אבטחת מידע הוא אחד הנושאים הערים ביותר בימינו, בעידן בו הפרטים האישיים שלנו נמצאים על מערכות טכנולוגיות שונות אליהן ניתן לפרוץ בקלות, או לגלות לצערנו שהגורם שאסף מאיתנו את הפרטים עושה בהם שימוש שלילי. כדי להלחם בתופעה, נכנסו לתוקף בשנת 2018 תקנות הגנת הפרטיות ואבטחת המידע, המפרטות נהלים שונים אותם כל גורם שאוסף ומעבד מידע אישי חייב לבצע ולעמוד בהן.
מהן החובות החלות על מאגרי המידע על פי תקנות הגנת הפרטיות
תקנות הגנת הפרטיות מגדירות כמה סוגים של מאגרי מידע; מאגרים המנוהלים על ידי אדם יחיד, מאגרים בעלי רמת אבטחה בסיסית, בינונית או גבוהה. על כל אחד מהסוגים (פרט לאלו המנוהלים על ידי אדם יחיד), חלות תקנות כגון:
- מסמך הגדרות המאגר – בעלי המאגר מחויבים ליצור מסמך הגדרות ובו תיאור כללי של כל פעולות האיסוף ועיבוד המידע, מטרות השימוש באותו מידע, סוגי המידע הנאספים, פרטים נוספים בנוגע לשימוש במידע מחוץ לישראל, מיהו מנהל המאגר והממונה על אבטחת המידע, ועוד.
- אבטחת המאגר – מאגר המידע יהיה חייב להישמר מכל משמר, במקום מוגן שרק בעלי הרשאות יוכלו להיכנס אליו, לצפות בו ולעשות שימוש בנתונים שהוא מכיל. מנהל המאגר ינהל רישום ומעקב אחר בעלי ההרשאות, ובעלי תפקידים חדשים במקום העבודה יתווספו למאגר בהתאם לרגישות המידע המפורט בו.
- מיפוי מערכות – האמון על המאגר יבנה רשימה מעודכנת המפרטת את כל רכיבי מערכות המחשוב הקשורות בדרך זו או אחרת למאגר המידע, זו תפרט מערכות חומרה, תוכנות המפורטות בתקנות, מבנה הרשת, ועוד.
- התקנים ניידים – מאגר המידע יימצא על גבי התקנים נייחים. לפטופים, כוננים ניידים ומכשירי טלפון ניידים לא יכילו מידע רגיש מסוג זה.
- מיקור חוץ – במידה ועיבוד המידע מתבצע על ידי צד ג', יש לבחון היטב את הסיכונים הקיימים בתחום אבטחת המידע מולו; לקבוע על פי חוזה הוראות מפורשות העוסקות במטרות השימוש במידע, משך ההתקשרות עם הגורם המעבד, כיצד המידע יוחזר בסיום החוזה, סוגי העיבוד השונים ועוד.
- אבטחת התקשורת – ייתכן והמאגר יהיה מחובר לאינטרנט. במידה וכך הדבר, על בעל המאגר להתקין אמצעי הגנה מפני חדירה בלתי מורשית למאגר, שעלולה לגרור לגניבה ושימוש לא סביר במידע הרגיש שהוא מכיל.
נעים מאוד, הממונה על אבטחת המידע
תקנות הגנת הפרטיות מחייבות את בעלי מאגרי המידע בחברה המחזיקה חמישה מאגרי מידע לפחות, למנות אדם מתוך החברה לתפקיד הממונה על אבטחת המידע. עליו ליצור נוהל אבטחת מידע ותכנית אסטרטגית לבקרה על העמידה בתקנות באופן שוטף, תוך שהוא כפוך למנהל המאגר הפעיל.
צעד נוסף שמומלץ לבצע בכדי לוודא שהארגון שלכם אכן עומד בתקנות, הוא לפנות ליועצים שיעמדו לצדכם באופן שוטף, במטרה להביא אתכם לנקודה שבה החברה עולה בקנה אחד עם תקנות הגנת הפרטיות – זכרו שמדובר בסופו של דבר בחקיקה של ממש ולא בהמלצה, כך שאי עמידה בהן תגרור לענישה שאינה מתפשרת.
