בשנים האחרונות הולכת וגוברת המגמה לשיפור אבטחת המידע בעולם בכלל ובישראל בפרט, זאת בעקבות ליקויים בשמירת מידע של חברות, התפתחות הטכנולוגיה והעליה באיומים.
כתוצאה מכך, לקוחות חוו חוסר אמון ועתה דורשים רמה גבוה ביותר של אבטחת המידע שלהם שאגור במערכות של ארגונים שונים.
ב-8 למאי 2018 נכנסו לתוקף בישראל תקנות הגנת הפרטיות (אבטחת המידע). במקביל נכנסו גם התקנות האירופאיות GDPR שייעודן שיפור אבטחת המידע הפרטי המצוי במאגרים של אזרחי האיחוד האירופאי.
כל אדם/ארגון המחזיק מאגר מידע מכל סוג וגודל מחויב בעמידה בתקנות על פי הרמה המתאימה לאופי מאגר המידע שברשותו:
ישנם סייגים וחריגים בסיווג רמות ההבטחה הנדרשות המפורטים בתקנות. לצורך סיווג הארגון הספציפי שלך ברמת האבטחה הנכונה והמתאימה לו, אנו ממליצים להיעזר במשפטן מומחה לנושא, בדיוק כמו אלו שמועסקים אצלנו ב-Hermeticon.
חברת Hermeticon הציבה יעד ללוות את החברות הנדרשות לעמידה בתקנות הגנת הפרטיות באופן כולל ומקצועי. המומחים שלנו יצרו פתרון ייחודי המוכיח את יעילותו בשוק ומוגש כשירות לכם.
המומחים שלנו נמצאים בקשר תמידי עם מכון התקנים ומרד המשפטים, מה שמבטיח לכם עמידה בכל התפתחות אם וכאשר תהיה.
הסירו דאגה מליבכם ותנו למומחי Hermeticon להוביל גם את הארגון שלכם אל עמידה מלאה בתקנות ההכרחיות והחשובות הללו, כמובן תוך דאגה מקיפה והתאמה לצרכי הארגון שלכם.
הגדרות המאגר:
הצעד הראשון יהיה לערוך מסמך הנקרא "מסמך הגדרות המאגר", אשר יש לעדכן אחת לשנה (אם ישנם שינויים או שהתרחש אירוע אבטחה) ויכיל חלק מהנושאים הבאים:
ממונה אבטחת מידע וניהול מאובטח של המאגר:
במידה והארגון מנהל 5 מאגרי מידע ומעלה, הארגון הוא גוף ציבורי (בכלל זה בנק, חברות ביטוח ועוד) או עוסק בדרוג אשראי – יש למנות אחראי אבטחת מידע על פי החוק. האחריות על אבטחת המידע הינה על בעל המאגר ומנהל המאגר ופעולות במאגר דורשות תיעוד.
באחריות בעל המאגר ליצור הפרדה בין מערכות המאגר לבין מערכות אחרות, כמו למשל התקנת המאגר על שרת נפרד. חלה חובה לעדכן את מערכות המאגר בהתאם להנחיות היצרן.
כתיבת נוהל אבטחת מידע:
מסמך נוסף שיש לערוך הוא מסמך של מבנה מערכות המידע והמאגרים בארגון, פרטיו יינתנו אך ורק לבעלי הרשאה מתאימה. מסמך זה יכלול:
תיעוד של אירועי אבטחה:
כל אירוע שבעקבותיו ישנה פגיעה בשלמות המידע או שימוש בו ללא הרשאה, יחשב כאירוע אבטחה המחייב בתיעוד של כל פרטיו.
ברמת אבטחה בינונית יש לבצע דיון אחת לשנה לפחות ואילו ברמת אבטחה גבוהה יש לבצע דיון אחת לרבעון לפחות.
בדיון יבחן הצורך בעדכון נהלים, אירועי אבטחה שהתרחשו והפעולות שננקטו בעקבותיהם.
אבטחת מידע פיזית וסביבתית:
תקנות הגנת הפרטיות מחייבות את הארגונים ובעלי המאגר לאבטח באופן פיזי את מערכות החומרה עליהן "יושב" המאגר.
ההגנה תעשה מפני עובדי החברה שאינם מורשים או מורשים באופן חלקי וכל כניסת עובד למאגר ברמת אבטח בינונית/ גבוהה יתועד ע"י מצלמות אבטחה ואמצעים נוספים.
התקנים ניידים:
בעידן הנוכחי ישנו שימוש נרחב בהתקנים ניידים, התקנות נותנות את הדעת גם לנושא זה המועד לפורענות בכל הקשור לאבטחת מידע.
בכלל זה מחשבים ניידים, כונן חיצוני, פלאפון ועוד. התקנים אלו עלולים בין השאר להכניס וירוסים, כאשר מחברים אותם למאגר ועל כן יש להגביל את השימוש בהם. במקרה של העברת מידה בצורה זו, חשוב להצפין את המידע ע"י שיטות הצפנה שונות.
אבטחת תקשורת:
עוד גורם בעל סיכון גבוהה הוא רשת האינטרנט, לכן יש לפעול על פי ההנחיות הבאות:
מיקור חוץ:
גורם נוסף המעמיד את מאגר המידע בסיכון הוא עבודה אל מול גורמי חוץ, לכן יש לבחון מראש את אופן ההתקשרות, אילו הרשאות יינתנו לספק הספציפי, מהן הסכנות בכך ודרכי התמודדות אפשריים.
כלל החובות בעבודה אל מול ספקים מפורטים בתקנה מספר 15 לתקנות אבטחת מידע.
ביקורות תקופתיות:
אחת לשנתיים יש לערוך ביקורת ע"י גורם מוסמך (שאינו הממונה על אבטחת המאגר) בכדי לוודא עמידות בכל מאגר המסווג כבעל רמת אבטחה בינונית או גבוהה.
משך שמירת נתוני אבטחה:
את נתוני האבטחה שיצברו בהגנה על המאגר, יש לשמור למשך שנתיים לפחות בצורה מאובטחת. כמו כן, יש לגבות את הנתונים בצורה כזו שיהיה ניתן לשחזרם בעת הצורך.
רגולציה ותקנים מקבילים:
הסמכות לפטור מחובות הכתובות בתקנות אבטחת המידע או להוסיף חובות על מאגר מסוים נמצאת אצל הרשם.
במקרה של אי עמידה בתקנות, יוטלו סנקציות חמורות על ידי הרשות להגנת הפרטיות (בכללן כתבי אישום פליליים, קנסות ואף מאסר).
מרדכי רוז'נסקי 18 כניסה ב',
א.ת חדש ראשון לציון
א' - ה'
08:00-17:00