éøåùìéí,

éøåùìéí,

Raya Eigel

2016-10-06moj



תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו- 2016

בתוקף סמכותי לפי סעיף 36 לחוק הגנת הפרטיות, התשמ"א-1981

 (להלן - החוק), ובאישור ועדת חוקה חוק ומשפט של הכנסת, אני מתקינה תקנות אלה:

הגדרות

בתקנות אלה -

"אירוע אבטחה חמור" - כל אחד מאלה:
במאגר מידע שחלה עליו רמת אבטחה גבוהה  -  אירוע שנעשה בו שימוש במידע מן המאגר, לרבות אירוע בו היתה כניסה למערכות המאגר באופן שמאפשר גישה למידע שבמאגר, בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע; 
במאגר מידע שחלה עליו רמת אבטחה בינונית - אירוע שנעשה בו שימוש בחלק מהותי מן המאגר בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע לגבי חלק מהותי מן המאגר;                                                      
"התקן נייד" -  אחד מאלה: 

(1)

מחשב המיועד לשימוש נייד ובכלל זה רדיו טלפון נייד כהגדרתו בחוק התקשורת (בזק ושידורים), התשמ"ב-1982

 ;

(2)

מצע אחר המשמש לאחסון חומר מחשב;

"חומר מחשב" ו- "מחשב"– כהגדרתו בחוק המחשבים, התשנ"ה- 1995

;
"מאגר מידע" ו-"רשם" - כהגדרתם בפרק ב' לחוק;

"מאגרים שחלה עליהם רמת האבטחה הבינונית" - מאגרי מידע מן הסוגים המפורטים בתוספת הראשונה; 

"מאגרים שחלה עליהם רמת האבטחה הגבוהה" - מאגרי מידע מן הסוגים המפורטים בתוספת השנייה; 

"מידע ביומטרי" – מידע המשמש לזיהוי אדם, שהוא מאפיין אנושי פיזיולוגי, ייחודי, הניתן למדידה ממוחשבת;

"ממונה על אבטחה"  - כמשמעותו בסעיף 17ב לחוק;

"מערכות המאגר" - מערכות המשמשות את המאגר ואשר יש להן חשיבות בהיבטי אבטחת מידע;

"נושא המידע" – האדם אודותיו קיים מידע במאגר המידע;

"עובד"  - יחיד המועסק על ידי בעל מאגר או מחזיק, במישרין או בעקיפין, ואשר יש לו גישה לאחד מאלה בנוגע למאגר מידע על פי הרשאתו של בעל המאגר או המחזיק: 
(1) מידע; 
(2) מערכות המחשוב של המאגר; 
(3) מידע או רכיב הנדרש לצורך הפעלת המאגר או לצורך גישה אליו.

"רשת ציבורית" – רשת תקשורת המאפשרת שימוש גם על ידי מי שאינו עובד.

מסמך הגדרות המאגר

בעל מאגר מידע יגדיר במסמך הגדרות מאגר (להלן – מסמך הגדרות המאגר), את כל העניינים האלה לפחות: 

תיאור כללי של פעולות האיסוף והשימוש במידע לצורך פעילותו  (להלן – פעולות שימוש במידע); 

תיאור מטרות השימוש במידע;

סוגי המידע השונים הכלולים במאגר המידע, בשים לב לרשימת סוגי המידע שבפרט 1(3) בתוספת הראשונה;

פרטים על העברת מאגר המידע, או חלק מהותי ממנו אל מחוץ לגבולות המדינה או שימוש במידע מחוץ לגבולות המדינה, מטרת ההעברה, ארץ היעד, אופן ההעברה וזהות הנעבר;

פירוט פעולות עיבוד מידע באמצעות מחזיק;

הסיכונים העיקריים של פגיעה באבטחת המידע, ואופן ההתמודדות עמם;

שמו של מנהל מאגר המידע ושל הממונה על אבטחת מידע בו, אם מונה כזה.

בעל מאגר מידע יעדכן את מסמך הגדרות המאגר בכל עת שנעשה שינוי בנושאים המפורטים בתקנת משנה (א), ויבחן את הצורך בעדכון כאמור, בשל שינויים טכנולוגים ארגונים או אירועי אבטחה כאמור בתקנה 11, בכל שנה עד ה- 31 בדצמבר.

בעל מאגר מידע יבחן, אחת לשנה, אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר .

