דלג לתוכן הראשי

נוהל: סביבת פיתוח מאובטחת A14.2.6

מטרה

מטרת הנוהל היא להבטיח כי סביבות פיתוח מאובטחות יוקמו ויוגנו באופן הולם עבור פיתוח מערכות ומאמצי אינטגרציה, על מנת למזער את הסיכונים לאבטחת המידע ולשמור על שלמות וזמינות המערכות.

תחום יישום

הנוהל חל על כל סביבות הפיתוח של הארגון, לרבות סביבות פיתוח תוכנה, סביבות פיתוח חומרה, סביבות פיתוח של מערכות אינטגרציה, וכדומה.

הגדרות

  • סביבה פיתוח: סביבת מחשוב המשמשת לפיתוח מערכות מידע, תוכנה, חומרה, או כל טכנולוגיה אחרת.
  • אבטחת סביבה פיתוח: מכלול של אמצעי אבטחה, טכנולוגיים ונהלים, המיועדים להגן על סביבות פיתוח מפני חדירה, שימוש לרעה, פגיעה או אובדן נתונים.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות אבטחת סביבות פיתוח.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו, כולל התקציב, הכלים וההדרכות הנדרשות.
  • אחראית על מעקב אחר ביצוע מדיניות זו, לרבות קיום ביקורות תקופתיות על יעילות האבטחה.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות אבטחת סביבות פיתוח, כולל הדרכת הצוותים ופיקוח על עמידה בדרישות.
  • אחראי על ניהול תהליך יישום מדיניות זו, כולל פיתוח נהלים ושיטות עבודה.

מנהלי מערכות:

  • אחראים על יישום מדיניות אבטחת סביבות פיתוח בכל סביבות הפיתוח שבאחריותם, תוך שילוב אמצעי אבטחה מתקדמים וניהול סיכונים.

תהליך

1. קביעת מדיניות אבטחת סביבות פיתוח

הנהלת הארגון תקבע מדיניות אבטחת סביבות פיתוח, אשר תכלול את הנושאים הבאים:

  • מטרות מדיניות אבטחת סביבות פיתוח: הבטחת שמירת סודיות, שלמות וזמינות המידע והתוכנה המפותחים.
  • תחום יישום מדיניות אבטחת סביבות פיתוח: הגדרת הסביבות והמערכות שעליהן תחול המדיניות.
  • דרישות אבטחת סביבות פיתוח: תיאור הכללים והנחיות להגנה על סביבות הפיתוח, כולל הגנה פיזית, טכנולוגית ונהלים תפעוליים.

2. אימוץ מדיניות אבטחת סביבות פיתוח

מנהלי מערכות יאמצו את מדיניות אבטחת סביבות פיתוח, על ידי:

  • פיתוח נהלים פנימיים: יצירת נהלים מפורטים ומסמכים טכניים שיתאימו למדיניות הכללית ויהוו כלי עבודה יומיומי לעובדים.
  • התאמת מסמכים קיימים: עדכון נהלים קיימים בהתאם לעקרונות המדיניות.

3. יישום מדיניות אבטחת סביבות פיתוח

מנהלי מערכות יפעלו ליישום מדיניות אבטחת סביבות פיתוח, על ידי:

  • הדרכת עובדים: הדרכת צוותי הפיתוח והתפעול בנוגע לכללים ולעקרונות האבטחה בסביבות הפיתוח.
  • ביצוע בדיקות אבטחה: בדיקות קפדניות בכל שלב של הפיתוח וההטמעה, כולל סקירות קוד, בדיקות חדירה וסקרי סיכונים.
  • הגנה פיזית וטכנולוגית: הטמעת אמצעי הגנה כגון הצפנה, גיבוי נתונים, בקרת גישה וניטור מערכות.

4. מעקב אחר יישום מדיניות אבטחת סביבות פיתוח

הנהלת הארגון תבצע מעקב אחר יישום מדיניות אבטחת סביבות פיתוח, על מנת לוודא שהיא מיושמת כראוי:

  • ביצוע ביקורות תקופתיות: סקרי סיכונים ובדיקות תקופתיות לבחינת יישום המדיניות.
  • ניתוח ממצאים: סקירת ממצאים מהביקורות והטמעת שיפורים ותיקונים בהתאם.