השינויים המהירים ומרחיקי הלכת המתרחשים בעשורים האחרונים בעולם בכל הנוגע לשימוש במידע מביאים מצד אחד לשינויים מהותיים באורח החיים של מרבית האנשים ולייצורם של עוד ועוד כלים חדשים ומתקדמים לשימוש במידע הרב המצטבר, ומצד שני גם לסכנות הולכות וגוברות בכל הנוגע לשמירה על פרטיות ואבטחת מידע. היכולת שלנו לגשת למידע רב הולכת ומשתפרת, אך כך גם הפוטנציאל כי גורמים מסוימים ינסו לנצל זאת לרעה, לחדור למאגרי מידע שונים ולהשתמש במידע שלנו. לכן, קיימת מגמה מתמדת של שיפור וייעול התחום של אבטחת מידע והגנה על פרטיות. מהן התקנות הרלבנטיות בישראל לנושא זה וכיצד ניתן להבטיח כי ארגון מסוים אכן עומד בתקנות אלו, וכי אנחנו יכולים להיות שקטים כאשר אנו מעניקים לו גישה למידע הפרטי שלנו?

תקנות הגנת הפרטיות העדכניות בישראל

החל מחודש מאי 2018 נכנסו לתוקף בישראל תקנות הבטחת המידע הישראליות, אשר באות לתת מענה רגולטורי מסודר ומפורט לנושא של שמירה והגנה על מידע פרטי אותו אנו מעניקים לגופים שונים, בין אם מדובר בחברות פרטיות ובין אם בארגונים ציבוריים. תקנות אלו מפרטות את החובות החלות על בעליהם ומנהליהם של מאגרי מידע בארץ.

 תקנות הגנת הפרטיות אשר פורסמו במהלך 2018 על ידי משרד המשפטים הישראלי חלות על ארגונים אשר עומדים בתקן ISO/IEC 27001. תקן זה בא להבטיח, בין השאר, כי ארגונים אשר עומדים בו מבצעים את ההתאמות והשינויים הנדרשים על מנת לעמוד ברף מחמיר של אבטחת מידע. במילים אחרות – ארגונים המחזיקים ומנהלים מאגרי מידע שונים ועומדים בתקן זה משקיעים את המשאבים הנדרשים על מנת להבטיח כי מערכות אבטחת המידע שלהם אכן עדכניות ואיכותיות מספיק על מנת להגן על המידע באופן המניח את הדעת, ספציפית לאור האיומים העדכניים ביותר במגיעים מעולם הסייבר בו מתרחש מאבק מתמיד ובלתי פוסק בין ארגונים שכאלו המנסים להגן על המידע המופקד ברשותם, לבין גורמים שונים המנסים לגנוב ו/או לחבל במידע זה.

כיצד לעמוד בתקנות הגנת הפרטיות הישראליות?

תקנים שונים דוגמת התקן המצוין לעיל משמשים כאמור כסוג של תעודה, המבטיחה כי אותו ארגון אכן עומד בתקנות הגנת הפרטיות הישראליות, וכי אנחנו, כצרכנים ואזרחים פרטיים, יכולים לסמוך על ארגון זה עם המידע שלנו.

• סיד בהשתתפות חיים סבן גייס 9.5 מיליון דולר לסטארטפ אבטחת מידע ישראלי
• MIND גייסה 30 מיליון דולר: תכפיל את צוות המו"פ בישראל
• המלצת המערכת: כל הכותרות 24/7

מנקודת המבט של ארגון מסוים הרלבנטי לנושא זה – מה על אותו ארגון לעשות על מנת לעמוד בתקנות הגנת הפרטיות העדכניות, אלו הבאות להבטיח כי הוא עומד בדרישות הטכניות והניהוליות הרלבנטיות, על מנת לוודא כי המידע המוחזק על ידו אכן מוגן ובטוח?

ובכן, עמידה בתקנים מחמירים מאין אלו דורשת כמובן בדיקות ומבחנים מקיפים הנערכים על ידי הגופים הרגולטוריים הרלבנטיים. על מנת לעמוד בדרישות התקן יש לבצע קודם כל בדיקה מקיפה במערכות הקיימות בארגון, וכך למפות בצורה מפורטת את המצב הקיים לעומת המצב הנדרש על מנת לעמוד בדרישות התקן. השלב הבא כולל הכנה והטמעה של נהלים רבים ומפורטים, הבאים להבטיח כי אותו מאגר מידע אכן מנוהל באופן מאובטח ואיכותי מספיק, כך שניתן מענה לדרישות הרגולציה הרלבנטית. מדובר בנהלים דוגמת – נהלי הרשאות, נהלי התקשרות עם ספקים וגורמים החיצוניים לארגון, נהלי אירועי אבטחה ועוד.

כתיבה והטמעה של הנהלים הרבים הרלבנטיים תבטיח כי האופן בו אותו ארגון שומר ומנהל את המידע שהוא צובר אכן הולמת את האופנים המנוחים בתקנות הגנת הפרטיות. לאחר שהתהליך מושלם מקבל אותו ארגון את התקן הרלבנטי, וכך כל גורם הבא במגע עם ארגון זה (לקוחות, ספקים, ארגונים נוספים המשתפים פעולה עם אותו ארגון וכד') יכול להיות סמוך ובטוח כי המידע הפרטי המוחזק על ידי אותו הארגון מנוהל באופן מאובטח ומשביע רצון.

נכתב על ידי עדי מיידלר, מנהל תחום אבטחת מידע בחברת נקסטפ