ממונה על אבטחת מידע 

חלה חובה למנות ממונה על אבטחת מידע, או מונה ממונה על אבטחת מידע במאגר המידע יחולו הוראות אלה: 

(1) בעל מאגר לא ימנה ממונה על אבטחה אלא אם כן הוא  כפוף ישירות למנהל מאגר המידע או למנהל פעיל של בעל המאגר או המחזיק בו, לפי העניין, או לנושא משרה בכירה אחר הכפוף ישירות למנהל המאגר; 
(2) הממונה על אבטחה יכין נוהל אבטחת מידע ויביאו לאישור בעל המאגר;
(3) הממונה יכין תכנית לבקרה שוטפת על העמידה בדרישות תקנות אלה, יבצע אותה  ויודיע לבעל מאגר המידע ולמנהל המאגר על ממצאיו;

(4) הממונה על אבטחה לא ימלא תפקיד נוסף שעלול להעמידו בחשש לניגוד עניינים במילוי תפקידו לפי תקנות אלה;

(5) הטיל בעל מאגר המידע על ממונה על אבטחה משימות נוספות על החובות המנויות בפסקאות (2) ו-(3), לשם ביצוע תקנות אלה, יגדירן בצורה ברורה; בעל מאגר המידע יקצה לממונה את המשאבים הדרושים לו לשם מילוי תפקידו.

נוהל אבטחה                            
בעל מאגר המידע יקבע במסמך נוהל אבטחת מידע (להלן –  נוהל האבטחה) לפי מסמך הגדרות המאגר ותקנות אלה אשר יחייב את כל העובדים.

בעל מאגר מידע ישמור את נוהל האבטחה כך שפרטים ממנו יימסרו לעובדים רק בהיקף הנדרש לצורך ביצוע תפקידיהם. 

נוהל האבטחה יכלול, בין היתר, התייחסות לכל אלה:

פרטים על העניינים המפורטים בתקנה 5 (א);

הרשאות גישה למאגר המידע, למערכות תשתיות המחשוב, תקשורת ואבטחת המידע בהתאם לתקנה 8;

תיאור של אמצעים שמטרתם הגנה על מערכות המחשוב ותשתיות התקשורת של המאגר ואופן הפעלתם לצורך כך; 

הוראות למורשי הגישה למאגר המידע, מערכות תשתיות המחשוב, התקשורת ואבטחת המידע לצורך הגנה על המידע במאגר;

הסיכונים שחשוף להם המידע במסגרת הפעילות השוטפת של בעל מאגר המידע, לרבות אלה הנובעים ממבנה מערכות המאגר כמפורט בתקנה 5(א), אופן קביעת סיכונים אלה, ואופן הטיפול בהם, לרבות על ידי מנגנוני הצפנה מקובלים להגנה על המידע השמור במאגר או במערכות רגישות הקשורות אליו;

אופן התמודדות עם אירועי אבטחת מידע כאמור בתקנה 11, לפי חומרת האירוע ומידת רגישות המידע;

הוראות בעניין האבטחה הפיזית והסביבתית של מיתקני המאגר כאמור בתקנה 6.

במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יכלול נוהל האבטחה, בנוסף לאמור בתקנת משנה (ג), התייחסות גם לכל אלה: 

אופן הבקרה על השימוש במאגר המידע, ובכלל זה תיעוד הגישה למערכות המאגר כאמור בתקנה 10;

הוראות לעניין ניהול של התקנים ניידים ושימוש בהם כאמור בתקנה 12; 

הוראות לעניין גיבוי הנתונים האמורים בתקנה 18(א)(1); 

הוראות לעניין עריכת ביקורות תקופתיות לוידוא קיומם ותקינותם של אמצעי האבטחה לפי נוהל האבטחה ולפי תקנות אלה כאמור בתקנה 16;

הוראות לעניין אופן ביצוע פעולות פיתוח במאגר ותיעודן, ובכלל אלה אופן הגישה של אנשי הפיתוח לנתונים במאגר. 

בעל מאגר מידע יבחן, אחת לשנה, את הצורך בעדכון הנוהל, ובלי לגרוע מן האמור, יבחן אם יש צורך בעדכונו  של הנוהל במקרים אלה: 

נעשים שינויים מהותיים במערכות המאגר  או בתהליכי עיבוד מידע;
נודע על סיכונים טכנולוגים חדשים הנוגעים למערכות המאגר.                                                      
ארגון שהוא בעל כמה מאגרי מידע, רשאי לקבוע נוהל אבטחה כאמור בתקנה זו, במסמך אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה.

