תקנות הגנת הפרטיות, GDPR והכנת הארגון
תחום המחשוב והעולם הדיגיטלי שאנו מכירים השתנה בשנים האחרונות באופן משמעותי ועבר טרנפורמציה מטורפת החל מתשתיות המחשוב הרגילות ועד לאופן שבו אנו עובדים, ישנם גורמים רבים לשינויים אשר נובעים מאימוץ טכנולוגיות חדשות, הקמת מערכות מתקדמות לעיבוד מידע, חידושים שמגיעים מתוך משתמשי קצה, דרישה לניתוח מידע מהיר ועוד שינויים רבים.
השינוי בתחום המחשוב והעולם הדיגיטלי ימשיך להתפתח גם בשנים הקרובות באותו קצב ואולי מהיר ממה שחווינו עד כה וניתן לומר שהטרנספורמציה הדיגיטלית עדיין לא בשיאה ונמשיך להרגיש אותה בכל שלב ושלב, החל מתרבות ארגונית דרך מודעות משתמשים ועד לתפיסה דיגיטלית חדשנית יותר.
בעקבות כל אותם שינויים דיגיטליים עלה צורך מהותי ותפיסה חדשה בתחום הסייבר ואבטחת המידע לארגון וליחיד, הצורך יתבטא וישפיע עלינו ביומיום ועל הפרטיות של כולנו בעתיד הקרוב, ומה זה אומר? ברבעון השני של שנת 2017 יצא באירופה ובפרט בישראל תקנות חדשות של הגנת הפרטיות (אבטחת מידע) שמכילות חוקים מחמירים להגנת המידע.
תקנות אלה ייכנסו לתוקף במאי 2018 ויהיו לך השלכות רבות בגלל שכל אותן תקנות מחייבות את הארגונים לאמץ שינויים מרחיקי לכת במערכות המידע הארגוניות ולבצע שינויים בתהליכי העבודה שלהן בזמן קצר יחסי וארגון שלא יעמוד בתנאים הרגולטורים החדשים לא יוכל להתנהל מול ארגונים מסוימים בישראל או אירופה ועלול לקבל קנסות כבדים.
הרפורמה החדשה של התקנות מחליפה את התקנות שנחקקו בישראל בשנת 1986 ומחליף את התקנות שנחקקו באירופה בשנת 1995 ויציבו רף חדש לאבטחת מידע בארגון. לדוגמא, במקרים מסוימים אירועי אבטחת מידע וסייבר אשר קרו במאגרי מידע יצריכו דיווח לגורמים חיצונים נוספים.
התקנות החדשות של הגנת הפרטיות (אבטחת מידע) נוגעות לכל אחד מאיתנו החל מיחיד, דרך ארגונים ועד משתמשי קצה שנמצאים במאגרי מידע ולכן כל אותן תקנות וחוקים חלים על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע כלשהוא בישראל.
תקנות הגנת הפרטיות לאבטחת מאגרי מידע
במרץ האחרון אישרה כנסת ישראל את חוק הגנת הפרטיות. מתוך אתר הכנסת:
ועדת החוקה אישרה את תקנות הגנת הפרטיות לאבטחת מאגרי מידע
מי כפוף לתקנות? ארגונים, חברות, גופים ציבוריים, יחידים וכל מי שמנהל או מחזיק מאגר מידע בישראל אשר כפופים לתקנות הגנת הפרטיות ולכן יחויובו בשינויים ונוהלי אבטחת מידע בכפוף לתקנות וכן התאמה מול הדריות החדשות.
מאגרי מידע לפי אבטחת מידע נדרשת – תקנות הגדת הפרטיות מחלקות את החוקים הנדרשים לפי ארבע קבוצות:
מאגר מידע המנוהל על-ידי יחיד – מאגר מידע שמנהל יחיד שרשות הגישה אליו היא לא יותר משלושה אנשים ומטרתו אינה איסוף מידע לצורך מסירתו לאחר, אינו מכיל מידע על מעל 10,000 אנשים ואינו כולל מידע הכפוף לחובת סודיות מקצועית.
מאגרי מידע ברמת אבטחה בסיסית – מאגר מידע שאינו מנוהל בידי יחיד ואינם באים בגדר הקבוצות הבאות – כלומר אינם נדרשים לרמת אבטחה בינונית או גבוהה.
מאגר מידע ברמת אבטחה בינונית – מאגר מידע שמורשי הגישה אליו גדול מעשרה, ומטרתו היא איסוף מידע לצורך מסירתו לאחר, או שהוא בבעלות גוף ציבורי או שיש בו מידע רגיש. מידע רגיש אשר כולל בין היתר מידע רפואי, מידע גנטי וכו’
מאגרי מידע ברמת אבטחה גבוהה – מאגר מידע של גוף ציבורי, שמטרתו לאסוף מידע לצורך מסירתו לאחר ויש בו מידע של 100,000 אנשים ומעלה או שמספר מורשי הגישה למידע עולה על 1000 ומכיל מידע רגיש
תקנות החלות על כל מאגרי המידע
תקנות וחובות אלה חלות על כל מאגרי המידע לא כולל מאגרי מידע של יחיד, עיקרי החובות הם:
- אבטחת תקשורת – במידה ומערכות המאגר מחוברות לאינטרנט יש להתקין אמצעי הגנה מתאימים מפני חדירה בלתי מורשית ומפני נוזקות.
