לקוחות וידידים נכבדים,
בסוף מרץ, 2017 אישרה ועדת החוקה, חוק ומשפט את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז - 2017 ("התקנות"), אשר תחולנה על כל הגופים בישראל אשר מנהלים או מחזיקים מאגר מידע, כהגדרתו בחוק הגנת הפרטיות, התשמ"א-1981 ("החוק").
התקנות קובעות הסדר רחב ומקיף יותר לעניין ההגנה הפיזית והלוגית על מאגרי מידע וניהולם, מזה אשר היה קיים עד כה בחוק ובתקנות שהותקנו מכוחו בשנת 1986. התקנות קובעות כללים ומנגנונים שמטרתם למנוע שימוש לרעה במידע, הן על ידי גורמים בתוך הארגון, והן על ידי גורמים מחוצה לו.
התקנות מבחינות בין ארבעה סוגי מאגרי מידע: (1) מאגרים המנוהלים בידי יחיד; (2) מאגרים שחלה עליהם רמת אבטחה בסיסית; (3) מאגרים שחלה עליהם רמת אבטחה בינונית; ו- (4) מאגרים שחלה עליהם רמת אבטחה גבוהה. כפועל יוצא מכך, חלק מההוראות בתקנות חלות בהתאם לסוג המאגר.
יצוין, כי מרבית החובות החלות לפי התקנות על בעל המאגר, יחולו גם על מנהל המאגר ועל המחזיק במאגר.
להלן עיקרי החובות תחת התקנות (החובות האמורות אינן חלות על כל סוגי המאגרים אלא יש לקיימן בהתאם לסוג המאגר, כמפורט בתקנות):
- ניסוח מסמך הגדרות מאגר – יש לנסח מסמך הגדרות מאגר הכולל תיאור כללי של פעילות איסוף ושימוש במידע, תיאור מטרות שימוש במידע, סוגי המידע השונים הכלולים במאגר, פרטים על העברת מאגר המידע אל מחוץ לישראל, ועוד. המסמך יעודכן בכל עת בעת שינוי משמעותי ונחיצות השמירה של המידע במאגר תיבדק אחת לשנה.
- נוהל אבטחה – ינוסח מסמך נוהל אבטחת מידע אשר יכלול, בין היתר, הוראות בעניין אבטחה פיזית וסביבתית של אתרי המאגר, הרשאות גישה למאגר, תיאור אמצעי אבטחה על מערכות המאגר, הוראות למורשי הגישה, סיכונים שחשוף להם המאגר ואופן הטיפול בהם, אופן התמודדות עם אירועי אבטחת מידע, ועוד.
- מיפוי מערכות וסקר סיכונים - יוחזק מסמך מעודכן של מבנה המאגר אשר יכלול, בין היתר, פרטים אודות תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע, מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהול המאגר ולתחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו, עריכת סקר לאיתור סיכוני אבטחת מידע ומבדקי חדירות למערכות המאגר, ועוד.
- אבטחה פיזית וסביבתית - מערכות המאגר יישמרו במקום מוגן, התואם את אופי פעילות המאגר ורגישות המידע בו.
- ניהול הרשאות גישה - תיקבענה הרשאות גישה למאגר המידע בהתאם להגדרות תפקיד, ינוהל רישום מעודכן של רשימת ההרשאות התקפות ויובטח שרק למורשי הגישה תהיה גישה למאגר. מתן הרשאת גישה למידע או שינויה ייעשה לאחר נקיטת אמצעים סבירים, המקובלים בהליכי מיון עובדים ושיבוצם.
- תיעוד אירועי אבטחה - בעל מאגר מידע יתעד את כל אירועי האבטחה בקשר עם מאגר המידע.
- התקנים ניידים - בעל מאגר המידע יגביל או ימנע אפשרות לחיבור התקנים ניידים למערכות המאגר או ינקוט אמצעי הגנה בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד.
- אבטחת תקשורת - מערכות המאגר לא תחוברנה לרשת האינטרנט או לרשת ציבורית אחרת ללא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב (לרבות שימוש באמצעי הצפנה מקובלים).
- מיקור חוץ - התקנות קובעת הוראות לעניין התקשרויות מול גורמים חיצוניים שונים לצורך קבלת שירות, הכרוך במתן גישה למאגר המידע.
- גיבוי ושחזור - בהתאם לרמת הרגישות של המידע במאגר, ייקבעו נהלים מסודרים לביצוע גיבוי ושחזור של מידע.
- ביקורות תקופתיות – קיום ביקורת פנימית או חיצונית, על ידי גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע שאינו ממונה האבטחה של המאגר, כדי לוודא עמידה בהוראות התקנות.
התקנות מאפשרות לרשם מאגרי המידע לפטור מאגר מסוים מחובות אבטחת המידע או להחיל על מאגר מסוים חובות אבטחה, לפי נסיבות העניין, אם ראה כי קיימים טעמים שמצדיקים זאת, בין היתר בהתחשב בגודל המאגר, סוג המידע שנמצא בו, היקף הפעילות של המאגר או מספר בעלי ההרשאות בו.
בנוסף, הרשם רשאי להורות כי מי שיעמוד בהוראות מסמך מנחה בעניין אבטחת מידע (תקן רשמי, תקן ישראלי או תקן בין-לאומי כמשמעותם בחוק התקנים, התשי"ג-1953, או מסמך אחר שהרשם אישר לעניין זה) או בהנחיות של רשות מוסמכת (גוף ציבורי המוסמך על פי דין לתת הנחיות בעניין אבטחת מידע) בעניין אבטחת מידע החלות עליו, יראו אותו כמקיים את הוראות התקנות, כולן או חלקן.
כמו כן, התקנות קובעות, לגבי חלק מסוגי המאגרים, חובת דיווח לרשם מאגרי המידע על אירועי אבטחת מידע חמורים, במסגרתם, רשאי רשם מאגרי המידע, כמפורט בתקנות, להורות על מסירת הודעה לנושאי מידע העלולים להיפגע מן האירוע.
התקנות תיכנסנה לתוקפן בתוך שנה מיום פרסומן. נציין, כי הגרסה הסופית של התקנות שאושרו טרם פורסמה ברשומות ובהתאם, טרם התחיל מניין השנה האמורה.
נשמח לעמוד לרשותכם בכל שאלה או הבהרה שתידרש.
הרצוג פוקס נאמן
