דף הבית > תקנים > תקנות הגנת הפרטיות

תקנות הגנת הפרטיות | תקנות ישראליות לאבטחת המידע‎

הצעד הראשון שלך בהגנת הפרטיות

לקבלת מידע טלפוני אודות תקנות הגנת הפרטיות הישראליות – לחצו כאן או התקשרו ל- 03-9550222

 

תקנות הגנת הפרטיות נכנסו לתוקף בישראל 

המגמה העולמית לשיפור שמירת המידע ואבטחתו בתחום הגנת המידע והגנת הפרטיות נוצרה בעיקר עקב חוסר אמון של לקוחות במערכות מחשב והאופן הלקוי בו שמרו ארגונים מידע פרטי של לקוחותיהם.

בעקבות ההתפתחויות הטכנולוגיות בתחום וספקטרום האיומים הרחב, גופים רגולטוריים, לדוגמה הרשות להגנת הפרטיות הגבירה את ההתמקדות במערכות לניהול תקני אבטחת המידע.

 

למאמר המסביר על אופן האכיפה החדש של הרשות להגנת הפרטיות לחצו כאן

 

למאמרים על תקנות הגנת הפרטיות לחצו כאן

 

מהן תקנות הגנת הפרטיות (אבטחת מידע)?

ב-8 במאי 2018, תקנות הגנת הפרטיות (אבטחת מידע) נכנסו בסמיכות לתקנות האירופאיות GDPR ונועדו לייעל את הממשק העסקי אל מול לקוחות האיחוד האירופי והאופן שבו שומרים על פרטיות אזרחי האיחוד. כתוצאה מכניסתן של התקנות, ישנה קפיצת מדרגה ברמת אבטחת המידע האישי בישראל.

אבטחת מידע- הגנה על שלמות המידע ומניעת חשיפה, שימוש או העתקה על ידי גורמים שאינם מורשים.

 

על מי חלות התקנות? 

התקנות חלות על כל בעלי, מנהלי ומחזיקי מאגרי המידע מכל סוג. התקנות מגנות על האזרחים שהמידע האישי אודותיהם קיים במאגר המידע. להלן פירוט על ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרשת בהם:

 

מאגר מידע המנוהל על ידי יחיד

מאגר שמנוהל על ידי מנהל יחיד או תאגיד בבעלות יחיד, ולכל היותר יש שני בעלי הרשאה להשתמש בנתוני המאגר. על המאגר חלה חובה הפחותה ביותר.
רמה זו נותנת פתרון לבעלי עסקים קטנים, אשר ברשותם מידע אישי, שמצד אחד נדרש להגן עליו, אך קיים קושי אמיתי להטיל עליהם חובות אבטחה מוגברות.

 

מאגרים שחלה עליהם רמת האבטחה הבסיסית

כל המאגרים שאינם מנוהלים על ידי יחיד ואינם נכללים כמאגרי מידע שחלים עליהם רמת אבטחת בינונית או גבוהה.

 

מאגרים שחלה עליהם רמת האבטחה הבינונית

מאגר מידע שמכיל מעל ל-10 בעלי הרשאה, כאשר מטרתו היא איסוף מידע לצורך מסירתו לאחר, או שהמאגר בבעלות גוף ציבורי, או מכיל מידע רפואי, מידע גנטי, מידע על הרשעות, מידע פלילי וכל מידע רגיש.

 

מאגרים שחלה עליהם רמת האבטחה הגבוהה

מאגר מידע, לרבות של גוף ציבורי, שמכיל מעל ל-100 בעלי הרשאה, שמטרתו איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש אודות 100,000 אנשים ומעלה.

 

לקבלת מידע טלפוני אודות תקנות הגנת הפרטיות הישראליות – לחצו כאן או התקשרו ל- 03-9550222

 

הדרך לעמידה בתקנות הגנת הפרטיות הישראליות – כיצד ממשיכים מכאן?

