דלג לתוכן הראשי

A.8.16 ניטור פעילויות

מטרה

מטרת הנוהל היא להבטיח שכל הפעילויות במערכות המידע של הארגון מנוטרות ומבוקרות בצורה יעילה ומאובטחת, על מנת לזהות אירועים חריגים, איומים פוטנציאליים או ניסיונות גישה לא מורשית, ובכך להגן על נכסי המידע של הארגון.

תחום יישום

הנוהל חל על כל מערכות המידע, היישומים, התשתיות, והציוד בארגון, כולל שרתים, תחנות עבודה, רשתות, יישומים קריטיים ותשתיות ענן.

הגדרות

  • ניטור פעילויות (Activity Monitoring): תהליך שבו מתבצע מעקב, רישום וניתוח של פעילויות משתמשים, מערכות ותהליכים במערכות המידע של הארגון, במטרה לזהות אירועים חריגים או פעילויות חשודות.
  • אירוע חריג: כל פעילות או אירוע במערכת שאינם תואמים את הציפיות, הנהלים או המדיניות של הארגון, וכוללים למשל גישות לא מורשות, שינויי תצורה לא מתוכננים, או כשלי מערכת.

אחריות

  • מחלקת IT: אחראית על יישום תהליכי הניטור, התקנת מערכות ניטור, ניתוח נתונים שוטף וזיהוי פעילויות חריגות במערכות המידע של הארגון.
  • ממונה על אבטחת המידע: אחראי על פיקוח על תהליך הניטור, בחינת הממצאים ואיתור איומים פוטנציאליים או ניסיונות גישה לא מורשית.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם מודעים לחשיבות הניטור ומקפידים לפעול בהתאם למדיניות הארגון.

תהליך

1. תכנון מערכת ניטור

  • מחלקת IT תבצע תכנון של מערכת הניטור, כולל זיהוי סוגי הפעילויות שיש לנטר, תדירות הניטור ואמצעי האחסון והניתוח המתאימים.
  • יש להגדיר את הרכיבים הקריטיים בארגון שבהם יש ליישם ניטור, כגון שרתים, יישומים קריטיים, תשתיות רשת ואמצעי גישה.

2. יישום מנגנוני ניטור

  • מחלקת IT תתקין ותקבע את תצורת מנגנוני הניטור במערכות המידע, כך שיאפשרו מעקב רציף ואפקטיבי אחר פעילויות חשובות ורגישות.
  • יש לוודא שמנגנוני הניטור פועלים בצורה מאובטחת ושלא מתאפשרת גישה לא מורשית למידע שנאסף.

3. ניטור שוטף וניתוח

  • מחלקת IT תבצע ניטור שוטף של כל הפעילויות הרלוונטיות במערכות המידע, תוך שימוש בכלי ניתוח ואיתור אנומליות על מנת לזהות פעילות חריגה או איומים פוטנציאליים.
  • כל פעילות חריגה תיבדק על ידי ממונה על אבטחת המידע ויטופל בהתאם לנהלי הארגון.

4. שמירת נתוני ניטור

  • מחלקת IT תגדיר מדיניות שמירה עבור נתוני הניטור, תוך התחשבות בדרישות רגולטוריות ועסקיות, ותוודא שהנתונים נשמרים לתקופה המתאימה.
  • יש לוודא שנתוני הניטור מאוחסנים בצורה מאובטחת, עם גישה מוגבלת למורשים בלבד.

5. תגובה לאירועים

  • במקרה של זיהוי פעילות חריגה או חשודה, מחלקת IT והממונה על אבטחת המידע יפעלו בהתאם לנהלי הארגון, כולל ביצוע חקירה, תיעוד האירוע, והפעלת אמצעי מניעה נוספים לפי הצורך.
  • כל אירוע ינותח ויתוחקר לצורך שיפור תהליכי הניטור והגברת האבטחה.

6. תיעוד ודיווח

  • מחלקת IT תתעד את כל תהליכי הניטור, כולל ממצאים, אירועים חריגים, ופעולות שננקטו בעקבות הניטור.
  • דו"חות תקופתיים על פעילות הניטור וממצאים יועברו להנהלת הארגון לצורך מעקב ובקרה.

7. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים בנוגע לחשיבות הניטור, השימוש במערכות הניטור והנחיות לפעולה במקרה של זיהוי אירועים חריגים.
  • ההדרכה תכלול גם תהליכים לדיווח על חשד לפעילות לא תקינה ושיטות לשמירה על שלמות ואמינות המידע.

8. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי הניטור, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים ומתקיימים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לניטור פעילויות, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.