חוק הגנת הפרטיות תשמ"א-1981
תיקון 13 - Checklist מלא
מדריך מקצועי ומקיף לעמידה בדרישות החוק - כל הפרטים הטכניים והמשפטיים
⚖️ האם אני מתחת לסף?
בדוק אם שני התנאים מתקיימים אצלך
מספר עובדים
< 25
מחזור שנתי
< ₪20M
שני התנאים ביחד = מתחת לסף | אם עברת אפילו אחד = מעל הסף
01
אמצעי אבטחה סבירים
סעיף 11א לחוק | חובה על כולם
"בעל מאגר ינקוט באמצעים סבירים לאבטחת מידע שבמאגר"
🏢 אמצעים ארגוניים
- מדיניות אבטחת מידע כתובה ומעודכנת
- הגדרת הרשאות גישה לפי תפקיד - RBAC
- מינוי אחראי אבטחת מידע (גם אם לא חובה ממונה רשמי)
- הדרכת עובדים בנושא אבטחת מידע ופישינג
- נהלי עבודה בטוחים ותיעוד תהליכים
- הסכמי סודיות עם עובדים וקבלנים
💻 אמצעים טכנולוגיים
- Firewall פעיל ומעודכן - FortiGate/Palo Alto/Check Point
- Antivirus/EDR על כל תחנת עבודה ושרת
- Patches - עדכוני אבטחה אוטומטיים
- הצפנת תקשורת - HTTPS/TLS/VPN לגישה מרחוק
- הצפנת מידע רגיש - BitLocker/FileVault/Database Encryption
- גיבויים - תדיר, אוטומטי, ונבדק לשחזור
- אימות חזק - סיסמאות מורכבות 8+ או MFA
- Logging - רישום אירועים 6 חודשים מינימום
- SIEM/SOC - ניטור והתראות (Wazuh/Splunk)
- Email Security - Anti-Spam/Anti-Phishing
🏗️ אמצעים פיזיים
- נעילת חדרי שרתים ומתקני IT
- גישה מוגבלת ומבוקרת לציוד קריטי
- השמדת מדיה בטוחה - Shredding
- מצלמות אבטחה בנקודות רגישות
- בקרת כניסה - תגים/ביומטריה
02
דיווח אירועי סייבר
סעיף 11ב לחוק | חובה על כולם - גם מתחת לסף!
"בעל מאגר שאירע בו אירוע סייבר... ידווח לרשות, בתוך 72 שעות"
📢 הגדרת אירוע סייבר
- פגיעה בזמינות - DDoS/Ransomware
- פגיעה בסודיות - דליפה/גניבת מידע
- פגיעה בשלמות - שינוי/מחיקת נתונים
- פריצה למערכת או ניסיון פריצה מוצלח
- כופרה (Ransomware) או תוכנה זדונית
- דליפת מידע אישי של לקוחות/עובדים
📋 נוהל דיווח
- קישור לטופס דיווח ברשות להגנת הפרטיות
- רשימת אנשי קשר - ממונה, הנהלה, משפטי
- תבנית דיווח מוכנה מראש
- נהל Incident Response מתועד
- תרגול (Drill) תקופתי
🔍 יכולת זיהוי
- SIEM מרכזי - Wazuh/Splunk/ELK
- ניטור Logs בזמן אמת
- התראות אוטומטיות על חריגות
- EDR/XDR על תחנות קצה
- IDS/IPS על הרשת
03
מסמך אבטחת מידע
תקנה 4 | רק מעל 25 עובדים או ₪20M
"מסמך אבטחת מידע... יכלול את העקרונות לאבטחת מידע"
📄 תוכן המסמך
- ניהול סיכונים - זיהוי ואמדן סיכוני סייבר
- הגבלת גישה - מדיניות הרשאות
- הצפנה - מתי, איך ובאילו רמות
- גיבויים - תדירות, מיקום, שחזור
- רישום אירועים - מה לתעד וכמה זמן
- תגובה לאירועים - נוהל Incident Response
- הדרכה - עובדים וקבלנים
- ביקורת - בדיקות תקופתיות
- ספקים - בדיקת Cloud/SaaS providers
04
ממונה אבטחת מידע
תקנה 5 | רק מעל 25 עובדים או ₪20M
"ממונה אבטחת מידע... יפעל להבטחת יישום מסמך אבטחת המידע"
👤 דרישות
- מינוי רשמי - מסמך מינוי חתום
- הכשרה מקצועית - קורס/תעודה/ניסיון
- דיווח להנהלה - דוחות תקופתיים
- תקציב ומשאבים לביצוע תפקיד
- סמכויות - גישה למערכות וזמינות הנהלה
- עדכון מתמיד - השתלמויות וידע עדכני
05
שימוש לפי תכלית
סעיף 19(6) לחוק | חובה על כולם
"לא ישתמש במידע אלא לתכלית שלשמה ניתן"
🎯 בקרת שימוש
- הגדרת תכליות - מה מותר לעשות עם כל סוג מידע
- הגבלה טכנולוגית - Access Control
- ניטור שימוש - Auditing ו-Logging
- מחיקה כאשר התכלית פקעה
- DLP - Data Loss Prevention
06
שמירה מוגבלת בזמן
סעיף 11 לחוק | חובה על כולם
"מידע לא יישמר תקופה העולה על הדרוש"
⏱️ מדיניות Retention
- מדיניות שמירה - כמה זמן כל סוג מידע
- מחיקה אוטומטית לאחר פקיעה
- ארכוב בטוח - במקרים שהחוק מחייב
- תיעוד - מה נמחק, מתי, על ידי מי
- גיבויים - גם עליהם חלה מדיניות מחיקה
🎯 סיכום ביצועי
חובה על כולם (גם מתחת לסף)
- Firewall + AV
- Backup מנוהל
- הרשאות גישה
- סיסמאות חזקות
- עדכוני אבטחה
- נוהל דיווח סייבר 72 שעות
- Logs 6 חודשים
רק מעל 25 עובדים או ₪20M
- מסמך אבטחת מידע רשמי
- ממונה אבטחת מידע
- ביקורת תקופתית
- דיווחי סיכונים
מומלץ לכולם
- SIEM/EDR
- MFA - אימות דו-שלבי
- הדרכות תקופתיות
- Penetration Testing
- DLP
- Incident Response Plan
💬 צריך עזרה ביישום?
אנחנו יכולים לעזור לך לעמוד בכל דרישות החוק ולהקים מערך אבטחת מידע מקצועי
צור קשר ב-WhatsApp