דלג לתוכן הראשי

A.5.26 תגובה לאירועי אבטחת מידע

מטרה

מטרת הנוהל היא להבטיח כי הארגון יגיב במהירות ובאופן מאורגן לכל אירוע אבטחת מידע, על מנת לצמצם את הנזק האפשרי ולהגן על המידע והנכסים הקריטיים של הארגון.

תחום יישום

הנוהל חל על כל אירועי אבטחת המידע בארגון, לרבות אירועים פוטנציאליים, אירועים בפועל ותקריות.

הגדרות

  • אירוע אבטחת מידע: כל אירוע שיש בו כדי לפגוע בזמינות, סודיות או שלמות של המידע או מערכות המידע של הארגון.
  • תגובה לאירוע: תהליך של גילוי, הערכה, טיפול, והתאוששות מאירוע אבטחת מידע, במטרה למזער את הנזק לארגון.

אחריות

  • ממונה אבטחת מידע: אחראי על ניהול התגובה לאירועי אבטחת מידע, כולל הפעלת צוותי תגובה והנחייתם.
  • צוות תגובה לאירועי אבטחת מידע (CIRT): אחראי לביצוע פעולות התגובה, כולל ניתוח האירוע, תיקון הבעיה, ושיקום המערכות שנפגעו.

תהליך

1. גילוי אירוע אבטחת מידע

  • כל עובד בארגון שזיהה אירוע אבטחת מידע ידווח על כך באופן מיידי לממונה אבטחת מידע או לצוות ה-CIRT.
  • מערכות ניטור וגישות ישמשו לגילוי מהיר של אירועים ולהתראה מוקדמת.

2. הערכת האירוע

  • צוות ה-CIRT יבצע הערכה ראשונית של האירוע כדי לקבוע את חומרתו וההשפעה האפשרית על מערכות המידע והפעילות הארגונית.
  • הערכה תכלול זיהוי מקורות האירוע, הערכת הנזק הפוטנציאלי, וקביעת הצעדים המיידיים הדרושים לטיפול בו.

3. תכנון תגובה

  • בהתבסס על הערכת האירוע, צוות ה-CIRT יכין תוכנית תגובה שתכלול:
    • פעולות מיידיות למזעור הנזק (כגון בידוד המערכת הפגועה).
    • תכנון לטיפול בתקרית ולהתאוששות מהאירוע.
    • חלוקת תפקידים ואחריות לביצוע פעולות התגובה.

4. יישום התגובה

  • צוות ה-CIRT יבצע את פעולות התגובה בהתאם לתוכנית שגובשה. פעולות אלו עשויות לכלול:
    • עצירת הפעילות הפוגענית.
    • תיקון תקלות ואבטחת המערכת הפגועה.
    • יידוע גורמים רלוונטיים, כולל הנהלה, לקוחות וספקים, בהתאם לנוהלי הדיווח.
    • שימור ראיות לצורך חקירה עתידית.

5. התאוששות ושיקום

  • לאחר הטיפול הראשוני באירוע, צוות ה-CIRT ידאג לשיקום המערכות שנפגעו ולהחזרתן לפעילות תקינה.
  • יבוצעו בדיקות להבטחת שלמות המידע והמערכות.
  • יוגשו דוחות להנהלה על אופן הטיפול באירוע והפעולות שבוצעו.

6. הפקת לקחים ושיפור

  • צוות ה-CIRT יבצע ניתוח לאחר האירוע (Post-Incident Review) במטרה ללמוד מהאירוע ולשפר את תהליך התגובה לאירועים עתידיים.
  • יבוצעו עדכונים בנוהלים ותהליכים בהתאם ללקחים שנלמדו.

הערות

  • הארגון יבצע תרגולים תקופתיים של תוכנית התגובה לאירועי אבטחת מידע, על מנת לוודא את יעילותה ותקינותה.
  • הארגון ינהל רשומות של כל אירועי אבטחת המידע והתגובות להם, לצורך מעקב ולמידה עתידית.