לאחר בדיקה יש להתייחס לתקנות הגנת הפרטיות החלות על מאגרי המידע על פי רמת האבטחה הרלוונטית.

מסמך הגדרות המאגר

ראשית יש לכתוב מסמך הגדרות המאגר- המסמך יכיל:

  • תיאור כללי של פעולות הנעשות על המידע במאגר (איסוף ושימוש במידע).
  • תיאור המידע האישי ומטרות השימוש במידע האישי.
  • האם המידע מועבר לחו"ל או נעשות פעולות עיבוד המידע על ידי צד שלישי?
  • לאילו סיכונים עיקריים המידע האישי חשוף? כיצד הארגון יתמודד עם הסיכונים הללו?
  • שמו של מנהל/ת מאגר המידע, של מחזיק/ת המאגר ושל הממונה על אבטחת המידע בו.

את המסמך הנ"ל יש לעדכן אחת לשנה במידה ונעשו שינויים טכנולוגיים, ארגוניים ואם אירע אירוע אבטחה.

 

מינוי ממונה אבטחת המידע בארגון

לפי חוק הגנת הפרטיות, יש למנות ממונה על אבטחת מידע בארגון במידה והארגון מחזיק בחמישה מאגרי מידע, במקרה והגוף הינו גוף ציבורי או בנק, חברת ביטוח, או חברה העוסקת בדירוג או בהערכה של אשראי.

 

כתיבת נוהל אבטחת מידע

בעל מאגר מידע חייב להחזיק מסמך של מבנה מאגר המידע ומערכות המידע בארגון. המסמך יכלול:

  • תשתיות ומערכות חומרה.
  • מערכות התכנה המשמשות להפעלת מאגר המידע, ניהולו, תחזוקתו, תמיכה בפעילותו ולאבטחתו.
  • תכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן החוצה.
  • תרשים המתאר קשרים בין רכיבי המערכת השונים ומיקומם הפיזי של הרכיבים.
  • תאריך העדכון האחרון של המסמך.

פרטי המסמך יימסרו רק לבעלי הרשאה מתאימה ובהיקף הנדרש לצורך ביצוע תפקידם.

 

מיפוי מערכות המאגר וביצוע סקר סיכונים

במאגר מידע בעל רמת אבטחה גבוהה, יש לערוך סקר לאיתור סיכוני אבטחת מידע (סקר סיכונים) ומבדקי חדירות למערכות המאגר אחת ל-18 חודשים לפחות.

 

אבטחת מידע פיזית וסביבתית

התקנה מחייבת לשמור פיזית על תשתיות ומערכות החומרה המשמשות את מאגר המידע, מפני כניסה של עובדים ללא הרשאה מתאימה. במידה ומדובר על מאגר מידע אשר חלה עליו רמת אבטחה בינונית או גבוהה, יש לתעד את הכניסות והיציאות של העובדים באמצעות מצלמות אבטחה, מערכות זיהוי ביומטרי וכו'.

 

תיעוד של אירועי אבטחה

אירוע אבטחה – כל אירוע אשר ישנה פגיעה בשלמות המידע, או שימוש במידע ללא הרשאה מתאימה. במידה וישנו אירוע אבטחה, יש לתעד את האירוע ככל האפשר.

במאגר שחלה עליו רמת אבטחה בינונית על בעל המאגר לקיים דיון אחת לשנה לפחות בנוגע לאירועי האבטחה שהתרחשו, תוך בחינה של הצורך בעדכון הנהלים. אירוע אבטחה ייחשב לחמור במידה ונעשה שימוש בחלק מהותי מהמאגר ללא אישור מתאים מבעל המאגר. במאגר שחלה עליו רמת אבטחה גבוהה, ייערך דיון אחת לרבעון לפחות. אירוע אבטחה ייחשב לחמור במידה ונעשה שימוש במידע ללא הרשאה מתאימה או שנעשתה פגיעה בשלמות המידע במאגר המידע.

