|   15:07:40
  אלון קוחלני  
מועדון VIP
להצטרפות הקלק כאן
בימה חופשית ב-News1
בעלי מקצועות חופשיים מוזמנים להעביר אלינו לפרסום מאמרים, מידע בעל ערך חדשותי, חוות דעת מקצועיות בתחומים משפט, כלכלה, שוק ההון, ממשל, תקשורת ועוד, וכן כתבי טענות בהליכים בבית המשפט.
דוא"ל: vip@news1.co.il
כתבות מקודמות
כתיבת המומחים
ברלין בלוז - המלצה לבינג'
כתיבת המומחים
עלויות יישור שיניים: כל מה שצריך לדעת

מי יבקר את המאגרים
תקנות אבטחת המידע שייכנסו לתוקף בחודש הבא משתמשות במילה "ביקורת" - אך אינן מטילות חובה זו על מבקר הפנים. התוצאה עלולה לחתור תחת מטרתן של התקנות
02/04/2018  |   אלון קוחלני   |   מאמרים   |   תגובות
למנוע דליפה [צילום: גילי יערי, פלאש 90]

בחודש הבא ייכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), המבקשות לחולל מהפכה ע"י קביעת חובה לקיים סדרי ניהול וכללי עבודה למאגר מידע ומיקוד הפעילות הרגולטורית במישור הפיקוח והאכיפה. התקנות מטילות על בעלים, מנהלים ומחזיקים של מאגרי מידע, ובהם גופים ציבוריים, חובה לנקוט בצעדים המפורטים בהן כדי להבטיח שמאגריהם עומדים בדרישות אבטחת המידע והתיעוד הנדרשות. כלים אלה נועדו כדי להגן על המידע מפני שימוש לרעה על-ידי גורמים מחוץ לארגון ובתוכו.

היקף החבויות מותנה בסוג המידע האצור במאגרים, כאשר לצורך כך מחלקות התקנות את המאגרים לארבע קבוצות:

1. מאגרי מידע המנוהלים על-ידי יחיד, בהם יש לקבוע מהם המידע המוגן והסיכונים הקשורים אליו.

2. מאגרי מידע שרמת האבטחה בהם היא בסיסית, בהם יש לקבוע נהלים מפורטים וברורים לאבטחת המידע.

3. מאגרי מידע שרמת האבטחה בהם היא בינונית, עליהם חלות הוראות מהותיות בניהול אבטחת מידע.

4. מאגרי מידע הנדרשים לרמת אבטחה גבוהה.

גופים המחזיקים מאגרים ברמה הבינונית והגבוהה חייבים לערוך במאגרים ביקורת מקיפה. התקנות לא הטילו מטלה זו על מבקר הפנים, אלא הסתפקו בקביעה לפיה על המבקר, תהא זהותו אשר תהא ("ביקורת פנימית או חיצונית"), להיות בעל הכשרה מתאימה.
ייתכן שהדבר נעשה לאור העובדה שהוראות אלה חלות גם על גופים שלא חלה עליהם חובה למנות מבקר פנימי. אולם ניתן היה לקבוע, כי בגופים ציבוריים כמשמעם בחוק הביקורת הפנימית, הוראות אלה יחלו על מבקרי הפנים, ועל היתר תחול ההוראה האמורה בתקנות.

תקנה 16 קובעת, כי על גופים אלה לערוך "לכל הפחות אחת ל-24 חודשים ביקורת פנימית או חיצונית שתכלול דוח על התאמת אמצעי האבטחה לנוהל האבטחה והתקנות, זיהוי ליקויים והצעת תיקונים לליקויים אלו". על-מנת לעמוד על משמעות הדברים, להלן סקירת רכיבי התקנות מול המצב הקיים בביקורת הפנימית:

  • זהות המבקר: מבקר על-פי התקנות יכול להיות מבקר פנימי או חיצוני, ובלבד שיהיה בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע.

  • דוח הביקורת: מבקר על-פי התקנות נדרש לדווח על התאמת אמצעי האבטחה לנוהל האבטחה ולתקנות אלה, לזהות ליקויים ולהציע אמצעים הדרושים לתיקון המצב. מבקר פנימי רשאי לבחון את המאגרים מכל היבט שהוא, ואינו מוגבל לנושאים המפורטים בתקנה.

  • תדירות הביקורת: הביקורת על-פי התקנות צריכה להיערך אחת ל-24 חודשים לפחות. מבקר פנימי חייב לקיים ביקורת לפי מידת החשיפה לסיכונים בפועל, ובהחלט ייתכנו מצבים בהם הביקורת תיערך זה בתדירות גבוהה יותר.

