פורסמו תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז 2017
מאת:
מערכת Telecom News, 9.5.17, 00:57
על התקנות בקובץ 7809, שתשפענה על תחום אבטחת המידע בישראל ותחולנה על מחזיקי מאגרי מידע, כולל מידע ביומטרי, יחידים ותאגידים, חתמה אמש שרת המשפטים איילת שקד.
אתמול פורסמו התקנות המתייחסות למאגרי המידע בישראל, כולל מידע ביומטרי, שמתייחסות לפעולות שיהיה על בעלי מאגרי המידע לבצע. התקנות תיכנסנה לתוקף בעוד שנה.
בין היתר, בעלי מאגרי המידע יצטרכו לספק במסמכים את הגדרות המאגר, למנות ממונה על אבטחת המידע המצוי במאגר המידע, למפות את כל מערכות המאגר, לבצע סקרי סיכונים, לדאוג לאבטחת מידע בניהול כוח האדם, לנהל הרשאות גישה, לנקוט אמצעים לזיהוי ואימות, לערוך בקרות ותיעוד גישה, לתעד ולדווח על אירועי אבטחה, להגביל ולמנוע חיבור התקנים ניידים, להקפיד על ניהול תקין, מאובטח ומעודכן של מערכות המאגר ועל אבטחה פיסית וסביבתית, לבחון סיכוני אבטחת מידע במקרי התקשרות במיקור חוץ, לבצע בקורות תקופתיות ובדיקות חדירה, לשמור ולגבות את נתוני האבטחה, לקבוע נהלים להבטחת שחזור נתונים ועוד.
הקובץ
המלא והמפורט של תקנות הגנת הפרטיות (אבטחת מידע) חוברת 7809 עמ' 1022-1032–
כאן.
ראוי לשים לב לפרק ההגדרות. למשל [ציטוט]: "הגדרת 'מאגר המנוהל בידי יחיד' - מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש ובאפשרותם לעשות בו שימוש, ולמעט מאגרי מידע כמפורט להלן:
- מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר.
- מאגר מידע שיש בו מידע על אודות 10,000 אנשים ומעלה.
- מאגר מידע הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית".
או לגבי מסמך הגדרות המאגר [ציטוט]:
"בעל מאגר מידע יגדיר במסמך הגדרות מאגר את כל העניינים האלה לפחות:
תיאור כללי של פעולות האיסוף והשימוש במידע.
תיאור מטרות השימוש במידע.
סוגי המידע השונים הכלולים במאגר המידע.
פרטים על העברת מאגר המידע, או חלק מהותי ממנו אל מחוץ לגבולות המדינה או שימוש במידע מחוץ לגבולות המדינה, מטרת ההעברה, ארץ היעד, אופן ההעברה וזהות הנעבר.
פעולות עיבוד מידע באמצעות מחזיק.
הסיכונים העיקריים של פגיעה באבטחת המידע, ואופן ההתמודדות עמם.
שמו של מנהל מאגר המידע, של מחזיק המאגר ושל הממונה על אבטחת מידע בו, אם מונה כזה.
בעל מאגר מידע יעדכן את מסמך הגדרות המאגר בכל עת שנעשה שינוי משמעותי ויבחן את הצורך בעדכון בשל שינויים טכנולוגיים ארגוניים או אירועי אבטחה, בכל שנה עד31 בדצמבר. בעל מאגר מידע יבחן, אחת לשנה, אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר".
או למשל לגבי תיעוד של אירועי אבטחה [ציטוט]: "בעל מאגר מידע אחראי לתיעוד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה. ככל האפשר יבוסס התיעוד האמור על רישום אוטומטי.
בנוהל האבטחה יקבע בעל מאגר מידע גם הוראות לעניין התמודדות עם אירועי אבטחת מידע, לפי חומרת האירוע ומידת רגישות המידע, לרבות לעניין ביטול הרשאות וצעדים מיידיים אחרים הנדרשים וכן לעניין דיווח לבעל המאגר על אירועי אבטחה ועל פעולות שננקטו בעקבותיהם.
במאגר מידע שחלה עליו רמת האבטחה הבינונית, יקיים בעל המאגר דיון אחת לשנה לפחות באירועי האבטחה ויבחן את הצורך בעדכונו של נוהל האבטחה. במאגר מידע שחלה עליו רמת האבטחה הגבוהה, ייערך דיון כאמור אחת לרבעון לפחות.
אירע אירוע אבטחה חמור יודיע על כך בעל המאגר לרשם באופן מיידי, וכן ידווח לרשם על הצעדים שנקט בעקבות האירוע. רשאי הרשם להורות לבעל מאגר המידע, לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר, להודיע על אירוע האבטחה לנושא מידע שעלול להיפגע מן האירוע".