 

התקנים ניידים

התקן נייד – מחשב או התקן אחסון המיועד לשימוש נייד, כגון: USB, מחשב נייד, כונן חיצוני, פלאפון ועוד.

קיים סיכון שהמידע מהמאגר עלול לדלוף בעקבות ההתקנים הניידים, זאת בעקבות אפשרות העברתם ממקום למקום. סיכון נוסף הינו הכנסת וירוסים על ידי ההתקנים הניידים למאגר. חשוב לבקר ולהגביל את האפשרות לחיבור ההתקנים למערכות המאגר. במידה ומבוצעת העתקת המידע להתקן, יש להצפין את המידע על ידי שימוש בשיטות הצפנה מקובלות.

 

ניהול מאובטח ומעודכן של מערכות המאגר

על בעל המאגר להפריד בין המערכות המשמשות את המאגר משאר המערכות בארגון. אחת הדרכים הנה התקנת מערכות המשמשות את מאגר המידע על שרת נפרד.

יש לעדכן באופן שוטף את מערכות המאגר, חומרה ותוכנה בהתאם להנחיות היצרן בכדי לנטרל פגיעות פוטנציאליות במערכות.

 

אבטחת תקשורת

במידה ומערכות המאגר מחוברות לרשת האינטרנטית, ישנו סיכון לגישה חיצונית בלתי מורשית, לכן יש לפעול על פי הכללים הבאים:

  • התקנת אמצעי הגנה מפני גישה חיצונית בלתי מורשית, כגון: תכנות אנטי וירוס, Firewall ועוד. את האמצעים הנ"ל יש להטמיע בכל מערכת שיש לה גישה למאגר המידע.
  • במידה ומועבר מידע ממאגר המידע, יש לוודא כי המידע מוצפן על ידי שיטת הצפנה מקובלת.
  • במידה וניתנת גישה מרחוק (לדוגמה, חיבור מהבית) יש להשתמש באמצעי זיהוי מתאים בכדי לגשת למאגר המידע.

במאגרים ברמת אבטחה בינונית וגבוהה יש להשתמש באמצעי פיזי שבשליטתו של בעל ההרשאה של האמצעי, לדוגמה, כרטיס חכם.

 

מיקור חוץ

מתן גישה לגורם חיצוני עלולה ליצור סיכוני אבטחת מידע בארגון, לכן יש לבחון את הסיכונים מראש ולהיערך בהתאם. מהו המידע שהגורם החיצוני רשאי לעבד ולאילו מטרות? לאלו מערכות הוא רשאי לגשת? כיצד יישם את תקנות אבטחת המידע?

 

ביקורות תקופתיות

במאגר מידע שחלה עליו רמת אבטחה בינונית או רמת אבטחה גבוהה, יש לערוך אחת ל-24 חודשים לפחות ביקורת על ידי גורם בעל הכשרה מתאימה בנושא שאינו ממונה על אבטחת המאגר בכדי לוודא את עמידתו בהוראות תקנות הגנת הפרטיות.

 

משך שמירת נתוני אבטחה

הנתונים הנצברים, (כגון: נתוני כניסה ויציאה מהמערכת, זיהוי ואימות משתמשים, הכנסה והוצאת התקנים מהמאגר וכו') צריכים להישמר באופן מאובטח למשך 24 חודשים.

במאגר שחלה עליו רמת אבטחה בינונית או גבוהה, יש לגבות את הנתונים הנשמרים באופן שבו בכל זמן נתון ניתן לשחזר את הנתונים למצבם המקורי.

 

האחריות לאבטחת המידע

על בעל מאגר המידע, המנהל והמחזיק להיות אחראיים על אבטחת המידע במאגר. במידה ומבוצעת פעולה על ידי בעלי האחריות, ישנה דרישה לתעד את ביצועה.

