דף הבית > יישום והטמעת תקנים > תקנות הגנת הפרטיות

תקנות הגנת הפרטיות | תקנות ישראליות לאבטחת המידע‎

הצעד הראשון שלך בהגנת הפרטיות

השאירו פרטים כאן לקבלת מידע טלפוני אודות תקנות הגנת הפרטיות הישראליות או התקשרו ל- 03-9550222

 

מהן תקנות הגנת הפרטיות אבטחת מידע?

ב-8 במאי 2018, תקנות הגנת הפרטיות (אבטחת מידע) נכנסו בסמיכות לתקנות האירופאיות GDPR ונועדו לייעל את הממשק העסקי אל מול לקוחות האיחוד האירופי והאופן שבו שומרים על פרטיות אזרחי האיחוד.

כתוצאה מכניסתן של התקנות, ישנה קפיצת מדרגה ברמת אבטחת המידע האישי בישראל.

אבטחת מידע – הגנה על שלמות המידע ומניעת חשיפה, שימוש או העתקה על ידי גורמים שאינם מורשים.

לכל המאמרים על תקנות הגנת הפרטיות

 

כל מה שצריך לדעת אודות רגולציית הגנת הפרטיות האירופאית GDPR

 

כל מה שצריך לדעת על פרויקט GDPR עם המומחים של Nextep

 

הצעד הראשון שלך לעמידה ברגולציה

חברת נקסטפ יצרה את הפתרון המוביל בשוק להטמעת התקנות הישראליות ונמצאת כיום בחוד החנית של הגנת הפרטיות הישראלית. חברתנו מציעה מגוון פתרונות לארגונים קטנים ובינוניים ופתרונות מותאמים לארגוני Enterprise.

חטיבת אבטחת המידע והפרטיות של נקסטפ עומדת בקשר רציף עם משרד המשפטים הישראלי ומכון התקנים הישראלי ומתעדכנת באופן שוטף על כל שינוי שחל בדרישות הרגולטוריות במדינת ישראל.

כל מה שצריך לדעת בכדי לאבטח את המידע בארגון

 

על מי חלות התקנות? 

התקנות חלות על כל בעלי, מנהלי ומחזיקי מאגרי המידע מכל סוג.

התקנות מגנות על האזרחים שהמידע האישי אודותיהם קיים במאגר המידע.

להלן פירוט על ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרשת בהם:

 

מאגר מידע המנוהל על ידי יחיד

מאגר שמנוהל על ידי מנהל יחיד או תאגיד בבעלות יחיד, ולכל היותר יש שני בעלי הרשאה להשתמש בנתוני המאגר. על המאגר חלה חובה הפחותה ביותר.
רמה זו נותנת פתרון לבעלי עסקים קטנים, אשר ברשותם מידע אישי, שמצד אחד נדרש להגן עליו, אך קיים קושי אמיתי להטיל עליהם חובות אבטחה מוגברות.

 

מאגרים שחלה עליהם רמת האבטחה הבסיסית

כל המאגרים שאינם מנוהלים על ידי יחיד ואינם נכללים כמאגרי מידע שחלים עליהם רמת אבטחת בינונית או גבוהה.

 

מאגרים שחלה עליהם רמת האבטחה הבינונית

מאגר מידע שמכיל מעל ל-10 בעלי הרשאה, כאשר מטרתו היא איסוף מידע לצורך מסירתו לאחר, או שהמאגר בבעלות גוף ציבורי, או מכיל מידע רפואי, מידע גנטי, מידע על הרשעות, מידע פלילי וכל מידע רגיש.

 

מאגרים שחלה עליהם רמת האבטחה הגבוהה

מאגר מידע, לרבות של גוף ציבורי, שמכיל מעל ל-100 בעלי הרשאה, שמטרתו איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש אודות 100,000 אנשים ומעלה.

לסיווגי המאגרים השונים קיימים חריגים והתייחסויות קונקרטיות בחקיקה ובפרסומי רשות הגנת הפרטיות. טרם כניסתכם לכל התהליך, יש לשים לב שמשפטן מוסמך לתחום מבצע בחינה מסודרת של החברה ופעילותה על מנת לוודא שרמת אבטחת המאגר זוהתה בצורה מסודרת: עומדת בדרישות הדין מחד גיסא, אך אינה מחמירה מדי עם החברה מאידך גיסא.

