שרת
1. סקירה כללית
שרתים לא מאובטחים ופגיעים ממשיכים להיות נקודת כניסה עיקרית לשחקנים זדוניים. מדיניות התקנת שרתים עקבית, בעלות וניהול תצורה הם כלים קריטיים לביצוע נכון של יסודות האבטחה.
2. מטרה
מטרת מדיניות זו היא לקבוע סטנדרטים לתצורה הבסיסית של ציוד שרתים פנימיים בבעלות ו/או בהפעלה של איי.אמ.אס טכנולוגיות. יישום אפקטיבי של מדיניות זו יפחית את הגישה הבלתי מורשית למידע וטכנולוגיה קנייניים של החברה.
3. תחום יישום
כל העובדים, הקבלנים, היועצים, העובדים הזמניים והעובדים האחרים באיי.אמ.אס טכנולוגיות ובחברות הבת שלה חייבים לפעול בהתאם למדיניות זו. מדיניות זו חלה על ציוד שרתים בבעלות, הפעלה או השכרה של החברה או על ציוד הרשום תחת דומיין פנימי של רשת החברה.
4. מדיניות
4.1 דרישות כלליות
4.1.1 כל השרתים הפנימיים המותקנים בחברה חייבים להיות בבעלות קבוצת תפעול האחראית על ניהול המערכת. קבוצות התפעול חייבות להקים ולתחזק מדריכי תצורה מאושרים לשרתים על בסיס צרכים עסקיים, ובהסכמת צוות אבטחת המידע (InfoSec). על קבוצות התפעול לנטר את עמידת התצורה וליישם מדיניות חריגות מותאמת לסביבתן. כל קבוצת תפעול חייבת להקים תהליך לשינוי מדריכי התצורה, הכולל סקירה ואישור על ידי צוות אבטחת המידע. יש לעמוד בפריטים הבאים:
- שרתים חייבים להיות רשומים במערכת ניהול הארגון. המידע הבא נדרש לכל הפחות לזיהוי ודאי של איש הקשר:
- איש קשר ומיקום השרת, ואיש קשר חלופי.
- חומרה ומערכת הפעלה/גרסה.
- פונקציות ראשיות ויישומים, אם ישנם.
- יש לשמור על עדכניות המידע במערכת ניהול הארגון.
- שינויים בתצורת שרתי ייצור חייבים לפעול בהתאם לנהלי ניהול השינויים המתאימים.
4.1.2 למטרות אבטחה, ציות ותחזוקה, אנשי צוות מורשים רשאים לנטר ולבקר ציוד, מערכות, תהליכים ותעבורת רשת בהתאם למדיניות הביקורת.
4.2 דרישות תצורה
4.2.1 תצורת מערכת ההפעלה צריכה להיות בהתאם להנחיות המאושרות של צוות אבטחת המידע.
4.2.2 יש להשבית שירותים ויישומים שלא ייעשה בהם שימוש, ככל שניתן.
4.2.3 יש לתעד גישה לשירותים ו/או להגן עליהם באמצעות שיטות בקרת גישה כמו חומת אש של יישום ווב, אם אפשרי.
4.2.4 יש להתקין את טלאי האבטחה העדכניים ביותר במערכת מוקדם ככל הניתן, פרט למקרים שבהם יישום מיידי יפריע לדרישות עסקיות.
4.2.5 יחסי אמון בין מערכות מהווים סיכון אבטחה, ויש להימנע משימוש בהם. אין להשתמש ביחסי אמון כאשר שיטת תקשורת אחרת מספיקה.
4.2.6 תמיד יש להשתמש בעקרונות האבטחה הסטנדרטיים של גישה מינימלית הנדרשת לביצוע תפקיד. אין להשתמש ב-root כאשר חשבון לא-פריבילגי יספיק.
4.2.7 אם קיימת שיטה לחיבור ערוץ מאובטח (כלומר, טכנית אפשרית), יש לבצע גישה פריבילגית דרך ערוצים מאובטחים (כגון חיבורי רשת מוצפנים באמצעות SSH או IPSec).
4.2.8 שרתים צריכים להיות ממוקמים פיזית בסביבה מבוקרת גישה ומאובטחת.
4.2.9 אסור בהחלט להפעיל שרתים מאזורי עבודה שאינם מבוקרים או מאובטחים.
4.3 ניטור
4.3.1 כל האירועים הקשורים לאבטחה במערכות קריטיות או רגישות חייבים להיות מתועדים ורישומי הביקורת נשמרים כדלקמן:
- כל רישומי האבטחה יישמרו באופן מקוון לפחות למשך שבוע אחד.
- גיבויי סרט יומיים מצטברים יישמרו לפחות למשך חודש אחד.
- גיבויי סרט מלאים שבועיים של רשומות יישמרו לפחות למשך חודש אחד.
- גיבויים מלאים חודשיים יישמרו לפחות למשך שנתיים.
4.3.2 אירועים הקשורים לאבטחה יועברו לצוות אבטחת המידע שיבדוק את הרשומות וידווח על תקריות להנהלת IT. ייקבעו אמצעים מתקנים לפי הצורך. אירועים הקשורים לאבטחה כוללים, אך אינם מוגבלים ל:
- מתקפות סריקת פורטים.
- עדויות לגישה בלתי מורשית לחשבונות פריבילגיים.
- התרחשויות חריגות שאינן קשורות ליישומים ספציפיים על השרת.
5. עמידה במדיניות
5.1 מדידת עמידה
צוות אבטחת המידע יבדוק עמידה במדיניות זו באמצעות שיטות שונות, כולל אך לא מוגבל לדוחות כלים עסקיים, ביקורות פנימיות וחיצוניות, ומשוב לבעל המדיניות.
5.2 חריגות
כל חריגה מהמדיניות חייבת לקבל אישור מראש מצוות אבט חת המידע.
5.3 אי-ציות
עובד שיימצא כי הפר את המדיניות עשוי להיות כפוף לפעולות משמעתיות, עד ובכלל סיום העסקתו.