נוהל: הפרדת תפקידים לאבטחת מידע A6.1.2
מטרה
מטרת נוהל זה היא להבטיח הפרדה אפקטיבית של תפקידים בנושאי אבטחת מידע בחברת איי.אמ.אס טכנולוגיות, וזאת כדי למזער סיכונים ולמנוע מצבים שבהם לעובד אחד יש שליטה מלאה על תהליך או מערכת אבטחת מידע.
תחום יישום
נוהל זה חל על כל עובדי החברה, לרבות עובדים קבועים, עובדים זמניים, ועובדים בחוזה. כל עובד מחויב לפעול בהתאם להנחיות הנוהל כדי להבטיח את שלמות אבטחת המידע בחברה.
הגדרות
- הפרדת תפקידים: חלוקת משימות וסמכויות בין עובדים שונים במטרה להבטיח שלא יהיה לעובד אחד שליטה מלאה על תהליך או מערכת אבטחת מידע.
- חפיפה בתחומי אחריות: מצב שבו שני עובדים או יותר חולקים אחריות על אותה משימה או מערכת אבטחת מידע, דבר העלול ליצור סיכונים לאירועי אבטחת מידע.
אחריות
הנהלה:
- אחראית על קביעת מדיניות הפרדת תפקידים לאבטחת מידע בחברה.
- אחראית על הקצאת המשאבים הדרושים ליישום מדיניות זו, כולל תקציב, טכנולוגיות וכוח אדם מתאים.
- אחראית על מעקב שוטף אחר יישום מדיניות הפרדת תפקידים ובחינת יעילותה.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות הפרדת תפקידים לאבטחת מידע בחברה.
- אחראי על ביצוע תהליך הערכה מקיף לזיהוי חפיפות בתחומי אחריות ולקיחת צעדים לתיקונן.
- אחראי על ניהול, פיקוח והנחיה בכל הנוגע לחלוקת התפקידים והאחריות בתחומי אבטחת המידע.
עובדים:
- אחראים על יישום מדיניות הפרדת תפקידים במסגרת תפקידם השוטף, ודיווח על כל סתירה או חפיפה העלולה לסכן את אבטחת המידע.
תהליך
1. הערכת חפיפות בתחומי אחריות
הממונה על אבטחת המידע יבצע הערכה שיטתית של חפיפות בתחומי האחריות הקיימים בנושאי אבטחת מידע. תהליך זה יכלול:
- זיהוי תפקידים בהם קיימות חפיפות בתחומי אחריות הקשורות לאבטחת מידע.
- הערכת מידת החפיפה והסיכונים הנלווים לה.
- זיהוי פעולות או אירועים פוטנציאליים העלולים להיגרם כתוצאה מחפיפות אלו.
2. הפחתת חפיפות בתחומי אחריות
בהתבסס על ממצאי ההערכה, הממונה על אבטחת המידע ינקוט בצעדים הבאים להפחתת חפיפות:
- שינוי והבהרת תיאורי תפקידים כדי להקטין את הסיכונים.
- התאמת הרשאות גישה למערכות אבטחת מידע.
- חלוקה מחודשת של תחומי אחריות בין עובדים שונים כדי למנוע שליטה מלאה של עובד אחד על מערכת אבטחת מידע.
3. מעקב ובקרה
הנהלת החברה תבצע מעקב מתמשך אחר יישום מדיניות הפרדת תפקידים, ותוודא את:
- עמידת החברה בהנחיות הנוהל.
- יעילות המדיניות במניעת חפיפות ובשמירה על אבטחת המידע.
- עמידה בדרישות רגולטוריות ושיפור מתמיד של התהליכים הפנימיים.
הנחיות נוספות
- החברה תכין ותשמור רשימה עדכנית של תפקידים בהם קיימת חפיפה בתחומי אחריות ותעדכן אותה מעת לעת בהתאם לצורך.
- כל שינוי במדיניות הפרדת תפקידים יותאם ויופץ באופן ברור לעובדים הרלוונטיים.
דוגמאות לחפיפות בתחומי אחריות
- עובד האחראי על יישום מדיניות אבטחת מידע הוא גם בעל גישה מלאה למערכות אבטחת מידע.
- עובד האחראי על אבטחת רשתות הוא גם בעל גישה למידע רגיש.
- עובד האחראי על ביצוע שינויים במערכת מידע הוא גם בעל גישה למידע רגיש.
הערה
הפרדת תפקידים היא אחד מהאמצעים המרכזיים להבטחת הגנה על נכסי המידע של הארגון. יישום נכון של הפרדת תפקידים מונע מצב שבו עובד יחיד שולט על תהליך או מערכת אבטחת מידע, ובכך מקטין את הסיכון לאירועי אבטחת מידע.