  • דיון בדוח ביקורת: בעל מאגר המידע ידון בדוחות הביקורת שיועברו לו, ויבחן את הצורך בעידכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהם. דוחות של מבקר פנימי נדונים בוועדת ביקורת ולאחר מכן בדירקטוריון/ מועצה.

  • פטור מביקורת: גוף ציבורי רשאי לפתור עצמו מהחובה לקיים ביקורת אם נערך סקר סיכונים. באשר למבקר פנימי - אין פטורים מביקורת.

  • ייעול הביקורת - ארגון שהוא בעל כמה מאגרי מידע, רשאי לקיים את החובה הקבועה במסגרת ביקורת אחת לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה. מבקר פנימי נהנה משיקול דעת באשר לאופן עריכת הביקורת.

לאור כל אלו נראה, כי הרצון להעניק גמישות ביישום התקנות יצר אי-בהירות שעלולה לפגוע במטרה העומדת בבסיסן (הבטחת תקינותם של מאגרי המידע). להלן כמה מן הבעיות שתקנה זו מעלה:

א. התקנה אינה מגדירה את זהות המבקר ודרכי מינויו, והיא מאפשרת להימנע מעריכת ביקורת (אם נערך סקר סיכונים).

ב. לקביעה בדבר זהות המבקר יש השלכה על הנעשה עם תוצרי הביקורת. בעוד שאם הביקורת תיערך על-ידי מבקר הפנים הייתה נוצרת חובה לדון על תוצרי עבודתו בוועדת הביקורת הרי שהתקנות מטילות חובה זו על בעל המאגר, שהוא למעשה הגוף המבוקר).

ג. לפני כ-20 שנה שונו תקני הביקורת הפנימית והגדרת. ההבנה שהביקורת צריכה לפעול בהתאם למידת החשיפה לסיכונים, הביאה להכרה שבמקום לקבוע תדירות מינימום, יש להטיל על המבקר אחריות לכסות בעבודתו את הנושאים בעלי הסיכון הגבוה. לעומ זאת, התקנות קבעו רף מינימלי לעריכת הביקורת (אחת לשנתיים), אשר ניתן להעריך בביטחון שהוא יהפוך לנורמה הרווחת.

שרת המשפטים יכלה להבטיח, כי הביקורת על מאגרי המידע תבוצע בידי מי שמקצועו בביקורת, אך לא עשתה זאת. בכך היא מנעה למעשה את האפשרות שהביקורת על מאגרי המידע תיערך בתדירות ההולמת את מידת חשיפתם לסיכונים, ושוועדת הביקורת (ולא המבוקר) תעקוב אחרי תיקון ליקויים.

אם השרה תבקש לתקן מצב זה, עומדות בפניה שתי אפשרויות. האחת: לקבוע שמדובר בבקרה ולא בביקורת. השנייה: הביקורת תיערך בידי מבקר הפנים. בכל מקרה, תקנות אלה מציבות אתגרים בפני מבקרי הפנים,ועליהם לפעול לרכוש ידע ומומחיות בתחום ביקורת IT, שהרי ממילא רובצת עליהם חובה לערוך ביקורת בכל תחום החושף את הארגון לסיכונים.

