A.5.17 פרטי אימות

מטרה

מטרת הנוהל היא להבטיח כי פרטי האימות (Credentials) של המשתמשים יישמרו וינוהלו בצורה מאובטחת, כדי להגן על מערכות המידע והנכסים הדיגיטליים של הארגון מפני גישה בלתי מורשית.

תחום יישום

הנוהל חל על כל מערכות המידע של הארגון ועל כל פרטי האימות, כולל סיסמאות, תעודות דיגיטליות, מפתחות הצפנה ופרטי אימות ביומטריים.

הגדרות

פרטי אימות (Credentials): מידע המשמש לאימות זהות של משתמשים או מערכות, כגון סיסמאות, תעודות דיגיטליות, מפתחות הצפנה, ואמצעי זיהוי ביומטריים.
סיסמא: מחרוזת תווים המשמשת לאימות זהות המשתמש.
תעודה דיגיטלית: קובץ המונפק על ידי רשות מאשרת (CA) המאמת את זהות המחזיק בו.
מפתח הצפנה: ערך המשמש להצפנה או לפענוח מידע.

אחריות

ממונה אבטחת מידע: אחראי על פיתוח וניהול הנוהל.
מנהלי מערכות: אחראים על יישום הנוהל בניהול פרטי האימות במערכות שבאחריותם.
משתמשים: אחראים לשמור על סודיות פרטי האימות שלהם ולהימנע משימוש בלתי הולם בהם.

תהליך

1. יצירה וניהול של סיסמאות

כל הסיסמאות ייווצרו בהתאם למדיניות הארגון, הכוללת דרישות לסיבוכיות (Complexity), אורך מינימלי ותוקף.
סיסמאות לא יישמרו בצורה גלויה (plaintext) בשום מקום. יש להשתמש באלגוריתמים להצפנה או האש (hashing) לצורך שמירה על סיסמאות.
משתמשים יידרשו להחליף סיסמאות בפרקי זמן קבועים שנקבעו על ידי הארגון, בהתאם למדיניות אבטחת המידע.

2. ניהול תעודות דיגיטליות ומפתחות הצפנה

תעודות דיגיטליות ינוהלו על ידי מערכת לניהול תעודות (Public Key Infrastructure - PKI), ויהיו כפופות למדיניות תוקף וחידוש קבועה.
מפתחות הצפנה ינוהלו על ידי מערכות מאובטחות המתאימות לאופי המידע שהם מגינים עליו. יש לקבוע מדיניות עבור אורך חיי מפתחות הצפנה ואחסונם.
גישה למפתחות הצפנה תהיה מוגבלת לאנשים מורשים בלבד, ויש לבצע תיעוד מלא של גישה זו.

3. אימות דו-שלבי (2FA)

היכן שניתן, יופעל אימות דו-שלבי (Two-Factor Authentication - 2FA) כדי להוסיף שכבת אבטחה נוספת. האימות יכול להתבצע באמצעות אמצעי כגון הודעת SMS, אפליקציית אימות או מכשיר פיזי (token).
כל משתמש המחזיק פרטי אימות רגישים או גישה למערכות קריטיות יחויב להפעיל אימות דו-שלבי.

4. אחסון ושיתוף פרטי אימות

פרטי אימות לא יישמרו או ישותפו בצורה לא מאובטחת, לרבות במיילים או בטפסים לא מוצפנים.
כל פרטי האימות יאוחסנו במערכות מאובטחות בלבד, כגון מערכות לניהול סיסמאות או התקנים מאובטחים המיועדים לכך.
חל איסור מוחלט על שיתוף סיסמאות בין משתמשים. כל משתמש אחראי לשמור על פרטיות פרטי האימות שלו.

5. ניטור ותחזוקה

מערכת לניהול סיסמאות תבצע מעקב אחר שימוש בפרטי אימות ותזהה ניסיונות גישה בלתי מורשים.
דיווחים על שימוש בלתי הולם או על חשד לפגיעה בפרטי אימות יטופלו מיידית, תוך שינוי סיסמאות ופגיעה בזכויות גישה לפי הצורך.

6. הדרכה והכשרה

הארגון יספק הדרכה תקופתית לעובדים על חשיבות שמירת סודיות פרטי האימות ואמצעי הזהירות שיש לנקוט לשמירתם.
ההדרכה תכלול תרחישים לניהול סיסמאות, זיהוי איומים הקשורים לאימות, ופעולות שיש לנקוט במקרה של חשד לחשיפת פרטי אימות.

7. ביקורת ובקרה

הארגון יבצע ביקורות תקופתיות על יישום הנוהל לניהול פרטי אימות, כדי לוודא שהנהלים נאכפים ויעילים.
במקרים של זיהוי ליקויים, תבוצע פעולה מיידית לתיקון המצב ולהבטחת עמידה בדרישות האבטחה של הארגון.

הערות

הנוהל יעודכן בהתאם להתפתחויות טכנולוגיות, שינויים ברגולציה, או זיהוי סיכונים חדשים שעלולים להשפיע על ניהול פרטי אימות בארגון.

מטרה​

תחום יישום​

הגדרות​

אחריות​

תהליך​

1. יצירה וניהול של סיסמאות​

2. ניהול תעודות דיגיטליות ומפתחות הצפנה​

3. אימות דו-שלבי (2FA)​

4. אחסון ושיתוף פרטי אימות​

5. ניטור ותחזוקה​

6. הדרכה והכשרה​

7. ביקורת ובקרה​

הערות​