במידה ואני לא עומד בתקנות הגנת הפרטיות, מהם הסיכונים?

הרשות להגנת הפרטיות קובעת שורה של סנקציות משמעותיות וחמורות, הכוללת הגשת כתבי אישום פליליים, הטלת קנסות מנהליים ואף עונש מאסר.

כל מה שצריך לדעת על החובות החלות על מחזיקי מאגרי מידע

השארת פרטים - ISO 27001
מעוניינים בשיחת ייעוץ עם מומחה בתחום?

מבנה הפרויקט:

תהליך לעמידה בתקנות הגנת הפרטיות עם חברת Nextep

 

הדרך לעמידה בתקנות הגנת הפרטיות הישראליות – כיצד ממשיכים מכאן?

לאחר בדיקה יש להתייחס לתקנות הגנת הפרטיות החלות על מאגרי המידע על פי רמת האבטחה הרלוונטית.

 

מסמך הגדרות המאגר

ראשית יש לכתוב מסמך הגדרות המאגר- המסמך יכיל בין היתר התייחסות לסוגיות הבאות:

  • תיאור כללי של פעולות הנעשות על המידע במאגר (איסוף ושימוש במידע).
  • תיאור המידע האישי ומטרות השימוש במידע האישי.
  • האם המידע מועבר לחו"ל או נעשות פעולות עיבוד המידע על ידי צד שלישי?
  • לאילו סיכונים עיקריים המידע האישי חשוף? כיצד הארגון יתמודד עם הסיכונים הללו?
  • שמו של מנהל/ת מאגר המידע, של מחזיק/ת המאגר ושל הממונה על אבטחת המידע בו.

את המסמך הנ"ל יש לעדכן אחת לשנה במידה ונעשו שינויים טכנולוגיים, ארגוניים ואם אירע אירוע אבטחה.

 

מינוי ממונה אבטחת המידע בארגון

לפי חוק הגנת הפרטיות, יש למנות ממונה על אבטחת מידע בארגון במידה והארגון מחזיק בחמישה מאגרי מידע, במקרה והגוף הינו גוף ציבורי או בנק, חברת ביטוח, או חברה העוסקת בדירוג או בהערכה של אשראי.

 

כתיבת נוהל אבטחת מידע

בעל מאגר מידע חייב להחזיק מסמך של מבנה מאגר המידע ומערכות המידע בארגון.

המסמך יכלול:

  • תשתיות ומערכות חומרה.
  • מערכות התכנה המשמשות להפעלת מאגר המידע, ניהולו, תחזוקתו, תמיכה בפעילותו ולאבטחתו.
  • תכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן החוצה.
  • תרשים המתאר קשרים בין רכיבי המערכת השונים ומיקומם הפיזי של הרכיבים.
  • תאריך העדכון האחרון של המסמך.

פרטי המסמך יימסרו רק לבעלי הרשאה מתאימה ובהיקף הנדרש לצורך ביצוע תפקידם.

 

מיפוי מערכות המאגר וביצוע סקר סיכונים

במאגר מידע בעל רמת אבטחה גבוהה, יש לערוך סקר לאיתור סיכוני אבטחת מידע (סקר סיכונים) ומבדקי חדירות למערכות המאגר אחת ל-18 חודשים לפחות.

 

אבטחת מידע פיזית וסביבתית

התקנה מחייבת לשמור פיזית על תשתיות ומערכות החומרה המשמשות את מאגר המידע, מפני כניסה של עובדים ללא הרשאה מתאימה. במידה ומדובר על מאגר מידע אשר חלה עליו רמת אבטחה בינונית או גבוהה, יש לתעד את הכניסות והיציאות של העובדים באמצעות מצלמות אבטחה, מערכות זיהוי ביומטרי וכו'.

 

תיעוד של אירועי אבטחה

אירוע אבטחה – כל אירוע אשר ישנה פגיעה בשלמות המידע, או שימוש במידע ללא הרשאה מתאימה. במידה וישנו אירוע אבטחה, יש לתעד את האירוע ככל האפשר.

במאגר שחלה עליו רמת אבטחה בינונית על בעל המאגר לקיים דיון אחת לשנה לפחות בנוגע לאירועי האבטחה שהתרחשו, תוך בחינה של הצורך בעדכון הנהלים.

אירוע אבטחה ייחשב לחמור במידה ונעשה שימוש בחלק מהותי מהמאגר ללא אישור מתאים מבעל המאגר.

