תקנות הגנת הפרטיות | (אבטחת מידע)

השאירו פרטים כאן לקבלת מידע טלפוני אודות תקנות הגנת הפרטיות הישראליות או התקשרו ל- 03-7176281

תקנות הגנת הפרטיות בישראל:

בשנים האחרונות הולכת וגוברת המגמה לשיפור אבטחת המידע בעולם בכלל ובישראל בפרט, זאת בעקבות ליקויים בשמירת מידע של חברות, התפתחות הטכנולוגיה והעליה באיומים.

כתוצאה מכך, לקוחות חוו חוסר אמון ועתה דורשים רמה גבוה ביותר של אבטחת המידע שלהם שאגור במערכות של ארגונים שונים.

ב-8 למאי 2018 נכנסו לתוקף בישראל תקנות הגנת הפרטיות (אבטחת המידע). במקביל נכנסו גם התקנות האירופאיות GDPR שייעודן שיפור אבטחת המידע הפרטי המצוי במאגרים של אזרחי האיחוד האירופאי.

מי מחויב בתקנות ובאיזו רמה?

כל אדם/ארגון המחזיק מאגר מידע מכל סוג וגודל מחויב בעמידה בתקנות על פי הרמה המתאימה לאופי מאגר המידע שברשותו:

1. ניהול יחיד – מאגר אליו יש לכל היותר 2 בעלי הרשאה והוא מנוהל ע"י מנהל יחיד או חברה בבעלות יחיד. לרוב, יהיה מדובר בעסקים קטנים והם ידרשו לרמת האבטחה הנמוכה ביותר.
2. רמת אבטחה בסיסית – מאגרים שאינם בניהול יחיד, אך לא חלה עליהם החובה לרמת אבטחה בינונית/ גבוהה.
3. רמת האבטחה הבינונית – מאגר בעל מעל ל-10 בעלי הרשאה שבמידע שלו נעשה שימוש שנמסר לאחר או כזה המכיל מידע רפואי, מידע פלילי או כל מידע רגיש אחר.
4. רמת האבטחה הגבוהה – מאגר בעל מעל ל-100 בעלי הרשאה עם מידע לשימוש מסירה או מאגר הכולל מידע רגיש על מעל מאה אלף איש ומעלה.

ישנם סייגים וחריגים בסיווג רמות ההבטחה הנדרשות המפורטים בתקנות. לצורך סיווג הארגון הספציפי שלך ברמת האבטחה הנכונה והמתאימה לו, אנו ממליצים להיעזר במשפטן מומחה לנושא, בדיוק כמו אלו שמועסקים אצלנו ב-Hermeticon.

מפחיד? לא אותנו!

חברת Hermeticon הציבה יעד ללוות את החברות הנדרשות לעמידה בתקנות הגנת הפרטיות באופן כולל ומקצועי. המומחים שלנו יצרו פתרון ייחודי המוכיח את יעילותו בשוק ומוגש כשירות לכם.

המומחים שלנו נמצאים בקשר תמידי עם מכון התקנים ומשרד המשפטים, מה שמבטיח לכם עמידה בכל התפתחות אם וכאשר תהיה.

הסירו דאגה מליבכם ותנו למומחי Hermeticon להוביל גם את הארגון שלכם אל עמידה מלאה בתקנות ההכרחיות והחשובות הללו, כמובן תוך דאגה מקיפה והתאמה לצרכי הארגון שלכם.

כחלק משירותינו בתחום הרגולציה, אנו מעניקים שירות CISO as a service המותאם לכם באופן אישי וייחודי לפעילות הארגון והמשאבים העומדים לרשותכם.

תהליך העמידה בתקנות הגנת הפרטיות:

הגדרות המאגר:

הצעד הראשון יהיה לערוך מסמך הנקרא "מסמך הגדרות המאגר", אשר יש לעדכן אחת לשנה (אם ישנם שינויים או שהתרחש אירוע אבטחה) ויכיל חלק מהנושאים הבאים:

• תיאור כולל של דרך איסוף המידע וכיצד משתמשים בו.
• מהו המידע האישי במאגר ולשם מה הוא משמש..
• האם נעשות במידע פעולות צד שלישי (כמו העברה לחו"ל)?
• פרטי מנהל מאגר המידע ושל הממונה על אבטחת המידע שבו.
• מהם הסיכונים אליהם חשוף המידע ודרך ההתמודדות איתם.

ממונה אבטחת מידע וניהול מאובטח של המאגר:

במידה והארגון מנהל 5 מאגרי מידע ומעלה, הארגון הוא גוף ציבורי (בכלל זה בנק, חברות ביטוח ועוד) או עוסק בדרוג אשראי – יש למנות אחראי אבטחת מידע על פי החוק. האחריות על אבטחת המידע הינה על בעל המאגר ומנהל המאגר ופעולות במאגר דורשות תיעוד.

