חומר רקע
1
'י' באדר א
( התשפ"ד19
בפברואר2024
)
אל
: חברי ועדת החוקה, חוק ומשפט
מאת: הייעוץ המשפטי לוועדה
מסמך הכנה מטעם הייעוץ המשפטי לוועדה
ל 'דיון מס8 (חלק שלישי) ב
הצעת
חוק הגנת
'הפרטיות (תיקון מס14), התשפ"ב–
2022
:
הוספת תוספת
17
. אחרי סעיף
37
לחוק העיקרי יבוא:
"תוספת
(סעיף
23כג(ה))
עיצום כספי על הפרת תקנות לפי החוק
תקנות אבטחת המ
ידע
,)תקנות הגנת הפרטיות (אבטחת מידע
תשע"ז-
2017
מגדירות ארבע רמות של
ה אבטחה
ה ,נדרשת מכל גורם במשק
שמנהל או מעבד מידע אישי דיגיטלי. בנוסף קובעות התקנות חובות של בעל
שליטה במא
גר מידע
, מנהל
מאגר
ומחזיק במאגר מידע לשמירה והגנה על
ה
מידע ה
אישי האמור
. החובות חלות
במתכונת של רמה הולכת וגדלה לפי
רמת הסיכון שיוצרת פעילות עיבוד המידע בארגון, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים
לגשת אליו .
חלק מההוראות הן
הוראות נקודתיות בהתייחס לסיטואציה מסוימת וחלק מההוראות מ
ייצר
ות
מנגנונים של
שגרת ניהול מותאם פרטיות בארג .ון נציין כי רמת הפירוט של התקנות מהווה חריג בעולם, בו נהוג
להורות לבעל השליטה ולמחזיק לשמור על סטנדרטים של בטיחות המידע, וזאת מבלי לרדת לרזולוציות
.ספציפיות דוגמת אלו הקבועות בתקנות
התקנות מבחינות בין
ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרש
ת: מאגר מידע המנוהל על ידי יחיד,
מאגרים שחלה עליהם רמת האבטחה הבסיסית ,מאגרים שחלה עליהם ר
מת האבטחה הבינונית ו מאגרים שחלה
עליהם
ר מת האבטחה
הגבוהה., כמפורט להלן
נוסח התוספת המוצע הערות
, הסברים ונוסח ה
תקנות הרלוונטיות
בתוספת זו –
"גורם חיצוני "
– כמשמעותו
בתקנה
15
(א )לתקנות;
תקנה15
עוסקת באבטחת מידע
בהקשר של "מיקור חוץ". על פי תקנ ה זו בעל
מאגר המתקשר עם גורם חיצוני (שאינו יחיד)
לצורך קבלת שירות, הכרוך
במתן גישה למאגר המידע,
צריך לבחון את סיכוני האבטחה הכרוכים
בהתקשרות
וכן לקבוע בהסכם עמו את פרטי ההתקשרות
לרבות המידע
וסוגי
.העיבודים המותרים
כמו כן עליו לנקוט אמצעי פיקוח ובקרה על עמידת הגורם
.החיצוני בהוראות ההסכם ובהוראות התקנות
המונח "גורם חיצוני" בתקנה15
)(א
רחב מהמונח "מחזיק" בחוק, ומתייחס
ל
כל גורם שעשויה להיות לו גישה בפועל למאגר המי
דע או מערכותיו
, לרבות
גישה
זמנית או חד-פעמית כ גון לצורך תיקון תקלה שאינה כרוכה במתן גישה
.דרך קבע למאגר המידע
2
"
15
)(א בעל מאגר המתקשר עם
גורם חיצוני
לצורך קבלת שירות, הכרוך במתן גישה למאגר
המידע –
(
1
)יבחן, לפני ביצוע ההתקשרות עם הגורם החיצוני המסוים כ אמור, את סיכוני אבטחת המידע
הכרוכים בהתקשרות;
(2)
יקבע במפורש בהסכם עם הגורם החיצוני (בתקנה זו–
ההסכם) את כל אלה, בשים לב
לסיכונים לפי פסקה (
1
:)
)(א המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצורכי
ההתקשרות;
)(ב
מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן;
)(ג
סוג העיבוד או הפעולה שהגורם החיצוני רשאי לעשות;
)(ד ,משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות
השמדתו מרשותו של הגורם החיצוני ודיווח על כך לבעל מאגר המידע;
)(ה
אופן יישום החובות בתחום אבטחת המידע שהמחזיק חייב בהן לפי תק ,נות אלה
וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, אם קבע;
)(ו חובתו של הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור
על סודיות המידע , להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי
האבטחה הקבועים בהסכם כאמור בפסקת משנה
)(ה;
)(ז התיר בעל מאגר מידע לגורם החיצוני לתת את השירות באמצעות גורם נוסף–
חובתו של הגורם החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים
המפורטים בתקנה זו;
)(ח חובתו של הגורם החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע על
אודות אופן ביצוע חובותיו לפ י תקנות אלה וההסכם ולהודיע לבעל המאגר במקרה
של אירוע אבטחה;
(3)
( יפרט בנוהל האבטחה של המאגר גם את העניינים המנויים בפסקה2
)(א) עד (ה), וכן
יפנה בו במפורש להסכם עם הגורם החיצוני ולנוהל האבטחה שלו;
(4)
ינקוט אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהורא ות ההסכם ובהוראות
תקנות אלה, בהיקף הנדרש בשים לב לסיכונים האמורים בפסקה (1)
...
תקנה זו לא תחול על התקשרות
של בעל מאגר עם יחיד."
][וגם על מאגר המנוהל על ידי יחיד
לדיון: נסיבות של תיקון חומרה בחנות?
האם
מחייבות
הסכם
התקשרות?
"מאגר המנוהל בידי יחיד ,"
"מאגרים שחלה עליהם
רמת האבטחה
הבסיסית" ,"מאגרים
שחלה עליהם רמת
האבטחה הבינונית "
ו"מאגרים שחלה
עליה
ם רמת האבטחה
הגבוהה "
–
כהגדרתם
בתקנות
/ בחוק;
"מאגר המנוהל בידי יחיד
–
"
מאגר מידע ,שמנהל יחיד או תאגיד בבעלות יחיד
ואשר רק היחיד ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש
ובאפשרותם לעשות בו שימוש ,ולמעט מאגרי מידע כמפורט להלן:
(
1
)
מאגר
מידע שמטרתו ה עיקרית היא
איסוף מידע לצורך מסירתו לאחר
,כדרך עיסוק
לרבות שירותי דיוור ישיר;
(
2
)
מאגר מידע שיש בו מידע על אודות10,000
אנשים ומעלה;
(
3
)
מאגר מידע הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיות מקצועית לפי
דין
או ל[פי]
עקרונות של
אתיקה מקצועית;
[
כלומר-
,רופא ,עו"ד, פסיכולוג
פסיכיאטר ויתר
מקצועות הבריאות המוסדרים בחוק הסדרת העיסוק
.במקצועות הבריאות
ביחס לכללי אתיקה מקצועית הכוונה לכללי אתיקה
כתובים, כמו עו"ד רו"ח.]
לדיון: האם הבעלות או הניהול כיחיד הוא ה
פרמטר ה רלוונטי או שמא מספר
מורשי הגישה?
מה
לגבי עסק בבעלות ובניהול בני זוג?
זוג
אחים? (
חברה
משפחתית)
האם
מבחינה מהותית אינו מגלם את אותם רציונליים?
"מאגרים שחלה עליהם רמת האבטחה הבסיסית
–
"
מאגרי מידע שאינם מן הסוגים
המפורטים
בתוספת הראשונה או השנייה
ואינם מאגר המנוהל בידי
יחי
ד."
:תוספת ראשונה
"
1
.מאגרי מידע שחלה עליהם רמת האבטחה הבינונית
–
(
1
)
מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך
עיסוק, לרבות שירותי דיוור ישיר;
(
2
)
מאגר מידע שבעליו הוא גוף ציבורי כמשמעותו בסעיף23
לחוק, אף אם לא
( התקיימו בו הוראות פסקה1) או (3)
3
(
3
)
מאגר מידע הכולל מידע שהוא אחד מאלה:
(א)
מידע על צנעת חייו האישיים של אדם, לרבות התנ הגותו ברשות
היחיד;
(ב)
מידע רפואי או מידע על מצבו הנפשי של אדם;
(ג)
מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א-
2000
;
(ד)
מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם;
(ה) מידע על אודות עברו הפלילי של אדם;
(ו)
נתוני תקשורת כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה
–
נתוני תקשורת), התשס"ח-
2007
;
(ז)
מידע ביומטרי;
(ח)
מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו
הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת
עמידתו בהם;
(ט)
)הרגלי צריכה של אדם שיש בהם כדי ללמד על מידע לפי פרטים (א
עד (ז) או על אישיותו ש
ל אדם, אמונתו או דעותיו.
2
.על אף האמור בפרט
1
(
3
,)
על מאגר מידע המקיים אחד מאלה, לא
חלה רמת האבטחה הבינונית אלא רמת האבטחה הבסיסית:
(
1
)המאגר כולל מידע מן הסוגים המפורטים
בפרט1
(
3
))(ב
][רפואי), (ה
][עבר פלילי), (ו
][נתוני תקשורת ), (ז ][מידע ביומטרי לעניין תמונות פנים
בלבד ו-
)(ח][מידע כלכלי
, על אודות המועסקים או הספ קים של בעל מאגר
המידע, ובלבד שהמידע משמש למטרות ניהול העסק בלבד, ואינו כולל מידע
מן הסוגים המפורטים בפרט1
(
3
))(א][צנעת חייו האישיים), (ג][גנטי ,
)(ד][אמונות ו-
)(ז ביומטרי
לעניין מידע שאינו תמונות פנים ו-
)(ט;
[הרגלי
]צריכה
(
2
)מספר בעלי ההרשאה אצל בעל המאגר אינו עולה על עשרה.
:תוספת שניה
מאגרי מידע שחלה עליהם
רמת האבטחה הגבוהה –
(
1
)
מאגר מידע כאמור בפרט1
(
1
)
][איסוף לצורך מסירה לאחר( או3
)
[רגישות
]מיוחדת
בתוספת הראשונה, לרבות מאגר של גוף ציבורי כמשמעותו בסעיף23
(
1
)
( לחוק המקיים את האמור בפרטים1
( ) או3
,)
שיש בו מידע על אודות100,000
אנשים ומעלה;
(
2
)
מאגר מידע כאמור בפרט1
(
1
( ) או3) בתוספת הראשונה, לר בות מאגר של גוף
ציבורי כמשמעותו בסעיף23
(
1
( ) לחוק המקיים את האמור בפרטים1
( ) או3
,)
שמספר בעלי ההרשאה בו עולה על100
.
"מאגרים שחלה עליהם רמת האבטחה הבינונית
–
"
מאגרי מידע מן הסוגים
המפורטים
בתוספת הראשונה ואינם מאגר המנוהל בידי יחיד;
"
,(כלומר
;לא ציבורי עד100
בעלי הרשאה ועד100,000
נושאי מידע(;
מאגרים שחלה עליהם רמת האבטחה הגבוהה
–
" מאגרי
מידע מן הסוגים
המפורטים בתוספת השנייה;
לדיון: כ יצד
תובטח
האחדה בין
ה
הגדרות
?בתקנות ובין מונחי החוק
"התקנות "
– תקנות הגנת הפרטיות (אבטחת מידע ,)התשע"ז–
17
20
1.
1 ק '"ת התשע"ז, עמ1022
.
