חובת מינוי קצין אבטחת מידע (CISO) – מה זה, ולמה זה קריטי?
קצין אבטחת מידע (CISO) הוא תפקיד קריטי בארגון. הוא אחראי על תכנון, ניהול ופיקוח על כלל היבטי אבטחת המידע והסייבר. ה- CISO מטמיע תוכנות הגנה, מדריך עובדים, מנהל גישה בטוחה מרחוק, ומבצע סקרי סיכונים ובדיקות חדירה.
חוק הגנת הפרטיות, תשמ"א-1981, מחייב מינוי CISO בארגונים מסוימים – עוד לפני תיקון 13 לחוק הגנת הפרטיות. התיקון עצמו החריף את החובה, והוסיף סנקציות משמעותיות בגין אי-ציות.
החוק מדגיש כי אחריות ה-CISO אינה גורעת מאחריותו של בעל המאגר או המחזיק בו.
האם הארגון שלך חייב למנות CISO?
סעיף 17ב(א) לחוק הגנת הפרטיות קובע שהחובה חלה כאשר:
-
הארגון שולט או מחזיק בחמישה מאגרי מידע החייבים ברישום או הודעה. לפי סעיף 8א לחוק, חלה חובה לרשום מאגר מידע בפנקס מאגרי המידע כאשר הוא אחד מאלה:
-
המאגר משמש לסחר במידע אישי, וכולל מעל 10,000 נושאי מידע.
-
הארגון הוא גוף ציבורי – משרדי ממשלה, רשויות מקומיות, גופים הממלאים תפקיד ציבורי על פי דין, תאגידים שהוקמו לפי חוק וכל גוף נוסף ששר המשפטים קבע. ארגון המנוי על גופים אלו חייב למנות CISO.
-
גם כאשר לא חלה חובת הרישום, הארגון חייב להודיע לרשות להגנת הפרטיות על קיומו של המאגר במידה והמאגר כולל מידע רגיש ביותר על מעל 100,000 נושאי מידע: מידע בעל רגישות מיוחדת כולל מידע על צנעת אישותו של אדם, מידע רפואי וגנטי, מזהים ביומטרים, מידע על מוצאו של אדם, עברו הפלילי, דעותיו הפוליטיות, אמונותיו או השקפת עולמו, הערכת אישיות מקצועית, נתוני שכר ומידע פיננסי, מידע המוגן בחובת סודיות מכוח הדין, וכל מידע אישי אחר שקבע בצו שר המשפטים.
-
הארגון עוסק בבנקאות, ביטוח או דירוג אשראי.
- הארגון הוא בנק, חברת ביטוח, או חברה העוסקת בדירוג או בהערכה של אשראי.
מה כוללים תחומי האחריות של ה- CISO?
סעיף 17 לחוק הגנת הפרטיות מטיל על בעל השליטה במאגר מידע, וכן המחזיק בו, את האחריות לדאוג לאבטחת המידע שבמאגר. כך, החוק הסמיך את שר המשפטים להתקין את תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ("תקנות אבטחת המידע" או "התקנות"), המפרטות חובות אבטחת מידע שונות בהיבטים המתייחסות להגנה הפיזית והלוגית על המאגר, ולסדרי הניהול וכללי העבודה, כולל הגבלות על גישת עובדי הארגון למידע.
ממונה אבטחת המידע הוא נושא המשרה בארגון האחראי על ענייני הסייבר ואבטחת המידע. ניתן לחשוב על ה-CISO כמנהל והמפקח הראשי האמון על הציות של הארגון להוראות החוק והתקנות מכוחו בכל הנוגע להיבטי אבטחת המידע בארגון. מדובר בתפקיד מנהל, ואין חובה שה-CISO יבצע את מלאכת הסייבר בשטח.
סעיף 3 לתקנות אבטחת המידע מפרטת את חובותיו של ה-CISO, וביניהן הכנת נוהל אבטחת מידע והבאתו לאישור בעל המאגר; הכנת תכנית לבקרה שוטפת על העמידה בדרישות תקנות אבטחת המידע, יבצע אותה ויודיע לבעל מאגר ולמנהל המאגר על ממצאיו; וכן כל משימה נוספת שהטיל עליו בעל המאגר לשם ביצוע התקנות.
תקנה 3 לתקנות אבטחת המידע קובעת כללים יסודיים בלבד לממונה אבטחת המידע והיא אינה ממצה, ובעצם כאשר מונה CISO בארגון, יש לראות בו כגורם האמון על ציות, פיקוח והטמעה בנוגע לכלל היבטי אבטחת המידע בארגון.
לסקירה רחבה יותר של חובות אבטחת המידע בארגון, מומלץ לפנות למדריך המלא לתקנות אבטחת המידע של הרשות להגנת הפרטיות.
שימו לב! חובות ה-CISO לפי תקנות אבטחת המידע יחולו על הארגון גם כאשר נבחר למנות ממונה אבטחת מידע אף אם הארגון לא היה חייב במינויו. כמו כן, מינוי CISO אינו גורע מאחריותו הכללית של הארגון לפי החוק לדאוג לאבטחת המידע הנמצא בשליטתו או המוחזק על ידו.
מי יכול לשמש כממונה אבטחת מידע?
אין דרישות פורמליות בחוק להכשרה, אך עליו להיות בעל הכשרה מתאימה לתפקיד. אפשר למנות CISO חיצוני בתנאי שהוא עומד בכל הדרישות החוקיות.
לא ניתן למנות CISO אם:
-
הוא הורשע בעבירה עם קלון או בעבירה על חוק הגנת הפרטיות.
-
יש חשש לניגוד עניינים, למשל אם הוא גם מנהל מערכות המידע של הארגון או כפוף לו. כמו כן, מנהל המאגר לא יכול להיות ה-CISO.
ה- CISO חייב להיות כפוף ישירות למנהל המאגר או בכיר הכפוף ישירות למנהל המאגר. עליו לקבל משאבים, סמכויות, תקציב וגישה לכל מערכות המידע של הארגון. דבר נוסף שחשוב לדעת הוא כי ניתן למנות CISO במיקור חוץ, ובלבד שהוא ימלא אחר התנאים והחובות המוטלות עליו בחוק הגנת הפרטיות ותקנות אבטחת המידע.
למה זה חשוב עכשיו?
תיקון 13 לחוק הגנת הפרטיות מדגיש את חשיבות עמידת הארגון בדרישות החוק. CISO לא שומר רק על המידע האישי – אלא גם על מידע עסקי וסודות מסחריים. מומלץ לבחור אדם אמין, מקצועי ומסור. הטמעת התפקיד בארגון תגן עליכם מהשלכות משפטיות ואיומי סייבר.
DataBee מציעה שירותי מינוי CISO חיצוני לעמותות, חברות ורשויות. לפרטים – עברו לעמוד השירות