בקרת גישה של NIS 2 האם MFA חל על כל המשתמשים או רק על חשבונות בעלי זכויות יוצרים?

Q: כיצד מיושם תוכנית MFA "מבוססת סיכון" במסגרת הנחיות NIS 2 ו-ENISA?

שיתוף פעולה מינימלי מבוסס סיכונים אינו תיאוריה: הוא מעוגן באופן פורמלי באמצעות מיפוי שיטתי של כל חשבון משתמש לנוף הסיכונים - שילוב של רמות גישה, נתונים שטופלו, עבודה מרחוק/ענן ופונקציות עסקיות קריטיות. הנה התרגום לעולם האמיתי: - חשבונות בעלי הרשאות/מנהל: כולם דורשים שיתוף פעולה מינימלי כברירת מחדל - אפס חריגים. - משתמשים/קבלנים/ענן/SaaS מרוחקים: תמיד במסגרת התחום; שיתוף פעולה מינימלי הוא קו בסיס שאינו ניתן למשא ומתן. - צוות סטנדרטי, מקומי בלבד: עשוי להיות פטור, אך רק עם נימוק רשמי בכתב, הקצאת בעל סיכון, לוחות זמנים לסקירה ובקרות מפצות (למשל, פילוח רשת מחמיר או בקרות נקודות קצה). - מקרים חריגים/מורשת: יש לעקוב אחריהם במרשם אב, לחתום על ידי בעל סיכון ששמו רשום, לבחון אותם באופן קבוע ולגבות אותם בראיות מדוע הפטור נשאר בתוקף. ללא מלאי סיכונים חי, הצהרות מדיניות או בקרות מכוונות בלבד אינן מספיקות. בכל פעם שנוצר חשבון חדש, תפקיד עובר או כלי עסקי נפרס, נדרשת סקירת סיכונים.

Q: אילו שינויים בנוגע לתאימות וביקורות?

מבקרים מבצעים השוואה בין האכיפה האמיתית שלכם - רישומים, יומנים ומיפוי תנאי השימוש - לבין מה שטענות המדיניות שלכם. כל קבוצה חסרה או פער בראיות יכולים להפוך לממצא ביקורת, במיוחד אם ביקורת מבוססת סיכונים היא רק על הנייר. כיסוי מתמשך, לא סטטי, הוא הנורמלי החדש.

Q: מי חייב/ת במסגרת תוכנית MFA, מי עשוי/ה להיות בעל/ת אישור, ומתי ניתן להצדיק פטורים במסגרת תוכנית 2 ₪?

- חשבונות בעלי הרשאות/מנהל: *MFA חובה*. זה מכסה חשבונות root, superuser, שירות, כניסות ספקים בעלי הרשאות וכל מנהל מערכת ברמת המערכת - ללא יוצאים מן הכלל. - משתמשים רגילים/צוות עסקי: *MFA נדרש* אם תפקידים כוללים גישה למערכות רגישות, כניסה מרחוק או לענן, טיפול בנתונים מוסדרים, או כל מערכת שעלולה להיות ממונפת לתנועה רוחבית בתקיפה. בכל פעם שהסיכון עולה - הפעלת עבודה מרחוק, כלי SaaS חדש או שינוי מדיניות - רשת ה-MFA חייבת להתרחב. - קבלנים/צדדים שלישיים: חייבים לעקוב אחר אותה מיפוי כמו של גורמים פנימיים. אם החשבונות שלהם ארוכי טווח, מופעלים מרחוק או בעלי הרשאות מוגברות, MFA חל כפי שהיה חל באופן פנימי. רק חשבונות מקומיים, מוגבלים בזמן לחלוטין, ללא הרשאות, שאינם ניגשים לנכסים קריטיים, עשויים להיחשב לפטור - עם נימוק ורישום תפוגה. - פטורים אמיתיים: נדירים - מוצדקים רק עבור חשבונות ללא גישה מרחוק או קריטית למערכת. חייב להיות בעלים בעל שם וקצב סקירה מתועד ומוגבל בזמן.

Q: מהן המכשולים הנפוצים ביותר ב-NIS 2 MFA, וכיצד ניתן להימנע מהן?

