דלג לתוכן הראשי

נוהל: הגנה על תעבורה בין שירותי תוכנה A14.1.3

מטרה

מטרת הנוהל היא להבטיח כי מידע הנוגע לתעבורה בין שירותי תוכנה יוגן, על מנת למנוע תשדורת לא שלמה, ניתוב מחדש, שינוי בלתי מורשה, הסגרת מידע, כפל הודעות בלתי מורשה, ולמזער את הסיכונים לאבטחת המידע.

תחום יישום

הנוהל חל על כל התעבורה בין שירותי תוכנה של הארגון, אשר מכילה מידע רגיש או קריטי.

הגדרות

  • תעבורה בין שירותי תוכנה: מידע אשר מועבר בין שירותי תוכנה, כגון הודעות, בקשות, תגובות וכו'.
  • תשדורת לא שלמה: תשדורת אשר אינה כוללת את כל המידע הנדרש.
  • ניתוב מחדש: שינוי של מסלול התעבורה.
  • שינוי בלתי מורשה: שינוי של מידע בתעבורה ללא הרשאה.
  • הסגרת מידע: גניבה או חשיפה לא מורשית של מידע.
  • כפל הודעות בלתי מורשה: שליחת הודעה פעמיים ללא הרשאה.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות בנוגע להגנה על תעבורה בין שירותי תוכנה.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע המדיניות והבטחת תאימותה לדרישות הארגון.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות בנוגע להגנה על תעבורה בין שירותי תוכנה.
  • אחראי על ניהול תהליך יישום המדיניות והבטחת תאימותה לדרישות הארגון.

מנהלי מערכות:

  • אחראים על ביצוע מדיניות בנוגע להגנה על תעבורה בין שירותי תוכנה.

תהליך

1. קביעת מדיניות בנוגע להגנה על תעבורה בין שירותי תוכנה

הנהלת הארגון תקבע מדיניות ברורה ומפורטת בנוגע להגנה על תעבורה בין שירותי תוכנה, שתכלול את הנושאים הבאים:

  • דרכי זיהוי מידע הנוגע לתעבורה בין שירותי תוכנה: תהליכים ומנגנונים לזיהוי המידע שזקוק להגנה.
  • דרכי הגנה על מידע הנוגע לתעבורה בין שירותי תוכנה: אמצעים להגנה על המידע מפני תשדורת לא שלמה, ניתוב מחדש, שינוי בלתי מורשה, הסגרת מידע וכפל הודעות בלתי מורשה.

2. זיהוי מידע הנוגע לתעבורה בין שירותי תוכנה

מנהלי מערכות יזהו את המידע הנוגע לתעבורה בין שירותי תוכנה, אשר עובר בין שירותי התוכנה של הארגון.

3. הגנה על מידע הנוגע לתעבורה בין שירותי תוכנה

מנהלי מערכות ינקטו את האמצעים הבאים להגנה על מידע הנוגע לתעבורה בין שירותי תוכנה:

  • שימוש באמצעי אבטחת גישה: כגון סיסמאות חזקות, אימות דו-שלבי, ותהליכי זיהוי והזדהות מאובטחים.
  • שימוש באמצעי אבטחת מידע: כגון הצפנה של המידע, שימוש בתוכנות אנטי-וירוס, והגנה מפני תוכנות זדוניות.
  • שימוש באמצעי אבטחת רשתות: כגון חומות אש (Firewall), תוכנות הגנה מפני חדירות (Intrusion Prevention Systems) וכו'.

4. מעקב אחר ביצוע מדיניות בנוגע להגנה על תעבורה בין שירותי תוכנה

הנהלת הארגון תבצע מעקב אחר ביצוע המדיניות, על מנת לוודא כי היא מיושמת כראוי ומבטיחה את אבטחת המידע המועבר בין שירותי התוכנה.