הינך נמצא כאן

  1. דף הבית
  2. נהלי אבטחת מידע: גישה מרחוק לספקים

אנשי קשר

פרטי נוהל

  • תאריך תחולה: ינואר 2017.
  • תאריך עדכון: 01.01.2017.
  • מהדורה 1.

תוכן הנוהל

  1. מטרות

מטרת נוהל זה להסדיר את סדרי הגישה מרחוק עבור ספקים ונותני שירות שונים, אשר נדרשים לעיתים לבצע עבודות תחזוקה, התקנות וטיפול בתקלות במערכות פנימיות בתוך רשת המכון. נוהל זה אינו חל על גישה מרחוק במסגרת שיתופי פעולה מדעיים (Scientific Collaboration), אשר מטופלים על ידי המזכירות האקדמית של המכון.

  1. מונחים והגדרות

משתמש קצה: עובד המכון או עובד חיצוני שבמסגרת תפקידו משתמש במערכות המידע הממוחשבות של המכון ו/או נחשף למידע פנימי (להלן ״משתמש״).

שלמות מידע: זהות בין הנתונים במאגר המידע לבין הנתונים המקוריים. על המידע המקורי, ורק המידע המקורי להימצא במאגר המידע, בלא ששונה ללא צורך.

סודיות מידע: הגנה על תוכן המידע מפני גורמים שאינם מורשים לעשות בו שימוש.

זמינות מידע: האפשרות לגשת לנתונים לפי צורך.

אבטחת מידע: מכלול הפעילויות והאמצעים הננקטים במטרה להבטיח את שלמות, סודיות וזמינות המידע.

שם משתמש מכוני (User ID): שם ייחודי אשר נקבע לכל משתמש מחשב במכון, לצורך זיהויו במערכת הממוחשבת.

סיסמה: שדה המכיל מספר תווים, אשר משמש בצרוף שם המשתמש בכדי לאמת את זהות המשתמש במערכת הממוחשבת.

תוכנה מפגעת: תוכנת מחשב המיועדת להפצה בין מחשבים לצורך הסבת נזק למערכות המידע.

תוכנת אנטי-וירוס: תוכנה לזיהוי וחסימה של תוכנות מפגעות. זיהוי התוכנות המפגעות מבוצע באמצעות רשימה עדכנית (קובץ חתימות) של סוגי וירוסים נפוצים.

מידע מסווג: מידע פנימי אשר חשיפתו עלולה לגרום נזק משמעותי ישיר או עקיף למכון, כגון מידע פרטי על עובדי המכון, מידע עסקי רגיש וכו׳.

מידע פנימי: כל מידע של המכון, אשר גילויו לגורמים לא מוסמכים עלול לגרום נזק למכון. כמעט כל המידע הקיים במכון הינו פנימי וחל איסור לעשות בו כל שימוש שאינו לצורכי עבודה.

חוק הגנת הפרטיות: חוק מדינה שמטרתו להגן על פרטיותם של אזרחים, תוך שימת דגש על פרטים אישיים שמאוחסנים במערכות מידע ממוחשבות. במקרה של פגיעה בפרטיותו של אדם, החוק מטיל אחריות על בעל המידע ו/או בעל המאגר, ולא על מי שהשתמש במידע באופן בלתי חוקי.

פלטפורמות מידע: אמצעי מדיה המשמשים לאחסון מידע, לרבות נייר. מידע ממוחשב מאוחסן על גבי מדיה מגנטית (דיסקים, דיסקטים, קלטות, סרטים, מדיה אופטית), תקליטורים או מדיה אלקטרונית.

  1. אחריות
    1. יישום וביצוע נוהל זה באחריות ענף תשתיות מחשוב - תחום אבטחת מידע באגף טכנולוגיות מידע במכון.
    2. אחריות ביצוע הנוהל חלה על כל המעוניין לאפשר גישה לספקים כפי שמוגדר בנוהל.
  1. תחולה

נוהל זה חל על כל עובדי המכון, למעט מדענים אשר מבקשים ליישם גישה מרחוק לצורך שיתוף פעולה מדעי.

  1. תהליך העבודה

תהליך הגישה מרחוק יבוצע באמצעות זיהוי על פי שם משתמש וסיסמה חד פעמית (OTP), ושימוש בטוקן SecurID.

