תאריך תצוגה: 08/05/2018
הקליקו על כותרת הסעיף
1. הגדרות
2. מסמך הגדרות המאגר
3. ממונה על אבטחת מידע
4. נוהל אבטחה
5. מיפוי מערכות המאגר וביצוע סקר סיכונים
6. אבטחה פיזית וסביבתית
7. אבטחת מידע בניהול כוח אדם
8. ניהול הרשאות גישה
9. זיהוי ואימות
10. בקרה ותיעוד גישה
11. תיעוד של אירועי אבטחה
12. התקנים ניידים
13. ניהול מאובטח ומעודכן של מערכות המאגר
14. אבטחת תקשורת
15. מיקור חוץ
16. ביקורות תקופתיות
17. שמירת נתוני אבטחה
18. גיבוי ושחזור של נתוני אבטחה
19. חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו ותיעוד ביצוע פעולה
20. סמכויות הרשם
21. תחולה וסייגים לתחולה
22. תחילה
23. הוראת מעבר
24. ביטול
25. יחס לחיקוקים אחרים
1.
2.

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 1

בתוקף סמכותי לפי סעיף 36 לחוק הגנת הפרטיות, התשמ"א-1981 (להלן - החוק או חוק הגנת הפרטיות), ובאישור ועדת חוקה חוק ומשפט של הכנסת, אני מתקינה תקנות אלה:
 
