תקנות הגנת הפרטיות של ישראל נכנסות לתוקף ב-8.5.2018 זאת שנה לאחר שהם פורסמו ברשומות. התקנות החדשות מפרטות את אופן יישום חובת אבטחת מידע בחוק הגנת הפרטיות על כל גורם במשק שמנהל או מעבד מאגר מידע.
תקנות הם לא התקנות של ה-GDPR שייכנסו לתוקף גם החודש ולקראת סופו, אך יש חפיפה בין התקנות הללו. עם זאת, התקנות בישראל יצאו לפועל כחלק מהפיכת הרשות למשפט טכנולוגיה ומידע אל הרשות להגנת הפרטיות בישראל.
מהי אבטחת מידע?
אבטחת מידע פירושה הגנה על שלמות המידע והגנה עליו מפני חשיפה, שימוש או העתקה, על ידי גורמים שאינם מורשים
על מי חלות תקנות הגנת הפרטיות?
תקנות הגנת הפרטיות חלות על כל מי שמנהל מאגרי מידע של לקוחות, ספקים, עובדים, ילדים, מטופלים ועוד. כך שאם אתם עסק שמקבל פניות של לקוחות ומנהל מאגרי מידע של ספקים ורשימת עובדים או מתעניינים, עליכם להגן על הפרטיות שלהם בצורת אבטחה מיטבית.
איך זה עובד?
התקנות מסדירות את נושא אבטחת מידע בהתאם ל-4 רמות האבטחה:
- מאגר מידע המנוהל על ידי יחיד – יחיד או חברה בבעלות יחיד שרק הוא רשאי ומקסימום עוד 2 בעלי הרשאה נוספים. למעט אם המאגר לצורך איסוף והעברה לאחר (לרבות דיוור), מאגר מעל 10 אלף אנשים או יש חובת סודיות לפי דין או אתיקה מקצועית.
- מאגרים שחלה עליהם רמת האבטחה הבסיסית – מאגר שלא מנוהל על ידי יחיד ולא חלה עליו אבטחה בינונית או גבוהה.
- מאגרים שחלה עליהם רמת האבטחה הבינונית – שלא מנוהלים על ידי יחיד, מספר בעלי ההרשאה הם 10 ומעלה וגם:
- למטרת לצורך איסוף והעברה לאחר (לרבות דיוור).
- מאגרי מידע הכולל מידע הבא: צניעות חייו האישיים של אדם, מידע רפואי או נפשי, מידע גנטי, מידע פוליטי או דתי, מידע פלילי, מידע ביומטרי, מידע פיננסי וכלכלי, נתוני תקשורת פלילי, הרגלי צריכה.
- מאגר של גוף ציבורי.
- מאגרים שחלה עליהם רמת האבטחה הגבוהה – כל מאגר שהוא מאגר עם אבטחה בינונית וגם הכולל מידע אודות 100 אלף אנשים או מספר בעלי ההרשאה 100 ומעלה.
אירוע אבטחה
התקנות אף מגדירות את אירועי האבטחה, כך שאירוע שנעשה בו שימוש במידע מן המאגר, בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע מהווה אירוע אבטחה חמור ברמת האבטחה הגבוהה. כמו כן, במאגרים עם רמה בינונית ישנן הקלות שכן רק אם מדובר על חלק מהותי.
מסמך הגדרת המאגר
התקנות מסדירות את המסמך שיש ליצור אותו ובו יש לפרט את כל העניינים של המאגר ושם יש לפרט את התיאור של פעולות האיסוף והשימוש במידע, תיאור מטרות, סוגי המידע הכלולים, פרטים אם המידע מועבר לחו"ל, פעולו עיבוד, סיכונים ואופן התמודדות וכן את השמות של מנהלי המאגר, המחזיקים וממונה אבטחת מידע.
את המסמך יש לעדכן אחת לשנה אם נעשה שינוי משמעותי באחד הפרמטרים לעיל, שינויים טכנולוגיים או ארגוניים אם אירע אירוע אבטחה. כמו כן, חשוב לבדוק האם נעשה במידע רב מידי שלא שימושי לצרכי המאגר.