  1. על מבקש הגישה ליצור קשר עם מרכז התמיכה בטלפון 08-9344444 ולהזדהות.
  2. לאחר אימות זהותו של מבקש הגישה תינתן סיסמה חד פעמית על ידי נציג השירות במכון.
  3. בקש הגישה יגלוש באמצעות דפדפן אל הכתובת https://svpn.weizmann.ac.il.
  4. על מבקש הגישה לעקוב אחר ההוראות להתקנת ActiveX/Java Applet ולבצע הזדהות.
  5. לאחר ההזדהות יוכל מבקש הגישה לגשת למשאבים הספציפיים שהוגדרו עבורו, באמצעות פרוטוקולים מורשים.
  6. לא תינתן גישה למשאבים שלא הוגדרו בטופס ואושרו מראש.
  7. עם סיום העבודה, יש לנתק את ההתקשרות ואת הגישה מרחוק.
  1. חשבון משתמש עבור עובד ספק
    1. לצורך מתן שרות הדורש גישה מרחוק למערכות פנימיות בתוך רשת המכון, תידרש הקצאת טוקן SecurID אישי עבור כל אחד מעובדי הספק.
    2. שם המשתמש שיוגדר עבור עובדי ספק לצורך גישה מרחוק יהיה כשם מבקש הגישה מרחוק (עובד המכון). החשבון יוגדר כחשבון נוסף ונפרד מהחשבון הראשי (Primary User) שמשמש את העובד בשגרה, ינוהל באמצעות מאגר מערכת ה-RSA ויוגדר ב-Firewall המכוני.
  1. הרשאות גישה

הרשאות הגישה לעובד ספק יוגדרו בהתאם לצורך הגישה למערכות, לביצוע פעילותו בלבד, ויאפשרו גישה אך ורק למידע ההכרחי לצורך ביצוע פעילות זו.

  1. בקרה
    1. מנהל אבטחת המידע יבחן אחת לרבעון את תוקפם של הסכמי ההתקשרות עם הספקים. ממונה אבטחת מידע יוכל לנטרל חשבונות אשר לא היו בשימוש מזה תקופה ארוכה של לכל הפחות שנה.
    2. ממונה אבטחת מידע ינהל רשימה של נותני השירות המורשים בגישה מרחוק וידאג לעדכנה בכל עת.
    3. ביקורת (Audit) תבוצע על חשבונות המשתמש של עובדי הספק בהתאם לאופי ורגישות ההתקשרות, על פי הגדרות מנהל אבטחת המידע.

נספח - טופס בקשה לגישה מרחוק עבור ספק שירות

  1. מנהל הפרויקט/איש הקשר במכון ויצמן:
    1. יעביר אל העובד החיצוני ויחתים אותו על טופס התחייבות לשמירה על סודיות במידה ויש צורך בכך.
    2. יוודא מילוי וחתימה על סעיף 1 בטופס זה על ידי כל עובד מבקש השירות.
  2. מנהל הפרויקט/איש הקשר ימלא ויחתום על סעיף 2 בטופס זה. יש לצרף צילום של תעודת הזהות או הדרכון של גורם התמיכה מרחוק.
  3. מנהל הפרויקט/איש הקשר יעביר עבור ספק שירות את טופס ההתחייבות לשמירה על סודיות וטופס הבקשה לגישה מרחוק במייל לאיש צוות אבטחת מידע.
  4. איש צוות אבטחת המידע יאשר את הבקשה ויגדיר את העובד החיצוני במערכת ההתחברות מרחוק. לאחר מכן יודיע למנהל הפרויקט כי הגדרת העובד החיצוני הושלמה.

 

סעיף 1 - פרטי מבקש השירות

שם פרטי (עברית):                                                    
שם משפחה (עברית):      
מס׳ תעודת זהות (9 ספרות):   שם החברה:  
טלפון נייד:   כתובת החברה:  
כתובת דוא"ל:      

הצהרת המבקש להתחבר

הנני מצהיר/ה כי הבנתי את כללי השימוש הנאות להתקשרות לרשת מכון ויצמן ואת כללי אבטחת המידע, ומתחייב/ת כדלהלן:

  • לא להוריד מידע השייך למכון ויצמן למחשב של החברה אלא אם קיבלתי אישור בכתב לכך מממונה אבטחת המידע של המכון.
  • לא להעביר את אמצעי הזיהוי החכם שקיבלתי ממכון ויצמן לכל אדם אחר.
  • לא לגלות לאף גורם את הקוד האישי (PIN) המשויך לאמצעי הזיהוי.
  • להודיע מיידית על אובדן אמצעי הזיהוי או חשיפת הקוד לממונה אבטחת המידע של מכון ויצמן ולמנהל הפרויקט/איש הקשר במכון.
  • עם סיום הצורך בגישה מרחוק בתוקף תפקידי, להודיע על כך לממונה אבטחת המידע של מכון ויצמן ולמנהל הפרויקט/איש הקשר במכון.
  • ידוע לי כי המשתמש איתו אתחבר הינו מוגבל לפרק זמן של עד שנה. בסיום השנה, משתמש זה יוגבל וחידושו יותנה באישור גישה חוזר.
תאריך:   חתימת המבקש:  