- אבטחה פיזית- מערכות המאגר יישמרו במקום מוגן, התואם את אופי פעילות המאגר ורגישות המידע בו.
- תיעוד אירועי אבטחה – בעל מאגר מידע יתעד את כל אירועי האבטחה בקשר עם מאגר המידע.
- מיפוי מערכות – יוחזק מסמך מעודכן של מבנה המאגר אשר יכלול, בין היתר, פרטים אודות תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע, מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהול המאגר ולתחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו, עריכת סקר לאיתור סיכוני אבטחת מידע ומבדקי חדירות למערכות המאגר, ועוד.
- ממונה על אבטחת מידע – החוק מחייב למנות ממונה על אבטחת מידע בגופים ציבוריים, חברות פיננסיות או בחברות המחזיקות בחמישה מאגרי מידע החייבים ברישום.
- התקנים ניידים – בעל מאגר המידע יגביל או ימנע אפשרות לחיבור התקנים ניידים למערכות המאגר או ינקוט אמצעי הגנה בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד.
- מיקור חוץ – התקנות קובעת הוראות לעניין התקשרויות מול גורמים חיצוניים שונים לצורך קבלת שירות, הכרוך במתן גישה למאגר המידע.
- נוהל אבטחה – ינוסח מסמך נוהל אבטחת מידע אשר יכלול, בין היתר, הוראות בעניין אבטחה פיזית וסביבתית של אתרי המאגר, הרשאות גישה למאגר, תיאור אמצעי אבטחה על מערכות המאגר, הוראות למורשי הגישה, סיכונים שחשוף להם המאגר ואופן הטיפול בהם, אופן התמודדות עם אירועי אבטחת מידע, ועוד.
- זהויות וגישה – על בעל המאגר לקלוט לעבודה הקשורה למאגר עובדים שרמת סיווגם תואמת לרגישות המאגר.
- אבטחה פיזית וסביבתית. חובה לתעד את הכניסות והיציאות ממתקני המאגר, ולתעד הכנסה והוצאה של ציוד על מנת לבצע מעקב ובקרה במקרה של כשל אבטחתי.
- הרחבת נוהל האבטחה. עליו לכלול בין היתר התייחסות לאמצעי הזיהוי במאגר, לגיבוי המידע, לבקרת הגישה למערכות ולעריכת ביקורות תקופתיות.
- אבטחת מידע בניהול כח אדם. חובה על בעל המאגר לבצע הדרכה תקופתית אחת לשנה למורשי הגישה למאגר בנוגע למסמך הגדרות המאגר, נוהל האבטחה והוראות אבטחת המידע לפי התקנות והחוק.
- זיהוי ואימות. בעת כניסה למאגר יזוהה בעל הרשאת הגישה באמצעות אמצעי פיסי כדוגמת כרטיס חכם, וכן ייקבע בנוהל אופן הזיהוי, תדירות החלפת סיסמאות ואופן הטיפול בתקלות בנושא הרשאות גישה.
- בקרה ותיעוד גישה. יש לנהל מנגנון תיעוד אוטומטי שיאפשר בקרה וביקורת על הגישה למערכות המאגר. התיעוד יישמר למשך שנתיים לפחות.
- ביקורות תקופתיות. לכל הפחות אחת ל-24 חודשים, יש לבצע ביקורת פנימית או חיצונית שתכלול דו"ח על התאמת אמצעי האבטחה לנוהל האבטחה והתקנות, זיהוי ליקויים והצעת תיקונים לליקויים אלו. יש לדון בדו"ח הביקורת ולבחון את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה.
- גיבוי ושחזור. יש לקבוע נהלי עבודה לגיבוי ושחזור נתונים.
- אירועי אבטחה. לפחות אחת לשנה יש לקיים דיון בנושא אירועי אבטחה ולבחון אם יש לעדכן את נוהל האבטחה.
תקנות החלות על מאגרים ברמת אבטחה גבוהה
- ביצוע סקר סיכונים
- מבדקי חדירות
- אירועי אבטחה
- גיבוי ושחזור
- הודעות על אירועי אבטחה
תקנות החלות על מאגרים ברמת אבטחה בינונית
- אבטחה פיזית וסביבתית
- הרחבת נוהל האבטחה
- אבטחת מידע בניהול כח אדם
- זיהוי ואימות
- בקרה ותיעוד גישה
- ביקורות תקופתיות
- גיבוי ושחזור
- אירועי אבטחה
- הודעות על אירועי אבטחה
תקנות החלות על מאגרים ברמת אבטחה בסיסית
- בחינת נוהל האבטחה
- אבטחת מידע בניהול כח אדם
- משך שמירת מידע אודות יישום התקנות
חוק הגנת המידע האירופאי GDPR
חוק General Data Protection Regulation הוא חוק חדש של האיחוד האירופאי אשר קובע תקנות וכללים לשמירה על פרטיות המידע, החוק יכנס לתוקף במאי 2018.
