תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 נכנסות לתוקף (08.05.2018). מה זה אומר?
להלן מדריך קצר למי שעוד לא הנחיל את הוראות התקנות החדשות במערכי הארגון או למי שחושב שהוא כבר מוכן, אבל רוצה להיות בטוח בכך.
מהן תקנות אבטחת המידע החדשות?
תקנות אבטחת המידע אושרו בכנסת בחודש מרץ 2017 ופורסמו ברשומות ביום 8 למאי 2017. במסגרת התקנות נקבע כי הן יכנסו לתוקף שנה מיום פרסומן. התקנות יוצרות נורמת התנהגות חדשה ביחס להגנה על המידע האישי וקובעות כללי התנהגות ברורים לגופים המנהלים, מחזיקים או נגישים למידע אישי אודות אזרחים ישראליים.
מה נדרש כדי שארגון יוכל להצהיר שהוא הנחיל את תקנות אבטחת המידע החדשות?
נוסף על הדרישות הקיימות בחוק הגנת הפרטיות, לרבות חובת ניהול ורישום מאגר מידע מאושר אצל הרשות להגנת הפרטיות, התקנות דורשות בעיקרון שלושה דברים מרכזיים, אשר יחולו על כל מאגר מידע (ללא קשר לדרישת רישומו ואישורו): (1) כתיבת נהלי אבטחת מידע ומסמכים נלווים אחרים העונים לדרישת התקנות, בתחומים המפורטים בהן; (2) עריכת פעולות הערכות טכנולוגיות (בין השאר, ביצוע סקרי סיכונים, ניסיונות חדירה) תקופתיות; (3) התאמת מערכות המידע ההממוחשבות לדרישת התקנות (בין השאר, הסדרת ומידור הרשאות הגישה למאגרי המידע בארגון, הטמעת לוגים שיתעדו את הפעולות במערכת הקשורה למאגרי המידע, לרבות ניהול מערכת התראות על חריגות וכיו"ב).
מה הדבר הראשון שצריך לעשות?
התקנות מדרגות את מאגרי המידע בארבע דרגות, על-פי מגוון פרמטרים שיקבעו את רגישותם: מאגר המנוהל בידי יחיד; דרגת אבטחה בסיסית; דרגת אבטחה בינונית; דרגת אבטחה גבוהה. לכל דרגת אבטחה דרושה רמת היערכות ומוכנות שונה, בהתאם להוראות התקנות. היקף הדרישות והוראות הביצוע עולה עם כל רמה, ולכן, הדבר הראשון שראוי לעשות הוא לקבל חיווי לאיזו דרגת אבטחת מידע שייכים מאגרי המידע של הארגון.
מה השלב השני?
השלב השני הוא משולב: כתיבת הנהלים הדרושים או התאמת נהלים קיימים בהתאם להוראות התקנות, ובמקביל, מינוי בעלי התפקידים המתאימים בארגון לשם אכיפת הנהלים וחלוקת תחומי האחריות על-פיהם; עריכת הפעולות הטכנולוגיות הדרושות להתאמת מערכות המחשב בהן מצוי כל מאגר, וניהול סדרי בקרה ופיקוח תקופתיים.
ומה אחר-כך?
על גוף להיכנס לשגרת שמירה על הוראות התקנות. עליו להטמיע את הנהלים ולפעול לפיהם, ולוודא את יישומם על-פי שורה של פעולות בקרה תקופתיות שונות. יש להקפיד למלא אותן ולתעדן באופן שוטף.
מי אוכף את ביצוע הוראות התקנות?
הרשות להגנת הפרטיות היא הגוף האוכף את הוראות התקנות, וגוף אשר יימצא תחת פיקוח או חקירה, יידרש להציג את כל הנהלים, ונתוני התיעוד והבקרה של הפעולות השוטפת שננקטו על-ידו לשם יישום התקנות. הרשות תערך לכך, וככל הנראה תאפשר תקופת לימוד והסתגלות, כך שסביר שלא תחל בפעולות אכיפה מיד ב-9 למאי 2018.
ומה אם לא נערכנו?
אף פעם לא מאוחר. התקנות נכנסות לתוקף ב-8 למאי 2018. גוף שלא יהיה ערוך ומוכן במועד צריך להזדרז ולהיות מוכן. הרשות להגנת הפרטיות לא תפעל נגד גוף שנערך באיחור, אם תגיע אליו כבר אחרי שנערך.