ממונה אבטחת מידע
לפי חוק הגנת הפרטיות, גוף ציבורי, גוף פיננסי או מי שמחזיק 5 מאגרי מידע ומעלה, חייבים למנות ממונה על אבטחת מידע.
הממונה אבטחת מידע, הוא חייב להיות כפוף ישירות למנהל מאגר המידע או מחזיק בו, או למשרה בכירה יותר כגון המנכ"ל. הוא חייב להכין נוהל אבטחת מידע ויביא לאישור ההנהלה. הממונה גם יכין תוכנית לבקרה שוטפת לצורך עמידה בדרישות התקנות, יבצע אותה ויביא למנהליו.
הממונה לא ימלא תפקיד נוסף שעלול לגרום לניגוד עניינים, אך יכול למלא תפקידים אחרים בתנאי שהוגדרו בצורה ברורה. הממונה חייב לקבל משאבים לשם ביצוע עבודתו.
נוהל אבטחה
התקנות מחייבות את בעלי מאגר המידע לקבוע במסמך נוהל אבטחה ארגוני, שמטרתו לייצר מדיניות אבטחה ארגונית להתמודדות עם סיכוני האבטחה להם חשוף המידע. פרטי המסמך יימסרו לבעלי הרשאה בהיקף נדרש בלבד.
הנוהל יכלול הוראות בעניין האבטחה הפיזית והסבתית של המאגר, הרשאות גישה, אמצעים להגנה ואופן הפעלתם, הוראת למורשי הגישה, הסיכונים ואופן ההתמודדות עם אירועי אבטחת מידע ועוד. לרמות אבטחה בינונית וגבוהה נדרש גם להגדיר אמצעי זיהוי וגישה למאגר, אופן הבקרה, עריכת ביקורות פנימיות לוידוא קיום של תקינות אמצעי אבטחה, גיבוי נתונים ועוד.
יש לעדכן את הנוהל אחת לשנה אם נעשו שינויים משמעותיים במאגר או בתהליכי העיבוד או אם נועד על סיכונים טכנולוגיים חדשים. בארגונים בעלי מספר מאגרים, ניתן ליצור נוהל אחיד בהתאם לרמות האבטחה.
מיפוי מערכת המאגר וסקר סיכונים
בעל מאגר המידע חייב מסמך של מבנה המאגר הכולל אילו תשתיות קיימות, מערכות חומרה, רכיבי תקשורת, מערכות תוכנה, תוכנות וממשקים, תרשים הרשת ותאריך עדכון.
בעלי רמת אבטחה גבוהה חייבים לערוך סקר סיכונים וגם מבדקי חדירות אחת ל-18 חודשים לפחות כל אחד, וזאת לצרכי עמידות בסיכונים, פרסום ממצאים ותיקון ליקויים.
אבטחה פיזית
התקנות מסדירות כי יש לשמור את המאגר במגון מוגן המונע כניסה ללא הרשאה וזאת להגנה מפני סיכונים של גניבה או שינוי נתונים. מאגרי אבטחה גבוהה חייבים לתעד את כל הכניסות והיציאות מאתרים בהם המאגר נמצא.
ניהול כוח אדם
ארגונים מחוייבים לקחת בחשבון שהמידע הוא רגיש ולכן כאשר מגייסים עובד חדש לתפקיד הקשור למאגר, יש לנקוט אמצעים סבירים כגון מבחני התאמה במכונים, המלצות ממעסיקים קודמים ועוד. התקנות מורות לארגונים לוודא את אופן התאמת העובדים הקיימים לגישה במאגרי המידע.
במאגרי אבטחה בינונית או גבוהה, יש לקיים הדרכה תקופתית אחת ל-24 חודשים לפחות.
הרשאות, זיהוי ואימות
גופים צריכים לקבוע הרשאות גישה למאגר במידה הנדרשת לעובד לשם ביצוע תפקידו. בנוסף, הארגונים נדרשים לוודא כי רק עובד מורשה יכול לגשת לנתונים ויש לאמת זאת באמצעים מקובלים כדוגמת סיסמא למאגר.
