03-7176281
דף הבית > יישום והטמעת תקנים > תקנות הגנת הפרטיות

תקנות הגנת הפרטיות | (אבטחת מידע)

השאירו פרטים לקבלת מידע טלפוני אודות תקנות הגנת הפרטיות הישראליות או התקשרו ל- 03-9450630

תקנות הגנת הפרטיות בישראל:

בשנים האחרונות הולכת וגוברת המגמה לשיפור אבטחת המידע בעולם בכלל ובישראל בפרט, זאת בעקבות ליקויים בשמירת מידע של חברות, התפתחות הטכנולוגיה והעליה באיומים.

כתוצאה מכך, לקוחות חוו חוסר אמון ועתה דורשים רמה גבוה ביותר של אבטחת המידע שלהם שאגור במערכות של ארגונים שונים.

לאחרונה אושר תיקון 13 לחוק, ובוצעו שינויים דרמטיים במהות התקנות:

  • הוגדרה אחריות נושאי משרה לעמידה בחוק.
  • הוגדרו קנסות על הפרה.
  • הוגדרו תהליכי אכיפה.
  • הוגדר הצורך במינוי ממונה הגנת פרטיות (DPO).

תקנות הגנת הפרטיות – מי מחויב ובאיזו רמה?

כל אדם/ארגון המחזיק מאגר מידע מכל סוג וגודל מחויב בעמידה לפי תקנות הגנת הפרטיות על פי הרמה המתאימה לאופי מאגר המידע שברשותו:

  1. ניהול יחיד – מאגר אליו יש לכל היותר 2 בעלי הרשאה והוא מנוהל ע"י מנהל יחיד או חברה בבעלות יחיד. לרוב, יהיה מדובר בעסקים קטנים והם ידרשו לרמת האבטחה הנמוכה ביותר.
  2. רמת אבטחה בסיסית – מאגרים שאינם בניהול יחיד, אך לא חלה עליהם החובה לרמת אבטחה בינונית/ גבוהה.
  3. רמת האבטחה הבינונית – מאגר בעל מעל ל-10 בעלי הרשאה שבמידע שלו נעשה שימוש שנמסר לאחר או כזה המכיל מידע רפואי, מידע פלילי או כל מידע רגיש אחר.
  4. רמת האבטחה הגבוהה – מאגר בעל מעל ל-100 בעלי הרשאה עם מידע לשימוש מסירה או מאגר הכולל מידע רגיש על מעל מאה אלף איש ומעלה.

ישנם סייגים וחריגים בסיווג רמות ההבטחה הנדרשות המפורטים בתוך תקנות הגנת הפרטיות. לצורך סיווג הארגון הספציפי שלך ברמת האבטחה הנכונה והמתאימה לו, אנו ממליצים להיעזר ביועץ אבטחת מידע אשר מומחה בדרישות תקנות הגנת הפרטיות.

תקנות הגנת הפרטיות נשמע מפחיד? לא אותנו!

חברת הרמטיקון מלווה את ארגונים לעמידה בהליך תקנות הגנת הפרטיות באופן כולל ומקצועי. יועצי אבטחת המידע שלנו, בשילוב משפטנים מומחים בתחום הפרטיות יצרו פתרון ייחודי המוכיח את יעילותו בשוק ומוגש כשירות לכם.

תהליך העבודה מורכב מאבני הדרך הבאות:

  • מיפוי – היכרות עם הארגון, מאגרי המידע ותהליכי זרימת המידע.
  • סיווג- התאמת המיפוי לקטגוריות הנדרשות בתקנות.
  • ניתוח פערים- ניתוח מעמיק לזיהוי פערים אל מול הדרישות.
  • הגדרת מדיניות- מענה לפערים ואפיון תהליכים בהתאם.
  • הטמעה- ליווי בעלי התפקיד הרלוונטיים ליישום המדיניות.
  • בקרה וניטור- מבדק פנימי לבחינת יישום בפועל.

