יועץ אבטחת מידע   |   יוני 18, 2024

הגנות רגולטיביות ותקינה בנוגע למידע פרטי

האם העסק שלכם מחזיק מידע פרטי?

חוקי ותקנות הגנת מידע הם במגמת התפתחות מתמדת. למדו כיצד להבטיח שהעסק שלכם עומד בחוקי הפרטיות הישראליים ושמרו על מידע רגיש.

מהו מידע פרטי על פי חוק ותקנות הגנת הפרטיות?

מידע פרטי רגיש מוגדר על פי חוק הגנת הפרטיות תשמ"א–1981 כ:
• נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו.
• מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש.
ארגון המחזיק בידיו מידע כזה חייב בהגנה עליו על פי חוק הגנת הפרטיות.
אמצעים אופרטיביים להגנה על מידע זה חייבים להינקט על פי ההנחיות המפורטות בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז–2017.

מהן תקנות הגנת הפרטיות?

תקנות הגנת הפרטיות נכנסו לתוקף בחודש מאי 2018. תקנות אלה פורסמו על ידי  הרשות להגנת הפרטיות במשרד המשפטים והתווספו לחוק הגנת הפרטיות אשר דורש את רישומו של כל מאגר המכיל מידע פרטי. תקנות הגנת הפרטיות מקבילות בדרישותיהן לחלק מדרישות חוק ה־GDPR אשר הוחל באיחוד האירופי בשנת 2018. תקנות אלה מציבות דרישות הגנה מפורטות לגבי כל מאגר המכיל מידע פרטי. כל מאגר כזה אמור להיות מסווג לפי רמת אבטחת המידע הנדרשת לגביו: מנוהל על ידי יחיד, ברמה בסיסית, ברמה בינונית וברמה גבוהה. בהתאם לרמת הסיווג של המאגר מחויב בעל המאגר בנקיטת אמצעי אבטחת מידע התואמים רמת סיווג זו ובטיפול במאגר בהתאם ל־20 תקנות המפרטות את הדרישות להגנת המאגר.

חוק ותקנות הגנת הפרטיות מחייבים לאבטח מאגרי מידע המכילים מידע פרטי ולהגן עליהם כראוי כדי למנוע את התממשותם של איומים שונים (פנימיים, חיצוניים, שותפים ולקוחות) וכדי לצמצם את הסבירות לפגיעה פוטנציאלית בסודיות (Confidentiality), בזמינות (Availability) ובשלמות (Integrity) של המידע.

אי־הפעלת האמצעים, התהליכים והבקרות אשר מבטיחים שהמידע הפרטי יהיה מוגן כראוי, עלולה לגרום לחברה חשיפה לקנסות, פגיעה במוניטין, אובדן יתרון תחרותי, אובדן הכנסות, תביעות משפטיות ועוד.

במקרה של חשד להפרות, החוק מאפשר לאנשי הרשות להגנת הפרטיות:
• לדרוש ידיעות ומסמכים
• להיכנס לאתרים שבהם מוחזק מאגר המידע
• לבצע חיפוש
• לתפוס חומרים
• חדירה ממוחשבת
• חקירה תחת אזהרה
• תשאול של העדים

זאת כדי להגיע בסופו של דבר למסקנות הקובעות אם הארגון הפר את החוק.
במישור הפלילי, ייתכן שיוגש כתב אישום עם הפרקליטות.
במקרה של משפט פלילי נגד אדם שהפר את חוק הגנת הפרטיות, הסנקציות מגיעות גם לחמש שנות מאסר.
במישור המנהלי, ההפרה תהיה מלווה בקנסות ואפילו בביטול הרישוי להחזקת מאגר מידע, כלומר סגירת החברה.

מהו תיקון 14 של חוק הגנת הפרטיות?

