• White Facebook Icon
  • White LinkedIn Icon

כל הזכויות שמורות לאורנטק מערכות ניהוליות © 2019

'אורנסק אבטחת מידע והגנה בסייבר' מתמחה בכל קשת שירותי הייעוץ בתחומי אבטחת המידע. שירותי אורנסק מבוססים על שנות ניסיון רבות של גיבוש, הקמה וניהול תשתיות אבטחת מידע בקרב ארגונים מובילים בארץ ובחו"ל, ביניהם ממשלות וארגונים מענפי הרפואה, התקשורת, ההייטק, הבנקאות, הבטחון, התעשייה והמסחר. אורנסק הינה חלק מחברת 'אורנטק מערכות ניהוליות', ועושה שימוש בידע והניסיון שצברה אורנטק בתחום ניהול הפרויקטים ופיתוח תוכנה וכלים ממוחשבים ייחודיים.

תקנות הגנת הפרטיות 2017

מאת: ליאור לוי, יועצת אבטחת מידע

בתאריך ה-8.5.2017 פורסם קובץ "תקנות להגנת הפרטיות (אבטחת מידע), התשע"ז 2017"

קובץ התקנות החדש מהווה השלמה ל'חוק הגנת הפרטיות' התשמ"א. הוא כולל דרישות מורחבות

וחדשות ומבטל חלק מהתקנות הישנות.

התקנות מתייחסות לכלל המחזיקים, המנהלים ובעלי מאגרי המידע השונים לרבות גופים ציבוריים, אנשים

פרטיים, עסקים וכלל הגופים השונים אשר נתונים לפוטנציאל חשיפת המידע ממאגרי מידע אלו - באם לא

יעמדו בתקנות הנדרשות.

התקנות החדשות שופכות אור על אופן ניהול אבטחת המידע הנדרש וכמו כן על המצב הקיים.

התקנות מפרטות את כלל ההגדרות הרלוונטיות כגון סוגי מאגרי מידע ובעלי תפקידים רלוונטיים.

בנוסף להגדרות, מפורטות כלל הפעולות, התהליכים, המועדים והתוצרים אשר נדרשים ליישום תחת התקנות.

כך למשל, בהגדרת מאגרי המידע מפורט 'קטלוג' של מאגרי המידע המחולק לארבעה סוגי מאגר שונים.

הסוג הראשון מתייחס למאגר מידע אשר מנוהל בידי יחיד ואילו שאר המאגרים מסווגים על פי רמת האבטחה

הנדרשת של המאגר: רמת אבטחה בסיסית, בינונית וגבוהה. אופן הגדרת רמת האבטחה של מאגר המידע

מפורט בתקנות בהתבסס על נתוני סוג המידע המצוי בו, מספר בעלי הגישה למאגר וכמות האנשים

שפרטיהם מופיעים במאגר (נשואי המידע).

בנוסף להגדרת סוגי המאגרים, לכל מאגר מידע נקבעו הנחיות ודרישות ייעודיות. כל הנחייה ייעודית

מתווספת להנחיות שניתנו למאגרי המידע ברמות האבטחה הנמוכות ממנו. החוק מגדיר בצורה ברורה את

הפעולות הנדרשות מבעל המאגר בכדי ליישם את ההגנה על מאגר המידע שברשותו ובכדי למנוע הפרה של התקנות.

 

להלן דוגמאות של הפעולות הנדרשות מבעלי, מנהלי ומחזיקי המאגר:
 

1. התמודדות מול תרחישים

2. דרישות לבניית תוכנית עבודה
3. מיפוי נכסים וסיכונים

4. אפיון מסמכי מדיניות

5. ניתוח איומים, סיכונים וליקויים במאגרי המידע

6. דרכי התמודדות עם הליקויים

7. מעקב אחר שינויים ועוד

כמו כן, התקנות מגדירות תוצרים מחייבים וכוללות דרישות מפורטות לתכולתם כגון מסמך הגדרות המאגר,

נוהל אבטחת מידע, חובות בעלי תפקידים ומיפויים שונים.

חידוש נוסף מתבטא בהגדרת תפקיד ממונה אבטחת מידע. בהמשך לתקנות הישנות, חלות על הממונה

חובות חדשות, כגון הגדרת כפיפותו הישירה לבעל מאגר המידע, הסמכויות המוקנות לו, איסור על הימצאות

ניגוד עניינים במילוי תפקידו, תכולות עבודתו, דרישות לבניית תוכניות עבודה ועוד.

התקנות קובעות את טווחי הזמנים והמועדים הנדרשים לטובת הגנת המידע, בהתאם לדרישה. למשל הגדרה

של משך הזמן הנדרש לטובת גיבוי המידע, תדירות ביצוע ביקורות, קיום דיונים ייעודים ועוד.

התקנות החדשות חייבו ביצוע היערכות סדורה ויסודית ונכנסו לתוקף החל מתאריך ה- 8.5.18