«  העיתונאי אלי לנדאו נפטר – מייסד אתר זה – READ IT NOW
  • Read IT Now
  • חדשות
  • אבטחת מידע/סייבר
  • רמו”ט: “הגנה על המידע האישי מהווה אבן יסוד בביסוס אמון הצרכנים אשר חיונית לקיומה של כלכלה דיגיטלית ובעלת תועלות לחברה ולפרט”

רמו”ט: “הגנה על המידע האישי מהווה אבן יסוד בביסוס אמון הצרכנים אשר חיונית לקיומה של כלכלה דיגיטלית ובעלת תועלות לחברה ולפרט”

18:17 14.01.2017

קטגוריות: אבטחת מידע/סייבר

תגים: , ,

ועדת החוקה, חוק ומשפט של הכנסת החלה ביום שלישי (10.1.2017) לדון בתקנות להגנה על מאגרי מידע שהגישה שרת המשפטים איילת שקד.

התקנות נועדו לקבוע הסדר מעודכן, מקיף ומפורט יותר מזה הקיים כיום בתקנות הגנת הפרטיות, לעניין ההגנה הפיזית והלוגית על מאגרי מידע ולעניין סדרי הניהול וכללי העבודה בקשר למאגרי מידע של גופים ציבוריים ופרטיים. ההסדר כולל מנגנונים וכלים פנים ארגוניים הממחישים את חובותיהם ואחריותם של ארגונים בתחום אבטחת מידע אישי ומטרתם להנחיל עקרונות אבטחת מידע כדי להגן על זכויות נושאי המידע במאגרים מפני שימוש לרעה על-ידי גורמים מחוץ לארגון והן על-ידי עובדי הארגון. בהיבט האחריות הארגונית, התקנות מודולריות ומחילות חובות ברמה הולכת וגדלה ככל שפעילות עיבוד המידע בארגון משמעותית יותר.

אלון בכר ראש הרשות למשפט טכנולוגיה ומידע (רמו”ט) במשרד המשפטים אמר בדיון כי “זה יום חשוב למדינה ולזכות החוקתית לפרטיות. התקנות שואבות השראה מתקני אבטחה בעולם ויקדמו את ישראל בזירה של אבטחת מידע אישי. מדובר על ריבוי גופים שמנהלים מאות אלפי מאגרים והחידוש העיקרי הוא בהבהרה של התחום. התקנות יסירו ספקות לגבי אמצעי האבטחה הבסיסיים ויינתן זמן למשק להיערך. המתכונת המודולרית לוקחת בחשבון שיש סוגי מידע שונים, גופים שונים ושימושים שונים וניסינו להביא להקלות לגופים קטנים שהמידע שבידיהם אינו משמעותי. לא ניתנה עדיפות לטכנולוגיה כשלהי בגלל הדינמיות של התחום וכך לא נפגעת התחרות במשק לגופים המפתחים טכנולוגיות כאלו”.

במסמך שהגישה רמו”ט לקראת הדיון בוועדה נאמר בין היתר כי “הזכות לפרטיות היא זכות יסוד חוקתית, המהווה את אחת מהזכויות החשובות שבזכויות האדם. היא חיונית לשמירה על חופש הביטוי וערכי חברה דמוקרטית, להגנה על זכויות אדם ורכושו, לפיתוח ‘האני הפנימי’ ולמימוש עצמי. אנו חיים בעידן המידע הדיגיטלי, שבו מידע על כל אחת ואחד מאתנו נשמר במאגרי מידע רבים ושונים. המידע האישי שלנו מצוי בידי חברות, גופים ציבוריים וגם בעלי עסקים בודדים. הטכנולוגיה מתפתחת ומוטמעת בכל היבט של חיינו, ואנו מייצרים מידע אישי דיגיטלי, בכל צעד ובכל רגע. קיימים יתרונות רבים בהשתלבות של היישומים הטכנולוגיים בחיינו, ותרומתם ניכרת. יחד עם זאת, הם מחייבים את מי שמנהל את המידע אודותינו,  לשמור ולהגן עליו. בעידן המידע הדיגיטלי,  צרכנים הופכים להיות מוטרדים יותר ויותר משימוש ‘עודף’ שעושות חברות מסחריות במידע האישי שלהם, ומכך שהמידע שלהם לא מוגן בצורה נאותה. על כן,  לצד הזכות לפרטיות,  הגנה על המידע האישי מהווה אבן יסוד בביסוס אמון הצרכנים אשר חיונית לקיומה של כלכלה דיגיטלית ובעלת תועלות לחברה ולפרט  (…) אישור התקנות על ידי הוועדה יהווה אבן דרך משמעותית, בהגנה על מידע אישי ועל הזכות לפרטיות במדינת ישראל, ולצמצום הפערים אל מול הסטנדרטים הבינלאומיים הקיימים בתחום זה”.

במסמך שהגיש דן חי עו”ד יו”ר הוועדה להגנת הפרטיות לשכת עורכי הדין בישראל לקראת הדיון בוועדה נאמר בין היתר כי “מטרתן של התקנות המוצעות הינה מבורכת, וכניסתן לתוקף בוודאי תגרום למהפכה חיובית בתחום אבטחת מאגרי המידע. התקנות המוצעות מתאימות את עצמן לעידן הטכנולוגי שבו אנו נמצאים, ויישומן יגרום לאזרחי המדינה, אשר חלק לא  מבוטל ממנה “חבר” במאגר מידע כלשהו, להרגשת ביטחון גבוהה מבעבר.  עם זאת, עינינו הרואות כי יש לבצע שיפורים מסוימים בתקנות המוצעות. השיפורים המוצעים על-ידי הוועדה יביאו לאכיפה צודקת, להבנה מלאה של הוראות הסעיפים,  ולצמצום אפשרות של “עיגולי פינות” מצד בעלי המאגר”.

מסמך שהכין הייעוץ המשפטי לוועדת החוקה בכנסת לקראת הדיון:

במסמך נאמר בין היתר כי חוק הגנת הפרטיות, התשמ”א – 1981, קובע הוראות לגבי הגנה על הפרטיות במאגרי מידע. ההגדרה בחוק של “מאגר מידע” היא רחבה, והיא כוללת כל אוסף של נתוני מידע המיועד לעיבוד ממוחשב, למעט אם מדובר באוסף לשימוש אישי שאינו למטרות עסק או באוסף הכולל רק שם, כתובת ודרכי התקשרות שאינו יוצר איפיון שיש בו פגיעה בפרטיות (סעיף 7 לחוק).

בעל מאגר מידע חייב לרשום את המאגר בפנקס מאגרי המידע, ואסור לו לנהל את המאגר או להחזיק בו ללא רישום כאמור, בכל אחד מהמקרים הבאים (סעיף 8(א) ו-(ג) לחוק):

+ אם מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000;

+ יש במאגר “מידע רגיש”;

+ המאגר כולל מידע על אנשים, והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם;

+ מדובר במאגר של “גוף ציבורי”;

+ מאגר המשמש ל”שירותי דיוור ישיר”.

 

אבטחת מידע במאגרי מידע – הדין הקיים: אחת מהחובות המרכזיות שהחוק מטיל על בעל מאגר מידע, היא האחריות על אבטחת המידע שבמאגר (סעיף 17 לחוק), שמטרתה צמצום החשש מפני שימוש לרעה במידע שבמאגר או פגיעה בשלמות המידע. לעניין זה, “אבטחת מידע” מוגדרת כ”הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין” (סעיף 7 לחוק).

תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), תשמ”ו-1986 (להלן – התקנות הקיימות) שהותקנו מכוח החוק, מטילות כבר היום חובות שונים בתחום אבטחת המידע, ובכלל זה: קיום הגנה פיזית על מערכות המאגר; מתן הרשאות גישה למאגר; נקיטת אמצעי אבטחה למניעת חדירה למערכת; יצירת קובץ נהלים; רישום הרשאות גישה; ניהול יומן אירועים חריגים, ועוד.

