תקנות הגנת הפרטיות

תקנות הגנת הפרטיות2019-12-12T16:03:25+02:00
  • מטרת חוק הגנת הפרטיות להגן על מידע פרטי ואישי.

  • תקנות הגנת הפרטיות מפרטות את אופן יישום אבטחת המידע הנדרש בחוק הגנת הפרטיות.

  • החוק קובע ענישה פלילית למי שמפר את הוראת החוק.

עיקרי החוק והתקנות

תקנות הגנת הפרטיות מפרטות כיצד מחויב בעל מאגר מידע להגן על המידע שברשותו. החל משלב הגדרות ורישום המאגר במשרד המשפטים (רשות להגנת הפרטיות), דרך דרישות מפורטות לאופן ההגנה על המידע ועד לחובת הדיווח במקרה של אירוע אבטחה הן לרשות והן לנושאי המידע (המשתמשים הרשומים).

  1. סוגי מאגרים
    החוק מחלק את המאגרים ל-4 סוגים: מאגר המנוהל בידי יחיד, מאגרים שחלה עליהם רמת האבטחה הבסיסית, מאגרים שחלה עליהם רמת האבטחה הבינונית, מאגרים שחלה עליהם רמת האבטחה הגבוהה.
    הסיווג תלוי בסוג המידע הנשמר, מספר הרשומות ומספר מורשי הגישה למאגר.
    בהתאם לסוג המאגר מפורטות דרישות לאופן הגנתו. כך לדוגמה, מחוייב בעל מאגר שחלה עליו רמת האבטחה הגבוהה לבצע סקר סיכונים ומבדקי חדירה מידי 18 חודשים. ניהול יומן אירועי אבטחה נדרש גם למנהלי מאגר מידע ברמת אבטחה בינונית וגם גבוהה.
    הדרישה לדיון ועדכון יומן האירועים היא שנתית למאגרים באבטחה בינונית ואילו לבעלי מאגרים בדרישת אבטחה גבוה הדרישה לביצוע היא רבעונית.
  2. דרישות התקנות
    התקנות מפרטות רישום מאגר המידע, מיפוי מערכות וסקר סיכונים, מבדקי חדירה, אבטחה פיזית, מינוי ממונה אבטחה והרשימה עוד ארוכה.
    מספיק לבחון את ראשי הפרקים של תקנות הגנת הפרטיות משקפות באופן ברור מה נדרש ליישום ההגנות הנדרשות.
שם הפרקסעיף
הגדרותסעיף 1
מסמך הגדרות המאגרסעיף 2
ממונה על אבטחת מידעסעיף 3
נוהל אבטחהסעיף 4
מיפוי מערכות המאגר וביצוע סקר סיכוניםסעיף 5
אבטחה פיזית וסביבתיתסעיף 6
אבטחת מידע בניהול כוח אדםסעיף 7
ניהול הרשאות גישהסעיף 8
זיהוי ואימותסעיף 9
בקרה ותיעוד גישהסעיף 10
תיעוד של אירועי אבטחהסעיף 11
התקנים ניידיםסעיף 12
ניהול מאובטח ומעודכן של מערכות המאגרסעיף 13
אבטחת תקשורתסעיף 14
מיקור חוץסעיף 15
ביקורות תקופתיותסעיף 16
שמירת נתוני אבטחהסעיף 17
גיבוי ושחזור של נתוני אבטחהסעיף 18
חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו ותיעוד ביצוע פעולהסעיף 19

שאלות נפוצות

כיצד אוכל לדעת אם יש ברשותי מאגרי מידע?2019-12-07T15:40:13+02:00

זיהוי מאגרי מידע וסיווגם מבוצע כחלק מתהליך מיפוי נכסים וסקר סיכונים. בהתאם לסוג המידע הנשמר במערכות המידע.
למעשה לא קיים עסק ללא מאגרי מידע, מכיוון שניהול עובדים תמיד יכלול מידע פרטי רגיש שמחייב.
פרטי לקוחות קצה, רשימות דיוור, מידע רפואי, מידע ביומטרי ממצלמות או מערכות גישה ביומטריות כל אלו מאגרי מידע הנדרשים לדיווח ואבטחה הולמת. בתהליך מיפוי הנכסים יעבור הסוקר על כל המערכות הפיזיות, הוירטואליות, שירותי הענן, ספקים ותהליכים שבעזרתם יהיה ניתן לזהות מאגרי מידע הנדרשים לטיפול.

