A.8.4 גישה לקוד מקור
מטרה
מטרת הנוהל היא להבטיח את אבטחת קוד המקור הארגוני על ידי הגבלת הגישה אליו, מניעת גישה לא מורשית או שינויים לא מורשים, והגנה על קניין רוחני ונתוני המידע הקריטיים של הארגון.
תחום יישום
הנוהל חל על כל מערכות ניהול קוד מקור בארגון, כולל מאגרי קוד, מערכות ניהול גרסאות (כגון Git), כלי פיתוח וכל תשתית אחרת המשמשת לניהול, אחסון ותחזוקה של קוד המקור הארגוני.
הגדרות
- קוד מקור: הטקסט הכולל את הפקודות וההוראות המרכיבות את התוכנה, הכתוב בשפת תכנות כלשהי.
- גישה לקוד מקור: היכולת לצפות, לערוך, להעתיק או לשנות את קוד המקור של תוכנה הנמצאת בבעלות או בשליטת הארגון.
אחריות
- מחלקת IT: אחראית לניהול ובקרה של הגישה לקוד המקור, כולל הקצאת הרשאות, ניהול מאגרי קוד, והבטחת תקינות הקוד והגרסאות.
- מנהלים ישירים: אחראים לוודא שהצוותים שלהם מקבלים גישה לקוד מקור רק בהתאם לצרכים העסקיים ובמסגרת תפקידם.
- מפתחי תוכנה: אחראים לשמור על סודיות הקוד, לפעול בהתאם להנחיות הארגון ולדווח על כל חשד לפעילות לא תקינה או חשיפת קוד לא מורשית.
תהליך
1. ניהול גישה לקוד מקור
- הגישה לקוד מקור תינתן אך ורק לעובדים מורשים בהתאם לתפקידם, תוך שימוש בעקרונות של "הרשאה מינימלית" ו"צורך לדעת".
- כל בקשת גישה לקוד מקור תיבחן ותאושר על ידי המנהל הישיר ומחלקת IT בהתאם למדיניות הארגון.