מדריך פעולה של הרשות להגנת הפרטיות ליישום תקנה 10(ד) לתקנות הגנת הפרטיות (אבטחת מידע) לשמירת קבצי תיעוד ולוגים

code

ביום 29 בספטמבר 2024 פרסמה הרשות להגנת הפרטיות מדריך פעולה ("המדריך") ליישום תקנה 10(ד) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("התקנות"), אשר מחייבות מאגרים ברמת אבטחה בינוניתוגבוהה, לשמור נתוני תיעוד (log) של מנגנוני ניטור, שליטה ובקרה, כגון נתוני נתוני פעילות במסדי נתונים, מאגרי מידע  ועוד. במסגרת המדריך מבקשת הרשות להבהיר את תכלית תקנה 10(ד) לתקנות, והאופן בו יש ליישם את החובה לשמירת נתוני התיעוד בצורה מעשית. 

תקנה 10 לתקנות קובעת כדלקמן:

  1. במערכות של מאגר מידע אשר חלה עליו רמת אבטחה בינונית או גבוהה, ינוהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר ("מנגנון הבקרה"), ויכלול את הנתונים הבאים: זהות המשתמש, התאריך והשעה של ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה (כלומר, שם בסיס הנתונים, מערכת ניהול קבצים וכדומה), סוג הגישה (קריאה, כתיבה או שליפה), היקפה, ואם הגישה אושרה או נדחתה.
  2. מנגנון הבקרה לא יאפשר, ככל יכולתו, ביטול או שינוי של הפעלתו, ויאתר שינויים או ביטולים בהפעלתו ויפיץ התראות לאחראים.
  3. בעל מאגר מידע יקבע נוהל בדיקה שגרתי של נתוני התיעוד (log) של מנגנון הבקרה, ויערוך דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן.
  4. נתוני התיעוד (log) של מנגנון הבקרה יישמרו למשך 24 חודשים לפחות
  5. בעל מאגר מידע יידע את בעלי ההרשאות במאגר בדבר קיום מנגנון הבקרה למערכות המאגר.

לעמדת הרשות לחובת התיעוד האוטומטי אשר נקבעה בתקנה 10(א) ישנן מספר תכליות, לרבות, ניטור שוטף של מערכות המאגר ובקרה על הפעילות לצורך איתור ובדיקה של פעילות חריגה וכן אחסון הנתונים לצורך בחינה של אירועי אבטחה, זיהוי חולשות ודרכי חדירה לצורך מניעות הישנות. 

לעניין החובה תחת תקנה 10(א) לניהול מנגנון תיעוד אוטומטי, על פי המדריך, החובה כאמור חלה על גישה הן באמצעות משתמש אנושי, והן באמצעות רכיב קוד

ככלל, על פי המדריך, החובה הקבועה בהוראות תקנה 10(ד) לשמירת נתוני התיעוד (log) של כל מערכות המאגר, משמעה, אחסון כל קובץ שמתעד את הפעולה ונתוני הפעולה של כל אחת ממערכות האבטחה של מאגר המידע, והמערכות המשמשות את המאגר, תוך הקפדה על זמינותם ונגישותם של נתוני התיעוד (log) לפרק זמן של 24 חודשים לפחות. 

יחד עם זאת, במסגרת המדריך הרשות מבצעת הבחנה מסוימת בין סוגי המערכות ופרקי הזמן לשמירת נתוני התיעוד (log) כאשר בהקשר למערכות קריטיות לתפעול מאגר המידע ולאבטחתו, חלה חובה לנטר ולתעד את פעילותן באופן רציף, היות ונתוני התיעוד (log) שלהן חיוניים ביותר בעת חקירה של אירוע אבטחת מידע, ולכן יש לשמור אותם נגישים, זמינים ומאובטחים במערכות אחסון מקומיות לפרק זמן של 24 חודשים כקבוע בתקנות. דוגמאות למערכות קריטיות כאמור על פי המדריך הינן: מערכת ההפעלה (התוכנה המנהלת את משאבי החומרה והתוכנה במחשוב, מספקת תשתית להרצת היישומים ומנהלת את הגישה לרכיבים והתקנים), מאגר המידע, Active Directory (ניהול מרכזי של רשת המחשבים בארגונים),   EDR (רכיב המבצע תיעוד פעולות בתחנות קצה), NAC (מנגנון לניטור נקודות קצה וגישה לרשת הארגונית מתוך הרשת הארגונית), חומת אש (firewall), לרבות חומות אש ייעודיות לאפליקציות מקוונות (WAF) וכן חומות אש להגנה על בסיסי נתונים (DBFW). 

בכל הנוגע לנתוני התיעוד (log) בשאר מערכות המאגר, סבורה הרשות כי ניתן לשמור אותם במערכות אחסון מקומיות, למשך 6 חודשים לפחות, ולאחר מכן להעבירם לפרק הזמן שנותר, לאחסון במנגנון שימור ארוך טווח, דוגמת התקן אחסון המצוי מחוץ לחצרי הארגון  (Backup Site Off). 

יש לציין כי, תחת תיקון 13 לחוק אשר יכנס לתוקף בחודש אוגוסט 2025, ובמסגרת הרחבת סמכויות הרשות והעיצומים שרשאית הרשות להטיל, בהקשר לתקנה 10 סכומי העיצומים שנקבעו בגין הפרה הינם בסכום של 40,000 ₪ ביחס למאגר ברמת אבטחה בינונית ו-160,000 ₪ ביחס למאגר ברמת אבטחה גבוהה ועל כן, ישנה חשיבות בקיום הוראות התקנה, בהתאם ליישום המפורט תחת המדריך, על מנת להימנע מעיצומים כאמור. עם זאת, יצוין כי על פי התיקון, בהקשר לחובה לשמירת נתוני התיעוד תחת תקנה 10(ד) לתקנות, התיקון קובע כי עיצום יוטל על בעל שליטה או מחזיק במאגר מידע אשר לא דאגו לשמור את נתוני התיעוד למשך 12 חודשים לפחות. 

נשמח לעמוד לרשותכם לכל שאלה ו/או הבהרה.

בברכה,
מחלקת סייבר, אבטחת מידע ופרטיות,
שבלת ושות'

האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף.

חדשות נלוות