מיפוי מערכות המאגר וביצוע סקר סיכונים

בעל מאגר מידע יחזיק מסמך מעודכן של מבנה מאגר המידע וכן רשימת מצאי מעודכנת של  מערכות המאגר, ובכלל אלה:

תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע; 

מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהול המאגר ולתחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו; 

תוכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן;

תרשים הרשת שפועל בה המאגר, הכולל תיאור הקשרים בין רכיבי המערכת השונים ומיקומם הפיסי של רכיבים אלה;

תאריך העדכון האחרון של המסמך ושל רשימת המצאי. 

במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל המאגר אחראי לכך שייערך סקר לאיתור סיכוני אבטחת מידע   (להלן - סקר סיכונים); בעל מאגר המידע ידון בתוצאות סקר הסיכונים שיועברו לו, יבחן את הצורך בעדכון הגדרות המאגר או נוהל האבטחה בעקבותיהן, ויפעל לתיקון הליקויים שנתגלו במסגרת הסקר, ככל שנתגלו; סקר סיכונים כאמור ייערך אחת לשמונה עשר חודשים לפחות.

במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל המאגר אחראי לכך שייערכו מבדקי חדירות למערכות המאגר לבחינת עמידותן בפני סיכונים פנימיים וחיצוניים, אחת לשמונה עשר חודשים לפחות; בעל המאגר ידון בתוצאות מבדקי החדירות ויפעל לתיקון הליקויים שנתגלו, ככל שנתגלו.

רשימת מצאי תישמר כך שפרטים ממנה יימסרו לעובדים רק בהיקף הנדרש לצורך ביצוע תפקידיהם. 

ארגון שהוא בעל כמה מאגרי מידע, רשאי לקבוע את רשימת המצאי כאמור בתקנת משנה (א), במסמך אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה וכן רשאי לקיים את החובות הקבועות בתקנות משנה (ב) ו-(ג) בסקר סיכונים או במבדק חדירות, לפי העניין, אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת האבטחה.

אבטחה פיזית וסביבתית

בעל מאגר מידע יבטיח כי המערכות המפורטות בתקנה 5(א)(1) יישמרו במקום מוגן, המונע חדירה וכניסה אליו בלא הרשאה, והתואם את אופי פעילות המאגר ורגישות המידע בו.

בעל מאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, ינקוט  אמצעים לבקרה ולתיעוד של הכניסה והיציאה מאתרים שבהם מצויות המערכות המפורטות בתקנה 5(א)(1) ושל הכנסה והוצאה של ציוד אל מערכות המאגר ומהם.

אבטחת מידע בניהול כח אדם

לא ייתן בעל מאגר מידע לעובד גישה למידע המצוי במאגר ולא ישנה היקף הרשאה שניתנה, אלא אם כן נקט אמצעים סבירים, המקובלים בהליכי מיון עובדים ושיבוצם, כדי לברר שאין חשש כי העובד אינו מתאים לקבלת גישה למידע המצוי במאגר; אמצעים כאמור יינקטו בשים לב לרגישות המידע שבמאגר ולהיקף הרשאות הגישה לתפקיד שמיועד לו העובד הנוגע בדבר, כאמור בתקנה 8. 

בטרם יקבלו גישה למידע ממאגר המידע או לפני שינוי היקף הרשאותיהם יקיים בעל מאגר מידע הדרכות לעובדים בנושא החובות לפי החוק ותקנות אלה, וימסור להם מידע אודות חובותיהם לפי החוק ונוהל האבטחה.

במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יקיים בעל המאגר פעילות הדרכה תקופתית לעובדיו, בדבר מסמך הגדרות המאגר, נוהל האבטחה והוראות אבטחת המידע לפי החוק ולפי תקנות אלה, בהיקף הנדרש לצורך ביצוע תפקידיהם, ובדבר חובות העובדים לפיהם; הדרכה כאמור תיערך אחת לשנה לפחות, ולגבי הסמכה של עובד לתפקיד חדש - סמוך ככל האפשר למועד תחילת הסמכתו.

ניהול הרשאות גישה

בעל מאגר מידע יקבע הרשאות גישה של עובדים למאגר המידע ולמערכות המאגר, בהתאם להגדרות תפקיד; הרשאת הגישה לכל תפקיד תהיה במידה הנדרשת לביצוע התפקיד בלבד. 

