A.8.23 סינון אינטרנט
מטרה
מטרת הנוהל היא להבטיח גישה מבוקרת ומאובטחת לאינטרנט בתוך הארגון, על ידי סינון תכנים לא רצויים, מניעת גישה לאתרים מסוכנים והגנה מפני איומים מקוונים, ובכך להגן על נכסי המידע של הארגון ולשפר את יעילות העבודה.
תחום יישום
הנוהל חל על כל הגלישה באינטרנט המתבצעת ממחשבים, שרתים, רשתות וכל התקן המחובר לרשת הארגונית, כולל רשתות אלחוטיות, רשתות VPN וגישה מרחוק.
הגדרות
- סינון אינטרנט: תהליך שבו מתבצע ניתוב או חסימה של תעבורת אינטרנט לאתרים או שירותים מסוימים על פי קריטריונים שהוגדרו מראש, כגון קטגוריות תוכן, כתובות URL, או רשימות שחורות.
- תוכן לא רצוי: אתרים, שירותים או תכנים מקוונים שגולשים עלולים להיחשף אליהם ושעשויים להוות סיכון לארגון, כגון אתרים המכילים תוכן פוגעני, תוכנות זדוניות, דיוג (phishing) או תכנים שאינם קשורים לעבודה.
אחריות
- מחלקת IT: אחראית על יישום, תחזוקה וניטור של פתרונות סינון האינטרנט, כולל הגדרת רשימות שחורות ולבנות, סינון לפי קטגוריות, ועדכון מדיניות סינון בהתאם לצרכים.
- ממונה על אבטחת המידע: אחראי לפקח על תהליך סינון האינטרנט, לבצע הערכות סיכונים תקופתיות, ולוודא שהפתרונות והנהלים עומדים בדרישות האבטחה של הארגון.
- מנהלים ישירים: אחראים לוודא שהצוותים שלהם מודעים למדיניות סינון האינטרנט ופועלים בהתאם להנחיות הארגון.
תהליך
1. תכנון מדיניות סינון
- מחלקת IT, בשיתוף עם ממונה על אבטחת המידע, תגדיר את מדיניות סינון האינטרנט, כולל קטגוריות התכנים שיחסמו, רשימות שחורות ולבנות, ומדיניות גישה לאתרים מסוימים בהתאם לצורכי הארגון.
- יש לוודא שמדיניות הסינון מתאימה לצרכים העסקיים של הארגון ושאינה פוגעת ביעילות העבודה.
2. יישום פתרונות סינון אינטרנט
- מחלקת IT תיישם את פתרונות סינון האינטרנט על כל המכשירים והרשתות בארגון, כולל שרתי Proxy, חומות אש ופתרונות סינון מבוססי ענן.
- יש להגדיר את הכלים כך שיאפשרו חסימה או הגבלה של גישה לאתרים ותכנים לא רצויים על פי המדיניות שהוגדרה.
3. ניהול גישה
- יש להגדיר מדיניות גישה מותאמת אישית לקבוצות משתמשים שונות בארגון, כך שמשתמשים בעלי תפקידים שונים יקבלו גישה לאתרים ולשירותים רלוונטיים לעבודתם.
- יש לוודא שהגישה לאתרים מסוימים המאושרים לעבודה מוגבלת למשתמשים מורשים בלבד.