לאחרונה אושר ע"י הכנסת בקריאה ראשונה ושנייה תיקון לחוק הגנת הפרטיות. התיקון לחוק, אם יתקבל בנוסחו כיום, ייושם בקרוב. תיקון זה כולל שינויים של ממש בכמה מישורים כפי שיובאו להלן:
• המישור הראשון, התאמת ההגדרות שבחוק להתפתחויות הטכנולוגיות, החברתיות והמשקיות, וכן להסדרים הבין־לאומיים, ובראשם חוק הגנת הפרטיות האירופאי ("GDPR"). כך לדוגמה, מוצע להחליף את המונח "בעל מאגר מידע" במונח "בעל שליטה במאגר המידע" ולחדד את ההבחנה בין "מחזיק" לבין "בעל שליטה במאגר במידע" וזאת בדומה למונחים המקבילים, ה־GDPR – Controller"" וה־"Processor". עוד מוצע להרחיב את הגדרת המונח "שימוש" בחוק כך שיכלול פעולות עיון ואחסון, ולהחליף את המונח "מידע רגיש" במונח הדומה ל־GDPR – "מידע בעל רגישות מיוחדת".
• המישור השני, צמצום ניכר בהיקף חובת הרישום החלה על מאגרי מידע, כל זאת כדי שפעולות הפיקוח והאכיפה יתמקדו במאגרים גדולים המציבים איומים של ממש לפרטיות.
­• המישור השלישי, חיזוק כלי הפיקוח וסמכויות האכיפה הנתונות בידי הרשם בתפקידו כראש הרשות להגנת הפרטיות, לרבות באמצעות יצירת מנגנון אכיפה מנהלי שיהווה מנגנון חלופי לאכיפה במסגרת ההליך הפלילי (קביעת הפרות שבגינן יהיה אפשר לנקוט באמצעי אכיפה מנהליים, ובכללם הטלת עיצום כספי).

יחד עם כל אלה מרחיב החוק המוצע את הגדרת "מידע" לעומת זו הקיימת עתה בחוק הגנת הפרטיות, כך שתכלול כל נתון הנוגע לאדם מזוהה או שאפשר לזהותו.

תקן 27701 כמסייע להגנה על מידע פרטי

תקן ISO/IEC 27701 2019 הוא תקן לניהול פרטיות המידע ומהווה הרחבה לתקן ISO 27001 לניהול אבטחת המידע בארגון.
התקן פורסם בחודש אוגוסט 2019 בעקבות רגולציית הגנת הפרטיות האירופאית GDPR  המחייבת ארגונים האוספים ומעבדים מידע אישי אודות אזרחי האיחוד האירופי לעמוד בהוראות ובכללים מחמירים בכל נושאי הפרטיות ואבטחת המידע.
כיון שה־GDPR אינו תקן, אלא חוק של האיחוד האירופי, אין ארגונים יכולים לקבל הסמכה לתאימותם ל־GDPR. הדרך היחידה של ארגון להציג אסמכתה ליכולתו להגן על מידע פרטי המצוי ברשותו כנדרש, היא לעבור מבדק הסמכה לתקן ISO 27701 ולקבל תעודת הסמכה לתקן זה.

היבטים רגולטיביים, עמידה בדרישות והטמעה

ריבוי רגולציות הפרטיות בעולם, והדרישה המתמדת מארגון לעמוד ברגולציות שונות על פי תחומי שיפוט שונים שהוא פועל בהם, מציבים בפני הארגון אתגר גדול.
התקן למערכת ניהול פרטיות ISO 27701 מגדיר עקרונות פשוטים, שיטתיים ותכליתיים להקמה, ניהול ותחזוקה של מערכת ניהול מידע פרטי המתאימה לארגון.
התקן מגדיר דרישות לניהול מידע פרטי המבוססות על רגולציית GDPR האירופאית, ודורש מהארגון להקים ולנהל באופן שוטף מערכת ניהול שתענה על רגולציות הפרטיות שבהן הוא נדרש לעמוד.
התקן אינו מהווה הסמכה כלשהי או אישור לעמידה בדרישות GDPR או ברגולציות אחרות, אולם היתרונות בהטמעתו רבים, וביניהם אישור גוף הסמכה מוכר ובין־לאומי בכך כי הארגון מנהל מערכת מנוהלת ומבוקרת לניהול המידע הפרטי בהתאם לרגולציות הנ"ל.

מה בין תקן ISO 27001 לתקן ISO 27701

תקן ISO 27001 מתמקד ביישום ותחזוקה של מערכת ניהול אבטחת מידע (ISMS) ומתייחס פחות להגנה על מידע פרטי.
תקן ISO 27701 בא כהרחבה לתקן אבטחת המידע הנ"ל ומתמקד בנושא הגנת הפרטיות ואבטחת המידע האישי, והוא מסייע לעמוד בתקנות המקובלות בעולם סביב הנתונים האישיים שנאספים בכל ארגון.
כיוון שתקן ISO 27701 בא כהרחבה לתקן ISO 27001, מומלץ שלפני הסמכה לתקן
ISO 27701 יוסמך הארגון לתקן ISO 27001.