טעויות נפוצות: - הסתמכות רק על סיסמאות עבור מנהלי מערכת או גישה מרחוק/SaaS. - הצהרות מדיניות שאינן תואמות ליומני ביקורת או לאכיפה בעולם האמיתי. - שימוש ב-SMS כמנגנון MFA יחיד למרות הנחיות ציבוריות נגדו (FIDO2, אפליקציות אימות או מפתחות סיסמה מומלצים כעת). - אי רישום/תיעוד חריגים או חשבונות מדור קודם - אם הם אינם ברישום עם סיבה ומחזור סקירה, זהו פער. - כפיית אסטרטגיות MFA "מידה אחת מתאימה לכולם" שמעוררות התנגדות משתמשים ומפעילות צל של IT (פתרונות עוקפים, שימוש במכשיר אישי). - מתן אפשרות לרישומים ולמפות סיכונים להפוך למודרניות - תפקידים ומערכות משתנים מהר יותר מתסריטי מדיניות ישנים. אמצעי הימנעות: - ניהול מלאי בזמן אמת של כל החשבונות, מסווגים לפי סיכון מערכת וסוג משתמש. - הקצאת בעלות על סיכון לכל חריג, עם תיעוד ומעקב הדוקים. - בדיקה מעת לעת של המדיניות שלך באמצעות ביקורות עצמיות וסימולציה של הערכה חיצונית. - עדכון כלי MFA כדי לעמוד בסטנדרט הגבוה ביותר הנתמך על ידי הפלטפורמות וכוח העבודה הנייד שלך. - השתמשו בפלטפורמות (כמו ISMS.online) שמאפשרות אוטומציה של איסוף ראיות, טריגרים לשינויים ותזכורות לסקירת חריגים.

Q: כיצד ניתן לבנות ראיות ומיפוי כדי לעבור ביקורת NIS 2?

גישת רישום ביקורת עמידה משתמשת ברישום ראשי הקושר סוגי חשבונות לרמת סיכון, דרישת MFA, נימוק החריגה ומקור הראיות. רישום לדוגמה: שלבי ביקורת עיקריים: - עבור כל פטור, בעל הרשומה, נימוק, תפוגה וסקירה הבאה. - מיפוי כל סוג חשבון לבקרות הצהרת הישימות (SoA) והערכת הסיכונים שלך. - כאשר תפקידים, משתמשים או כלים משתנים, יש לוודא שהפלטפורמה מבקשת עדכון מדיניות/בקרה - ורושמת ראיות. ISMS.online מספק ניהול גרסאות אוטומטי של מדיניות, מעקב אחר רישום ורישום ראיות - כולם ניתנים לייצוא עבור מבקרים.

Q: אילו תיעוד ותהליכים תפעוליים חיוניים כדי שמדיניות ה-MFA שלכם תשרוד את ביקורת התאימות לתקן NIS 2?

יסודות: - מסמכי מדיניות חיים, מבוקרי גרסה: רישום כל שינוי, חריג וסקירה במדיניות - ללא קבצי PDF סטטיים. - יומני מערכת ואירועים מלאים: מעקב אחר אילו חשבונות משתמשים ב-MFA, מי היה מכוסה בכל נקודת זמן וכל החריגים. - רישומים מרכזיים עבור חשבונות משתמשים וחריגים: קשר כל חשבון להערכת סיכונים, בעלים שהוקצו, סטטוס בקרה ותזמון סקירה - הכל מתעדכן בזמן אמת. - עדכונים אוטומטיים או מבוססי זרימת עבודה: ודא שכל הוספת משתמש/תפקיד או מערכת מפעילה סקירת רישום/מדיניות באופן מיידי, לא רק בעונת הביקורת. - בדיקות/תרגילים עצמיים סדירים: הפעל בדיקות עצמיות רבעוניות המדמות ביקורת רגולטורית: האם כל החשבונות הנדרשים מכוסים, האם הפטורים חיים ונבדקים, האם שרשרת הראיות שלך שלמה - עד לרמות תצורה במידת הצורך. תאימות מתמשכת מגיעה כאשר בקרות הגישה וראיות ה-MFA שלך הן דינמיות, תפקיד-אחר-תפקיד, וממופות סיכונים במקום תרגילים בירוקרטיים סטטיים. כאשר כל מדיניות, מערכת וחריג נמצאים במעקב וקשורים לראיות מהעולם האמיתי, ביקורות הופכות לבוני אמון - לא לנקודות לחץ - עבור ההנהלה וההנהלה שלך.

NIS 2 הפך את מדיניות ה-MFA מ"פרקטיקה מומלצת" לתקן משפטי - שכבר לא שמור לחשבונות פריבילגיים בלבד. במקום זאת, תאימות תלויה בהצגת גורמי ביקורת שכל משתמש, נתיב גישה וחריג מגובים בראיות ומוצדקים על ידי סיכון. קו הבסיס החדש: הוכחו שמדיניות ה-MFA שלכם חיה, ניתנת לביקורת ותואמת הן לתקן ISO 27001 והן לאיומים מהעולם האמיתי.

מְחַבֵּר

מארק שרון

עודכן ב- 17 באוקטובר 2025

מדוע 2 שקלים הופכים את תוכנית ה-MFA מ"פרקטיקה מומלצת" לסטנדרט שאינו ניתן למשא ומתן

פרצה לא מבחינה בין מנהל ה-IT הבכיר שלך לבין פקיד החשבונות לתשלום - וגם לא גורמי האיום של היום. תחת חוק 2 שקלים חדשים, היכולת שלך לאמת כל זהות דיגיטלית אינה עוד אופציונלית או רק תיבת סימון עבור חשבונות פריבילגיים. אימות רב-גורמי (MFA) משמש כיום כמבחן הלקמוס לחוסן ארגוני אמיתי, ונדרש לא רק על ידי החוק, אלא גם על ידי חברות ביטוח, רואי חשבון ולקוחותיך.