במאגר שחלה עליו רמת אבטחה גבוהה, ייערך דיון אחת לרבעון לפחות.

אירוע אבטחה ייחשב לחמור במידה ונעשה שימוש במידע ללא הרשאה מתאימה או שנעשתה פגיעה בשלמות המידע במאגר המידע.

 

התקנים ניידים

התקן נייד – מחשב או התקן אחסון המיועד לשימוש נייד, כגון: USB, מחשב נייד, כונן חיצוני, פלאפון ועוד.

קיים סיכון שהמידע מהמאגר עלול לדלוף בעקבות ההתקנים הניידים, זאת בעקבות אפשרות העברתם ממקום למקום. סיכון נוסף הינו הכנסת וירוסים על ידי ההתקנים הניידים למאגר. חשוב לבקר ולהגביל את האפשרות לחיבור ההתקנים למערכות המאגר. במידה ומבוצעת העתקת המידע להתקן, יש להצפין את המידע על ידי שימוש בשיטות הצפנה מקובלות.

השארת פרטים
מעוניינים לקבל מידע טלפוני?

 

ניהול מאובטח ומעודכן של מערכות המאגר

על בעל המאגר להפריד בין המערכות המשמשות את המאגר משאר המערכות בארגון. אחת הדרכים הנה התקנת מערכות המשמשות את מאגר המידע על שרת נפרד.

יש לעדכן באופן שוטף את מערכות המאגר, חומרה ותוכנה בהתאם להנחיות היצרן בכדי לנטרל פגיעות פוטנציאליות במערכות.

 

אבטחת תקשורת

במידה ומערכות המאגר מחוברות לרשת האינטרנטית, ישנו סיכון לגישה חיצונית בלתי מורשית, לכן יש לפעול על פי הכללים הבאים:

  • התקנת אמצעי הגנה מפני גישה חיצונית בלתי מורשית, כגון: תכנות אנטי וירוס, Firewall ועוד. את האמצעים הנ"ל יש להטמיע בכל מערכת שיש לה גישה למאגר המידע.
  • במידה ומועבר מידע ממאגר המידע, יש לוודא כי המידע מוצפן על ידי שיטת הצפנה מקובלת.
  • במידה וניתנת גישה מרחוק (לדוגמה, חיבור מהבית) יש להשתמש באמצעי זיהוי מתאים בכדי לגשת למאגר המידע.

במאגרים ברמת אבטחה בינונית וגבוהה יש להשתמש באמצעי פיזי שבשליטתו של בעל ההרשאה של האמצעי, לדוגמה, כרטיס חכם.

 

מיקור חוץ

מתן גישה לגורם חיצוני עלולה ליצור סיכוני אבטחת מידע בארגון, לכן יש לבחון את הסיכונים מראש ולהיערך בהתאם. מהו המידע שהגורם החיצוני רשאי לעבד ולאילו מטרות? לאלו מערכות הוא רשאי לגשת? כיצד יישם את תקנות אבטחת המידע?

תקנה 15 לתקנות אבטחת מידע קובעת שורה של חובות הנוגעות לעבודה עם ספקים חיצוניים, המתווספות לפרסומים והנחיות קודמות של רשות הגנת הפרטיות בנושא. בין היתר, עיבוד מידע באמצעות גוף חיצוני עלול לחייב חתימה על הסכם עיבוד מידע מתאים (בדומה ל- DPA המקובל ב- GDPR), העונה על דרישות החוק הישראלי.  

ביקורות תקופתיות

במאגר מידע שחלה עליו רמת אבטחה בינונית או רמת אבטחה גבוהה, יש לערוך אחת ל-24 חודשים לפחות ביקורת על ידי גורם בעל הכשרה מתאימה בנושא שאינו ממונה על אבטחת המאגר בכדי לוודא את עמידתו בהוראות תקנות הגנת הפרטיות.

 

משך שמירת נתוני אבטחה

הנתונים הנצברים, (כגון: נתוני כניסה ויציאה מהמערכת, זיהוי ואימות משתמשים, הכנסה והוצאת התקנים מהמאגר וכו') צריכים להישמר באופן מאובטח למשך 24 חודשים.

במאגר שחלה עליו רמת אבטחה בינונית או גבוהה, יש לגבות את הנתונים הנשמרים באופן שבו בכל זמן נתון ניתן לשחזר את הנתונים למצבם המקורי.

