Page 78 - דוח המבקר 2023

P. 78

‫תשלומים‬

‫אבטחת מידע‬ ‫‪1.17‬‬
‫ ‬
‫‪ 1.17.1‬בחינת בקרות האבטחה בעת גישה למערכות‬
‫ ‬
‫‪ 1.17.2‬ניהול הרשאות ואבטחת מידע במערכות המידע בעירייה ייעשה בהתאם‬

‫לסטנדרטים המקובלים‪ ,‬תוך יישום עקרונות של "הצורך לדעת" (‪,)Need to Know‬‬

‫"מינימום הרשאה" (‪ ,)Least Privileged‬ו"הפרדת תפקידים" (‪Segregation of‬‬

‫‪.)Duties‬‬

‫‪ 1.7.3‬ככלל‪ ,‬נדרש להבטיח שכל הרשאה מוגדרת ומנוהלת בהתאם לצורכי התפקיד‬

‫בלבד‪ ,‬תוך עדכון ובקרה שוטפים למניעת הצטברות הרשאות מיותרות‪.‬‬

‫ממצאים‬

‫‪ 1.17.4‬במהלך הביקורת בחנו את התייחסות העירייה לניהול אבטחת מידע והסיכונים‬

‫הנובעים מתהליכי התשלומים‪ ,‬במיוחד בכל הנוגע ליישום בקרות גישה במערכות‬

‫המידע‪ .‬הבדיקה התמקדה בעמידה בעקרונות של "הצורך לדעת" (‪Need to‬‬

‫‪ )Know/Need to Do‬ו"מינימום הרשאה" (‪ ,)Least Privileged‬וכן בבחינת מנגנוני‬

‫הבקרה שמבטיחים את יישומם‪ .‬להלן הממצאים העיקריים‪:‬‬

‫‪ 1.17.5‬בקרות גישה לוגית‪:‬‬

‫ •במערכת ‪ One City‬מיושמת מדיניות סיסמאות המחייבת החלפה כל ‬

‫‪ 90‬יום‪ ,‬בהתאם למדיניות חברת ‪.One City‬‬ ‫ ‬

‫ •לעומת זאת‪ ,‬במערכת המס"ב‪ ,‬המשמשת לשידור תשלומים‪ ,‬לא ‬

‫מיושמת מדיניות מחייבת של החלפת סיסמאות או ניהול הרשאות‪ ,‬מה ‬ ‫ ‬

‫שמגביר את החשיפה לסיכונים‪.‬‬ ‫ ‬

‫ •נמסר שבוצעו החלפות סיסמאות במס"ב‪ ,‬אך אין מדיניות סדורה בנושא‪.‬‬

‫‪ 1.17.6‬מתן הרשאות גישה‪:‬‬

‫ •הרשאות ב‪ One City-‬ניתנות ע"י החברה על בסיס בקשות ידניות ‬

‫מהעירייה‪ ,‬תוך עמידה בעקרונות של "הפרדת תפקידים"‪.‬‬ ‫ ‬

‫ •עם זאת‪ ,‬לא קיימות במערכות הנה"ח הרשאות מובנות לפי פרופיל ‬

‫תפקיד‪ .‬דבר עלול לגרום לטעות בהנפקת הרשאות בעת מעבר ‬ ‫ ‬

‫מתפקיד לתפקיד או בעת קליטה‪.‬‬ ‫ ‬

‫‪ 1.17.7‬טיוב הרשאות‪:‬‬

‫ •לא מתבצע תהליך סקירה תקופתי של ההרשאות במערכות‪ ,‬ולא קיימת ‬

‫מערכת מובנית שמוודאת סגירת הרשאות ישנות של עובדים שעברו ‬ ‫ ‬

‫תפקיד או עזבו את העירייה‪.‬‬ ‫ ‬

‫ •קיימת בקרה מפצה לפיה חשבונות עובדים ננעלים לאחר ‪ 3‬חודשי אי‪ -‬‬

‫שימוש‪ ,‬אך ההרשאות עצמן אינן נמחקות‪.‬‬ ‫ ‬

‫‪77‬‬

73 74 75 76 77 78 79 80 81 82 83