נוהל: אבטחת שירותי רשת A13.1.2
מטרה
מטרת הנוהל היא להבטיח כי מאפייני אבטחה, רמות שירות, ודרישות ניהול לכל שירותי הרשת יזוהו ויכללו בהסכם שירותי הרשת, בין אם מדובר בשירותים פנימיים או במיקור חוץ, כדי להגן על המידע הרגיש או הקריטי של הארגון.
תחום יישום
�הנוהל חל על כל שירותי הרשת של הארגון, אשר מכילים מידע רגיש או קריטי.
הגדרות
- שירותי רשת: שירותים מבוססי רשת, כגון גישה לאינטרנט, דואר אלקטרוני, שיתוף קבצים וכדומה.
- מאפייני אבטחה: תכונות אבטחה הנדרשות להגן על שירותי הרשת.
- רמות שירות: רמות השירות הנדרשות לספק עבור שירותי הרשת.
- דרישות ניהול: דרישות הניהול הנדרשות עבור שירותי הרשת.
אחריות
הנהלה:
- אחראית על קביעת מדיניות אבטחת שירותי רשת.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
- אחראית על מעקב אחר ביצוע מדיניות זו.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות אבטחת שירותי �רשת.
- אחראי על ניהול תהליך יישום מדיניות זו.
מנהלי מערכות:
- אחראים על ביצוע מדיניות אבטחת שירותי רשת.
תהליך
1. קביעת מדיניות אבטחת שירותי רשת
הנהלת הארגון תקבע מדיניות אבטחת שירותי רשת, אשר תכלול את הנושאים הבאים:
- מאפייני אבטחה נדרשים עבור שירותי הרשת, כגון הצפנה, אימות זהות ובקרת גישה.
- רמות שירות נדרשות עבור שירותי הרשת, כגון זמינות, מהירות תגובה וזמן אחזור.
- דרישות ניהול נדרשות עבור שירותי הרשת, כגון ניהול גרסאות, ניהול קונפיגורציה וניהול שינויים.
2. ניהול הסכמי שירותי רשת
הנהלת הארגון תנהל הסכמי שירותי רשת עם ספקי שירותים חיצוניים, אשר יכללו את הנושאים הבאים:
- מאפייני אבטחה מוסכמים עבור שירותי הרשת.
- רמות שירות מוסכמות עבור שירותי הרשת.
- דרישות ניהול מוסכמות עבור שירותי הרשת. הסכמים אלו יכללו את פרטי ההגנה על המידע, אמצעי הבקרה והביקורת, ותהליכי דיווח על אירועים.
3. מעקב אחר ביצוע מדיניות אבטחת שירותי רשת
הנהלת הארגון תבצע מעקב אחר ביצוע מדיניות אבטחת שירותי רשת, על מנת לוודא כי היא מיושמת כראוי. המעקב יכלול בדיקות תקופתיות של רמות השירות והאבטחה, והתאמתם לדרישות הארגון.
הנחיות נוספות
- החברה תבצע ביקורות תקופתיות על יישום הנוהל לאבטחת שירותי רשת.
- כל שינוי במדיניות אבטחת שירותי רשת יתועד וייושם בהתאם להנחיות הארגון.