A.8.4 גישה לקוד מקור
מטרה
מטרת הנוהל היא להבטיח את אבטחת קוד המקור הארגוני על ידי הגבלת הגישה אליו, מניעת גישה לא מורשית או שינויים לא מורשים, והגנה על קניין רוחני ונתוני המידע הקריטיים של הארגון.
תחום יישום
הנוהל חל על כל מערכות ניהול קוד מקור בארגון, כולל מאגרי קוד, מערכות ניהול גרסאות (כגון Git), כלי פיתוח וכל תשתית אחרת המשמשת לניהול, אחסון ותחזוקה של קוד המקור הארגוני.
הגדרות
- קוד מקור: הטקסט הכולל את הפקודות וההוראות המרכיבות את התוכנה, הכתוב בשפת תכנות כלשהי.
- גישה לקוד מקור: היכולת לצפות, לערוך, להעתיק או לשנות את קוד המקור של תוכנה הנמצאת בבעלות או בשליטת הארגון.
אחריות
- מחלקת IT: אחראית לניהול ובקרה של הג ישה לקוד המקור, כולל הקצאת הרשאות, ניהול מאגרי קוד, והבטחת תקינות הקוד והגרסאות.
- מנהלים ישירים: אחראים לוודא שהצוותים שלהם מקבלים גישה לקוד מקור רק בהתאם לצרכים העסקיים ובמסגרת תפקידם.
- מפתחי תוכנה: אחראים לשמור על סודיות הקוד, לפעול בהתאם להנחיות הארגון ולדווח על כל חשד לפעילות לא תקינה או חשיפת קוד לא מורשית.
תהליך
1. ניהול גישה לקוד מקור
- הגישה לקוד מקור תינתן אך ורק לעובדים מורשים בהתאם לתפקידם, תוך שימוש בעקרונות של "הרשאה מינימלית" ו"צורך לדעת".
- כל בקשת גישה לקוד מקור תיבחן ותאושר על ידי המנהל הישיר ומחלקת IT בהתאם למדיניות הארגון.
2. ניהול מאגרי קוד
- מחלקת IT תנהל את מאגרי הקוד באמצעות מערכת ניהול גרסאות, שתאפשר שליטה ובקרה על כל השינויים המתבצעים בקוד.
- יש לוודא שהגישה למאגרי הקוד מוגבלת לאנשים מורשים בלבד, תוך שימוש במנגנוני אימות מתקדמים כגון סיסמאות חזקות, אימות דו-שלבי וזיהוי ביומטרי.
3. ניטור ובקרת שינויים
- מחלקת IT תבצע ניטור שוטף של השינויים בקוד המקור, כולל תיעוד כל גרסה, מעקב אחר שינויים שבוצעו, וזיהוי פעילויות חריגות או חשודות.
- כל ניסיון לשנות או לגשת לקוד מקור באופן לא מורשה ידווח מיידית לממונה על אבטחת המידע ויטופל בהתאם לנהלי הארגון.
4. ביקורות תקופתיות
- הארגון יבצע ביקורות תקופתיות על זכויות הגישה לקוד מקור, במטרה לוודא שהן תואמות את תפקידיהם הנוכחיים של המשתמשים בארגון.
- הביקורות יכללו בחינה של הרשאות גישה, הסרת הרשאות שאינן בשימוש, ועדכון הרשאות בהתאם לשינויים ארגוניים.
5. הגנה על קוד מקור
- קוד מקור יוגן באמצעות הצפנה כאשר הוא מאוחסן במאגרי הקוד, וכאשר הוא מועבר בין מערכות שונות או בין משתמשים.
- הארגון יספק הדרכה למפתחים ולמשתמשים על שיטות אבטחה מומלצות לשמירה על קוד מקור, כולל התמודדות עם איומים כמו גניבת קוד, הנדסה לאחור והתקפות סייבר.
6. סקירה ועדכון נהלים
- הארגון יבצע סקירה תקופתית של נהלי הגישה לקוד מקור, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
הערות
הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לגישה לקוד מקור, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.