תקנות הגנת הפרטיות | תקנות ישראליות לאבטחת המידע
הצעד הראשון שלך בהגנת הפרטיות
השאירו פרטים כאן לקבלת מידע טלפוני אודות תקנות הגנת הפרטיות הישראליות או התקשרו ל- 03-7176020
מהן תקנות הגנת הפרטיות אבטחת מידע?
ב-8 במאי 2018, תקנות הגנת הפרטיות (אבטחת מידע) נכנסו בסמיכות לתקנות האירופאיות GDPR ונועדו לייעל את הממשק העסקי אל מול לקוחות האיחוד האירופי והאופן שבו שומרים על פרטיות אזרחי האיחוד.
כתוצאה מכניסתן של התקנות, ישנה קפיצת מדרגה ברמת אבטחת המידע האישי בישראל.
אבטחת מידע – הגנה על שלמות המידע ומניעת חשיפה, שימוש או העתקה על ידי גורמים שאינם מורשים.
לכל המאמרים על תקנות הגנת הפרטיות
כל מה שצריך לדעת אודות רגולציית הגנת הפרטיות האירופאית GDPR
כל מה שצריך לדעת על פרויקט GDPR עם המומחים של Nextep
הצעד הראשון שלך לעמידה ברגולציה
חברת נקסטפ יצרה את הפתרון המוביל בשוק להטמעת התקנות הישראליות ונמצאת כיום בחוד החנית של הגנת הפרטיות הישראלית. חברתנו מציעה מגוון פתרונות לארגונים קטנים ובינוניים ופתרונות מותאמים לארגוני Enterprise.
חטיבת אבטחת המידע והפרטיות של נקסטפ עומדת בקשר רציף עם משרד המשפטים הישראלי ומכון התקנים הישראלי ומתעדכנת באופן שוטף על כל שינוי שחל בדרישות הרגולטוריות במדינת ישראל.
כל מה שצריך לדעת בכדי לאבטח את המידע בארגון
על מי חלות התקנות?
התקנות חלות על כל בעלי, מנהלי ומחזיקי מאגרי המידע מכל סוג.
התקנות מגנות על האזרחים שהמידע האישי אודותיהם קיים במאגר המידע.
להלן פירוט על ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרשת בהם:
מאגר מידע המנוהל על ידי יחיד
מאגר שמנוהל על ידי מנהל יחיד או תאגיד בבעלות יחיד, ולכל היותר יש שני בעלי הרשאה להשתמש בנתוני המאגר. על המאגר חלה חובה הפחותה ביותר.
רמה זו נותנת פתרון לבעלי עסקים קטנים, אשר ברשותם מידע אישי, שמצד אחד נדרש להגן עליו, אך קיים קושי אמיתי להטיל עליהם חובות אבטחה מוגברות.
מאגרים שחלה עליהם רמת האבטחה הבסיסית
כל המאגרים שאינם מנוהלים על ידי יחיד ואינם נכללים כמאגרי מידע שחלים עליהם רמת אבטחת בינונית או גבוהה.
מאגרים שחלה עליהם רמת האבטחה הבינונית
מאגר מידע שמכיל מעל ל-10 בעלי הרשאה, כאשר מטרתו היא איסוף מידע לצורך מסירתו לאחר, או שהמאגר בבעלות גוף ציבורי, או מכיל מידע רפואי, מידע גנטי, מידע על הרשעות, מידע פלילי וכל מידע רגיש.
מאגרים שחלה עליהם רמת האבטחה הגבוהה
מאגר מידע, לרבות של גוף ציבורי, שמכיל מעל ל-100 בעלי הרשאה, שמטרתו איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש אודות 100,000 אנשים ומעלה.
לסיווגי המאגרים השונים קיימים חריגים והתייחסויות קונקרטיות בחקיקה ובפרסומי רשות הגנת הפרטיות. טרם כניסתכם לכל התהליך, יש לשים לב שמשפטן מוסמך לתחום מבצע בחינה מסודרת של החברה ופעילותה על מנת לוודא שרמת אבטחת המאגר זוהתה בצורה מסודרת: עומדת בדרישות הדין מחד גיסא, אך אינה מחמירה מדי עם החברה מאידך גיסא.
