דלג לתוכן הראשי

נוהל: ניתוח דרישות האבטחה A14.1.1

מטרה

מטרת הנוהל היא להבטיח כי דרישות הקשורות לאבטחת המידע ייכללו בדרישות למערכות מידע חדשות או שדרוגים למערכות מידע קיימות, על מנת למזער את הסיכונים לאבטחת המידע.

תחום יישום

הנוהל חל על כל מערכות המידע של הארגון, כולל מערכות חדשות ומערכות קיימות אשר עוברות שדרוגים.

הגדרות

  • דרישות אבטחת מידע: דרישות אשר נדרשות על מנת להגן על מידע מפני גישה לא מורשית, שימוש לא מורשה, חשיפה לא מורשית או פגיעה לא מורשית.
  • מערכת מידע: מערכת המשתמשת במחשבים ובתוכנה כדי לאחסן, לעבד או להעביר מידע.
  • שדרוג של מערכת מידע: שינוי במערכת מידע אשר אינו משנה את המטרות העיקריות של המערכת, אך כולל עדכונים או תוספות פונקציונליות.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות בנוגע לניתוח דרישות האבטחה.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע המדיניות והנחיותיה.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות בנוגע לניתוח דרישות האבטחה.
  • אחראי על ניהול תהליך יישום המדיניות והבטחת תאימותה לדרישות הארגון.

מנהלי מערכות:

  • אחראים על ביצוע מדיניות בנוגע לניתוח דרישות האבטחה במערכות המידע שבניהולם.

תהליך

1. קביעת מדיניות בנוגע לניתוח דרישות האבטחה

הנהלת הארגון תקבע מדיניות ברורה ומפורטת בנוגע לניתוח דרישות האבטחה של מערכות מידע, שתכלול את הנושאים הבאים:

  • דרכי זיהוי דרישות אבטחת מידע: תהליכים ומנגנונים לזיהוי דרישות האבטחה הנדרשות לכל מערכת.
  • תהליך לניתוח דרישות אבטחת מידע: תהליך ניתוח הדרישות על מנת לוודא כי כל דרישות האבטחה מזוהות ומטופלות.
  • תהליך לתיעוד דרישות אבטחת מידע: נוהל המסדיר את אופן תיעוד הדרישות כך שהן יהיו זמינות ונהירות לכל הגורמים הרלוונטיים.

2. זיהוי דרישות אבטחת מידע

מנהלי מערכות, בשיתוף עם ממונה אבטחת מידע, יזהו את דרישות האבטחה של מערכות המידע החדשות או המשודרגות, באמצעות תהליך של הערכת סיכונים:

  • הערכת סיכונים: ניתוח פוטנציאל הסיכון לכל מערכת מידע, כולל זיהוי איומים והשלכותיהם האפשריות.

3. ניתוח דרישות אבטחת מידע

מנהלי מערכות ינתחו את דרישות האבטחה שזוהו, על מנת לוודא כי הן עונות על דרישות האבטחה של הארגון:

  • בדיקת התאמה: הבטחת התאמת דרישות האבטחה למדיניות הארגון ולתקנים הרלוונטיים.
  • בחירת אמצעי הגנה: בחירת אמצעי הגנה מתאימים לכל דרישת אבטחה.

4. תיעוד דרישות אבטחת מידע

מנהלי מערכות יתעדו את דרישות האבטחה ואת הפעולות שננקטו על מנת להבטיח כי הן זמינות לעובדים ולגורמים הרלוונטיים בארגון:

  • מסמכי דרישות: הכנת מסמכים מפורטים המכילים את כל דרישות האבטחה.
  • זמינות המידע: הבטחת זמינותם של המסמכים לכל גורם מורשה בארגון.