בעל מאגר מידע ינהל רישום מעודכן של תפקידים, הרשאות הגישה שניתנו להם, ושל העובדים הממלאים תפקידים אלה (להלן – רשימת ההרשאות התקפות). 

זיהוי ואימות

בעל מאגר מידע ינקוט אמצעים כדי לוודא לפי רשימת ההרשאות התקפות כי הגישה למידע במאגר המידע נעשית בידי עובד המורשה לכך בלבד. 

במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, ייקבעו בנוהל האבטחה גם הוראות לעניין האמצעים כאמור בתקנת משנה (א), ובכללן בנושאים אלה:

אופן הזיהוי, שייעשה ככל הניתן על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המורשה; היה אופן הזיהוי מבוסס על סיסמאות, יתייחס הנוהל גם לחוזק הסיסמה, מספר הניסיונות השגויים, ותדירות החלפת הסיסמאות שתיעשה בהתאם לתפקיד מורשה הגישה, ובכל מקרה לתקופה שלא תעלה על ששה חודשים;                                                                    
ניתוק אוטומטי לאחר פרק זמן של אי פעילות;

אופן הטיפול בתקלות הקשורות באימות זהות.

בעל מאגר מידע ידאג לביטול ההרשאות של עובד שסיים את תפקידו ובמידת האפשר לשינוי סיסמאות למאגר ולמערכות המאגר, שהעובד עשוי היה לדעת, מיד עם סיום תפקידו של העובד.

בקרה ותיעוד גישה                            
במערכות של מאגר מידע אשר חלה עליו רמת האבטחה הבינונית או הגבוהה ינוהל מנגנון תיעוד אוטומטי שיאפשר בקרה וביקורת על הגישה למערכות המאגר (בתקנה זו – מנגנון הבקרה), ובכלל זה נתונים אלה: זהות המשתמש, התאריך והשעה של ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה, סוג הגישה, היקפה, ואם הגישה אושרה או נדחתה. 

מנגנון הבקרה לא יאפשר, ככל הניתן, ביטול או שינוי של הפעלתו; מנגנון הבקרה יאתר שינויים או ביטולים בהפעלתו ויפיץ התראות לאחראים.

בעל מאגר מידע יקבע נוהל בדיקה שגרתי של נתוני התיעוד של מנגנון הבקרה, ויערוך דו"ח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן.

נתוני התיעוד של מנגנון הבקרה יישמרו למשך 24 חודשים לפחות.

בעל מאגר מידע יידע את העובדים במאגר בדבר קיום מנגנון הבקרה למערכות המאגר.

תיעוד של אירועי אבטחה

בעל מאגר מידע אחראי לתיעוד אירועים המעלים חשש לפגיעה בשלמות המידע לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן - אירועי אבטחה); ככל הניתן יבוסס התיעוד האמור על רישום אוטומטי. 

בנוהל האבטחה יקבע בעל מאגר מידע  גם הוראות לעניין התמודדות עם אירועי אבטחת מידע, לפי חומרת האירוע ומידת רגישות המידע, לרבות לעניין ביטול הרשאות וצעדים מיידים אחרים הנדרשים וכן לעניין דיווח לבעל המאגר על אירועי אבטחה ועל פעולות שננקטו בעקבותיהם.

במאגר מידע שחלה עליו רמת האבטחה הבינונית, יקיים בעל המאגר דיון אחת לשנה לפחות באירועי האבטחה ויבחן את הצורך בעדכונו של נוהל האבטחה.

במאגר מידע שחלה עליו רמת האבטחה הגבוהה, ייערך דיון כאמור בתקנת משנה (ג) אחת לרבעון לפחות.

ארע אירוע אבטחה חמור, יודיע על כך בעל המאגר לרשם באופן מיידי, וכן ידווח לרשם על הצעדים שנקט בעקבות האירוע. 
ארע אירוע אבטחה חמור, רשאי הרשם להורות לבעל מאגר המידע, למעט לבעל מאגר מידע מן המנויים בסעיף 13(ה) לחוק, לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר, להודיע על אירוע האבטחה לנושא מידע שעלול להיפגע מן האירוע.                           
התקנים ניידים 

בעל המאגר יגביל או ימנע אפשרות לחיבור התקנים ניידים למערכות המאגר במתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, את רגישות המידע, את הסיכונים המיוחדים למערכות המאגר או למידע הנובעים מחיבור ההתקן הנייד וקיומם של אמצעי הגנה מתאימים מפני  סיכונים אלה; בעל מאגר מידע המאפשר שימוש במידע מהמאגר בהתקן נייד או העתקה שלו להתקן נייד ינקוט אמצעי הגנה בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד; לעניין זה יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים. 

