Skip to main content

A.8.27 ארכיטקטורת מערכת מאובטחת ועקרונות הנדסה

מטרה

מטרת הנוהל היא להבטיח שכל המערכות המפותחות, נרכשות או משולבות בארגון מעוצבות ומיושמות בצורה מאובטחת בהתאם לעקרונות הנדסה מוכרים, על מנת למנוע פגיעויות, להבטיח את עמידות המערכות בפני איומים ולהגן על המידע הארגוני לאורך כל מחזור החיים של המערכת.

תחום יישום

הנוהל חל על כל תהליכי התכנון, הפיתוח, ההטמעה והתחזוקה של מערכות בארגון, כולל מערכות תוכנה, חומרה, רשתות ותשתיות ענן.

הגדרות

  • ארכיטקטורת מערכת מאובטחת: עיצוב מבנה המערכת באופן שמבטיח עמידות בפני איומי אבטחת מידע, כולל יישום של עקרונות אבטחה בכל הרמות (תוכנה, חומרה, רשת).
  • עקרונות הנדסה מאובטחים: שיטות ותהליכים הנדסיים המיועדים לשלב אבטחת מידע כחלק בלתי נפרד מתכנון ופיתוח מערכות, על מנת להבטיח עמידות, שלמות, וזמינות המערכת.

אחריות

  • מחלקת הפיתוח: אחראית על יישום עקרונות הנדסה מאובטחים במהלך תכנון ופיתוח המערכות, כולל עיצוב מאובטח, בחירת טכנולוגיות מתאימות וביצוע בדיקות אבטחה.
  • ממונה על אבטחת המידע: אחראי לוודא שהמערכות המתוכננות והמיושמות עומדות בדרישות האבטחה של הארגון, לבצע הערכות סיכונים ולפקח על תהליך התכנון והפיתוח.
  • מנהלי פרויקטים: אחראים לוודא שעקרונות הארכיטקטורה המאובטחת מיושמים בכל שלב בתהליך הפיתוח וההטמעה של המערכת, ושכל ההחלטות מתקבלות בהתאם לנהלי הארגון.

תהליך

1. תכנון ארכיטקטורה מאובטחת

  • לפני תחילת הפיתוח, יש לבצע הערכת סיכונים ולזהות את איומי האבטחה האפשריים. על סמך הערכה זו, יש לעצב את הארכיטקטורה של המערכת בצורה שמבטיחה עמידות בפני איומים אלו.
  • יש להגדיר שכבות אבטחה מרובות (Defense in Depth), הכוללות מנגנוני גישה מאובטחים, הצפנה, ניהול סשנים, והגנה מפני פגיעויות נפוצות.

2. יישום עקרונות הנדסה מאובטחים

  • במהלך שלב הפיתוח, יש להקפיד על יישום עקרונות הנדסה מאובטחים, כולל עיצוב מבני נתונים מאובטחים, הקפדה על קוד נקי ומאובטח, ושימוש בטכנולוגיות ותשתיות העומדות בתקני אבטחה מוכרים.
  • יש לבצע בדיקות סדירות על עמידות המערכת בפני התקפות ולבצע תיקונים ושיפורים לפי הצורך.

3. אינטגרציה ובדיקות אבטחה

  • לפני פריסת המערכת, יש לבצע בדיקות אבטחה מקיפות לכל רכיבי המערכת, כולל בדיקות חדירה (Penetration Testing), ניתוח קוד סטטי ודינמי, ובדיקות תאימות לדרישות האבטחה שהוגדרו.
  • יש לוודא שכל רכיבי המערכת מתפקדים בצורה מאובטחת ואין בהם פגיעויות לפני המעבר לשלב הפריסה בסביבת הייצור.

4. פריסה ותחזוקה

  • בעת פריסת המערכת בסביבת הייצור, יש לוודא שהמערכת מוגדרת כראוי מבחינת אבטחה, כולל הגדרות גישה, הצפנת נתונים, וניהול לוגים.
  • יש לבצע תחזוקה שוטפת של המערכת, כולל עדכוני תוכנה ותיקוני אבטחה בהתאם לצורך, כדי להבטיח שהמערכת נשארת עמידה בפני איומים חדשים.

5. ניהול פגיעויות ותקריות

  • יש להקים תהליך לניהול פגיעויות ותקריות שהתגלו במהלך הפיתוח או השימוש במערכת. כל פגיעות תתועד, תוערך ותתוקן בהתאם למדיניות האבטחה של הארגון.
  • תקריות אבטחה קריטיות יטופלו באופן מיידי, ויש לוודא שהמערכת חוזרת לתפקוד מלא ובטוח לאחר הטיפול.

6. הדרכת צוותי פיתוח ו-IT

  • הארגון יספק הדרכה לצוותי הפיתוח וה-IT בנוגע לעקרונות הארכיטקטורה המאובטחת, כולל כתיבת קוד מאובטח, ביצוע בדיקות אבטחה, ותכנון מערכות עמידות בפני איומים.
  • ההדרכה תכלול גם הכרות עם כלים וטכניקות הנדסיות לאבטחת מערכות, כגון ניהול סיכונים, שימוש בטכנולוגיות הצפנה, ובדיקות תאימות.

7. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי הארכיטקטורה המאובטחת ועקרונות ההנדסה, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לארכיטקטורת מערכת מאובטחת ועקרונות הנדסה, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.