1.   
הגדרות
בתקנות אלה -
(2) מצע אחר המשמש לאחסון חומר מחשב;
"חומר מחשב" ו "מחשב" - כהגדרתו בחוק המחשבים, התשנ"ה-1995;
"מאגר המנוהל בידי יחיד" - מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש ובאפשרותם לעשות בו שימוש, ולמעט מאגרי מידע כמפורט להלן:
(1) מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;
(2) מאגר מידע שיש בו מידע על אודות 10,000 אנשים ומעלה;
(3) מאגר מידע הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית;
"מאגרים שחלה עליהם רמת האבטחה הבסיסית" - מאגרי מידע שאינם מן הסוגים המפורטים בתוספת הראשונה או השנייה ואינם מאגר המנוהל בידי יחיד;
"מאגרים שחלה עליהם רמת האבטחה הבינונית" - מאגרי מידע מן הסוגים המפורטים בתוספת הראשונה ואינם מאגר המנוהל בידי יחיד;
"מאגרים שחלה עליהם רמת האבטחה הגבוהה" - מאגרי מידע מן הסוגים המפורטים בתוספת השנייה;
"מידע ביומטרי" - מידע המשמש לזיהוי אדם, שהוא מאפיין אנושי פיזיולוגי, ייחודי, הניתן למדידה ממוחשבת;
"ממונה על אבטחה" - כמשמעותו בסעיף 17ב לחוק;
"מערכות המאגר" - מערכות המשמשות את המאגר ואשר יש להן חשיבות בהיבטי אבטחת מידע;
"נושא המידע" - האדם שעל אודותיו קיים מידע במאגר המידע;
"הרשות הלאומית להגנת הסייבר" - הרשות הלאומית להגנת הסייבר שייעודה הגנה על מרחב הסייבר, שהוקמה על פי החלטת הממשלה ופועלת בהתאם להחלטותיה;
"רשת ציבורית" - רשת תקשורת המאפשרת שימוש גם על ידי מי שאינו בעל הרשאה.
2.   
מסמך הגדרות המאגר
(א) בעל מאגר מידע יגדיר במסמך הגדרות מאגר (להלן - מסמך הגדרות המאגר), את כל העניינים האלה לפחות:
3.   
ממונה על אבטחת מידע
חלה חובה למנות ממונה על אבטחת מידע, או מונה ממונה על אבטחת מידע במאגר המידע יחולו הוראות אלה:
4.   
נוהל אבטחה
(א) בעל מאגר המידע יקבע במסמך נוהל אבטחת מידע (להלן - נוהל האבטחה) בהתאם למסמך הגדרות המאגר ותקנות אלה, אשר יחייב כל בעל הרשאה בהתאם לפרטים מהנוהל שאליו הוא חשוף לפי תקנת משנה (ב).
5.   
מיפוי מערכות המאגר וביצוע סקר סיכונים
(א) בעל מאגר מידע יחזיק מסמך מעודכן של מבנה מאגר המידע וכן רשימת מצאי מעודכנת של מערכות המאגר, ובכלל זה:
6.   
אבטחה פיזית וסביבתית
(א) בעל מאגר מידע יבטיח כי המערכות המפורטות בתקנה 5(א)(1) יישמרו במקום מוגן, המונע חדירה וכניסה אליו בלא הרשאה, והתואם את אופי פעילות המאגר ורגישות המידע בו.
7.   
אבטחת מידע בניהול כוח אדם
(א) לא ייתן בעל מאגר מידע גישה למידע המצוי במאגר ולא ישנה היקף הרשאה שניתנה, אלא אם כן נקט אמצעים סבירים, המקובלים בהליכי מיון עובדים ושיבוצם, כדי לברר שאין חשש כי בעל ההרשאה אינו מתאים לקבלת גישה למידע המצוי במאגר; אמצעים כאמור יינקטו בשים לב לרגישות המידע שבמאגר ולהיקף הרשאות הגישה לתפקיד שמיועד לו הנוגע בדבר, כאמור בתקנה 8.
8.   
ניהול הרשאות גישה
(א) בעל מאגר מידע יקבע הרשאות גישה של בעלי הרשאות למאגר המידע ולמערכות המאגר, בהתאם להגדרות תפקיד; הרשאת הגישה לכל תפקיד תהיה במידה הנדרשת לביצוע התפקיד בלבד.
9.   
זיהוי ואימות
(א) בעל מאגר מידע ינקוט אמצעים מקובלים בנסיבות העניין ובהתאם לאופי המאגר וטיבו, כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות.
10.   
בקרה ותיעוד גישה
(א) במערכות של מאגר מידע אשר חלה עליו רמת האבטחה הבינונית או הגבוהה, ינוהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר (בתקנה זו - מנגנון הבקרה), ובכלל זה נתונים אלה: זהות המשתמש, התאריך והשעה של ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה, סוג הגישה, היקפה, ואם הגישה אושרה או נדחתה.
11.   
תיעוד של אירועי אבטחה
(א) בעל מאגר מידע אחראי לתיעוד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן - אירועי אבטחה); ככל האפשר יבוסס התיעוד האמור על רישום אוטומטי.
12.   
התקנים ניידים
בעל המאגר יגביל או ימנע אפשרות לחיבור התקנים ניידים למערכות המאגר במתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, את רגישות המידע, את הסיכונים המיוחדים למערכות המאגר או למידע הנובעים מחיבור ההתקן הנייד ואת קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה; בעל מאגר מידע המאפשר שימוש במידע מהמאגר בהתקן נייד או העתקה שלו להתקן נייד ינקוט אמצעי הגנה בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד באותו מאגר מידע; לעניין זה יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים להגנה על מידע שהועתק להתקן הנייד.
13.   
ניהול מאובטח ומעודכן של מערכות המאגר
(א) בעל מאגר מידע יקפיד על ניהול ותפעול תקין של מערכות המאגר, לפי המקובל בהפעלת מערכות כאלה.
14.   
אבטחת תקשורת
(א) בעל מאגר מידע לא יחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב.
15.   
מיקור חוץ
(א) בעל מאגר המתקשר עם גורם חיצוני לצורך קבלת שירות, הכרוך במתן גישה למאגר המידע -
16.   
ביקורות תקופתיות
(א) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, בעל המאגר אחראי לכך שתיערך, אחת ל–24 חודשים לפחות, ביקורת פנימית או חיצונית, על ידי גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע שאינו ממונה האבטחה של המאגר, כדי לוודא את עמידתו בהוראות תקנות אלה.
17.   
שמירת נתוני אבטחה
(א) בעל מאגר מידע ישמור את הנתונים הנצברים במסגרת יישום הוראות תקנות 6(ב), 8 עד 11, 14, 15(א)(4) ו–16, ככל שתקנות אלה חלות עליו, באופן מאובטח למשך 24 חודשים.
18.   
גיבוי ושחזור של נתוני אבטחה
(א) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יקבע בעל המאגר במסמך -
19.   
חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו ותיעוד ביצוע פעולה
(א) החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר, ולמעט החובות הקבועות בתקנות 2 ו–15(א) - הן יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין.
20.   
סמכויות הרשם
(א) (1) הרשם רשאי, אם ראה כי קיימים טעמים שמצדיקים זאת, לפטור מאגר מסוים מחובות אבטחת מידע לפי תקנות אלה, או להחיל על מאגר מסוים חובות לפי תקנות אלה, כולן או חלקן, לפי נסיבות העניין, ובין השאר בהתחשב בגודל המאגר, סוג המידע שנמצא בו, היקף הפעילות של המאגר או מספר בעלי ההרשאות בו.
(2) פטור מחובות או החלת חובות לפי פסקה (1) ייעשה בהודעה בכתב לבעל המאגר; בהודעה כאמור יקבע הרשם את המועד לתחילת הפטור או ההחלה, לפי העניין, ויכול שיקבע מועדים שונים לעניין תקנות שונות.
(ב) הרשם רשאי להורות כי מי שיעמוד בהוראות מסמך מנחה בעניין אבטחת מידע או בהנחיות של רשות מוסמכת בעניין אבטחת מידע החלות עליו, יראו אותו כמקיים הוראות תקנות אלה, כולן או חלקן, אם השתכנע כי עמידה בהוראות המסמך המנחה בעניין אבטחת מידע או בהנחיות הרשות המוסמכת, לפי העניין, באופן שהורה לפי תקנות אלה, מבטיחה את רמת האבטחה הקבועה בתקנות אלה לגבי אותו מאגר מידע; לעניין זה -
"רשות מוסמכת" - גוף ציבורי המוסמך על פי דין לתת הנחיות בעניין אבטחת מידע;
21.   
תחולה וסייגים לתחולה
בתקנות אלה -
22.   
תחילה
תחילתן של תקנות אלה שנה מיום פרסומן.
23.   
הוראת מעבר
על אף האמור בתקנה 7(א), בנוגע למי שהם בעלי הרשאות ביום תחילתן של תקנות אלה, בעל מאגר שחלה עליו התקנה האמורה יבחן את מידת התאמתם לגישה למאגר מידע באמצעים סבירים המקובלים בהליכי מיון עובדים ושיבוצם, וכל זאת בשים לב לרגישות המידע ולסוג הרשאת הגישה ויעדכן בהתאם לצורך את הרשאות הגישה.
24.   
ביטול
תקנות 2, 3, 9, 10, 12, 13, 14 ו–15 לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו-1986 - בטלות.
25.   
יחס לחיקוקים אחרים
תקנות אלה יחולו נוסף על הוראות בעניין אבטחת מידע בחיקוקים אחרים, זולת אם יש סתירה ביניהם.
1.   2.   

