חוק הגנת הפרטיות
 
 

 

חוק הגנת הפרטיות - Data Privacy


התקנות הגנת הפרטיות ( אבטחת מידע) נכנסו לתוקף בחודש מאי 2018. מעתה כל בעלי, מנהלי ומחזיקי מאגרי המידע מכל סוג ובכל מגזרי המשק מחויבות לעמוד בתקנות החדשות. אי מילוי ההוראות החדשות עלול להוביל להטלת סנקציות וקנסות גדולים להוות בסיס לתביעות.

התקנות החדשות מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות על כל גורם המנהל או מעבד מאגר של מידע אישי, קובעות מנגנונים ארגוניים ודרישות מהותיות שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון.


כתיבת נהלי אבטחת מידע - דגשים ודוגמאות

תקן ISO 27001 לאבטחת מידע
 


פירוט החובות החלות על בעלי מאגרים
 

1.    מאגר מידע המנוהל על ידי יחיד
(אלו הם המאגרים עליהם חלות החובות הפחותות ביותר)

מאגרים המנוהלים בידי יחיד, לרבות תאגיד בבעלות יחיד, כאשר הגישה למידע שבמאגר הינה לבעלים ולכל היותר לעד שני מורשי גישה נוספים.

רמה זו נועדה לתת פתרון לכל אותם מאגרים שמנהלים בעלי עסקים קטנים, אשר ברשותם מידע, שמחד נדרש להגן עליו אך עם זאת, קיים קושי אמיתי להטיל עליהם חובות אבטחה מוגברות.

כאשר מדובר במאגר יחיד בבעלות יחיד, אשר מכיל מידע על יותר מ – 10,000 אנשים, או שמטרתו איסוף מידע לצורך מסירתו לאחר (כגון דיוור ישיר), או כאשר בעל המאגר כפוף לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית, אזי המאגר לא ייכלל ברמה זו.
 

2.    מאגרים שחלה עליהם רמת האבטחה הבסיסיתהגדרת מאגרים אלה הינה על דרך השלילה: מאגרים שאינם מנוהלים בידי יחיד ואשר אינם נכללים בגדר מאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה.
 

3.    מאגרים שחלה עליהם רמת האבטחה הבינוניתבקבוצה זו נכללים מאגרי מידע שמספר מורשי הגישה אליהם עולה על 10 ומטרתם היא איסוף מידע לצורך מסירתו לאחר, או שהינם בבעלות גוף ציבורי, או שהם מכילים מידע כגון - מידע רפואי, מידע גנטי, מידע על אמונותיו ודתו של אדם, הרשעות בפלילים ומידע רגיש אחר.
 

4.    מאגרים שחלה עליהם רמת האבטחה הגבוהה מאגרי מידע, לרבות של גוף ציבורי, שמטרתם איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש כמתואר לעיל אודות 100,000 אנשים ומעלה או מספר מורשי הגישה למידע זה עולה על 100.החובות החלות על בעל מאגר יחיד הינן המצומצמות ביותר וכוללות חובה להכנת מסמך הגדרות המאגר, אבטחה פיזית, ניהול הרשאות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימשו בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת.

מהם מבדקי חדירה למאגרי מידע? מידע נוסף
 

החובות החלות על כל שאר בעלי המאגרים כוללת דרישה להכנת מסמך הגדרות המאגר, במסגרתו יתנו את הדעת על איסוף המידע, מטרות השימוש בו, סוגי המידע, והאם לא נאסף מידע מעבר לדרוש; עריכת נוהל אבטחת מידע; מיפוי המערכות ולרמת האבטחה הגבוהה גם ביצוע סקר סיכונים; אבטחה פיזית; חובות באשר לגיוס עובדים; ניהול הרשאות גישה, זיהוי ואימות ובקרה; תיעוד אירועי אבטחה; הגבלת שימוש בהתקנים ניידים; הפרדת מערכות; אבטחת תקשורת וחובות נוספות.
 

בעלי מאגרים שחלה עליהם רמת האבטחה הגבוהה או הבינונית, יודיעו להרשות להגנת הפרטיות באופן מיידי בקרות אירוע אבטחה חמור וכן ידווחו לרשות להגנת הפרטיות על הצעדים שנקטו בעקבות האירוע. בנוסף, במקרים אלה, רשאי רשם מאגרי המידע להורות לבעל מאגר המידע (לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר) להודיע על אירוע האבטחה לנושא מידע שעלול להיפגע מן האירוע.
 

על מנת להתמודד עם תקנות הגנת הפרטיות הללו מומחי חברת שלומי אדר מומחים לתשתיות ביטחון מידע מציעים את סל השירותים הבאים:
 

הקמה של מערכת לניהול אבטחת המידע תאפשר:

•    זיהוי וניהול הסיכונים למידע כנגזרת מתקנות הגנת הפרטיות החדשות
•    הגדרה של תהליכי טיפול ומניעה בצורה עקבית ושיטתית
•    בחירת הבקרות הנחוצות לחברות וכתוצאה מכך הקטנת הוצאות מיותרות
•    הגדרת היעדים לניהול אבטחת המידע ותכנון יזום להשגתו
•    התאמה לדרישות החוק והתקנות הרלוונטיות
•    צמצום ההוצאות על נזקים הקשורים באיבוד מידע, אי יכולת לשחזרו ואי זמינות שלו
•    פיתוח יכולת התאוששות מאסון והמשכיות עסקית
•    מניעה אפקטיבית של הונאות
•    הנעה של תהליכי שיפור (גם מעבר להתאמה בסיסית לדרישות)
•    מעבר לתהליכי עבודה אפקטיביים ויעילים
•    הענקת בטחון ללקוחות ולבעלי העניין כי חברתכם מעמידה את הדאגה לאבטחת המידע על פי התקנות החדשות בעדיפות גבוהה.

סוקרי חברת שלומי אדר מומחים לתשתיות ביטחון מידע יסייעו לזהות אם מערכת ניהול אבטחת המידע של חברתכם מתאימה לדרישות, ומה הן נקודות השיפור הנדרשות ברמות השונות.

תהליך התעדה
 

הדרך להתעדה וקבלת היתר של משרד המשפטים-התעדה נעשית לאחר יישום של תהליך פנים ארגוני, בו מוטמעת בהצלחה, בהתאם לדרישות משרד המשפטים, מערכת ניהול אבטחת מידע בחברה. לצורך התנעת התהליך, מומלץ לרכוש את משרד המשפטים במרכז מידע של חברת שלומי אדר מומחים לתשתיות ביטחון מידע, וללמוד את הדרישות ולהשתתף בהדרכות מתאימות.

כמו כן, ניתן להסתייע ביועצים המתמחים בניהול אבטחת מידע ולבצע מבדק מקדים על ידי מומחי חברת שלומי אדר מומחים לתשתיות ביטחון מידע לבחינת הפערים. מומלץ לראות בתהליך הזדמנות לשיפור באמצעות צוות של חברתכם שיזכה למחויבות ומעורבות ההנהלה. בסופו של התהליך, סוקרים בלתי תלויים מטעמה של  חברת שלומי אדר מומחים לתשתיות ביטחון מידע ילוו את המבדק המאשר התאמה של מערכת ניהול אבטחת המידע בחברתכם.

 

אודות שלומי אדר אבטחת מידע

 

Company Slogan

There are many variations of passages of Lorem Ipsum available, but the majority have suffered alteration in some form.