מהם היתרונות בהטמעת ISO 27701

התקן מסייע לארגון במגוון נושאים רחב:
• הסמכה לתקן 2019ISO/IEC 27701 מספקת יתרון עסקי בעבודה מול לקוחות פוטנציאליים בארץ ובעולם הדורשים עמידה בדרישות אבטחת מידע מתקדמות
• מאפשר עמידה בדרישות חקיקה מקומיות וחיצוניות GDPR, HIPAA, תקנות הגנת הפרטיות ועוד.
• מספק כלים לזיהוי, ניהול וצמצום סיכוני אבטחת מידע ופרטיות להמשכיות עסקית מהירה.
• בונה אמון בין ספקים ולקוחות בכל הנוגע לאחסון ועיבוד מידע אישי בעקבות הקמת מערכת לניהול פרטיות המידע בארגון.
• נותן מענה יעיל לבעלי העניין הפנימים והחיצוניים.
• מגביר את האפקטיביות של תהליכי העבודה לצמצום עלויות.
• מהווה יתרון תחרותי מול מתחרים.

תובנות מומחי סייבר בכירים של IPV Security:

בהתבסס על המידע המופיע במאמר זה, מומחי הגנת הפרטיות ממליצים על הצעדים האלו לארגונים לשיפור פרקטיקות האבטחה והפרטיות של הנתונים שלהם:

  1. ביצוע הערכות סיכונים תקופתיות – זהו באופן קבוע פערים פוטנציאליים באבטחת מידע פרטי והעריכו את היעילות של אמצעי האבטחה הנוכחיים ולזהות כל פער.
  2. פיתוח וניהול תוכנית תגובה מקיפה לאירועים – צרו תוכנית מפורטת להתמודדות עם דליפות מידע ותקריות אבטחה.
    בצעו תרגילים וסימולציות לבדיקת התוכנית והדריכו עובדים בנושא.
  3. יישום בקרות גישה חזקות – וודאו שהגישה למידע רגיש מוגבלת לאנשי צוות מורשים בלבד. השתמשו באימות רב־גורמי (MFA) ובאמצעי אבטחה מתקדמים אחרים.
  4. השקעה בהכשרה והעלאת מודעות בקרב עובדים – הכשירו עובדים באופן קבוע בנושא נוהלי אבטחת מידע ופרטיות וקדמו תרבות של מודעות אבטחה בתוך הארגון.
  5. התאמת פרקטיקות אבטחה לתקנים בין־לאומיים – אמצו את התקנים ISO 27701 ו־ISO 27001 כדי להבטיח הגנת נתונים וניהול אבטחת מידע מקיפים.
    עדכנו ותחזקו באופן קבוע את התעודות כדי להוכיח תאימות לתקנות גלובליות.
  6. מעקב אחר שינויים רגולטוריים ועדכון נהלים בהתאם – התעדכנו בשינויים בתקנות הגנת הפרטיות ועדכנו את המדיניות הארגוניות כדי שתישאר תואמת.
    יישמו תוכנית תאימות מתמשכת כדי להבטיח עמידה בכל התקנות הרלוונטיות.
  7. שיתוף פעולה עם מומחים חיצוניים וביקורות של צד שלישי – שקלו שיתוף פעולה עם מומחים חיצוניים לביצוע ביקורות עצמאיות של נוהלי הפרטיות והאבטחה שלכם.
    השתמשו בממצאים מביקורות אלה לשיפור אסטרטגיות הגנת המידע של הארגון שלכם.
  8. הטמעת את מערכת CISOteria – מערכת CISOteria מספקת סט מקיף של משימות ונהלים המסייעים לארגונים לשמור על חוקי ותקנות הגנת הפרטיות. היא מוודאת שכל ההיבטים של פרטיות המידע מטופלים, החל מהערכת סיכונים ותגובה לאירועים ועד להכשרת עובדים וניטור תאימות.
    על ידי שילוב CISOteria בניהול פרטיות המידע של הארגון, תוכלו לנהל ולעקוב באופן שיטתי אחר הגנת המידע ולהבטיח שיפור מתמשך וציות לנהלים בצורה הטובה ביותר.

מעוניינים בניתוח פערים אל מול דרישות חוק הגנת הפרטיות? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה