Skip to main content

A.8.24 שימוש בקריפטוגרפיה

מטרה

מטרת הנוהל היא להבטיח את השימוש בטכנולוגיות קריפטוגרפיה לצורך הגנה על סודיות, שלמות ואותנטיות המידע בארגון, על מנת למנוע גישה לא מורשית למידע רגיש, להגן על נתונים בזמן העברתם ברשת, ולאבטח נתונים המאוחסנים במערכות המידע של הארגון.

תחום יישום

הנוהל חל על כל המערכות, היישומים והתקשורת הארגוניים שבהם נעשה שימוש בטכנולוגיות קריפטוגרפיה, כולל הצפנת נתונים, חתימות דיגיטליות, ותעודות אבטחה.

הגדרות

  • קריפטוגרפיה: שימוש בשיטות הצפנה וחתימות דיגיטליות על מנת להגן על מידע מפני גישה לא מורשית, זיוף או שינוי בלתי מורשה.
  • הצפנה: תהליך שבו מידע קריא מומר למידע מוצפן שלא ניתן לקריאה ללא המפתח המתאים.
  • חתימה דיגיטלית: מנגנון קריפטוגרפי שנועד לאמת את המקוריות והשלמות של מסמך דיגיטלי או הודעה.

אחריות

  • מחלקת IT: אחראית על יישום, תחזוקה וניהול של מנגנוני הקריפטוגרפיה בארגון, כולל הצפנת נתונים, ניהול מפתחות, וניהול תעודות אבטחה.
  • ממונה על אבטחת המידע: אחראי לפקח על השימוש בטכנולוגיות קריפטוגרפיה בארגון, לוודא עמידה בתקנים ובמדיניות הארגון, ולבצע הערכות סיכונים תקופתיות.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם משתמשים בטכנולוגיות הקריפטוגרפיה בצורה מאובטחת ובהתאם לנוהלי הארגון.

תהליך

1. בחירת טכנולוגיות קריפטוגרפיות

  • מחלקת IT, בשיתוף עם ממונה על אבטחת המידע, תבחר בטכנולוגיות הקריפטוגרפיה המתאימות לצרכי הארגון, בהתחשב ברמת הסיכון, סוג המידע הרגיש והדרישות הרגולטוריות.
  • יש לוודא שהשיטות הנבחרות עומדות בתקנים המוכרים בתחום, כגון AES, RSA, SHA-256, SSL/TLS.

2. יישום הצפנת נתונים

  • מחלקת IT תיישם הצפנה על נתונים רגישים המאוחסנים במערכות הארגון, כולל נתונים במאגרי מידע, התקני אחסון ניידים, ומידע המועבר דרך רשתות ציבוריות.
  • יש להבטיח שהנתונים מוצפנים הן במצב של "במנוחה" (Data at Rest) והן בזמן העברה (Data in Transit) באמצעות פרוטוקולים מאובטחים כגון SSL/TLS או IPsec.

3. ניהול מפתחות

  • מחלקת IT תנהל את מפתחות ההצפנה בצורה מאובטחת, כולל יצירה, הפצה, אחסון, חידוש והשמדה של מפתחות הצפנה בהתאם למדיניות הארגון.
  • יש להבטיח שהגישה למפתחות ההצפנה מוגבלת למשתמשים מורשים בלבד, וכי מפתחות ישנים מושמדים בצורה מאובטחת כדי למנוע ניצול לרעה.

4. שימוש בחתימות דיגיטליות

  • מחלקת IT תיישם חתימות דיגיטליות על מסמכים, דוא"ל, ויישומים רגישים כדי להבטיח את המקוריות והשלמות שלהם.
  • יש לוודא שהחתימות הדיגיטליות נוצרות ומאומתות בהתאם לסטנדרטים ולמדיניות הארגון.

5. ניטור ובקרה

  • מחלקת IT תבצע ניטור שוטף של השימוש בטכנולוגיות הקריפטוגרפיה, כולל זיהוי ניסיונות לפרוץ להצפנה, גישה לא מורשית למפתחות, או ניצול לרעה של תעודות אבטחה.
  • כל פעילות חריגה תיבדק על ידי ממונה על אבטחת המידע ויטופל בהתאם לנהלי הארגון.

6. תחזוקה ועדכונים

  • מחלקת IT תוודא שכל מנגנוני הקריפטוגרפיה וההצפנה מעודכנים לגרסאות האחרונות, כולל תיקוני אבטחה והחלפת מפתחות ותעודות שפקעו.
  • יש לבצע תחזוקה שוטפת של המערכות הקריפטוגרפיות, כולל בדיקות תקינות ועדכון הגדרות בהתאם לצרכי הארגון.

7. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים בנוגע לשימוש בטכנולוגיות קריפטוגרפיה, כולל הנחיות לאבטחת מפתחות, שימוש נכון בהצפנה והבנה של החשיבות בשמירה על סודיות הנתונים.
  • ההדרכה תכלול גם מדיניות הארגון לגבי שימוש בקריפטוגרפיה והדרישות לשמירה על אבטחת המידע בזמן השימוש בה.

8. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי השימוש בקריפטוגרפיה, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים ומתקיימים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לשימוש בקריפטוגרפיה, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.