כיצד אוכל לדעת מה רמת האבטחה הנדרשת למאגרים?2019-12-07T15:52:55+02:00

סיווג רמת האבטחה למאגר תבוצע לפי הפרמטרים הבאים:

  • אם המאגר מכיל מידע רגיש
    רמה בינונית: מידע על צנעת חייו האישיים של אדם, התנהגות ברשות יחיד, מידע רפואי, מידע גנטי, מידע אודות דעות פוליטיות או אמונה דתית, מידע אודות עבר פלילי, מידע ביומטרי, הרגלי צריכה שבהם בכדי ללמד על אישיותו, אמונתו או דעותיו.
  • מטרת המאגר
    רמה בינונית: מאגר שמיועד להעברה לאחר, לדוגמה רשימות תפוצה לדיוור.
  • מספר הרשומות במאגר
    רמה גבוהה: אם במאגר מידע אודות מעל ל-100,000 אנשים ומעלה
  • מספר בעלי הגישה למאגר
    רמה גבוהה: אם במאגר מספר מורשי גישה הגבוהה מ-100
  • האם בעל המאגר הוא גוף ציבורי
    אם בעל המאגר הוא גוף ציבורי, המאגר ידרש לרמת אבטחה בינונית ומעלה.
אני מאחסן את המידע בענן, מי אחראי לאבטחתו?2019-12-08T12:32:05+02:00

האחריות תמיד היא על בעל המאגר, אומנם ישנה גם אחריות למחזיק המידע, אך בעל המאגר מחוייב לאבטחתו ולביצוע דרישות החוק.
התקנות מפרטות את אחריות בעל המאגר לבדוק ספקי חוץ ובדיקות אלו לא שונות מבדיקות שנדרשות לבצע באופן פנימי על תשתיות מקומיות שמנהלות מידע רגיש.
העובדה שאנחנו מאחסנים אצל ספק שירותי ענן מכובד ורציני לא מבטיח שהוא עומד בדרישות החוק.
ישנן הגדרות טכניות שאינן תלויות בספק השירות, אלא נובעות מטעות לקוח, לדוגמה:

  • הגדרת חיבור לא מאובטח
  • הגדרת סיסמה פשוטה ללא אימות דו-שלבי
  • לא הוגדר גיבוי למערכת המאוחסנת בענן

בעל המאגר מחוייב לדרוש ולבדוק את הספקים בכדי להבטיח את ההגנה על המידע האישי של לקוחותיו, בכל מקרה של פגיעה או זליגת מידע.
בעל המאגר יהיה זה שישא באחריות ובהשלכות.

אם המערכות שלי מוגנות ע”י חומת אש ואנטי וירוס, אני מוגן?2019-12-07T16:17:15+02:00

חומת אש ואנטי-וירוס הם חלק ממערך ההגנה, אך ניהול אבטחת מידע כולל עוד עשרות רכיבים, כמפורט בתקנות הגנת הפרטיות.
מערכות אבטחה טכנולוגיות טובות ומתקדמות ככל שיהיו מחייבות ניהול ובקרות והן שכבה תומכת בלבד בקיום נהלים הנדרשים לאבטחת מידע.
דוגמה להמחשה, עובד שביצע ייצוא של נתונים ממערכת המידע לקובץ אקסל ושמר אותם על כונן נייד או על מחשבו האישי, עקף את כל מערכות ההגנה ויצר בתום לב זליגת מידע שיכולה בקלות להגיע לידיים הלא נכונות.

האם קבצי אקסל עם פרטי עובדים נחשבים למאגר מידע?2019-12-07T16:18:10+02:00

קבצי אקסל עם פרטי מידע אישי אודות עובדים הינם בגדר מאגר מידע.

האם חל גם על עסקים קטנים?2019-12-07T16:23:47+02:00

החוק חל על כי מי שמחזיק במאגר מידע, ללא תלות בגודלו. החוק מבדיק בין מאגרים המנוהלים בידי יחיד ורמות אבטחה שונות, בהתאם לרגישות המידע.

כמה עולה תהליך אבטחת המידע בארגון?2019-12-07T18:09:12+02:00

המחיר נקבע בהתאמה למדיניות אבטחת המידע בארגון. לפי החלטת הנהלת הארגון. יישום תהליכי אבטחת מידע אינו פרויקט חד פעמי אלא שיגרת ניהול, כך דורש החוק וכך מחייבת המציאות.
ארגון שלא מגדיר שורת תקציב ואינו מחזיק ומיישם נוהל אבטחת מידע הוא ארגון חשוף ופרוץ שמסכן את קיומו וחמור מכך מסכן את לקוחותיו ועובדיו לזליגת מידע.
השורה התחתונה היא ניהול סיכונים, כאשר איומי סייבר הם המציאות החדשה ומי שלא יגן על עצמו יאלץ להתמודד עם שיקום נזקים.

יישום תקנות הגנת הפרטיות שלב אחר שלב

נקודת ההתחלה משתנה מארגון לארגון בהתאם למצב אבטחת המידע הקיימת בארגון.
הוספת שורת תקציב לאבטחת מידע והפרדה משורת שירותי וה-IT, הכרחית בכל ארגון.
הטעות הנפוצה בקרב ארגונים רבים לחשוב שהאחריות לאבטחת המידע היא על מנהל הרשת. למה מדובר בטעות?
כי אבטחת מידע מתחילה בהחלטות הנהלה ולא בשיקול דעת של גורם טכני זו או אחר.
אבטחת מידע היא הרבה מעבר לטכנולוגיה וכוללת נהלים, בקרות, תהליכים, הדרכות שאינם באחריות מנהל הרשת.
מנהל הרשת לא יכול לבדוק ולבקר את עצמו, החתול לא יכול לשמור על השמנת.

קישורים שימושיים