ישראל: היום נכנסות לתוקף תקנות אבטחת המידע החדשות

היום נכנסות לתוקפן תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. בכך, ולאחר אישור התקנות לפני שנה, יושלם הליך חקיקה שהחל ברשות למשפט, טכנולוגיה ומידע (כיום הרשות להגנת הפרטיות) בשנת 2010. התקנות כוללות רפורמה מרחיקת-לכת בהשוואה לתקנות המיושנות משנת 1986. בין השאר, לראשונה בישראל, נקבעה חובה חוקית לדווח לרשם מאגרי המידע על אירועי אבטחה במאגרי מידע, ואף  - אם הורה כך הרשם - חובה לדווח על אירועי אבטחה לנושאי המידע שפרטיהם כלולים במאגר. 

התקנות קובעות חובות נרחבות ביחס לאבטחה הפיסית והלוגית של מאגרי מידע וכן ביחס לסדרי ניהול וכללי העבודה במאגרי מידע של חברות וארגונים מהמגזר הפרטי והציבורי. הן יחולו על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל באופן הדרגתי לפי גודל המאגר, מספר המורשים אליו וסוגי המידע בו. כלומר, ככל שהמאגר הוא בעל רמת אבטחה גבוהה יותר לפי התקנות - כך יחולו חובות מוגברות יותר על אופן ניהול המאגר. 

התקנות החדשות מחייבות היערכות פנים-אירגונית מקיפה בתחומים רבים, בעלי מאגרי מידע יידרשו כעת למלא אחר חובות רבות, ביניהן:

  • מיפוי המידע ששמור במאגר, המערכות הקשורות אליו, פעולות העיבוד שמבוצעות בו והסיכונים אליהם המאגר חשוף;
  • קביעת נהלי אבטחה מפורטים בדבר הרשאות גישה, אמצעי האבטחה, ניהול סיכונים, והתמודדות עם אירועי אבטחת מידע;
  • הטמעת אמצעי אבטחת מידע נאותים להגנה מפני חדירה בלתי מורשית ומפני תוכנות זדוניות, בכלל זה יש להפריד בין רשת;
  • ביצוע סקרי סיכונים ומבדקי חדירות תקופתיים;
  • תיעוד אירועים שיש בהם חשש לפגיעה במידע או חריגה מהרשאות הגישה במאגר;
  • דיווח על אירועי אבטחת מידע בהם נעשה שימוש במאגר בלא הרשאה או שנפגעה שלמות המידע במאגר;
  • מינוי ממונה על אבטחת מידע.