מגזין
עדכון חוק הגנת הפרטיות והרחקת לוגים ממערכות המחשוב
על הקשר בין עדכון חוק הגנת הפרטיות והרחקת לוגים ממערכות המחשוב למשך 12 חודשים לפחות. מידע חשוב!
מנהלי מערכות ואבטחת מידע (CTO, CIO, CISO), הפוסט הזה בשבילכם!
רקע כללי:
ביום 29 בספטמבר 2024 פרסמה הרשות להגנת הפרטיות מדריך פעולה ליישום תקנה 10(ד) לתקנות הגנת הפרטיות אשר מחייבות מאגרים ברמת אבטחה בינונית וגבוהה, לשמור נתוני תיעוד ,לוגים של מנגנוני ניטור, שליטה ובקרה, כגון נתוני פעילות במסדי נתונים,מאגרי מידע ועוד. במסגרת המדריך מבקשת הרשות להבהיר את תכלית תקנה 10(ד) לתקנות, והאופן בו יש ליישם את החובה לשמירת נתוני התיעוד בצורה מעשית.
על מה כל הרעש?
תקנה 10 לתקנות החוק קובעת:
במערכות של מאגר מידע אשר חלה עליו רמת אבטחה בינונית או גבוהה, ינוהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר, זה למעשה מנגנון הבקרה אשר יכלול את הנתונים הבאים:
זהות המשתמש, התאריך והשעה של ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה (כלומר, שם בסיס הנתונים, מערכת ניהול קבצים וכדומה),סוג הגישה (קריאה, כתיבה או שליפה), היקפה, ואם הגישה אושרה או נדחתה.מנגנון הבקרה לא יאפשר, ככל האפשר, ביטול או שינוי של הפעלתו, ויאתר שינויים או ביטולים בהפעלתו וישלח התראות לאחראים.
בעלי המאגר יקבע נוהל בדיקות שגרתי של נתוני התיעוד/לוגים ויערוך דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן. נתוני התיעוד (log) של מנגנון הבקרה יישמרו למשך 12 עד 24 חודשים לפחות.
לעמדת הרשות לחובת התיעוד האוטומטי יש מספר הנחות עבודה אשר סה"כ תורמות לנו:
- ניטור שוטף של מערכות המאגר ובקרה על הפעילות
- איתור ובדיקה של פעילות חריגה
- זיהוי חולשות ודרכי חדירה לצורך מניעות הישנות.
- אחסון הנתונים לצורך בחינה של אירועי אבטחה.
על פי המדריך, החובה הקבועה בהוראות תקנה 10(ד) לשמירת נתוני התיעוד (log) של כל מערכות המאגר, משמעה, אחסון כל קובץ שמתעד את הפעולה ונתוני הפעולה של כל אחת ממערכות האבטחה של מאגר המידע, והמערכות המשמשות את המאגר תוך הקפדה על זמינותם ונגישותם של נתוני התיעוד (log) לפרק זמן של 12 עד 24 חודשים לפחות.
ישנם שירותים רבים וטובים איתם ניתן ביעילות וקלות להרחיק לוגים ממערכות המחשוב, מוצרים כגון Logz.io, Datadog ועד שירותי ה CDN השונים אשר מאפשרים הרחבה לטובת שמירת לוגים מהשירות. פרטים על המוצרים השונים ניתן לראות בדף שירותי הסייבר שלנו, אפשר גם לפנות אלינו (פרטים בסוף הדף).
מה הסנקציות והעיצומים בגין הפרת החוק:
תחת תיקון 13 לחוק אשר יכנס לתוקף בחודש אוגוסט 2025, ובמסגרת הרחבת סמכויות הרשות והעיצומים שרשאית הרשות להטיל בהקשר לתקנה 10 סכומי העיצומים שנקבעו בגין הפרה הינם בסכום של 40,000 ₪ ביחס למאגר ברמת אבטחה בינונית ו-160,000 ₪ ביחס למאגר ברמת אבטחה גבוהה
לסיכום, ישנה חשיבות גדולה בקיום הוראות התקנה על מנת להימנע מקנסות ועיצומים! ניתן לטפל באירוע הזה בקלות ופשטות תוך כדי נקיטת מס' פעולות פשוטות, על תחכו.
מורכב מדי? על דאגה!
שולחים אלינו מייל או מתקשרים ואנו נדאג להסבר נוסף.
נציגי התמיכה וצוותי הסייבר שלנו זמינים עבורכם!
פניה אל מחלקת השירות ותמיכה במייל helpdesk@spd.co.il
מחלקת המכירות בכתובת sales@spd.co.il
כמו כן מענה אנושי בטלפון 03-6221258
נכתב על ידי:
קובי שלום, סמנכ"ל פיתוח עסקי, שיווקי ומכירות
מוזמנים לדבר איתי 052-3546396