במידה ואני לא עומד בתקנות הגנת הפרטיות, מהם הסיכונים?
הרשות להגנת הפרטיות קובעת שורה של סנקציות משמעותיות וחמורות, הכוללת הגשת כתבי אישום פליליים, הטלת קנסות מנהליים ואף עונש מאסר.
כל מה שצריך לדעת על החובות החלות על מחזיקי מאגרי מידע
מבנה הפרויקט:
הדרך לעמידה בתקנות הגנת הפרטיות הישראליות – כיצד ממשיכים מכאן?
לאחר בדיקה יש להתייחס לתקנות הגנת הפרטיות החלות על מאגרי המידע על פי רמת האבטחה הרלוונטית.
מסמך הגדרות המאגר
ראשית יש לכתוב מסמך הגדרות המאגר- המסמך יכיל בין היתר התייחסות לסוגיות הבאות:
- תיאור כללי של פעולות הנעשות על המידע במאגר (איסוף ושימוש במידע).
- תיאור המידע האישי ומטרות השימוש במידע האישי.
- האם המידע מועבר לחו"ל או נעשות פעולות עיבוד המידע על ידי צד שלישי?
- לאילו סיכונים עיקריים המידע האישי חשוף? כיצד הארגון יתמודד עם הסיכונים הללו?
- שמו של מנהל/ת מאגר המידע, של מחזיק/ת המאגר ושל הממונה על אבטחת המידע בו.
את המסמך הנ"ל יש לעדכן אחת לשנה במידה ונעשו שינויים טכנולוגיים, ארגוניים ואם אירע אירוע אבטחה.
מינוי ממונה אבטחת המידע בארגון
לפי חוק הגנת הפרטיות, יש למנות ממונה על אבטחת מידע בארגון במידה והארגון מחזיק בחמישה מאגרי מידע, במקרה והגוף הינו גוף ציבורי או בנק, חברת ביטוח, או חברה העוסקת בדירוג או בהערכה של אשראי.
כתיבת נוהל אבטחת מידע
בעל מאגר מידע חייב להחזיק מסמך של מבנה מאגר המידע ומערכות המידע בארגון.
המסמך יכלול:
- תשתיות ומערכות חומרה.
- מערכות התכנה המשמשות להפעלת מאגר המידע, ניהולו, תחזוקתו, תמיכה בפעילותו ולאבטחתו.
- תכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן החוצה.
- תרשים המתאר קשרים בין רכיבי המערכת השונים ומיקומם הפיזי של הרכיבים.
- תאריך העדכון האחרון של המסמך.
פרטי המסמך יימסרו רק לבעלי הרשאה מתאימה ובהיקף הנדרש לצורך ביצוע תפקידם.
מיפוי מערכות המאגר וביצוע סקר סיכונים
במאגר מידע בעל רמת אבטחה גבוהה, יש לערוך סקר לאיתור סיכוני אבטחת מידע (סקר סיכונים) ומבדקי חדירות למערכות המאגר אחת ל-18 חודשים לפחות.
אבטחת מידע פיזית וסביבתית
התקנה מחייבת לשמור פיזית על תשתיות ומערכות החומרה המשמשות את מאגר המידע, מפני כניסה של עובדים ללא הרשאה מתאימה. במידה ומדובר על מאגר מידע אשר חלה עליו רמת אבטחה בינונית או גבוהה, יש לתעד את הכניסות והיציאות של העובדים באמצעות מצלמות אבטחה, מערכות זיהוי ביומטרי וכו'.
תיעוד של אירועי אבטחה
אירוע אבטחה – כל אירוע אשר ישנה פגיעה בשלמות המידע, או שימוש במידע ללא הרשאה מתאימה. במידה וישנו אירוע אבטחה, יש לתעד את האירוע ככל האפשר.
במאגר שחלה עליו רמת אבטחה בינונית על בעל המאגר לקיים דיון אחת לשנה לפחות בנוגע לאירועי האבטחה שהתרחשו, תוך בחינה של הצורך בעדכון הנהלים.
אירוע אבטחה ייחשב לחמור במידה ונעשה שימוש בחלק מהותי מהמאגר ללא אישור מתאים מבעל המאגר.
במאגר שחלה עליו רמת אבטחה גבוהה, ייערך דיון אחת לרבעון לפחות.