כחלק משירותינו בתחום הרגולציה, אנו מעניקים שירות CISO as a service (ממונה אבטחת מידע) ושירות DPO (ממונה הגנת פרטיות) המותאם לכם באופן אישי וייחודי לפעילות הארגון והמשאבים העומדים לרשותכם.

תהליך העמידה בתקנות הגנת הפרטיות:

הגדרות המאגר:

הצעד הראשון יהיה לערוך מסמך הנקרא "מסמך הגדרות המאגר", אשר יש לעדכן אחת לשנה (אם ישנם שינויים או שהתרחש אירוע אבטחה) ויכיל חלק מהנושאים הבאים:

  • תיאור כולל של דרך איסוף המידע וכיצד משתמשים בו.
  • מהו המידע האישי במאגר ולשם מה הוא משמש..
  • האם נעשות במידע פעולות צד שלישי (כמו העברה לחו"ל)?
  • פרטי מנהל מאגר המידע ושל הממונה על אבטחת המידע שבו.
  • מהם הסיכונים אליהם חשוף המידע ודרך ההתמודדות איתם.

ממונה אבטחת מידע וניהול מאובטח של המאגר:

במידה והארגון מנהל 5 מאגרי מידע ומעלה, הארגון הוא גוף ציבורי (בכלל זה בנק, חברות ביטוח ועוד) או עוסק בדרוג אשראי – יש למנות אחראי אבטחת מידע על פי החוק. האחריות על אבטחת המידע הינה על בעל המאגר ומנהל המאגר ופעולות במאגר דורשות תיעוד.

באחריות בעל המאגר ליצור הפרדה בין מערכות המאגר לבין מערכות אחרות, כמו למשל התקנת המאגר על שרת נפרד. חלה חובה לעדכן את מערכות המאגר בהתאם להנחיות היצרן.

כתיבת נוהל אבטחת מידע:

מסמך נוסף שיש לערוך הוא מסמך של מבנה מערכות המידע והמאגרים בארגון, פרטיו יינתנו אך ורק לבעלי הרשאה מתאימה. מסמך זה יכלול:

  • מהן המערכות עליהן פועל מאגר המידע, ניהולו ואופן אבטחתו וכן אילו תוכנות משמשות לתקשורת בתוך ומחוץ למאגר.
  • תיאור הקשרים בין חלקי המערכת השונים ומיקומם על ידי תרשים.
  • אילו תשתיות ומערכות חומרה משמשות לכך.
  • ציון התאריך האחרון בו עודכן המסמך.

תיעוד של אירועי אבטחה:

כל אירוע שבעקבותיו ישנה פגיעה בשלמות המידע או שימוש בו ללא הרשאה, יחשב כאירוע אבטחה המחייב בתיעוד של כל פרטיו.

ברמת אבטחה בינונית יש לבצע דיון אחת לשנה לפחות ואילו ברמת אבטחה גבוהה יש לבצע דיון אחת לרבעון לפחות.

בדיון יבחן הצורך בעדכון נהלים, אירועי אבטחה שהתרחשו והפעולות שננקטו בעקבותיהם.

אבטחת מידע פיזית וסביבתית:

תקנות הגנת הפרטיות מחייבות את הארגונים ובעלי המאגר לאבטח באופן פיזי את מערכות החומרה עליהן "יושב" המאגר.

ההגנה תעשה מפני עובדי החברה שאינם מורשים או מורשים באופן חלקי וכל כניסת עובד למאגר ברמת אבטח בינונית/ גבוהה יתועד ע"י מצלמות אבטחה ואמצעים נוספים.

התקנים ניידים:

בעידן הנוכחי ישנו שימוש נרחב בהתקנים ניידים, התקנות נותנות את הדעת גם לנושא זה המועד לפורענות בכל הקשור לאבטחת מידע.

בכלל זה מחשבים ניידים, כונן חיצוני, פלאפון ועוד. התקנים אלו עלולים בין השאר להכניס וירוסים, כאשר מחברים אותם למאגר ועל כן יש להגביל את השימוש בהם. במקרה של העברת מידה בצורה זו, חשוב להצפין את המידע ע"י שיטות הצפנה שונות.

