מסמך זרקור לפעולות אכיפה בתחום אבטחת המידע ודגשים להתנהלות נכונה – רשות הגנת הפרטיות:

הרשות להגנת הפרטיות הוציאה מסמך המפרט פעולות אכיפה בתחום אבטחת המידע שבוצעו בשנה האחרונה וכאלה שנמצאים בהליכים כעת. במסמך, הרשות מפרטת עבור כל מקרה ומקרה נקודות חשובות ודגשים מהם ניתן ללמוד על התנהלות נכונה בהקשר של תקנות הגנת הפרטיות (אבטחת מידע).


תקנות הגנת הפרטיות (אבטחת מידע) חלות על כלל מגזרי המשק בישראל, פרטי וציבורי כאחד, וקובעות עקרונות ודרישות אבטחת מידע ברורות,בהתאם לרגישות והיקף המידע האישי שמנוהל או מוחזק על ידם, במטרה להגן על זכותם לפרטיות של אלו שהמידע אודותיהם נמצא במאגר המידע. את הדגשים המצוינים במסמך זה צריך להכיר כל גורם במשק, המנהל או מחזיק במידע אישי על לקוחות, מטופלים, עובדים, ילדים וכדומה.


לנוחיותכם, ריכזנו עבורכם את דגשי רשות הגנת הפרטיות בצורה מובהרת ומסודרת:

  • בכל מקרה של אירוע אבטחה חמור, או חשד לאירוע כזה, יש לדווח על כך לרשות להגנת הפרטיות באופן מידי. על כל ארגון לקבוע מדיניות ולנסח נהלים לאבטחת המידע בהתאם לדרישות תקנות הגנת הפרטיות (אבטחת מידע), ולוודא כי הארגון פועל לפיהם.

  • בעלי מאגרי מידע המסווגים על פי התקנות ברמת אבטחה גבוהה, מחויבים לבצע סקר סיכוני אבטחת מידע ומבדקי חדירות לאתר ומערכות המאגר עוד טרם שילובו של המידע במערכות.

  • בכל פעם שמבוצע סקר סיכונים יש לוודא כי הליקויים שאותרו במסגרתו תוקנו.

  • על כל ארגון לעשות שימוש במנגנוני אימות ובקרת גישה חזקים לשם אבטחת הגישה למידע, הכוללים הגדרת מנגנוני הזדהות חזקים בהתאם לאופי המאגר ורגישות המידע בו, תוך התייחסות למדיניות סיסמאות ומורכבותן, מנגנון אימות דו שלבי ועוד.

  • יש להגדיר הרשאות גישה למערכות המידע בהן משתמש הארגון ולנהל באופן תדיר רשימה מעודכנת של מורשי הגישה אל המערכות השונות. כמו כן, יש לעשות שימוש במנגנון תיעוד שיאפשר ביקורת על הגישה למאגר.

  • כדי להפחית את תדירות אירועי האבטחה, על ארגונים לפעול להגברת מודעות העובדים לסיכוני האבטחה הכרוכים בגלישה פרטית באינטרנט באמצעות מחשבי הארגון.

  • יש להתייחס לקיום מתקפות דיוג (Phishing)המכילות הודעות עם קישורים וצרופות זדוניות.

  • יש למנוע התקנת תוכנות או חיבור של אמצעים נתיקים למחשב ללא אישור.

  • כמו כן, יש ליישם אמצעים טכנולוגים לאבטחת מערכות המחשוב ולהבטיח כי כלי אבטחה אלה עוברים עדכון והליכי טיוב באופן תדיר.

  • הליכי הבקרה ואבטחת המידע תקפים גם לגבי מכשירי טלפון אישיים, בהם עובדי הארגון משתמשים לצורך עיבוד וניהול מידע אישי. יש להקפיד לבצע את הליכי הבקרה ואבטחת המידע עוד בטרם תחילת השימוש במכשירים הניידים. על הארגון לקבוע את אופן ניהול השימוש והשמירה על המכשיר ועל המידע האישי בו. יש להנהיג נוהל נעילת מכשירים בסיסמאות, ניהול מאובטח ובקרה מרחוק.

  • במידה ומדובר בארגון הנותן שירות מקוון באינטרנט או באפליקציה, יש לוודא כי האתר בו מונגש המידע האישי מאובטח כראוי וכי הוא פותח בהתאם לכללי הפיתוח המאובטח.

  • "כללי הפיתוח המאובטח" הם סט של מתודות ודרכים לפיתוח תוכנה באופן בטוח המשלב את אבטחת המידע כחלק אינטגרלי בפיתוח.

  • מטרתם למנוע פגיעות שעשויות לאפשר חדירה למערכות הארגון ודלף מידע.

  • במידה והארגון עושה שימוש במערכות מידע המחוברות לרשת האינטרנט, מומלץ ליישם תפיסת "הגנה לעומק" (Defense in depth) ולהתקין אמצעי הגנה וניטור מתאימים. דוגמאות לאמצעי הגנה:

  • פלטפורמה לזיהוי ותגובה (IDS/IPS) והגנה רב שלבית (EDR).

  • אנטי וירוס דור חדש (Next generation AV) לתחנות הקצה.

  • שרתים למניעת חדירה לא מורשית שעשויה לגרום לנזק או שיבוש למערכות.

  • לפני מסירת מידע ללקוח כחלק ממתן שירות, יש לבצע זיהוי וודאי של מבקש המידע ולא למסור מידע לגבי אדם לגורמים אחרים ללא הסכמתו המפורשת. זיהוי מבקש המידע מתבצע על ידי שאלות זיהוי הכוללות פרטים אישיים הידועים רק למבקש המידע או שנמצאים בשליטתו הבלעדית.

  • בתהליך ההרשמה לשירותים דיגיטליים מומלץ ליישם מנגנון הזדהות הכולל שני פרמטרים, כאשר אחד מהם לפחות נמצא בשליטתו הבלעדית של מבקש השירות וידוע רק לו. אופן הזדהות זה מצמצם את האפשרויות להתחזות ולגישה בלא הרשאה למידע.

  • השימוש במידע אישי של אדם ללא הסכמתו, מול שירות מקוון כלשהו (ממשלתי או אחר) הינו אסור. אין לעשות שימוש במידע אישי אודות אחרים שלא בהסכמתם.

  • השימוש בכל מידע אישי שנאסף או מוחזק אודות אנשים מותר אך ורק למטרה המקורית לשמה נאסף.

  • בעת מתן גישה למידע אישי רגיש יש להקפיד ולבצע זיהוי באמצעי פיזי נוסף למשתמשים המתחברים מרחוק לרשת ארגונית.

הרשות הדגישה בעבר את התועלת במינוי ממונה הגנת הפרטיות (DPO), שבין יתר תפקידיו, הינו הגורם המתאים והיעיל לבחינת הצעדים הננקטים בארגון למזעור הסיכון לפגיעה בפרטיות ולהתאמת נהלי העבודה לדגשים המצוינים לעיל.


חברתנו הינה חברת עורכי דין טכנולוגיים העוסקת מזה שנים במתן שירותי ממונה הגנת הפרטיות (DPO) בדגש על רגולציית GDPR, רגולציית CCPA ודיני הגנת הפרטיות הישראלית. בהתאם לכלל הדגשים המצויים במסמך הרשות אנו עושים הכל כדי שתהיו מוגנים משפטית וטכנולוגית.



מקור

15 צפיות