נוהל: עקרונות הנדסת מערכות מאובטחות A14.2.5

מטרה

מטרת הנוהל היא להבטיח כי עקרונות הנדסת מערכות מאובטחות יבוססו, יתועדו, יתוחזקו וייושמו לכל מערכות המידע של הארגון, על מנת למזער את הסיכונים לאבטחת המידע ולשמור על יציבות וביצועים אופטימליים של מערכות המידע.

תחום יישום

הנוהל חל על כל מערכות המידע של הארגון, לרבות מערכות תוכנה, מערכות חומרה, מערכות רשתות ומערכות שילוב שונות.

הגדרות

עקרונות הנדסת מערכות מאובטחות: סט של כללים ומדיניות המגדירים את הדרכים הטובות ביותר לבנות מערכות מידע מאובטחות, תוך שמירה על סודיות, שלמות וזמינות המידע.
הנדסת מערכות מאובטחות: תהליך של תכנון, פיתוח, הטמעה ותחזוקה של מערכות מידע מאובטחות, תוך שילוב אמצעי אבטחת מידע בכל שלב של מחזור החיים של המערכת.

אחריות

הנהלה:

אחראית על קביעת מדיניות עקרונות הנדסת מערכות מאובטחות.
אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו, כולל הדרכה ומשאבים טכניים.
אחראית על מעקב אחר ביצוע מדיניות זו, כולל ביצוע ביקורות פנימיות.

ממונה אבטחת מידע:

אחראי על יישום מדיניות עקרונות הנדסת מערכות מאובטחות.
אחראי על ניהול תהליך יישום מדיניות זו, כולל ביצוע סקרי סיכונים וסקירות תקופתיות.

מנהלי מערכות:

אחראים על יישום מדיניות עקרונות הנדסת מערכות מאובטחות בכל שלבי מחזור החיים של המערכות, כולל תכנון, פיתוח, הטמעה, ותפעול שוטף.

תהליך

1. קביעת מדיניות עקרונות הנדסת מערכות מאובטחות

הנהלת הארגון תקבע מדיניות עקרונות הנדסת מערכות מאובטחות, אשר תכלול את הנושאים הבאים:

מטרות מדיניות עקרונות הנדסת מערכות מאובטחות: הבטחת סודיות, שלמות וזמינות המידע בכל שלבי מחזור החיים של המערכת.
תחום יישום המדיניות: הגדרת סוגי מערכות המידע והטכנולוגיות שעליהם תחול המדיניות.
עקרונות הנדסת מערכות מאובטחות: תיאור הכללים והנחיות ליישום אבטחת מידע בתהליכי ההנדסה.

2. אימוץ מדיניות עקרונות הנדסת מערכות מאובטחות

מנהלי מערכות יאמצו את מדיניות עקרונות הנדסת מערכות מאובטחות, על ידי:

פיתוח נהלים פנימיים: יצירת נהלים מפורטים ומסמכים טכניים שיתאימו למדיניות הכללית ויהוו כלי עבודה יומיומי לעובדים.
התאמת מסמכים קיימים: עדכון נהלים קיימים בהתאם לעקרונות החדשים.

3. יישום מדיניות עקרונות הנדסת מערכות מאובטחות

מנהלי מערכות יפעלו ליישום מדיניות עקרונות הנדסת מערכות מאובטחות, על ידי:

הדרכת עובדים: הדרכת צוותי הפיתוח והתפעול בנוגע לכללים ולעקרונות הנדסת מערכות מאובטחות.
ביצוע בדיקות אבטחה: בדיקות קפדניות בכל שלב של הפיתוח וההטמעה, כולל סקירות קוד, בדיקות חדירה וסקרי סיכונים.

4. מעקב אחר יישום מדיניות עקרונות הנדסת מערכות מאובטחות

הנהלת הארגון תבצע מעקב אחר יישום מדיניות עקרונות הנדסת מערכות מאובטחות, על מנת לוודא שהיא מיושמת כראוי:

ביצוע ביקורות תקופתיות: סקרי סיכונים ובדיקות תקופתיות לבחינת יישום המדיניות.
ניתוח ממצאים: סקירת ממצאים מהביקורות והטמעת שיפורים ותיקונים בהתאם.

מטרה​

תחום יישום​

הגדרות​

אחריות​

הנהלה:​

ממונה אבטחת מידע:​

מנהלי מערכות:​

תהליך​

1. קביעת מדיניות עקרונות הנדסת מערכות מאובטחות​

2. אימוץ מדיניות עקרונות הנדסת מערכות מאובטחות​

3. יישום מדיניות עקרונות הנדסת מערכות מאובטחות​

4. מעקב אחר יישום מדיניות עקרונות הנדסת מערכות מאובטחות​