• 053-9263856
  • mikel0174@gmail.com
Facebook-f Twitter Instagram Youtube Linkedin Whatsapp
מחירים
המלצות
יצירת קשר
חיפוש

אתר זה מקודם בגוגל בלי קישורים

המלצות

הגנת הפרטיות – תקנות אבטחת מידע

המדריך המלא והפשוט ליישום החוק ותקנות אבטחת מידע 2019 

ב8 במאי  2018 נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) .

מאמר זה נכתב במטרה לפשט את הנושא כולו לעסקים קטנים , עצמאיים הנדרשים ע”פ החוק לניהול מאגר מידע מנוהל בידי יחיד או מס’ מאוד קטן של בעלי גישה לנתונים.

מהי תקנה 21?

תקנה – הגדרה : 

איזה שימוש יש לי במידע?

  תיאור פעולות האיסוף והשימוש.

מה מטרתו של המידע?

תיאור מטרות השימוש במידע הנאסף.

איזה מידע? 

קיימים סוגים שונים של מידע .

האם אני מעביר את המידע מחוץ לגבולות המדינה? 

איך מועבר ולאיזו מטרה משמש.

האם ומה צד ג’ עושה שימוש במידע ואיזה? 

פירוט והצגת הרשאות כמו גם פירוט על סוגי ביקורת לאבטחת המידע .

מהם הסיכונים המהותיים במקרה של פגיעה באבטחת המידע. 

(האם אפשרות לשיבוש)  

מהי מידת המוכנות שלי לאירוע אבטחת מידע \ סייבר.

פירוט על תוכניות שיקום.

פירוט שמם של מנהל או מנהלי המאגר ואו מומנה אבטחת המידע .

מסמך ההגדרות יעודכן אחת לשנה : 

  • שינוי בפרמטרים .
  • שינויים טכנולוגיים.
  • שינויים ארגוניים.
  • אירועי אבטחת מידע.
  • בדיקת כמות הנתונים במאגר מעבר לדרוש או מוגדר במפורש למטרות המאגר.

מהי אבטחת מידע בעצם?

הגדרה : הגנה על שלמות מידע ושמירת הנתונים במאגר מחשיפה ושימוש ואו העתקה על ידי כל מי שאינו מורשה לכך.

מי מחוייב ביישום התקנות?

כל מי שמוגדר כחלק מהמשק הישראלי.

התקנות הן לטובת כל האנשים שקיים עליהם מידע במאגר כלשהו. (שזה כולם) 

מאגרים שעליהם חלות רמות האבטחה השונות : 

רמת אבטחה בסיסית

מאגרים שלא חלה עליהם רמת אבטחה בינונית או גבוהה ואינם מאגרים בניהול יחיד . (דהיינו עם גישה מרובת משתמשים )

*כפוף לסיכוני האבטחה שהם מייצרים כברירת מחדל או בכלל כמחדל.

מהו מאגר מידע מנוהל בידי יחיד ברמת הגדרה?

מאגר מידע שמנהל אדם בודד או מס’ מועט ומצומצם של אנשים ביישות עסקית אפילו של תאגיד .

רמת אבטחה בינונית.

מאגר מידע שמטרתו העיקרית הינה איסוף מודיעים לצרכי צד ג’ כולל דיוור ישיר וזהו עיסוק מרכזי.

כל מאגר הכולל מידע מקיף על חייו האישיים של אדם במאגר  , עבר פלילי למשל ר.פ , מידע רפואי וגנטי , דעות פוליטיות , נתוני שימוש תקשורת , ביומטרי , נכסים \ הון  , כל סוגי הרגלי הצריכה למשל רכבו , נסיעות לחו”ל  , קניות וכל מידע אחר שניתן להשיג באמצעים חוקיים ולגיטימיים.

תנאי : מס’ בעלי ההרשאה למאגר לא יעלה על עשרה בעלי גישה.

אילו מאגרים מחוייבים לרמת אבטחה גבוהה?

מאוד פשוט , מאגרי מידע הכוללים 100000 אנשים ומעלה או שמס’ בעלי הרשאות גישה מעל 100.

מדריך להורדה תקנות אבטחת מידע
הורדת הקובץ - תקנות הגנת הפרטיות (אבטחת מידע)

תקנה 3.

מיהו ממונה אבטחת מידע?

חוק הגנת הפרטיות קובע שגופים מסויימים חייבים למנות ממונה אבטחת מידע.

כל מי שמחזיק חמישה מאגרי מידע או יותר חייבים ברישום ע”פ החוק.

לדוג’ : 

  • גופים ציבוריים
  • בנקים.
  • חברות ביטוח.
  • חברות העוסקות בדירוג או הערכה למתן אשראי.

תנאים שכדאי לדעת : 

ממונה אבטחת מידע יעבוד בכפיפות ישירה למנהל מאגר המידע או בעל תפקיד מקביל ואו כפוף למנהל מאגר המידע.

מנהל בכיר או מנכ”ל הגוף\הארגון.

תקנה  3 (1)

ממונה אבטחת מידע יכין נוהל אבטחת מידע וידאג לאישורה של ההנהלה הבכירה .

תקנה 3 (2) 

באחריות הממונה להכין תכנית בקרה שוטפת על העמידה בדרישות התקנות , ביצועה \ יישומה והגשת ממצאים בדוח מותאם להנהלה הבכירה.

תקנה 3 (4) 

הממונה יקפיד על כללי אתיקה מקצועית ולא ימלא תפקיד נוסף העלול להעמידו בניגוד אינטרסים.

תקנה 3 (5)

בעל מאגר המידע יכול להטיל אחריות נוספת שאינה קשורה ישירות לתפקיד ממונה אבטחת מידע בכפוף להגשת דוח הגדרות תפקידים ברור ומגובה אישורי הנהלה בכירה.

תקנה 6 (3) 

כל המשאבים  הנחוצים לאבטחת מידע יוקצו לממונה אבטחת המידע ע”י בעל מאגר המידע ובאחריותו.

נוהל אבטחה תקנה 4 

  • הכנת מסמך לקביעה מתועדת של נוהל אבטחה מקובל בארגון.
  • נוהל האבטחה יהיה נגיש רק לבעלי תפקיד רלוונטי .
  • הנחיות אבטחה פיסית וסביבתית
  • ניהול הרשאות גישה למאגרי המידע ומערכות המאגר
  • תיאור אמצעי ההגנה על מערכות המאגר ואופן הפעלתם
  • קיום הדרכות בע”פ ובכתב למורשי הגישה.
  • פירוט כתוב על הסיכונים של המאגר לחשיפה \ דלף מידע.
  • דוח פירוט על ההתמודדות באירועי אבטחת מידע.
  • הוראות לניהול התקנים ניידים
  • הגדרת אמצעי הזיהוי ואימות הגישה למאגר ולמערכות המאגר
  • עריכת ביקורות תקופתיות לתקינות והקפדה על התקנות .

תקנה 5 – מיפוי מערכות המאגר וביצוע סקר סיכונים.

הכנת מסמך מעודכן של מבנה מאגר המידע  ורשימת מצאי מערכות המאגר.

תשתיות וחומרה , תקשורת וציוד ייעודי אבטחת מידע.

מערכות הפעלה ותוכנות על כל הרבדים והייעודים.

תקן ISO 27001 אבטחת מידע בארגונים

תקן 27001 אבטחת מידע לארגונים הינו תקן בינלאומי .

תחום אבטחת מידע לארגונים עוסק במניעה , ניטור ושיקום לאחר אירועי סייבר .

נשמח להפוך כל עסק לחסין מאיומי סייבר ומוכן לכל מקרה חירום.

מהו תקן iso 27001?

לדרישות תקן iso 27001  דוגמאות והסבר בפירוט 

תקן 27001 שייך למשפחת תקני iso שהינם חלק ממדיניות של אימוץ תקנים בינלאומיים על ידי הארגון הבינלאומי לתקינה  .

מטרות תקן 27001 היא  : 
  • הטמעה (אינטגרציה) 
  • שימור
  • שיפור מתמיד של אבטחת המידע בארגון כלשהו קטן וגדול בכל עיסוק מוגדר במטרה להילחם ולהתמודד מול איומי סייבר בכל הקשור לניהול המידע בארגון  
  • הקטנת הסיכונים יתנו מענה לאיום דליפת המידע או בעיות חוסן אחרות.

ייעוץ מקיף למערכות הארגון

תקן 27001 הינו תקן לא פשוט בהיקפו מאחר והינו מכסה את כל הבעיות שארגון שלא יקפיד וישכיל להבין את איומי הסייבר ההולכים וגדלים מידי יום .

