דלג לתוכן הראשי

A.8.30 פיתוח חיצוני

מטרה

מטרת הנוהל היא להבטיח שכל תהליכי הפיתוח החיצוניים המתבצעים על ידי ספקים, קבלנים או שותפים חיצוניים מתבצעים בהתאם לדרישות האבטחה של הארגון, על מנת להגן על המידע הרגיש של הארגון, ולמנוע פגיעויות ואיומי אבטחה.

תחום יישום

הנוהל חל על כל תהליכי הפיתוח המתבצעים על ידי גורמים חיצוניים לארגון, כולל ספקי תוכנה, קבלני משנה ושותפים עסקיים, בכל שלבי מחזור החיים של הפיתוח.

הגדרות

  • פיתוח חיצוני: תהליך שבו הפיתוח של תוכנה, יישומים, או מערכות מידע מבוצע על ידי גורמים חיצוניים לארגון, כגון ספקים, קבלני משנה או שותפים עסקיים.
  • ספקים חיצוניים: גורמים חיצוניים לארגון שמספקים שירותי פיתוח או תמיכה טכנולוגית, והם מחויבים לעמוד בדרישות האבטחה שהוגדרו על ידי הארגון.

אחריות

  • מחלקת הרכש: אחראית על ניהול ההתקשרות עם ספקים חיצוניים, כולל הגדרת דרישות האבטחה בהסכמים והבטחת עמידתם בדרישות אלו.
  • ממונה על אבטחת המידע: אחראי לפקח על תהליך הפיתוח החיצוני, להגדיר את דרישות האבטחה ולוודא שהן מיושמות על ידי הספקים החיצוניים.
  • מנהלי פרויקטים: אחראים לוודא שכל תהליך הפיתוח החיצוני מתבצע בהתאם לדרישות האבטחה של הארגון, ושכל המערכות המפותחות נבדקות ומאושרות לשימוש.

תהליך

1. הגדרת דרישות אבטחה

  • ממונה על אבטחת המידע, בשיתוף עם מחלקת הרכש ומנהלי הפרויקטים, יגדיר את דרישות האבטחה לכל פרויקט פיתוח חיצוני, כולל הגדרות ספציפיות להבטחת סודיות, שלמות וזמינות המידע.
  • דרישות האבטחה ייכללו כחלק מההסכמים והחוזים עם הספקים החיצוניים, ויהוו תנאי להצלחה בפרויקט.

2. בחירת ספקים חיצוניים

  • מחלקת הרכש תבחר ספקים חיצוניים על פי קריטריונים הכוללים את היכולת של הספק לעמוד בדרישות האבטחה של הארגון, רקורד של שמירה על סודיות ואבטחת מידע, והמלצות מקדמות.
  • הספקים שייבחרו יידרשו לעמוד בכל הדרישות שהוגדרו, ולהשתמש בטכנולוגיות ובשיטות עבודה העומדות בתקני האבטחה המקובלים.

3. ניהול תהליך הפיתוח

  • מחלקת הפיתוח ומנהלי הפרויקטים יפקחו על תהליך הפיתוח החיצוני כדי לוודא שהדרישות הטכניות והאבטחה מיושמות כראוי, כולל ביצוע בדיקות אבטחה בכל שלב של הפיתוח.
  • יש לוודא שהספקים מבצעים בדיקות אבטחה מקיפות, כולל בדיקות חדירה וניתוח קוד, ושכל הפגיעויות מתוקנות לפני המסירה לארגון.

4. בדיקות קבלה ואישור

  • לפני קבלת המוצר או השירות מהספק החיצוני, יש לבצע בדיקות קבלה מקיפות לאבטחה, כולל בדיקות חדירה ובדיקות תאימות לדרישות האבטחה שהוגדרו.
  • יש לוודא שהמערכת או היישום עומדים בכל דרישות האבטחה, ושאין פגיעויות פתוחות לפני פריסתם בסביבת הייצור של הארגון.

5. תיעוד ודיווח

  • כל תהליך הפיתוח החיצוני יתועד, כולל דרישות האבטחה, תוצאות הבדיקות, הפגיעויות שהתגלו והפעולות שננקטו לתיקון.
  • דו"חות על תהליך הפיתוח החיצוני יועברו למנהלי הפרויקטים ולממונה על אבטחת המידע לצורך מעקב ובקרה.

6. ניהול פגיעויות

  • יש להקים תהליך לניהול פגיעויות שהתגלו במהלך הפיתוח החיצוני או לאחר המסירה. כל פגיעות תתועד, תוערך ותתוקן בהתאם למדיניות האבטחה של הארגון.
  • פגיעויות קריטיות יטופלו באופן מיידי, ולוודא שהמערכת בטוחה לשימוש לפני שהיא נפרסת בסביבת הייצור של הארגון.

7. הדרכת ספקים ועובדים

  • הארגון יספק הדרכה לספקים החיצוניים ולעובדים האחראים על ניהול הפיתוח החיצוני, בנוגע לדרישות האבטחה, תהליכי פיתוח מאובטחים וניהול פגיעויות.
  • ההדרכה תכלול גם הכרות עם כלים וטכניקות לפיתוח מאובטח, תהליכי בדיקות אבטחה, ושיטות לשמירה על סודיות המידע.

8. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי הפיתוח החיצוני, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים על ידי כל הצוותים הרלוונטיים בארגון וכל הספקים החיצוניים.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לפיתוח חיצוני, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.