4
תחולת
התקנות :
מאגר מידע המנוהל על ידי יחיד
על פי תקנה21
(4
)החובות החלות על בעל שליטה במאגר מי דע המנוהל על ידי יחיד הן החובות המנויות בתקנות2
][הכנת מסמך הגדרות המאגר ,
6
)(א
][אבטחה פיזית וסביבתית ,
9
)(א
][זיהוי ואימות ,
11
)(א
][תיעוד אירוע אבטחה ,
12
[התקנים ניידים (לרבו ת מחשב נייד, טלפון נייד או(disc on key
] ,
13
[
ניהול מאובטח ומעודכן של מערכות
המאגר],
14
][אבטחת תקשורת ו-
20
][רגולציה ותקנים מקבילים :
תקנה2
:
"הכנת "מסמך הגדרות המאגר:
המסמך יתייחס
לשימוש שנעשה במידע
ו
יכלול תיאור כללי של פעולות השימוש במידע
;ושל מטרות השימוש במידע
של סוגי המידע הקיימים במאגר; פ ;רטים על העברת המידע לאחרים ולחו"ל או שימוש בו מחוץ לגבולות המדינה
שימוש ב פעולות עיבוד מידע באמצעות אחר (הכוונה לקבלן חיצוני שאינו בעל המאגר, אולם מחזיק בו או רשאי
)לעשות בו שימוש עבור בעל המאגר ; מהם הסיכונים
העיקריים של פגיעה באבטחת המידע
; איך ניתן להתמוד ד עם
.הסיכונים אם יתרחשו; מהו שמו של מנהל המאגר ושל מחזיק המאגר
:המסמך יעודכן
אם נעשה שינוי משמעותי באחד מהפרמטרים לעיל ;אם נעשו שינויים טכנולוגיים רלוונטיים ;
אם
נעשו שינויים ארגוניים רלוונטיים ;אם אירע אירוע אבטחה
וכן
פעם בשנה
(בבחינה זו יש לבחון אם לא מוחזק
במאגר מידע רב מדי מזה הדרוש למטרותיו(
.
תקנה6
:)(א
אבטחה פיזית
וסביבתית
תקנה6
)(א -
,התקנה מחייבת שמירה על הפרדה פיזית של תשתיות ומערכות החומרה המשמשות את המאגר
ושמירתן במקום מוגן המונע כניסה אליו ללא הרשאה.
תקנה6
)(ב- במאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה
-
יש לתעד את הכניסות והיציאות
של העובדים
.מאתרים בהם מצויות המערכות, וכן לתעד הכנסת ציוד אל מערכות המאגר והוצאת ציוד מהן
למשל
באמצעות התקנת מצלמות, מערכת זיהוי ביומטרי וכו' .
תקנה9
)(א: זיהוי ואימות
יש
לוודא שמי
שניגש למ
ידע במאגר הוא עובד מורשה , וכן
יש לאמת את זהותו באמצעים מקובלים
.בנסיבות העניין
תקנה11
)(א:
תיעוד אירוע
אבטחה
יש לנהל רישום פנימי של
אירוע שימוש במידע ללא הרשאה או פ
גיעה בשלמות המידע (
על מנת לשמר ידע ביחס
לאירועי אבטחה שקרו) . ככל האפשר, י ש להתבסס על רישומים אוטומטים אודות אירועי אבטחה במערכות המאגר
של הארגון, כגון
syslog snmp
.
תקנה12
: התקנים ניידים (לרבו ת מחשב נייד, טלפון
ס
לולארי חכם
או(disc on key
יש ל הגביל את האפשרות לחבר,התקנים ניידים למערכות המאגר בשים לב לרגישות המידע שבו.
,אם אפשר לחבר התקנים ניידים למערכת
יש להגן על המידע .
הצפנת המידע, על ידי שימוש בשיטות הצפנה
מקובלות, תיחשב נקיטת אמצעים סבירים.
תקנה13
: ניהול מאובטח ומעודכן של מערכות המאגר
יש להקפיד על
ניהול ותפעול תקין של מ
ערכות המידע
. יש
להפריד בין המערכות שמהן ניתן לגשת למידע, לבין
מערכות מחשוב אחרות המשמשות את בעל המאגר ,. לדוגמה מערכת fire wall
(חומת אש) פנימית, מערכת
לחלוקת רשתות ועוד.
יש לעדכן את המערכות באופן שוטף , על מנת להימנע משימוש במערכות שהיצרן שלהן הפסיק לתמוך בהיבטי
האבטחה שלהן.
תקנה14
:אבטחת תקשורת
5
אם מערכות המאגר מחוברות לרשת האינטרנט או לרשת ציבורית אחרת יש
להתקין
אמצעי הגנה מפני חדירה לא
מורשית, או תוכנות מזיקות
, כגון: תוכנת הגנה מפני תוכנות זדוניות, תוכנת חומת אש והתקן חומת אש פיזי ; יש
להעביר מידע ממאגר ה
מידע תוך שימוש בשיטות הצפנה ,. בנוסף במאגר מידע שניתן לגשת אליו מרחוק ("חיבור
)מהבית" למשל
יש להשתמש באמצעים שמזהים את המתקשר ומאמתים את זהותו .
תקנה0
2
:
רגולציה
ותקנים מקבילי
ם –
תקנה20
)(א
–
לרשם יש סמכות לפטור מאגרים ספציפיים מחובות אבטחת מידע לפי התקנות, או לחילופין להטיל
על מאגר ספציפי חובות נוספות מן התקנות, לפי נסיבות העניין, ובהתחשב בגודל המאגר, סוג המידע שנמצא בו
וכו'.
תקנה20
)(ב- הרשם רשאי להורות כי מי שיעמוד בהוראות מסמך מנחה בעני ין אבטחת מידע (תקן רשמי, ישראלי
או בינ"ל) או בהנחיות של רשות מוסמכת (גוף ציבורי המוסמך לתת הנחיות בעניין אבטחת מידע), יראו אותו
כמקיים את הוראות התקנות, כולן או חלקן, אם השתכנע כי עמיד בהוראות המסמך או ההנחיות מבטיחה את
רמת האבטחה הקבועה בתקנות.
מאגרים שחלה עליהם רמת האבטחה הבסיסית
מאגר ברמת אב טחה בסיסית הוא מאגר שמוגדר באופן שיורי. הוא אינו מאגר המנוהל על ידי יחיד ואינו ברמת
אבטחה בינונית או גבוהה.
על מאגרים אלו חלות תקנות1
עד3
,
4(א), (ב), (ג), (ה) ו-
,)(ו5(א), (ב) ו-
,)(ה6
,)(א7(א) ו-
,)(ב8
,
9(א) ו-
,)(ג11(א) ו-
,)(ב12
עד15
,
17
,
19
ו-
20
:
ת קנה2: מסמך הגדרות המאגר
)(ר' בעל מאגר יחיד
תקנה3
:חובת מינוי של ממונה על אבטחת מידע
על ממונה אבטחה להיות
כפוף ישירות למנהל מאגר המידע
או למנהל פעיל של בעל המאגר או המחזיק בו או
לנושא משרה בכירה אחר הכפוף ישירות למנהל המאגר ;על הממונה להכין
נוהל
אבטחת מי דע
ולהביאו
לאישור
בעל המאגר;
להכין תכנית לבקרה שוטפת ,על העמידה בדרישות תקנות אלה
לבצע אותה ו
לה ודיע לבעל מאגר
המידע ולמנהל המאגר על ממצאיו ;
הממונה על אבטחה לא
יכול למלא תפקיד נוסף שעלול להעמידו בחשש לניגוד עניינים ; יש להקצות לו את המשאבים
הדרושי .ם לשם מילוי תפקידו
תקנה4(א), (ב), (ג), (ה) ו-(ו): קביעת נוהל אבטחה
בעל מאגר המידע
צריך לקבוע
במסמך נוהל אבטחת מידע (להלן–
)נוהל האבטחה ש יחייב כל בעל הרשאה בהתאם
)לפרטים מהנוהל שאליו הוא חשוף לפי תקנת משנה (ב.
נוהל האבטחה יישמר כך
שפרטים ממנו יימסרו לבע לי
הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם.
:נוהל האבטחה יכלול
(1
)
הוראות בעניין האבטחה הפיזית והסביבתית של אתרי המאגר כאמור בתקנה6
;
(2
)
הרשאות גישה למאגר המידע ולמערכות המאגר בהתאם לתקנה8
;
(3
)
תיאור של אמצעים שמטרתם הגנה על מערכות המאגר ואופן הפעלתם
לצורך כך;
(4
)הוראות למורשי הגישה למאגר המידע ולמערכות המאגר לצורך הגנה על המידע במאגר;
(5
)
הסיכונים שחשוף להם המידע שבמאגר במסגרת הפעילות השוטפת של בעל מאגר המידע, לרבות אלה
הנובעים ממבנה מערכות המאגר כמפורט בתקנה5(א), אופן קביעת סיכונים אלה, ואופן הטיפו ,ל בהם
לרבות על ידי מנגנוני הצפנה מקובלים להגנה על המידע השמור במאגר או במערכות המאגר;
(6
)
אופן התמודדות עם אירועי אבטחת מידע כאמור בתקנה11, לפי חומרת האירוע ומידת רגישות המידע;
(7
)
הוראות לעניין ניהול של התקנים ניידים ושימוש בהם כאמור בתקנה12
.
6
בעל מאגר מידע
צריך לבחון ,, אחת לשנה, את הצורך בעדכון הנוהל
כן ו
אם יש צורך בעדכונו של הנוהל במקרים
מסוימים ובהם אם נעשו שינוים מהותיים במערכות המאגר או
בתהליכי עיבוד מידע
או אם נודע על סיכונים
טכנולוגיים חדשים הנוגעים למערכות המאגר.
תקנה5(א)(ב) ו-
)(ה
)(א
בעל מאגר מ ידע
נדרש להחזיק
מסמך מעודכן של מבנה מאגר המידע וכן רשימת מצאי מעודכנת של מערכות
,המאגר ובכלל זה (1
)תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע( ;
2
)
מערכות התוכנה
המשמשות להפעלת מאגר המידע, לניהול המאגר ולתחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטח
תו( ;
3
)
תוכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן( ;
4
)
תרשים הרשת שפועל בה המאגר, הכולל
תיאור הקשרים בין רכיבי המערכת השונים ומיקומם הפיזי של רכיבים אלה
; ו-(5
)
תאריך העדכון האחרון של
המסמך ושל רשימת המצאי.
)(ב
המסמך המעודכן של מבנה מאגר המידע ורש ימת המצאי יישמרו כך שפרטים מהם יימסרו לבעלי הרשאה רק
בהיקף הנדרש לצורך ביצוע תפקידיהם.
)(ה ארגון שהוא בעל כמה מאגרי מידע, רשאי לקבוע את רשימת המצאי כאמור בתקנת משנה (א), במסמך אחד
לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה וכן רשאי לקיים את החו בות הקבועות בתקנות
משנה (ג) ו-
(ד) בסקר סיכונים או במבדק חדירות, לפי העניין, אחד לעניין כל מאגרי המידע שברשותו, המצויים
באותה רמת האבטחה.
תקנה6
)(א –
)אבטחה פיסית (ר' חובות יחיד
תקנה7(א) ו-(ב) אבטחת מידע בניהול כוח אדם
(א)
בעל מאגר מידע ימנע גישה למידע המצוי במאגר ולא ישנה את היקף
ה הרשאה שניתנה, אלא לאחר
תטי נק
אמצעים סבירים, המקובלים בהליכי מיון עובדים ושיבו,צם
כדי לברר שאין חשש כי בעל ההרשאה אינו
מתאים לקבלת גישה למידע המצוי במאגר ; אמצעים כאמור יינקטו בשים לב לרגישות המידע שבמאגר ולהיקף
הרשאות הגישה לתפקיד שמיועד לו הנוגע בדבר, כאמור בתקנה8.
