A.5.16 ניהול זהויות

מטרה

מטרת הנוהל היא להבטיח ניהול נכון של זהויות דיגיטליות בארגון, כדי להגן על מידע ומשאבים מפני גישה בלתי מורשית ולמנוע איומים הקשורים לניהול זהויות.

תחום יישום

הנוהל חל על כל מערכות ניהול זהויות בארגון, לרבות זהויות של עובדים, קבלנים, ספקים, משתמשים חיצוניים וכל גורם אחר שיש לו גישה למערכות הארגון.

הגדרות

ניהול זהויות: תהליך המאפשר את יצירת, ניהול ומחיקה של זהויות דיגיטליות בארגון.
זהות דיגיטלית: אוסף של נתונים המזהים משתמש או גורם מסוים ומאפשרים את הזיהוי וההרשאות שלו במערכות הארגון.
משתמש מורשה: כל אדם או מערכת שיש להם הרשאה לגשת למערכות או למידע בארגון באמצעות זהות דיגיטלית.

אחריות

ממונה אבטחת מידע: אחראי על פיתוח, ניהול ובקרה של נוהל ניהול הזהויות.
מנהלי מערכות: אחראים על יישום הנוהל בניהול זהויות במערכות שבאחריותם.
עובדי הארגון ומשתמשים חיצוניים: אחראים על שמירת הנתונים של זהותם הדיגיטלית בצורה מאובטחת ועל שימוש נכון בהרשאות שניתנו להם.

תהליך

1. יצירת זהויות

כל זהות דיגיטלית חדשה תיווצר רק על ידי גורם מוסמך בארגון, בהתאם לתפקיד ולצרכים של המשתמש.
תהליך יצירת זהויות יכלול אימות זהות פיזית או דיגיטלית של המשתמש לפני הקמת החשבון הדיגיטלי.
יש לקבוע את רמת ההרשאות המתאימה לכל זהות בהתאם לתפקיד של המשתמש בארגון.

2. ניהול זהויות

זהויות דיגיטליות ינוהלו באמצעות מערכת מרכזית לניהול זהויות (Identity Management System - IDM).
כל שינוי בהרשאות או במידע הקשור לזהות דיגיטלית יבוצע על ידי גורם מוסמך בלבד.
יש לוודא שמערכת ניהול הזהויות מנטרת ומעדכנת את הרשאות המשתמשים בהתאם לשינויים בתפקיד או בסיום ההתקשרות עם הארגון.

3. ביטול והסרת זהויות

עם סיום ההתקשרות עם הארגון, או כאשר אין עוד צורך בהרשאות מסוימות, יש לבטל או למחוק את הזהות הדיגיטלית של המשתמש באופן מיידי.
תהליך ביטול זהויות יכלול ווידוא שהגישה לכל המערכות והמידע המסונפים לזהות זו תסתיים.
יש לתעד כל תהליך ביטול או מחיקה של זהות לצורכי מעקב ובקרה.

4. בקרת גישה מבוססת זהות

כל גישה למערכות הארגון תתבסס על אימות זהות דיגיטלית של המשתמש.
מערכת ניהול הזהויות תפעיל מנגנונים מתקדמים של אימות זהות, כגון אימות דו-שלבי (2FA) או שימוש באמצעי ביומטרי, בהתאם לרמת הסיכון ולרגישות המידע.

5. ניטור ודיווח

מערכת ניהול הזהויות תנטר את הפעילות של זהויות דיגיטליות על בסיס קבוע, כדי לזהות פעילות חריגה או חשודה.
אירועים חריגים ידווחו לממונה אבטחת מידע באופן מיידי ויטופלו בהתאם לנוהל ניהול אירועי אבטחת מידע.

6. הדרכה והכשרה

כל העובדים יקבלו הדרכה תקופתית על ניהול זהויות, כולל שמירה על פרטי הזהות הדיגיטלית שלהם והימנעות מחשיפת המידע לגורמים בלתי מורשים.
ההדרכות יכללו נושאים כמו יצירת סיסמאות חזקות, זיהוי ניסיונות דיוג, ושימוש בטוח במערכות הארגון.

7. ביקורת ובקרה

הארגון יבצע ביקורות תקופתיות על יישום הנוהל לניהול זהויות, כדי לוודא שהנהלים מיושמים בצורה נכונה ויעילה.
הביקורת תכלול בחינת תהליכי יצירה, ניהול וביטול זהויות, וכן סקירת דוחות ניטור.

הערות

הנוהל יעודכן בהתאם לשינויים טכנולוגיים, חקיקה, או סיכונים חדשים שעלולים להשפיע על ניהול הזהויות בארגון.

מטרה​

תחום יישום​

הגדרות​

אחריות​

תהליך​

1. יצירת זהויות​

2. ניהול זהויות​

3. ביטול והסרת זהויות​

4. בקרת גישה מבוססת זהות​

5. ניטור ודיווח​

6. הדרכה והכשרה​

7. ביקורת ובקרה​

הערות​