דלג לתוכן הראשי

נוהל: גישה לרשתות ולשירותי רשת A9.1.2

מטרה

מטרת נוהל זה היא להבטיח כי למשתמשים בארגון תינתן גישה אך ורק לשירותים שהם קיבלו עבורם הרשאות שימוש, במטרה להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית ולהבטיח שמירה על סודיות, שלמות וזמינות המידע.

תחום יישום

נוהל זה חל על כל המשתמשים בארגון, לרבות עובדים, לקוחות, ספקים ומבקרים, אשר מקבלים גישה לרשתות ולשירותי הרשת של החברה.

הגדרות

  • רשת: מערכת של מחשבים המחוברים יחד ומאפשרים שיתוף מידע ומשאבים.
  • שירות רשת: שירות המסופק למשתמשים באמצעות רשת, כגון שירות אינטרנט, דואר אלקטרוני, שיתוף קבצים, גישה למאגרי נתונים ועוד.
  • הרשאה: אישור של משתמש לבצע פעולה מסוימת או לגשת למידע או לשירות מסוים.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות גישה לרשתות ולשירותי רשת בתחום אבטחת המידע בחברה.
  • אחראית על הקצאת המשאבים הנדרשים ליישום מדיניות זו, כולל תשתיות, טכנולוגיות ותמיכה ניהולית.
  • אחראית על מעקב שוטף אחר יישום המדיניות וביצוע שינויים במידת הצורך.

ממונה אבטחת מידע:

  • אחראי על יישום המדיניות לגישה לרשתות ולשירותי רשת, כולל פיקוח על תהליכי הענקת הרשאות ובקרת גישה.
  • אחראי על ניהול ופיקוח על אמצעי בקרת הגישה הפיזיים והלוגיים, וביצוע בדיקות תקופתיות להבטחת תאימות המדיניות.

מנהלי מחלקות:

  • אחראים על יישום מדיניות גישה לרשתות ולשירותי רשת במחלקותיהם, בהתאם להנחיות הממונה על אבטחת המידע.
  • אחראים על זיהוי צרכי הגישה של העובדים במחלקתם והגשת בקשות להענקת הרשאות בהתאם.

עובדים:

  • אחראים על יישום המדיניות, כולל שמירה על אמצעי האבטחה וההרשאות שהוקצו להם, ועל דיווח על חריגות או בעיות לממונה על אבטחת המידע.

תהליך

1. זיהוי שירותים

החברה תזהה את כל השירותים הניתנים ברשתות שלה, כולל השירותים הפנימיים והחיצוניים הזמינים למשתמשים.

2. סיווג שירותים

החברה תסווג את השירותים בהתאם לרגישות המידע שהם מכילים או מעבדים, על פי קריטריונים של סודיות, שלמות וזמינות המידע.

3. הענקת הרשאות

החברה תעניק הרשאות גישה לשירותים בהתאם לתפקידו של המשתמש ולצורכיו העסקיים, תוך שמירה על עקרונות המינימום הנדרש (Least Privilege) והפרדת תפקידים (Separation of Duties).

4. בקרת גישה

החברה תיישם מנגנוני בקרת גישה פיזיים ולוגיים, כדי לוודא שלמשתמשים יש גישה רק לשירותים שהם קיבלו עבורם הרשאות, ולמנוע גישה בלתי מורשית.

הנחיות נוספות

  • תיעוד: החברה תשמור על תיעוד של כל הפעילויות הקשורות לגישה לרשתות ולשירותי רשת, כולל תהליכי הענקת הרשאות ושימוש בשירותים.
  • ביקורות תקופתיות: החברה תבצע ביקורות תקופתיות על גישה לרשתות ולשירותי רשת, כדי לוודא שהאמצעים פועלים כנדרש ושאין חריגות במדיניות.

דוגמאות לאמצעי בקרת גישה

  • אימות זהות:

    • אימות זהות משתמשים באמצעות סיסמאות חזקות, קוד PIN, אמצעי אימות דו-גורמי, או זיהוי ביומטרי.

  • הרשאות גישה:

    • הענקת הרשאות בהתאם לתפקיד ולצורכים העסקיים של המשתמש, תוך הקפדה על הגבלת הגישה לרשתות ולשירותים בהתאם לרמת הסיווג.

  • בקרת גישה לרשתות:

    • התקנת חומות אש (Firewalls) להגנה על הרשתות.
    • שימוש במערכות הגנה מתקדמות נגד תוכנות זדוניות (Anti-Malware) והתקפות סייבר.

  • בקרת גישה לשירותי רשת:

    • התקנת תוכנות אנטי-וירוס ותוכנות אבטחה אחרות על המכשירים המתחברים לרשת.
    • שימוש בהצפנת תקשורת ונתונים להעברת מידע רגיש.

שינוי ועדכון

נוהל זה יעודכן מעת לעת בהתאם לשינויים טכנולוגיים, דרישות רגולטוריות חדשות, או שיפורים פנימיים. כל עדכון יופץ לעובדים הרלוונטיים וייושם באופן מיידי.