(ב)
טרם
קבלת
גישה למידע ממאגר המידע או לפני שינוי היקף
ה ,הרשאות יקיים בעל מאגר מידע הדרכות לבעלי
הרשאות בנושא החובות לפי החוק ותקנות אלה , וימסור להם מידע על אודות חובותיהם לפי החוק ונוהל
האבטחה.
תקנה8
:ניהול הרשאות גישה
(א)
,הרשאות גישה של בעלי הרשאות למאגר המידע ולמערכות המאגר ייקבעו
בהתאם להגדרות תפקיד ; הרשאת
הגישה לכל תפקיד
תהיה במידה הנדרשת לביצוע התפקיד בלבד.
(ב)
בעל מאגר מידע ינהל רישום מעודכן של תפקידים, הרשאות הגישה שניתנו להם, ושל בעלי ההרשאות
הממלאים תפקידים אלה
(להלן–
)רשימת ההרשאות התקפות.
תקנה9(א) ו-
)(ג
זיהוי ואימות
(א) יש
לוודא שמי
שניגש למידע במאגר הוא עובד מורשה
, ו
לאמת את זהותו באמצעים מקובלים
.בנסיבות העניין
)(ג בעל מאגר מידע ידאג לביטול ההרשאות של בעל הרשאה שסיים את תפקידו ובמידת האפשר לשינוי סיסמאות
למאגר ולמערכות המאגר
, שבעל ההרשאה עשוי היה לדעת, מיד עם סיום תפקידו של בעל ההרשאה.
תקנה
11
)(א
ו-(ב) תיעוד של אירוע
י אבטחה
)(א יש לנהל רישום פנימי של
אירוע שימוש במידע ללא הרשאה או פ
גיעה בשלמות המידע (
על מנת לשמר ידע
ביחס לאירועי אבטחה שקרו) .
7
)(ב בנוהל האבטחה
יקבע
ו הוראות לעניין התמודדות עם אירועי אבטחת מידע , לפי חומרת האירוע ומידת רגישות
,המידע
לרבות לעניין ביטול הר
שאות וצעדים מיידיים
אחרים הנדרשים
וכן לעניין דיווח לבעל המאגר
על אירועי
אבטחה ועל פעולות שננקטו בעקבותיהם.
תקנה12
- התקנים ניידים
(לרבות מחשב נייד, טלפון נייד או(disc on key
–
ר' יחיד
תקנה13
- ניהול מאובטח ומעודכן של מערכות המאגר –
ר' יחיד
תקנה14
- אבטחת תקשורת –
ר' יחיד
תקנה15
– מיקור חוץ :
בעל מאגר המתקשר עם גורם חיצוני לצורך קבלת שירות, הכרוך במתן גישה למאגר המידע
יבחן, לפני ביצוע
ההתקשרות עם הגורם החיצוני המסוים כאמור, את סיכ
וני אבטחת המידע הכרוכים בהתקשרו
ת ו יקבע במפורש
בהסכם עם הגורם החיצו( ני בתקנה זו–
)ההסכם
את המידע שהגורם החיצוני רשאי לעבד ומטרות ה שימוש
המותרות בו לצורכי ההתקש
רות; את מ
ערכות המאגר שהגורם החיצוני רשאי לגשת אליהן ; את סוג העיבוד או
הפעולה שהגורם החיצוני רשאי לעשות ; את ,משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות
הש
מדתו מרשותו של הגורם החיצוני ודיווח על כך לבעל מאגר המידע ; את אופן יישום החובות בתחום אבטחת
המידע שהמחזיק חייב בהן לפי תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר
המידע, אם קבע;
על
הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות
המידע, להשתמש במידע רק
לפי האמור בהסכם, ולייש
ם את אמצעי האבטחה הקבועים בהסכם .
אם בעל המאגר התיר לגורם החיצוני לתת את השירות באמצעות גורם נוסף–
על הגורם החיצוני לכלול בהסכם
עם הגורם הנוסף את כל הנושאים המפורטים בתקנה זו;
חובתו של
הגורם הח
יצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע על אודות אופן ביצוע חובותיו
לפי תקנות
אלה וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה;
בעל המאגר( יפרט בנוהל האבטחה של המאגר גם את העניינים המנויים בפסקה2
)(א) עד (ה), וכן יפנה בו
במפורש להסכם
עם הגורם החיצונ
י ולנוהל האבטחה שלו;
בעל
ה
מאגר ינקוט אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות ההסכם ובהוראות תקנות אלה.
תקנה17
: שמירת נתוני אבטחה
בעל מאגר מידע ישמור את הנתונים הנצברים במסגרת יישום הוראות תקנות6
,)(ב8
עד11
,
14
,
15
()(א4) ו-
16
,
ככל שתקנות א ,לה חלות עליו באופן מאובטח למשך24
חודשים.
תקנה19
:חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו ותיעוד ביצוע פעולה
)(א
החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר , ולמעט החובות הקבועות בתקנות
2 ו-
15
)(א– הן יחולו גם על מחזיק המאגר, בשי
נויים המחויבים ולפי העניין.
)(ב מי שמוטלת עליו בתקנות אלה חובה או אחריות לביצוע פעולה שאינה יצירת מסמך, נדרש לתעד באופן סביר
;את אופן ביצוע הפעולה לפי העניין הרשם רשאי לתת הוראות לעניין אופן תיעוד כאמור.
תקנה0
2
:
רגולציה
ותקנים מקבילי
ם – ר' יחיד
מאגרים שחלה עליהם רמת האבטחה הבינונית
,מאגרי מידע ש
מטרתם איסוף מידע לצורך מס ,ירתו לאחר או מאגרי מידע בבעלות גוף ציבורי או שיש בהם מידע
רגיש
אודות10,000
אנשים ומעלה
או ש מספר מורשי הגישה למידע זה עולה על10
.
על מאגרים אלו חלות תקנות1
עד4
,
5(א), (ב) ו-
,)(ה6
עד15
,
16(א), (ב), (ג) ו-
,)(ה17
,
18
,)(א19
ו-
20
:
כלומר–
התקנות החלות על מאגר ברמת אבטחה בסיסית
ו
בנוסף על תקנות אלו:
8
תקנה4
(ד) נוהל אבטחה-
נוהל האבטחה יכלול התייחסות גם לאמצעי הזיהוי והגישה, אופן הבקרה על השימוש
,במאגר ותיעוד הגישה לשימוש במאגר, הוראות לעניין עריכת ביקורות תקופתיות ותקינות אמצעי האבטחה
הוראות לעניין גיבוי הנתונים, הוראות לעניין ביצוע פעולות פיתוח במאגר ותיעודן.
תקנה5
מיפוי מערכות המאגר
)(א
על בעל מאגר המידע להכין
מסמך מעודכן של מבנה מאגר המידע וכן רשימת מצאי מעודכנת של מערכות
המאגר, הכוללת את הפרטים הבאים:
תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע.
מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהול המאגר ולתחזוקתו, לתמיכה בפעילותו , לניטורו
ולאבטחתו.
תוכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן.
תרשים הרשת שבה פועל המאגר, הכולל תיאור הקשרים בין רכיבי המערכת השונים ומיקומם הפיזי של
הרכיבים.
תאריך העדכון האחרון של המסמך ושל רשימת המצאי.
)(ב-
פרטי המסמך המעודכן של מבנה מא גר המידע ורשימת המצאי יימסרו לבעלי הרשאה רק בהיקף הנדרש
לצורך ביצוע תפקידיהם.
)(ה -
,ארגון שהוא בעל כמה מאגרי מידע, רשאי לקבוע את רשימת המצאי במסמך אחד לגבי כל מאגרי המידע
המצויים באות ה רמת אבטחה, וכן רשאי לקיים את החובות לגבי סקר סיכונים ומבדק חדירות אחד לגבי כל מאגרי
המידע, המצויים באותה רמת אבטחה.
תקנ
ה 6 - אבטחה פיזית וסביבתית -
נקיטת אמצעים לבקרה ולתיעוד של הכניסה והיציאה מאתרים שבהם
מצויות מערכות לפי תקנה5
.ושל הכנסה והוצאה של ציוד אל מערכות המאגר
ת קנה7 –
אבטחת מידע בניהול כוח אדם –
הדרכה
תקופתית (כל שנתיים) בדבר מסמך הגדרות המאגר, נוהל
.האבטחה והוראות אבטחת המידע לפי החוק
תקנה9(ב) זיהוי ואימות –
הזיהוי ייעשה על בסיס אמצעי פיזי ונוהל האבטחה יכלול גם הוראות לעניין אופן הזיהוי
ובכלל זאת חוזק הסיסמה, מספר הניסיונות השגויים ותדירות החלפת הסיס מאות (ולא יותר משישה חודשים) אם
.הזיהוי מבוסס סיסמה
תקנה11
(ג) ו-
)(ד –
תיעוד של אירועי אבטחה–
לפחות אחת לשנה יתקיים דיון באירועי אבטחה וייבחן הצורך
בעדכון נוהל האבטחה. אם אירע אירוע אבטחה חמור–
יודיע לרשם מאגרי המידע (ראש הרשות) וככל שזה הורה
לו לעשות כן -
.ייעדכן את הציבור שעלול להיפגע מהאירוע
תקנה16(א), (ב), (ג) ו-
)(ה –
ביקורות תקופתיות– ביקורת פנימית או חיצונית אחת ל-
24
חודשים. במסגרת דוח
הביקורת בחינת הצורך בעדכון מסמך הגדרות; עריכת דיון בדוחות הביקורת ובחינת הצורך בעדכון מסמך הגדרות
המאגר או נוהל הא ;בטחה
תקנה18(א) גיבוי ושחזור של נתוני אבטחה -
בעל המאגר יקבע במסמך נהלים לביצוע גיבוי כאמור בתקנה17
)(ב
באופן תקופתי שגרתי, להבטחת שחזור של הנתונים כאמור ולתיעוד הליכי שחזור המידע, לרבות פרטי משחזר
.המידע והמידע ששוחזר
מאגרים שחלה עליהם ר מת האבטחה
הגבוהה
,מאגרי מידע
,שמטרתם איסוף מידע לצורך מסירתו לאחר
או
שיש בהם מידע רגיש אודות100,000
אנשים ומעלה
ש או מספר מורשי הגישה למידע זה עולה על100
.
על מאגרים אלו חלות תקנות1
עד20
.
:תקנות נוספות חשובות לעניין התוספת
19
.חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו ותיעוד ביצוע פעולה
(א)
החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר , ולמעט החובות הקבועות בתקנות2
ו-
15
)(א–
הן יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין.
(ב)
מי שמוטלת עליו בתקנות אלה חובה או אחריות לביצוע פע ולה שאינה יצירת מסמך, נדרש לתעד באופן סביר את
;אופן ביצוע הפעולה לפי העניין הרשם רשאי לתת הוראות לעניין אופן תיעוד כאמור.
