משרד המשפטים פרסם טיוטה של תקנות לאבטחת מידע
התקנות המוצעות כוללות הסדרה במישור התהליכים וקבלת ההחלטות בתוך הארגון, וכן הוראות מהותיות בתחום ניהול אבטחת המידע ● בין היתר, קובע משרד המשפטים, כי ממונה אבטחת המידע יהיה כפוף לנושא משרה בכיר ● עוד נקבע, כי על בעל מאגר המידע להקצות לממונה אבטחת המידע את המשאבים הנדרשים לביצוע תפקידיו ● משרד המשפטים: "המטרה של ההסדר המוצע היא מימוש תכלית ההגנה על הפרטיות במידע מפני שימוש לרעה"
הרשות למשפט טכנולוגיה ומידע (רמו"ט) ומחלקת ייעוץ וחקיקה במשרד המשפטים, פרסמו היום (א') טיוטה של תקנות לאבטחת מידע בהתאם לחוק הגנת הפרטיות. טיוטת התקנות הוכנה לאחר קבלת הערות מהציבור לנייר עמדה שהפיצה רמו"ט בעניין זה, ובתוכה גם לקחים מפרשת ההאקר הסעודי. התקנות מופצות להערות הציבור תוך 21 יום, ולאחר מכן יובאו לאישור שר המשפטים, פרופ' יעקב נאמן.
חוק הגנת הפרטיות, התשמ"א-1981, קובע הוראות וחובות בתחום אבטחת המידע על מי שמנהל מידע אישי באופן ממוחשב, שמטרתן צמצום החשש מפני שימוש לרעה או פגיעה במידע. ממשרד המשפטים נמסר, כי מטרת התקנות המוצעות היא לפרט ולקבוע את עקרונות אבטחת המידע הקשורים בניהול ובשימוש במידע אישי, בהתבסס על תקני אבטחת מידע מקובלים בעולם. על פי המשרד, "המטרה של ההסדר המוצע היא מימוש תכלית ההגנה על הפרטיות במידע – כלומר הגנה על זכויות אנשים שפרטים עליהם מצויים במידע במאגר המידע, מפני שימוש לרעה במידע אודותיהם הן על ידי גורמים מחוץ לארגון, והן על ידי עובדים בו".
התקנות המוצעות כוללות הסדרה במישור התהליכים וקבלת ההחלטות בתוך הארגון, וכן הוראות מהותיות בתחום ניהול אבטחת המידע. כך, במישור האחריות הארגונית, ובהתאם להוראות סעיף 17 לחוק, נקבע כי האחריות הכוללת לעמידה בתקנות היא של בעל מאגר המידע (כלומר הגוף הציבורי או הפרטי שאוסף ומעבד את המידע) ומנהל המאגר (כלומר מנכ"ל הגוף או בכיר אחר שהוא הסמיך לכך). כמו כן, החובות יחולו באופן דומה גם על המחזיק במאגר מידע.
חידוש שנובע מהערות שהתקבלו מקהילת אבטחת המידע, קשור ביחסי הגומלין שבין מנהל המאגר לממונה אבטחת המידע. כך, נדרש, כי ממונה אבטחת המידע יהיה כפוף לנושא משרה בכיר. עוד נדרש בעל מאגר המידע להקצות לממונה אבטחת המידע את המשאבים הנדרשים לביצוע תפקידיו.
כלקח מאירועי אבטחת המידע הקשורים בפרשת ההאקר הסעודי, נדרשים כעת ארגונים להכין נהלי התמודדות עם אירועי אבטחת מידע. בנוסף, באירועי אבטחת מידע חמורים בלבד, מוצעת חובת דיווח על כך לרשם מאגרי המידע, ובכלל זה הצעדים המתקנים שננקטו (Breach Notification Notice). הרשם יוכל גם להורות על מסירת הודעה על כך לציבור שעלול להיפגע מן האירוע.
נושאים נוספים ששונו וחלו בהן הקלות למול נייר העמדה, עוסקים בתדירות ניהול סקרי סיכונים, חובות בתחום המידור וחובות ניטור ומעקב כוללות על השימוש במערכות.
בשל מגוון הארגונים המעבדים מידע אישי, התקנות המוצעות הן מודולריות, בכך שהן מחילות חובות ברמה הולכת וגדלה ככל שהארגון הוא ארגון שפעילות עיבוד המידע שבו, בהקשר של חוק הגנת הפרטיות, היא משמעותיות יותר. תפיסה זו, של חובות מודולריות, נגזרת ישירות מעקרון היסוד של אבטחת מידע, לפיו התמודדות עם סיכוני האבטחה נבחנת בהתאם לפעילות של המאגר, והיא מוצאת ביטויה גם במסמכים דומים בעולם.
Informatica DDM זה הפתרון לכל הצרכים
רמו"ט - גוף עם כוונות טובות אשר מנוטרל פוליטית באופן מכוון, ולפיכך מקבל החלטות על סמך אינטרסים פוליטיים וללא יכולת אכיפה אמיתית.