[IUCC-GDPR] [ILANCertReps] תקנות הגנת הפרטיות נכנסו לתוקף אתמול - 8/5/2018
Roy Shapira
roys at savion.huji.ac.il
Wed May 23 17:35:41 IDT 2018
אז מה התשובה המקובלת על הפורום לשאלה של ויקטור? (בצהוב)
בברכה,
[cid:image001.jpg at 01D3384B.9D964510]
רועי שפירא | CISO
מנהל אבטחת מידע
האוניברסיטה העברית בירושלים
הרשות למחשוב, תקשורת ומידע
T +972-2-549-4969 | M +972-50-699-2414
roy.shapira at savion.huji.ac.il<mailto:roy.shapira at savion.huji.ac.il>
“There are known knowns; … there are known unknowns… But there are also Unknown Unknowns…
it is the latter category that tend to be the difficult ones.”
Donald Rumsfeld, 12 February 2002.
From: Victor Sternberg <Victor.Sternberg at biu.ac.il>
Sent: Thursday, May 10, 2018 12:32
To: Eli Beker <eli.beker at iucc.ac.il>; Roy Shapira <roys at savion.huji.ac.il>; Nadav Azoulay <nazoulay at UNIV.HAIFA.AC.IL>; gdpr at noc.ilan.net.il; ilancertreps at noc.ilan.net.il
Subject: RE: [ILANCertReps] תקנות הגנת הפרטיות נכנסו לתוקף אתמול - 8/5/2018
בקשר לסוגיה הראשונה –
הרשות להגנת הפרטיות מפרסמת תבנית לדוגמא של מסמך הגדרות המאגר:
https://www.gov.il/he/Departments/Guides/data_security_guide?chapterIndex=3
(בצד שמאל או בתחתית הדף. אגב, לשאלתו של רועי, כתוב בכותרת המסמך שיש למלא אותו עבור כל מאגר ומאגר)
בקשר לסוגיה השניה –
מסמך המדיניות הוא מסמך הצהרתי שמפרט עקרונות.
כמובן שאמור להיות מאחוריו הרבה תוכן, שנובע מהתקנות עצמן, כולל תקנה 11.
אבל לעניות דעתי אין זה אומר שצריך לפרסם את כל התוכן והנהלים במסמך המדיניות.
מספיק לומר ש"ארועי אבטחה יטופלו ע"י הגורמים הנוגעים בדבר" ולקבוע בנהלים פנימיים מי עושה מה ומי מדווח למי באיזה מקרה.
באותה מידה שלא נפרסם במסמך המדיניות את נהלי האבטחה (תקנה 4), מיפוי המערכות (תקנה 5) וכו' וכו'.
אגב – אני עדיין מחכה למסמך לדוגמא של נוהל אבטחה.
ויקטור
From: Eli Beker [mailto:eli.beker at iucc.ac.il]
Sent: Thursday, May 10, 2018 11:48 AM
To: Roy Shapira <roys at savion.huji.ac.il<mailto:roys at savion.huji.ac.il>>; Nadav Azoulay <nazoulay at UNIV.HAIFA.AC.IL<mailto:nazoulay at UNIV.HAIFA.AC.IL>>; ויקטור שטרנברג <Victor.Sternberg at biu.ac.il<mailto:Victor.Sternberg at biu.ac.il>>; gdpr at noc.ilan.net.il<mailto:gdpr at noc.ilan.net.il>; ilancertreps at noc.ilan.net.il<mailto:ilancertreps at noc.ilan.net.il>
Subject: RE: [ILANCertReps] תקנות הגנת הפרטיות נכנסו לתוקף אתמול - 8/5/2018
בהקשר זה, בקשתי מאלכס התייחסות לסוגיות הבאות:
התקנות החדשות דורשות הכנת "מסמך הגדרות המאגר, במסגרתו יתנו את הדעת על איסוף המידע, מטרות השימוש בו,
סוגי המידע, והאם לא נאסף מידע מעבר לדרוש; עריכת נוהל אבטחת מידע; מיפוי המערכות ולרמת האבטחה הגבוהה גם ביצוע סקר סיכונים".
מתוך https://www.gov.il/he/Departments/General/data_security_info
זאת ועוד, תקנה 11 קובעת "בעלי מאגרים שחלה עליהם רמת האבטחה הגבוהה או הבינונית, יודיעו להרשות להגנת הפרטיות באופן מיידי
בקרות אירוע אבטחה חמור וכן ידווחו לרשות להגנת הפרטיות על הצעדים שנקטו בעקבות האירוע. "
לא רואה איך זה בא לידי ביטוי במסמך המדיניות.
זה אולי טוב כמסמך הצהרת כוונות, אבל הוא לא בדיוק מחייב את בעלי המאגרים במוסדות לבצע את החובות המוטלות עליהם.
לעניות דעתי זה חייב להופיע במפורש, ולא במשתמע, במדיניות. אחרת זה יפול על מנהל אבטחת המידע או ישאר פתוח ללא טיפול אמיתי.
-אלי
-eli
From: ilancertreps-bounces at noc.ilan.net.il<mailto:ilancertreps-bounces at noc.ilan.net.il> [mailto:ilancertreps-bounces at noc.ilan.net.il] On Behalf Of Roy Shapira
Sent: Thursday, May 10, 2018 11:35 AM
To: Nadav Azoulay <nazoulay at UNIV.HAIFA.AC.IL<mailto:nazoulay at UNIV.HAIFA.AC.IL>>; Victor Sternberg <Victor.Sternberg at biu.ac.il<mailto:Victor.Sternberg at biu.ac.il>>; Eli Beker <eli.beker at iucc.ac.il<mailto:eli.beker at iucc.ac.il>>; gdpr at noc.ilan.net.il<mailto:gdpr at noc.ilan.net.il>; ilancertreps at noc.ilan.net.il<mailto:ilancertreps at noc.ilan.net.il>
Subject: Re: [ILANCertReps] תקנות הגנת הפרטיות נכנסו לתוקף אתמול - 8/5/2018
תיק לכל מאגר שדורש רישום? כולל אילו של חוקרים. שזה מאות רבות אם לא יותר?
