LOGO FAV

שאלות ותשובות בנושא ספירת בעלי הרשאה

בעמוד זה תמצאו תשובות לשאלות נפוצות על ספירת בעלי הרשאה לצורך קביעת רמת האבטחה במאגרי מידע.
נעסוק בהגדרת "בעל הרשאה", בהחרגות ובחובות הנוגעות למחזיק ובעל המאגר, תוך התייחסות לתוספת הראשונה והשנייה לתקנות אבטחת המידע.
כניסה

ספירת בעלי הרשאה היא אחד הקריטריונים המרכזיים לקביעת רמת האבטחה הנדרשת במאגרי מידע, וזוהי שאלה חשובה הנוגעת לארגונים המחויבים לעמוד בדרישות תקנות הגנת הפרטיות (אבטחת מידע). "בעל הרשאה" מוגדר כיחיד שקיבל הרשאה לגשת למידע מתוך המאגר, למערכות המאגר, או לכל רכיב הנדרש להפעלתו. עם זאת, קיימות הבחנות וחריגות המגדירות אילו בעלי הרשאה נכללים בספירה לצורך קביעת רמת האבטחה, וכיצד על בעל המאגר או המחזיק בו להתנהל בנושא זה.

בעמוד זה נעסוק בנושאים חשובים כמו ההבחנה בין בעלי הרשאה פנימיים של הארגון לבין גורמים חיצוניים (כגון ספקי שירות במיקור חוץ), והאופן שבו מחושב מספר בעלי ההרשאה הכולל לצורך קביעת רמת האבטחה. למשל, בתוספת הראשונה לתקנות מצוין כי מספר בעלי הרשאה נמוך (פחות מ-10) עשוי לאפשר סיווג המאגר ברמת אבטחה בסיסית, בעוד שתוספת השנייה מגדירה סף של מעל 100 בעלי הרשאה המחייב רמת אבטחה גבוהה.

בנוסף, נדון בחובות החלות על בעל המאגר והמנהל או המחזיק בו, ובפרשנות המשפטית הנדרשת במקרים מסוימים, כמו התקשרות עם מחזיק חיצוני שאצלו יש מספר גדול של בעלי הרשאה. נעמיק גם בחשיבות של יישום אמצעי אבטחה מותאמים על פי רמת הסיכון, כמו בקרת גישה, ניהול הרשאות פרטני, ודרישות זיהוי ואימות.

עמוד זה מספק תשובות מעשיות לשאלות מורכבות הנוגעות לספירת בעלי הרשאה, ומציע הנחיות פרקטיות שיסייעו לכם לעמוד בדרישות התקנות תוך הבטחת פרטיות המידע ואבטחתו בצורה היעילה והמתקדמת ביותר. בין אם אתם מנהלי מערכות מידע, עורכי דין בתחום, או בעלי עסקים, כאן תמצאו את כל המידע הנדרש לניהול תקין ומאובטח של מאגרי מידע בארגון שלכם.

תקנות הגנת פרטיות ואבטחת מידע

כיצד מוגדר "בעל הרשאה" לצורך חישוב רמת האבטחה במאגר מידע?

"בעל הרשאה" הוא יחיד שיש לו גישה למידע במאגר, למערכות המאגר, או לרכיב הנדרש להפעלת המאגר, בהתאם להרשאת בעל המאגר או המחזיק. סעיף זה כולל חריג – בעלי הרשאה שקיבלו הרשאה מהמחזיק אינם נספרים כבעלי הרשאה של בעל המאגר לצורך החישוב.

מה נדרש לקבוע בנוהל אבטחה לבעלי ההרשאה של בעל המאגר והמחזיק?

בעל המאגר והמחזיק חייבים לקבוע הוראות אבטחה ספציפיות בנוהל האבטחה, כל אחד עבור בעלי ההרשאות שלו. בנוסף, על בעל המאגר לכלול בנוהל האבטחה פרטים על חובות המחזיק.

האם החובות למתן הרשאות והדרכות חלות הן על בעל המאגר והן על המחזיק?

כן, כל אחד מהם אחראי להדריך את בעלי ההרשאות תחתיו, אך בעל המאגר אינו נדרש להדריך את בעלי ההרשאות של המחזיק. עליו להגדיר בהסכם את החובות של המחזיק בהקשר זה.

האם החריג בתוספת הראשונה לגבי ספירת בעלי הרשאה חל גם על המחזיק?

החריג בתוספת הראשונה קובע כי אם מספר בעלי ההרשאה של בעל המאגר אינו עולה על עשרה, לא תחול רמת אבטחה בינונית. החריג מתייחס רק לבעלי ההרשאה של בעל המאגר, כך שהמחזיק עצמו עשוי להיות חייב ברמת אבטחה בינונית אם יש לו חמישה בעלי הרשאה או יותר.

כיצד קובעים רמת אבטחה גבוהה לפי מספר בעלי ההרשאה במאגר בהתאם לתוספת השנייה?

אם במאגר יש מידע מהסוגים המפורטים בתוספת הראשונה, ורמת בעלי ההרשאה בו עולה על 100, תחול רמת אבטחה גבוהה. חובה זו חלה גם על המחזיק, בהתאם לחובתו של בעל המאגר להגדרה הסכמית שתשמור על רמת האבטחה הנדרשת.

DPO - הגנת פרטיות באינטרנט – המומחים שלך לפרטיות מידע.
מדיניות פרטיות

© 2024 Fly Guy | Digitale