אבטחת תקשורת:

עוד גורם בעל סיכון גבוהה הוא רשת האינטרנט, לכן יש לפעול על פי ההנחיות הבאות:

  1. בהעברת מידע – יש להשתמש השיטות הצפנה אמינות.
  2. ישנה חובה להתקין אמצעי הגנה על כל מערכת הבאה במגע עם מאגר המידע (כמו תוכנת אנטי וירוס).
  3. בכל כניסה מרחוק, חייבת להיות דרישת הזדהות מתאימה.
  4. במאגרים שסווגו כבעלי רמת אבטחה בינונית/ גבוהה ישנה חובת שימוש באמצעי פיזי הנשלט ע"י בעל המאגר.

מיקור חוץ:

גורם נוסף המעמיד את מאגר המידע בסיכון הוא עבודה אל מול גורמי חוץ, לכן יש לבחון מראש את אופן ההתקשרות, אילו הרשאות יינתנו לספק הספציפי, מהן הסכנות בכך ודרכי התמודדות אפשריים.

כלל החובות בעבודה אל מול ספקים מפורטים בתקנה מספר 15 לתקנות אבטחת מידע.

ביקורות תקופתיות:

אחת לשנתיים יש לערוך ביקורת ע"י גורם מוסמך (שאינו הממונה על אבטחת המאגר) בכדי לוודא עמידות בכל מאגר המסווג כבעל רמת אבטחה בינונית או גבוהה.

משך שמירת נתוני אבטחה:

את נתוני האבטחה שיצברו בהגנה על המאגר, יש לשמור למשך שנתיים לפחות בצורה מאובטחת. כמו כן, יש לגבות את הנתונים בצורה כזו שיהיה ניתן לשחזרם בעת הצורך.

רגולציה ותקנים מקבילים:

הסמכות לפטור מחובות הכתובות בתקנות אבטחת המידע או להוסיף חובות על מאגר מסוים נמצאת אצל הרשם.

במקרה של אי עמידה בתקנות, יוטלו סנקציות חמורות על ידי הרשות להגנת הפרטיות (בכללן כתבי אישום פליליים, קנסות ואף מאסר).

אז למה אתם מחכים? השאירו פרטים כאן לקבלת מידע טלפוני או התקשרו ל- 03-7176281

עמידה בתקנות הגנת הפרטיות מתחילה כאן:

  • קבעו עכשיו מבדק חשיפה לתקנות
  • נבצע אצלכם בארגון מבדק חשיפה ביחד - ללא התחייבות!
  • תקבלו מאיתנו הצעה תכנית עבודה ולעמידה בפערי הרגולציה

יתרונות לביצוע התהליך עם HermetiCon:

אבטחת מידע וסייבר 360°

שילוב אופטימלי בין מענה טכנולוגי, בהתאמה להיבטים משפטיים ולהטמעת תהליכים ומודעות עובדים.

פתרונות בשלל תחומי אבטחת מידע וסייבר

אנו יודעים לספק את הפתרונות הטכנולוגיים המיטביים והנכונים ביותר לארגונכם.

ליווי ע"י מיטב המומחים בתחום

מיטב המומחים מהתחום יספקו עבורכם מענה מקיף ברמה הרגולטורית, הטכנית והמשפטית.

שירות מותאם לגודל הארגון וצרכיו

לאורך השנים צברנו ניסיון רב. אנו מסוגלים לספק מבט על אבטחת המידע בארגון שלוקח את כל החולשות הקיימות בארגון ולהעלות אותן למודעות ההנהלה.
טופס תחתון

מעוניינים להתייעץ עם מומחה בתחום אבטחת מידע?

Fill in your information or contact us and we'll be happy to be at your service!

  • טלפון

    03-7176281

  • Mordechai Rozanski 18
    Rishon Lezion

  • Sun - Thu
    08:00-17:00