מי כפוף לתקנות?
התקנות החדשת חלות על כל מי שנמצא באירפוה וגם חברות אשר מציעות שירות דיגיטלי ואשר אוספות מידע התנהגותי ופיננסי על תושבי האיחוד. למשל:
- שירותי דיוור, גיוס והשמה
- אפליקציות מסחר אלקטרוני
- שיווק דיגיטלי
- שירותי SaaS
- שירותים המספקים ניתוח על מידע אישי
שלושת הדברים החשובים שצריך לדעת על חוק הגנת המידע האירופי החדש
- חל על חברות ישראליות הפועלות בשוק האירופי
- כולל דרישות חדשות שצריך להיערך להן עד מאי 2018
- הפרה של החוק עלולה לעלות בקנסות של מיליוני אירו ללא בית משפט
החוק האירופי החדש יחייב, בין היתר, ליישם את ההוראות הבאות:
- מדיניות הפרטיות תצטרך להשתנות באופן דרמטי
- מצריך במינוי של קצין הגנת מידע
- מצריך מינוי נציג של החברה בשטחי האיחוד האירופי
- משלב שיקולים של הגנת מידע לתוך תכנון מערכות ושירותים חדשים
- מצריך לדווח לרשויות האיחוד האירופי על פריצות למידע
- מצריך לספק מנגנון פשוט לביטול ההסכמה לשימוש במידע
- מצריך תיעוד מפורט של תצורת עיבוד המידע
מידע נוסף בקישור הבא Data protection | European Commission (europa.eu)
איך מכינים את הארגון לקראת התקנות החדשות
חוק הגנת הפרטיות וכן חוק GDPR יקרה בעוד פחות משנה ולכן על ארגונים להיערך לקראת השינוי, ישנם ארגונים שכבר החלו במשימה אל עדיין המון ארגונים לא אימצו את המהלך. לפי דוח של Gartner פחות מ50% מכלל הארגונים יהיו מוכנים עד למאי 2018 עם המערכות, המדיניות והכלים הנדרשים.
הדרישות, הצרכים והחוקים אשר מונים מעל 160 דרישות מאפשרות לענן של Microsoft לתת את המענה לחוקים החדשים, למשל: התראה על פריצה תוך 72 שעות מרגע הפריצה עם מידע לגבי הפריצה.
בפברואר האחרון Microsoft הודיעה רשמית שהענן מותאם לחוקים החדשים שייכנסו לתוקף במאי 2018 על גבי מערכות Office365, Azure, Dynamic CRM כולל כלל היכולות של Mobility & Security, WIndows 10 וכו’.
החוקים החדשים מציבים תנאים חדשים כגון:
- גילוי נתונים הכפופים לחוקים
- ניהול אופן השימוש בנתונים אישיים וגישה אליהם
- הגנה על הנתונים ובקשה שוטפת
- דיווח על שימוש בנתונים, כולל תוכניות לניהול בקשות נתונים
- דיווח על פריצה למאגרי נתונים
היכולות הקיימות של Enterprise Mobility & Security יחד עם Windows 10 ויחד עם Office 365 Security Compliance מאפשרות כיום לתת מענה לכלל החוקים והתקנות, בנוסף לזה בקרוב ייצא פורטל Risk and Compliance לטובת GDPR המאפשר לתת בקרות נוספות אודות מצב הארגון מול GDPR.
בפורטל Trust Center ישנו מידע ייעודי לגבי הכנת GDPR מול החוקים החדשים על כלל שירותי הענן הקיימים כיום ואיך כל שירות עונה על צורך ודרישה. קישור למידע Accelerate GDPR compliance with the Microsoft Cloud.
בכדי להכין את הארגון ישנם מספר שלבים הכוללים בין היתר:
- מיפוי הארגון ודרישות מול החוק הנדרש
- איפיון תוכנית עבודה ומשימות להטמעת הטכנולוגיות הנדרשות
- יישום הטכנולוגיות וביצוע בדיקות נדרשות
לסיכום
חוק הגנת הפרטיות המקומי וחוק GDRP האירופאי מציבים רף חדש של תקנות ודרישה מארגונים לעמוד בתנאי סף של אבטחת מידע, ארגונים שלא יעמדו בדרישות ייקנסו!
הענן של Microsoft מותאם כיום לכל אותם חוקים כולל החוק האירופאי המחמיר ומאפשר להכין את הארגון לקראת מאי 2018.
עוד על חוק הגנת הפרטיות וחוק GDPR ואיך ניתן להכין את הארגון במאמרים הבאים.
ישנם מערכות רבות שעונות על כל אותן דרישות אבל זה מצריך בדיקה של איזה חוקים וחובות חלים על הארגון שלך.
תודה על המאמר אבל איזה מערכות יכולות לענות על הדרישות?
מאמר מעולה