דלג לתוכן הראשי

A.8.33 מידע במהלך בדיקות

מטרה

מטרת הנוהל היא להבטיח שהשימוש במידע במהלך בדיקות נעשה בצורה מאובטחת, תוך שמירה על סודיות, שלמות וזמינות המידע, ומניעת שימוש לרעה במידע רגיש או חשיפה לא מורשית שלו.

תחום יישום

הנוהל חל על כל הבדיקות המבוצעות במערכות, יישומים ותשתיות בארגון, כולל בדיקות תוכנה, בדיקות תפקודיות, בדיקות אבטחה ובדיקות ביצועים, בכל שלבי מחזור החיים של הפיתוח והתחזוקה.

הגדרות

  • מידע במהלך בדיקות: כל מידע המשמש לצורך בדיקות של מערכות ויישומים, כולל נתוני דמה (Dummy Data), נתוני ייצור מוגנים ונתונים רגישים שעשויים להיכלל בתהליך הבדיקה.
  • בדיקות: תהליך של בדיקת תקינות, תפקודיות, אבטחה וביצועים של מערכות ויישומים, המתבצע על מנת לוודא את עמידותם ותקינותם לפני או אחרי פריסה בסביבת הייצור.

אחריות

  • מחלקת הפיתוח: אחראית על ניהול וביצוע הבדיקות, כולל טיפול במידע רגיש בצורה מאובטחת במהלך תהליך הבדיקה.
  • ממונה על אבטחת המידע: אחראי לפקח על תהליך השימוש במידע במהלך בדיקות, לוודא שהשימוש במידע עומד בדרישות האבטחה של הארגון ולבצע הערכות סיכונים.
  • מנהלי פרויקטים: אחראים לוודא שהמידע המשמש בבדיקות מוגן ומטופל בהתאם לנוהלי האבטחה של הארגון, ושאין שימוש במידע רגיש ללא אבטחה מתאימה.

תהליך

1. זיהוי וסיווג המידע

  • לפני תחילת הבדיקות, יש לזהות ולסווג את המידע שישמש במהלך הבדיקות, כולל הבחנה בין נתוני דמה, נתוני ייצור מוגנים ונתונים רגישים.
  • יש להימנע ככל האפשר משימוש במידע ייצור במהלך הבדיקות. במידה שנדרש שימוש בנתוני ייצור, יש לוודא שהנתונים עברו תהליך אנונימיזציה או הצפנה.

2. הגדרת דרישות אבטחה

  • ממונה על אבטחת המידע, בשיתוף עם מחלקת הפיתוח, יגדיר את דרישות האבטחה לשימוש במידע במהלך הבדיקות, כולל הגנות על סודיות ושלמות הנתונים.
  • יש להבטיח שהדרישות כוללות מנגנונים למניעת גישה לא מורשית למידע במהלך הבדיקות ושמירה על סודיות הנתונים.

3. שימוש בנתוני דמה

  • יש להשתמש בנתוני דמה ככל האפשר במהלך הבדיקות כדי להימנע משימוש בנתוני ייצור רגישים.
  • נתוני הדמה ייבנו בצורה המדמה את סביבת הייצור, כך שתוצאות הבדיקות יהיו מדויקות ורלוונטיות לסביבה האמיתית.

4. אבטחת נתוני ייצור

  • אם נדרש שימוש בנתוני ייצור רגישים לצורך הבדיקות, יש להבטיח שהנתונים מוגנים על ידי מנגנוני הצפנה ואנונימיזציה, וכי הגישה לנתונים מוגבלת למשתמשים מורשים בלבד.
  • כל גישה לנתוני ייצור במהלך הבדיקות תתועד ותיבקר כדי למנוע שימוש לרעה או חשיפה לא מורשית של המידע.

5. תיעוד ודיווח

  • כל שימוש במידע במהלך הבדיקות יתועד, כולל סוג המידע, מטרת השימוש, אמצעי האבטחה שננקטו ותוצאות הבדיקות.
  • דו"חות על השימוש במידע במהלך הבדיקות יועברו למנהלי הפרויקטים ולממונה על אבטחת המידע לצורך מעקב ובקרה.

6. סקירת תהליך הבדיקות

  • לאחר סיום הבדיקות, יש לבצע סקירה של תהליך השימוש במידע, כדי לוודא שהמידע טופל בצורה מאובטחת ושלא היו חשיפות או פגיעות במהלך הבדיקות.
  • כל בעיה או חריגה שזוהתה תתועד ותטופל בהתאם לנהלי האבטחה של הארגון.

7. הדרכת צוותים

  • הארגון יספק הדרכה לצוותי הפיתוח והבדיקות בנוגע לשימוש מאובטח במידע במהלך הבדיקות, כולל הנחיות להגנה על נתונים רגישים ושימוש נכון בנתוני דמה.
  • ההדרכה תכלול גם הכרות עם כלים וטכניקות לאבטחת מידע במהלך הבדיקות, כגון הצפנה ואנונימיזציה של נתונים.

8. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי השימוש במידע במהלך בדיקות, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לשימוש במידע במהלך בדיקות, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.