דלג לתוכן הראשי

A.5.18 זכויות גישה

מטרה

מטרת הנוהל היא להבטיח כי זכויות הגישה למערכות המידע והנכסים הדיגיטליים של הארגון מנוהלות ומבוקרות בצורה מאובטחת, תוך צמצום הסיכונים הנובעים מגישה בלתי מורשית או שימוש לרעה.

תחום יישום

הנוהל חל על כל מערכות המידע, המערכות הפיזיות, והנכסים הדיגיטליים של הארגון, וכן על כל המשתמשים, לרבות עובדים, קבלנים, וספקים.

הגדרות

  • זכויות גישה: הרשאות שניתנות למשתמשים, המגדירות אילו פעולות הם מורשים לבצע ואילו מידע הם מורשים לגשת אליו במערכות הארגון.
  • ניהול זכויות גישה: תהליך הקצאת, ניטור, ושינוי זכויות הגישה למשתמשים בהתאם לתפקידם ולצרכים שלהם בארגון.
  • משתמשים מורשים: אנשים או ישויות שהוקצתה להם גישה למערכות או למידע בארגון לצורך ביצוע תפקידם.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח וניהול הנוהל.
  • מנהלי מערכות: אחראים על יישום הנוהל וניהול זכויות הגישה במערכות שבאחריותם.
  • מנהלי מחלקות: אחראים על אישור ובקרה של זכויות הגישה לעובדים תחת פיקוחם.
  • משתמשים: אחראים לשימוש נכון בזכויות הגישה שניתנו להם ולהודיע על כל בעיה או חריגה.

תהליך

1. הקצאת זכויות גישה

  • זכויות הגישה יוקצו למשתמשים אך ורק על בסיס הצורך (Principle of Least Privilege), בהתאם לתפקידם ולצרכים המבצעיים שלהם.
  • הקצאת זכויות הגישה תיעשה רק לאחר קבלת אישור ממנהל המחלקה הרלוונטי או מממונה אבטחת המידע.
  • תהליכי הקצאת זכויות הגישה יתועדו במערכת מתאימה, כולל שם המשתמש, ההרשאות שהוקצו ותאריך ההקצאה.

2. ניהול וניטור זכויות גישה

  • מנהלי מערכות יבצעו מעקב שוטף אחר זכויות הגישה שהוקצו, על מנת לוודא שאין גישות חריגות או בלתי מורשות.
  • מנהלי מערכות ומנהלי מחלקות ייבדקו באופן תקופתי את זכויות הגישה המוקצות לעובדים, כדי לוודא התאמה לצרכים המבצעיים הנוכחיים.
  • כל שינוי בזכויות הגישה, כולל ביטול או צמצום של גישות, יתועד במערכת המיועדת לכך.

3. סקירה תקופתית של זכויות גישה

  • הארגון יערוך סקירה תקופתית (לפחות פעם בשנה) של כל זכויות הגישה, כדי לוודא התאמה לעקרון הצורך המבצעי והעדכניות של הרשאות המשתמשים.
  • כל שינוי או עדכון בזכויות הגישה שיימצא לנכון יתבצע מיידית לאחר הסקירה.

4. ביטול זכויות גישה

  • עם סיום העסקתו של עובד, או עם שינוי תפקידו, זכויות הגישה שלו יבוטלו או יעודכנו מידית כדי להתאים לתפקידו החדש או למנוע גישה בלתי מורשית.
  • ביטול זכויות הגישה יתועד במערכת, ויבוצע בדיקה לוודא כי כל ההרשאות הנדרשות בוטלו.

5. גישה חירום

  • במקרים חירום, תינתן גישה זמנית למערכות קריטיות בהתאם להנחיות מוגדרות מראש, ובאישור ממונה אבטחת המידע.
  • לאחר התגברות על מצב החירום, יש לבטל את הגישות הזמניות ולתעד את התהליך.

6. הדרכה והכשרה

  • הארגון יספק הדרכה תקופתית לעובדים על חשיבות ניהול זכויות גישה ואמצעי זהירות שיש לנקוט כדי למנוע גישה בלתי מורשית.
  • ההדרכה תכלול מידע על השימוש הנכון בזכויות גישה ועל הדרכים לדיווח על בעיות או חריגות.

7. ביקורת ובקרה

  • הארגון יבצע ביקורות תקופתיות על יישום הנוהל לניהול זכויות גישה, כדי לוודא שהנהלים נאכפים ויעילים.
  • במקרים של זיהוי ליקויים, תבוצע פעולה מיידית לתיקון המצב ולהבטחת עמידה בדרישות האבטחה של הארגון.

הערות

  • הנוהל יעודכן בהתאם לשינויים טכנולוגיים, שינויים ברגולציה, או זיהוי סיכונים חדשים שעלולים להשפיע על ניהול זכויות גישה בארגון.