9
לדיון -
?האם אכן נכון להטיל את כל העיצומים גם על מחזיק וגם על מנהל מאגר
"
20
.סמכויות הרשם
( )(א1
)
הרשם רשאי, אם ראה כי קיימים טעמים שמצדיקים זאת, לפטור מאגר מסוים מחובות אבטחת מידע לפי תקנות
אלה, או להחיל על מאגר מסוים חובות לפי תקנות אלה, כולן או חלקן, לפי נסיבות העניין, ובין השאר בהתחשב בגודל
המאגר, סוג המידע שנמצא בו, היקף הפעילות של המאגר או מספר בעלי ההרשאות בו.
(2)
פטור מחובות או
( החלת חובות לפי פסקה1
) ייעשה בהודעה בכתב לבעל המאגר; בהודעה כאמור יקבע הרשם את
המועד לתחילת הפטור או ההחלה, לפי העניין, ויכול שיקבע מועדים שונים לעניין תקנות שונות."
...
לדיון –
?מדוע נדרשת התקנה? מתי הופעלה האם נכון להטיל חובות כאמור ללא קריטריונים, לפי החלטת ראש
?הרשות
"
25. יחס לחיקוקים אחרים
תקנות אלה יחולו
נוסף על הוראות בעניין אבטחת מידע בחיקוקים אחרים
, זולת אם יש סתירה ביניהם."
לדיון –
?אלו הוראות חלות במקביל? האם ידוע על כפל מהותי של התקנות
ההפרה סכום העיצום הכספי (בשקלים חדשים)
הערות
טור א' טור ב' טור ג' טור ד'
טור'ה
מאגר
המנוהל
בידי יחיד
או מאגר
שחלה
עליו רמת
האבטחה
הבסיסית
מאגר
שחלה
עליו רמת
האבטחה
הבינונית
[ככלל
ללא מידע
]רגיש
מאגר
שחלה
עליו רמת
האבטחה
הגבוהה
מאגר
המנוהל
בידי
יחיד
10
(1)
ניגוד עניינים
של
ממונה אבטחת מידע:
בעל שליטה במאגר
מידע,
במינוי
החב
ממונה על אבטחת מידע
לפי סעיף17
,ב
שאינו
מנוהל בידי יחיד,-
מחזיק במאגר כאמור
או מנהל מאגר כאמור ,
שהממונה על אבטחה
במאגר מילא תפקיד
נוסף בו שעלול להעמידו
בחשש לניגוד עניינים
ב
מילוי תפקידו כממונה
על אבטחה במאגר ,
בניגוד להוראות תקנה
3(4
)לתקנות
,או
להוראות התקנה
האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות
[
=
]מחזיק;
1,000
20,000
80,000
-
*
חובת המינוי של ממונה על
אבטחת מידע
מ נויה בסעיף17
ב
שלפתחה של הוועדה.
הערה:
עיצום כספי לפי סעיף
זה יהיה בכפוף
ל נוהל
ה
התראה
לדיון :
-
רמת האבטחה
הבינונית
חלה גם על גופים קטנים וגם
במקרה של מספ
ר
מצומצם
של נושאי מידע (כאשר
מדובר
)במידע רגיש–
האם
גם במקרים אלו נכון לקבוע
עיצום כספי בסכום כה
?משמעותי
(2)
מאגר
מבנה
:ומערכותיו
בעל שליטה
במאגר מידע שאינו
מנוהל בידי יחיד,-
מחזיק במאגר כאמור
או מנהל מאגר כאמור
שלא החזיק מסמך
מעודכן של מבנה מאגר
המידע או רשימת מצאי
מעודכנת של מערכות
ה
מאגר בהתאם
להוראות תקנה 5(א )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
1,000
20,000
80,000
-
לפי תקנה5
(א) נדרש בעל שליטה
במאגר מידע, מחזיק במאגר או
,מנהל מאגר להחזיק מסמך
מעודכן של מבנה המאגר
וכן
רשימת מצאי מעודכנת של
מערכו
ת המאגר
, ובכלל זה של:
(
1
) תשתיות
ומערכות חומרה , סוגי
;רכיבי תקשורת ואבטחת מידע
(
2
) מערכות
התוכנה
המשמשות
להפעלת מאגר המידע, לניהול
המאגר ולתחזוקתו, לתמיכה
;בפעילותו, לניטור שלו ולאבטחתו
(
3
)תוכנות וממשקים
המשמשים
לתקשורת אל מערכות המאגר
;ומהן
(
4
)תרשים הרש ת שפועל בה
המאגר , הכולל תיאור הקשרים בין
רכיבי המערכת השונים ומיקומם
;הפיזי של רכיבים אלה
11
(
5
)תאריך העדכון האחרון של
.המסמך ושל רשימת המצאי
לדיון :
מה נחשב שינוי המחייב עדכון ?
האם קבוע פרק זמן לעדכון
?המערכות
(3)
מבנה
שמירת
המאגר
מסירת פרטי
מאגר ורשימת מצאי לפי
צורך
:בעל שליטה
במאגר מידע שאינו
מנוהל בידי יחיד ,
מחזיק במאגר כאמור
או מנהל מאגר כאמור
שלא שמר את המסמך
המעודכן של מבנה מאגר
המידע או את רשימת
המצאי בהתאם
להוראות תקנה 5(ב)
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
1,000
20,000
80,000
-
תקנה5(ב) לתקנות:
"
(ב) המסמך המעודכן של מבנה
מאגר המידע ורשימת המצאי [לפי
סעיף5
])(א יישמרו כך שפרטים
מהם יימסרו לבעלי הרשאה רק
בהיקף הנדרש לצורך ביצוע
תפקידיהם."
לדיון:
מהו הסיכון האבטחתי
שבחשיפה של בעלי הרשאה
שונים למבנה מאגר המידע ?
(4)
: מערכות
הגנת
בעל שליטה במאגר
מידע ,מחזיק במאגר או
מנהל מאגר שלא הבטיח
כי המערכות המפורטות
בתקנה 5(א()
1) לתקנות
יישמרו במקום מוגן
בהתאם להוראות תקנה
6(א
)לתקנות או
להוראות התקנה
האמור
ה כפי שהוחלה
בתקנה
19
(א )לתקנות ,
לפי העניין;
1,000
20,000
80,000
1,000
תקנה6
:)(א"
בעל מאגר מידע
יבטיח כי המערכות המפורטות
בתקנה5
()(א1
)
[=
תשתיות
ומערכות חומרה, סוגי רכיבי
]תקשורת ואבטחת מידע
יישמרו
במקום מוגן, המונע חדירה
,וכניסה אליו בלא הרשאה
והתואם את א ופי פעילות המאגר
.ורגישות המידע בו
לדיון :
מי קובע מה תואם את אופי
פעילות המאגר ורגישות המידע
?שבו
12
(5)
ותיעוד
בקרה
:כניסה לאתרים
בעל
שליטה במאגר מידע
שחלה עליו רמת
האבטחה הבינונית או
הגבוהה ,מחזיק במאגר
כאמור או מנהל מאגר
כאמור שלא נקט
אמצעים לבקרה
ולתי
עוד בהתאם
להוראות תקנה 6(ב )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
20,000
80,000
תקנה6
)(ב :
"
בעל מאגר מידע
שחלה עליו רמת האבטחה
הבינונית או הגבוהה, ינקוט
אמצעים ל בקרה ולתיעוד של
הכניסה והיציאה
מאתרים שבהם
מצויות המערכ ות המפורטות
בתקנה5
()(א1
) ושל הכנסה
והוצאה של ציוד אל מערכות
המאגר ומהן"
לדיון –
האם סביר בארגון
בו 4
עובדים
לדרוש בקרה ותיעוד של כל מי
?שנכנס לחדר? למערכת
(6)
:ניהול כוח אדם
בעל שליטה במאגר
מידע שאינו מנוהל בידי
יחיד ,מחזיק במאגר
כאמור או מנהל מאגר
כאמ
ור שנתן גישה
למידע המצוי במאגר או
ששינה את היקף
ההרשאה שניתנה ,בלי
שנקט כל
שום/ אף
אמצעי סביר כאמור
בתקנה 7(א )לתקנות ,
בניגוד להוראות אותה
תקנה או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
1,000
20,000
80,000
-
תקנה7
,)(א אבטחת מידע
בניהול כוח אדם ,
מתייחסת
לאופן גיוס כוח אדם :
"
7. (א) ל א ייתן בעל מאגר מידע
גישה למידע המצוי במאגר ולא
,ישנה היקף הרשאה שניתנה אלא
,אם כן נקט אמצעים סבירים
המקובלים בהליכי מיון עובדים
ושיבוצם, כדי לברר שאין חשש כי
בעל ההרשאה אינו מתאים לקבלת
גישה למידע המצו
י במאגר ;
אמצעים כאמור יינקטו בשים לב
לרגישות המידע שבמאגר ולהיקף
הרשאות הגישה לתפקיד שמיועד
לו הנוגע בדבר, כאמור בתקנה8
."
לדיון –
מהם אמצעים סבירים ומקובלים
בהליכי מיון עובדים ?
13
(7)
הדרכת כוח אדם :
בעל שליטה במאגר
מידע שאינו מנוהל בידי
יחיד ,מחזיק במאגר
כאמור או מנהל מאגר
כאמור שנתן לבעלי
הרשאות גישה למידע
ממאגר המידע או
ששינה [שינוי מהותי ]
את היקף הרשאותיהם
בלא שקיים הדרכות או
בלא שמסר להם מידע ,
בניגוד להוראות תקנה
7(ב
)לתקנות או
להוראות התקנה
האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,
לפי העניין;
1,000
20,000
80,000
-
תקנה7
)(ב קובעת חובת הדרכה
:לעניין אבטחת מידע לכוח האדם
"
בטרם יקבלו גישה למידע ממאגר
המידע או לפני שינוי היקף
,הרשאותיהם יקיים בעל מאגר
מידע הדרכות לבעלי הרשאות
בנושא החובות לפי החוק ותקנות
אלה, וימסור להם מידע על אודות
חובותיהם לפי החוק ונוהל
.האבטחה"
הערה:
הרשות תפרסם נוהל מהו
שינוי מהותי של הרשאות גישה .
(8)
:הדרכה תקופתית
בעל שליטה במאגר
מידע שחלה עליו רמת
האבטחה הבינונית או
הגבוהה ,מחזיק במאגר
כאמור או מנהל מאגר
כאמור
,שלא קיים
פעילות הדרכה
תקופתית לבעלי
ההרשאות שלו בהתאם
להוראות תקנה 7(ג )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
20,000
80,000
תקנה8
(ג) קובעת חובת הדרכה
תקופתית ,ו
לפחות
:פעם בשנתיים
"
(ג) במאגר מידע שחלה עליו רמת
,האבטחה הבינונית או הגבוהה
יקיים בעל המאגר פעילות הדרכה
,תקופתית לבעלי הרשאות שלו
,בדבר מסמך הגדרות המאגר
נוהל האבטחה והוראות אבטחת
,המידע לפי החוק ולפי תקנות אלה
בהיקף הנדרש לצורך ביצוע
תפקידיהם, ובדבר חובות בעלי
ההרשאות לפיהם ;
הדרכה כאמור
תיערך אחת לשנתיים לפחות,
ולגבי הסמכה של בעל הרשאה
לתפקיד חדש–
סמוך ככל האפשר
למועד תחילת הסמכתו."