התקנות המוצעות: התקנות המוצעות מבקשות לקבוע את כללי אבטחת המידע הקשורים בניהול ובשימוש במידע במאגרי מידע, מתוך מטרה של הגנה על זכויות נושאי המידע במאגר המידע, מפני שימוש לרעה במידע אודותיהם הן על ידי גורמים מחוץ לארגון והן על ידי העובדים.

המנגנונים המוצעים בתקנות נחלקים לשני רבדים מרכזיים:

+ רובד אחד קובע מנגנונים וכלים פנים-ארגוניים, שלפי דברי ההסבר לתקנות המוצעות, מטרתם הפיכת אבטחת המידע במאגר המידע, בהתאם למאפייני המאגר, לחלק משגרת ניהול הארגון בכלל וניהול המידע בפרט. כך, למשל, מוצע לחייב את בעל המאגר לכתוב מסמך עם הגדרות המאגר (תקנה 2(א)), לכתוב מסמך של מיפוי מערכות המאגר (תקנה 5(א)), לקיים הדרכה לעובדים כל תקופת זמן (תקנה 7(ג)), לקיים דיון באירועי אבטחה כל תקופת זמן (תקנה 7(ג)), ועוד.

+ רובד שני קובע הוראות מהותיות בתחום אבטחת המידע. כך, למשל, מוצע לחייב בעלי מאגרים ברמת אבטחה מסוימת לבצע סקר סיכוני אבטחת מידע (תקנה 5(ג)), לתעד כניסה ויציאה מהאתרים הפיזיים שבהם נמצאים מערכות המאגר (תקנה 6(ב)), להתקין מנגנון תיעוד אוטומטי שמאפשר בקרה על הגישה למערכות המאגר (תקנה 10(א)), לקבוע הוראות באשר להתקנים ניידים (תקנה 12), ועוד.

בהתאם להוראות סעיף 17 לחוק, האחריות הכוללת לעמידה בתקנות המוצעות, תהיה של בעל מאגר המידע (כלומר, הגוף הציבורי או הפרטי שלמטרותיו ולצרכיו המידע נאסף ומעובד), מנהל המאגר (כלומר, מנכ”ל הגוף או בכיר אחר שהוא הסמיך לכך), ומרבית החובות יחולו באופן דומה גם על המחזיק במאגר מידע (כלומר, הגוף שאחראי על הפעלת המאגר והתחזוקה שלו) (תקנה 19).

בשל המגוון הרחב של גופים שמעבדים מידע במסגרת מאגרי מידע, התקנות המוצעות מבחינות בין 4 סוגים של מאגרים: מאגר ברמת אבטחה גבוהה;  מאגר ברמת אבטחה בינונית; מאגר ברמת אבטחה בסיסית; מאגר המנוהל בידי יחיד.

את רמת הרגישות של המאגרים מוצע לקבוע בהתאם לשילוב של מספר פרמטרים: היקף מורשי הגישה למידע שבמאגר, כמות האנשים שאודותיהם יש מידע במאגר וסוג המידע המעובד במאגר. ההנחה היא שנוסף על רגישות המידע, גם היקף החשיפה של המידע למספר רב יותר של מורשי גישה, כמו גם היקף רחב יותר של אנשים שאודותיהם יש מידע במאגר, מגבירים את סיכוני אבטחת המידע שהמאגר מעורר, ועל כן מוצדק לדרוש מהמאגר רמת אבטחה גבוהה יותר. לפיכך, התקנות המוצעות הן מודולריות, בכך שהן מחילות חובות ברמה הולכת וגדלה ככל שהמאגר הוא מאגר שפעילות עיבוד המידע שבו, בהקשר של חוק הגנת הפרטיות, היא משמעותיות יותר ורמת האבטחה הנדרשת בו היא גבוהה יותר.