אירוע אבטחה ייחשב לחמור במידה ונעשה שימוש במידע ללא הרשאה מתאימה או שנעשתה פגיעה בשלמות המידע במאגר המידע.
התקנים ניידים
התקן נייד – מחשב או התקן אחסון המיועד לשימוש נייד, כגון: USB, מחשב נייד, כונן חיצוני, פלאפון ועוד.
קיים סיכון שהמידע מהמאגר עלול לדלוף בעקבות ההתקנים הניידים, זאת בעקבות אפשרות העברתם ממקום למקום. סיכון נוסף הינו הכנסת וירוסים על ידי ההתקנים הניידים למאגר. חשוב לבקר ולהגביל את האפשרות לחיבור ההתקנים למערכות המאגר. במידה ומבוצעת העתקת המידע להתקן, יש להצפין את המידע על ידי שימוש בשיטות הצפנה מקובלות.
ניהול מאובטח ומעודכן של מערכות המאגר
על בעל המאגר להפריד בין המערכות המשמשות את המאגר משאר המערכות בארגון. אחת הדרכים הנה התקנת מערכות המשמשות את מאגר המידע על שרת נפרד.
יש לעדכן באופן שוטף את מערכות המאגר, חומרה ותוכנה בהתאם להנחיות היצרן בכדי לנטרל פגיעות פוטנציאליות במערכות.
אבטחת תקשורת
במידה ומערכות המאגר מחוברות לרשת האינטרנטית, ישנו סיכון לגישה חיצונית בלתי מורשית, לכן יש לפעול על פי הכללים הבאים:
- התקנת אמצעי הגנה מפני גישה חיצונית בלתי מורשית, כגון: תכנות אנטי וירוס, Firewall ועוד. את האמצעים הנ"ל יש להטמיע בכל מערכת שיש לה גישה למאגר המידע.
- במידה ומועבר מידע ממאגר המידע, יש לוודא כי המידע מוצפן על ידי שיטת הצפנה מקובלת.
- במידה וניתנת גישה מרחוק (לדוגמה, חיבור מהבית) יש להשתמש באמצעי זיהוי מתאים בכדי לגשת למאגר המידע.
במאגרים ברמת אבטחה בינונית וגבוהה יש להשתמש באמצעי פיזי שבשליטתו של בעל ההרשאה של האמצעי, לדוגמה, כרטיס חכם.
מיקור חוץ
מתן גישה לגורם חיצוני עלולה ליצור סיכוני אבטחת מידע בארגון, לכן יש לבחון את הסיכונים מראש ולהיערך בהתאם. מהו המידע שהגורם החיצוני רשאי לעבד ולאילו מטרות? לאלו מערכות הוא רשאי לגשת? כיצד יישם את תקנות אבטחת המידע?
תקנה 15 לתקנות אבטחת מידע קובעת שורה של חובות הנוגעות לעבודה עם ספקים חיצוניים, המתווספות לפרסומים והנחיות קודמות של רשות הגנת הפרטיות בנושא. בין היתר, עיבוד מידע באמצעות גוף חיצוני עלול לחייב חתימה על הסכם עיבוד מידע מתאים (בדומה ל- DPA המקובל ב- GDPR), העונה על דרישות החוק הישראלי.
ביקורות תקופתיות
במאגר מידע שחלה עליו רמת אבטחה בינונית או רמת אבטחה גבוהה, יש לערוך אחת ל-24 חודשים לפחות ביקורת על ידי גורם בעל הכשרה מתאימה בנושא שאינו ממונה על אבטחת המאגר בכדי לוודא את עמידתו בהוראות תקנות הגנת הפרטיות.
משך שמירת נתוני אבטחה
הנתונים הנצברים, (כגון: נתוני כניסה ויציאה מהמערכת, זיהוי ואימות משתמשים, הכנסה והוצאת התקנים מהמאגר וכו') צריכים להישמר באופן מאובטח למשך 24 חודשים.
במאגר שחלה עליו רמת אבטחה בינונית או גבוהה, יש לגבות את הנתונים הנשמרים באופן שבו בכל זמן נתון ניתן לשחזר את הנתונים למצבם המקורי.
