עמידה בתקנות הגנת הפרטיות הישראליות 2018
תקנות הגנת הפרטיות הישראליות 2018, שיצאו בסמוך לתקנות הגנת הפרטיות האירופאיות, ה-GDPR, קובעות סטנדרט להגנת הפרטיות של אזרחי ישראל, ומתווספות לחוק הגנת הפרטיות של שנת 1981.
מי צריך לעמוד בתקנות הגנת הפרטיות?
בקצרה- כל ארגון בישראל, בין אם פרטי או ציבורי, וכל בעלי, מנהלי ומחזיקי מאגרי מידע השומרים נתונים אישיים או רגישים.
מה זה מידע רגיש?
בדומה ל-GDPR, חוק הגנת הפרטיות 2018 מגדיר מידע רגיש כ"נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו".
בפירוט:
- שמות
- מספרי תעודת זהות
- מקום
- כתובות דוא"ל
- רישומי בריאות
- אמונות דתיות
- תמונות
- מצב פיזי ופסיכולוגי
- זהות תרבותית/חברתית
התקנות מחלקות את מאגרי המידע ל-4 סוגים, על פי רמת האבטחה הנדרשת בהם:
מאגר מידע המנוהל ע"י יחיד- מאגר מידע שמנוהל בידי אדם יחיד או תאגיד שבבעלות אדם יחיד, ולכל היותר 2 בעלי הרשאה להשתמש במאגר הנתונים. רלוונטי לבעלי עסקים קטנים.
רמת אבטחה בסיסית- כל מאגר מידע שאינו נכלל בשאר הקטגוריות
רמת אבטחה בינונית- מאגר מידע שיש לו מעל 10 בעלי הרשאות ואחד מהבאים מתקיים:
- מטרתו איסוף מידע לצורך מסירתו לאחר
- המאגר בבעלות גוף ציבורי
- מכיל מידע רגיש- רפואי, גנטי, פלילי וכדומה.
רמת אבטחה גובהה- רלוונטי לרוב לגופים ציבוריים שמחזיקים מאגר מידע עם גישה למעל 100 אי, ואחד מהתנאים הבאים מתקיים:
- מטרתו איסוף מידע לצורך מסירתו לאחר
- מכילים מידע רגיש אודות 100,000 אנשים ומעלה.
לסיווגי המאגרים השונים קיימים חריגים והתייחסויות קונקרטיות בחקיקה ובפרסומי רשות הגנת הפרטיות. טרם כניסתכם לכל התהליך, יש לשים לב שמשפטן מוסמך לתחום מבצע בחינה מסודרת של החברה ופעילותה על מנת לוודא שרמת אבטחת המאגר זוהתה בצורה מסודרת: עומדת בדרישות הדין מחד גיסא, אך אינה מחמירה מדי עם החברה מאידך גיסא.
מה ההבדל בין תקנות הגנת הפרטיות 2018 ל-GDPR?
על מחזיקי מאגרי מידע חלה החובה לעמוד בתקנות הגנת הפרטיות הישראליות, והרשות להגנת הפרטיות קובעת שורה של סנקציות משמעותיות לאלה שאינם עומדים, ביניהם הגשת כתבי אישום פליליים, הטלת קנסות מנהליים ואף עונש מאסר.
לעומת זאת, ה-GDPR חל על ארגונים המציעים סחורות או שירותים לאזרחי האיחוד האירופי או לתושבי האיחוד האירופי, ו/או אוספים נתונים הקשורים לאנשים באיחוד האירופי, ללא קשר למיקום הפיזי של הארגון.
עמידה בתקנות אבטחת המידע הישראליות אינה מהווה עמידה בדרישות ה- GDPR, כלומר לאחר העמידה בתקנות הגנת הפרטיות הישראליות, יש לבצע צעדים נוספים על מנת לעמוד ב-GDPR.
תהליך העמידה בתקנות הגנת הפרטיות 2018
מיפוי המאגרים- מסמכים
מסמך הגדרות המאגר– על הארגון לכתוב מסמך המתייחס לסוגיות רלוונטיות להגנת הפרטיות של המידע הנמצא במאגר המידע- בין היתר:
- מעבר כללי על פעולת האיסוף והשימוש במידע הנמצא במאגר המידע
- מה המידע האישי הנמצא במאגר
- מה מטרות איסוף המידע האישי ושימושו
- העברת המידע האישי- האם המידע מועבר לגורמי צד שלישי, אם כן אז האם הם ממוקמים בארץ או בחו"ל?
- סיכוני סייבר- מה הם סיכוני הסייבר שהמידע האישי חשוף אליו.
- דרכי התמודדות עם סיכוני הסייבר
- פרטים אישיים של האחראים- מי הם מנהלי המאגר, מחזיקי המאגר, והממונה על אבטחת המידע של המאגר.
את המסמך יש לעדכן אחת לשנה במידה ו:
- נעשו שינויים טכנולוגיים
- התרחש אירוע אבטחת מידע בארגון
מסמך נוהל אבטחת מידע– תקנות הגנת הפרטיות קובעות כי על כל בעל מאגר מידע להחזיק מסמך המפרט את מבנה מאגר המידע ומערכות המידע בארגון. מדובר במיפוי מאגר המידע על כל מרכיביו כולל מיפוי של תשתיות ומערכות החומרה, מערכות התוכנה מהפעילות מנהלות מתחזקות ותומכות במאגר המידע, ממשקים צד שלישי המעבירות תקשורת ממאגר המידע ומחוצה לה.
