usarueshe

הוראות לעמידה בתנאים של היתר רעלים בתחום ההגנה על מידע וסייבר

מפעלים וארגונים רבים נדרשים להיתר רעלים אך זה מותנה בעמידה בהוראות מחמירות של הגנה על מידע וסייבר בתעשייה. הידעתם?

hazardous materials

רקע

בשנת 2011 התקבלה החלטה על קידום היכולת הלאומית במרחב הקיברנטי. 4 שנים לאחר מכן, בשנת 2015, הממשלה החליטה על קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר. בעקבות כך, הוחלט על קידום ההיערכות הלאומית להגנת הסייבר והקמת תכנית יישום אסדרה לאומית רחבה הכוללת מדיניות ונהלים ברורים עבור החברות במשק הישראלי. במסגרת התכנית, ארגונים רבים במשק הישראלי קיבלו כלים לרגולציה והתמודדות עם מתקפות סייבר. לצורך כך, וכחלק ממערך הסייבר הלאומי במשרד ראש הממשלה, קמה הרשות הלאומית להגנת הסייבר. בנוסף לכך, המשרד להגנת הסביבה הקים את היחידה להגנה על מידע וסייבר בתעשייה שתפעל בהוראת מערך הסייבר הלאומי והיא זו שתהיה אחראית על קביעת, יישום ואכיפת הוראות הגנת הסייבר.

לקבלת מידע נוסף בנושא, התקשרו לאחד מהיועצים שלנו 1-800-33-5050

 

מה זה היתר רעלים?

אישור אגף חומרים מסוכנים של המשרד להגנת הסביבה למפעלים לייצא חומרים בפיקוח על פי אמנת רוטרדם בדבר נוהל ההסכמה בידיעה מראש לגבי כימיקלים וחומרי הדברה מסוכנים מסוימים בסחר הבינלאומי או שחלק משרשרת האספקה שלהם היא במסגרת סחר בינלאומי גם אם הם לא מיוצאים.

למי זה תקף?

ההוראות תקפות למספר מפעלי כימיקלים בארץ ממספר מגזרים וחברות בעלי מבנים תעשייתיים. בנוסף, ארגונים מובילים במשק מקיימים התייעצויות בשיתוף פעולה עם איחוד התעשיינים בהם נקבעו הוראות לביצוע מיפוי סיכונים ויישום בקרות נדרשות להגנה מפני סיכונים אלו על מנת להביא לידי צמצום הפגיעה האפשרית בסביבה ובבריאות הציבור.

מהן ההוראות?

הוראות לעמידה בתנאים של היתר רעלים בתחום ההגנה על מידע וסייבר מהווים את השלבים והדרישות אשר ארגונים בתעשייה חייבים ליישם. את הדרישות יש ליישם באופן שוטף והן כוללות מספר שלבים:

  1. דרישות לביצוע סקרים, סיווגים והרשאות בארגון.
  2. דרישות לתכנון וביצוע הגנה על מערכות המידע ומערכות המחשוב בארגון
  3. דרישות לביצוע תהליכים תעשייתיים ממוחשבים מוסדרים

כל הדרישות הללו מהוות הנחיות משלימות לתקנים ישראליים שארגונים תעשייתיים חייבים לקיים על מנת למנוע או להקטין פגיעה באוכלוסייה ובסביבה

אל דאגה, אנחנו כאן כדי לעזור...

חברת אביר – שירותי ביטחון בעלת ניסיון של 23 שנים בתחום השירותים הביטחוניים מסייעת לארגונים להטמיע וליישם עבורם את דרישות החוק והרגולציה המתאימה, בנוסף מציעה החברה ליווי מקיף לאורך כל שלבי העמידה בדרישות בעזרת היועצים שלנו אשר בעלי הסמכה רשמית ומומחים בכל נושא יישום הדרישות הן מבחינה משפטית והן מבחינת אבטחת המידע אל מול הדרישות של המשרד להגנת הסביבה.

לקבלת מידע נוסף בנושא, התקשרו לאחד מהיועצים שלנו 1-800-33-5050

 

הוראות החוק מחייבות מפעלים וארגונים רבים להיערך בהתאם על מנת לקבל את ההיתר
התקשרו עכשיו לפגישת ייעוץ חינם והימנעו מנזקים עתידיים!

 

התקשרו עכשיו 1-800-33-5050 לפגישת ייעוץ חינם!
לא יכולים לדבר עכשיו? מלאו פרטים בטופס והיועץ הראשון שמתפנה כבר חוזר אליכם

מוזמנים לשתף את המאמר כדי שארגונים יהיו מודעים

 

הטמעה ויישום תקנות אבטחת מידע בינ"ל וחוק הגנת פרטיות בישראל

הטמעה ויישום תקנות אבטחת מידע בינ"ל וחוק הגנת פרטיות בישראלרקע

במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות בישראל. במקביל נכנסו לתוקפן גם תקנות בינלאומיות כמו ה - (GDPR (General data protection regulation באיחוד האירופי וכשנה לאחר מכן, ביוני 2019 ארה"ב חוקקה את ה - (CCPA (California Consumer Privacy Act.
כתוצאה מכך, לאחרונה מתבקשים ארגונים רבים ע"י גופים מוסמכים למלא שאלונים עם זמני הגשה מהירים לקבלת תשובות בנושא, ולאחר בחינה לפרטי פרטים של התשובות לשאלונים, הארגונים נדרשים למלא חוסרים ולהציג מסמכים על מנת לעמוד בתקנות אלו. מי שלא עומד בהם צפוי לקנסות קשים של 20 מיליון יורו או 4% מהמחזור השנתי!

לקבלת מידע נוסף בנושא, התקשרו לאחד מהיועצים שלנו 1-800-33-5050

 

אז באילו תקנות מדובר?

תקנות אלו באות להגן על האזרחים בהקשר של חשיפת המידע האישי שלהם שנמצא ברשת ולאפשר להם שליטה מלאה על המידע המזוהה עימם. מדובר בתקנות אשר מהוות שינוי תפיסה עולמי בכל הקשור לנושא של אחריות לזליגת מידע ע"י ארגונים. לפיהן, כל ארגון המחזיק במידע אישי על אזרחי האיחוד האירופי חייב ליישם כללים ונהלים חמורים בנושא של פרטיות ואבטחת מידע בהקשר למידע זה, ואין זה משנה מה מיקומו הגיאוגרפי של הארגון. גם במידה והוא ממוקם פיסית מחוץ לאירופה יהיה חייב הארגון ביישום התקנות ע"י נציג חברה רשמי שיתנהל מול גורמי ה - GDPR באירופה לקיום התקנות.
כתוצאה מכך, נחשף הארגון לאיומים משפטיים הנובעים מאי עמידה בתקנות ואי מילוי חוסרים על הפערים הנדרשים ממנו. ועל כן חייב שתהיה לו הבנה מעמיקה בנושא אבטחת מידע. ובנוסף, עליו למלא את הפערים, התקנות והחקיקה הן ביחס לתקנות הפרטיות וחוק הגנת הפרטיות בישראל והן ביחס לתקנות והדרישות של ה -GDPR

אל דאגה, אנחנו כאן כדי לעזור...

חברת אביר – שירותי ביטחון בעלת ניסיון של 23 שנים בתחום השירותים הביטחוניים מסייעת לארגונים להטמיע וליישם עבורם את התקנים והרגולציה המתאימה, בנוסף מציעה החברה ליווי מקיף לאורך כל שלבי העמידה בדרישות בעזרת היועצים שלנו אשר בעלי הסמכה רשמית מטעם האיחוד האירופי ומומחים בכל נושא סגירת הפערים בתקנים הקיימים בארגונים מבחינה משפטית ומבחינת נושא אבטחת המידע אל מול תקנות הפרטיות וחוק הגנת הפרטיות בישראל והתקנות והדרישות של ה - GDPR

לקבלת מידע נוסף בנושא, התקשרו לאחד מהיועצים שלנו 1-800-33-5050

 

שירותי המומחים שלנו בהתאם לתקנות:

  • ביצוע בדיקה מקיפה ומיפוי של כל מאגרי המידע הקיימים בארגון הכוללים מידע רגיש על נכסי הארגון כגון לקוחות, משתמשים, נהלים, הרשאות, בעלי תפקידים, עקרונות דיווח והתאמה שלהם לתקנות הפרטיות בישראל ולתקנות ה – GDPR.
  • ביצוע סקר מעמיק לאיתור וניטור פערים בין התקנים הקיימים בארגון לבין תקנות הפרטיות בישראל ותקנות ה – GDPR.
  • ביצוע סקר סיכונים כולל וסקר בקרות בנושא הגנת מידע וטיפול בנושאים שדורשים התאמה לדרישות התקנות.
  • בניית תכנית עבודה מפורטת להטמעה ויישום של הפערים שהתגלעו תוך כדי ליווי מקצועי של המומחים שלנו בכל שלב בתוכנית עד לקבלת אישור של סיום התהליך בהצלחה מטעמינו.
  • כתיבת נהלי עבודה חדשים בהתאם לפערים שהתגלו.
  • הנחיות ברורות לאנשי המחשוב בדבר יישום התהליך.
  • שירות ייצוג אירופאי מול גופי הפיקוח האירופאי לארגונים הממוקמים מחוץ לאירופה בהתאם לנדרש ובשיתוף פעולה מלא מול חברות ייעוץ באירופה.

תקנות ה -GDPR כבר מאלצות ארגונים רבים להיערך בהתאם
התקשרו לפגישת ייעוץ חינם והימנעו מקנסות כבדים!