האחריות לאבטחת המידע
על בעל מאגר המידע, המנהל והמחזיק להיות אחראיים על אבטחת המידע במאגר. במידה ומבוצעת פעולה על ידי בעלי האחריות, ישנה דרישה לתעד את ביצועה.
נקסטפ תקינה ישירה מביאה עמה שנים רבות של ניסיון בתחום הרגולציה והתקינה. לאורך השנים, סיפקנו פתרונות מתקדמים לחברות ברחבי הארץ ממגוון תחומים ומכל הגדלים.
יחד, נסייע לך לעמוד בדרישות המחמירות של תקנות הגנת הפרטיות הישראליות.
כדי להתחיל להגן על מאגרי המידע השמורים אצלך בארגון ובסטנדרטים הטובים ביותר, אנו מזמינים אותך לפנות אלינו עוד היום.
להחליט כיצד לבצע פרויקט הגנת הפרטיות זה לא פשוט כלל,
אבל להתקשר אלינו לקבלת מידע זה פשוט וקל!
הצעדים הראשונים לעמידה בתקנות
- נמפה את זרימת המידע בארגון
- נבצע מבדק חשיפה ביחד - ללא התחייבות!
- נבנה עבורכם תכנית עבודה מקיפה לעמידה בפערי הרגולציה
היתרונות שלנו
ליווי מקצועי של יועץ רגולציה ויועץ משפטי ומנהל פרויקט
אצלנו תקבלו רק מה שאתם צריכים! ולא תישארו עם הסמכות מיותרות
אחוזי הצלחה גבוהים בעקבות בניית תכנית עבודה מסודרת
מעל 10 שנות נסיון בתקני אבטחת מידע והגנת הפרטיות
צרו איתנו קשר לקבלת מידע ללא התחייבות לעמידה בתקנות
תהליך הטמעת הרגולציה הישראלית
-
1
מיפוי זרימת המידע בארגון
פגישת היכרות בו נמפה את הסיכונים ואת המידע הקיים בארגון. נבצע אצלכם מבדק חשיפה קצר ונבין האם התקנות חלות עליכם ובאיזה רמה. -
2
ביצוע סקר חשיפה משפטי
יועץ משפטי יעבור על סעיפי הרגולציה בהתאם לתהליכי העבודה שלכם וימפה את החשיפות בכל שלב ושלב. -
3
ביצוע סקר פערים טכנולוגי ותהליכי
יועצי הרגולציה הטכנולוגים ימפו את מערכות המידע ואת תהליכי העבודה בארגון. -
4
איפיון תכנית עבודה לטיפול בפערים
נאפיין תכנית מותאמת עבורכם עם אבני דרך לטיפול בפערים. -
5
יישום תכנית העבודה
נכתוב נהלים, נייצר את מסמך הגדרות המאגר, הגדרות מבנה המאגר, נדריך, נבצע סקרים ובקרות, נטפל בנושאים טכנולוגיים ונעלה על השולחן את כל הנושאים העומדים בפניכם כדי לעמוד בתקנות. -
6
מיסוד מערך בקרה ארגוני
על מנת שתוכלו להמשיך ולעמוד ברגולציה, נבנה עבורכם מערך בקרה. -
7
הארגון שלכם עומד בדרישות הרגולציה הישראלית
מזל טוב! אתם עובדים לפי התקנות הישראליות!
נושאים נוספים שיעניינו אותך
GDPR - רגולציית הגנת הפרטיות האירופאית - כל מה שצריך לדעת
המתודולוגיה של ISO 27001
החובות שנקבעו במסגרת ה - GDPR
האם ניתן לקבל הסמכת GDPR?
אבטחת מידע והגנת הפרטיות
החובות החלות על בעל מאגר מידע
הרשות להגנת הפרטיות | מחלקת אכיפה
CCPA חוק הגנת פרטיות הצרכן בקליפורניה
ההבדל בין Data Processor ו-Data Controller
אבטחת מידע בארגון - כל מה שצריך לדעת
מבדק חדירה – PT) Penetration Test)
SOC 2
ניהול אבטחת שרשרת האספקה
הרשות לניירות ערך: גילוי בנושא סייבר
סקר תהליך
סקר ספק
CISO as a service - ממונה אבטחת מידע
DPR – Data Protection Representative - נציג אירופאי
