Skip to main content

A.8.12 מניעת דליפת מידע

מטרה

מטרת הנוהל היא להבטיח שמידע רגיש ומידע ארגוני מוגנים מפני דליפה, אובדן או גישה לא מורשית, על ידי יישום אמצעים טכנולוגיים ונהלים שמטרתם למנוע דליפת מידע ממערכות המידע והתשתיות של הארגון.

תחום יישום

הנוהל חל על כל מערכות המידע, התשתיות, היישומים, והציוד בארגון, כולל מחשבים אישיים, שרתים, התקנים ניידים, שירותי ענן ומערכות דואר אלקטרוני.

הגדרות

  • דליפת מידע (Data Leakage): אובדן, העברה או חשיפת מידע רגיש או ארגוני לגורמים בלתי מורשים, בין אם בכוונה תחילה ובין אם כתוצאה מתקלות או אי הקפדה על נהלים.
  • מניעת דליפת מידע (DLP - Data Loss Prevention): מכלול טכנולוגיות ונהלים שנועדו לזהות, לנטר ולמנוע דליפת מידע רגיש מתוך מערכות המידע הארגוניות.

אחריות

  • מחלקת IT: אחראית על יישום, תחזוקה וניטור של פתרונות מניעת דליפת מידע (DLP) בארגון, ועל ביצוע בדיקות תקופתיות לאבטחת המידע.
  • ממונה על אבטחת המידע: אחראי לפקח על תהליכי מניעת דליפת המידע, להבטיח עמידה במדיניות הארגון ולנהל תקריות הקשורות לדליפת מידע.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם מודעים לסיכונים הקשורים לדליפת מידע ופועלים בהתאם לנהלי הארגון.

תהליך

1. זיהוי מידע רגיש

  • מחלקת IT, בשיתוף עם ממונה על אבטחת המידע, תזהה את המידע הרגיש והקריטי בארגון שדורש הגנה מיוחדת, כולל מידע אישי, קנייני ומסחרי.
  • יש ליצור סיווג מידע רגיש על פי סוגי המידע השונים ולהגדיר את רמות ההגנה הנדרשות לכל סוג.

2. יישום טכנולוגיות DLP

  • מחלקת IT תיישם פתרונות מניעת דליפת מידע (DLP) בכל המערכות הארגוניות, כולל מחשבים אישיים, שרתים, מערכות דואר אלקטרוני ושירותי ענן.
  • יש להגדיר חוקים ומדיניות בפתרונות DLP לזיהוי וניטור דליפות מידע אפשריות, כולל העברת מידע רגיש באמצעות דואר אלקטרוני, התקני אחסון ניידים או העברה לרשתות חיצוניות.

3. ניטור ובקרה

  • מחלקת IT תבצע ניטור שוטף של כל הפעילויות הקשורות להעברת מידע רגיש בתוך ומחוץ לארגון, ותתעד כל ניסיון לגישה בלתי מורשית או דליפת מידע.
  • כל פעילות חריגה או ניסיון להעביר מידע רגיש שלא בהתאם למדיניות הארגון ייבדקו מיידית ויטופלו בהתאם לנהלי הארגון.

4. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים בנושא מניעת דליפת מידע, כולל זיהוי סיכונים, שימוש נכון במערכות מידע רגישות והנחיות לשימוש בטוח בהתקנים ניידים ובדואר אלקטרוני.
  • ההדרכה תכלול גם הנחיות לדיווח מיידי במקרה של חשד לדליפת מידע או תקריות אבטחה הקשורות למידע רגיש.

5. תגובה לתקריות דליפת מידע

  • במקרה של דליפת מידע, מחלקת IT והממונה על אבטחת המידע יפעלו בהתאם לנהלי הארגון, כולל בידוד התקרית, ניתוח האירוע, דיווח להנהלה ויידוע הרשויות הרלוונטיות במידת הצורך.
  • כל תקרית תתועד, ותנותח לצורך שיפור מערכות האבטחה והנהלים למניעת דליפות עתידיות.

6. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי מניעת דליפת המידע ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים ומתקיימים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע למניעת דליפת מידע, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.