אושרו תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017

ביום 21.3.2017 אושרו תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 אשר ייכנסו לתוקפן בתום שנה ממועד פרסומן.

התקנות מפרטות את שלל ההגנות והאבטחות בהן מחויב בעלי של מאגר מידע (וכן מנהל או מחזיק), ומגדירות חובות מוגברות על מחזיקי מידע רגיש ו/או בעלי רשומות של 100,000 איש ומעלה.

מסמך הגדרות מאגר: התקנות מחייבות בעל מאגר להגדיר "מסמך הגדרות מאגר" אשר יכלול מספר עניינים (תיאור כללי של פעולות האיסוף והשימוש במידע, תיאור מטרות השימוש במידע,  סוגי המידע השונים הכלולים במאגר המידע, פרטים על העברת או שימוש במאגר המידע מחוץ לגבולות המדינה, פעולות עיבוד מידע באמצעות מחזיק,  הסיכונים העיקריים של פגיעה באבטחת המידע, ואופן ההתמודדות עמם, שמו של מנהל מאגר המידע, של מחזיק המאגר ושל הממונה על אבטחת מידע בו, אם מונה כזה).

חובת מינוי ממונה על אבטחת מידע: חלה חובה למנות ממונה על אבטחת מידע, אשר יהיה כפוף ישירות למנהל מאגר המידע או למנהל פעיל של בעל המאגר או המחזיק בו, לפי העניין, או לנושא משרה בכירה אחר הכפוף ישירות למנהל המאגר. הממונה על אבטחה יכין נוהל אבטחת מידע ויביאו לאישור בעל המאגר וכן יכין תכנית לבקרה שוטפת על העמידה בדרישות התקנות.

נוהל אבטחת מידע: בעל מאגר המידע יקבע במסמך את נוהל אבטחת המידע בהתאם למסמך הגדרות המאגר והתקנות. נוהל האבטחה יכלול, בין השאר הוראות בעניין האבטחה הפיזית והסביבתית של אתרי המאגר, הרשאות גישה למאגר המידע ולמערכות המאגר, תיאור של אמצעים שמטרתם הגנה על מערכות המאגר ואופן הפעלתם לצורך כך, הוראות למורשי הגישה למאגר המידע, הסיכונים שחשוף להם המידע שבמאגר במסגרת הפעילות השוטפת של בעל מאגר המידע ואופן הטיפול בהם.

במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה (ראו להלן), יכלול נוהל האבטחה בנוסף התייחסות לאמצעי הזיהוי והאימות לגישה למאגר ולמערכות המאגר, אופן הבקרה על השימוש במאגר המידע, ובכלל זה תיעוד הגישה למערכות המאגר, הוראות לעניין עריכת ביקורות תקופתיות לווידוא קיומם ותקינותם של אמצעי האבטחה, הוראות לעניין גיבוי נתונים, והוראות לעניין אופן ביצוע פעולות פיתוח במאגר ותיעודן.

מסמך מבנה מאגר המידע: בעל מאגר מידע יחזיק מסמך מעודכן של מבנה מאגר המידע וכן רשימת מצאי מעודכנת של מערכות המאגר. במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל המאגר אחראי לכך שייערך סקר לאיתור סיכוני אבטחת מידע וכי ייערכו מבדקי חדירות למערכות המאגר לבחינת עמידותן בפני סיכונים פנימיים וחיצוניים, אחת לשמונה עשר חודשים לפחות.

שמירת ואבטחת מערכות החומרה: בעל מאגר מידע יבטיח כי מערכות החומרה של המאגר יישמרו במקום מוגן, המונע חדירה וכניסה אליו בלא הרשאה, והתואם את אופי פעילות המאגר ורגישות המידע בו. בעל מאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, ינקוט אמצעים לבקרה ולתיעוד של הכניסה והיציאה מאתרים שבהם מצויות המערכות ושל הכנסה והוצאה של ציוד אל מערכות המאגר ומהן.

ניהול כוח אדם: בעל מאגר מידע יעניק גישה למידע המצוי במאגר רק לאחר נקיטת אמצעים סבירים, המקובלים בהליכי מיון עובדים ושיבוצם, כדי לברר שאין חשש כי בעל ההרשאה אינו מתאים לקבלת גישה למידע המצוי במאגר. בעל המאגר יקיים הדרכות לבעלי הרשאות בנושא החובות לפי החוק והתקנות אלה.

