תקנות אבטחת מידע החדשות – מדריך לבעלי עסקים

בתחילת חודש מאי 2018 יכנסו לתוקף תקנות אבטחת המידע החדשות. התקנות נוגעות ורלוונטיות לגופים רבים במשק הישראלי, בין אם מדובר בעסקים קטנים המנהלים מידע על לקוחותיהם ובין אם מדובר בתאגידי ענק, ועתידות לקבוע נורמות חדשות ומקיפות לפעילותם של מי שמנהלים או מחזיקים במאגרי מידע המכילים מידע אישי בכל הנוגע לנהלי אבטחת מידע.

תקנות אבטחת המידע החדשות כוללות רשימה ארוכה של פעולות שיש לבצע, על מנת לעמוד בדרישות. התקנות מחלקות את השוק הישראלי לקטגוריות שונות, בהתאם לרמת הרגישות של המידע והגודל של הארגון.

אין ספק כי העידן המודרני וההתפתחות הטכנולוגית של העשור האחרון, הם אלה שיצרו את הצורך להחליף את התקנות הקיימות בעניין זה משנת 1986, שהיו מיושנות ולא מתאימות לעידן הדיגיטלי, עידן בו נפתחו אפשרויות רבות ומגוונות לחדירה וגניבה של מידע בבתי עסק. להלן מספר כללי פעולה, אשר יש לבצע על מנת לעמוד בצורה מיטבית בהוראות התקנות, וחשוב מכך, על מנת להקטין את הסיכון לגניבת מידע מהעסק שלכם:

 

סיווג מאגר המידע שברשותי

התקנות מבחינות בין ארבע רמות של מאגרי מידע, שלגבי כל אחת מהן נקבע היקף שונה של חובות. על מנת לדעת מהו היקף החובות של העסק שלך, עליך לדעת היכן לסווג את מאגר המידע שברשותך.

מאגר המנוהל בידי יחיד –  מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד שרשות הגישה אליו מסורה ללא יותר משלושה אנשים, ובלבד שמטרתו אינה איסוף מידע לצורך מסירתו לאחר (לדוגמה: שירות דיוור ישיר), הוא אינו מכיל מידע על מעל 10,000 אנשים ואינו כולל מידע הכפוף לחובת סודיות מקצועית לפי דין או לפי אתיקה מקצועית.

מאגר בעל רמת אבטחה בסיסית–  מאגר מידע שאינו מנוהל בידי יחיד ואינו בא בגדר הקבוצות הבאות בסדר העולה – כלומר אינו נדרש לרמת אבטחה בינונית או גבוהה.

מאגר בעל רמת אבטחה בינונית –  מאגר מידע שמספר מורשי הגישה אליו גדול מ-10, ומטרתו היא איסוף מידע לצורך מסירתו לאחר (לדוגמה: שירות דיוור ישיר), או שהוא בבעלות גוף ציבורי או שיש בו מידע רגיש כגון: צנעת חייו האישיים של אדם, מידע רפואי או מידע על מצב נפשי, מידע גנטי, מידע אודות דעות פוליטיות או אמונות דתיות, מידע על עבר פלילי, נתוני תקשורת, מידע ביומטרי, מידע על מצבו הכלכלי של אדם, והרגלי הצריכה של אדם.

מאגר בעל רמת אבטחה גבוהה – מדובר במאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר, לרבות שירותי דיוור ישיר, או שהוא כולל מידע רגיש, ושיש בו מידע אודות 100,000 אנשים ומעלה או שמספר בעלי ההרשאה למידע בו עולה על 100.

 

אם כן, מהן החובות המוטלות עליי?

לאחר שהצלחת לסווג את העסק שלך לאחד מארבעת הקטגוריות, מה עלייך לעשות בכדי לעמוד בהוראות החוק החדשות?

מאגר המנוהל בידי יחיד – אם העסק שלך מצוי בסיווג זה, אתה נתון להיקף מצומצם יחסית של חובות, כשבין היתר עליי להכין מסמך המתאר את מאפייניו העיקריים של המאגר, לדאוג לשמירה פיזית של המאגר, לתעד אירועים המעלים חשש לפגיעה בשלמות המידע, לשימוש בו או לחריגה מהרשאה, לנקוט אמצעים להגבלת הגישה למאגר, להגביל האפשרות לחיבור התקנים ניידים, לדאוג לניהול מאובטח של מערכות המאגר ולהגביל את החיבור של מערכות המאגר לרשת האינטרנט.

מאגר בעל רמת אבטחה בסיסית – נוסף לחובות החלות על מאגר המנוהל בידי יחיד, אם ברשותך מאגר זה, חלות עליי חובות נוספות כגון: למנות ממונה על אבטחת מידע, לקבוע נוהל לאבטחת מידע ולעדכנו מידי שנה, הכנת מיפוי של מערכות המאגר, לדאוג לאבטח את המידע בניהול כוח אדם, לקבוע ניהול הרשאות גישה, קביעת הוראות בדבר זיהוי ואימות, והוראות בדבר מיקור חוץ ושמירת נתוני אבטחה.

מאגר בעל רמת אבטחה בינונית – אם ברשותך מאגר זה, נוסף לחובות החלות על מאגר בעל רמת אבטחה בסיסית, חלות עליי חובות כגון: קביעת נוהל מחמיר לאבטחת מידע, קיום הדרכות תקופתיות לבעלי הרשאות לפחות אחת לשנתיים, קביעת הוראות מחמירות בדבר זיהוי ואימות, ניהול מנגנון אוטומטי לתיעוד הגישה למערכות המאגר, חובת הודעה על אירוע אבטחה חמור, ביצוע ביקורות תקופתיות אחת ל-24 חודשים לפחות, מיון וסיווג עובדים, וקביעת נהלים לגיבוי המידע.

מאגר בעל רמת אבטחה גבוהה – אם ברשותך מאגר מסוג זה, חלות כל הוראות התקנות, כאשר נוסף על החובות החלות על מאגר בעל רמת אבטחה בינונית, חלות על מאגר זה חובות כגון: עריכת סקר סיכוני אבטחת מידע וביצוע מבדקי חדירות אחת ל-18 חודשים לפחות.

 

 

 

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

חברת ביוטכנולוגיה ענקית – תשלם 4.5 מיליון דולר לשלוש מדינות בארה"ב בגין אירוע אבטחת מידע

שלוש מדינות בארה"ב הודיעו על תשלום של 4.5 מיליון דולר מחברת Enzo Biochem Inc. – חברת ביוטכנולוגיה (להלן "החברה") שספגה מתקפת כופר באפריל 2023 בשל ...

תיקון 13 לחוק הגנת הפרטיות – המדריך

היסטוריה בעולם הפרטיות הישראלי. הכנסת אישרה לאחרונה את תיקון מס' 13, לחוק הגנת הפרטיות, התשמ"א-1981 (05.08.2024) להלן "התיקון לחוק" ו-"החוק", בהתאמה) (אשר נספר בכנסת עקב ...

אושר תיקון 13 לחוק הגנת הפרטיות

מליאת הכנסת אישרה (05.08.24) בקריאה שניה ושלישית את תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981. התיקון התקבל לאחר שוועדת חוקה חוק ומשפט של הכנסת הקדישה לו ...

ועדת חוקה אישרה את התיקון המקיף לחוק הגנת הפרטיות

ועדת חוקה חוק ומשפט של הכנסת אשירה (21.07.2024) תיקון מקיף והיסטורי לחוק הגנת הפרטיות (תיקון מס' 13 שבטעות נספר תחילה כתיקון 14) והוא צפוי לעבור ...
דילוג לתוכן