מדריך חדש שפורסם על ידי רשות הגנת הפרטיות בעניין יישום החובה לשמירת קבצי תיעוד ולוגים

הרשות להגנת הפרטיות פרסמה מדריך חדש בעניין יישום החובה לשמירת קבצי תיעוד ולוגים הקבועה בתקנות אבטחת מידע

לאחרונה פרסמה הרשות להגנת הפרטיות (להלן: "הרשות") מדריך פעולה ליישום תקנה 10(ד) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "התקנה"). התקנה קובעת כי במאגרי מידע המסווגים ברמת אבטחה בינונית או גבוהה יש לשמור קבצי תיעוד המשמשים לתיעוד הנתונים והפעילות במערכות מאגר המידע (להלן: "לוגים"). מטרת המדריך היא, מצד אחד, ליישם את התכלית של בדיקה בדיעבד של אירועי אבטחה או ליקויים אחרים, תוך הבטחת זמינותם של נתונים אלה, ומניעת זליגתם (שעלולה לסכן את אבטחת המידע), ומצד שני לסייע לארגון לנהל את התיעוד ושמירת הלוגים בצורה יעילה, נגישה וזמינה, ולהציג מנגנון יישום פרקטי לחובה הקבועה בתקנה.

להלן עיקרי ההוראות הכלולות במדריך:

1. התקנה, אשר חלה על מאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה קובעת כי:

• במערכות של מאגר מידע אשר חלה עליו רמת האבטחה הבינונית או הגבוהה, ינוהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר, ובכלל זה נתונים אלה: זהות המשתמש, התאריך והשעה של ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה, סוג הגישה, היקפה, ואם הגישה אושרה או נדחתה.
• מנגנון הבקרה לא יאפשר, ככל יכולתו, ביטול או שינוי של הפעלתו; מנגנון הבקרה יאתר שינויים או ביטולים בהפעלתו ויפיץ התראות לאחראים.
• בעל מאגר מידע והמחזיק במאגר (ככל שרלוונטי) יקבעו נוהל בדיקה שגרתי של נתוני התיעוד של מנגנון הבקרה, ויערכו כל אחד דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן.
• נתוני התיעוד של מנגנון הבקרה יישמרו למשך 24 חודשים לפחות.
• בעל מאגר מידע והמחזיק במאגר (ככל שרלוונטי) יידעו את בעלי ההרשאות במאגר בדבר קיום מנגנון הבקרה למערכות המאגר.

2. הרשות מפרטת במדריך כי לתקנה יש מספר תכליות, לרבות ניטור מערכות המאגר (כגון,השרת שהמאגר מותקן בו, מערכת ההפעלה על השרת, חומת האש שמגנה עליו, ההגנה על יחידות הקצה שניגשות למאגר ועוד), ביצוע בקרה על פעילות מערכות המאגר, וכן אחסון כלל הנתונים במערכות המאגר כדי שניתן יהיה לשחזר את שאירע בעת אירוע אבטחה ועל מנת לתקן את הליקויים שנמצאו ולבצע פעולות לאי הישנות אירועים מסוג זה.
3. המדריך מחדד כי יישום מנגנון התיעוד האוטומטי צריך להיעשות הן ביחס לגישה המתבצעת בידי משתמש אנושי לשרת המכיל את מאגר מידע או לשרת אשר מספק שירותים המבוססים על מאגר המידע (דהיינו תחנת קצה שבאמצעותה המשתמש ניגש לצד השרת עליו רץ היישום במטרה לאחזר מידע מן המאגר), והן כאשר מדובר בגישה שמתבצעת בידי רכיב קוד כלשהו (דהיינו ממשק פנימי או חיצוני שמקשר בין צד השרת שעליו היישום רץ, לבין מאגר המידע שהיישום ניגש אליו).
4. ככלל, החובה הקבועה בתקנה לשמור לוגים של כל מערכות המאגר, משמעה אחסון כל קובץ שמתעד את הפעולה ונתוני הפעולה, של כל אחת ממערכות האבטחה של המאגר והמערכות המשמשות את המאגר, תוך הקפדה על זמינותם ונגישותם של הלוגים השמורים לפרק זמן של שנתיים לפחות.
5. עמדת הרשות היא כי קיימות מערכות קריטיות לתפעול מאגר המידע ולאבטחתו, שחובה לנטר ולתעד את פעילותן באופן רציף, והלוגים שלהן חיוניים ביותר בעת חקירה של אירוע אבטחת מידע (לדוגמה, לוגים של מערכת ההפעלה, חומת-אש או WAF) ואשר אותם יש לשמור נגישים, זמינים ומאובטחים במערכות אחסון מקומיות למשך כל התקופה הקבועה בתקנה, קרי שנתיים. עם זאת, בכל הנוגע ללוגים משאר מערכות המאגר, עמדת הרשות היא כי ניתן לשמור אותם במערכות אחסון מקומיות, למשך שישה חודשים לפחות, ובתום שישה חודשים ניתן להעבירם למשך הזמן שנותר, לאחסון במנגנון שימור ארוך טווח, דוגמת התקן אחסון המצוי מחוץ לחצרי הארגון (Backup Site Off). בכל מקרה, יש לוודא כי הלוגים נשמרים באופן מאובטח, שימנע השחתה או מחיקה, שגויה או מכוונת.
6. הרשות מונה במדריך דוגמאות למערכות קריטיות, דהיינו מערכות שהלוגים ביחס אליהן צריכים להישמר באופן זמין ומאובטח במערכות אחסון מקומיות למשך שנתיים: (א) מערכות ההפעלה, (ב) מערכות מאגר המידע (בהן יש לתעד, בין היתר, את זהות הניגש, התאריך והשעה של ניסיון הגישה, הרכיב שבאמצעותו התבצעה הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה, סוג הגישה (קריאה, כתיבה או שליפה), היקפה, והאם הגישה אושרה או נדחתה. מאחר שהמשמעות היא שמירת לוגים בהיקף נרחב, הרשות ממליצה שארגונים ישקלו שימוש בכלים ממוכנים לאיסוף וניתוח נוח של הלוגים; (ג) חבילת Active Directory של מיקרוסופט המיועדת לניהול רשתות בארגונים; (ד) מערכות EDR (רכיב חשוב לתיעוד פעולות שמתבצעות על תחנת קצה); (ה) מערכות NAC (מנגנון שמנטר את נקודות הקצה והגישות לרשת הארגונית, מתוך הרשת הארגונית); (ו) חומות אש (Firewall); (ז) מערכות WAF (חומת אש ייעודית לאפליקציות מקוונות); ו-(ח) מערכות DBFW (חומת אש ייעודית להגנה על בסיס הנתונים). חשוב לציין, כי רשימת המערכות הקריטיות למאגר המידע המנויות לעיל, איננה רשימה סגורה. אם הותקנו בארגון מערכות ניטור והגנה נוספות, אזי יש לוודא כי גם הלוגים שלהם נשמרים.

היות ומדובר בנושא בעל חשיבות רבה לצורך אבטחת מידע, התמודדות עם אירועי סייבר ועמידה בדרישות הדין, אנחנו ממליצים שלקוחותינו יקראו את המדריך במלואו ויישמו את הוראותיו בהתאם למאפיינים הייחודיים של הארגון שלהם. יצוין, כי תיקון 13 לחוק הגנת הפרטיות אשר צפוי להיכנס לתוקף בחודש אוגוסט 2025 קובע סנקציות בגין הפרות מסוימות של התקנה.

לעיון במדריך שפורסם על-ידי הרשות לחצ/י כאן.

למזכרנו מיום 21.7.2024 הכולל סקירה קצרה של עיקרי השינויים המרכזיים הכלולים
בתיקון לחוק לחצ/י כאן.

________________________________________________________________________________________________________________

הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.

________________________________________________________________________________________________________________