לקוחות יקרים שלום רב ,

יחידת ממשל זמין משקיעה מאמצים ואמצעים רבים במטרה להגן על התשתיות והמערכות המתארחות בהן אולם במקביל, מעת לעת, מתגלות חולשות אבטחת מידע חדשות, בנוסף לכך, עולם הפוגענים מתפתח ומאתגר באופן תדיר את אמצעי וגורמי אבטחת המידע וההגנה בסייבר.

במטרה לסכל כל איום לפגיעה במרכיבי אבטחת המידע, כל מערכת המתארחת בתשתיות ממשל זמין (ובכלל זה אתר אינטרנט, שירות רשת או מוצר אחר) חייבת לעבור סקר קוד ובדיקות חדירות (בדיקות חוסן) כתנאי מקדים טרם המעבר לסביבת הייצור .

בדיקות אלו נדרשות גם בכל פעם בה המערכת עוברת שינויים - כגון שדרוג גרסה ו/או הוספת מרכיבים חדשים - וזאת במטרה לוודא כי השינויים לא יצרו פגיעות אבטחת מידע חדשות במערכת.

לאור כל זאת, ובמטרה לשלול הימצאותן של חולשות אבטחת מידע אשר נתגלו לאחרונה והחשופות לפוגענים חדשים :

כל מערכת (ובכלל זה אתר אינטרנט, שירות רשת או מוצר אחר) נדרשת לעבור בדיקות חדירות חוזרות, מדי 24 חודשים, גם אם המערכת לא עברה כל שינוי (כגון שדרוג או הוספת רכיבים חדשים) מאז בדיקות החדירות האחרונות.

זו אינה הנחיה חדשה, היא הופצה והיא מעוגנת במסמכים הבאים:

· בנוהל אירוח והעלאת אתר –

· בנוהל העברת מערכת לבדיקות חדירות.

· במדיניות תחום האירוח של ממשל זמין.

דרישה זו עולה בקנה אחד עם הנחיית רשות התקשוב הממשלתי העוסקת בנושא אבטחת אתרי אינטרנט ממשלתיים.

לאור כל האמור לעיל, לקוחות ממשל זמין המארחים אתרים בתשתיות ממשל זמין מתבקשים לנקוט בצעדים הנדרשים לביצוע בדיקות חדירות חוזרות לאתריהם בהתאם להנחיה זו – במטרה לוודא כי

אתריהם חסינים גם מפני פוגענים חדשים ובמטרה לשלול אפשרות של המצאות חולשות אבטחת מידע אשר נתגלו מאז בדיקות החדירות האחרונות.

יישום הנחיה זו כרוך בעלויות המשתנות בהתאם לגודל, מבנה ומורכבות האתרים שבאחריות כל משרד ויחידת סמך. על כל לקוחות ממשל זמין להערך מבחינה תקציבית ליישום הנחיה זו גם לאורך שנים.

בברכה,

יחידת ממשל זמין

logo

מערך הלקוחות

יחידת ממשל זמין

GovCustomer@cio.gov.il

נתנאל לורך 1, קרית הממשלה, ירושלים