linkedin
להרשמה לניוזלטר
12.05.2024 עדכון לקוחות
מסמך הרשות להגנת הפרטיות בעניין סקר סיכונים ומבדקי חדירות
אודות תחומי פעילות

הרשות להגנת הפרטיות פרסמה מסמך בעניין עמדתה והמלצותיה לגבי עריכת סקר סיכונים ומבדקי חדירות.

לעמדת הרשות, יש לבצע סקר סיכונים בתהליך עסקי מסויים, בעת שינויים טכנולוגיים משמעותיים במערכות המידע בארגון, בעת שינוי משמעותי ברכיבי מסמך הגדרות המאגר ובכל מקרה מיד בסמוך לאחר הפעלת המאגר והקמת מערכות המאגר. מלבד החובה לערוך סקר סיכונים אחת לשמונה עשר חודשים, שחלה על מאגרים ברמת אבטחה גבוהה על פי תקנות אבטחת מידע, שאר המצבים המנויים במסמך הרשות כלל לא מופיעים בתקנות.

הרשות מרחיבה הרחבה נוספת בכך שהיא מתייחסת לביצוע סקר סיכונים כמיישם הוראות אחרות בתקנות – ובעיקר סקר סיכונים כמיישם את החובה להגדיר את סיכוני האבטחה במסגרת מסמך הגדרות המאגר לפי תקנה 2, התייחסות לסיכוני אבטחה במסגרת נוהל האבטחה הנדרש לפי תקנה 4, התייחסות לסיכונים שעולים בסקר הסיכונים גם בנוהל בעניין שימוש בהתקנים ניידים בארגון לפי תקנה 12 (אם יש כאלה), וכן מיפוי של סיכוני אבטחת מידע שעולים במסגרת התקשרות עם ספק מיקור חוץ לפי תקנה 15. כאן הרשות מרחיקה במיוחד וטוענת כי "ארגון שלא ערך סקר לבחינת הסיכונים המיוחדים להתקשרות עם גורם חיצוני… לא יוכל להבטיח שספקיו לא יסכנו אותו ואת לקוחותיו בהיבטי אבטחת מידע".

עוד מציינת הרשות כי אמנם ביצוע סקר סיכונים ומבדקי חדירות מהווים שניהם חובות שחלות על מאגרים ברמה גבוהה, אך היא רואה בביצועם פרקטיקה רצויה בכל ארגון וביחס לכל מאגר שמכיל מידע אישי. זו כמובן הרחבה מעבר לתקנות ואף אמירה מכבידה למדי, משום שמדובר בתהליכים יקרים וממושכים יחסית, שקשה להטמיעם בארגונים מסוימים או ביחס לכל סוגי עיבודי המידע בארגון.

מבחינת מבדקי חדירות, עמדת הרשות היא שיש לבצעם מיד בסמוך לאחר תחילת עיבוד המידע וכן לפחות כל 18 חודשים, ולא להמתין 18 חודשים עד ביצועם לראשונה. בכך היא מוסיפה חובת ביצוע במועד שלא קיים  בתקנות לא רק בקשר לסקר סיכונים אלא גם בקשר לביצוע מבדקי חדירה, וזאת בניגוד לעמדה הנפוצה.

הרשות מתייחסת לרמות השונות שיש בדר"כ למבדקי חדירות, ומזכירה את הצורך בקבלת אישור האורגן המוסמך בארגון לבצעם כדי להימנע מעבירות על חוק המחשבים (אם כי הרשות לא מוסמכת לפעול מכוחו או על פיו).

לבסוף, הרשות מציינת כי ביצוע סקר סיכונים ומבדקי חדירות מסייעים גם בעריכת תסקיר השפעה על הפרטיות ובפרק הסיכונים שראוי לדעתה להיכלל בו.

נציין כי חלק מהנושאים ומאמירות הרשות המופיעים במסמך עלו במסגרת הדיונים בתיקון 14 לחוק, והמסמך שפורסם מהווה לדעתנו ביטוי לעובדה שהרשות מתחילה לפרסם מסמכים בקשר עם סוגיות שעולות במסגרת הדיונים בתיקון 14 וביטוי לאמירותיה הרבות של הרשות בדבר היערכותה לתיקון למרות שהוא טרם עבר.

 

אנו עומדים לרשותכם בכל שאלה,

אייל שגיאשיר שושני כץ וצוות מחלקת משפט וטכנולוגיה

האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.