תקנות חדשות למעסיקים בתחום אבטחת מאגרי מידע

הדרישה לאבטחת המידע הנאגר במאגרי מידע אינה חדשה, שכן גם כיום מוטלת אחריות על בתי עסק לאבטח את המידע המוחזק במאגרים, אולם הדרישות הקיימות מנוסחות בצורה כללית ביותר, ועד היום לא הוקנו כלים קונקרטיים המאפשרים להבין את היקף החובה שחלה על בעל המאגר. התקנות החדשות משנות את פני הדברים, ומגדירות באופן ברור יותר מהן החובות החלות על בעלי המאגרים.

אז מה קובעת ההסדרה החדשה? התקנות מבחינות בין ארבעה סוגים עיקריים של מאגרי מידע, שלגבי כל אחד מהם נקבע היקף שונה של חובות.

מאגר המנוהל בידי יחיד - באופן עקרוני, מדובר במאגר מידע המנוהל על ידי אדם יחיד או תאגיד בבעלות אדם יחיד, כאשר למאגר יש לא יותר משלושה מורשי גישה. גם אז, לא יכללו בקטגוריה זו מאגרים שמיועדים למתן שירותי דיוור ישיר, מאגרים שיש בהם מידע אודות 10,000 איש ומעלה, או מאגרים שכוללים מידע הכפוף לחובת סודיות מקצועית.

מאגרים מסוג זה יהיו נתונים להיקף מצומצם יחסית של חובות, שיסתכמו בהכנת מסמך המתאר את מאפייניו העיקריים של המאגר, חובות לשמירה פיזית של המאגר, נקיטת אמצעים להגבלת הגישה למאגר, תיעוד אירועים המעלים חשש לפגיעה בנתוני המאגר, לשימוש בו או לחריגה מהרשאה, הגבלת האפשרות לחיבור התקנים ניידים, ניהול מאובטח של מערכות המאגר, והגבלות על חיבור מערכות המאגר לרשת האינטרנט.

מאגר המחוייב ברמת אבטחה "בסיסית" - מדובר במאגר מידע שאינו נכנס לקטגוריות האחרות של מאגרים שהוגדרו בתקנות. מאגר זה מחויב לקיים את כל ההוראות החלות על מאגר המנוהל בידי יחיד, וכן חובות נוספות כגון: מינוי ממונה על אבטחת מידע, קביעת נוהל לאבטחת מידע ועדכונו מידי שנה, חובה למיפוי מערכות המאגר, אבטחת מידע בניהול כוח אדם, ניהול הרשאות גישה, הוראות בדבר זיהוי ואימות, והוראות בדבר מיקור חוץ ושמירת נתוני אבטחה.

מאגר המחוייב לרמת אבטחה בינונית - מדובר במאגר מידע שיש לו יותר מ-10 מורשי גישה, אשר עונה לאחד מהתנאים הבאים: (א) המטרה העיקרית של ניהול המאגר היא סחר במידע, כגון שירותי דיוור ישיר; (ב) המאגר בבעלות גוף ציבורי; (ג) המאגר כולל מידע רגיש בנושאים כגון: צנעת חייו האישיים של אדם, מידע רפואי או מידע על מצב נפשי, מידע גנטי, מידע על דעות פוליטיות או אמונות דתיות, מידע על עבר פלילי, נתוני תקשורת, מידע ביומטרי, מידע על מצבו הכלכלי של אדם, והרגלי הצריכה של אדם.

למאגר זה נוספות חובות מעבר לרמת האבטחה "הבסיסית", כגון: קיום נוהל מחמיר לאבטחת מידע, ביצוע הדרכות תקופתיות לבעלי הרשאות לפחות אחת לשנתיים, הוראות מחמירות בדבר זיהוי ואימות, ניהול מנגנון אוטומטי לתיעוד גישה למערכות המאגר, חובת הודעה על אירוע אבטחה חמור, ביצוע ביקורות תקופתיות אחת ל-24 חודשים לפחות, מיון וסיווג עובדים, וקביעת נהלים לגיבוי המידע.

מאגר המחוייב לרמת אבטחה גבוהה - מדובר במאגר מידע שמטרתו העיקרית היא סחר במידע, כגון שירותי דיוור ישיר, או שיש בו מידע רגיש, ובלבד שיש בו מידע אודות 100,000 אנשים ומעלה או שמספר בעלי ההרשאה למידע בו עולה על 100.

 מאגרים המחוייבים לרמת האבטחה הגבוהה, נדרשים בנוסף על החובות שחלות על המאגרים הקודמים, לערוך סקר סיכוני אבטחת מידע ולבצע מבדקי חדירות אחת ל-18 חודשים לפחות.

 התקנות ייכנסו לתוקף בחודש מאי 2018, ועד אז הן יחייבו היערכות מחדש של רבים מבעלי המאגרים הקיימים.

 אז איך מתחילים? עצות פרקטיות בשלושה צעדים -

•  במקרים רבים בתי עסק אינם ערים לכך שהמידע הנאגר אצלם כפוף לחובות רגולטוריות. לכן, כצעד ראשון, כל ארגון, בית עסק או חברה, אשר שומר מידע אישי אודות לקוחותיו, מקבלי שירות וכיו"ב, נדרש לבחון האם המידע השמור אצלו מהווה "מאגר מידע" שחלות עליו התקנות החדשות.
• מיפוי של מאפייני מאגר המידע והשימושים הנעשים בו, זאת כדי להבין לאיזו קטגוריה משתייך המאגר על פי התקנות, ומכאן לגזור את החובות החלות עליו.
• לאחר מיפוי סוג המאגר והבנת היקף ההוראות החלות עליו, מומלץ להתניע תכנית אכיפה מסודרת ליישום הוראות התקנות.
  
  

אבטחת המידע כנדרש בתקנות היא רק אחד מן ההיבטים שארגונים יידרשו ליישם, שכן היא מתמקדת רק במאגרי מידע, ולא ביתר היבטי ההגנה על משאבי סייבר המנוהלים בארגון. באפריל 2017 פרסמה הרשות הלאומית להגנת הסייבר טיוטה מתקדמת של תורת ההגנה בסייבר לארגון, ומומלץ לכל ארגון להכיר את עיקרי הטיוטה, על מנת להבין את סטנדרט האחריות שיצופה ממנו להגנה על משאבי הארגון.

 ***

האמור הינו סקירה כללית שאינה מחליפה ייעוץ משפטי המותאם למאפייני הלקוח.

משרד ברנע ושות' מספק מענה לתאגידים הנדרשים להתמודד עם דרישות רגולטוריות בתחומים מגוונים לרבות בתחום הגבלים עסקיים, תשתיות ואנרגיה, שוק ההון, תקשורת, פרטיות, הימורים, מסחר פיננסי, מזון, בריאות, וטרינריה, איכות הסביבה, כרטיסי אשראי ובנקאות.