התקן מוודא ומאמת את ההקפדה על הדברים הבאים : 

פעילות חברי ההנהלה  , העובדים בכל הרבדים בארגון , תהליכים שונים  , כל אמצעי אבטחת המידע כולל מוכנות ויכולת שיקום לאחר אירועי סייבר  , לקוחות  , ספקים , תיעוד ומיפוי המידע כמו גם ניהול מאגר מידע כחוק לפי תקנות הגנת הפרטיות , קיום חידוד והחלת נהלים בין היתר למניעת הונאות .

 

 

  • רמת האבטחה הפיסית בארגון כמו גם האבטחה הלוגית .
  • התנהגות ומהימנות העובדים  , קביעת יעדים הרלוונטיים לאבטחת מידע .
  • מדיניות גיבויים ושיחזור \ שיקום המערכות בארגון לאחר אירוע סייבר.
  • תקן 27001 הוא כלי רגולטורי הכרחי לכל ארגון שמעוניין לקבל הכרה במקצועיותו .

תקן iso 27001 בעצם מוביל את הדרך הנכונה לטיפול בכל נושא אבטחת המידע בכל ארגון על כל שכבותיו \ רבדיו  .

התקן הוא בעצם קובץ שיטות וכמובן פתרונות לבעיות של הגורם האנושי בין היתר .

בעיות החומרה והתוכנה  וכמובן ברמה האפליקטיבית של בסיסי הנתונים ובקרה על המאגר אם קיים ובאופן כללי בכל נושא אבטחת המידע בכל ארגון באשר הוא .

מי מקבל תקן iso 27001 ולמה כדאי לקבל אותו?

  • כל ארגון אשר יקיים ומקיים שת”פ עם חברות וארגונים בכל העולם ולא רק בישראל.

 

  • התקן הינו חובה כדרישה מקדימה לאיכות ומקצועיות עוד לפני חתימת הסכם עבודה עסקי .

 

  • נכון להיום במדינת ישראל כל ארגון יכול לקבל את התקן ע”י מי שהוסמך לבדוק ואם יעמוד ויקיים הארגון יעבור את בדיקת מכון התקנים הישראלי (מת”י) ואו המכון לבקרה ואיכות iqc .

 

  • עם תקן 27001 ניתן לעבוד עם גופים בכל העולם ובעצם להוכיח שהארגון מודע ומקיים מערכת לניהול אבטחת מידע ברמה הגבוהה והאחראית ביותר ומחוייב לבצע בדיקות ומשמר את הרמה הגבוהה של קיום הנחיות ועמידה בתקן הבינלאומי  .

 

  • קבלת התקן ועמידה בתנאים ושימור המקצועיות יאטום פריצות \פרצות אבטחת מידע ולמנוע דלף מידע \ זליגת מידע רגיש החוצה מהארגון לעולם העסקי \ החיצוני  .

 

  • בכדי להקים את מערכת האבטחה (עמידה ויישום תקן 27001) יש לנקוט בטיוב הארגון ולהעביר בתוכו תהליכי בדיקה מורכבים יחסית כגון חשיבה  ומודעות לסיכוני סייבר כמו גם עדכון ההנהלה שברוב המקרים אינה מעורה בבעיות אבטחה ואיומי סייבר .

 

  • יש לבצע סקר סיכונים מעמיק כמו גם מבדקי חדירה או בדיקות חוסן בעברית יפה והעלאה בכתב של מה נעשה ומה צריך להיעשות כדי לקבל מדיניות אבטחת מידע טובה ובטוחה כאמור מפני איומי סייבר.

 

  • איך תקן 27001 יעזור לעסק או לארגון שלך?

  • התקן עושה רושם , אין דרך פשוטה או צנועה לומר \לכתוב את זה  , ארגון או עסק שדואג לאבטחת מידע ברמה הגבוהה ביותר סביר להניח שעושה הכל ברמה הגבוהה ביותר.
  • דרישת סף חובה וראשונית במכרזים שונים מסויימים כגון עבודה עם מוסדות ממשלתיים.
  • כיום התקן  אינו בלתי מושג ויחסית קל לעמוד בו ולקבלו והחברות המובילות והמתקדמות בשוק כבר אימצו אותו ועומדות בו.
  • תקן 27001 מוכיח יכולות פנים ארגוניות של בקרה וניטור על תעבורת מידע שלפעמים רגישה מאוד בחברות גדולות .
  • עמידה בתקן iso 27001 מבהירה ופותרת עמידה באיומי סייבר אבטחת מידע בהווה ובעתיד הקרוב של הארגון או עסק גדול ורציני.
תוייג