ניהול מאובטח ומעודכן של מערכות המאגר

בעל מאגר מידע יקפיד על ניהול ותפעול תקין של מערכות המאגר, לפי המקובל בהפעלת מערכות כאלה. 

(ב)    בעל מאגר מידע יפריד, בהיקף ובמידה הסבירים האפשריים, בין מערכות המאגר אשר ניתן לגשת מהן למידע, לבין מערכות מחשוב אחרות המשמשות את בעל המאגר.

(ג)   בעל מאגר מידע ידאג לכך שייערכו עדכונים שוטפים של המערכות והתוכנות המשמשות לגישה אל המידע במאגר המידע ולהגנה עליו, לרבות חומר המחשב הנדרש לפעולתן; לא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן אלא אם כן ניתן מענה אבטחתי מתאים.

אבטחת תקשורת

בעל מאגר מידע לא יחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת ללא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב.

העברת מידע ממאגר המידע, ברשת ציבורית או באינטרנט, תיעשה תוך שימוש בשיטות הצפנה מקובלות. 

במאגר מידע שניתן לגשת אליו מרחוק, באמצעות רשת האינטרנט או רשת ציבורית אחרת, ייעשה שימוש בנוסף לאמצעי אבטחה כאמור בתקנות משנה (א) ו-(ב), באמצעים שמטרתם לזהות את המתקשר והמאמתים את הרשאתו לביצוע הפעילות מרחוק ואת היקפה; לעניין גישה של עובד למאגר מידע ברמה הבינונית והגבוהה ייעשה שימוש באמצעי פיזי הנתון לשליטתו הבלעדית של העובד.

מיקור חוץ

בעל מאגר המתקשר עם גורם חיצוני לצורך קבלת שירות, הכרוך במתן גישה למאגר המידע -

יבחן, לפני ביצוע ההתקשרות עם הגורם החיצוני המסוים כאמור, את סיכוני אבטחת המידע הכרוכים בהתקשרות;

יקבע במפורש בהסכם עם הגורם החיצוני (בתקנה זו – ההסכם) את כל אלה, בשים לב לסיכונים לפי פסקה (1): 

המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצרכי ההתקשרות;

מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן;

סוג העיבוד או הפעולה שהגורם החיצוני רשאי לעשות;

משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, השמדתו מרשותו של הגורם החיצוני ודיווח על כך לבעל מאגר המידע;

החובות בתחום אבטחת המידע החלות על הגורם החיצוני לפי תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, אם קבע; 

חובתו של הגורם החיצוני להחתים את עובדיו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם כאמור בפסקת משנה (ה);

התיר בעל מאגר מידע לגורם החיצוני לתת את השירות באמצעות גורם נוסף – חובתו של הגורם החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה זו;

חובתו של הגורם החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע אודות אופן ביצוע חובותיו לפי תקנות אלה וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה;

יפרט בנוהל האבטחה של המאגר גם את העניינים המנויים בפסקה (2)(א) עד (ה), וכן יפנה בו במפורש להסכם עם הגורם החיצוני ולנוהל האבטחה שלו;

ינקוט אמצעי בקרה ופיקוח כדי לוודא את עמידתו של הגורם החיצוני בהוראות ההסכם ובהוראות תקנות אלה, בהיקף הנדרש בשים לב לסיכונים האמורים בפסקה (1).

(ב) ארגון שהוא בעל כמה מאגרי מידע, המתקשר עם גורם חיצוני לצורך מתן שירות הכרוך בגישה אליהם בידי הגורם החיצוני, רשאי לקיים את הוראות תקנת משנה (א)(2) בהסכם אחד לעניין כל מאגרי המידע ובלבד שהם באותם רמת אבטחה.

(ג)תקנה זו לא תחול על עובד.

ביקורות תקופתיות                            
(א) במאגר מידע שחלה עליו רמת האבטחה הבינונית  או הגבוהה, בעל המאגר אחראי לכך שתיערך, אחת ל- 24 חודשים לפחות, ביקורת פנימית או חיצונית, על ידי גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע שאינו ממונה האבטחה של המאגר, כדי לוודא את עמידתו בהוראות תקנות אלה. 

