כללי נתוני אשראי (אבטחת מידע), התשע"ט-2018 1

(1) יהיה עובד בכיר בארגון;

(2) יהיה בעל כישורים בתחום איסוף המידע ורישומו באופן המאפשר להטיל עליו אחריות אישית;

(3) יהיה כפוף לכללים לשמירת אי–תלותו המקצועית ולמניעת ניגוד עניינים אשר ייקבעו על ידי מקור המידע;

(4) יפעל בתיאום עם הגורם האחראי על אבטחת המידע של מקור המידע בכל הנוגע להיבטי אבטחת מידע, וכן עם גורמים אחרים במקור המידע הרלוונטיים לביצוע תפקידו.

(ב) מקור מידע יפעיל מערך לאיסוף המידע אשר יועבר למאגר באופן שיוודא שמירה על שלמותו, מהימנותו, עדכניותו וזמינותו, בין השאר, תוך יישום הרשאות גישה, אמצעי אבטחה מקובלים אשר יבטיחו הגנה על מערכות המידע של הארגון, בקרה וביקורת מתאימים.

(ג) מערכות המידע המשמשות את מקור המידע לצורך העברת המידע למאגר המידע יהיו אמינות, ויאפשרו שמירה על המשכיות עסקית כך שאיכות המידע ויכולת הדיווח למאגר לא ייפגעו באופן מהותי.

(ד) מקור מידע יבחן מעת לעת, וכן בהתרחש שינויים טכנולוגיים, עסקיים, ארגוניים ורגולטוריים או אירועי אבטחת מידע, את הצורך בעדכון רמת האבטחה של מערכות המידע המשמשות את מקור המידע לצורך העברת המידע למאגר המידע.

(ה) מקור המידע יוודא אחת לשנה שאין במידע שהוא מעביר למאגר, מידע שאין הוא נדרש להעביר למאגר לפי החוק.

(ו) גילה מקור מידע ליקוי או תקלה שיש להם השפעה מהותית על המערכת לשיתוף בנתוני אשראי, ידווח עליה לממונה באופן מיידי וכן ידווח על הצעדים שנקט בעקבות האירוע, לרבות בהתאם להוראות הממונה.

(ב) העברת המידע ממקור המידע אל המאגר תיעשה באופן שימנע פגיעה במהימנות ושלמות הנתונים, או חשיפתם לידיעתו או לשימושו של גורם בלתי מורשה, ותהיה מוצפנת באופן אשר יגדיר מנהל המאגר; מנהל המאגר יקיים בקרה על תהליך העברת המידע למאגר ויוודא כי הוא מועבר למאגר, והכול בהתאם להוראות הממונה.

(ג) מנהל המאגר יקיים תהליכי בקרה על איכות הקלט ושלמות המידע שהועבר למאגר ויודיע למקור המידע המדווח על מידע שגוי או פגום שהתגלה בתהליך הקלט או כל תקלה אחרת אשר זיהה.

(ד) מנהל המאגר ידווח לממונה על ליקויים כאמור בסעיפים קטנים (ב) ו–(ג); הממונה יפעל לבירור הליקויים מול מקור המידע ולמתן הנחיות למקור המידע לשם תיקונם.

(1) יקבע נוהל אבטחת מידע אשר יכלול, בין השאר, הוראות לעניין נושאים אלה:

(א) הגדרת האמצעים לעניין האבטחה הפיזית שנועדו להגן על מערכות המחשוב והתשתית ואופן הפעלתם לשם כך, ובלבד שאמצעים אלה יכללו, לכל הפחות, מתחם ייעודי מבודד ומנוטר, אמצעים להבטחת זיהוי כניסה לאתרים שבהם מצויות מערכות המחשוב והתשתיות, נעילת חדרים וארונות במתחם ומצלמות אבטחה;

(ב) הרשאות גישה למידע במאגר, לרבות לצורך שימוש במידע במאגר, למערכות תשתית המחשוב ולמערכות תקשורת ואבטחת מידע, ובכלל זה הקצאת הרשאת גישה על בסיס תפקיד ואחריות, איסור גישה למידע שלא לצורך מילוי תפקיד, ניהול מרוכז של הרשאות, מתן גישה למשתמשים המתקדמים (מנהלנים) רק באמצעות ((Privil eged Accou nts Secu rity PAS, ביטול הרשאות בתום העסקת העובד ובקרה תקופתית על ההרשאות; הרשאת גישה למידע במאגר תינתן רק לבעלי הסיווג הביטחוני המתאים הנהוג בבנק ישראל לגבי מורשי גישה למאגרי מידע בבנק ישראל;

