Skip to main content

נוהל: ניהול הרשאות גישה גבוהות A9.2.3

מטרה

מטרת נוהל זה היא להבטיח כי הקצאת ושימוש בהרשאות גישה גבוהות בארגון יהיו מבוקרים, מוגבלים ומנוהלים בצורה מאובטחת, על מנת להגן על נכסי המידע הרגישים של הארגון מפני גישה לא מורשית או שימוש בלתי תקין.

תחום יישום

נוהל זה חל על כל ההרשאות הגישה הגבוהות בארגון, לרבות הרשאות גישה לנכסי מידע רגישים כגון מידע פיננסי, מידע אישי, מידע עסקי סודי, ומערכות ליבה קריטיות.

הגדרות

  • הרשאות גישה גבוהות: הרשאות המאפשרות למשתמשים לבצע פעולות מסוימות בנכסי מידע רגישים, כולל גישה, שינוי, מחיקה או העברת מידע רגיש.
  • נכסי מידע רגישים: נכסי מידע אשר חשיפתם, אובדנם או שינוי בלתי מורשה בהם עלולים לגרום לנזק חמור לארגון, לעובדיו, ללקוחותיו או לשותפיו העסקיים.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות ניהול הרשאות גישה גבוהות בתחום אבטחת המידע בארגון.
  • אחראית על הקצאת המשאבים הדרושים ליישום ומעקב אחר המדיניות.
  • אחראית על סקירת מדיניות זו ויישום שינויים במידת הצורך, בהתאם לדרישות העסקיות והאבטחתיות של הארגון.

ממונה אבטחת מידע:

  • אחראי על יישום המדיניות, כולל ניהול ובקרה על תהליך הקצאת והשימוש בהרשאות גישה גבוהות.
  • אחראי על מתן הדרכה והנחיות למנהלי מחלקות ולעובדים בנוגע לניהול ושימוש בהרשאות גישה גבוהות.
  • אחראי על ביצוע ביקורות תקופתיות ובקרות יומיות על הרשאות הגישה.

מנהלי מחלקות:

  • אחראים על יישום המדיניות במחלקותיהם, בהתאם להנחיות ממונה אבטחת המידע.
  • אחראים על זיהוי הצורך בהרשאות גישה גבוהות למשתמשים תחת אחריותם והגשת בקשות מתאימות.

עובדים:

  • אחראים על השימוש המורשה והנכון בהרשאות הגישה שניתנו להם, בהתאם למדיניות הארגון ולהנחיות ממונה אבטחת המידע.
  • מחויבים לדווח מיידית על כל גישה או שימוש בלתי מורשה בהרשאות גישה גבוהות.

תהליך

1. קביעת הרשאות גישה גבוהות

  • הנהלת הארגון, בשיתוף עם ממונה אבטחת המידע, תגדיר את הקריטריונים להענקת הרשאות גישה גבוהות בארגון.
  • הקריטריונים ייקבעו בהתאם לרגישות נכסי המידע ולפוטנציאל הנזק מגישה בלתי מורשית אליהם.

2. הקצאת הרשאות גישה גבוהות

  • כל בקשה להקצאת הרשאות גישה גבוהות תיבחן ותאושר על ידי ממונה אבטחת המידע, בהתאם לקריטריונים שנקבעו.
  • הרשאות יוענקו למשתמשים על בסיס עקרון המינימום הדרוש (least privilege) והפרדת תפקידים (segregation of duties) כדי למנוע גישה רחבה מדי למידע רגיש.

3. שימוש בהרשאות גישה גבוהות

  • השימוש בהרשאות גישה גבוהות יהיה מבוקר ומוגבל, תוך תיעוד כל הפעולות שנעשו באמצעות הרשאות אלו.
  • יופעלו מנגנוני בקרה נוספים, כגון מעקב אחר פעילות המשתמשים (audit logs) ובדיקות תקופתיות, על מנת להבטיח שימוש נכון ובטוח בהרשאות גישה גבוהות.

הנחיות נוספות

  • תיעוד: החברה תשמור על תיעוד של כל הפעילויות הקשורות לניהול הרשאות גישה גבוהות, כולל בקשות, אישורים, ושימוש בפועל.
  • ביקורות תקופתיות: החברה תבצע ביקורות תקופתיות על תהליך ניהול הרשאות גישה גבוהות, כדי לוודא עמידה במדיניות, ולהתאים את ההרשאות בהתאם לשינויים בארגון או בסיכוני אבטחת המידע.
  • הדרכה: עובדים בעלי הרשאות גישה גבוהות יחויבו לעבור הדרכה מיוחדת בנושא שימוש נכון ובטוח בהרשאות גישה גבוהות, כדי למנוע טעויות וסיכונים אפשריים.