רגולטורים הבהירו: דו"ח נוף האיומים האחרון של ENISA מציין כי מעל 70% מהפריצות הגדולות ממנפות גניבת אישורים בסיסית - לעתים קרובות מתחילות בקרב משתמשים רגילים, ולא בקרב מנהלי מערכות (ENISA 2023). NCSC בבריטניה ממשיכה להזהיר כי "הצבת אישורים ופישינג" מהווים את רוב הפרצות הארגוניות (NCSC). סקירת התעשייה האחרונה של גרטנר מכנה את הגישות של "סיסמה בלבד" כדגל אדום לתאימות בהקשר האירופי (גרטנר). הסטנדרט החדש הוא בלתי פוסק: כל זהות צריכה להיות ניתנת לאימות, חריגים נבדקים בקפידה, וההצדקה חייבת להיות יותר מסימון תיבות.

תוקפים מנצלים את אלה שנשכחו, לא רק את אלה שזכו לפריבילגיה יתרה. כעת דרישות הציות מצפה מכם לסגור כל פער - אף חשבון לא יישאר מאחור.

MFA כבר אינו רק זירת אבטחה עבור צוותי IT - כיום, זוהי הדרך בה ארגונים מובילים מאותתים על בגרות לעולם.

מי חייב להשתמש ב-MFA תחת 2 שקלים? מעבר לפריבילגיה, אל תוך סיכון בעולם האמיתי

רוב הצוותים מחפשים תשובה בינארית: "האם תואר שני במנהל עסקים (MFA) מתאים לכולם, או רק לבעלי זכויות יתר?" החוק ספציפי: MFA אינו ניתן למשא ומתן עבור חשבונות פריבילגיים, אך רישום הסיכונים שלך הוא זה שקובע היכן עוד הוא חייב להחיל - בכל מקום בו קיים סיכון ממשי. (הנחיות ENISA NIS 2).

אז, מי "בעל זכויות יוצרים"? ENISA מבהירה זאת במפורש: כל חשבונות הניהול, השורש, מנהל המערכת, מוקד התמיכה, גישה מרחוק ותהליכים עסקיים בעלי זכויות יוצרים נמצאים במסגרת המדיניות.ללא יוצאי דופןאבל לניואנסים יש חשיבות - איומים מודרניים מכוונים לעתים קרובות לנתיבים "לא-פריבילגיים" המאפשרים הסלמה או גישה למידע רגיש.

התאימות שלך תלויה בטיפול בנושאים הבאים:

גישה יעילה: מי יכול להשפיע על אילו מערכות ונתונים? יש לקחת בחשבון גם תפקידים ישירים וגם תפקידים עקיפים.
מיקום וערוץ גישה: גישה מרחוק, ניידת או מצד שלישי משמעותה סיכון מוגבר.
כניסות לענן, BYOD וכניסות מאוחדות: מפו ותחשבו על כל הגישה מחוץ ל"חומות הטירה" שלכם.
מלאי משתמשים נוכחי: אם רשימת העובדים או הקבלנים שלכם סטטית או לא מעודכנת, תתקשו לשכנע כל רואה חשבון.

זכרו: "אכיפה של SSO עם MFA" תואמת רק כאשר כל חשבון הנמצא במסגרת המדיניות רשומים, ורשימת המשתמשים שלכם תואמת את הסביבה האמיתית שלכם. מבקרים אינם מושפעים עוד מטענות ספקים - הם בודקים את הכיסוי בפועל ואת התאמת המדיניות.

2 שקלים אינם פתרון אחד שמתאים לכולם; עליכם להכיר - ולהראות - את ההיגיון ואת מצב המחיה שמאחורי כל חריג והכללה.

ציות מודרני עוסק בכיסוי מונע סיכון - לא באחידות עיוורת, ובוודאי שלא במשאלת לב.

מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.

הזמן את ההדגמה שלך

פילוח, לא חנק: מדיניות משרד חוץ טובה לפי תפקיד וסיכון

דחיפת MFA לכל מקום ללא הקשר מובילה לעונשים על ביקורת או לתסכול הצוות. מנהיגים מפלחים בכוונה תחילה. הם מאזנים סיכונים, שימושיות והיגיון תפעולי - ואז מתעדים את ההיגיון שלהם כך שהביקורות לא יוכלו לחשוף אותם. כך ניתן להמחיש זאת עבור כל ארגון:

טבלת פילוח MFA של קבוצת משתמשים

מבוא: השתמשו בטבלה זו כדי לתעד, להצדיק וליישם את דרישות ה-MFA עבור כל תפקיד מפתח - חיוני לביקורת.

