וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

וואלה דואר
קרא דואר

כסף

/

כל הכתבות

אבטחת המידע עולה ליגה

עומר טנא

27.1.2010 / 7:09

משפט וטכנולוגיה



>> טיוטת התקנות לאבטחת מידע אישי, שפירסמה הרשות למשפט טכנולוגיה ומידע בשבוע שעבר לצורך הערות הציבור, היא מהפכה זוטא ברגולציה בענף.

התקנות יחולו על כל מי שברשותו מאגר מידע אישי, הן במגזר הפרטי והן במגזר הציבורי. הן מעגנות לראשונה דרישה להטמעת הפרטיות לתוך ההגדרות של מערכות המידע של הארגון (privacy by design), בהתאם לגישתו של ראש הרשות עו"ד יורם הכהן.



התקנות מבוססות בין היתר על תקן אבטחת מידע 27001 iso ועל נוהלי האבטחה של חברות כרטיסי האשראי. הן בנויות באופן מודולרי, כך שארגונים בעלי רמת סיכון גבוהה יחויבו ליישם מנגנוני אבטחה מחמירים מאלה החלים על ארגונים ברמת סיכון בינונית ורגילה. רמת הסיכון נקבעת על פי אופיו של בעל המאגר (חברה פרטית או גוף ציבורי), סוג המידע במאגר (למשל, האם יש בו מידע רפואי, גנטי או כלכלי), ומספר הרשומות במאגר (פחות או יותר מ-100 אלף).



בין השאר יחויב כל בעל מאגר לאמץ נוהל אבטחת מידע ולערוך רשימת מצאי שנתית של כל רכיבי המערכת; מאגרים ברמת סיכון גבוהה יחויבו גם בעריכת סקר שנתי של סיכוני אבטחת מידע; בעל מאגר יידרש להגדיר במסמך מחייב ולעדכן באופן שוטף את סוגי המידע הכלולים במאגר, המטרות המותרות של השימוש בו, פרטים בדבר העברות מידע לצדדים שלישיים והסיכונים המרכזיים לאבטחת המידע.



התרי הגישה למידע ייקבעו על בסיס הגדרת התפקיד של המבקש, ניסיונות הגישה למערכת יתועדו ועובדים שאינם נדרשים להשתמש בסוג מסוים של מידע ימודרו ממנו.



התקנות מכירות בצרכים המיוחדים של אבטחת מידע בסביבת עבודה מקוונת. הגישה לרשת מקנה יתרונות גדולים לעבודתם של ארגונים, היכולים להפעיל עובדים וספקי שירותים - כולל שירותי מחשוב ענן - ולהתקשר עם לקוחות בכל העולם, אך חושפת את מערכות המידע להתקפות מבחוץ. לפי התקנות, יחויבו ארגונים להפריד במידת האפשר בין מערכות המידע לבין מערכות מחשוב אחרות המחוברות לאינטרנט. התקנות מתמודדות לראשונה עם התופעה הנפוצה של מיקור חוץ של שירותי עיבוד מידע, אחסון וגיבוי, ומרכזי שירות לקוחות. הן מכתיבות לבעל המאגר תנאים שעליו להכניס להסכם עם ספק השירות החיצוני.



התקנות כוללות גם הוראות מהותיות באופיין, כגון חובת מחיקה של מידע שאינו נחוץ עוד לתפעולו השוטף של המאגר ואי-איסוף מידע עודף "מעבר לנדרש לצורך מימוש מטרות המאגר".



סוגיות אלה עלו באחרונה במסגרת תביעות של לקוחות נגד חברות הסלולר, בטענה שאלה אוגרות מידע, כולל נתוני תקשורת רגישים, מעבר לנדרש לצורך מתן השירות. יש לקוות כי גופים גדולים בשוק הפרטי, כגון מוסדות פיננסיים וחברות תקשורת, כבר מיישמים כללים מקבילים לאלה המפורטים בטיוטת התקנות. אחרי הכל, המידע האישי אודות הלקוחות הוא נכס חשוב המוחזק על ידי העסק - ויש להגן עליו בהתאם.



השפעת התקנות תורגש בעיקר בקרב חברות בינוניות וקטנות, וכן במגזר הציבורי, שנחשף פעם אחר פעם במערומיו בנוגע לסטנדרטים של אבטחת מידע.



-



הכותב הוא מרצה למשפטים במסלול האקדמי - המכללה למינהל

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    0
    walla_ssr_page_has_been_loaded_successfully