(ב) בדו"ח הביקורת ידווח המבקר על התאמת אמצעי האבטחה לנוהל האבטחה ולתקנות אלה, יזהה ליקויים ויציע אמצעים הדרושים לתיקון המצב, ויסתמך גם על ממצאים ממערכות המאגר. 

(ג) בעל מאגר המידע ידון בדוחות הביקורת  שיועברו  לו, ויבחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהם. 

(ד) בעל מאגר מידע שחלה עליו רמת האבטחה הגבוהה, רשאי לקיים החובה הקבועה בתקנה זו במסגרת עריכת סקר סיכונים שמתקיים בו האמור בתקנת משנה (ב).

(ה) ארגון שהוא בעל כמה מאגרי מידע, רשאי לקיים את החובה הקבועה בתקנה זו במסגרת ביקורת אחת לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה. 

שמירת נתוני אבטחה

בעל מאגר מידע ישמור את הנתונים הנצברים לצורך עמידה בהוראות תקנות 6(ב), 8 עד 11, 14, 15(א)(4) ו-16 באופן מאובטח למשך 24 חודשים.

גיבוי ושחזור 

במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יקבע בעל המאגר במסמך - 

נהלי עבודה לביצוע גיבוי של הנתונים הנצברים לצורך עמידה בהוראות תקנות  6(ב), 8 עד 11  14, 15(א)(4) ו- 16 באופן תקופתי שגרתי;  

נהלים, כדי להבטיח שבכל עת ניתן יהיה לשחזר את הנתונים האמורים בפסקה (1)  למצבם המקורי ובלבד שביצוע השחזור יהיה באישור מנהל המאגר;                                                                    
כי במסגרת תיעוד אירועי אבטחה כאמור בתקנה 11, יתועדו גם הליכי שחזור המידע לפי התקנה האמורה, ובכלל אלה - זהותו של מי שביצע את הליכי השחזור ופרטי המידע ששוחזר.

במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל מאגר אחראי לכך שיישמר עותק הגיבוי של הנתונים האמורים בתקנה (א) ושל הנהלים כאמור בתקנת משנה (א)(2), באופן שיבטיח את שלמות המידע ואת אפשרות השחזור של המידע במקרה של אובדן או הרס.

חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו                            
(א) החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר, ולמעט החובות הקבועות בתקנות 2 ו-15(א) - הן יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין.

(ב)  מי שמוטלת עליו בתקנות אלה חובה או אחריות לביצוע פעולה, נדרש לתעד באופן סביר את אופן ביצוע הפעולה לפי העניין; הרשם רשאי לתת הוראות לעניין אופן תיעוד כאמור.

סמכויות הרשם

20.

הרשם רשאי לפטור מאגר מסוים, בהודעה בכתב לבעל המאגר, מחובות אבטחת מידע לפי תקנות אלה, או להחיל על מאגר מסוים חובות לפי תקנות אלה, כולן או חלקן, בין היתר בהתחשב בגודל המאגר, סוג המידע שנמצא בו, היקף הפעילות של המאגר או מספר העובדים בו; בהודעה כאמור יקבע הרשם את המועד לתחילת הפטור או ההחלה, לפי העניין, ויכול שיקבע מועדים שונים לעניין תקנות שונות.

הרשם רשאי להורות כי מי שיעמוד בהוראות מסמך מנחה בעניין אבטחת מידע או בהנחיות של רשות מוסמכת בעניין אבטחת מידע החלות עליו, יראו אותו כמקיים הוראות תקנות אלה, כולן או חלקן, אם השתכנע כי עמידה בהוראות תקן מקובל או הנחיות רשות מוסמכת אלה, לפי העניין, באופן שהורה לפי תקנות אלה, מבטיחה את רמת האבטחה הקבועה בתקנות אלה לגבי אותו מאגר מידע; לעניין זה -

"רשות מוסמכת" - גוף ציבורי המוסמך על פי דין לתת הנחיות בעניין אבטחת מידע;

"מסמך מנחה בעניין אבטחת מידע" –תקן רשמי, תקן ישראלי או תקן בין-לאומי כמשמעותם בחוק התקנים, התשי"ג-1953

, או  או מסמך ייחוס, שהרשם אישר לעניין זה. 

תחולה וסייגים לתחולה

21.