קבוצת משתמשים	נדרשת תואר שני (MFA)?	איך זה מיושם	התייחסות
מנהל/שורש/מערכות הפעלה	תָמִיד	סקירות רבעוניות של SSO/IdP נאכף	ISO 27001 A.8.5; 2 שקלים חדשים
עובדים מרוחקים	כן - אלא אם כן יש הצדקה מוחלטת	אמון באפליקציה/מכשיר של MFA, גיאו-פנסינג	ISO 27001 A.8.5; ENISA
משתמשי גישה לענן	מערכות רגישות: כן	SSO+MFA, יומני סשנים, הדרכה קונטקסטואלית	ISO 27001 A.8.5; ENISA
קבלנים/ספקים	מתמיד: כן; אפיזודי: הצדק	אימות ורישום חריגים בבעלות, המוגדרים בזמן	ISO 27001 A.5.20; ENISA
מטכ"ל	חריגים למסמכים מבוססי סיכון	אי הכללות יומן, בקרות פיצוי פרטים	ISO 27001 A.5.15; 2 שקלים חדשים
כלי SaaS/צד שלישי	תלוי ברגישות	SSO+MFA במידת האפשר; ביקורות גישה תקופתיות	ISO 27001 A.8.5; ENISA

רוב המדיניות נכשלת לא על סמך כוונה, אלא על סמך חריגים שבירים. ההגנה שלך חזקה רק כמו ההדרה המוצדקת ביותר שלך.

ברחבי אירופה, סוכנויות (ANSSI, BSI, AGID) הכריזו על מדיניות משרד עורכי דין לא שלמה "לתפקידים בלבד" כלא מספקת אם הן אינן עוקבות אחר הנימוקים להחרגות. ציות אמיתי הוא פילוח בתוספת ראיות ניתנות למעקב.

מדוע מדיניות משרד עורכי דין מיושנת היא מלכודת הביקורת העיקרית

מדיניות לא יכולה להישאר קפואה בזמן שכוח העבודה, הספקים והמתקפות משתנים. כיום, מבקרים מצפים לתיעוד MFA חי ומבוקר גרסאות המקושר לרשימות רשימות של משתמשים פעילים וליומני תהליכי עבודה. סקירה שנתית סטטית של מדיניות מהווה כיום סיכון ביקורת חמור.

טבלת עקיבות: הפיכת המדיניות לחיים

מבוא: מיפוי כל טריגר מהעולם האמיתי לעדכון הסיכון שלו ולממצאי התאימות.

הדק	עדכון סיכונים	קישור בקרה/SoA	ראיות שנרשמו
מנהל חדש הוקצה	גָבוֹהַ	ISO A.8.5	MFA פעיל, יומן בארכיון, בעל שליטה
SaaS מסוכן הותקן	בינוני	ISO A.5.20	SSO+MFA פעיל, החוזה נבדק
הוספת צד שלישי/קבלן	מִשְׁתַנֶה	ISO A.8.5/A.5.20	חריג רשום, יומני רישום מאוחסנים
שינוי תפקיד הצוות	מחושב מחדש	מדיניות A.5.15/8.5	SoA/log מציג בעל סיכון חדש
שינוי מדיניות או שינוי בצוות	כלל-ארגוני	הכל למעלה	הצוות מאשר, עיין ביומן

אם לא נוצרות ראיות בכל אירוע, בקרות ורישומים הופכים למגני נייר - ולא להגנה אמיתית. ביקורות הולכות לאיבוד בגלל חוסר מדיניות, אלא בגלל חוסר הוכחות חיות.

עדשה רטורית: אם אתם מסתמכים על "כוונה מתועדת", אך אינכם יכולים להוכיח במהירות את המצב הנוכחי, ממצאי הביקורת יפורסמו לאחר מכן.

לוח מחוונים פלטפורמה nis 2 חיתוך על mint

הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.

הזמן את ההדגמה שלך

איזון בין אבטחה למורל הצוות - מיתוס "משרד החוץ לכולם" והתרופה לו

יש מיתוס מתמשך: משרד עורכי דין אוניברסלי הורס את המורל, יוצר פניות תמיכה ודוחף את הצוות לעקוף את הבקרותהאמת? פריסה שקופה ומבוססת סיכונים של MFA - בשילוב עם תקשורת ובקרות פיצוי אמיתיות - מגנה על מעמדך כמבקר ומקדמת אמון בכוח העבודה.

דוגמאות לשיטות עבודה מומלצות:

משרד החוץ (MFA) מוגדר כברירת מחדל כ"פעיל" עבור מערכות בסיכון גבוה, עם חריגים ברורים וניתנים לבדיקה במקרים בהם פערים טכנולוגיים או תהליכיים חוסמים אכיפה אוניברסלית.
לקבלנים, ספקים או משתמשים עם גישה מזדמנת בלבד יש חריגים מוגדרים בזמן, שהוקצו על ידי הבעלים. סקירת הבעלים על היציאה מהמערכת, כאשר כל הנימוקים נרשמים.
עבור תפקידים בעלי סיכון נמוך, יש לתעד במדויק את הסיבה לכך שניתן פטור (למשל, קשירת מכשירים, מגבלות סשן, הוספה לרשימה הלבנה מחמירה), ולקבוע מרווחי זמן לבדיקה - כדי למנוע חידוש אוטומטי של נקודות מתות.