14
(9)
:תיעוד
בעל
שליטה במאגר מידע
שאינו מנוהל בידי יחיד ,
מחזיק במאגר כאמור
או מנהל מאגר כאמור
שלא שמר
שנה לפחות
את הנתונים הנצברים
במסגרת יישום הוראות
תקנות 6(ב ,)
8 עד
11
,
14
,
15
(א()
4
)ו-
16
לתקנות ,
החלות עליו ,בהתאם
להוראות תקנה
17
(א )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
1,000
20,000
80,000
-
תקנה17
(
)א-
חובת שמירת נתוני
אבטחה
למשך24
:חודשים
"
17. (א) בעל מאג ר מידע ישמור
את הנתונים הנצברים במסגרת
יישום הוראות תקנות6
)(ב
[בקרה
ותיעוד של יציאה וכניסה למערכות
]ושל הכנסה והוצאת ציוד ,
8
[ניהול
,]הרשאות גישה9
[זיהוי ואימות
של משתמשים, לרבות חוזק
,סיסמה, מספר ניסיונות ניתוק
לאחר זמן וביטול הרשאות ושינוי
סיסמאות בעזי
בת עובד]
,
10
[ניהול
מנגנון תיעוד אוטומטי
שיאפשר ביקורת על הגישה
נוהל+ למערכות המאגר
בדיקה
]שגרתי של נתוני התיעוד,
11
[תיעוד של אירועי אבטחה ונוהל
התמודדות עם אירועי אבטחה, דיון
שנתי
/ רבעוני בנוהל האבטחה]
,
14
[אבטחת תקשורת–
אבטחת
החיבור לרשת אינטרנט או רש ת
ציבורית, ובחיבור מרחוק גם
]אימות זיהוי ,
15
()(א4
)
[אמצעי
בקרה ופיקוח על עמידת הגורם
החיצוני בהוראות ההסכם עמו
]ובהוראות התקנות ו-
16
[ביקורות
תקופתיות–
בינונית או גבוהה–
אחת לשנה לפחות
על ידי מי
שאינו ממונה האבטחה של המאגר
דיון על ידי בעל המאגר ב+
דוחות
הביקורת]
, ככל שתקנות אלה
חלות עליו, באופן מאובטח למשך
24
.חודשים"
15
(
10
)
נתוני
גיבוי
:התיעוד בעל שליטה
במאגר מידע שחלה עליו
רמת האבטחה הבינונית
או הגבוהה
,מחזיק
במאגר כאמור או מנהל
מאגר כאמור שלא גיבה
את הנתונים שנשמרו
כאמור בתקנה
17
(א )
לתקנות בהתאם
להוראו
ת תקנה
17
(ב )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
20,000
80,000
-
גיבוי נתוני התיעוד שנשמרו לפי
תקנה17
(א) לפי תקנה17
:)(ב
"
(ב) במאגר מידע שחלה עליו
רמת האבטחה הבינונית או
,הגבוהה בעל המאגר יגבה את
הנתונים שנשמרו כא מור בתקנת
משנה (א), באופן שיבטיח שיהיה
ניתן, בכל עת, לשחזר את
הנתונים האמורים למצבם
המקורי."
(
11
)
גיבוי
נוהל
נתוני
של
ושחזור
:אבטחה
בעל שליטה
במאגר מידע שחלה עליו
רמת האבטחה הבינונית
או הגבוהה
,מחזיק
במאגר כאמור או מנהל
מאגר כאמור ,שלא קבע
במסמך את העניי
נים
האמורים בתקנה
18
(א )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
20,000
80,000
תקנה18
)(א–
קביעת נהלים
ל
גיבוי ו
ל
שחזור של נתוני אבטחה
"
18
. (א) במאגר מידע שחלה עליו
רמת האבטחה הבינונית או
הגבוהה, יקבע בעל המאגר
במסמך–
(
1
) נהלים לביצוע גיבוי כאמור
בתקנה17
(ב), באופן תקופתי
;שגרתי
(
2
) נהלים, להבטחת שחזור
הנתונים כאמור בתקנה17
,)(ב
ובלבד שביצוע השחזור יהיה
;באישור מנהל המאגר
(
3
) כי במסגרת תיעוד אירועי
אבטחה כאמור בתקנה11
, יתעודו
גם הליכי שחזור המידע, ובכלל זה
–
זהותו של מי
שביצע את הליכי
.השחזור ופרטי המידע ששוחזר
16
(
12
)
נתוני
גיבוי
:אבטחה
בעל שליטה
במאגר מידע שחלה עליו
רמת האבטחה הגבוהה ,
מחזיק במאגר כאמור
או מנהל מאגר כאמור
שלא דאג לכך שיישמר
עותק הגיבוי של
הנתונים האמורים
בתקנה
18
(א()
1
)לתקנות
או של הנהלים כאמור
בתקנה
18
(א()
2
)
לתקנות
,בהתאם
להוראות תקנה
18
(ב )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
20,000
80,000
-
תקנה18
)(ב שמירת עותק גיבוי
של נהלי הגיבוי והשחזור
"
(ב) במאגר מידע שחלה עליו
רמת האבטחה הגבוהה, בעל
מאגר אחראי לכך שיישמר עות ק
הגיבוי של הנתונים האמורים
()בתקנה (א1
) ושל הנהלים כאמור
()בתקנת משנה (א2
), באופן
שיבטיח את שלמות המידע ואת
אפשרות השחזור של המידע
.במקרה של אבדן או הרס"
הערה: ה רשות תפרסם בעניין זה
הנ
חיה. ככל שה הנחיה לא תהיה
מספיק ברורה לעמדת ייעוץ
,וחקיקה, תתווסף חובת התראה
בנ והל התראה מינהלית, לפני
.מתן עיצום כספי לפי פרט זה
(
13
)
תיעוד
חובת
:כללית בעל שליטה
במאגר מידע שאינו
מנוהל בידי יחיד,
מחזיק במאגר כאמור
או מנהל מאגר כאמור
שלא תיעד באופן סביר
את אופן ביצועה של
פעולה שאינה יצירת
מסמך ,שחלה עליו חובה
או אחריות לבצעה לפי
תקנות ,בניגוד להוראות
תקנה
19
(ב )לתקנות;
1,000
20,000
80,000
-
"(ב)
מי שמוטלת עליו בתקנות
אלה חובה או אחריות לביצוע
פעולה שאינה יצירת מסמך, נדרש
לתעד באופן סביר את אופן ביצוע
הפעולה לפי העניין; הרשם רשאי
לתת הוראות לעניין אופן תיעוד
כאמור."
לדיון :
זוהי
תקנה כללית
,של תיעוד
מעבר לדרישות הפקת
המסמכים, הנהלים והדוחות
המ
נויים
במפורש
בתקנות. ה אם
ברור מהם
התיעודים הנוספים
הנדרשים ?
עיצום כספי לפי סעיף זה יהיה
בכפוף
ל נוהל
ה
התראה
17
(
14
)
הכנת מסמך
: מאגר
הגדרות
בעל
שליטה במאגר מידע
שלא הגדיר במסמך
הגדרות המאגר את כל
העניינים האמורים
בתקנה 2(א )לתקנות;
2,000
40,000
160,000
2,000
2
)(א בעל מאגר מידע יגדיר במסמך
הגדרות מאגר (להלן–
מ סמך
הגדרות המאגר), את כל העניינים
האלה לפחות:
(
1
)
תיאור כללי של פעולות האיסוף
והשימוש במידע;
(2)
תיאור מטרות השימוש במידע;
(3)
סוגי המידע השונים הכלולים
במאגר המידע, בשים לב לרשימת
סוגי המידע
שבפרט1(3
) בתוספת
הראשונה;
(4)
,פרטים על העברת מאגר המידע
או חלק מהותי ממנו אל מחוץ
לגבולות המדינה או שימוש במידע
מחוץ לגבולות המדינה, מטרת
ההעברה, ארץ היעד, אופן ההעברה
וזהות הנעבר;
(5)
פעולות עיבוד מידע באמצעות
מחזיק;
(6)
הסיכונים העיקריים של פגיעה
באבטחת המידע, ואופן ההתמודדות
עמם;
(7)
,שמו של מנהל מאגר המידע
של
מחזיק המאגר ושל הממונה על
אבטחת מידע בו, אם מונה כזה.
לדיון:
מדוע
נדרשים סכומים גבוהים
כאשר מטרת העיצומים
הכספיים היא.הגעה לציות
(
15
)
מסמך
עדכון
: מאגר
הגדרות
בעל
שליטה במאגר מידע או
מנהל מאגר שלא עדכן
את מסמך הגדרות
המאגר בהתאם
להוראות תקנה 2(ב )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
2,000
40,000
160,000
0
2,00
"
2
)(ב בעל מאגר מידע יעדכן את
מסמך הגדרות המאגר בכל עת
שנעשה שינוי משמעותי
בנושאים
המפורטים בתקנת משנה (א), ויבחן
את הצורך בעדכון כאמור, בשל
שינויים טכנולוגיים ארגוניים או אירועי
אבטחה כאמור בתקנה11
, בכל שנה
עד31
בדצמבר."
"
)(א בעל מאגר מידע יגדיר במסמך
הגדרות מאגר (להלן–
מסמך
הגדרות המאגר), את כל העניינים
האלה לפחות:
(1)
תיאור כללי של פעולות האיסוף
והשימוש במידע;
(2)
תיאור מטרות השימוש במידע;
(3)
סוגי המידע השונים הכלולים
במאגר המידע, בשים לב לרשימת
סוגי המידע שבפרט1
(
3
) בתוספת
הרא
שונה;
18
(4)
,פרטים על העברת מאגר המידע
או חלק מהותי ממנו אל מחוץ
לגבולות המדינה או שימוש במידע
מחוץ לגבולות המדינה, מטרת
ההעברה, ארץ היעד, אופן ההעברה
וזהות הנעבר;
(5)
פעולות עיבוד מידע באמצעות
מחזיק;
(6)
הסיכונים העיקריים של פגיעה
באבטחת המידע, ואופן ההתמוד דות
עמם;
(7)
שמו של מנהל מאגר המידע, של
מחזיק המאגר ושל הממונה על
אבטחת מידע בו, אם מונה כזה."
לדיון?: מהו שינוי משמעותי
(
16
)
מידע
בדיקת
:עודף בעל שליטה
במאגר מידע או מנהל
מאגר שלא בחן אם אין
המידע שהוא שומר
במאגר רב מן הנדרש
למטרות המאגר ,בניגוד
להוראו
ת תקנה 2(ג )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
2,000
40,000
160,000
2,000
"
,בעל מאגר מידע יבחן,אחת לשנה
אם אין המידע שהוא שומר במאגר
רב מן הנדרש למטרות המאגר."
19
(
17
)
נוהל
הכנת
: מידע
אבטחת
בעל
שליטה במאגר מידע
שאינו מאגר המנוהל
בידי יחיד
,מחזיק
במאגר כאמור או מנהל
מאגר כאמור שלא קבע
במסמך נוהל אבטחת
מידע בהתאם למסמך
הגדרות המאגר
והתקנות (להלן –
נוהל
אבטחה
,)בניגוד
להוראות תקנה 4(א )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
2,000
40,000
160,000
-
"נוהל אבטחה
4
)(א בעל מאגר המידע יקבע
במסמך נוהל אבטחת מידע (להלן–
נוהל האבטחה) בהתאם למסמך
הגדרות המאגר ותקנות אלה, אשר
יחייב כל בעל הרשאה בהתאם
לפרטים מהנוהל שאליו הוא חשוף
)לפי תקנת משנה (ב."
(
18
)
נוהל אבטחה–
הכנה, שמירה ו קביעת
:הוראות
ל בע שליטה
במאגר מידע שאינו
מאגר המנוהל בידי
יחיד ,מחזיק במאגר
כאמור או מנהל מאגר
כאמור ,שעשה אחת
מאלה
,לגבי נוהל
האבטחה
,בניגוד
להוראה כמפורט
בפסקאות משנה (א )עד
(ד )שלהלן החלה עליו:
-
(א)
לא שמר
אותו
בהתאם
להוראות תקנה 4(ב )
לתקנות או להוראות
התקנה האמורה
כפי
שהוחלה בתקנה
19
(א )
לתקנות
,לפי
העניין;
2,000
40,000
160,000
-
)"(ב בעל מאגר מידע ישמור את
נוהל האבטחה כך שפרטים ממנו
יימסרו לבעלי הרשאה רק בהיקף
הנדרש לצורך ביצוע תפקידיהם."
