מבקר לשכת עורכי הדין בישראל - דוח שנתי 2024

170

בנושא אבטחת מידע ועוד . הגיוס הפריד בין תפקיד המנכ"ל לתפקיד ממונה אבטחת מידע, ולכן בעיית עקרון הפרדת התפקידים נפתרה.

זיהוי ואימות )תקנה 9 (

.1.3

א . תקנה 9 להוראות תקנות הגנת הפרטיות )אבטחת מידע(, תשע"ז - 2017 , קובעת כי " בעל מאגר מידע ינקוט אמצעים מקובלים בנסיבות העניין ובהתאם לאופי המאגר וטיבו, כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות". ב . בסעיף 9 )ב() 2 ()א( המתייחס לרמת האבטחה הבינונית או הגבוהה, נקבע כי אופן הזיהוי של המשתמש ע"י סיסמה יתייחס לחוזק הסיסמה )מורכבות(, מספר הניסיונות השגויים ותדירות החלפת הסיסמה.

ממצאים קודמים

ג .

(1 ברשת הלשכה נדרשו העובדים בהחלפת סיסמה כל 42 יום )לא נאכף בפועל(, אורך הסיסמה הוגדר על 4 תווים בלבד ו לא היתה דרישה למורכבות הסיסמה.

(2 סיסמת הכניסה לחלק מהמערכות הארגוניות, ביניהן Sharedocs ו - Magic התבצעה מקומית והיתה בעלת 6 תווים, ללא מורכבות.

הדבר לא תאם את התקנות הנדרשות.

ד . המלצות מדוח ביקורת מחודש פברואר 2022 היו:

1 ( להגדיר מדיניות סיסמאות אחידה לכלל מערכות הלשכה, לכל הפחות ע"פ ההגדרות הבאות:

• Enforce password history: 6 passwords remembered • Maximum password age: 90 days • Minimum password age: 1 day • Minimum password length: 8 characters • Complexity: Enabled

2 ( לבטל את הגדרת Password Never Expires לכלל המשתמשים האישיים.