תקני ביקורת דורשים כעת להתייחס לרשימת החריגים כמסמך חי. הציגו מי אישר, מהי הבקרה המפצה ומתי היא תיבחן בפעם הבאה.

הלחץ סביב ביקורת יורד כאשר רשימת החריגים קטנה, מקבלת אחריות, נבדקת ומוסברת - ולא מטאטאה מתחת לשטיח המנהלי.

סמל לבגרות בביקורת הוא רישום חריגים רזה ומוגן היטב - לא מדיניות של כל המשתמשים או מדיניות מתירנית מדי.

שלוש הוכחות לכך שביקוש רואי החשבון לאישור משרד עורכי דין: ראיות על פני נייר

אל תתנו למדיניות סטטית להרדים אתכם לתוך ביטחון כוזב בביקורת. מבקרים מודרניים מחפשים שרשרת ראיות בכל בקרות ה-MFA. הנה מה שמצפים כעת מועצות ומבקרים - בצרפת (ANSSI), גרמניה (BSI) ותחזית בריטניה/ENISA:

חשבון חי ומלאי משתמשים- הצגת תפקיד, סטטוס משרד עורכי דין, מועד הבדיקה והבעלים האחראי.
רישום חריגים- פירוט הרציונל של כל החרגה, אמצעי פיצוי, ובעל הבדיקה ותאריך הבדיקה.
יומני זרימת עבודהכל שינוי במדיניות, במשתמש או במרשם יוצר אירוע מוכן לביקורת; מבקר או דירקטוריון יכולים לבקש אישורים של הצוות וראיות מבוססות יומן בכל עת.

אלה אינם אופציונליים: הם "הקווים האדומים" להדגמת בקרות חיים. מבקרים ברורים - תיקיית כונן משותף או קובץ PDF מיוצא של "למי יש MFA" כבר אינם מספיקים.

תוצאות טובות של ביקורת נובעות מהוכחה שעמידה בדרישות היא הרגל - לא רק מדיניות. הפכו את טריגרי הביקורת לאוטומטיים, ותנו למערכת ה-ISMS שלכם לעשות את העבודה הקשה.

אי-הוכחות אלו מזמנות ממצאים חוזרים, קנסות או אפילו חקירה רשמית.

מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.

הזמן את ההדגמה שלך

יישום MFA מוכן לביקורת: לולאה מעשית להישרדות ב-NIS 2

המטרה היא תהליך עבודה חי של תואר שני במנהל עסקים (MFA) המתעד את עצמו. הנה מפת הדרכים שלכם, הן עבור מנהיגים והן עבור אנשי מקצוע:

שלב 1: בקרת גרסאות של ארטיפקטי התאימות שלך
רשום כל שינוי במדיניות או ברישומים; הקצא כותב, חותמת זמן ונימוק. מערכת ה-ISMS או מערכת ה-DMS שלך חייבת לאפשר מעקב אחר כל שלב.

שלב 2: אבטחה וגיבוש הסכמה מצד הצוות
כל עובד/קבלן חייב להכיר במדיניות הגישה/משרד החוץ הנוכחית. יש להשתמש בהנחיות דיגיטליות או בחתימות אלקטרוניות וללכוד אותן כפריטים.

שלב 3: אוטומציה של טריגרים מבוססי סיכון
הגדר ביקורות אוטומטיות עבור כל מצטרפים, קליטת SaaS או קבלנים. יש לקשר את הבודק, התאריך והתוצאה למסמכי הבקרה.

שלב 4: איסוף הראיות
בנה צבירה של מסך יחיד: משתמשים, כיסוי MFA, חריגים, גרסאות, יומני ביקורת.

שלב 5: התקדמו כמו מבקר
רבעוני, ייצוא תפקיד/סטטוס משרד החוץ, בדיקת רישום החריגים, אימות צולב של אישורי צוות וודא שהאירועים מקושרים להצהרת הישימות.

אלו שמשקיעים בכלי זרימת עבודה המגשרים בין מדיניות, סיכונים ורישום בזמן אמת מגלים שביקורות הופכות שגרה-אין עוד אירועים לחשוש מהם

כיצד ISMS.online הופך את "מוכן לביקורת" לברירת מחדל ברת השגה

סביבת ISMS.online מאפשרת לכם לרכז, להפעיל ולחשוף כל היבט של לולאת ה-MFA שלכם. ראיות אינן הולכות לאיבוד במיילים או ב"מעקבים ידניים" - הן ניתנות לייצוא, לביקורת ולקריאה על ידי הדירקטוריון, מבקר או רגולטור לפי דרישה.