 

רגולציה ותקנים מקבילים

לרשם יש סמכות לפטור מאגרים מחובות אבטחת מידע לפי התקנות, או להטיל על מאגר ספציפי חובות נוספות בהתאם לגודל המאגר, סוג המידע שנמצא בו ועוד.

חברת נקסטפ יצרה את הפתרון המוביל בשוק להטמעת התקנות הישראליות ונמצאת כיום בחוד החנית של הגנת הפרטיות הישראלית. חברתנו מציעה מגוון פתרונות לארגונים קטנים ובינוניים ופתרונות מותאמים לארגוני Enterprise.

חטיבת אבטחת המידע והפרטיות של נקסטפ עומדת בקשר רציף עם משרד המשפטים הישראלי ומכון התקנים הישראלי ומתעדכנת באופן שוטף על כל שינוי שחל בדרישות הרגולטוריות במדינת ישראל.

 

לקבלת מידע טלפוני אודות תקנות הגנת הפרטיות הישראליות – לחצו כאן או התקשרו ל- 03-9550222

 

במידה ואני לא עומד בתקנות הגנת הפרטיות, מהם הסיכונים?

הרשות להגנת הפרטיות קובעת שורה של סנקציות משמעותיות וחמורות, הכוללת הגשת כתבי אישום פליליים, הטלת קנסות מנהליים ואף עונש מאסר.

 

לפרוייקט משולב GDPR ותקנות הגנת הפרטיות לחץ כאן.

 

להחליט כיצד לבצע פרויקט הגנת הפרטיות זה לא פשוט כלל,

אבל להתקשר אלינו לקבלת מידע זה פשוט וקל!!!

 

לקבלת מידע טלפוני אודות תקנות הגנת הפרטיות הישראליות – לחצו כאן או התקשרו ל- 03-9550222

 

יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.

הצעדים הראשונים לעמידה בתקנות

  • קבעו עכשיו מבדק חשיפה לתקנות
  • נבצע אצלכם בארגון מבדק חשיפה ביחד - ללא התחייבות!
  • תקבלו מאיתנו הצעה תכנית עבודה ולעמידה בפערי הרגולציה

היתרונות שלנו

ליווי מקצועי של יועץ רגולציה ויועץ משפטי ומנהל פרויקט.

צוות הפרויקט יכלול יועץ משפטי ויועץ רגולציה עם הבנה עמוקה באבטחת מידע, ומנהל פרויקט האחראי על שביעות רצון הלקוח ועמידה בלו"ז, דבר שיבטיח עמידה בכל רובדי הרגולציה.

אצלנו תקבלו רק מה שאתם צריכים! ולא תישארו עם הסמכות מיותרות.

אנחנו לעולם לא ננסה להעמיס עליכם בתקנים מיותרים ומבדקים שונים במטרה לעמוד בתקנות, אנו כבר הוכחנו שאפשר לסיים בהצלחה פרויקטים ללא עלויות גבוהות וקבועות!

אחוזי הצלחה גבוהים בעקבות בניית תכנית עבודה מסודרת

הרגולטור סומך על מי שמציג תכנית עבודה מסודרת, וביחס לפערים הקיימים אצלו בארגון, גם מבצע את תכנית העבודה. אנחנו נלווה אתכם בכל שלב ושלב עד שתעמדו בתקנות!

מעל 10 שנות נסיון בתקני אבטחת מידע והגנת הפרטיות

אנו מלווים מאות ארגונים וחברות לתקני אבטחת מידע והגנת הפרטיות, לא צריך להמציא את הגלגל מחדש בכל פרויקט, יש לנו מתודולוגיית עבודה סדורה שתבטיח לכם פרויקט ברור ופשוט.