(ג) ביצוע הדרכות למורשי הגישה למידע במאגר, למורשי הגישה למערכות תשתית המחשוב ולמערכות תקשורת ואבטחת מידע ולמורשי שימוש במידע; הדרכות כאמור יכללו הנחיות ועדכונים בתחומי אבטחת המידע והגנת הפרטיות;

(ד) ביצוע סקר סיכונים שיכלול, בין השאר, התייחסות לסיכונים שחשוף להם המידע שבמאגר במסגרת הפעילות השוטפת, לרבות הסיכונים הנובעים ממבנה מערכות המאגר, חומרה ותוכנה, מהשימושים במידע, ומהמשתמשים והממשקים; הסקר האמור יכלול תכנית להפחתת הסיכונים, יבוצע בתדירות של אחת ל–18 חודשים לכל הפחות, ותוצאותיו יועברו לממונה;

(ה) אופן הטיפול במידע לצורך הנגשתו כמידע לא מזוהה ללשכות האשראי ולבנק ישראל לשם מילוי תפקידם ובהתאם למדיניות שתיקבע בנושא, ובלבד שהנגשת המידע תתבצע באמצעות הפעלת שירות אירוח מחשוב פרטי ותהליכי העבודה יכללו מגבלות על אופן ההכנסה וההוצאה של מידע, ניהול הרשאות למספר מצומצם של משתמשים, בקרה על מידע שמאושר להוצאה מהמאגר, אבטחה פיזית של מתחמי פעילות, החתמת משתמשים על הסכם שימוש, ביצוע הדרכות וקביעת סנקציות;

(ו) התמודדות עם אירועי אבטחת מידע לפי חומרת האירוע ומידת רגישות המידע, וכן ניטור מערכות לאורך כל שעות היממה על ידי צוות ייעודי וכלים ייעודיים למטרה זו, קביעת חוקת התראות ונוהלי דיווח, הגדרת יעדי שירות מזעריים בהתרחש אירועי אבטחת מידע והגדרת צעדי תגובה נדרשים;

(ז) כללי שימוש בהתקנים ניידים לרבות קביעה של סוגי ההתקנים המותרים לשימוש, חסימת אפשרות החיבור של אמצעים אלה לרכיבי המערכת למעט מקרים חריגים כגון עמדות ייעודיות להכנסת מידע ולהוצאת מידע והכול בכפוף להרשאות גישה;

(ח) היבטי אבטחת מידע הקשורים בגיבוי מידע ובלבד שיפורטו תהליכי הגיבוי על סוגיהם השונים, תדירותם, אופן שמירתם ואופן השימוש בהם לצורך השחזור;

(ט) תיאור של אמצעים נוספים שמטרתם הגנה על מערכות המאגר ואופן הפעלתם לצורך כך;

(2) יבצע בדיקות תקופתיות לרבות מבדקי חדירות בתדירות של אחת ל–18 חודשים, לכל הפחות, כדי לוודא את קיומם ותקינותם של אמצעי האבטחה השונים, לרבות אמצעי האבטחה שנקבעו לפי פסקה (1);

(3) יורה על הנחיות לגבי אופן ביצוע פעולות הפיתוח במאגר ותיעודן, ובכלל זה הגישה של אנשי הפיתוח לנתונים במאגר, כגון קיום סביבת פיתוח נפרדת, עבודה בהתאם לשיטת פיתוח מאובטחת ושימוש בנתונים סינטטיים בלבד.

(4) יבחן אחת ל–18 חודשים את הצורך בעדכון נוהלי אבטחת מידע; אם מתבצע שינוי טכנולוגי, ארגוני או שינוי תהליכי עבודה, שהוא שינוי מהותי, או בהתרחש אירועי אבטחת מידע, ייבחן הצורך בעדכון נוהלי אבטחת המידע באופן מיידי.

(ב) נוהל אבטחת המידע וכל שינוי מהותי בו יובאו לאישורו של הנגיד.

(ב) מנהל המאגר יוודא כי ננקטים אמצעים לבקרה ותיעוד של הכניסה והיציאה מהאתר שבו מצויות מערכות המידע ושל הכנסה והוצאה של ציוד אל האתר וממנו.

(ג) מנהל המאגר ינהל רישום מעודכן של מורשי הגישה למידע מזוהה ולמידע לא מזוהה הקיים במאגר, תפקידיהם והרשאות הגישה שלהם אשר נקבעו לפי סעיף 3(א)(1)(ב); הרשאות הגישה ייקבעו על בסיס הגדרות תפקיד ובמידה הנדרשת לביצוע התפקיד.

