Skip to main content

A.8.29 בדיקות אבטחה בפיתוח וקבלה

מטרה

מטרת הנוהל היא להבטיח שכל מערכת, יישום או תוכנה שעוברים תהליך פיתוח או רכישה בארגון נבדקים באופן יסודי מבחינת אבטחת מידע, הן במהלך הפיתוח והן בתהליך הקבלה לפני הפריסה, כדי להבטיח את עמידותם בפני איומים והגנה על נכסי המידע של הארגון.

תחום יישום

הנוהל חל על כל המערכות, היישומים והתוכנות הנמצאים בתהליכי פיתוח או נרכשים לשימוש בארגון, כולל יישומים פנימיים, מערכות צד ג' ושירותים מבוססי ענן.

הגדרות

  • בדיקות אבטחה: תהליך של הערכת מערכת או יישום לזיהוי פגיעויות, איומי אבטחה ופגמים בתכנון או ביישום, כולל בדיקות חדירה, ניתוח קוד סטטי ודינמי, ובדיקות תאימות לדרישות האבטחה.
  • קבלה: תהליך שבו מערכת או יישום נבדקים ומאושרים לשימוש בארגון לאחר שנבדקו ונמצאו עומדים בדרישות האבטחה והאיכות.

אחריות

  • מחלקת הפיתוח: אחראית על ביצוע בדיקות אבטחה במהלך תהליך הפיתוח, ותיקון כל הפגיעויות והליקויים שמתגלים.
  • ממונה על אבטחת המידע: אחראי לפקח על תהליך בדיקות האבטחה, להגדיר את הדרישות, לוודא עמידה בתנאים ולבצע את הבדיקות הסופיות לקראת קבלת המערכת או היישום.
  • מנהלי פרויקטים: אחראים לוודא שבדיקות האבטחה מבוצעות בכל שלבי הפיתוח, ושכל מערכת או יישום נבדקים כראוי לפני הקבלה והפריסה בסביבת הייצור.

תהליך

1. הגדרת דרישות אבטחה

  • ממונה על אבטחת המידע, בשיתוף עם מחלקת הפיתוח, יגדיר את דרישות האבטחה עבור כל מערכת או יישום הנמצאים בתהליך הפיתוח או הרכישה.
  • הדרישות יכללו בדיקות חדירה, ניתוח קוד, בדיקות תאימות למדיניות האבטחה של הארגון, ובדיקות סביבות שונות כמו סביבות ייצור וסביבות בדיקה.

2. בדיקות אבטחה במהלך הפיתוח

  • במהלך תהליך הפיתוח, יש לבצע בדיקות אבטחה מקיפות בכל שלב כדי לזהות ולתקן פגיעויות מוקדם ככל האפשר. בדיקות אלו יכללו ניתוח קוד סטטי ודינמי, בדיקות קלט ופלט, ובדיקות תאימות לדרישות האבטחה.
  • תוצאות הבדיקות יתועדו וינותחו, וכל פגיעות שתתגלה תתוקן לפני המעבר לשלב הבא.

3. בדיקות קבלה סופיות

  • לפני קבלת המערכת או היישום לפריסה בסביבת הייצור, יש לבצע בדיקות קבלה סופיות לאבטחה, כולל בדיקות חדירה, ניתוח קוד ובדיקות תאימות.
  • יש לוודא שהמערכת עומדת בכל דרישות האבטחה שהוגדרו, ושאין פגיעויות קריטיות לפני הפריסה בסביבת הייצור.

4. תיעוד ודיווח

  • כל תהליך בדיקות האבטחה יתועד, כולל תוצאות הבדיקות, הפגיעויות שהתגלו והפעולות שננקטו לתיקון. תיעוד זה ישמש לביקורות ולסקירת הביצועים של תהליך הפיתוח והקבלה.
  • דו"חות על תהליך בדיקות האבטחה יועברו למנהלי הפרויקטים ולממונה על אבטחת המידע לצורך מעקב ובקרה.

5. טיפול בפגיעויות שהתגלו

  • יש להקים תהליך לתיקון פגיעויות שהתגלו במהלך בדיקות האבטחה, כולל תיעוד, תיקון ובדיקות חוזרות לוודא שהליקויים תוקנו.
  • פגיעויות קריטיות יטופלו מיידית, ולוודא שהמערכת בטוחה לשימוש לפני שהיא נפרסת בסביבת הייצור.

6. הדרכת צוותים

  • הארגון יספק הדרכה לצוותי הפיתוח והבדיקות בנוגע לתהליך בדיקות האבטחה, כולל טכניקות לזיהוי פגיעויות, ניתוח קוד, ושימוש בכלים אוטומטיים לבדיקות אבטחה.
  • ההדרכה תכלול גם הכרות עם נהלי הארגון לבדיקות קבלה ושיטות לתיקון פגיעויות באופן אפקטיבי.

7. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי בדיקות האבטחה בפיתוח וקבלה, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לבדיקות אבטחה בפיתוח וקבלה, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.