20
(ב)
לא כלל בו
את
הפרטים
המנויים בתקנה 4(ג )
לתקנות;
2,000
40,000
160,000
-
4
.
)(ג נוהל האבטחה יכלול, בין
השאר, את כל אלה:
(1)
הוראות בעניין האבטחה הפיזית
והסביבתית של אתרי המאגר כאמור
בתקנה6
;
(2)
הרשאות גישה למאגר המידע
ולמערכות המאגר בהתאם לתקנה
8
;
(3)
תיאור של אמצעים שמטרתם
הגנה על מערכות המאגר ואופן
הפעלתם לצורך כך;
(4)
הוראות למורשי הגישה למאגר
המידע ולמערכות המאגר לצורך
הגנה על המידע במאגר;
(5)
הסיכונים שחשוף להם המידע
שבמאגר במסגרת הפעילות
,השוטפת של בעל מאגר המידע
לרבות אלה הנובעים ממבנה
מערכות המאגר כמפורט בתקנה
5
,(א), אופן קביעת סיכונים אלה
ואופן הטיפול בהם, לרבו ת על ידי
מנגנוני הצפנה מקובלים להגנה על
המידע השמור במאגר או במערכות
המאגר;
(6)
אופן התמודדות עם אירועי
אבטחת מידע כאמור בתקנה11
,
לפי חומרת האירוע ומידת רגישות
המידע;
(7)
הוראות לעניין ניהול של התקנים
ניידים ושימוש בהם כאמור בתקנה
12
.
(ג)
לעניין
מאגר ידע מ
שחלה
עליו רמת האבטחה
הבינונית או
הגבוהה – לא כלל בו
התייחסות לפרטים
המנויים בתקנה
4(ד )
לתקנות או
הוראות
כאמור
בתקנה 9(ב()
2
)
לתקנות;
–
40,000
160,000
-
"
במאגר מידע שחלה עליו רמת
,האבטחה הבינונית או הגבוהה
יכלול נוהל האבטחה, נוסף על
האמור בתקנת מש ,)נה (ג
התייחסות גם לכל אלה:
(
1
)
אמצעי הזיהוי והאימות לגישה
למאגר ולמערכות המאגר, בהתאם
לתקנה9
;
(2)
אופן הבקרה על השימוש
במאגר המידע, ובכלל זה תיעוד
הגישה למערכות המאגר כאמור
בתקנה10
;
(3)
הוראות לעניין עריכת ביקורות
תקופתיות לווידוא קיומם ותקינותם
של אמצ עי האבטחה לפי נוהל
האבטחה ולפי תקנות אלה כאמור
בתקנה16
;
(4)
הוראות לעניין גיבוי הנתונים
האמורים בתקנה18
)(א(1);
(5)
הוראות לעניין אופן ביצוע
,פעולות פיתוח במאגר ותיעודן
ובכלל זה אופן הגישה של אנשי
הפיתוח לנתונים במאגר."
21
(ד)
לא קבע
בו הוראות
לעניין
התמו
דדות עם
אירועי
אבטחת מידע או
לעניין דיווח
לבעל
השליטה במאגר
בהתאם
להוראות
תקנה
11
(ב )
לתקנות
או להוראות
התקנה
האמורה כפי שהוחלה
בתקנה
19
(א ) לתקנות ,
לפי העניין;
2,000
40,000
160,000
-
11
.תיעוד של אירועי אבטחה
... )(א
)(ב בנוהל האבטחה יקבע בעל
מאגר
מידע גם הוראות לעניין
התמודדות עם אירועי אבטחת
מידע, לפי חומרת האירוע ומידת
רגישות המידע, לרבות לעניין ביטול
הרשאות וצעדים מיידיים אחרים
הנדרשים וכן לעניין דיווח לבעל
המאגר על אירועי אבטחה ועל
פעולות שננקטו בעקבותיהם.
(ה)
לא פירט
בו גם את
העניינים
המנ
ויים בפסקה
(2
()א )עד (ה )של
תקנה
15
(א )לתקנות ,
בניגוד להוראות פסקה
(3
)לאותה
תקנה;
2,000
40,000
160,000
-
15
מיקור חוץ
)(א בעל מאגר המתקשר עם גורם
חיצוני לצורך קבלת שירות, הכרוך
במתן גישה למאגר המידע –
(1)
...
(2)
יקבע במפורש בהסכם עם
הגורם החיצוני (בת קנה זו–
ההסכם) את כל אלה, בשים לב
לסיכונים לפי פסקה
:(1)
)(א המידע שהגורם החיצוני רשאי
לעבד ומטרות השימוש המותרות בו
לצורכי ההתקשרות;
)(ב מערכות המאגר שהגורם
החיצוני רשאי לגשת אליהן;
)(ג סוג העיבוד או הפעולה שהגורם
החיצוני רשאי לעשות;
)(ד ,משך ההתקשרות אופן השבת
המידע לידי הבעלים בסיום
ההתקשרות, השמדתו מרשותו של
הגורם החיצוני ודיווח על כך לבעל
מאגר המידע;
)(ה אופן יישום החובות בתחום
אבטחת המידע שהמחזיק חייב בהן
לפי תקנות אלה, וכן הנחיות נוספות
לעניין אמצעי אבטחת מידע שקבע
בעל מאגר המידע, אם קבע;
22
(
19
)
ס : סיכונים
קר
בעל שליטה במאגר
מידע שחלה עליו רמת
האבטחה הגבוהה ,
מחזיק במאגר כאמור
או מנהל מאגר כאמור ,
שלא דאג לכך שייערך
סקר לאיתור סיכוני
אבטחת מידע אחת
לשמונה עשר חודשים
לפחות (להלן –
סקר
סיכונים
,)שלא דן
בתוצאות סקר
הסיכונים שהועברו לו
ולא בחן את הצורך
בע
דכון מסמך הגדרות
המאגר או נוהל
האבטחה בעקבותיהן ,
או שלא פעל לתיקון
הליקויים שהתגלו
במסגרת הסקר ,בניגוד
להוראות תקנה
5(ג )
לתקנות או
להוראות התקנה
האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,
לפי העניין;
–
–
160,000
-
5
.
מיפוי מערכות המאגר וביצוע
סקר סיכונים
"(ג )
במאגר מידע שחלה עליו רמת
,האבטחה הגבוהה בעל המאגר
אחראי לכך שייערך סקר לאיתור
סיכוני אבטחת מידע
(להלן–
סקר
;)סיכונים בעל מאגר המידע ידון
,בתוצאות סקר הסיכונים שיועברו לו
יבחן את הצורך בעדכון מסמך
הגדרות המאגר או נוהל האבטחה
,בעקבותיהן
ויפעל לתיקון הליק ויים
שהתגלו במסגרת הסקר , ככל
שהתגלו; סקר סיכונים כאמור ייערך
אחת לשמונה עשר חודשים
לפחות."
23
(
20
)
מבדקי חדירות :
בעל שליטה במאגר
מידע שחלה עליו רמת
האבטחה הגבוהה ,
מחזיק במאגר כאמור
או מנהל מאגר כאמור
שלא דאג לכך שייערכו
מבדקי חדירות
למערכות המאגר ,אחת
לשמונ
ה עשר חודשים
לפחות ,לא דן בתוצאות
מבדקי החדירות או לא
פעל לתיקון הליקויים
שהתגלו
,בניגוד
להוראות תקנה 5(ד )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
–
160,000
-
)"(ד
במאגר מידע שחלה עליו
רמת האבטחה הגבוהה, בעל
המאגר אחראי לכך שייערכו מבדקי
חדירות למערכות המאגר לבחינת
עמידותן בפני סיכונים פנימיים
וחיצוניים, אחת לשמונה עשר
חודשים לפחות; בעל המאגר ידון
בתוצאות מבדקי החדירות ויפעל
לתיקון הליקויים שהתגלו, ככל
שהתגלו."
24
(
21
)
קביעה וניהול של
:הרשאות גישה
בעל
שליטה במאגר מידע
שאינ
ו מנוהל בידי יחיד ,
מחזיק במאגר כאמור
או מנהל מאגר כאמור
שלא קבע הרשאות גישה
של בעלי הרשאות
למאגר המידע
ולמערכות המאגר ,
בהתאם להוראות תקנה
8(א)
לתקנות או
להוראות התקנה
האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,
לפי העניין ,או שלא ניהל
רישום מעודכן בהתאם
להוראות תקנה 8(ב)
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות
,לפי העניין
(להלן –
רשימת
הרשאות תקפות;)
2,000
40,000
160,000
-
8
.ניהול הרשאות גישה
)"(א
בעל מאגר מידע יקבע
הרשאות גישה של בעלי הרשאות
,למאגר המידע ולמערכות המאגר
;בהתאם להגדרות תפקיד
הרשאת
הגישה לכל תפקיד תהיה במידה
הנדרשת לביצוע התפקיד בלבד.
)(ב
בעל מאגר מידע ינהל
,רישום מעודכן של תפקידים
הרשאות הגישה שניתנו להם ,
ושל
בעלי ההרשאות הממלאים תפקידים
אלה
(להלן–
רשימת ההרשאות
)התקפות."
25
(
22
)
נוהל
יישום
:הרשאות הגישה
בעל
שליטה במאגר מידע,
מחזיק במאגר או מנהל
מאגר שלא נקט
אמצעים מקובלים
בנסיבות העניין
ובהתאם לאופי המאגר
וטיבו ,כדי לוודא כי
הגישה למאגר
ולמערכות המאגר
נעשית בידי בעל הרשאה
המורשה לכך בלבד לפי
רשימת ההרשאות
התקפות
,בניגוד
להוראות תקנה 9(א)
לתקנות או להוראות
התקנה האמורה כפי
שהו
חלה בתקנה
19
(א )
לתקנות ,לפי העניין ,או
שלא דאג לביטול
ההרשאות של בעל
הרשאה שסיים את
תפקידו
,בניגוד
להוראות תקנה 9(ג)
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
2,000
40,000
160,000
9
.זיהוי ואימות
)(א בעל מאגר מידע ינקוט
אמ צעים
מקובלים בנסיבות העניין ובהתאם
לאופי המאגר וטיבו, כדי לוודא כי
הגישה למאגר ולמערכות המאגר
נעשית בידי בעל הרשאה המורשה
לכך בלבד לפי רשימת ההרשאות
התקפות.
...
)(ג בעל מאגר מידע ידאג לביטול
ההרשאות של בעל הרשאה שסיים
את תפקידו ובמידת האפשר לשינוי
סיסמא ,ות למאגר ולמערכות המאגר
,שבעל ההרשאה עשוי היה לדעת
מיד עם סיום תפקידו של בעל
ההרשאה.
לדיון :
נ וכח הקושי לקבוע מראש את
האמצעים המקובלים בנסיבות
העניין,
האכיפה לפי תקנה זו
תהיה לפי נוה
ל התראה.