בברכה,
[cid:image001.jpg at 01D3384B.9D964510]
רועי שפירא | CISO
מנהל אבטחת מידע
הרשות למחשוב, תקשורת ומידע
האוניברסיטה העברית בירושלים
T +972-2-549-4969 | M +972-50-699-2414
roy.shapira at savion.huji.ac.il<mailto:roy.shapira at savion.huji.ac.il>
“There are known knowns; … there are known unknowns… But there are also Unknown Unknowns…
it is the latter category that tend to be the difficult ones.”
Donald Rumsfeld, 12 February 2002.
From: ilancertreps-bounces at noc.ilan.net.il<mailto:ilancertreps-bounces at noc.ilan.net.il> <ilancertreps-bounces at noc.ilan.net.il<mailto:ilancertreps-bounces at noc.ilan.net.il>> On Behalf Of Nadav Azoulay
Sent: Wednesday, May 9, 2018 16:27
To: Victor Sternberg <Victor.Sternberg at biu.ac.il<mailto:Victor.Sternberg at biu.ac.il>>; Eli Beker <eli.beker at iucc.ac.il<mailto:eli.beker at iucc.ac.il>>; gdpr at noc.ilan.net.il<mailto:gdpr at noc.ilan.net.il>; ilancertreps at noc.ilan.net.il<mailto:ilancertreps at noc.ilan.net.il>
Subject: Re: [ILANCertReps] תקנות הגנת הפרטיות נכנסו לתוקף אתמול - 8/5/2018
נכון מאוד,
לכל מאגר מידע יש להכין נוהל אבטחת מידע וכן תיק טכני הכולל מה מכיל המאגר, אילו אמצעי הגנה מיושמים עליו ועוד.
אני מתכנן להכין את התיק הטכני עצמאי, כאשר את נוהל אבטחת המידע אני מצפה קבל מאורן במסגרת הפרוייקט להכנת המוסדות לרגולציה.
המשך יום נעים
ושיהיה לכולנו בהצלחה
נדב.
From: ilancertreps-bounces at noc.ilan.net.il<mailto:ilancertreps-bounces at noc.ilan.net.il> [mailto:ilancertreps-bounces at noc.ilan.net.il] On Behalf Of Victor Sternberg
Sent: Wednesday, May 9, 2018 11:45 AM
To: Eli Beker <eli.beker at iucc.ac.il<mailto:eli.beker at iucc.ac.il>>; gdpr at noc.ilan.net.il<mailto:gdpr at noc.ilan.net.il>; ilancertreps at noc.ilan.net.il<mailto:ilancertreps at noc.ilan.net.il>
Subject: Re: [ILANCertReps] תקנות הגנת הפרטיות נכנסו לתוקף אתמול - 8/5/2018
תודה אלי!
בתקנה מס' 4 נדרשים להכין נוהל אבטחה.
ראיתי שבחלק מהמוסדות קיים נוהל אבטחה כללי של כל המוסד, אבל נראה לי שכאן הכוונה לנוהל אבטחה פרטני לכל מאגר/מערכת.
איך אתם "תוקפים" את הנקודה הזו?
באחת הישיבות בזמנו מישהו הבטיח לשלוח נוהל לדוגמא... אפשר לקבל?
יום טוב,
ויקטור
From: ilancertreps-bounces at noc.ilan.net.il<mailto:ilancertreps-bounces at noc.ilan.net.il> [mailto:ilancertreps-bounces at noc.ilan.net.il] On Behalf Of Eli Beker
Sent: Wednesday, May 9, 2018 9:22 AM
To: gdpr at noc.ilan.net.il<mailto:gdpr at noc.ilan.net.il>; ilancertreps at noc.ilan.net.il<mailto:ilancertreps at noc.ilan.net.il>
Subject: [ILANCertReps] תקנות הגנת הפרטיות נכנסו לתוקף אתמול - 8/5/2018
להזכירכם,
אתמול, ה 8/5/2018, נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, שפורסמו ברשומות לפני שנה.
התקנות החדשות, פרי יוזמת הרשות להגנת הפרטיות במשרד המשפטים, ומחליפות את התקנות הקיימות משנת 1986.
הסבר על עיקרי התקנות וחידושים ניתן למצוא כאן<https://www.gov.il/he/Departments/General/data_security_info>
קישור<https://www.gov.il/he/Departments/Guides/data_security_guide> למדריך המלא ליישום תקנות אבטחת מידע של הרשות להגנת הפרטיות.
קישור<https://www.nevo.co.il/law_html/law01/501_600.htm> לתקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017.
בברכה,
-אלי
Regards,
Eli Beker
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://noc.ilan.net.il/pipermail/gdpr/attachments/20180523/cac283e8/attachment-0001.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: image003.jpg
Type: image/jpeg
Size: 2249 bytes
Desc: image003.jpg
URL: <http://noc.ilan.net.il/pipermail/gdpr/attachments/20180523/cac283e8/attachment-0002.jpg>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 2724 bytes
Desc: image001.jpg
URL: <http://noc.ilan.net.il/pipermail/gdpr/attachments/20180523/cac283e8/attachment-0003.jpg>
More information about the GDPR
mailing list