תקנות הגנת הפרטיות | טיפים ליישום במערכות מידע | שדרוג אבטחת מידע בארגונים |DnA-IT
  1. עמוד הבית
  2. מידע מקצועי
  3. תקנות הגנת הפרטיות – טיפים ליישום במערכות מידע

תקנות הגנת הפרטיות – טיפים ליישום במערכות מידע

המשמעות של יישום חוק שמירת הפרטיות על מערכות המידע בארגונים

במאי השנה (2018) נכנסו לתוקפן החוקים החדשים של בקרה ושמירה על המידע הפרטי של אזרחים ותאגידים בישראל. התקנות הללו הם בעצם אימוץ חלקי של תקנות אירופאיות (GDPR) שהן הרבה יותר מפורטות ומחמירות.

החוק ממפה מסווג את מאגרי המידע על לקוחות ומשתמשים לשלוש רמות, עבור עסקים בכל גודל ובכל תחום כאשר הדרישות מחמירות יותר ככל שעולים בסיווג. מעבר לחובת הדיווח על אירוע סייבר והגברת המודעות בקרב המשתמשים יידרשו הרבה ארגונים לשדרג ולהגביר את מערך אבטחת המידע והתשתית המרכזית שלהם ביחס למצבם כיום.

מחזיק במאגר מידע? בחן את ההשלכות לגביך

החוק בנוי מ-20 תקנות כאשר חלקן כוללות נהלים פנימיים ליישום בארגון, סקרים לביצוע ניתוח פערים ומבדקי חדירה. בנוסף, קיימות לא מעט תקנות עם השלכות ברורות לפתרונות ברמת מערכות המידע. נעיין בכמה תקנות כאלו:

תקנה 5 בחוק הגנת הפרטיות - מיפוי מערכות המאגר

תקנה 5 בתקנות הפרטיות למשל קובעת כי חובה למפות את מערכות המאגר הכוללת תרשים רשת עדכני של כל רכיבי המערכת הקשורים אליה ולדאוג לכך שמפת הקשרים הזו תהיה עדכנית.

מיפוי מאגרי מידע והקשרים בין הרכיבים

כבר ניתן להבין כי כשמדובר במערכות קטנות ניתן אולי לעמוד בתקנה באופן ידני על ידי תרשימים וכו' אך תרשים ידני אינו משקף בזמן אמת את המיפוי וגם אינו אוכף אותו. מעבר לכך, ככל שמתרבות המערכות בארגון ובמיוחד כאשר כמות השרתים הולכת וגדלה רמת החשיפה לאותם שרתי מאגר תלך ותגדל והיכולת לתחזק את המיפוי הופך בלתי אפשרי באמצעים אנושיים ודורשים כלים חכמים אשר מנטרים בזמן אמת את הקשרים ומתעדים אותם לצורך תחקור במידת הצורך.

תקנה 9 בחוק הגנת הפרטיות - כניסת משתמשים מאובטחת

תקנה 9 בתקנות הפרטיות קובעת כי אופן הזיהוי בגישה למאגרים בינוניים וגבוהים בסיווג ייעשה על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המורשה בנוסף לכניסת משתמש/סיסמה.

המימוש הטכנולוגי הוא חיבור מערכת אבט"מ אשר מתחברת לשער כניסת המשתמשים הארגוני כמו Active Directory ומחייבת אותם לאשר הכניסה הנוספת מאמצעי פיזי דוגמת טלפון נייד או שימוש ב-Token ייעודי.

כניסת משתמשים מאובטחת למערכות מידע ארגוניות
כניסת משתמשים מאובטחת למערכות מידע ארגוניות

מדובר בתפיסת Multi Factor Authentication ותיקה אשר הולכת וצוברת תאוצה בשנים האחרונות. בחירה במערכת MFA מתאימה היא החלטה חשובה כיוון והיא משפיעה על משתמש הקצה ועל כן יש לבחון מערכת בשלה, מהירה וקלה לתחזוקה. בנוסף, קצב אימוץ יישומי ענן הולך וגודל – על כן, נדרשת מערכת בעלת יכולת אפליקטיבית להתחבר למגוון יישומי ענן ולא רק Active Directory פנים ארגוני.

תקנה 18 בחוק הגנת הפרטיות - יכולת שחזור נתונים

תקנה 18 בתקנות הפרטיות למשל קובעת כי מעבר לבקרה על מערכות הגיבוי המידע הארגוני ויכולת התאוששות מאסון במקרה חירום התקנה דורשת גם היערכות ליכולת שחזור שתהיה תחת פיקוח.
כלומר: ביצוע השחזור יהיה באישור מנהל המאגר. הליכי שחזור המידע יתועדו, ובכלל זה – זהותו של מי שביצע את הליכי השחזור ופרטי המידע ששוחזר.

התקנה אומנם קצרה במילים אך המימוש שלה אינו טריוואלי: כמעט כל ארגון מתחזק תוכנת גיבוי כזו או אחרת אך לרוב הארגונים אין אתר התאוששות זמין למקרה חירום. מעבר לכך, רמת ההרשאות כיום בגישה לגיבויים היא מלאה ורוב תוכנות הגיבוי אינן מתעדות את הגישה לשחזורים ואינן מנהלות תהליך בקרה לכך.

חשוב לבחון יכולות אלו במערך הגיבוי הנוכחי בארגון ולבצע שדרוג או החלפה למערכת תואמת לתקנות ועדכון נוהל הגיבויים ברמת ההנהלה כך שיכלול תכנית ברורה להתאוששות מאסון במערכות המידע ובקרה מתאימה על המידע המשוחזר.

מיישמים את תקנות הגנת הפרטיות בארגון?

לשיחת ייעוץ ללא עלות

חברת DnA IT מיישמת פתרונות מחשוב ואבטחת מידע לצורך עמידה בתקנות הפרטיות לארגונים

או השאירו פרטים ונחזור אליכם

לקריאה נוספת על -

לתיאום ייעוץ אישי ללא התחייבות
השאירו פרטים והמומחים שלנו יחזרו אליכם