26
(
23
)
זיהוי על בסיס
:אמצעי פיזי
בעל שליטה
במאגר מידע ש
חלה עליו
רמת האבטחה הבינונית
או הגבוהה
,מחזיק
במאגר כאמור או מנהל
מאגר כאמור שלא דאג
לכך שאופן הזיהוי
במאגר ייעשה ככל
האפשר על בסיס אמצעי
פיזי הנתון לשליטתו
הבלעדית של המורשה,
בניגוד להוראות תקנה
9(ב()
1
)לתקנות או
להוראות התקנה
האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,
לפי העניין;
לדוגמא: קוד לטלפון
–
40,000
160,000
9
. אימות וזיהוי
)(ב במאגר מידע שחלה עליו רמת
האבטחה הבינונית או הגבוהה –
(1)
אופן הזיהוי ייעשה ככל האפשר
על בסיס אמצעי פיזי הנתון לשליטתו
הבלעדית של המורשה;
(2)
ייקבעו בנוהל האבטחה גם
הוראות לע ,)ניין תקנת משנה (א
ובכללן בנושאים אלה:
)(א אופן הזיהוי; היה אופן
הזיהוי מבוסס על סיסמאות, יתייחס
הנוהל גם לחוזק הסיסמה, מספר
הניסיונות השגויים, ותדירות החלפת
הסיסמאות שתיעשה בהתאם
לתפקיד מורשה הגישה, ובכל מקרה
לתקופה שלא תעלה על שישה
חודשים;
)(ב ניתוק אוטומטי לאחר
פרק זמן של אי-פעילות;
)(ג
אופן הטיפול
בתקלות הקשורות באימות זהות.
(
24
)
בקרה
מנגנון
: גישה
ותיעוד
בעל
שליטה במאגר מידע
שחלה עליו רמת
האבטחה הבינונית או
הגבוהה ,מחזיק במאגר
כאמור או מנהל מאגר
כאמור שלא דאג שינוהל
מנגנון בקרה בהתאם
להוראות תקנה
10
(א )
ו-(ב )לתקנות (להלן –
מנגנון בקרה
)או
להוראות התקנה
האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,
לפי העניין;
–
40,000
160,000
-
10
.בקרה ותיעוד גישה
)(א במערכות של מאגר מידע אשר
חלה עליו רמת האבטחה הבינונית
,או הגבוהה ינוהל מנגנון תיעוד
אוטומטי שיאפשר ביקורת
על
הגישה למערכות המאגר
(בתקנה זו
–
מנגנון הבקרה), ובכלל זה נתונים
אלה: זהות המשתמש, התאריך
והשעה של ניסיון הגישה, רכיב
,המערכת שאליו בוצע ניסיון הגישה
סוג הגישה, היקפה, ואם הגישה
אושרה או נדחתה.
)(ב מנגנון הבקרה לא יאפשר, ככל
יכולתו, ביטול או שינוי של הפע;לתו
מנגנון הבקרה יאתר שינויים או
ביטולים בהפעלתו ויפיץ התראות
לאחראים.
27
(
25
)
בדיקה
נוהל
למ נגנון הבקרה ותיעוד
:הגישה
בעל שליטה
במאגר מידע שחלה עליו
רמת האבטחה הבינונית
או הגבוהה
,מחזיק
במאגר כאמור או מנהל
מאגר כאמור שלא קבע
נוהל בדיקה שגרתי של
נתוני התיעו
ד של מנגנון
הבקרה או שלא ערך דוח
של הבעיות שהתגלו
וצעדים שננקטו
בעקבותיהן
,בניגוד
להוראות תקנה
10
(ג )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
40,000
160,000
-
"
)(ג בעל מאגר מידע יקבע נוהל
בדיקה שגרתי של נתוני התיעוד של
מנ גנון הבקרה, ויערוך דוח של
הבעיות שהתגלו וצעדים שננקטו
בעקבותיהן."
(
26
)
נתוני
שמירת
התיעוד מנגנון
של
הבקרה :בעל שליטה
במאגר מידע שחלה עליו
רמת האבטחה הבינונית
או הגבוהה
,מחזיק
במאגר כאמור או מנהל
מאגר כאמור שלא דאג
שנתוני התיעוד של
מנגנון הבקרה יישמרו
למש
ך
24
חודשים
לפחות ,בניגוד להוראות
תקנה
10
(ד )לתקנות או
להוראות התקנה
האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,
לפי העניין;
–
40,000
160,000
-
)"(ד נתוני התיעוד של מנגנון הבקרה
יישמרו למשך24
חודשים לפחות."
לדיון:
האם מתאים לעיצום
?הגבוה
28
(
27
)
יידוע על מנגנון
:הבקרה בעל שליטה
במאגר מידע שחלה עליו
רמת האבטחה הבינונית
או הגבוהה
,מחזיק
במאגר כאמור או מנהל
מאגר כאמור שלא יידע
את בעלי ההרשאות
במאגר בדבר קיום
מנגנון הבקרה ,בניגוד
להוראות תקנה
10
(ה)
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
40,000
160,000
-
)"(ה בעל מאגר מידע יידע את בעלי
ההרשאות במאגר בדבר קיום
מנגנון הבקרה למערכות המאגר"
זו למעשה מערכת שיש בה
אלמנטים של מעקב על העובדים
והתקנה נועדה לה בטיח את
מודעותו לכך .
לדיון :
האם מצריך הפעלה של
עיצום כספי דיפרנציאלי ?
האם
ה פעלת העיצום
היא
ביחס
לכל אחד מבעלי ההרשאות?
(
28
)
ית אירוע
עוד
: מידע
אבטחת
בעל
שליטה במאגר מידע ,
מחזיק במאגר או מנהל
מאגר שלא דאג שיתועד
כל מקרה שבו התגלה
אירוע המעלה חשש
לפגיעה בשלמות המידע,
לשימוש בו בלא הרשאה
או לחריגה מהרשאה
(להלן –
אירוע אבטחת
מידע )בהתאם להוראות
תקנה
11
(א )לתקנות או
להוראות התקנה
האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,
לפי ה
עניין;
2,000
40,000
160,000
2,000
11
.תיעוד של אירועי אבטחה
)(א
בעל מאגר מידע אחראי לתיעוד
כל מקרה שבו התגלה אירוע
המעלה חשש לפגיעה בשלמות
המידע, לשימוש בו בלא הרשאה או
לחריגה מהרשאה
(להלן–
אירועי
אבטחה); ככל האפשר יבוסס
התיעוד האמור על רישום אוטומטי.
29
(
29
)
תקופתי
דיון
:באירועי אבטחת מידע
בעל שליטה במאגר
מידע שחלה עליו רמת
האבטחה הבינונית או
הגבוהה או מחזיק
במאגר כאמור שלא
קיים דיון באירועי
אבטחת המידע או שלא
בחן את הצורך בעדכון
נוה
ל האבטחה ,בניגוד
להוראות תקנה
11
(ג )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
40,000
160,000
-
)(ג במאגר מידע שחלה עליו רמת
האבטחה הבינונית , יקיים בעל
המאגר דיון אחת לשנה לפחות
באירועי האבטחה
ויבחן את הצורך
בעדכונו של נוהל האבטחה ; במאגר
מידע שחלה עליו רמת האבטחה
הגבוהה, ייערך דיון כאמור אחת
לרבעון לפחות.
(
30
)
לרשות
דיווח
אודות אירוע אבטחה
:חמור
בעל שליטה
במאגר מידע שחלה עליו
רמת האבטחה הבינונית
או הגבוהה
,מחזיק
במאגר כאמור או מנהל
מאגר כאמור שלא
הודיע לממונה ל[ראש ]
הרשות
ב
אופן מיידי על
אירוע אבטחה חמור ,או
שלא דיווח לממונה
ל[ראש]
הרשות
על
הצעדים שנקט בעקבות
האירוע בהתאם
להוראות תקנה
11
(ד()
1
)
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
–
40,000
160,000
-
11
)(ד
אירע אירוע אבטחה חמור
–
(
1
)יודיע ע ל כך בעל המאגר
,לרשם באופן מיידי
וכן ידווח לרשם
על הצעדים שנקט בעקבות
האירוע;
(2)
רשאי הרשם להורות לבעל
מאגר המידע, למעט לבעל מאגר
מידע מן המנויים
בסעיף13
)(ה
לחוק,
לאחר שנועץ בראש הרשות
,הלאומית להגנת הסייבר להודיע
על אירוע האבטחה לנושא מידע
שעלול להיפגע מן האירוע.
”אירוע אבטחה חמור “
–
כל אחד
מאלה:
(
1
)במאגר מידע שחלה ע ליו רמת
אבטחה גבוהה–
אירוע שנעשה בו
שימוש במידע מן המאגר, בלא
הרשאה או בחריגה מהרשאה או
שנעשתה פגיעה בשלמות המידע;
(2)
במאגר מידע שחלה עליו רמת
אבטחה בינונית–
אירוע שנעשה
,בו שימוש בחלק מהותי מן המאגר
בלא הרשאה או בחריגה מהרשאה
או שנעשתה פגיעה בשלמות
30
המי
דע
לגבי חלק מהותי מן
המאגר;
(
31
)
התקנים
חיבור
:ניידים בעל שליטה
במאגר מידע ,מחזיק
במאגר או מנהל מאגר
שלא הגביל או שלא מנע
אפשרות לחיבור
התקנים ניידים
למערכות המאגר ,או
שאפשר שימוש במידע
מהמאגר בהתקן נייד או
העתקה שלו להתקן נייד
בלא שנקט אמצעי הגנה ,
בניגו
ד להוראות תקנה
12
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
2,000
40,000
160,000
2,000
12
.התקנים ניידים
בעל המאגר יגביל או ימנע
אפשרות לחיבור התקנים ניידים
למערכות המאגר במתכונת
ההולמת את רמת אבטחת המידע
שחלה על המאגר ,את ר גישות
המידע, את הסיכונים המיוחדים
למערכות המאגר או למידע
הנובעים מחיבור ההתקן הנייד
ואת קיומם של אמצעי הגנה
מתאימים מפני סיכונים אלה ; בעל
מאגר מידע המאפשר שימוש
במידע מהמאגר בהתקן נייד או
העתקה שלו להתקן נייד ינקוט
אמצעי הגנה בשים לב לסיכונים
המיוחדים הקשו רים לשימוש
;בהתקן נייד באותו מאגר מידע
לעניין זה יראו שימוש בשיטות
הצפנה מקובלות כנקיטת אמצעים
סבירים להגנה על מידע שהועתק
להתקן הנייד.
(
32
)
הפרדת מערכות
:)המאגר (מידור
בעל
שליטה במאגר מידע ,
מחזיק במאגר או מנהל
מאגר שלא הפריד בין
מערכות המאגר אשר
ניתן לגשת מהן למידע ,
לבין מערכות מחשוב
אחרות המשמשות
אותו ,בניגוד להוראות
תקנה
13
(ב) לתקנות או
להוראות התקנה
האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,
לפי העניין;
2,000
40,000
160,000
2,000
13
.
ניהול מאובטח ומעודכן של
מערכות המאגר
)(ב ,בעל מאגר מידע יפריד בהיקף
ובמידה הסבירים האפשריים , בין
מערכות המאגר אשר נית ן לגשת
,מהן למידע לבין מערכות מחשוב
אחרות
המשמשות את בעל
המאגר
הערה:
עיצום כספי לפי סעיף
זה יהיה
פי ל
נוהל
ה
התראה
31
(
33
)
מערכות
עדכון
:המאגר
בעל שליטה
במאגר מידע ,מחזיק
במאגר או מנהל מאגר
שלא דאג לכך שייערכו
עדכונים שוטפים של
מע
רכות המאגר ,לרבות
חומר המחשב הנדרש
לפעולתן ,או לכך שלא
ייעשה שימוש במערכות
שהיצרן לא תומך
בהיבטי אבטחה שלהן
בלא שניתן מענה
אבטחתי מתאים, בניגוד
להוראות תקנה
13
(ג )
לתקנות או להוראות
התקנה האמורה כפי
שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
2,000
40,000
160,000
2,000
13
)(ג בעל מאגר מידע ידאג לכך
שייערכו עדכונים שוטפים של
מערכות המאגר, לרבות חומר
המחשב הנדרש לפעולתן ;
לא
ייעשה שימוש במערכות שהיצרן
לא תומך בהיבטי אבטחה שלהן
אלא אם כן ניתן מענה אבטחתי
מתאים.