צרו איתנו קשר לקבלת מידע ללא התחייבות לעמידה בתקנות

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תהליך הטמעת הרגולציה הישראלית

  1. 1

    מיפוי זרימת המידע בארגון

    פגישת היכרות בו נמפה את הסיכונים ואת המידע הקיים בארגון. נבצע אצלכם מבדק חשיפה קצר ונבין האם התקנות חלות עליכם ובאיזה רמה.
  2. 2

    ביצוע סקר חשיפה משפטי

    יועץ משפטי יעבור על סעיפי הרגולציה בהתאם לתהליכי העבודה שלכם וימפה את החשיפות בכל שלב ושלב.
  3. 3

    ביצוע סקר פערים טכנולוגי ותהליכי

    יועצי הרגולציה הטכנולוגים ימפו את מערכות המידע ואת תהליכי העבודה בארגון.
  4. 4

    איפיון תכנית עבודה לטיפול בפערים

    נאפיין תכנית מותאמת עבורכם עם אבני דרך לטיפול בפערים.
  5. 5

    יישום תכנית העבודה

    נכתוב נהלים, נייצר את מסמך הגדרות המאגר, הגדרות מבנה המאגר, נדריך, נבצע סקרים ובקרות, נטפל בנושאים טכנולוגיים ונעלה על השולחן את כל הנושאים העומדים בפניכם כדי לעמוד בתקנות.
  6. 6

    מיסוד מערך בקרה ארגוני

    על מנת שתוכלו להמשיך ולעמוד ברגולציה, נבנה עבורכם מערך בקרה.
  7. 7

    הארגון שלכם עומד בדרישות הרגולציה הישראלית

    מזל טוב! אתם עובדים לפי התקנות הישראליות!

לקוחות מספרים

היועץ של חברת Nextep בתהליך הטמעת התקן היה מסור ומקצועי, תהליכי העבודה תרמו רבות לשיפור והקמת האיכות בחברה.
EMC² Israel | חברת פיתוח תוכנה שנרכשה לאחרונה ע"י הענקית DELL
תהליכי ההטמעה של חברת Nextep בוצעו בצורה מקצועית וברורה, התקשורת הייתה מצוינת ונעימה. הארגון הגיע לתוצאות הרצויות.
Perrigo | יצרנית התרופות מהגדולות בעולם
חברת Nextep תורמת רבות לתחזוקה השוטפת של התקנים בארגון, ובעיקר לניהול הבטיחות במפעל הדגל שלנו בצריפין. ביחד עם Nextep הורדנו את כמות הסיכונים באופן משמעותי.
צינורות המזרח התיכון | החברה הותיקה והגדולה בישראל לייצור צינורות פלדה

צרו איתנו קשר לקבלת מידע ללא התחייבות לעמידה בתקנות

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תקנים נוספים בתחום

ISO 27001

תקן לניהול אבטחת המידע
תקן ISO 27001 הוא תקן לניהול אבטחת מידע בארגון, מטרתו לוודא את שמירתו וניהלו התקין של המידע בארגון. כל ארגון מבוסס על המידע ונתונים, התקן מאפשר לוודא ע"י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת.

GDPR

רגולציית הגנת הפרטיות האירופאית
GDPR - General Data Protection Regulation, הינו קודקס הוראות מחייבות שנבנו על מנת להגן על אזרחי האיחוד האירופי בכל הקשור לעיבוד וחשיפה של מידע הקשור לזהותם.

ISO 27799

תקן לניהול אבטחת המידע הרפואי
תקן ISO 27799, שפורסם בסוף שנת 2010 ומבוסס על תקן אבטחת מידע הכללי ISO 27001, הינו תקן בינלאומי לאבטחת מערכות מידע רפואי המחייב את ארגוני הבריאות בישראל.

HIPAA

רגולציה אירופאית להגנה על מידע רפואי
רגולציית HIPAA חלה על גופים בתחום הבריאות והשותפים העסקיים או הספקים שלהם, כגון ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.

ISO 27018

תקן לניהול אבטחת המידע בענן
תקן 27018 ISO לניהול אבטחת מידע בענן הינו תקן הנחשב כהרחבה לתקן 27001 ISO, ונחשב ליוקרתי בתעשיות ההייטק והתוכנה.