המחבר הוא בעלי משרד עו"ד העוסק בביקורת פנימית ובניהול סיכונים.
תאריך:  02/04/2018   |   עודכן:  02/04/2018
עו"ד אלון קוחלני
מועדון VIP להצטרפות הקלק כאן
ברחבי הרשת / פרסומת
רשימות קודמות
מערכת ההסברה הישראלית התעוררה באיחור כדי לחשוף את מסע התעמולה השקרי של חמאס בדבר קמפיין "השיבה", אולם מכיוון שאנחנו רק בתחילתו של הקמפיין הזה, מוטב מאוחר מאשר אף פעם, ישראל צריכה מייד לפתוח במסע הסברה מדיני ותקשורתי בכל רחבי העולם.
02/04/2018  |  יוני בן-מנחם  |   מאמרים
עם צאת שבת קודש נדרשתי לדיווחים על אודות האירועים בעזה. מהדיווחים המעודכנים עד עתה נראה כי מגיע לצה"ל יישר כוח גדול! בניגוד למדיניות ארוכת שנים של הבלגה, איפוק והכלה, נוכחים אנו לדעת שסוף-סוף נקט צה"ל פעולות המתבקשות מהמצב אותו יצרו המחבלים וראשיהם על גבולנו עם הרצועה.
02/04/2018  |  בעז שפירא  |   מאמרים
לאחרונה קציני המנהל האזרחי, עיתונאים ופרשנים מבטאים את השקפתם לגבי היחס בין יהודים לערבים בחבל הארץ בין הים לנהר, מבלי לבדוק נתונים סטיסטיים אלמנטריים של הל.מ.ס, הנגישים לכל בר בי רב.
01/04/2018  |  מרדכי איש-שלום  |   מאמרים
מלצרות בישראל היא עיסוק זמני, בוודאי לא מקצוע לטווח הארוך. מועסקים בו, בעיקר, משוחררי צבא-חובה וסטודנטים, כשמלצרות היא הדרך הקלה בשבילם להגשים את חלומם הנכסף. אלא שפסיקתו החדשה של בית הדין הארצי לעבודה שמה קץ לחלום הזה. מסתבר שהיא מכת-מוות לא רק למסעדנים, אלא גם, ובעיקר, למלצרים.
01/04/2018  |  ראובן לייב  |   מאמרים
כל ההתרחשויות בצעדת הטרור של פלשתיני-עזה היו צפויות מראש. מראש היה ברור שההפגנה אינה מצטלמת טוב בשביל ישראל. מצד אחד, אלפי ערבים "אומללים", בהם נשים וילדים, שצועדים עם אבנים ודגלים בידיהם אל עבר הגדר, מצד שני צבא מצויד במיטב הנשק והיכולת, ערוך ומוכן למנוע את הפרובוקציה הגדולה.
01/04/2018  |  יוסי אחימאיר  |   מאמרים
בלוגרים
דעות  |  כתבות  |  תחקירים  |  לרשימת הכותבים
דן מרגלית
דן מרגלית
אם עד כה ראוי היה להציג את איתמר בן-גביר כעבריין לשעבר הרי שעכשיו הוא בלי לשעבר    רק, לכאורה, לפי שעה
דרור אידר
דרור אידר
השיח הרגשי על העסקה עם חמאס משחק לידי מנהיגיו, הששים לסכסך בינינו    קובעי המדיניות חייבים להתעלם מהרעש ולהתמקד בעיקר: מניעת תמריץ לאויבינו לשחזר את 7 באוקטובר, כלומר: חיסולם
רפי לאופרט
רפי לאופרט
מעקב אחר חלק מתוכניות החדשות של ערוץ 12 הוא בבחינת "דע את האויב"    הערוץ הוא הארסי ביותר בביקורתו המעוותת נגד ממשלת ישראל וראשה ולדעתי משמש בידי האופוזיציה הפנימית והחיצונית למדינת...
לרשימות נוספות  |  לבימה חופשית  |  לרשימת הכותבים
הבלוגרים הנקראים ביותר ב- News1
1. אורי מילשטיין 2. דן מרגלית
3. איתן קלינסקי 4. אלי אלון
5. רון בריימן 6. עמנואל בן-סבו
7. צבי גיל 8. יעקב אחימאיר
9. חיים רמון 10. יוסי אחימאיר
11. יאיר נבות 12. דרור אידר
13. ציפי לידר 14. ירון פרידמן
15. רבקה שפק ליסק 16. מאיר רבינוביץ
17. יורם אטינגר 18. רפאל בוכניק
19. דרור גרין 20. מרדכי ליפמן
לרשימת הכותבים ב News-1
הרשמה לניוזלטר
הרשמה ל-SMS
ברחבי הרשת / פרסומת
ברחבי הרשת / פרסומת
News1 מחלקה ראשונה :  ניוז1  |   |  עריסת תינוק ניידת  |  קוצץ ירקות מאסטר סלייסר  |  NEWS1  |  חדשות  |  אקטואליה  |  תחקירים  |  משפט  |  כלכלה  |  בריאות  |  פנאי  |  ספורט  |  הייטק  |  תיירות  |  אנשים  |  נדל"ן  |  ביטוח  |  פרסום  |  רכב  |  דת  |  מסורת  |  תרבות  |  צרכנות  |  אוכל  |  אינטרנט  |  מחשבים  |  חינוך  |  מגזין  |  הודעות לעיתונות  |  חדשות ברשת  |  בלוגרים ברשת  |  הודעות ברשת  |  מועדון +  |  אישים  |  פירמות  |  מגשרים  |  מוסדות  |  אתרים  |  עורכי דין  |  רואי חשבון  |  כסף  |  יועצים  |  אדריכלים  |  שמאים  |  רופאים  |  שופטים  |  זירת המומחים  | 
מו"ל ועורך: יואב יצחק © כל הזכויות שמורות     |    שיווק ופרסום ב News1     |     RSS
כתובת: רח' חיים זכאי 3 פתח תקוה 4977682 טל: 03-9345666 פקס מערכת: 03-9345660 דואל: New@News1.co.il