Skip to main content

A.8.18 שימוש בתוכניות שירות עזר מורשות

מטרה

מטרת הנוהל היא להבטיח שכל שימוש בתוכניות שירות עזר (Utilities) בארגון מתבצע באופן מבוקר ומאובטח, תוך שמירה על שלמות המידע והמערכות, ומניעת גישה לא מורשית או שימוש לרעה בתוכנות עזר שאינן מורשות.

תחום יישום

הנוהל חל על כל מערכות המידע, התשתיות, השרתים והתחנות עבודה בארגון, כולל התקני רשת ותוכנות עזר המשמשות לניהול, תחזוקה ואבחון מערכות המידע.

הגדרות

  • תוכניות שירות עזר (Utilities): תוכנות או יישומים שמטרתם לסייע בניהול, תחזוקה, אבחון ותיקון של מערכות מידע, כגון תוכנות לגיבוי, שיחזור, סריקות אבטחה, ניהול דיסקים, ועוד.
  • תוכנות עזר מורשות: תוכנות עזר שאושרו לשימוש על ידי מחלקת IT או ממונה על אבטחת המידע, ושנבדקו לוודא שהן עונות על דרישות האבטחה של הארגון.

אחריות

  • מחלקת IT: אחראית על בחירת תוכנות השירות העזר המורשות, התקנתן, ניהולן, וביצוע בדיקות תקופתיות להערכת האבטחה והשלמות שלהן.
  • ממונה על אבטחת המידע: אחראי לפקח על השימוש בתוכנות העזר, לוודא שהן עומדות בדרישות הארגון, ולנהל את הסיכונים הכרוכים בשימוש בתוכנות אלו.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם משתמשים אך ורק בתוכנות עזר מורשות ופועלים בהתאם למדיניות הארגון.

תהליך

1. בחירת תוכנות עזר

  • מחלקת IT תבצע הערכה של תוכנות השירות העזר הזמינות בשוק ותבחר את התוכנות המתאימות ביותר לצרכי הארגון, תוך התחשבות בדרישות האבטחה והאמינות.
  • יש לוודא שתוכנות העזר הנבחרות נבדקו מבחינת תאימות ואבטחה לפני שהן מותקנות במערכות הארגון.

2. התקנה ותצורה

  • מחלקת IT תתקין ותגדיר את תוכנות השירות העזר בהתאם למדיניות האבטחה של הארגון, ותוודא שהן מוגנות מפני גישה לא מורשית.
  • יש להגדיר תצורה שתמנע שימוש לרעה בתוכנות העזר, כגון הגבלת הגישה לתוכנות רק למשתמשים מורשים והגדרת הרשאות מינימליות נדרשות.

3. ניהול גישה

  • מחלקת IT תנהל את הגישה לתוכנות העזר, ותוודא שרק משתמשים מורשים יכולים לגשת ולהפעיל את התוכנות.
  • יש להשתמש במנגנוני אימות חזקים, כגון סיסמאות חזקות ואימות דו-שלבי, על מנת להגן על גישה לתוכנות העזר.

4. ניטור ובקרה

  • מחלקת IT תבצע ניטור שוטף של השימוש בתוכנות העזר, כולל רישום פעולות שבוצעו בעזרתן וזיהוי פעילות חריגה או לא מורשית.
  • כל פעילות חשודה תיבדק ותטופל בהתאם לנהלי הארגון.

5. עדכונים ותחזוקה

  • מחלקת IT תוודא שתוכנות העזר מעודכנות באופן שוטף לגרסאות האחרונות, וכי כל תיקוני האבטחה מיושמים במועד.
  • יש לבצע תחזוקה שוטפת של תוכנות העזר, כולל בדיקות תקינות, הסרת תוכנות שאינן בשימוש ועדכון הגדרות בהתאם לצרכי הארגון.

6. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים המשתמשים בתוכנות השירות העזר, כולל הנחיות לשימוש בטוח בתוכנות, זיהוי איומים אפשריים והנחיות לפעולה במקרה של זיהוי פעילות לא תקינה.
  • ההדרכה תכלול גם מדיניות הארגון לגבי שימוש בתוכנות עזר והדרישות לשמירה על אבטחת המידע בזמן השימוש בהן.

7. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי השימוש בתוכנות השירות העזר, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים ומתקיימים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לשימוש בתוכניות שירות עזר מורשות, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.