תקנות אלה יחולו על -  
(1) מאגרי מידע שחלה עליהם רמת האבטחה הגבוהה;                                                       
(2) מאגרי מידע  שחלה עליהם רמת האבטחה הבינונית - למעט תקנות 5(ב), ו-(ג), 11(ד), 16(ד) ו- 18(ב); 

(3) מאגרי מידע שאינם מאגרים שחלה עליהם רמת האבטחה הבינונית או הגבוהה -  למעט תקנות 4(ד), 5(ב) ו-(ג), 6(ב), 7(ג), 9(ב), 10, 11(ג) עד (ו),  16 ו-18. 

 (ב) על אף הוראות בתקנת משנה (א), על מאגר מידע שמנהל  יחיד שאינו תאגיד ואשר הוא היחיד שמאגר המידע מצוי ברשותו, הרשאי לעשות בו שימוש ושבאפשרותו לעשות בו שימוש, לא יחולו הוראות תקנות 3, 4, 5, 6(ב), 7, 8, 9(ב), 10, 11 (ג) עד (ו) ו -  18. 

           תחילה

22.

תחילתן של תקנות אלה, למעט כאמור בתקנות משנה (ב) עד (ד), 30 ימים מיום פרסומן.
תחילתן של תקנות  2, 3(1) עד (3), 10(א) , 13(ב) ו- 14– 90 ימים מיום פרסומן.
תחילתן של תקנות 3(5), 5, 6(ב), 7(ב) ו-(ג), 10(ב) עד (ה), 11(א) עד (ד), 12, 13(ג), 15(א)(3), 17 ו-18 – שישה חודשים מיום פרסומן. 
תחילתן של תקנות 4 ו- 9(ב) – תשעה חודשים מיום פרסומן.                          
הוראת מעבר

23.

על אף האמור בתקנה 7(א),  בנוגע לעובדים  בעלי הרשאות ביום תחילתה של התקנה האמורה, בעל מאגר יבחן את מידת התאמתם לגישה למאגר מידע באמצעים סבירים המקובלים בהליכי מיון עובדים ושיבוצם, וכל זאת בשים לב לרגישות המידע ולסוג הרשאת הגישה ויעדכן בהתאם לצורך את הרשאות הגישה; העסיק בעל המאגר עד 100 עובדים כאמור, ישלים הבחינה תוך שישה חודשים מיום התחילה; העסיק בעל המאגר מעל 100 עובדים כאמור, ישלים הבחינה תוך שנה מיום התחילה.

תוספת ראשונה

(תקנה 1 והתוספת השניה)

1.

מאגרי מידע שחלה עליהם רמת האבטחה הבינונית:

מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר; 

מאגר מידע שבעליו הוא גוף ציבורי כמשמעותו בסעיף 23 לחוק;

מאגר מידע הכולל מידע שהוא אחד מאלה: 

מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד; 
מידע רפואי או מידע על מצבו הנפשי של אדם; 
מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א-2000 

;
מידע אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם; 
מידע אודות עברו הפלילי של אדם;
נתוני תקשורת כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח –2007 

; 
מידע ביומטרי; 
מידע כלכלי על אדם, לרבות אודות הרגלי הצריכה של אדם.                                                                         
2.

על אף האמור בפרט 1(3), על מאגר מידע המקיים אחד מאלה, לא חלה רמת האבטחה הבינונית ;  

(1) המאגר כולל מידע מן הסוגים המפורטים בפרט 1(3)(ב), (ה), (ו) ו-(ז) לעניין תמונות פנים בלבד, (ח) , אודות המועסקים או הספקים של בעל מאגר המידע, ובלבד שהמידע משמש למטרות ניהול העסק בלבד, ואינו כולל מידע מן הסוגים המפורטים בפרט1(3)(א), (ג),(ד) ו-(ז) לעניין מידע שאינו תמונות פנים;

(2) מספר המועסקים אצל בעל המאגר אינו עולה על עשרה.  

תוספת שנייה

(תקנה 1)

מאגרי מידע שחלה עליהם רמת האבטחה הגבוהה:

מאגר מידע כאמור בפרט 1(1) או (3) בתוספת הראשונה, שיש בו מידע אודות 100,000 אנשים ומעלה;

מאגר מידע כאמור בפרט 1(1) או (3) בתוספת הראשונה שמספר מורשי הגישה למידע בו עולה על 100. 

                      התשע"ו

                            2016                                          איילת שקד

(חמ 3-4469)

(2016-8515)                                                                                                                                    שרת המשפטים