Skip to main content

A.8.26 דרישות אבטחת יישומים

מטרה

מטרת הנוהל היא להבטיח שכל היישומים המפותחים, נרכשים, או משולבים בארגון עומדים בדרישות אבטחה מחמירות, על מנת להגן על המידע הארגוני, למנוע פגיעויות, ולהבטיח שהיישומים בטוחים לשימוש בכל שלב מחזור החיים שלהם.

תחום יישום

הנוהל חל על כל היישומים המפותחים, נרכשים או משולבים בארגון, כולל יישומי תוכנה, מערכות מידע, יישומים מקוונים ושירותים מבוססי ענן.

הגדרות

  • אבטחת יישומים: מכלול הפעולות והטכנולוגיות שמיועדות להגן על היישומים מפני איומים ופגיעויות, להבטיח את שלמות המידע ולמנוע גישה לא מורשית.
  • דרישות אבטחה: קריטריונים והגדרות שיש לעמוד בהם על מנת להבטיח שהיישום מאובטח לכל אורך מחזור חייו, כולל שלב הפיתוח, הפריסה והתחזוקה.

אחריות

  • מחלקת הפיתוח: אחראית על יישום דרישות האבטחה במהלך פיתוח היישומים, כולל ביצוע בדיקות אבטחה ותיקון פגיעויות.
  • מחלקת IT: אחראית על התקנת יישומים שנרכשו, ביצוע בדיקות תאימות ובדיקות אבטחה לפני הפריסה.
  • ממונה על אבטחת המידע: אחראי להגדיר את דרישות האבטחה עבור כל יישום חדש, לוודא שהדרישות מיושמות כראוי ולבצע הערכות סיכונים תקופתיות.
  • מנהלי פרויקטים: אחראים לוודא שדרישות האבטחה מוגדרות, מתועדות ומיושמות בכל שלב במחזור חיי הפיתוח והיישום.

תהליך

1. הגדרת דרישות אבטחה

  • ממונה על אבטחת המידע, בשיתוף עם מחלקת הפיתוח, יגדיר את דרישות האבטחה עבור כל יישום חדש או נרכש, בהתאם לרמת הסיכון, סוג המידע שהיישום מטפל בו, והדרישות הרגולטוריות.
  • דרישות האבטחה יכללו מדיניות גישה, הצפנה, אימות, ניהול סשנים, טיפול בקלט ובפלט, וניהול יומני רישום (logging).

2. פיתוח יישום מאובטח

  • במהלך שלב הפיתוח, יש להקפיד על כתיבת קוד מאובטח העומד בדרישות האבטחה שהוגדרו. יש להקפיד על שימוש בטכניקות כמו בדיקות קלט, טיפול בשגיאות, והצפנת נתונים רגישים.
  • כל קוד חדש יעבור בדיקות אבטחה, כולל ניתוח קוד סטטי ודינמי, כדי לזהות ולתקן פגיעויות לפני שלב הפריסה.

3. בדיקות אבטחה

  • לפני פריסת יישום חדש, יש לבצע בדיקות אבטחה מקיפות, כולל בדיקות חדירה (Penetration Testing), ניתוח קוד, ובדיקות תאימות לדרישות האבטחה שהוגדרו.
  • יש לוודא שהיישום עומד בכל דרישות האבטחה ושאין בו פגיעויות קריטיות לפני השימוש בסביבת הייצור.

4. פריסה ותחזוקה

  • בעת פריסת יישום חדש בסביבת הייצור, יש לוודא שהיישום מוגדר כראוי מבחינת אבטחה, כולל הגדרות גישה, ניהול סשנים, והצפנת נתונים.
  • יש לבצע תחזוקה שוטפת של היישומים, כולל עדכונים ותיקונים של פגיעויות שמתגלות במהלך השימוש.

5. ניהול פגיעויות

  • יש להקים תהליך לניהול פגיעויות שהתגלו במהלך הפיתוח או השימוש ביישום. כל פגיעות תתועד, תוערך ותתוקן בהתאם למדיניות האבטחה של הארגון.
  • פגיעויות קריטיות יש לטפל בהן באופן מיידי, ולוודא שהתיקונים מבוצעים בצורה שמונעת פגיעות נוספות.

6. הדרכת צוותי פיתוח ו-IT

  • הארגון יספק הדרכה לצוותי הפיתוח וה-IT בנוגע לדרישות האבטחה ליישומים, כולל כתיבת קוד מאובטח, ביצוע בדיקות אבטחה, והגדרת יישומים בצורה מאובטחת.
  • ההדרכה תכלול גם הכרות עם כלים וטכניקות לאבטחת יישומים, כגון ניהול מפתחות קריפטוגרפיים, ניתוח קוד אוטומטי, ובדיקות חדירה.

7. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי דרישות אבטחת היישומים, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים ומתקיימים על ידי כל צוותי הפיתוח וה-IT בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לדרישות אבטחת יישומים, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.