תקנות הגנת הפרטיות
תקנות הגנת הפרטיות - Data Privacy
תקנות הגנת הפרטיות החדשות (אבטחת מידע) נכנסו לתוקף בחודש מאי 2018. מעתה כל בעלי, מנהלי ומחזיקי מאגרי המידע מכל סוג ובכל מגזרי המשק מחויבות לעמוד בתקנות החדשות. אי מילוי אחר הנחיות חוק הגנת הפרטיות עלול להוביל להטלת סנקציות וקנסות גדולים להוות בסיס לתביעות.
תקנות הגנת הפרטיות, כפי שפורסמו, מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת במסגרת חוק הגנת הפרטיות על כל גורם המנהל או מעבד מאגר של מידע אישי, קובעות מנגנונים ארגוניים ודרישות מהותיות שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון.
כתיבת נהלי אבטחת מידע - דגשים ודוגמאות
פירוט החובות החלות על בעלי מאגרים
1. מאגר מידע המנוהל על ידי יחיד
(אלו הם המאגרים עליהם חלות החובות הפחותות ביותר)
מאגרים המנוהלים בידי יחיד, לרבות תאגיד בבעלות יחיד, כאשר הגישה למידע שבמאגר הינה לבעלים ולכל היותר לעד שני מורשי גישה נוספים.
רמה זו נועדה לתת פתרון לכל אותם מאגרים שמנהלים בעלי עסקים קטנים, אשר ברשותם מידע, שמחד נדרש להגן עליו אך עם זאת, קיים קושי אמיתי להטיל עליהם חובות אבטחה מוגברות.
כאשר מדובר במאגר יחיד בבעלות יחיד, אשר מכיל מידע על יותר מ – 10,000 אנשים, או שמטרתו איסוף מידע לצורך מסירתו לאחר (כגון דיוור ישיר), או כאשר בעל המאגר כפוף לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית, אזי המאגר לא ייכלל ברמה זו.
2. מאגרים שחלה עליהם רמת האבטחה הבסיסית הגדרת מאגרים אלה הינה על דרך השלילה: מאגרים שאינם מנוהלים בידי יחיד ואשר אינם נכללים בגדר מאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה.
3. מאגרים שחלה עליהם רמת האבטחה הבינונית בקבוצה זו נכללים מאגרי מידע שמספר מורשי הגישה אליהם עולה על 10 ומטרתם היא איסוף מידע לצורך מסירתו לאחר, או שהינם בבעלות גוף ציבורי, או שהם מכילים מידע כגון - מידע רפואי, מידע גנטי, מידע על אמונותיו ודתו של אדם, הרשעות בפלילים ומידע רגיש אחר.
4. מאגרים שחלה עליהם רמת האבטחה הגבוהה מאגרי מידע, לרבות של גוף ציבורי, שמטרתם איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש כמתואר לעיל אודות 100,000 אנשים ומעלה או מספר מורשי הגישה למידע זה עולה על 100.החובות החלות על בעל מאגר יחיד הינן המצומצמות ביותר וכוללות חובה להכנת מסמך הגדרות המאגר, אבטחה פיזית, ניהול הרשאות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימשו בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת.
מהם מבדקי חדירה למאגרי מידע? מידע נוסף
תקנות הגנת הפרטיות - חובות שאר בעלי המאגרים
ע"פ החוק להגנת הפרטיות, החובות החלות על כל שאר בעלי המאגרים כוללות דרישה להכנת מסמך הגדרות המאגר, במסגרתו יתנו את הדעת על איסוף המידע, מטרות השימוש בו, סוגי המידע, והאם לא נאסף מידע מעבר לדרוש; עריכת נוהל אבטחת מידע; מיפוי המערכות ולרמת האבטחה הגבוהה גם ביצוע סקר סיכונים; אבטחה פיזית; חובות באשר לגיוס עובדים; ניהול הרשאות גישה, זיהוי ואימות ובקרה; תיעוד אירועי אבטחה; הגבלת שימוש בהתקנים ניידים; הפרדת מערכות; אבטחת תקשורת וחובות נוספות.
בעלי מאגרים שחלה עליהם רמת האבטחה הגבוהה או הבינונית, יודיעו להרשות להגנת הפרטיות באופן מיידי בקרות אירוע אבטחה חמור וכן ידווחו לרשות להגנת הפרטיות על הצעדים שנקטו בעקבות האירוע. בנוסף, במקרים אלה, רשאי רשם מאגרי המידע להורות לבעל מאגר המידע (לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר) להודיע על אירוע האבטחה לנושא מידע שעלול להיפגע מן האירוע.
על מנת להתמודד עם תקנות הגנת הפרטיות - מומחי חברת שלומי אדר מומחים לתשתיות ביטחון מידע מציעים את סל השירותים הבאים:
הקמה של מערכת לניהול אבטחת המידע תאפשר:
• זיהוי וניהול הסיכונים למידע כנגזרת מתקנות הגנת הפרטיות החדשות
• הגדרה של תהליכי טיפול ומניעה בצורה עקבית ושיטתית
• בחירת הבקרות הנחוצות לחברות וכתוצאה מכך הקטנת הוצאות מיותרות
• הגדרת היעדים לניהול אבטחת המידע ותכנון יזום להשגתו
• התאמה מלאה אל תקנות הגנת הפרטיות
• צמצום ההוצאות על נזקים הקשורים באיבוד מידע, אי יכולת לשחזרו ואי זמינות שלו
• פיתוח יכולת התאוששות מאסון והמשכיות עסקית
• מניעה אפקטיבית של הונאות
• הנעה של תהליכי שיפור (גם מעבר להתאמה בסיסית לדרישות)
• מעבר לתהליכי עבודה אפקטיביים ויעילים
• הענקת בטחון ללקוחות ולבעלי העניין כי חברתכם מעמידה בעדיפות גבוהה את הדאגה לאבטחת המידע על פי תקנות הגנת הפרטיות החדשות.
סוקרי חברת שלומי אדר מומחים לתשתיות ביטחון מידע יסייעו לזהות אם מערכת ניהול אבטחת המידע של חברתכם מתאימה לדרישות, ומה הן נקודות השיפור הנדרשות ברמות השונות.
תהליך התעדה
הדרך להתעדה וקבלת היתר של משרד המשפטים-התעדה נעשית לאחר יישום של תהליך פנים ארגוני, בו מוטמעת בהצלחה, בהתאם לדרישות משרד המשפטים, מערכת ניהול אבטחת מידע בחברה. לצורך התנעת התהליך, מומלץ לרכוש את משרד המשפטים במרכז מידע של חברת שלומי אדר מומחים לתשתיות ביטחון מידע, וללמוד את הדרישות ולהשתתף בהדרכות מתאימות.
כמו כן, ניתן להסתייע ביועצים המתמחים בניהול אבטחת מידע ולבצע מבדק מקדים על ידי מומחי חברת שלומי אדר מומחים לתשתיות ביטחון מידע לבחינת הפערים. מומלץ לראות בתהליך הזדמנות לשיפור באמצעות צוות של חברתכם שיזכה למחויבות ומעורבות ההנהלה. בסופו של התהליך, סוקרים בלתי תלויים מטעמה של חברת שלומי אדר ילוו את המבדק המאשר התאמה של מערכת ניהול אבטחת המידע בחברתכם.