(תקנה 1 והתוספת השנייה)
1. מאגרי מידע שחלה עליהם רמת האבטחה הבינונית -
(ד) מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם;
(ה) מידע על אודות עברו הפלילי של אדם;
(ו) נתוני תקשורת כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה - נתוני תקשורת), התשס"ח-2007;
(ז) מידע ביומטרי;
(ח) מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת עמידתו בהם;
(ט) הרגלי צריכה של אדם שיש בהם כדי ללמד על מידע לפי פרטים (א) עד (ז) או על אישיותו של אדם, אמונתו או דעותיו.

2. על אף האמור בפרט 1(3), על מאגר מידע המקיים אחד מאלה, לא חלה רמת האבטחה הבינונית אלא רמת האבטחה הבסיסית:

(תקנה 1)
מאגרי מידע שחלה עליהם רמת האבטחה הגבוהה -
ט' בניסן התשע"ז (5 באפריל 2017)
[1.] ק"ת 7809, התשע"ז (8.5.2017), עמ' 1022.

מפת מסמך

1. הגדרות
2. מסמך הגדרות המאגר
3. ממונה על אבטחת מידע
4. נוהל אבטחה
5. מיפוי מערכות המאגר וביצוע סקר סיכונים
6. אבטחה פיזית וסביבתית
7. אבטחת מידע בניהול כוח אדם
8. ניהול הרשאות גישה
9. זיהוי ואימות
10. בקרה ותיעוד גישה
11. תיעוד של אירועי אבטחה
12. התקנים ניידים
13. ניהול מאובטח ומעודכן של מערכות המאגר
14. אבטחת תקשורת
15. מיקור חוץ
16. ביקורות תקופתיות
17. שמירת נתוני אבטחה
18. גיבוי ושחזור של נתוני אבטחה
19. חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו ותיעוד ביצוע פעולה
20. סמכויות הרשם
21. תחולה וסייגים לתחולה
22. תחילה
23. הוראת מעבר
24. ביטול
25. יחס לחיקוקים אחרים
1.
2.
תוספת שנייה