במבט ראשון על חוק הפרטיות אנו עלולים לחשוב שתקנות האבטחה אשר תקפות לגבי משרד עורכי דין הן אלו של מאגר ברמת אבטחה ליחיד, או מאגר ברמת אבטחה בסיסית. אך כאשר אנו יורדים לעומקם של הדברים אנו מבינים כי השיקול האפקטיבי הוא סוג המידע אשר נמצא במאגר, ולא כמות העובדים במשרד.
עורכי דין מחזיקים בצורה ממוחשבת במידע רב לגבי הלקוחות. מידע אשר יכול להיות אישי, כלכלי, רפואי וסוגים שונים של מידע רגיש. מסיבה זו, ברוב המקרים הדין החל על מאגרי המידע של משרד עורכי דין הוא זה של מאגרי מידע ברמת אבטחה בינונית או גבוהה. על כל משרד עורכי דין להיערך בהתאם וליישם את התקנות הקבועות בחוק, לצורך כך תוכלו להיעזר באנשי מקצוע בתחום המחשוב אשר יסייעו לכם העם ההיבטים הטכנולוגיים של ההיערכות.
מאגרי מידע ברמת אבטחה בינונית
על פי חוק, רמת האבטחה הבינונית חלה על מאגרי מידע שמטרתם העיקרית היא איסוף מידע לצורך מסירתו לאחר; מאגרי מידע של גופים ציבוריים ומאגרי מידע הכוללים מידע רגיש: מידע רפואי, מידע גנטי, מידע על עבר פללי, מידע על בעיות רפואיות, דעות פוליטיות, מידע ביומטרי, הרגלי צריכה, נכסים וצנעת חייו האישיים של אדם. המידע אשר מחזיקים משרדי עורכי דין על לקוחותיהם נופל בקטגוריות אלו.
להלן עיקרי התקנות התקפות על מאגר ברמת אבטחה בינונית:
- יש לרשום את המאגר בפנקס מאגרי המידע של הרשות להגנת הפרטיות.
- יש להכין מסמך הגדרות המאגר. מסמך זה בא לתאר את צורת האיסוף והשימוש במידע ולאיזו מטרה. המסמך צריך לפרט את סוגי המידע שבמאגר ובמידה והמידע מועבר לחו“ל יש לציין זאת. כמו כן יש לציין אם המידע מעובד/מוחזק על ידי קבלן חיצוני. המסמך צריך להציג את עיקרי הסיכונים ואסטרטגיית ההתמודדות. השמות של מנהל המאגר/מחזיק המאגר והממונה על אבטחת המידע. את המסמך יש לעדכן אחת לשנה במידה וחלו שינויים משמעותיים הכוללים שינויים טכנולוגיים וארגוניים, כמו גם אירועי אבטחה.
- על הארגון לקבוע נהלי אבטחה בכתב, תוך כדי התייחסות לאבטחה פיזית וסביבתית ואבטחת סייבר. הנוהל צריך להתייחס גם לאמצעי זיהוי ואימות לצורך גישה למאגר, עריכת בדיקות תקופתיות וגיבויים.
- יש לבצע מיפוי מערכות המאגר וסקר סיכונים. תיעוד של כל רכיבי החומרה והתכנה; תרשים הרשת ורכיביה, מיקומם הפיזי ומערכת הקשרים ביניהם.
- אבטחה פיזית וסביבתית אשר תמנע גישה פיזית בלתי מורשית, כולל תיעוד כניסות ויציאות של עובדים מאתר, הכנסה/הוצאה של ציוד.
- אבטחת מידע בניהול כוח האדם אשר תבטיח כי רק עובדים מתאימים ובעלי הכישורים הדרושים יקבלו גישה למאגר. בטרם מתן גישה יש לתדרך את העובד לגבי החובות הנובעות מחוק הפרטיות.
- מבחינת ניהול הרשאות הגישה, יש לתת לכל עובד רק את ההרשאות הדרושות לצורך ביצוע תפקידו. יש לנהל רישום הרשאות.
- יש צורך באמצעי זיהוי ואימות אשר ימנעו גישה בלתי מורשית. זה כולל שימוש באמצעים פיזיים וקביעת מדיניות ססמאות.
- בקרה ותיעוד גישה אוטומטי אשר יתעד כל שימוש במאגר בצורה רציפה ועצמאית. יש לשמור את נתוני התיעוד לפחות 24 חודשים.
- תיעוד אירועי אבטחה לצורך הפקת לקחים. יש צורך בדיון שנתי בו יבחנו נהלי האבטחה אל מול אירועי האבטחה. אירועי אבטחה חמורים חייבים דיווח לרשות.
- יש להגביל את האפשרות לחבר התקנים ניידים.
- ניהול מאובטח ומעודכן הכולל הפרדת מערכות המאגר משאר מערכות המחשבים, וביצוע עדכוני חומרה ותוכנה.
- אבטחת תקשורת במקרה שהמאגר מחובר לרשת ציבורית/אינטרנט הכוללת שימוש בחומת אש והצפנה.
- במקרה של מיקור חוץ יש צורך בהתקשרות חוזית הנותנת מענה לכל סיכוני האבטחה והשימוש במידע, כולל אמצעי בקרה על יישומם.
- יש לבצע ביקורת תקופתית, פנימית או חיצונית ולהפיק דו"ח ביקורת המזהה ליקויים ומציע פתרונות.
- יש לקבוע נהליי גיבוי ושחזור מידע.
החוק מטיל אחריות על בעל המאגר, המנהל והמחזיק. כפי שהבנתם יישום התקנות הוא חשוב והוא חייב להתבצע בעזרתם של אנשי מחשוב ומומחים לאבטחת מידע, אשר לצד ההיבטים הטכניים הם גם בקיאים בדרישות החוק.