סייבר בעולם הביטוח. אגף שוק ההון, ביטוח וחסכון במשרד האוצר, האחראי להסדרה ולפיקוח בתחומי שירותים פיננסיים במדינת ישראל ובפרט בשוק הביטוח, הפנסיה, החיסכון וקופות הגמל, הוציא לאחרונה (04.04.2016) טיוטה שניה לחוזר על ניהול סיכוני אבטחת מידע בגופים מוסדיים. הטיוטה הראשונה של חוזר זה, תחת הכותבת "ניהול סיכוני אבטחת מידע", פורסמה בחודש אוקטובר 2015.
בשונה מהטיוטה הראשונה, מדגישים באוצר, במסגרת הטיוטה השנייה הושם דגש לנושא תפיסת איומי הסייבר. במסגרת זו התפיסה היא כי אבטחת מידע ואבטחה פיזית, הן הבסיס לתפיסה נרחבת יותר של איומים טכנולוגיים בכלל. הטיוטה השנייה מבטאת את תפיסת המדינה בעניין התמודדות כוללת עם איומי סייבר.
במסגרת הטיוטה השנייה הושם הדגש על החובות המוטלות על מנכ"ל גוף מוסדי להפעיל אמצעים ניהוליים נאותים לקיום הוראות החוזר; אחריות מנהל הסייבר בגוף המוסדי לתחקר אירועי סייבר חריגים ואחריות ועדת היגוי בגוף לתחקר, להפיק לקחים ולמסור המלצות למנכ"ל בנוגע לכל אירוע סייבר משמעותי.
הטיוטה השנייה עוסקת אף באפשרות להסתמך על הערכת סיכונים של ספק מיקור חוץ, בהתקיים תנאים שנועדו לוודא את נאותות הערכת הסיכונים; דרישה לנטר פעולות הנעשות במערכות המנהלות מידע רגיש על לקוחות ובמערכות שבהן החשיפה לביצוע פעולות בלתי מורשות היא מוגברת; דרישה כי תכנית היערכות וניהול אירועי סייבר תכלול התייחסות מפורשת להכלה (השגת שליטה על האירוע), בלימה (עצירת החמרת האירוע), התאוששות (הכרעת האירוע תוך מזעור נזקים) והשבה לשגרה; הצורך בהגדרת נוהל לדרישות הגנת סייבר ביחס לסיכוני מיקור חוץ; צורך לתעד הסכמת לקוח לפעילות בערוצים מקוונים; האפשרות של קבוצת חברות הנמצאת תחת אותו בעל שליטה להסתפק במינוי ועדת היגוי אחת לכל קבוצת החברות, במקום ועדת היגוי נפרדת לכל חברה בקבוצה.
הערות לטיוטה החדשה ניתן להגיש עד ליום 12.5.2016. החוזר צפוי להיכנס לתוקף החל מיום 1.1.2017. ההוראות העוסקות בניטור ואבטחת מערכות מידע, אבטחת ערוצי קשר עם לקוחות ואבטחת ערוצי קשר בין גופים מוסדיים לבעלי רישיון ייכנסו לתוקף חצי שנה לאחר מכן.
לקובץ הטיוטה בגרסת וורד:
לקובץ הטיוטה בגרסת PDF:
המכתב הנלווה לטיוטה: