הרשות להגנת הפרטיות פרסמה את עמדתה בנוגע לביצוע סקר סיכונים ומבדקי חדירות במאגרי מידע

ביום 9 במאי 2024 פרסמה הרשות להגנת הפרטיות את עמדתה בנוגע לביצוע סקר סיכונים ומבדקי חדירות במאגרי מידע. סקר הסיכונים ומבדק החדירות הם שלבים חיוניים ומשמעותיים מבחינה משפטית, עסקית וטכנולוגית לארגון. החובה לבצע סקר סיכונים ומבדק חדירות למערכת קבועה בתקנות 5(ג) ו-5(ד) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ביחס למאגרי מידע שחלה עליהם רמת אבטחה גבוהה. מסמך הרשות מתמקד בשתי החובות הללו, בדגש על מתן המלצות לביצוען, הסבר אודות העיתוי הראוי למלאן, והפרקטיקה המקובלת בנושא.
על פי המסמך, אומנם החובה לביצוע סקר סיכונים על פי התקנות חלה רק על מאגר ברמת אבטחת גבוהה, בכל זאת מומלץ לבצע אותה גם בארגון שהוא בעליו של מאגר מידע ברמת אבטחה בינונית או ברמת אבטחה בסיסית. יש לערוך את סקר הסיכונים המקיף מיד בסמוך לאחר הפעלת המאגר והקמת מערכות המאגר, שכן במועד זה נוצרים ומתגבשים הסיכונים עימם אמור הארגון להתמודד. סיכונים אלה נדרשים לבחינה כל 18 חודשים לפחות, על פי התקנות.
חלה חובה על ארגון אשר התוודע לסיכוני אבטחה או לשינויים במיפוי סיכוניו לפעול מיידית למזעורם ולא להמתין עד לחלוף תקופה של 18 חודשים. עוד מובהר במסמך כי טיפול בסיכוני אבטחת מידע, לאחר שנודע לארגון על קיומם, אינה תלויה בעריכת סקר סיכונים.
השלבים האלמנטריים וההכרחיים המשותפים לכלל הגישות השונות לביצוע סקר סיכונים הם כדלהלן:

• הגדרת נכסי הארגון;
• זיהוי וניתוח האיומים על נכסים אלו;
• זיהוי חולשות ופגיעויות אפשריות, אשר עלולות לחשוף את הארגון לסיכונים;
• הערכת מידת השפעת התממשות סיכונים אלו על הארגון;
• מיפוי הפעולות והבקרות הקיימות בארגון, למול הפעולות והבקרות שראוי ליישם לצורך מזעור סבירות התממשות הסיכון;
• הערכת הסיכון השיורי, בהנחה שמירב הסיכונים מפוקחים ומנוהלים.

מבדק חדירות חייב להתבצע תחת הסכמה מוקדמת ומפורשת של האורגנים המוסמכים בארגון. הסכמת הארגון נחוצה לשם אי ביצוע עבירות, בין היתר לפי חוק המחשבים, התשנ"ה-1995 ולשם הגדרת היקף המבדק בהתאם למטרה לשמה נדרש לבצעו.
רצוי לבצע סקרי סיכונים ומבדקי חדירות בתדירות ההולמת את הדינמיקה הטכנולוגית, העסקית והרגולטורית של הארגון, קרי, לאו דווקא אחת ל- 18 חודשים, שהיא התדירות המינימאלית המתחייבת על פי התקנות. כך, במקרים בהם ארגון משנה אלמנטים משמעותיים בסביבת המחשוב שלו, מבצע שינוי בפעילות העסקית הכרוך בהטמעת טכנולוגיה חדשה וכיו"ב.
לגישת הרשות, סקר סיכונים ומבדקי חדירות שבוצעו בהתאם לתקנה 5 לתקנות, מעניקים מענה מספק לזיהוי ולטיפול בסיכוני אבטחת המידע הנדרשים גם במסגרת תסקיר השפעה על פרטיות.

תחולה: ארגונים המחזיקים במאגרי מידע.
תחילה: המסמך חל ביום פרסומו (9 במאי 2024). 

לעיון במסמך המדיניות - לחצו כאן

נכתב על ידי: עו"ד נועם לב, סניור מנג'ר, מחלקת רגולציה, KPMG ישראל

מחלקת רגולציה וניהול סיכונים מתמחה במתן שירותים רגולטוריים, לרבות שרותי ניטור ועדכונים רגולטורים בארץ ובעולם. 
לכל שאלה ולפרטים נוספים, ניתן לפנות ליבגניה קרמר