דלג לתוכן הראשי

A.8.8 ניהול פגיעויות טכניות

מטרה

מטרת הנוהל היא להבטיח זיהוי, ניתוח, וניהול של פגיעויות טכניות במערכות המידע והטכנולוגיות של הארגון, כדי להפחית את הסיכון לניצול פגיעויות על ידי גורמים לא מורשים ולהגן על נכסי המידע של הארגון.

תחום יישום

הנוהל חל על כל מערכות המידע, התשתיות, היישומים, הרשתות והציוד בארגון, כולל תוכנות, מערכות הפעלה, חומרה והתקני רשת.

הגדרות

  • פגיעות טכנית: חולשה או ליקוי במערכת מידע, תשתית, תוכנה או חומרה, שעלולים להוות סיכון לארגון אם ינוצלו על ידי גורמים לא מורשים.
  • ניהול פגיעויות: תהליך של זיהוי, הערכה, תיקון ומעקב אחר פגיעויות טכניות במערכות הארגון, במטרה לצמצם את הסיכון לניצולן.

אחריות

  • מחלקת IT: אחראית על זיהוי פגיעויות טכניות, הערכת הסיכון הנובע מהן, תיקון הליקויים וביצוע מעקב אחר פעולות התיקון.
  • ממונה על אבטחת המידע: אחראי על פיקוח ובקרה על תהליך ניהול הפגיעויות, כולל ביצוע בדיקות תקופתיות וניהול הדיווח להנהלה.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם פועלים בהתאם להנחיות ניהול הפגיעויות ודיווח על כל חשד לפגיעות במערכות שברשותם.

תהליך

1. זיהוי פגיעויות

  • מחלקת IT תבצע סריקות פגיעויות תקופתיות על כל מערכות המידע, התשתיות והיישומים בארגון, תוך שימוש בכלי סריקה ייעודיים ועדכניים.
  • זיהוי הפגיעויות ייעשה גם באמצעות ניתוח דיווחים מיצרני התוכנה, ספקי שירותי אבטחה, ודיווחים פנימיים של העובדים.

2. הערכת סיכון

  • כל פגיעות שתזוהה תוערך על פי רמת הסיכון שלה לארגון, בהתחשב בחומרתה, במידת החשיפה שלה ובפוטנציאל הנזק במקרה של ניצול.
  • הפגיעויות יידרגו לפי סדר עדיפויות, כדי להבטיח טיפול מהיר בפגיעויות הקריטיות ביותר.

3. תיקון פגיעויות

  • מחלקת IT תיישם תיקונים (patches), עדכוני תוכנה ושאר פעולות לתיקון הפגיעויות שזוהו, תוך התחשבות בשיקולי אבטחה ותפעול.
  • יש לתעד כל פעולה שננקטה לתיקון פגיעות, כולל התאריך, השיטה שנבחרה והמערכות שהושפעו.

4. מעקב ובקרה

  • לאחר יישום התיקונים, יש לבצע סריקות חוזרות כדי לוודא שהפגיעות טופלו בהצלחה ושלא נותרו ליקויים נוספים.
  • מחלקת IT תנהל מעקב אחר כל הפגיעויות שזוהו, תוקנו, או נמצאות בתהליך תיקון, ותדווח על כך לממונה על אבטחת המידע.

5. דיווח להנהלה

  • ממונה על אבטחת המידע יכין דו"חות תקופתיים על מצב ניהול הפגיעויות בארגון, כולל מספר הפגיעויות שזוהו, דרגת חומרתן, והמצב הנוכחי של התיקונים.
  • הדיווחים יועברו להנהלת הארגון לצורך קבלת החלטות ולקביעת סדרי עדיפויות באבטחת המידע.

6. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים על זיהוי פגיעויות אפשריות במערכות שברשותם, על תהליך הדיווח למחלקת IT ועל החשיבות של תיקון פגיעויות בזמן.
  • ההדרכה תכלול גם הנחיות לשימוש בטוח במערכות המידע והציוד, במטרה למנוע יצירת פגיעויות חדשות.

7. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי ניהול הפגיעויות, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שהנהלים מעודכנים ומיושמים בפועל על ידי כל הצוותים הרלוונטיים.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לניהול פגיעויות טכניות, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.