A.8.3 הגבלת גישה למידע

מטרה

מטרת הנוהל היא להבטיח שהגישה למידע ארגוני מוגבלת אך ורק לאנשים מורשים, כדי להגן על סודיות, שלמות וזמינות המידע, ולמנוע גישה לא מורשית או שימוש לרעה בנתונים הארגוניים.

תחום יישום

הנוהל חל על כל המידע הארגוני, כולל מידע המאוחסן במערכות מידע, מסדי נתונים, קבצים, מערכות ענן וכל מדיה אחרת שבה נשמר מידע.

הגדרות

גישה למידע: הרשאה שניתנת לעובד, קבלן או ספק לגשת למידע ארגוני במסגרת תפקידו או לפי הצורך העסקי.
הגבלת גישה למידע: פעולות שננקטות כדי להבטיח שרק אנשים מורשים יוכלו לגשת למידע רגיש, תוך שימוש בבקרות גישה מתאימות.

אחריות

מחלקת IT: אחראית על ניהול ובקרה של הגישה למידע הארגוני, כולל הקצאת הרשאות, ניהול גישה וניטור שימוש במידע.
מנהלים ישירים: אחראים להבטיח שהצוותים שלהם מקבלים גישה למידע רק בהתאם לצרכים העסקיים ובמסגרת תפקידם.
כל עובד: אחראי לשמור על הרשאות הגישה שלו ולהשתמש במידע בהתאם למדיניות הארגון.

תהליך

1. קביעת זכויות גישה למידע

גישה למידע תינתן אך ורק על בסיס עקרון "צורך לדעת" (Need to Know) ו"הרשאה מינימלית" (Least Privilege) על מנת לצמצם את הסיכון לחשיפה לא מורשית.
כל בקשת גישה למידע תיבחן ותאושר על ידי המנהל הישיר ומחלקת IT, בהתאם למדיניות האבטחה של הארגון.

2. ניהול ובקרה של גישה למידע

מחלקת IT תנהל רישום של כל ההרשאות המוקצות לגישה למידע, כולל פרטי המשתמש, המידע אליו ניתנה גישה ותאריך הקצאת ההרשאה.
כל שינוי בהרשאות הגישה יתועד במערכת ניהול הגישה הארגונית, ויבוצע בהתאם לתפקיד המשתמש ולצרכים העסקיים.

3. הגבלת גישה על פי תפקידים

הארגון יגדיר רמות גישה שונות למידע בהתאם לתפקידי המשתמשים, כך שכל משתמש יקבל גישה אך ורק למידע הנחוץ לביצוע תפקידו.
יש להשתמש בבקרות גישה מתאימות, כגון סיסמאות חזקות, אימות דו-שלבי וזיהוי ביומטרי, כדי להבטיח שרק אנשים מורשים יוכלו לגשת למידע רגיש.

4. ניטור וביקורת גישה למידע

מחלקת IT תבצע ניטור שוטף של השימוש במידע, כולל מעקב אחר ניסיונות גישה חריגים או חשודים למערכות המידע הארגוניות.
כל ניסיון גישה לא מורשית או פעילות חשודה ידווחו מיידית לממונה על אבטחת המידע ויטופלו בהתאם לנהלי הארגון.

5. ביקורות תקופתיות

הארגון יבצע ביקורות תקופתיות על כל ההרשאות המוקצות לגישה למידע, במטרה לוודא שהן תואמות את תפקידיהם הנוכחיים של המשתמשים בארגון.
הביקורות יכללו הסרה של הרשאות שאינן בשימוש או שאינן נדרשות עוד, ועדכון הרשאות בהתאם לשינויים ארגוניים.

6. הדרכת עובדים

הארגון יספק הדרכה לעובדים על מדיניות הגבלת הגישה למידע, כולל חשיבות השמירה על סודיות המידע ודרכי פעולה במקרה של חשד לחשיפת מידע לא מורשית.
ההדרכה תכלול גם את אופן הדיווח במקרה של אירוע אבטחת מידע הנוגע לגישה למידע.

7. סקירה ועדכון נהלים

הארגון יבצע סקירה תקופתית של נהלי הגבלת הגישה למידע, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע להגבלת גישה למידע, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.

מטרה​

תחום יישום​

הגדרות​

אחריות​

תהליך​

1. קביעת זכויות גישה למידע​

2. ניהול ובקרה של גישה למידע​

3. הגבלת גישה על פי תפקידים​

4. ניטור וביקורת גישה למידע​

5. ביקורות תקופתיות​

6. הדרכת עובדים​

7. סקירה ועדכון נהלים​

הערות​