A.5.17 פרטי אימות
מטרה
מטרת הנוהל היא להבטיח כי פרטי האימות (Credentials) של המשתמשים יישמרו וינוהלו בצורה מאובטחת, כדי להגן על מערכות המידע והנכסים הדיגיטליים של הארגון מפני גישה בלתי מורשית.
תחום יישום
הנוהל חל על כל מערכות המידע של הארגון ועל כל פרטי האימות, כולל סיסמאות, תעודות דיגיטליות, מפתחות הצפנה ופרטי אימות ביומטריים.
הגדרות
- פרטי אימות (Credentials): מידע המשמש לאימות זהות של משתמשים או מערכות, כגון סיסמאות, תעודות דיגיטליות, מפתחות הצפנה, ואמצעי זיהוי ביומטריים.
- סיסמא: מחרוזת תווים המשמשת לאימות זהות המשתמש.
- תעודה דיגיטלית: קובץ המונפק על ידי רשות מאשרת (CA) המאמת את זהות המחזיק בו.
- מפתח הצפנה: ערך המשמש להצפנה או לפענוח מידע.
אחריות
- ממונה אבטחת מידע: אחראי על פיתוח וניהול הנוהל.
- מנהלי מערכות: אחראים על יישום הנוהל בניהול פרטי האימות במערכות שבאחריותם.
- משתמשים: אחראים לשמור על סודיות פרטי האימות שלהם ולהימנע משימוש בלתי הולם בהם.