לרמות אבטחה גבוהות ובינוניות, יש ליצור אמצעי ייחודי יותר כדוגמת חתימה אלטקרונית עם token. בנוהל האבטחה יש לקבוע גם אופן הזיהוי, ניסיונות גישה, שינוי סיסמאות והחלפתם, ניתוק אוטומטי ועוד.
בסיום התפקיד, יש לבטל את כל ההרשאות לרבות סיסמאות ואמצעים אחרים.
בקרה ותיעוד
התקנות קובעות גם כי יש לנהל מנגנון תיעוד אוטומטי עצמאי ללא התערבות נוספת, הכולל את זהות המשתמש, תאריך ושעה, מערכת ועוד. כמו כן, יש לבצע נוהל בדיקה שגרתי ויש לשמור את התיעוד ל-24 חודשים לפחות.
תקנות מסדירות גם לגבי תיעוד אירועי אבטחה, מהו אירוע אבטחה, התמודדות עם אירועים אלו, דיונים, אירוע אבטחה חמור ועוד. התקנות קובעות כי בעל המאגר יחוייב להודעה לרשם ומה הרשם יעשה במקרה זה.
התקנים ניידים
התקנות קובעות כי טלפונים מהווים סיכון למאגר המידע שכן הם ניידים ועל כן יש למנוע את הגישה למאגר. אם אפשר לחבר התקנים אלו, יש לנקוט באמצעים סבירים להגנה לרבות הצפנת המידע.
ניהול אבטחת מאגר המידע
התקנות קובעות גם כי יש להפריד בין מאגר המידע לבין מערכות אחרות בארגון הם על ידי מערכת מחשבים ושרתים אחרת, חומת אש ועוד. כמו כן, יש לבצע עדכונים למערכות חומרה ותוכנה בהתאם להנחיות היצרן לניטרול פגיעויות.
אבטחת תקשורת
יש להתקין אמצעי הגנה כדוגמת חומת אש אם המערכת מחוברת לאינטרנט או רשת ציבורית אחרת. כמו כן, יש לנהוג ולהפעיל שיטות הצפנה מקובלות כך שהמיעד יוגן. במקרים של שליטה מרחוק, יש לזהות את המתקשר ולאמת אותו.
מיקור חוץ
גופים המשתמשים בשירותי צד ג' שתינתן להם גישה למערכת, נדרשים לבחור סיכונים מחדש. בבחינה יש להתקמד האם סיכוני אבטחת המידע הכרוכים בהתקשרות גדולים יותר מאשר ללא ההתקשרות, יש להימנע ממיקור החוץ.
בנוסף, יש לקבוע מה המידע שהגורם החיצוני רשאי לעבד ולאילו מטרות, לאלו מערכות הוא רשאי לגשת, מהו סוג העיבוד שהוא רשאי לבצע, משך התקשרות והשבתת מידע בסיום, אופן יישום הוראות תקנות אבטחת מידע, חובה על חתימה לשמירה על סודיות.
במקרים שיש עוד גורם נוסף לצד שלישי, הוא חייב לעמוד בדרישות אלו גם. צד שלישי יחוייב אחת לשנה להודיע על ביצוע התקנות ולהודיע על מקרה אבטחה.
ביקורות תקופתיות
התקנות קובעות כי בעלי מאגרים עם אבטחה בינונית או גבוהה נדרשים לבצע אחת ל-24 חודשים לפחות ביקורת פנימית או חיצונית על ידי גורם בעל הכשרה מתאימה על מנת לוודא עמידות בתקנות.
בדוח יש לכלול התאמת אמצעי אבטחה, ליקויים ויש לבצע עדכונים בנוהל ובמסמך הגדרות מאגר וטיפול בליקויים.
האחריות לאבטחת מידע
החובות של תקנות אלו יחולו הן על בעל מאגר המידע והן על מנהל מאגר המידע ומחזיק המאגר. כל מי שמוטלת עליו חובה או אחריות לביצוע פעולה, נדרש לתעד את ביצועה.
רגולציה
לרשם יש סמכות לפטור מאגרים ספציפיים מחובות אבטחת מידע לפי התקנות, או לחילופין להטיל על מאגר ספציפי חובות נוספות מן התקנות, לפי נסיבות העניין, ובהתחשב בגודל המאגר, סוג המידע שנמצא בו וכו.