 

האחריות לאבטחת המידע

על בעל מאגר המידע, המנהל והמחזיק להיות אחראיים על אבטחת המידע במאגר. במידה ומבוצעת פעולה על ידי בעלי האחריות, ישנה דרישה לתעד את ביצועה.

נקסטפ תקינה ישירה מביאה עמה שנים רבות של ניסיון בתחום הרגולציה והתקינה. לאורך השנים, סיפקנו פתרונות מתקדמים לחברות ברחבי הארץ ממגוון תחומים ומכל הגדלים.

יחד, נסייע לך לעמוד בדרישות המחמירות של תקנות הגנת הפרטיות הישראליות.

כדי להתחיל להגן על מאגרי המידע השמורים אצלך בארגון ובסטנדרטים הטובים ביותר, אנו מזמינים אותך לפנות אלינו עוד היום.

להחליט כיצד לבצע פרויקט הגנת הפרטיות זה לא פשוט כלל,

אבל להתקשר אלינו לקבלת מידע זה פשוט וקל!

הצעדים הראשונים לעמידה בתקנות

  • נמפה את זרימת המידע בארגון
  • נבצע מבדק חשיפה ביחד - ללא התחייבות!
  • נבנה עבורכם תכנית עבודה מקיפה לעמידה בפערי הרגולציה

היתרונות שלנו

ליווי מקצועי

ליווי מקצועי של יועץ רגולציה ויועץ משפטי ומנהל פרויקט

צוות הפרויקט יכלול יועץ משפטי ויועץ רגולציה עם הבנה עמוקה באבטחת מידע, ומנהל פרויקט האחראי על שביעות רצון הלקוח ועמידה בלו"ז, דבר שיבטיח עמידה בכל רובדי הרגולציה.
קליעה למטרה

אצלנו תקבלו רק מה שאתם צריכים! ולא תישארו עם הסמכות מיותרות

אנחנו לעולם לא ננסה להעמיס עליכם בתקנים מיותרים ומבדקים שונים במטרה לעמוד בתקנות, אנו כבר הוכחנו שאפשר לסיים בהצלחה פרויקטים ללא עלויות גבוהות וקבועות!
אייקון משימות

אחוזי הצלחה גבוהים בעקבות בניית תכנית עבודה מסודרת

הרגולטור סומך על מי שמציג תכנית עבודה מסודרת, וביחס לפערים הקיימים אצלו בארגון, גם מבצע את תכנית העבודה. אנחנו נלווה אתכם בכל שלב ושלב עד שתעמדו בתקנות!
דף עם מגן וכדור גלובלי

מעל 10 שנות נסיון בתקני אבטחת מידע והגנת הפרטיות

אנו מלווים מאות ארגונים וחברות לתקני אבטחת מידע והגנת הפרטיות, לא צריך להמציא את הגלגל מחדש בכל פרויקט, יש לנו מתודולוגיית עבודה סדורה שתבטיח לכם פרויקט ברור ופשוט.
טופס תחתון

צרו איתנו קשר לקבלת מידע ללא התחייבות לעמידה בתקנות

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תהליך הטמעת הרגולציה הישראלית

  1. 1

    מיפוי זרימת המידע בארגון

    פגישת היכרות בו נמפה את הסיכונים ואת המידע הקיים בארגון. נבצע אצלכם מבדק חשיפה קצר ונבין האם התקנות חלות עליכם ובאיזה רמה.
  2. 2

    ביצוע סקר חשיפה משפטי

    יועץ משפטי יעבור על סעיפי הרגולציה בהתאם לתהליכי העבודה שלכם וימפה את החשיפות בכל שלב ושלב.
  3. 3

    ביצוע סקר פערים טכנולוגי ותהליכי

    יועצי הרגולציה הטכנולוגים ימפו את מערכות המידע ואת תהליכי העבודה בארגון.
  4. 4

    איפיון תכנית עבודה לטיפול בפערים

    נאפיין תכנית מותאמת עבורכם עם אבני דרך לטיפול בפערים.
  5. 5

    יישום תכנית העבודה

    נכתוב נהלים, נייצר את מסמך הגדרות המאגר, הגדרות מבנה המאגר, נדריך, נבצע סקרים ובקרות, נטפל בנושאים טכנולוגיים ונעלה על השולחן את כל הנושאים העומדים בפניכם כדי לעמוד בתקנות.
  6. 6

    מיסוד מערך בקרה ארגוני

    על מנת שתוכלו להמשיך ולעמוד ברגולציה, נבנה עבורכם מערך בקרה.
  7. 7

    הארגון שלכם עומד בדרישות הרגולציה הישראלית

    מזל טוב! אתם עובדים לפי התקנות הישראליות!

