Skip to main content

A.8.5 אימות מאובטח

מטרה

מטרת הנוהל היא להבטיח שכל תהליך אימות במערכות הארגון מתבצע בצורה מאובטחת, כדי להגן על המידע והמשאבים הארגוניים מפני גישה לא מורשית, ולהבטיח את זהות המשתמשים במערכות הארגון.

תחום יישום

הנוהל חל על כל מערכות המידע והיישומים בארגון הדורשים תהליך אימות גישה, כולל מערכות פנימיות, יישומים ענניים, מערכות ניהול נתונים, רשתות, וחשבונות משתמשים.

הגדרות

  • אימות מאובטח: תהליך שבו מאומתת זהותו של משתמש או מערכת באמצעות שילוב של קריטריונים לזיהוי, כגון סיסמה, אימות דו-שלבי, זיהוי ביומטרי, או אמצעי אימות אחרים.
  • אמצעי אימות: טכנולוגיות, כלים ושיטות המשמשים לביצוע תהליך האימות, כגון סיסמאות, תעודות דיגיטליות, טוקנים, ועוד.

אחריות

  • מחלקת IT: אחראית על ניהול תהליכי האימות במערכות הארגוניות, כולל יישום אמצעי אימות מאובטחים, ניטור פעילויות אימות, וביצוע ביקורות תקופתיות.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם משתמשים באמצעי אימות מאובטחים ושומרים על סודיות אמצעי הזיהוי שלהם.
  • כל עובד: אחראי לשמור על אמצעי האימות האישיים שלו ולהשתמש בהם בהתאם להנחיות הארגון.

תהליך

1. בחירת אמצעי אימות

  • תהליך האימות יתבצע בהתאם לרמת הסיכון והרגישות של המידע או המשאבים אליהם מתבצעת הגישה.
  • יש להשתמש באימות דו-שלבי לפחות עבור גישה למידע רגיש או מערכות קריטיות. לדוגמה, שילוב של סיסמה עם קוד שנשלח למכשיר נייד, או עם זיהוי ביומטרי.

2. מדיניות סיסמאות

  • סיסמאות יהיו חזקות ומורכבות, ויכללו שילוב של אותיות גדולות וקטנות, מספרים וסימנים מיוחדים.
  • יש לחייב שינוי סיסמאות באופן תקופתי, ולוודא שהסיסמאות החדשות אינן דומות לסיסמאות קודמות.
  • מחלקת IT תיישם מדיניות סיסמאות מחמירה שתכלול כללים כגון מניעת שימוש בסיסמאות פשוטות, היסטוריית סיסמאות, ונעילת חשבון לאחר מספר ניסיונות כושלים.

3. אימות דו-שלבי

  • יש ליישם אימות דו-שלבי עבור גישה למערכות קריטיות, ובמיוחד עבור גישה מרחוק למערכות הארגון.
  • אמצעי האימות המשני יכול לכלול קוד אימות שנשלח לטלפון נייד, אימות באמצעות אפליקציה ייעודית, או שימוש בטוקנים פיזיים.

4. זיהוי ביומטרי

  • במקרים בהם יש צורך ברמת אבטחה גבוהה, ניתן להשתמש בזיהוי ביומטרי כגון טביעות אצבע, זיהוי פנים או זיהוי קול כתהליך אימות נוסף.
  • כל שימוש בזיהוי ביומטרי ייעשה בהתאם למדיניות הארגון ולדרישות רגולטוריות הנוגעות לפרטיות והגנה על נתונים אישיים.

5. ניטור ובקרת תהליכי אימות

  • מחלקת IT תבצע ניטור שוטף של תהליכי האימות במערכות הארגון, כולל מעקב אחר ניסיונות גישה כושלים ופעילות חשודה.
  • כל חריגה או ניסיון גישה לא מורשית ייבחנו מידית ויטופלו בהתאם לנהלי הארגון.

6. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים בנושא חשיבות האימות המאובטח, שיטות עבודה מומלצות לשמירה על סיסמאות ואמצעי אימות אחרים, וכיצד לזהות ניסיונות דיוג והתחזות.
  • ההדרכה תכלול גם את דרכי הדיווח במקרה של חשד לגניבת זהות או שימוש לרעה באמצעי האימות.

7. ביקורות תקופתיות ועדכון נהלים

  • הארגון יבצע ביקורות תקופתיות על תהליכי האימות ואמצעי האימות הנמצאים בשימוש, ויעדכן אותם בהתאם לשינויים בטכנולוגיה, סיכונים חדשים או דרישות רגולטוריות.
  • מחלקת IT תוודא שכל אמצעי האימות עומדים בסטנדרטים העדכניים ביותר לאבטחת מידע.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לאימות מאובטח, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.