פרטי המסמך יימסרו רק לבעלי הרשאה מתאימה ובהיקף הנדרש לצורך ביצוע תפקידם.
סקרי סיכונים ובדיקות חדירות
התקנות קובעות כי במאגר מידע בעל רמת אבטחה גבוהה, יש לערוך אחת ל-18 חודשים לפחות סקר סיכונים המאתר את סיכוני אבטחת המידע ומבדקי חדירות.
מה זה מבדק חדירות?
ה- Penetration Testing היא דרך המאפשרת להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מובייל ותשתיות. בדיקת החדירות מתחילה במיפוי הנכסים הדיגיטלים של הארגון, כולל אינטגרציה עם מערכות צד ג', התנהגות משתמשים וכדומה. מטרת הבדיקה היא לאתר את החולשות והפגיעויות במערכת ולתת את הדגשים וההמלצות לתיקון שלהם, וזאת על ידי איסוף המידע.
בסוף התהליך מקבלים דו"ח מלא המפרט את כל פגיעויות המערכת, רמת חומרה, צילומי מסך של הממצאים שאותרו והמלצות לתיקון. לאחר תיקון הממצאים מצד הלקוח מבצעים בדיקה חוזרת (re-test) כדי לוודא שאין פערים נוספים.
תקנות הגנת הפרטיות קובעות כי על ארגונים המעוניינים לעמוד בתקינה לבצע מבדקי חדירות באינטרוולים קבועים. בנוסף יש לתקן את הפערים שנמצאו במבדקי החדירות וסקרי הסיכונים, ולבצע מעקב אחר תיקונים אלה כדי לוודא סגירת פערים.
להבנה מעמיקה יותר של מבדקי חדירות, דרכי הפעולה והסוגים השונים, עברו למאמר המלא שלנו בנושא PT.
מינוי ממונה אבטחת המידע בארגון
לפי חוק הגנת הפרטיות, יש למנות ממונה על אבטחת מידע בארגון אם אחד מהתנאים הבאים מתקיים:
- הארגון מחזיק בחמישה מאגרי מידע
- הגוף הינו גוף ציבורי
- הגוף הינו בנק
- הגוף הינו חברת ביטוח
- הגוף היא חברה העוסקת בדירוג או בהערכה של אשראי
אבטחת מידע פיזית ותקשורתית
על ארגונים להגן פיזית על מתקני החברה ונקודות הקצה, וביניהם מערכות התוכנה והחומרה, חדרי שרתים ועוד. על הארגון להישמר מפני גישות לא מורשות של עובדים על ידי תיעוד כניסות ויציאות של עובדים באמצעות אמצעי הגנה שונים כמו מצלמות אבטחת ומערכות זיהוי.
בנוסף, ארגונים המעוניינים לעמוד בתקינה צריכים להטמיע מערכות הגנה על נקודות הקצה שלהן, לרבות מחשבים ניידים הניתנים לעובדים, ומשמשים מטרה פופלרית להאקרים.
חולשות האבטחה במחשבים ניידים כוללים בין היתר גניבת המחשב, הורדת וירוסים, תוכנות לא מעודכנות ועוד. בנוסף, חשוב לזכור שעובדים רבים משתמשים במחשב העבודה שלהם גם לדברים אישיים, ולכן עולה הסיכוי לפריצה בגלל גלישה באתרים מסוכנים ומזויפים, או הורדת מסמכים ממקור לא מוסמך.
מבחינת אבטחת תקשורות, מאגרי מידע המחוברים לרשת הגלובלית בעלי סיכון גבוה לגישה לא מורשית, ולכן עליהם להתקין ולהטמיע מערכת אבטחה כמו WAF, חומת אש, מערכות ניטור ובקרה, הצפנות ושימוש באימות רב שלבי.
תיעוד של אירועי אבטחה
יש לקחת אירועי אבטחת מידע המתרחשים בארגון בכובד ראש, ולפעול בהתאם לנהלים מחמירים על מנת לאתר, להגיב, וללמוד מאירועים אלה.
אירוע אבטחה מוגדר ככל אירוע אשר ישנה פגיעה בשלמות המידע, או שימוש במידע ללא הרשאה מתאימה. במידה וישנו אירוע אבטחה, יש לתעד את האירוע ככל האפשר.
- במאגר שחלה עליו רמת אבטחה בינונית על בעל המאגר לקיים דיון אחת לשנה לפחות בנוגע לאירועי האבטחה שהתרחשו, תוך בחינה של הצורך בעדכון הנהלים.
- במאגר שחלה עליו רמת אבטחה גבוהה, ייערך דיון אחת לרבעון לפחות.
לעמוד בתקני הגנת הפרטיות הישראלית זו לא משימה פשוטה, ודורשת את הניסיון הרב של מומחי סייבר. לעיתים ייעוץ אבטחת מידע נכון יכול להוביל ארגון לתהליך של עמידה בתקינה יותר נרחבת משום שזה דורש מעט מאמץ, אך הרווח הוא משמעותי. עם הכוונה נכונה של חברת אבטחת מידע, ארגונים רבים יכולים לחסוך לעצמם זמן ומשאבים, ולעמוד בתקינות ישראליות ובין לאומית בקלות ובמהירות.
