עיריית רמת-גן | דו"ח מבקר העירייה 2022

עיריית רמת- גן דוח מבקר העירייה לשנת 2022

נאותות פעולות עמותת "אגודת שוחרי מוזיאון האדם והחי"

13 . ניהול הרשאות משתמשים

בדוח מבקר המדינה בנושא "אבטחת מידע והגנת הפרטיות ברשויות המקומיות" שפורסם ביום

21/11/2017 , התייחס מבקר המדינה לנושא אבטחת המידע ברשויות המקומיות, כדלהלן: מטרתה העיקרית של האבטחה הלוגית היא לאפשר גישה מבוקרת למערכות המידע וכן לאפשר בקרה על פעילות המשתמשים. במסגרת האבטחה הלוגית נכללים שימוש בשם משתמש ובססמה ומידור על ידי מתן הרשאות . בספטמבר 2014 פרסם מכון התקנים הישראלי את פרק 3 בתקן הישראלי ת"י 1495 הנקרא "טכנולוגיית המידע - טכניקות אבטחה: מסגרת להבטחת אימות ישות". פרק זה מאמץ כלשונו את התקן הבין-לאומי ISO/IEC 29115 מאפריל 2013 וקובע, בין השאר, את הדרישות לססמה שיש להזין בעת התחברות למערכת בהתאם לרמת האבטחה הנדרשת. אורכה המינימלי של הססמה הנדרשת הוא ארבעה תווים. בנוהלי המסגרת, שכאמור לא הוחלו על הרשויות המקומיות, נקבעו הנחיות ברורות בנושא אבטחה לוגית. בין ה יתר נקבע כי הממונה על אבטחת מידע נדרש לקבוע את הדרישות לניהול מערכת הססמאות, לפרסם דרישות אלה בקרב כלל המשתמשים, לפקח על אופן יישומן ולאכוף עליהם את חובת היישום. יש לקבוע לכל משתמש שם משתמש וססמה אישית של שישה תווים לכל הפחות - ובהם אותיות, ספרות וסימנים - ולעדכנה מדי שלושה חודשים, ואין לשתף בססמאות . עוד נקבע בנוהלי המסגרת כי לכל אחד מהמשתמשים ייקבעו - עבור כל יישום - הרשאות ביצוע: עדכון, אחזור, תוספת או מחיקה. אם עובד עוזב את תפקידו, מכל סיבה, מנהל היישום יקבל דיווח על כך ויבטל את הרשאותיו. (ההדגשות אינן ב מקור)

13.1 . בהתאם להצהרות החברה המספקת את מערכת הקופה הרושמת, הכניסה למערכת

מתאפשרת באמצעות מערכת הרשאות, כאשר פעילות הקופה מגובה בענן להפקה חוזרת

של נתונים, וכן קטלוג העסק מגובה בענן כולל את תמונות המוצרים ומידע על המוצרים.

מנהלת המוזיאון) מורשות להשתמש + הקופה

13.2 . מהביקורת עולה, כי רק 2 עובדות (מנהלת

במערכת, ולכל אחת מהן יש סיסמה אישית המורכבת מלפחות 6 תווים, והכוללת אותיות,

תווים וספרות , כאשר רק מנהל המערכת רשאי לשנות את הסיסמאות.

13.3 . הביקורת סבורה, כי אופן הגדרת הסיסמאות במערכת הינה נאותה ומאפשרת שמירת

המידע ומניעת שימוש במערכת לגורמים שאינם מורשים לכך – תקין .

335