אבטחת מידע – התקנות החדשות


לקראת סוף מרץ 2017, אישרה ועדת החוקה, חוק ומשפט את התקנות החדשות להגנת הפרטיות.
מה זה אומר?
כל גוף בישראל אשר מחזיק במאגר מידע אשר מוגדר על פי חוק הגנת הפרטיות על פי רמות אבטחה שהוגדרו בתקנות, יהיה מחויב בתקנות החדשות.

התקנות מסבירות בפירוט כי יש כ-ארבעה סוגים של מאגרי מידע, כאשר לכל מאגר מידע יש את הרמת אבטחה שלו.
רמות האבטחה המאוגדות בתקנות הן:

  1. מאגרים שמנוהלים על ידי יחיד.
  2. רמת אבטחה בסיסית- בהגדרה זו נכנסים בעלי עסקים אשר מחזיקים מאגרים כמו רשימת דיוור וכדומה, והמרשים בגישה למאגר לא עולה על עשרה אנשים.
  3. רמת אבטחה בינונית- אליהם נכנסים מאגרים אשר אליהם יש גישה למעל עשרה אנשים ואשר מחזיקים במידע רגיש כמו מידע פלילי, רפואי וכדומה.
  4. רמת אבטחה גבוהה- אשר כוללים מאגרים של למעלה ממאה אלף איש ומספר המורשים למאגר עולה על מאה.

אז לאחר ההקדמה, מהן התקנות בעצם ומה הן אומרות?

  1. נוהל אבטחה- על בעלי המאגרים לנסח מסמך “נוהל אבטחת מידע” ובו יכללו:
    אופן ההתמודדות עם אירועי אבטחת מידע, הסיכונים אשר המאגר חשוף אליהם ודרכים לטיפול, הרשאות גישה למאגר, תיאור אמצעי האבטחה, והוראות אבטחה של המאגר בין יתר הדברים.
  2. אבטחה פיזית וסביבתית- תקנה זו מחייבת כי המערכות שבהן נמצא המאגר יישמרו במקום מוגן , אשר תואם את אופי המאגר ורמת רגישות המידע בו.
  3. מסמך הגדרות המאגר- מסמך אשר מכיל את הגדרות המאגר, השימושים בו וסוגי המידע השונים אשר כלולים במאגר.
    על המסמך להתעדכן בכל עת בה יבוצע שינוי משמעותי במאגר ורמת נחיצות השמירה על המאגר תיבדק אחת לשנה.
  4. ניהול הרשאות גישה- הרשאת הגישה למאגר תקבע בהתאם להגדרת התפקיד וינוהל רישום מעודכן של רשימת ההרשאות התקפות. מתן ההרשאה לגישה למאגר יינתן לאחר נקיטת אמצעים סבירים עוד בהליכי מיון העובדים.
  5. סקר סיכונים ומיפוי מערכות- מסמך מעודכן של מבנה המאגר אשר יכלול בין היתר סוגי רכיבי תקשורת, מערכות התוכנה המשמשות להפעלה של המאגר, סקר לאיתור סיכוני אבטחת המידע וכולי.
  6. מיקור חוץ- תקנה אשר קובעת את ההוראות לעניין התקשורת מול גופים חיצוניים לצורך קבלת שירות- אשר כרוך במתן גישה למאגר המידע.
  7. ביקורות תקופתיות- ביקורת פנימית או חיצונית על ידי הגורם המתאים והגופים המקובלים בעלי ההכשרה המתאימה בכדי לוודא עמידה בהוראות התקנות.
  8. תיעוד אירועי אבטחה- תיעוד של כל אירועי האבטחה בכל הנוגע למאגר המידע על ידי בעל המאגר.
  9. אבטחת תקשורת- תקנה הקובעת כי כל מערכת שבה מתנהל המאגר לא תחובר לרשת האינטרנט או רצת ציבורית ללא אמצעי הגנה מתאימים מפני חדירה לא מורשית.
  10. התקנים ניידים- על בעל המאגר למנוע אפשרות לחיבור התקנים ניידים למערכות המאגר או לחלופין להגביל זאת על ידי שימוש באמצעי ההגנה המקובלים.
  11. גיבוי ושחזור- ייקבעו נהלים לביצוע גיבוי ושחזור של המידע בהתאם לרמת רגישות המידע במאגר.

איך תדעו אילו הליכים עליכם לבצע?

במידה ואתם בעלי מאגר מידע אשר מנוהל על ידי יחיד, כלומר ברמת אבטחה בסיסית ביותר, חלות עליכם חובות מצומצמות ביותר הכוללות הכנה של מסמך הגדרות המאגר בלבד.
ואילו בעלי מאגרים בשאר רמות האבטחה נדרשים להכין מסמך הגדרות מורחב יותר שבו יוגדר איסוף המידע, מטרת השימוש בו  והאם לא נאסף מידע מעבר.
בעלי מאגר אשר נכללים תחת רמת האבטחה הגבוהה ביותר יידרשו לבצע את כל הסקרים, להכין את כל המסמכים, לתעד את כל אירועי האבטחה ובאופן כללי לקיים את כל התקנות בלי יוצא מהכלל.

למה בכלל נקבעו התקנות?

בעקבות איסוף המידע האגרסיבי על ידי חברות הטכנולוגיה וכל חברה בעצם שמחזיקה מידע ופרטים רגישים על לקוחותיה (החל ממספר טלפון ומייל ועד למידע רפואי, ביטחוני או פלילי) הגדירה ועדת החוקה את התקנות שמטרתן היא לדאוג לפרטיות האזרחים.
אולי יצא לכם להיתקל בהגדרה GDPR (General Data Protection Regulation)- הגדרה זו בערך בעלת אותו עיקרון התקנות הישראליות, ומטרתה היא להסדיר את השמירה על המידע האישי של אזרחי איחוד אירופה אשר מוחזק עלי ידי החברות המסחריות למיניהן.
פרט חשוב שעליכם לקחת בחשבון הוא העונשים המוטלים על אי עמידה בתקנות אבטחת המידע.
במידע ואתם אוגרים מידע על האיחוד האירופאי התקנות של GDPR יחייבו אתכם בקנס של כ-4% ממחזור הכספים שלכם או קנס בגובה של 20 מיליון יורו (הגבוה מביניהם).
ואילו בישראל העונש הוא עד חמש שנות מאסר, במידה והוכחה אחריות פלילית של בעל במאגר, וכן ניתן לתבוע על הפרה ז בבית משפט אזרחי.

אז אם אתם בעלי מידע, גדול או קטן חשוב שתכירו ביתרון המשמעותי של התקנות, כאשר אתם מקיימים את התקנות על פי הספר מה שנקרא ושומרים על פרטיות לקוחותיכם, הרווחתם את האמון שלהם, שאם נודה באמת- זה הדבר הכי חשוב כאשר מנהלים עסק.

דילוג לתוכן