(ד) מנהל המאגר יקיים נתיבי גישה מוגדרים ומבוקרים לצורך הגישה למידע במאגר ויבטיח כי ניסיון גישה בנתיב שאינו מורשה ייחסם, ינוטר ויתועד.

(1) המנגנון יאפשר את תיעוד הגישה למערכות המידע ויכלול את הנתונים הנדרשים לצורך מעקב אחר הגישה למערכות ובכלל זה נתונים בדבר זהות המשתמש, התאריך והשעה של ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה, סוג הגישה, היקפה, ואם הגישה אושרה או נדחתה (להלן - נתוני הגישה); נתוני הגישה יישמרו למשך 24 חודשים לפחות;

(2) מורשים בלבד אשר נקבעו לשם כך באופן מפורש על ידי מנהל המאגר, יוכלו לשנות או לבטל באופן חריג הפעלה של המנגנון האמור בפסקה (1) בהתאם לנוהל שיקבע מנהל המאגר לשינוי או ביטול המנגנון ובכפוף למסלול אישורים שייקבע בו.

(ב) מנהל המאגר יקיים מערכות לניטור וניהול אירועי אבטחת מידע שיתייחסו לכלל המידע בנתיבי בקרה מוגדרים; המערכות יפעלו באופן שוטף ובזמן אמת ויתריעו על הפרות שהוגדרו בחוקת ההתראות לפי סעיף 3(א)(1)(ו); ייעשה שימוש במערכות כגון: (SIEM (Secu rity information and event management, ו–(User and Entity Behavior Anal ytics) UEBA.

(ג) מנהל המאגר יקיים נוהל בדיקה שגרתי של נתוני נתיב הבקרה ודיווחי הניטור, יורה על לוח זמנים לתיקון ליקוי שהתגלה לפי חומרתו ויוודא את תיקונו.

(ד) המערכת לניטור וניהול אירועי אבטחת מידע תקבל דיווחים ממערכות המידע השונות הכלולות במאגר על אודות חשש לאירועים חריגים הנוגעים לאיומים על המידע.

(ב) המידע יועבר מהמאגר ללשכת האשראי בערוצי תקשורת מבוקרים ומנוטרים, ובשדות שייקבעו בידי הממונה.

(ג) העברת המידע תיעשה באופן מאובטח תוך יישום תהליכי הגנה מקובלים להעברת מידע ובכלל זה שימוש בשיטות הצפנה מקובלות, וידוא הגעת נתונים ליעדם והגבלת גישה לנתונים בהתחשב בצורכי השימוש במידע והמגבלות אשר נקבעו לפי החוק.

(ד) מנהל המאגר יישם טכניקות הגנה והצפנה מקובלות ויתקף מזמן לזמן את העדכניות שלהן תוך הסתמכות על תקנים בין–לאומיים מוכרים.

(ה) מנהל המאגר יגדיר ויישם נוהל לניהול מפתחות הצפנה, שיכלול הוראות לכל מחזור החיים של מפתחות ההצפנה, לרבות חילול, הפצה, שמירה, עדכון וביטול.

(ו) לא תינתן גישה למידע המצוי במאגר לגורם שאינו מורשה או לשימושים שאינם מותרים לפי החוק; מנהל המאגר יתעד וידווח לממונה על מקרה שבו בוצע שימוש בלא הרשאה או בחריגה מהרשאה ומהשימושים המותרים.

(ב) לשכת אשראי תפעל למחיקת נתוני האשראי המזוהים שהועברו אליה מהמאגר בהתאם לקבוע בתקנות נתוני אשראי, התשע"ח-2017, ובהתאם להוראות הממונה.

(ג) מחיקת הנתונים תתבצע באופן שלא יאפשר את קריאתם על ידי יישומים טכנולוגיים, לרבות מערכות ההפעלה המשמשות את מערכות המידע של לשכת האשראי, למעט קריאתם תוך הסתמכות על גיבויים או קובצי רישום (l og).

(ד) לשכת אשראי תקבע נוהל עבודה להליך מחיקת הנתונים המזוהים המתקבלים מהמאגר, שיכלול, בין השאר, הוראות לעניין הנושאים המפורטים להלן ותביאו לאישור הממונה:

(1) הגורם האחראי להליך;

(2) תדירות ועיתוי המחיקה;

(3) זיהוי המערכות בהן נדרש לבצע מחיקה;

(4) אמצעי המחיקה;

(5) תהליכי בקרה שוטפים.