 

סעיף 2 - למילוי על ידי מנהל פרויקט/איש קשר במכון ויצמן

שם פרויקט/מערכת:                                                                      כתובות יעד (IP) אליהן מבקש השירות יגיע:                                                                   
 
 
 
 
 
שם היחידה במכון עבורה נדרש השירות:   יישומי רשת נוספים שהמשתמש יפעיל או יצטרך (RDP וכו'):  
 
 
 
 
האם העובד חתום על טופס התחייבות לשמירה על סודיות? כן/לא חתימה על הצהרת הסודיות מתאריך:  
תאריך סיום הצורך בהתחברות מרחוק עבור העובד: תאריך: _______
אין תאריך משוער		 שם מנהל הפרויקט/
איש קשר:		  
תאריך:   חתימה:  

 

סעיף 3 - למילוי על ידי איש צוות אבטחת מידע

הערות:  
שם:  
תאריך:          חתימה:          

 

התחייבות לשמירת סודיות

אני הח"מ:_________________       ת"ז:________________       להלן:

החברה ה"מתחייבת":

  1. לשמור סודיות מוחלטת ומלאה ולא לגלות לכל אדם ו/ או תאגיד ו/ או גוף כלשהו, זולת האנשים הנוטלים חלק בעבודה, כל מידע, רישום, תוכנית, מפרט, מסמך, שרטוטים, דיאגרמות, טבלאות, נתון עיוני, מדעי, מעשי, מתכון, נתונים כספיים, מחזורי מכירות, תחומי פעילות וכו', בין אם בכתב ובין אם בעל פה, שהובאו לידיעת ה"מתחייבת" ונמסרו לה על ידי המציגים במישרין ו/או בעקיפין, או שהגיעו לידיעת ה"מתחייבת" בקשר עם או כתוצאה מן העבודה.

כל הנ"ל יקרא להלן: "מידע".

  1. "המתחייבת" מתחייבת לגבי המידע כדלקמן:
    1. לא להעתיק ו/או להרשות לאחרים ו/או לאפשר לאחרים לבצע במידע או בחלק ממנו שכפול, העתקה, צילום, תדפיס וכל צורת העתקה אחרת, אלא לצורך ביצוע העבודה בלבד.
    2. על העותקים של המידע יחולו הוראות התחייבות זו, וכל האמור לגבי מידע יחול גם על עותקיו.
    3. לשמור בקפידה על המידע ולנקוט בכל אמצעי הזהירות לשם מניעת אובדנו ו/או הגעתו לידי אחר.
    4. להגביל את הגישה למידע אך ורק לאותם אנשים או גורמים העוסקים בפועל בעבודה.
    5. לנקוט בכל האמצעים על מנת להבטיח שמירה והגנה על המידע על ידי כל אדם הבא במגע עימו.
    6. להודיע בכל מקרה של אובדן מידע כלשהו.
    7. לא לפרסם בכל צורה שהיא כל נתון הנוגע לעבודה ו/או למידע על פי הוראות בלבד.
    8. לא לפתח, לייצר, להעתיק, לערוך או להכין באופן כלשהו תוכנת מחשב או סקרים על בסיס או על סמך הנתונים, המסמכים וכו' שקיבלה מעת הגורמים איתם קשורה בעבודה הנוכחית, אשר הגיעו לידיעת ה"מתחייבת" במהלך וכתוצאה מן העבודה.

 

  1. ההתחייבות לשמירת הסודיות לגבי המידע תהיה תקפה גם לאחר סיום העבודה.
  2. ה"מתחייבת" תחזיר ותמסור, עם סיום העבודה, או בכל עת לפי דרישה, כל מסמך הנוגע למידע או לעבודה.
  3. ההתחייבות הנ"ל תחול גם על עובדים של ה"מתחייבת" ועל כל המועסק מטעמה, או ביחד איתה בביצוע העבודה כולה או חלק ממנה. "המתחייבת" תעשה כל הדרוש להבטיח קיום ההתחייבות הנ"ל על ידה.
  4. ידוע ל"מתחייבת" כי, בין היתר, נמסרה לה העבודה על סמך התחייבות זו, וכי הפרת ההתחייבות לשמירת סודיות עלולה להסב נזקים כבדים למכון, ותחייב את ה"מתחייבת" במתן פיצויים.

ולראיה באנו על החתום ביום_________________       לחודש_________________       לשנת_________________

״המתחייבת״:_______________________