דלג לתוכן הראשי

A.5.15 בקרת גישה

מטרה

מטרת הנוהל היא להבטיח כי גישה למידע, מערכות מידע, ומשאבי הארגון תינתן רק לגורמים מורשים, בהתאם לעקרונות של סודיות, שלמות, וזמינות, וכי הגישה תתבצע על פי הצורך בלבד (Principle of Least Privilege).

תחום יישום

הנוהל חל על כל הגורמים בארגון אשר יש להם גישה למידע, מערכות מידע, ותשתיות הארגון, כולל עובדים, קבלנים, וספקים.

הגדרות

  • בקרת גישה: תהליך של מתן או מניעת גישה למידע, מערכות, ומשאבים בארגון, בהתאם להרשאות שנקבעו.
  • גורם מורשה: אדם או מערכת שיש להם הרשאה מוגדרת לגשת למידע או למערכות מסוימות בהתאם לתפקידם בארגון.
  • Principle of Least Privilege: עקרון לפיו גישה למידע או למערכות ניתנת רק לצורך ביצוע משימות מסוימות, ורק למידע או מערכות הדרושים לכך.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח, ניהול ובקרת הנוהל לבקרת גישה.
  • מנהלי מערכות: אחראים על יישום הנוהל במערכות שבאחריותם, ועל ווידוא כי הגישה למערכות ניתנת רק למורשים.
  • עובדי הארגון: אחראים על שימוש בגישה רק לצורך ביצוע תפקידם, ובהתאם להנחיות הנוהל.

תהליך

1. קביעת מדיניות בקרת גישה

  • הארגון יגדיר מדיניות בקרת גישה שתכלול הנחיות להקצאת גישה, ניהול הרשאות, וניטור גישה למידע ולמערכות.
  • המדיניות תקבע את העקרונות והנהלים להקצאת הרשאות על פי התפקידים השונים בארגון.

2. הקצאת גישה

  • גישה למידע, מערכות, ומשאבים תינתן אך ורק על פי הרשאות שנקבעו מראש, בהתאם לתפקיד ולצורך.
  • כל גישה חדשה תדרוש אישור על ידי מנהל הישיר של העובד ו/או מנהל המערכות האחראי.
  • גישה למידע רגיש תינתן רק לאחר סיום תהליך אימות זהות ו/או הדרכה מתאימה.

3. ניהול הרשאות

  • הרשאות גישה ייבדקו באופן תקופתי, ויתוקנו בהתאם לשינויים בתפקידים או בצרכים של הארגון.
  • הרשאות מיותרות או בלתי נדרשות יבוטלו מיידית.
  • תהליך עדכון הרשאות יכלול ביקורת ואימות על מנת לוודא שאין הרשאות מיותרות או בלתי מורשות.

4. בקרת גישה פיזית

  • גישה פיזית למקומות עבודה, מרכזי נתונים, ומתקני עיבוד מידע תינתן אך ורק למורשים, באמצעות כרטיסי גישה, קודים אישיים, או אמצעי אימות אחרים.
  • מערכת בקרת גישה פיזית תתעד ותנטר כל גישה לאזורים רגישים.

5. ניטור ובקרת גישה

  • הגישה למידע ולמערכות תתועד ותנוטר על בסיס קבוע, כדי לזהות ניסיונות גישה בלתי מורשים או פעילות חריגה.
  • מערכת ניטור הגישה תפיק דוחות תקופתיים שייבדקו על ידי ממונה אבטחת מידע ומנהלי המערכות.

6. ניהול אירועים חריגים

  • כל אירוע חריג הקשור לגישה בלתי מורשית ידווח לממונה אבטחת מידע ויטופל בהתאם לנוהל ניהול אירועי אבטחת מידע.
  • הארגון ינקט באמצעים מתקנים, כולל עדכון בקרות גישה, הדרכות נוספות, ושיפורים במערכת אבטחת המידע.

7. הדרכה והכשרה

  • כל העובדים יקבלו הדרכה תקופתית על נהלי בקרת הגישה, כולל עקרונות הסודיות והצורך להקפיד על שמירת מידע ומערכות מאובטחים.
  • ההדרכות יכללו סקירה של התהליך, ניהול הרשאות, ודיווח על פעילות חריגה.

8. ביקורת ובקרה

  • הארגון יבצע ביקורת תקופתית על יישום הנוהל לבקרת גישה, כדי לוודא שהנהלים מיושמים בצורה נכונה ויעילה.
  • ביקורות יכללו בחינת הרשאות, סקירת דוחות ניטור, ואימות מדיניות בקרת גישה מול הנעשה בפועל.

הערות

  • הארגון יעדכן את נהלי בקרת הגישה בהתאם לשינויים בטכנולוגיה, חקיקה, או סיכונים חדשים.