תכונות המאפשרות מוכנות אמיתית לביקורת:

מלאי מיידי: צפה, ייצא והתבונן בכל המשתמשים, התפקידים וסטטוסי ה-MFA.
רישום חריגים: ראה כל פטור עם הבעלים החי, ההיגיון, השליטה המפצה ותאריך היעד - ללא עיכוב או הפתעות ביקורת.
חבילת ראיות במקום אחד: רישום אישורים מצטבר, היסטוריית בקרה, נתיבי ביקורת גרסאות ורישומי סיכונים בלחיצה אחת.
חבילת פוליסה בתוספת משלוח: הקצאה, עדכון ומעקב אחר אישור של מדיניות MFA וגישה; ניטור כיסוי בין קבוצות משתמשים.
טריגרים אוטומטיים להטמעה: כאשר מופיע משתמש חדש או קבלן מצטרף, זרימת עבודה מבקשת סקירת סיכונים ו-MFA מיידית, ורושם את כל שלבי האישור ביומן הביקורת.

מוכנות לביקורת פירושה שכל אחד בדירקטוריון או בצוות הביקורת שלך יכול לשאול, ומערכת ה-ISMS שלך מציגה הוכחות באופן מיידי - ללא חיפוש אנושי מטורף, רק מערכת חיה ועמידה בפני תאימות.

קריאה לפעולה (CTA) של זהות: כאשר אתם מובילים את התעשייה בתחום מיפוי בקרת גישה ושירותי משרד עורכי דין בזמן אמת, מבקרים ולקוחות כאחד רואים בתחום שלכם אות של אמון. תנו ל-ISMS.online לשלב את הדומיננטיות הזו בשגרה שלכם. בנו את ההוכחה החיה שלכם - ותישנו בשקט כשהמבקר מתקשר.

שאלות נפוצות

מה מחייב NIS 2 עבור MFA - האם זה רק עבור מנהלים או עבור כל משתמש שמהווה סיכון?

תקנת NIS 2 מחייבת אימות רב-גורמי (MFA) כדרישה מוחלטת לכל החשבונות הפריבילגיים והמנהליים, אך הולכת רחוק יותר בכך שהיא לוחצת על ארגונים להחיל MFA על כל פרופיל משתמש שהגישה או הקשר העבודה שלו נחשבים כמעלה סיכונים - לא רק למנהלי IT. הארגון שלך חייב למפות באופן שיטתי את כל המשתמשים - כולל צוות רגיל, קבלנים, עובדים זמניים, ספקים וכל מי שיש לו גישה מרחוק או ענן - מול מערכות עסקיות, רגישות נתונים וחשיפה. אימות רב-גורמי למנהלים בלבד הוא כעת מיושן: תאימות יעילה דורשת הערכת סיכונים חיה שקובעת מי מקבל MFA, עם אכיפה טכנית, סקירה שוטפת ותיעוד רשמי עבור כל שכבת משתמש.

למה חברות לא יכולות יותר להסתמך על MFA למנהלים בלבד?

מגמות תקיפה אחרונות מראות שגורמי איום מכוונים לחשבון הנגיש ביותר, ולא רק לאישורי מנהלי IT. צוות קבוע עם גישה מרחוק, דפוסי עבודה היברידיים או גישה למידע רגיש הם כיום וקטורים ראשוניים שכיחים של פריצות. תחת NIS 2, כל נקודת אחיזה - כל נקודה שבה תוקפים עלולים להסלים - צריכה להיות מוגנת על ידי MFA נאכף, אלא אם כן קיים רציונל עסקי חזק הנבדק באופן קבוע לפטור. מבקרים מעריכים כיצד הערכות סיכונים מובילות ליישום מדיניות על פני כל קבוצת משתמשים, ודורשים ראיות לכך שתהליך זה הוא גם מכוון וגם עדכני.

כיצד מיושם תוכנית MFA "מבוססת סיכון" במסגרת הנחיות NIS 2 ו-ENISA?

"MFA מבוסס סיכון" אינו תיאוריה: הוא מנוסח באופן פורמלי באמצעות מיפוי שיטתי של כל חשבון משתמש לנוף הסיכונים - שילוב של רמות גישה, נתונים שטופלו, עבודה מרחוק/ענן ופונקציות עסקיות קריטיות. הנה התרגום לעולם האמיתי:

חשבונות מנהל/הרשאות: כולם דורשים MFA כברירת מחדל - אפס חריגים.
משתמשים מרוחקים/קבלנים/ענן/SaaS: תמיד במסגרת התחום; הסכם חוץ-מיני (MFA) הוא קו בסיס שאינו ניתן למשא ומתן.
צוות סטנדרטי, במקום בלבד: ייתכן פטור, אך רק עם נימוק רשמי בכתב, מינוי בעל סיכון, לוחות זמנים לבדיקה ובקרות פיצוי (למשל, פילוח רשת מחמיר או בקרות נקודות קצה).
חריגים/מקרים מדור קודם: יש לעקוב אחר הפטור במרשם ראשי, לחתום על ידי בעל סיכון ששמו רשום, להיבדק באופן קבוע ולגבות אותו בראיות מדוע הפטור נותר בתוקף.

