יועץ אבטחת מידע   |   אפריל 15, 2026

הקשחת הגישה למאגרי מידע: הסטנדרטים החדשים שכל ארגון חייב להכיר

האם מנגנוני האימות בארגון שלכם עומדים בדרישות הרגולציה החדשות? הרשות להגנת הפרטיות מחדדת את הסטנדרט – וזה הזמן להיערך בהתאם.

אבטחת גישה למידע: מעבר מהגדרה כללית לדרישות ברורות

מהם "אמצעים מקובלים" לאבטחת הגישה למאגרי מידע?

אבטחת מידע נמצאת בלב ההגנה על הפרטיות. לא לחינם המחוקק ייחד תקנות ייעודיות לאבטחת מידע. במרכז תקנות אבטחת מידע עומדת אבטחת מאגר המידע ומערכותיו, ובראשה אבטחת הגישה למאגר. לאחרונה הרשות להגנת הפרטיות פרסמה טיוטה להערות הציבור המבהירה מהם "אמצעים מקובלים" ומהם הסטנדרטים הנדרשים מכם כדי לעמוד בהוראות תקנה 9(א) לתקנות הגנת הפרטיות. הוראות התקנה עוסקות באבטחת הגישה למאגרי מידע.

מהי תקנה 9(א)

למה היא כה חשובה?

בקצרה, התקנה מחייבת את בעל השליטה במאגר המידע ואת המחזיק בו לנקוט "אמצעים מקובלים" כדי להבטיח שגישה למאגר ולמערכות המאגר תיעשה אך ורק בידי בעלי הרשאה מורשים.
אי־עמידה בדרישות אלו עלולה להוביל לפגיעה במידע ולהטלת עיצומים כספיים משמעותיים. המסמך החדש נועד להסיר את העמימות ולהגדיר מהם אותם אמצעים, בהתבסס על תקנים בין־לאומיים (כמו NIST) והמקובל בשוק.

שלוש קבוצות אימות

איך אנחנו מזהים משתמש?

מקובל לחלק את שיטות אימות הזהות לשלוש קטגוריות עיקריות:

  1. משהו בידיעתך: מידע הידוע רק למשתמש, כגון סיסמה או PIN (שימו לב: מספר תעודת זהות אינו גורם אימות מספק!).
  2. משהו בבעלותך: רכיב פיזי או דיגיטלי, כמו קוד חד־פעמי (OTP) לנייד, אפליקציית אימות או כרטיס חכם.
  3. משהו שאתה: תכונות פיזיולוגיות או התנהגותיות (ביומטריה), כגון טביעת אצבע, זיהוי קול או זיהוי פנים.

שלוש רמות אימות

הרשות להגנת הפרטיות מגדירה שלוש רמות אימות לפי סוג המאגר

  1. רמה 1 (בסיסית): דורשת אימות חד־שלבי (למשל סיסמה).
  2. רמה 2 (גבוהה): מחייבת אימות רב־גורמי (MFA) והגנה מפני התחזות (Phishing-Resistant).
  3. רמה 3 (גבוהה מאוד): מחייבת MFA המבוסס על פרוטוקול הצפנה (קריפטוגרפי) ומפתח ציבורי שאינו ניתן לייצוא.

מהו השינוי הצפוי

במילים אחרות, מה נדרש מהארגון שלך?

הצפי הוא להקשחת "האמצעים המקובלים". התאמת רמת האימות בארגון נגזרת מרמת האבטחה של המאגר. לדוגמה שימוש באימות רב־גורמי (MFA) של לפחות שני גורמים שונים – מחזק משמעותית את ההגנה ומפחית את הסיכון לפריצה. עם זאת, יש לבחון תחילה מי מנהל את מאגר המידע, מי מחזיק בהרשאת גישה למאגר ועוד.

טיפ לסיום

זכרו כי לעת עתה מדובר בטיוטה בלבד. הטכנולוגיה מתקדמת במהירות, והרשות עשויה לעדכן את המסמך מעת לעת. חשוב לזכור שהאחריות לבחון את אמצעי הגישה הקונקרטיים מוטלת תמיד על בעל השליטה במאגר והמחזיק בו. לכן היערכו בהקדם.

 

מעוניינים בניתוח פערים אל מול דרישות חוק הגנת הפרטיות בכלל ולתיקון 13 בפרט? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה