לידיעתכם – תקנות אבטחת המידע

תקנות אבטחת המידע נועדו להסדרה לוגית ופיזית של אופן אבטחת המידע המצוי במסדי נתונים במגוון רחב של גופים פרטיים וציבוריים. בדומה לחקיקה האחרונה באירופה בשם GDPR (General Data Protection Regulation), רצונם של המחוקקים הישראלים הוא להגן ככל הניתן על המידע האישי של אזרחי המדינה, פשוט כך.

מידע אישי יכול להיות כתובת מגורים, מידע רפואי, מספר כרטיס אשראי ומספר תעודת זהות. חשוב מאוד להבין את אופי העסקים שימצאו עצמם כפופים לתקנות החדשות. ניתן גם לומר כי התקנות החדשות מחייבות כל גוף פרטי וציבורי המחזיק ברשותו מאגר מידע החייב ברישום, למעט הגורמים הפטורים בחוק הגנת הפרטיות.

היקף דרישות אבטחה בהן חברות וארגונים יצטרכו לעמוד משתנה בהתאם לאופי והיקף המידע המאוחסן על ידם. באופן הגיוני ניתן להניח כי רמת אבטחת המידע לה תידרש קוסמטיקאית תהיה פחותה מזו לה תידרש קופות חולים.

כלומר, ככל שמאגר המידע הינו בעל ערך רב יותר, לדוגמא רשומות רפואיות, כך יהיה על הארגון לעמוד בדרישות אבטחת מידע גבוהות יותר. דרישות אבטחת המידע הגבוהות ביותר יחולו על חברות המחזיקות במסדי נתונים גדולים ובעלי ערך לצד חברות המתירות למספר רב של אנשים גישה אל אותם מאגרי נתונים.

תקנות אבטחת המידע החדשות כוללות חובות הנוגעות לאופן ניהול של מאגר המידע עצמו. כמו כן, התקנות מחייבות קביעת נהלים בכתב הנוגעים לאבטחת המידע בארגון. בארה”ב מסמך נהלים זה ידוע בשם WISP.

נוסף לכך קיימת דרישה כי הארגון יגביר את הפיקוח על חברות וספקים חיצוניים עמם הוא עובד ואשר רלוונטיות לנושא אבטחת מאגר המידע; לדוגמא, חברות המציעות שירותי אחסון בענן.

התקנות החדשות כוללות ארבע רמות אבטחה, הנבדלות אחת מן השנייה בהתאם לסוג והיקף המידע המאוחסן, בנוסף לסוג הגורם המחזיק בו. השלב הראשון בהכנה לקראת כניסתן של התקנות לתוקף הוא להבין מאפייני מאגר המידע בו אתם מחזיקים. באופן זה תיקבע רמת האבטחה בה תידרשו לעמוד.

התקנות מגדירות 4 רמות אבטחה:

מאגר המנוהל בידי יחיד – מאגר מידע אשר מנוהל בידי יחיד או תאגיד בבעלות יחיד, בו רשאים לעשות שימוש שני אנשים לכל היותר. מאגר מסוג זה אינו יכול להיות אחד משלושת המאגרים הבאים:

– מאגר מידע אשר מטרתו היא איסוף מידע לצורך העברתו לגורם שלישי; לדוגמא, ניתוב “לידים” או שימוש במידע למטרת דיוור מקוון.

– מאגר מידע המכיל את פרטיהם של 10,000 אנשים ומעלה.

– מאגר מידע אשר בעליו כפופים לחובת סודיות מקצועית כדוגמת רופאים ועורכי דין.

עסקים קטנים ובינונים רבים ימצאו עצמם תחת רמה זו, בהם המידע מתוך מאגר מידע נגיש לשני אנשים לכל היותר. כאן הכוונה היא לעסקים קטנים ובינוניים, כמו מספרות, מכוני יופי, מוסכים וכו’. גם עסקים אלו, הנדרשים לרמת אבטחת המידע “הנמוכה” ביותר, יידרשו לבצע שינויים מהותיים על מנת להגן על מאגר המידע שברשותם ולעמוד כראוי בתקנות החדשות.

מאגרים שחלה עליהם רמת אבטחה בסיסית – מאגרי מידע שאינם מוגדרים תחת הרמה הראשונה ובנוסף לכך אינם מאגרי מידע המנוהלים בידי יחיד.

מאגרים שחלה עליהם רמת אבטחה בינונית – מאגרי מידע מן הסוגים המפורטים בתוספת הראשונה ואינם מאגר המנוהל בידי יחיד.

מאגרים שחלה עליהם רמת אבטחה גבוהה – מאגרי מידע מן הסוגים המפורטים בתוספת השנייה.

מאגרי המידע עליהם חלות רמות אבטחה גבוהות ובינוניות יחויבו כי נוהלי האבטחה החדשים יכללו גם התייחסות לנושאים הבאים:

– אמצעי זיהוי ואימות לגישה למאגר ולמערכותיו.

– אופן הבקרה על השימוש במאגר המידע בנוסף לתיעוד הגישה אליו.

מבין החידושים המגוונים שהתקנות החדשות מביאות עמן נמצאת דרישת החובה לדווח ל-“רשם מאגרי המידע” על כל פריצה (Security Breach) שהתבצעה למאגר המידע. בנוסף, במידה ובעל מאגר המידע יתבקש, תהיה עליו החובה לדווח גם לנפגעים עצמם וליידעם בדבר גניבת המידע.

חובת הדיווח מצויה גם בתקנות אבטחת המידע בארה”ב ובאירופה וממנה ניתן להסיק כי גורמת למספר עצום של תביעות אזרחיות נגד חברות אליהן התבצעה פריצה. מדובר בתביעות ייצוגיות בהיקף של מאות מיליוני דולרים, אשר עמדו נגד חברות ענק כמו Yahoo, Sony, Target.

חשוב להדגיש כי עמידה בתקנות החדשות חלה גם על מאגרים שטרם נרשמו אצל רשם המאגרים. השלב הראשון הוא להבין לאיזו רמת אבטחה מחוייב העסק או ארגונכם. באם מדובר ברמה הראשונה, נפלא, אך יש עבודה רבה לעשות.

על אף “כאב הראש” הכרוך בהכנה ראויה של עסקכם לעמידה בתקנות החדשות, ניכר כי נעשה מאמץ אמתי מצד קברניטי המדינה לאפשר לנו, האזרחים, ליהנות ממציאות בה המידע שלנו בטוח במרחב הקיברנטי.

ראיות

ראיות, ראיות, ראיות!

ב”משפט שלמה” (מלכים א’ ה’, יא) זוג נשים עתרו בפני המלך שיפסוק מי מהן היא אמו של התינוק וזאת בהסתמך

שוק הנדל"ן בדובאי

מדריך להבנת שוק הנדל”ן בדובאי

שוק הנדל”ן של דובאי, אחד השווקים המגוונים והמעניינים בעולם מפתה משקיעים ורוכשים מרחבי העולם. ריבוי אפשרויות ההשקעה והשלכות דיני האמירויות מחייב הבנה בסיסית כיצד השוק פועל ומה הרגולטור דורש מן הגורמים השונים בעסקאות נדל”ן.

תביעת נגישות אתר אינטרנט

תביעת נגישות אתר אינטרנט – מה עושים?

בתקופה האחרונה יותר ויותר בעלי אתרי אינטרנט ועסקים, קטנים וגדולים כאחד, מקבלים התראה לפני נקיטה בהליכים משפטיים או בקשה לאישור תביעה ייצוגית בגין אי עמידה בהוראות חוק שוויון זכויות לאנשים עם מוגבלות ותקנותיו. מה עושים בכדי להתמודד עם מקרה שכזה ומה לעשות בכדי להימנע מכך, במאמר.

מדריך התקשרות עם ספקי מיקור חוץ

מדריך התקשרות עם ספקי מיקור חוץ

במהלך השנים האחרונות חלה עלייה בולטת בשימוש בשרותי מיקור חוץ על ידי ארגונים שונים, הן במגזר הפרטי והן בציבורי. בנסיבות אלה, ספקי השירותים השונים באים במגע עם מידע שלא נאסף

error: Alert: Content selection is disabled!!