Page 40 - דוח המבקר 2023

P. 40

‫מצלמות האבטחה‬

‫ניטור ובקרה על הגישה למידע‪:‬‬ ‫‪.3‬‬
‫ליישם מנגנוני בקרה אוטומטיים לניהול גישה למאגר המידע‪:‬‬ ‫‪.4‬‬

‫ •תיעוד גישה למידע‪.‬‬
‫ •זיהוי חריגות בשליפות (שעות עבודה לא סטנדרטיות‪ ,‬עמדות מחשב בלתי‬

‫מורשות)‪.‬‬

‫ניטור ובקרה על הגישה למידע‪:‬‬
‫ליישם פתרונות למניעת דלף מידע (‪ ,)DLP‬הכוללים‪:‬‬
‫ •שליפה באמצעות התקנים מורשים בלבד (‪.)White List DOK‬‬

‫ •התראות על פעולות בלתי מורשות‪.‬‬

‫תיאור הבדיקה‪:‬‬

‫נבדקו יישום מדיניות אבטחת מידע‪ ,‬תהליכי העלאת מודעות‪ ,‬ניהול הרשאות וגישה למערכת‬
‫המצלמות ולמידע‪.‬‬

‫ממצאים מרכזיים‬ ‫ ‬
‫מדיניות אבטחת מידע והדרכות‪:‬‬ ‫ ‬
‫ •מנהל אגף הביטחון ומנהלת המוקד העירוני אינם מכירים מדיניות מסודרת‬
‫‪.1‬‬
‫לאבטחת מידע ופרטיות‪.‬‬
‫ •מנהלים ועובדים לא חתמו על מסמך התחייבות לאבטחת מידע או פרטיות‬

‫בעת כניסתם לתפקיד‪.‬‬
‫ •אין תוכנית להעלאת מודעות‪ ,‬ולא מתקיימות הדרכות בנושא אבטחת מידע‬

‫לעובדי המוקד העירוני‪.‬‬
‫ •מנהלת המוקד לא מכירה את הגורם הממונה על אבטחת מידע‪.‬‬

‫ניהול הרשאות וגישה‪:‬‬ ‫‪.2‬‬
‫ •משתמשי המערכת (עובדי המוקד ואגף הביטחון) משתמשים בחשבונות‬

‫קבוצתיים משותפים‪ ,‬עם סיסמאות חשופות לצוות‪.‬‬
‫ •פרטי החשבון והסיסמאות נמצאו מודבקים על גבי מסך מחשב במוקד‬

‫העירוני‪.‬‬
‫ •אין תהליך תיעוד או ניטור על הגישה למערכת‪ ,‬ואינן מופקות התראות על‬

‫פעילות חשודה‪.‬‬

‫‪39‬‬

35 36 37 38 39 40 41 42 43 44 45