באחריות בעל המאגר ליצור הפרדה בין מערכות המאגר לבין מערכות אחרות, כמו למשל התקנת המאגר על שרת נפרד. חלה חובה לעדכן את מערכות המאגר בהתאם להנחיות היצרן.

כתיבת נוהל אבטחת מידע:

מסמך נוסף שיש לערוך הוא מסמך של מבנה מערכות המידע והמאגרים בארגון, פרטיו יינתנו אך ורק לבעלי הרשאה מתאימה. מסמך זה יכלול:

• מהן המערכות עליהן פועל מאגר המידע, ניהולו ואופן אבטחתו וכן אילו תוכנות משמשות לתקשורת בתוך ומחוץ למאגר.
• תיאור הקשרים בין חלקי המערכת השונים ומיקומם על ידי תרשים.
• אילו תשתיות ומערכות חומרה משמשות לכך.
• ציון התאריך האחרון בו עודכן המסמך.

תיעוד של אירועי אבטחה:

כל אירוע שבעקבותיו ישנה פגיעה בשלמות המידע או שימוש בו ללא הרשאה, יחשב כאירוע אבטחה המחייב בתיעוד של כל פרטיו.

ברמת אבטחה בינונית יש לבצע דיון אחת לשנה לפחות ואילו ברמת אבטחה גבוהה יש לבצע דיון אחת לרבעון לפחות.

בדיון יבחן הצורך בעדכון נהלים, אירועי אבטחה שהתרחשו והפעולות שננקטו בעקבותיהם.

אבטחת מידע פיזית וסביבתית:

תקנות הגנת הפרטיות מחייבות את הארגונים ובעלי המאגר לאבטח באופן פיזי את מערכות החומרה עליהן "יושב" המאגר.

ההגנה תעשה מפני עובדי החברה שאינם מורשים או מורשים באופן חלקי וכל כניסת עובד למאגר ברמת אבטח בינונית/ גבוהה יתועד ע"י מצלמות אבטחה ואמצעים נוספים.

התקנים ניידים:

בעידן הנוכחי ישנו שימוש נרחב בהתקנים ניידים, התקנות נותנות את הדעת גם לנושא זה המועד לפורענות בכל הקשור לאבטחת מידע.

בכלל זה מחשבים ניידים, כונן חיצוני, פלאפון ועוד. התקנים אלו עלולים בין השאר להכניס וירוסים, כאשר מחברים אותם למאגר ועל כן יש להגביל את השימוש בהם. במקרה של העברת מידה בצורה זו, חשוב להצפין את המידע ע"י שיטות הצפנה שונות.

אבטחת תקשורת:

עוד גורם בעל סיכון גבוהה הוא רשת האינטרנט, לכן יש לפעול על פי ההנחיות הבאות:

1. בהעברת מידע – יש להשתמש השיטות הצפנה אמינות.
2. ישנה חובה להתקין אמצעי הגנה על כל מערכת הבאה במגע עם מאגר המידע (כמו תוכנת אנטי וירוס).
3. בכל כניסה מרחוק, חייבת להיות דרישת הזדהות מתאימה.
4. במאגרים שסווגו כבעלי רמת אבטחה בינונית/ גבוהה ישנה חובת שימוש באמצעי פיזי הנשלט ע"י בעל המאגר.

מיקור חוץ:

גורם נוסף המעמיד את מאגר המידע בסיכון הוא עבודה אל מול גורמי חוץ, לכן יש לבחון מראש את אופן ההתקשרות, אילו הרשאות יינתנו לספק הספציפי, מהן הסכנות בכך ודרכי התמודדות אפשריים.

כלל החובות בעבודה אל מול ספקים מפורטים בתקנה מספר 15 לתקנות אבטחת מידע.

ביקורות תקופתיות:

אחת לשנתיים יש לערוך ביקורת ע"י גורם מוסמך (שאינו הממונה על אבטחת המאגר) בכדי לוודא עמידות בכל מאגר המסווג כבעל רמת אבטחה בינונית או גבוהה.

משך שמירת נתוני אבטחה:

את נתוני האבטחה שיצברו בהגנה על המאגר, יש לשמור למשך שנתיים לפחות בצורה מאובטחת. כמו כן, יש לגבות את הנתונים בצורה כזו שיהיה ניתן לשחזרם בעת הצורך.

רגולציה ותקנים מקבילים:

הסמכות לפטור מחובות הכתובות בתקנות אבטחת המידע או להוסיף חובות על מאגר מסוים נמצאת אצל הרשם.

במקרה של אי עמידה בתקנות, יוטלו סנקציות חמורות על ידי הרשות להגנת הפרטיות (בכללן כתבי אישום פליליים, קנסות ואף מאסר).

אז למה אתם מחכים? השאירו פרטים כאן לקבלת מידע טלפוני או התקשרו ל- 03-7176281