבטחה: ביצוע בדיקות חדירה, בדיקות סטטיות ודינמיות של קוד, בדיקות תאימות, ועוד, בהתאם לנהלים המאושרים.
  • הגנה פיזית וטכנולוגית: הטמעת אמצעי הגנה נוספים במידת הצורך, כולל פתרונות גיבוי, הצפנה, בקרת גישה וניטור רציף של המערכות.

4. מעקב אחר יישום מדיניות מבדקי אבטחה למערכות

הנהלת הארגון תבצע מעקב אחר יישום מדיניות מבדקי אבטחה למערכות, על מנת לוודא שהיא מיושמת כראוי:

  • ביצוע ביקורות תקופתיות: סקירה של ממצאי מבדקי האבטחה וקיום ביקורות פנימיות ו/או חיצוניות לבחינת עמידת המערכות בדרישות.
  • ניתוח ממצאים: ניתוח ממצאים מהבדיקות והטמעת שיפורים ותיקונים בהתאם, במידת הצורך.