בתחילת חודש מאי 2018 יכנסו לתוקף תקנות אבטחת המידע החדשות. התקנות נוגעות ורלוונטיות לגופים רבים במשק הישראלי, בין אם מדובר בעסקים קטנים המנהלים מידע על לקוחותיהם ובין אם מדובר בתאגידי ענק, ועתידות לקבוע נורמות חדשות ומקיפות לפעילותם של מי שמנהלים או מחזיקים במאגרי מידע המכילים מידע אישי בכל הנוגע לנהלי אבטחת מידע.
תקנות אבטחת המידע החדשות כוללות רשימה ארוכה של פעולות שיש לבצע, על מנת לעמוד בדרישות. התקנות מחלקות את השוק הישראלי לקטגוריות שונות, בהתאם לרמת הרגישות של המידע והגודל של הארגון.
אין ספק כי העידן המודרני וההתפתחות הטכנולוגית של העשור האחרון, הם אלה שיצרו את הצורך להחליף את התקנות הקיימות בעניין זה משנת 1986, שהיו מיושנות ולא מתאימות לעידן הדיגיטלי, עידן בו נפתחו אפשרויות רבות ומגוונות לחדירה וגניבה של מידע בבתי עסק. להלן מספר כללי פעולה, אשר יש לבצע על מנת לעמוד בצורה מיטבית בהוראות התקנות, וחשוב מכך, על מנת להקטין את הסיכון לגניבת מידע מהעסק שלכם:
סיווג מאגר המידע שברשותי
התקנות מבחינות בין ארבע רמות של מאגרי מידע, שלגבי כל אחת מהן נקבע היקף שונה של חובות. על מנת לדעת מהו היקף החובות של העסק שלך, עליך לדעת היכן לסווג את מאגר המידע שברשותך.
מאגר המנוהל בידי יחיד – מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד שרשות הגישה אליו מסורה ללא יותר משלושה אנשים, ובלבד שמטרתו אינה איסוף מידע לצורך מסירתו לאחר (לדוגמה: שירות דיוור ישיר), הוא אינו מכיל מידע על מעל 10,000 אנשים ואינו כולל מידע הכפוף לחובת סודיות מקצועית לפי דין או לפי אתיקה מקצועית.
מאגר בעל רמת אבטחה בסיסית– מאגר מידע שאינו מנוהל בידי יחיד ואינו בא בגדר הקבוצות הבאות בסדר העולה – כלומר אינו נדרש לרמת אבטחה בינונית או גבוהה.
מאגר בעל רמת אבטחה בינונית – מאגר מידע שמספר מורשי הגישה אליו גדול מ-10, ומטרתו היא איסוף מידע לצורך מסירתו לאחר (לדוגמה: שירות דיוור ישיר), או שהוא בבעלות גוף ציבורי או שיש בו מידע רגיש כגון: צנעת חייו האישיים של אדם, מידע רפואי או מידע על מצב נפשי, מידע גנטי, מידע אודות דעות פוליטיות או אמונות דתיות, מידע על עבר פלילי, נתוני תקשורת, מידע ביומטרי, מידע על מצבו הכלכלי של אדם, והרגלי הצריכה של אדם.
מאגר בעל רמת אבטחה גבוהה – מדובר במאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר, לרבות שירותי דיוור ישיר, או שהוא כולל מידע רגיש, ושיש בו מידע אודות 100,000 אנשים ומעלה או שמספר בעלי ההרשאה למידע בו עולה על 100.
אם כן, מהן החובות המוטלות עליי?
לאחר שהצלחת לסווג את העסק שלך לאחד מארבעת הקטגוריות, מה עלייך לעשות בכדי לעמוד בהוראות החוק החדשות?
מאגר המנוהל בידי יחיד – אם העסק שלך מצוי בסיווג זה, אתה נתון להיקף מצומצם יחסית של חובות, כשבין היתר עליי להכין מסמך המתאר את מאפייניו העיקריים של המאגר, לדאוג לשמירה פיזית של המאגר, לתעד אירועים המעלים חשש לפגיעה בשלמות המידע, לשימוש בו או לחריגה מהרשאה, לנקוט אמצעים להגבלת הגישה למאגר, להגביל האפשרות לחיבור התקנים ניידים, לדאוג לניהול מאובטח של מערכות המאגר ולהגביל את החיבור של מערכות המאגר לרשת האינטרנט.
מאגר בעל רמת אבטחה בסיסית – נוסף לחובות החלות על מאגר המנוהל בידי יחיד, אם ברשותך מאגר זה, חלות עליי חובות נוספות כגון: למנות ממונה על אבטחת מידע, לקבוע נוהל לאבטחת מידע ולעדכנו מידי שנה, הכנת מיפוי של מערכות המאגר, לדאוג לאבטח את המידע בניהול כוח אדם, לקבוע ניהול הרשאות גישה, קביעת הוראות בדבר זיהוי ואימות, והוראות בדבר מיקור חוץ ושמירת נתוני אבטחה.
מאגר בעל רמת אבטחה בינונית – אם ברשותך מאגר זה, נוסף לחובות החלות על מאגר בעל רמת אבטחה בסיסית, חלות עליי חובות כגון: קביעת נוהל מחמיר לאבטחת מידע, קיום הדרכות תקופתיות לבעלי הרשאות לפחות אחת לשנתיים, קביעת הוראות מחמירות בדבר זיהוי ואימות, ניהול מנגנון אוטומטי לתיעוד הגישה למערכות המאגר, חובת הודעה על אירוע אבטחה חמור, ביצוע ביקורות תקופתיות אחת ל-24 חודשים לפחות, מיון וסיווג עובדים, וקביעת נהלים לגיבוי המידע.
מאגר בעל רמת אבטחה גבוהה – אם ברשותך מאגר מסוג זה, חלות כל הוראות התקנות, כאשר נוסף על החובות החלות על מאגר בעל רמת אבטחה בינונית, חלות על מאגר זה חובות כגון: עריכת סקר סיכוני אבטחת מידע וביצוע מבדקי חדירות אחת ל-18 חודשים לפחות.