קביעת הרשאות גישה: בעל מאגר מידע יקבע הרשאות גישה של בעלי הרשאות למאגר המידע ולמערכות המאגר, בהתאם להגדרות תפקיד; הרשאת הגישה לכל תפקיד תהיה במידה הנדרשת לביצוע התפקיד בלבד. בעל המאגר ינהל רישום של ההרשאות וינקוט אמצעים כדי לוודא גישה למאגר רק על ידי בעל ההרשאה. במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה  ייעשה אופן הזיהוי ככל האפשר על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המורשה.

בקרה ותיעוד גישה: במערכות של מאגר מידע אשר חלה עליו רמת האבטחה הבינונית או הגבוהה, ינוהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר.

תיעוד אירועי אבטחה: בעל מאגר מידע יהיה אחראי לתיעוד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה.

חובת הודעה בקרות אירע אבטחה חמור: במקרה כזה יודיע על כך בעל המאגר לרשם באופן מיידי, וכן ידווח לרשם על הצעדים שנקט בעקבות האירוע.

התקנים ניידים: בעל המאגר יגביל או ימנע אפשרות לחיבור התקנים ניידים למערכות המאגר במתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, את רגישות המידע, את הסיכונים המיוחדים למערכות המאגר או למידע הנובעים מחיבור ההתקן הנייד ואת קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה.

ניהול ותפעול המערכות: בעל מאגר מידע יקפיד על ניהול ותפעול תקין של מערכות המאגר, ויפריד, בהיקף ובמידה הסבירים האפשריים, בין מערכות המאגר אשר ניתן לגשת מהן למידע, לבין מערכות מחשוב אחרות המשמשות את בעל המאגר.

אבטחת תקשורת: בעל מאגר מידע לא יחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב. העברת מידע ממאגר המידע, ברשת ציבורית או באינטרנט, תיעשה תוך שימוש בשיטות הצפנה מקובלות. במאגר מידע שניתן לגשת אליו מרחוק, באמצעות רשת האינטרנט או רשת ציבורית אחרת, ייעשה שימוש באמצעים שמטרתם לזהות את המתקשר והמאמתים את הרשאתו לביצוע הפעילות מרחוק ואת היקפה

מיקור חוץ: בעל מאגר המתקשר עם גורם חיצוני לצורך קבלת שירות, הכרוך במתן גישה למאגר המידע יחויב לבחון את סיכוני אבטחת המידע ולהתקשר עימו בהסכם ובו יכללו הוראות הקבועות בתקנות.

ביקורות תקופתיות – במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, בעל המאגר אחראי לכך שתיערך, אחת ל-24 חודשים לפחות, ביקורת פנימית או חיצונית, על ידי גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע שאינו ממונה האבטחה של המאגר, כדי לוודא את עמידתו בהוראות תקנות אלה.

שמירת נתוני אבטחה: בעל מאגר מידע ישמור חלק מן הנתונים הנצברים במסגרת יישום הוראות תקנות מסוימות באופן מאובטח למשך 24 חודשים.

גיבוי ושחזור נתוני אבטחה: במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, בעל המאגר יגבה את נתוני האבטחה, באופן שיבטיח שיהיה ניתן, בכל עת, לשחזר את הנתונים האמורים למצבם המקורי.

תחולה על "מנהל המאגר" – החובות החלות בתקנות על בעל מאגר מידע, יחולו גם על מנהל המאגר, ולמעט חובות מסוימים – הן יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין.

"מאגר מידע שחלה עליו רמת האבטחה הבינונית" הינו מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר, מאגר מידע שבעליו הוא גוף ציבורי או מאגר מידע הכולל מידע רגיש על אדם (בין היתר מידע על צנעת חייו האישיים של אדם, מידע רפואי או מידע על מצבו הנפשי של אדם, מידע גנטי, מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם, על עברו הפלילי של אדם, מצבו הכלכלי וכיו"ב.

"מאגר מידע שחלה עליו רמת האבטחה הגבוהה": (א) מאגר מידע, לרבות מאגר של גוף ציבורי, שמטרתו לאסוף מידע לצורך מסירתו לאחר ויש בו מידע אודות 100,000 אנשים ומעלה או שמספר מורשי הגישה למידע עולה על 100; (ב) מאגר המכיל מידע רגיש אודות 100,000 אנשים ומעלה או שמספר מורשי הגישה למידע בו עולה על 100.

 

 

 

0 תגובות

השאירו תגובה

רוצה להצטרף לדיון?
תרגישו חופשי לתרום!

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

This site uses Akismet to reduce spam. Learn how your comment data is processed.