ללא "מלאי סיכונים חיים", הצהרות מדיניות או בקרות מבוססות כוונה בלבד אינן מספיקות. בכל פעם שנוצר חשבון חדש, עובר תפקיד או נפרס כלי עסקי, נדרשת סקירת סיכונים.

אילו שינויים בנוגע לתאימות וביקורות?

רואי חשבון בודקים את האכיפה האמיתית שלכם - רישומים, יומנים, מיפוי תנאי השימוש - מול מה שהמדיניות שלכם טוענת. כל קבוצה חסרה או פער בראיות יכולים להפוך לממצא ביקורת, במיוחד אם "מבוסס סיכון" הוא רק על הנייר. כיסוי מתמשך, לא סטטי, הוא הנורמלי החדש.

מי חייב/ת במסגרת תוכנית MFA, מי עשוי/ה להיות בעל/ת אישור, ומתי ניתן להצדיק פטורים במסגרת תוכנית 2 ₪?

חשבונות מנהל/מורשים: *MFA חובה*. זה מכסה חשבונות root, superuser, שירות, כניסות ספקים מורשות וכל מנהל מערכת ברמת המערכת - ללא יוצאים מן הכלל.
משתמשים קבועים/צוות עסקי: נדרשת גישה למערכות רגישות (MFA) אם התפקידים כוללים גישה למערכות רגישות, כניסה מרחוק או לענן, טיפול בנתונים מוסדרים, או כל מערכת שעלולה להיות ממונפת לתנועה רוחבית בתקיפה. בכל פעם שסיכון עולה - אפשרות עבודה מרחוק, כלי SaaS חדש או שינוי מדיניות - רשת ה-MFA חייבת להתרחב.
קבלנים/צדדים שלישיים: חייבים לעקוב אחר אותו מיפוי כמו של עובדים פנימיים. אם החשבונות שלהם ארוכי טווח, מופעלים מרחוק או בעלי הרשאות מוגברות, MFA חל כפי שהיה חל באופן פנימי. רק חשבונות מקומיים, מוגבלים בזמן לחלוטין, ללא הרשאות, שאינם ניגשים לנכסים קריטיים, עשויים להיחשב לפטור - עם נימוק ורישום מועד תפוגה.
פטורים אמיתיים: נדיר - מוצדק רק עבור חשבונות ללא גישה מרחוק או קריטית למערכת. חייב להיות בעל שם וקצב בדיקה מתועד ומוגבל בזמן.

ארגונים מאובטחים מתייחסים לכל זהות דיגיטלית מתמשכת כווקטור תקיפה פוטנציאלי, לא רק לכניסות מנהל מערכת.

מהן המכשולים הנפוצים ביותר ב-NIS 2 MFA, וכיצד ניתן להימנע מהן?

טעויות תכופות:

הסתמכות רק על סיסמאות עבור מנהלים או גישה מרחוק/SaaS.
הצהרות מדיניות שאינן תואמות ליומני ביקורת או לאכיפה בעולם האמיתי.
שימוש ב-SMS כמנגנון MFA יחיד למרות הנחיות ציבוריות נגדו (כעת מומלצים FIDO2, אפליקציות אימות או סיסמות).
אי רישום/תיעוד חריגים או חשבונות מדור קודם - אם זה לא מופיע ברישום עם סיבה ומחזור סקירה, זהו פער.
כפיית אסטרטגיות MFA "מידה אחת מתאימה לכולם" שמעוררות התנגדות משתמשים ו"צללת" IT (פתרונות עוקפים, שימוש במכשירים אישיים).
מתן אפשרות לרישומים ולמפות סיכונים להפוך לישנים - תפקידים ומערכות משתנים מהר יותר מאשר סקריפטים ישנים של מדיניות.

אמצעי הימנעות:

שמור/י על מלאי בזמן אמת של כל החשבונות, מסווגים לפי סיכון מערכת וסוג משתמש.
הקצאת בעלות על סיכונים לכל חריג, עם תיעוד ומעקב קפדניים.
בדקו מעת לעת את המדיניות שלכם באמצעות ביקורות עצמיות ודמו הערכה חיצונית.
עדכנו את כלי ה-MFA כדי לעמוד בסטנדרט הגבוה ביותר הנתמך על ידי הפלטפורמות וכוח העבודה הנייד שלכם.
השתמשו בפלטפורמות (כמו ISMS.online) שמאפשרות אוטומציה של איסוף ראיות, טריגרים לשינויים ותזכורות לסקירת חריגים.

כיצד ניתן לבנות ראיות ומיפוי כדי לעבור ביקורת NIS 2?

