דלג לתוכן הראשי

A.8.2 זכויות גישה מורשות

מטרה

מטרת הנוהל היא להבטיח שניתנות זכויות גישה רק למשתמשים המורשים ולתפקידים המתאימים בארגון, כדי למנוע גישה לא מורשית למידע ולמערכות הארגוניות, ולהגן על שלמות וסודיות המידע.

תחום יישום

הנוהל חל על כל המערכות, המידע, והנכסים הדיגיטליים של הארגון, כולל שרתים, מסדי נתונים, יישומים, רשתות, וציוד אחר המחייב ניהול גישה מבוקר.

הגדרות

  • זכויות גישה מורשות: רמות גישה מוגדרות מראש הניתנות למשתמשים בהתאם לתפקידם בארגון ולצורכיהם העסקיים.
  • ניהול גישה: תהליך המורכב מהקצאה, תחזוקה, ניטור ובקרה של זכויות גישה למערכות ולמשאבים בארגון.

אחריות

  • מחלקת IT: אחראית על ניהול ובקרה של זכויות הגישה במערכות הארגוניות, כולל הקצאת גישה, ניטור שימוש, וביצוע ביקורות גישה תקופתיות.
  • מנהלים ישירים: אחראים להבטיח שהעובדים בצוותיהם מקבלים רק את זכויות הגישה הנחוצות לביצוע תפקידם, ושזכויות אלה מתעדכנות בהתאם לשינויים בתפקיד.
  • כל עובד: אחראי לשמור על אבטחת הגישה האישית שלו למערכות ולדווח על כל חשד לגישה לא מורשית או שימוש לרעה בזכויות גישה.

תהליך

1. הקצאת זכויות גישה

  • זכויות גישה יוקצו למשתמשים על בסיס עקרון "צורך לדעת" (Need to Know) ו"הרשאה מינימלית" (Least Privilege), במטרה לצמצם את הסיכון לגישה לא מורשית.
  • כל בקשת גישה תיבדק ותאושר על ידי המנהל הישיר של העובד ומחלקת IT בהתאם לנהלי הארגון.

2. תחזוקה ועדכון זכויות גישה

  • מחלקת IT תנהל רישום של כל זכויות הגישה המוקצות בארגון, כולל פרטי המשתמש, תאריך ההקצאה והמערכות אליהן ניתנה גישה.
  • זכויות גישה יעודכנו או יבוטלו בהתאם לשינויים בתפקיד, עזיבת העובד את הארגון, או בהתאם לצרכים העסקיים המשתנים.

3. ניטור ובקרת גישה

  • מחלקת IT תבצע ניטור שוטף של השימוש בזכויות גישה, כולל מעקב אחרי ניסיונות גישה חריגים או חשודים למערכות הארגוניות.
  • כל פעילות חריגה או ניסיון גישה לא מורשית ידווחו לממונה על אבטחת המידע ויטופלו בהתאם לנהלי הארגון.

4. ביקורות תקופתיות

  • מחלקת IT תבצע ביקורות תקופתיות של זכויות הגישה המוקצות, במטרה לוודא שהן תואמות את תפקידם הנוכחי של המשתמשים בארגון.
  • הביקורות יכללו בחינה של הרשאות גישה, הסרת הרשאות שאינן בשימוש, והבטחת עמידה במדיניות האבטחה של הארגון.

5. הכשרה והדרכה

  • הארגון יספק הדרכה לכל העובדים בנושא ניהול זהיר של זכויות גישה, כולל שמירה על סיסמאות, זיהוי איומים, ותהליכי דיווח במקרה של חשד לגישה לא מורשית.
  • ההדרכה תכלול גם עקרונות בסיסיים בניהול סיכונים הקשורים לזכויות גישה ואבטחת מידע.

6. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי זכויות הגישה המורשות, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לזכויות גישה מורשות, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.