תמצית תקנות הגנת הפרטיות

מטרת תקנות הגנת הפרטיות הינה להגן על מאגרי מידע אשר כוללים בתוכם "מידע רגיש".

מידע רגיש הינו:

  • אישיותו של אדם
  • מעמדו האישי
  • צנעת אישותו
  • מצב בריאותו
  • מצבו הכלכלי
  • הכשרתו המקצועית
  • דעותיו ואמונתו

למעשה כל ארגון אשר הינו בעל מאגר שכזה מחויב לאחת מרמות האבטחה:בסיסית,בינונית וגבוהה.

חובות אבטחה של בעל מאגר המידע

חובות כלליות מכוח חוק הגנת הפרטיות שחלות על בעל מאגר, מחזיק מאגר ומנהל מאגר:

  • שימוש במידע רק למטרה לשמה נאסף
  • שמירה על סודיות המידע
  • לאפשר לאדם לעיין במידע המצוי עליו במאגר בשפה העברית, הערבית או האנגלית.
  • רישום מאגר המידע - כל עסק/תאגיד חייב ברישום מאגרי המידע שלו בפנקס מאגרי המידע של משרד המשפטים (כיום-ללא עלות רישום)
  • ניהול, החזקה או שימוש במאגר מידע שחייב ברישום ולא נרשם מהווה עבירה פלילית שדינה מאסר שנה. בנוסף, רשאי רשם מאגרי המידע להטיל קנס מנהלי (בין 2000 ל- 25,000 ₪)
  • כל החובות החלות בתקנות על בעל מאגר מידע יחולו גם על מנהל מאגר המידע ומחזיק המאגר (למעט החובה ביחס למסמך הגדרות המאגר שאינה חלה על מחזיק)
  • במקרה של אירוע אבטחה קיימת חובה דיווח לרשות בגין האירוע,הרשות לאחר קבלת הדיווח תקבע את המשך הטיפול ובכלל זה: מתן הנחיות לתיקון הליקויים,הליך פיקוח או חקירה לרבות במתקני הארגון,קביעת הפרה (כולל יכולת פתיחה בחקירה פלילית,תיקון הליקויים והטלת קנס מנהלי),פרסום דבר קיום אירוע אבטחתי ושל ההפרה,התליה או ביטול של רישום המאגר (עצירת הפעילות העסקית) ובמקרים מסוימים-הטלת סנקציות.

על מי מוטלת האחריות לאבטחת המידע?
  • בעל מאגר המידע-התאגיד או העסק שלמטרותיו ולצרכיו נאסף המידע
  • המחזיק במאגר -מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש (אנו משמשים כמחזיקי המאגר ללקוחות הענן שלנו)
  • מנהל מאגר המידע-מנהל התאגיד או בכיר אחר שהוסמך לכך.

חשוב להדגיש שמנכ"ל העסק/תאגיד רשאי למנות אחר מטעמו שיכהן כ"מנהל מאגר מידע" באמצעות טופס כתב מינוי מנהל מאגר, אך בכל מקרה אחריות המנכ"ל היא יחד ולחוד עם מנהל המאגר, אם מונה.מנהל מאגר מידע חב באחריות אישית לאבטחת המידע במאגר, ביחד ולחוד, עם בעל המאגר או המחזיק בו.

רמה בינונית/גבוהה?

לפי רמת הסיווג יש להערך ל:

  • מינוי ממונה אבטחת מידע
    • ממונה על אבטחת המידע לא ישמש כמנהל מאגר המידע
    • עמדת הרשות להגנת הפרטיות היא שממונה אבטחת מידע לא יכול לכהן גם כמנמ"ר של הארגון (מנהל מערכות מידע)
    • רצוי גם שהממונה על אבטחת המידע לא יהיה כפוף למנמ"ר כדי לצמצם את החשש לפגיעה בעצמאות שיקול דעת הממונה
  • הכנת נוהל אבטחת מידע (המטרה הינה לייצר מדיניות,הנוהל לא יפורסם),בעל המאגר יבחן אחת לשנה את הצורך בעדכון הנוהל בדגש על שינויים שנעשו ו/או על בסיס סיכונים טכנולוגים

  • מיפוי מערכות המאגר
  • ביצוע סקר סיכונים (רק ברמה הגבוהה -פעם ב 18 חודשים)
  • חובת אבטחה פיזית וסביבתית
  • חובת אבטחת מידע בניהול כח אדם
  • חובת ניהול הרשאות גישה
  • חובת זיהוי ואימות
  • חובת בקרה ותיעוד גישה
  • חובת תיעוד של אירוע אבטחה
  • חובת אבטחת תקשורת
  • בחינה של התקשרויות עם גורמים במיקור חוץ
  • חובת עריכת ביקורת תקופתית
  • חובת גיבוי ושחזור של נתוני אבטחה

איך נעזור לארגונך לעמוד בתקנות?

 

 

כדי לעמוד בתקנות אנו נוביל את הארגון ונבצע:

  • מיפוי כלל המערכות ורישום מאגרי מידע בעזרת ליווי משפטי
  • מיפוי כלל רשת התקשורת/אבט"מ ולימוד הקשרים בין ההתקנים/מערכות
  • נבחן את מערך הדוא"ל ונציע פתרון בנושא הצפנה וסינון דוא"ל
  • אנו נעביר את הארגון לשימוש ב MFA (אימות כפול) לעובדים/קבלנים
  • אנו נלמד את מערך הגיבויים/התאוששות מאסון ונפיק המלצות לפי חוק 3-2-1
  • אנו נטמיע את פתרון ARMOR להגנה על השרתים הקריטיים ונחבר למרכז ה    האבטחה במתכונת של 24x7
  • אנו נטמיע פתרון הגנה על אפליקציות הנגישות מהאינטרנט באמצעות WAF
  • אנו נבצע הצפנה של מחשבים וניתוק מדיה נתיקה
  • אנו נטמיע פתרון MDM לשליטה על מכשירי הטלפון הסלולריים
  • אנו נתעד בפורטל מוצפן את כלל העבודה ונעמוד בנהלים שדרש היועץ המשפטי של הארגון ונהווה את הגורם הטכנולוגי לעמידה בתקינה
  • אנו נספק הדרכות קבועות בנושא אבט"מ למשתמשי הארגון
  • כלל המערכת מסופקת בעלות חודשית קבועה
  • קיימת אפשרות לליווי משפטי כחלק מתהליך ההכנה לתקינה ובעלות חודשית קבועה
ההתחייבות שלנו -הבטחה לאבטחה!
השותפים שלנו

הכלים שלנו