כחשבי שכר אנו מייצרים ומחזיקים מידע רב על אנשים (עובדים) בארגון, מידע אישי, שם, תעודת זהות, כתובת, מצב משפחתי ילדים , שכר, והסכמי עבודה ועוד. מה אומר ומה מחייב אותנו החוק בנוגע לאבטחת המידע בנוגע למידע זה?
המידע הנודע למשכורות העובדים הוא רק חלק מהמידע הנשמר בעסק/הארגון, ומובן ששמירה על המידע וההגנה עליו, אינה יכולה להיות מוגבלת למחלקת חשבות השכר בלבד, השמירה על המידע היא עיניין של דרג הניהול של העסק/ הארגון כולו, אולם רצוי ומומלץ שנכיר את הדרישות הרגולטוריות הנוגעות למידע המיוצר והשמירה הנדרשת עליו.
מאמר זה אם כן , מיועד לדרג הניהול בעסק/ הארגון האחראי לקיים את חובות השמירה על המידע, אולם גם ליצרני מידע השונים (כגון מחלקת השכר) רצוי שתהיה מודעת לחובות החלות על שמירת מידע זה.
מי אנחנו בעיני החוק וההנחיות המקצועיות
על מנת שעסק כלשהו יצעד את הצעד הראשון בנוגע לסקירת מצב אבטחת הסייבר בארגון, יש לברר מהו הסיווג האבטחתי שלו, סיווג הנגזר בין היתר מהחוק ומחובות רגולטוריות החלות על מחזיקי מידע מסוגים שונים.
בכתבה זו מצורפות 21 שאלות קצרות. יש לענות על סדרת השאלות בתשובה כן / לא.
כל אחת מהתשובות, מתורגמת לתוצאה היכולה לשנות משמעותית את הסיווג האבטחתי, להקל או להחמיר אותו.
על מנת להפוך את התהליך לקל ופשוט יותר הבא נענה יחד על מספר שאלות, (סדר השאלות אינו קובע את חשיבותן בתהליך)
שאלה מספר 1 – אירע אירוע סייבר, האם הנזק הכולל, לרבות השבתת עבודה, נזק למידע,
עלות השחזור, חזרה לפעילות מלאה ותקינה, נזק למוניטין העסק, נזקים
כתוצאה מסנקציות רגולטוריות, עולה על 500,000 ש”ח?
שאלה מספר 2 – האם ברשותך מאגר מידע?
עסקים ככלל מחזיקים מאגר מידע שכן הדבר חיוני ומאפשר את פעולתם במרחב העסקי והחוקי, אולם ישנם בהחלט עסקים שאינם מחזיקים מאגר מידע כלל. גם מי שמחזיק במאגר מידע, יש לברר מהו טיבו של מאגר המידע, שכן תחולת הדיון תלוייה מאוד בסוג המידע הנשמר ככל שנשמר על ידי העסק / הארגון.
שאלה מספר 3 – האם המאגר הוא מאגר ציבורי? (האם מדובר בגוף ציבורי כפי הגדרתו בחוק)
שאלה מספר 4 – האם מאגר המידע השמור בעסק, מטרתו היא למכור את המידע לעסקים
אחרים? אם לצרכים שונים של העסקים ואם לצורך משלוח דיוור?
שאלה מספר 5 – האם המאגר כולל מידע הכפוף לחובת סודיות מקצועית לפי דין או עקרונות
אתיקה מקצועית? (כגון רופאים, פסיכולוגים וכו’)
שאלה מספר 6 – האם למאגר יותר ממנהל יחיד (ולכל היות שני בעלי הרשאה נוספים)
(כמה אנשים מורשים או יכולים לגשת למאגר המידע, האם זה רק
המנהל ועוד שני מורשים)?
שאלה מספר 7 – האם למאגר יותר מ- 10 בעלי הרשאה (אנשים המורשים לגשת)
שאלה מספר 8 – האם למאגר יותר מ- 100 בעלי הרשאה
שאלה מספר 9 – האם במאגר נשמר מידע אודות יותר מ- 10,000 איש
שאלה מספר 10 – האם במאגר נשמר מידע אודות יותר מ- 100,000 איש
שאלה מספר 11 – האם הנך שומר מידע על צנעת חייו האישיים של אדם או\גם התנהגותו
ברשות היחיד?
שאלה מספר 12 – האם הנך שומר מידע רפואי או מידע על מצבו הנפשי של אדם?
שאלה מספר 13 – האם הנך שומר מידע גנטי?
שאלה מספר 14 – האם הנך שומר מידע אודות דעותיו הפוליטיות או אמונותיו הדתיות
של אדם?
שאלה מספר 15 – האם הנך שומר מידע אודות עברו הפלילי של אדם?
שאלה מספר 16– האם הנך שומר נתוני תקשורת? (מי התקשר מהיכן מאיזה מספר,
תאריך ושעה, למי וכדומה)
שאלה מספר 17– האם הנך שומר תמונת פנים של אדם?
שאלה מספר 18 – האם הנך שומר מידע ביומטרי נוסף?
שאלה מספר 19 – האם הנך שומר מידע על הרגלי צריכה שאינם תלוים במידע על
נכסיו של אדם, התחייבותיו הכלכליות, מצבו הכלכלי או שינוי בו,
יכולתו לעמוד בהתחייבותיו הכלכלית ומידת עמידתו בהם?
שאלה מספר 20 – האם המידע משמש למטרות ניהול העסק בלבד?
שאלה מספר 21 – האם המידע הוא אודות המועסקים או הספקים בלבד?
סיימנו את השאלון בין 21 השאלות?
מה עושים עם זה?
התשובה הארוכה היא, לכל שאלה ישנה נוסחה וקביעה המשנה את דירוג הסיווג האבטחתי שלנו.
התשובה הקצרה והנוחה יותר היא, שהכנו עבורכם כלי מיוחד, חינמי ללא כל התחייבות, (מצריך רישום קצר לקבלת תוצאות), כלי שישקלל עבורכם את הסווג האבטחתי שלכם.
מה עושים עם תוצאת הסיווג האבטחתי?
התוצאה החשובה ביותר, נוכל לדעת ולהבין מה דורש מאיתנו החוק ומה נדרש ומומלץ שנעשה בעסק/הארגון.
לאחר ידיעת הסיווג נוכל להתקדם לשלב הבא מיפוי יעדי ההגנה שלנו בעסק / ארגון
בכתבה הבאה, נלמד על הכלי המוצע כאמור חינם לסיווג האבטחתי של העסק, עד אז, מומלץ לענות על 21 השאלות שבמאמר זה ולשמור בצד את התשובות.
מאת: שי כהן – מנכ”ל גלסופט
הידעת?
ניתן לשפר התנהגות אבטחה בקרב כלל העובדים בארגון, ע”י סדנה אינטרנטית קצרה להעלאת המודעות לאבטחת מידע.
למידע נוסף: www.testme.co.il