נוהל: הליכי חיבור מאובטחים A9.4.2
מטרה
מטרת הנוהל היא להבטיח כי גישה למערכות ואפליקציות בארגון תתאפשר אך ורק דרך הליך התחברות מאובטח, על מנת להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית.
תחום יישום
הנוהל חל על כל המערכות והאפליקציות בארגון, לרבות מערכות ומחשבים מקומיים, מערכות ומחשבים מבוססי ענן, וכן מערכות ואפליקציות של צד שלישי.
הגדרות
- הליך התחברות מאובטח: הליך של אימות זהות מש�תמשים לפני מתן גישה למערכות ואפליקציות.
אחריות
הנהלה:
- אחראית על קביעת מדיניות הליכי חיבור מאובטחים בארגון.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות הליכי חיבור מאובטחים בארגון.
- אחראית על מעקב אחר ביצוע מדיניות הליכי חיבור מאובטחים בארגון.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות הליכי חיבור מאובטחים בארגון.
- אחראי על ניהול תהליך הליכי חיבור מאובטחים בארגון.
מנהלי מחלקות:
- אחראים על יישום מדיניות הליכי חיבור מאובטחים במחלקות שלהם בהתאם להנחיות הממונה על אבטחת המידע.
משתמשים:
- אחראים על עמידה במדיניות הליכי חיבור מאובטחים בארגון.
תהליך
1. קביעת מדיניות הליכי חיבור מאובטחים
הנהלת הארגון תקבע מדיניות הליכי חיבור מאובטחים, אשר תכלול את הנושאים הבאים:
- סוגים של מערכות ואפליקציות המוגנות.
- אופן אימות זהות משתמשים.
- אמצעי אימות זהות מותרים, כגון סיסמאות חזקות, קוד PIN, אמצעי אימות דו-גורמי או זיהוי ביומטרי.
2. יישום מדיניות הליכי חיבור מאובטחים
מדיניות הליכי חיבור מאובטחים תיושם במערכות ואפליקציות בארגון בהתאם להנחיות הממונה על אבטחת המידע. יש להקפיד על בחירת אמצעי האימות המתאימים לכל מערכת בהתאם לרמת הסיכון ולרגישות המידע.
3. ניהול מדיניות הליכי חיבור מאובטחים
מדיניות הליכי חיבור מאובטחים תשמר בהתאם להנחיות הממונה על אבטחת המידע. הממונה יעקוב אחר תקינות האמצעים המיושמים ויבצע התאמות נדרשות במידת הצורך.
הנחיות נוספות
- ביקורת תקופתית: החברה תבצע ביקורות תקופתיות על תהליך הליכי חיבור מאובטחים כדי לוודא את תקינותו ועמידתו במדיניות הארגון.
- תיעוד: החברה תשמור על תיעוד של כל הפעילויות הקשורות להליכי חיבור מאובטחים, לרבות תקלות, תיקונים ועדכוני מדיניות.
נוהל זה נועד להבטיח כי כל גישה למערכות ולאפליקציות של הארגון תתבצע בצורה מאובטחת, תוך שמירה על נכסי המידע של הארגון מפני גישה בלתי מורשית.