גישת ביקורת גמישה ומוכנה לשימוש חוזר משתמשת במרשם ראשי הקושר סוגי חשבונות לרמת סיכון, דרישת MFA, נימוק החריגה ומקור הראיות. דוגמה למרשם:

קבוצת משתמשים	הקשר סיכון	סטטוס משרד החוץ	שביל ביקורת
מנהל/בעל הרשאות	כלשהו, תמיד	פעיל כברירת מחדל	יומני אירועי מערכת, קובץ dump של הגדרות
צוות מרוחק/SaaS	גישה לענן/מרחוק	פעיל כברירת מחדל	מדיניות משתמשים, יומני אימוץ
צוות מקומי בלבד	פנימי, ללא מערכות SaaS	פטור (אם מוצדק)	מקרה סיכון, סקירת מסמך
ספקים/קבלנים	נתונים קבועים/רגישים	לפי סיכון ממופה	יומני גישה, יומן חריגים

שלבי ביקורת מרכזיים:

עבור כל פטור, בעל הרשומה, נימוק, תפוגה ובדיקה הבאה.
מיפוי כל סוג חשבון להצהרת הישימות (SoA) ולבקרות הערכת הסיכונים שלך.
כאשר תפקידים, משתמשים או כלים משתנים, יש לוודא שהפלטפורמה מבקשת עדכון מדיניות/בקרה - ורושמת ראיות.

ISMS.online מספק ניהול גרסאות אוטומטי של מדיניות, מעקב אחר רישום ורישום ראיות - הכל ניתן לייצוא עבור מבקרים.

אילו תיעוד ותהליכים תפעוליים חיוניים כדי שמדיניות ה-MFA שלכם תשרוד את ביקורת התאימות לתקן NIS 2?

יסודות:

מסמכי מדיניות חיים, מבוקרי גרסאות: רישום כל שינוי מדיניות, חריג ובדיקה - ללא קבצי PDF סטטיים.
יומני מערכת ואירועים מלאים: עקוב אחר אילו חשבונות משתמשים ב-MFA, מי היה מכוסה בכל נקודת זמן וכל החריגים.
רישומים מרכזיים לחשבונות משתמשים וחריגים: קשרו כל חשבון להערכת סיכונים, בעלים שהוקצו, סטטוס בקרה ותזמון סקירה - הכל מתעדכן בזמן אמת.
עדכונים אוטומטיים או מבוססי זרימת עבודה: ודא שכל הוספת משתמש/תפקיד או מערכת תפעיל סקירת רישום/מדיניות באופן מיידי, לא רק בעונת הביקורת.
בדיקות/תרגילים עצמיים תקופתיים: בצע בדיקות עצמיות רבעוניות המדמות ביקורת רגולטורית: האם כל החשבונות הנדרשים מכוסים, האם הפטורים תקפים ונבדקו, האם שרשרת הראיות שלך שלמה - עד לרמות תצורה במידת הצורך.

כאשר בקרות, חריגים וראיות שזורים בזרימות עבודה יומיומיות - לא רק בספרי הדרכה של מדיניות - הציות למדיניות אינו הופך לאירוע של הצלחה/כישלון, אלא לסמן של אמון עסקי ובגרות מתמשכים.

טבלת תאימות ISO 27001/NIS 2 MFA: מציפייה לראיות

תוֹחֶלֶת	אופרציונליזציה	תקן ISO 27001/נספח א'
MFA עבור חשבונות בעלי הרשאה/מנהל מערכת הוא אוניברסלי	אכיפה טכנית, יומני רישום, ביקורות שוטפות	א.5.10, א.5.12, א.8.5
MFA מבוסס סיכון נפרס למשתמשים שאינם מנהלי מערכת	מיפוי תפקידים/מלאי, יומני החלטות, סקירות סיכונים	א.8.3, א.8.9, א.5.12
כל החריגים נבדקו/תועדו רשמית	בעלים, הצדקה, תפוגה, בקרות פיצוי	א.8.21, א.5.18, א.5.36
ביקורת/שמירה על ראיות מתמשכות	ביקורת עצמית, יומני שינויים, פתרון בעיות חי	א.5.35, א.9.2, א.9.3

מיני-טבלה למעקב

הדק	עדכון סיכונים	קישור בקרה / SoA	ראיות שנרשמו
אפליקציית ענן אומצה	סיכון המשתמש הוערך מחדש	א.8.3, א.8.21	שינוי רישום, יומן פריסת MFA
תפקיד הצוות עובר מרחוק	הרשאות מוגברות	א.5.16, א.5.18	שינוי תצורה, יומני הטמעה
החריג נבדק/חודש	הערכת בקרה	A.5.36	הערת בעלים, הערת ביקורת

תאימות מתמשכת מגיעה כאשר בקרות הגישה וראיות ה-MFA שלכם הן דינמיות, תפקיד-אחר-תפקיד וממופות סיכונים במקום תרגילים בירוקרטיים סטטיים. כאשר כל מדיניות, מערכת וחריג עוקבים וקשורים לראיות מהעולם האמיתי, ביקורות הופכות לבוני אמון - ולא לנקודות לחץ - עבור ההנהלה והדירקטוריון שלכם.