לקוחות מספרים

היועץ של חברת Nextep בתהליך הטמעת התקן היה מסור ומקצועי, תהליכי העבודה תרמו רבות לשיפור והקמת האיכות בחברה.
EMC² Israel | חברת פיתוח תוכנה שנרכשה לאחרונה ע"י הענקית DELL
תהליכי ההטמעה של חברת Nextep בוצעו בצורה מקצועית וברורה, התקשורת הייתה מצוינת ונעימה. הארגון הגיע לתוצאות הרצויות.
Perrigo | יצרנית התרופות מהגדולות בעולם
חברת Nextep תורמת רבות לתחזוקה השוטפת של התקנים בארגון, ובעיקר לניהול הבטיחות במפעל הדגל שלנו בצריפין. ביחד עם Nextep הורדנו את כמות הסיכונים באופן משמעותי.
צינורות המזרח התיכון | החברה הותיקה והגדולה בישראל לייצור צינורות פלדה
טופס תחתון

צרו איתנו קשר לקבלת מידע ללא התחייבות לעמידה בתקנות

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תקנים נוספים בתחום

הסמכה ל-ISO27001 במהירות ואיכות שטרם הכרתם

תקן ISO 27001 הוא תקן לניהול אבטחת מידע בארגון, מטרתו לוודא את שמירתו וניהלו התקין של המידע בארגון. כל ארגון מבוסס על המידע ונתונים, התקן מאפשר לוודא ע"י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת.

GDPR

רגולציית הגנת הפרטיות האירופאית
GDPR - General Data Protection Regulation, הינו קודקס הוראות מחייבות שנבנו על מנת להגן על אזרחי האיחוד האירופי בכל הקשור לעיבוד וחשיפה של מידע הקשור לזהותם.

ISO 27799

תקן לניהול אבטחת מידע רפואי
תקן ISO 27799, שפורסם בסוף שנת 2010 ומבוסס על תקן אבטחת מידע הכללי ISO 27001, הינו תקן בינלאומי לאבטחת מערכות מידע רפואי המחייב את ארגוני הבריאות בישראל.

HIPAA

רגולציה אמריקאית להגנה על מידע רפואי
רגולציית HIPAA חלה על גופים בתחום הבריאות והשותפים העסקיים או הספקים שלהם, כגון ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.

ISO 27018

תקן לניהול אבטחת מידע בענן
תקן 27018 ISO לניהול אבטחת מידע בענן הינו תקן הנחשב כהרחבה לתקן 27001 ISO, ונחשב ליוקרתי בתעשיות ההייטק והתוכנה.

ISO 27032

תקן לאבטחת סייבר
תקן ISO 27032 הינו תקן לאבטחה, הגנה על פרטיות, שלמות והנגישות של המידע האישי - Cybersecurity. התקן מתמקד בהגנת המידע האישי באמצעות אבטחת הרשת והאינטרנט והגנה על תשתית מחשוב קריטית CIIP -Critical Information Infrastructure Protection במרחב הסייבר –  Cyberspace. התקן הינו נגזרת לתקן ISO 27001 – תקן לניהול אבטחת המידע בארגון.

2019:ISO 27701

תקן לניהול פרטיות המידע
ISO/IEC 27701:2019 הינו תקן לניהול פרטיות המידע ומהווה הרחבה לתקן אבטחת המידע הבינלאומי - ISO 27001.התקן מספק הנחיות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת לניהול פרטיות המידע - PIMS-Privacy Information Management System.

ISO 27017

תקן להגנה על המידע בשירותי בענן
התקן הבינלאומי ISO 27017 מספק הנחיות ספציפיות לבקרות, טיפול באיומים ובסיכוני אבטחת מידע לשירותי ענן. התקן מבוסס על ISO / IEC 27002 ומהווה הרחבה לתקן ISO 27001 לאבטחת מידע.התקן מיועד לספקי שירותי ענן המספקים שירותי ענן ללקוחות קצה.