לדיון :
(1)
האם
עיצום כספי ל ה פי תקנה
מתאימה ליחיד או למאגר
מידע בעל רמת אבט חה
?בסיסית
(
2
)
מה הכוונה בעריכת עדכונים
שוטפים? של
חומר
המחשב
?הנדרש להפעלתן
32
(
34
)
אבטחת
חיבור לרשת :בעל
שליטה במאגר מידע ,מחזיק במאגר
או מנהל מאגר שחיבר את מערכות
המאגר לרשת האינטרנט או לרשת
ציבורית אחרת ,בלא התקנת אמצעי
הגנה מתאימים ,בניגוד להוראות
תקנה
14
(א) לתקנות או להוראות
התקנה האמורה כפי שהוחלה
בתקנה
19
(א )לתקנות ,לפי העניין;
2,000
40,000
160,000
2,000
14
)(א
בעל מאגר מידע לא יחבר
את מערכות המאגר לרשת
האינטרנט או לרשת ציבורית
,אחרת בלא התקנת אמצעי
הגנה מתאימים
מפני חדירה לא
מורשית או מפני תוכנות
המסוג לות לגרום נזק או שיבוש
למחשב או לחומר מחשב.
הערה:
עיצום כספי לפי סעיף
זה יהיה
פי ל
נוהל
ה
התראה
(
35
)
:הצפנת מידע המועבר ברשת
בעל שליטה במאגר מידע ,מחזיק
במאגר או מנהל מאגר שלא דאג לכך
שהעברת מידע ממאגר המידע ,
ברשת ציבורית או באינטרנט ,
תיעשה תוך שימוש בשיטות הצפנה
מקובלות,
בניגוד להוראות תקנה
14
(ב )לתקנות וא להוראות התקנה
האמורה כפי שהוחלה בתקנה
19
(א )
לתקנות ,לפי העניין;
2,000
40,000
160,000
2,000
"
14
)(ב העברת מידע ממאגר
המידע, ברשת ציבורית או
באינטרנט, תיעשה תוך שימוש
בשיטות הצפנה מקובלות."
הערה:
עיצום כספי לפי סעיף
זה יהיה פי ל
נוהל
ה
התראה
(
36
)
אמצעי
זיהוי ב :גישה מרחוק
בעל שליטה במאגר מידע שניתן
לגשת אליו מרחוק ,באמצעות רשת
האינטרנט או רשת ציבורית אחרת ,
מחזיק במאגר כאמור או מנהל
מאגר כאמור שלא עשה שימוש
באמצעים שמטרתם לזהות את
המתקשר והמאמתים את הרשאתו
לביצוע הפעילות מרחוק ואת
היקפה ,ולעניין מאגר מידע כאמור
שחלה עליו רמת האבטחה הבינונית
או הגבוהה –
לא עשה שימוש
באמצעי פיזי הנתון לשליטתו
הבלעדית של בעל ההרשאה, בניגוד
להוראות תקנה
14
(ג )לתקנות או
להוראות התקנה האמורה כפי
שהוחלה בתקנה
19
(א )לתקנות ,לפי
העניין;
2,000
40,000
160,000
2,000
14
.)(ג במאגר מידע ש ניתן לגשת
אליו מרחוק, באמצעות רשת
האינטרנט או רשת ציבורית
,אחרת ייעשה שימוש נוסף על
אמצעי אבטחה כאמור בתקנות
משנה
,)(א) ו־(ב באמצעים
שמטרתם לזהות את המתקשר
והמאמתים את הרשאתו לביצוע
;הפעילות מרחוק ואת היקפה
לעניין גישה של בעל הרשאה
למאגר מידע ברמת האבטחה
ה בינונית והגבוהה ייעשה שימוש
באמצעי פיזי הנתון לשליטתו
הבלעדית של בעל ההרשאה
33
(
37
)
: תקופתית
ביקורת
בעל
שליטה במאגר מידע שחלה עליו
רמת האבטחה הבינונית או הגבוה
ה ,
מחזיק במאגר כאמור או מנהל
מאגר כאמור שלא דאג לכך שתיערך
ביקורת פנימית או חיצונית בהתאם
להוראות תקנה
16
(א )לתקנות או
להוראות התקנה האמורה כפי
שהוחלה בתקנה
19
(א )לתקנות ,לפי
העניין ,או שלא דן בדוחות הביקורת
שהועברו לו ,או שלא בחן את הצורך
בעדכון מסמך הגדר
ות המאגר או
נוהל האבטחה בעקבותיהם, בניגוד
להוראות תקנה
16
(ג) לתקנות או
להוראות התקנה האמורה כפי
שהוחלה בתקנה
19
(א )לתקנות ,לפי
העניין;
–
40,000
160,000
-
16
)(א במאגר מידע שחלה עליו
רמת האבטחה הבינונית או
,הגבוהה בעל המאגר אחראי לכך
שתיערך, אחת ל־24
חודשים
לפחות, ביקורת פנימית או
חיצונית ,
על ידי גורם בעל הכשרה
מתאימה לביקורת בנושא אבטחת
מידע שאינו ממונה האבטחה של
המאגר , כדי לוודא את עמידתו
בהוראות תקנות אלה.
)(ב בדוח הביקורת ידווח המבקר
על התאמת אמצעי האבטחה
,לנוהל האבטחה ולתקנות אלה
יזהה ליקויים ויציע אמצע ים
הדרושים לתיקון המצב.
)(ג בעל מאגר המידע ידון בדוחות
הביקורת שיועברו לו, ויבחן את
הצורך בעדכון מסמך הגדרות
המאגר או נוהל האבטחה
בעקבותיהם.
)(ד בעל מאגר מידע שחלה עליו
רמת האבטחה הגבוהה, רשאי
לקיים את החובה הקבועה
בתקנה זו במסגרת עריכת סקר
סיכונים שמתקיים
בו האמור
)בתקנת משנה (ב.
(
38
)
בקרה ופיקוח על גורם חיצוני
)(מיקור חוץ :בעל שליטה במאגר
מידע שאינו מנוהל בידי יחיד או
מנהל מאגר כאמור שלא נקט
אמצעי בקרה ופיקוח בעניינים
שלהלן על עמידתו של הגורם
החיצוני בהוראות שנקבעו בהסכם
איתו,
הכוללים קבלת עדכונים
עיתיי
ם ,ולעניין פסקה (1
,)דיווח על
השמדת המידע ,אם נכללה בהסכם
התחייבות להשמדת המידע,
בדיקות תקופתיות וטיפול בתקלות ,
והכול בהיקף הנדרש בשים לב
לסיכונים האמורים בפסקה (1
)של
תקנה
15
(א
)לתקנות
,בניגוד
להוראות פסקה (4
)של אותה תקנה:
4,000
80,000
320,000
"
)(א בעל מאגר המתקשר עם
,גורם חיצוני לצורך קבלת שירות
הכרוך במתן גישה למאגר
המידע –
(
1
)
יבחן, לפני ביצוע ההתקשרות
עם הגורם החיצוני המסוים
כאמור, את סיכוני אבטחת המידע
הכרוכים בהתקשרות;
(2)
יקבע במפורש בהסכם עם
הגורם החיצוני (בתקנה זו–
ההסכם) את כל אלה, בשים לב
לסי
כונים לפי פסקה
(1)
:
)(א המידע שהגורם החיצוני
רשאי לעבד ומטרות השימוש
המותרות בו לצורכי ההתקשרות;
)(ב מערכות המאגר שהגורם
החיצוני רשאי לגשת אליהן;
34
(א)
חובתו של הגורם
החיצוני
להשיב את המידע די לי הבעלים
בסיום ההתקשרות ,ואם נקבעה
בהסכם התחייבות
להשמדת המידע –
חובתו
של הגורם החיצוני
להשמיד את המידע,
וחובתו של הגורם החיצוני
לדווח לבעל השליטה
במאגר או למנהל המאגר ,
לפי העניין ,על השבה או
השמדה כאמור
,כפי
שנקבעו בהסכם בהתאם
לתקנה
15
(א()
2
()ד )
לתקנות;
2,000
)(ג סוג העיבוד או הפעולה
שהגורם החיצוני רשאי לעשות;
)(ד משך ההתקשרות, אופן
השבת המידע לידי הבעלים
בסיום ההת קשרות, השמדתו
מרשותו של הגורם החיצוני ודיווח
על כך לבעל מאגר המידע;
)(ה אופן יישום החובות בתחום
אבטחת המידע שהמחזיק חייב
בהן לפי תקנות אלה, וכן הנחיות
נוספות לעניין אמצעי אבטחת
,מידע שקבע בעל מאגר המידע
אם קבע;
)(ו חובתו של הגורם החיצוני
להחתים את בעלי הה רשאות שלו
על התחייבות לשמור על סודיות
המידע, להשתמש במידע רק לפי
האמור בהסכם, וליישם את
אמצעי האבטחה הקבועים
בהסכם כאמור בפסקת משנה
)(ה;
)(ז התיר בעל מאגר מידע לגורם
החיצוני לתת את השירות
באמצעות גורם נוסף–
חובתו של
הגורם החיצוני לכלול בהסכם עם
הגורם הנו סף את כל הנושאים
המפורטים בתקנה זו;
)(ח חובתו של הגורם החיצוני
לדווח, אחת לשנה לפחות, לבעל
מאגר המידע על אודות אופן
ביצוע חובותיו לפי תקנות אלה
וההסכם ולהודיע לבעל המאגר
במקרה של אירוע אבטחה;
(3)
יפרט בנוהל האבטחה של
המאגר גם את העניינים המנויים
( בפסקה2
()
א) עד (ה), וכן יפנה
בו במפורש להסכם עם הגורם
החיצוני ולנוהל האבטחה שלו;
(4)
ינקוט אמצעי בקרה ופיקוח על
עמידתו של הגורם החיצוני
בהוראות ההסכם ובהוראות
תקנות אלה, בהיקף הנדרש
בשים לב לסיכונים האמורים
בפסקה (1).
(ב)
חובתו של הגורם
החיצוני
להחתים את בעלי
ההרשאות שלו על
התחייבות כאמור בתקנה
15
(א()
2
()ו
)לתקנות
,כפי
שנקבעה בהסכם בהתאם
לאותה תקנה;
2,000
(ג)
חובתו של גורם
חיצוני שרשאי לפי ההסכם
איתו לתת את השירות
באמצעות גורם נוסף ,
לכלול בהסכ
ם עם הגורם
הנוסף את הנושאים שיש
לפרט בהסכם בינו לבין
בעל השליטה במאגר או
מנהל המאגר,
לפי העניין ,
בהתאם לתקנה
15
(א()
2
()ז )לתקנות;
2,000
35
(ד)
חובתו של הגורם
החיצוני לדווח לבעל
השליטה במאגר על אודות
אופן ביצוע חובותיו לפי
התקנות וההסכם ,ולהודיע
לו במקרה של אירוע
אבטחה,
בהתאם לתקנה
15
(א()
2
()ח )לתקנות.
-