 

התקשרו עכשיו 1-800-33-5050 לפגישת ייעוץ חינם!
לא יכולים לדבר עכשיו? מלאו פרטים בטופס והיועץ הראשון שמתפנה כבר חוזר אליכם

מוזמנים לשתף את המאמר כדי שארגונים יהיו מודעים

 

אבני דרך למידע עסקי בטוח

 

טלפון סלולארי בישיבה חשובה או מחירון שהושלך לפח מספיקים כדי לסלול את הדרך למידע שהארגון משקיע הון רב בהסתרתו. חברת אביר שירותי ביטחון אזרחיים קיבצה כמה טיפים למידע עסקי בטוח:

בעידן הטכנולוגיה נהוג לחשוב על אבטחה עסקית במושגים של חומת אש, חומות מגן אלקטרוניות ותוכנות אבטחה, אלא שריגול עסקי וסוסים טרויאניים עלולים לחדור לעסק גם באמצעים הפשוטים ביותר. ראו מקרה השופט העליון בדימוס, יעקב מלץ, מדי שנה נגנבים מאות מחשבים ניידים של עובדים בכירים, כשבדרך כלל, מוזמנות הגניבות ע"י מתחרים עסקיים. באופן טבעי, מחשבים ניידים נושאים עליהם מידע רגיש, ובמקרים רבים הוא קל לפיצוח ואינו מוגן בסיסמאות או פתרונות אבטחה אחרים כמו טביעת אצבע, אך גניבה היא רק שיטה אחת, ואפילו מסובכת, מבין השיטות להשיג מידע. מרבית השיטות מסתמכות על פרצות אבטחה שניתן לסגור ללא קושי או מאמץ רב: אפשר לשתול עובד סמוי, לגייס מקורות מודיעין באמצעות קבלני משנה וספקי שירותים (עובדי חברת שמירה או ניקיון), אפשר לנצל תאי דואר לא ממאובטחים של מנהלים ובכירים, כמו כוורת דואר, הניצבות פתוחות באמצע המסדרון, לצלם חומר רגיש בטלפונים סלולאריים, ואפשר לגנוב מכשירי טלפון ניידים, שרבים מהם (במיוחד סמארטפונים) אוגרים מידע רב ערך.

לדברי המומחים, חברות משקיעות הון באבטחת מידע, אבל לא תמיד מוודאות שהעובדים משתמשים בכלים הללו בצורה נכונה, מחליפים מדי תקופה את הסיסמה שלהם, או משתמשים בה בכלל. הנה עצות פשוטות, אך לא תמיד מובנות מאליהן, שנאספו ע"י יניר מלך, מנכ"ל אביר שירותי ביטחון אזרחיים.

זהירות מתקשורת אלחוטית:
מחשבים ניידים או מחשבי כף יד בעלי בלוטות' עלולים לשמש כצינור לשאיבת מידע. יש לאסור כניסת מכשירים כאלו וכניסת מכשירים סלולאריים מתקדמים למקומות רגישים או לישיבות חשובות. אין לאפשר הכנסת סלולאריים, במיוחד עם מצלמות, למקומות רגישים. יש להימנע משימוש בטלפונים אלחוטיים, שניתן להאזין להם באמצעות סורק תדרים פשוט. מסיבות דומות, יש להקפיד על אבטחת רשתות מחשבים אלחוטיות.

אבטחת מידע:
יש לפקח על הודעות דואר יוצא ועל גיבויים, ולאחסנם במקום שנקבע במיוחד לכך.יש לקבוע נהלי שינוי סיסמה, למגן סיסמאות ולנעול תחנות עבודה לא רק ביציאה הביתה, אלא גם בהפסקת צהריים ואפילו בהפסקת קפה קצרצרה. יש לאסור על התקנות תוכנות פרטיות ועל פתיחת הודעות דואר לא מזוהות. יש לעדכן מעת לעת הרשאות עובדים. יש להקפיד שחברות המספקות תמיכה טכנית אינן מספקות שירותים גם למתחרים.

תיקון חומרה:
כשמוציאים חומרה לתיקון חיצוני יש לקחת בחשבון את הסיכון לחומר הרגיש שעל גבי המכשיר. רצוי לבצע את התיקון בפיקוח, וודאי שלא לשלוח למעבדה חיצונית ולחזור לאסוף כעבור שבוע. ככלל, מוטב שלא להוציא מכשירים רגישים החוצה, אלא להכשיר עובדים פנימיים לביצוע תיקונים.

הפרדת תחום המחשוב:
מומלץ להעביר את כל נושא אבטחת המחשבים לידי יחידת המחשוב בעסק, ולגבש נהלים קשיחים לגבי הוצאת מחשבים ניידים, הצפנתם, אבטחתם והגדרת המידע שמותר לשמור בהם.

גיוס עובדים:
בקהילת העסקים הישראלית נוהגים לבדוק את הכישורים המקצועיים של המועמד תוך ויתור על בדיקת רקע מעמיקה, שמבררת אם יש לו קשרים עם חברה מתחרה. מומלץ להעביר מגויסים, בעיקר בכירים, בדיקת פוליגרף.

פיטורין:
כאשר מפטרים עובד, יש לוודא שהוא לא שולח מידע באי-מייל או מוריד אותו לדיסק קשיח או דיסק און קי (שנפח של 1 ו-2 ג'יגה-בייט יכול לשאת מידע רב.)יש לבטל את כל הרשאות המחשב של עובד מפוטר, את סיסמאות הגישה שלו ואת קוד הכניסה לחדר ולמשרד. יש לקחת ממנו את מפתחות המשרד, ואף להחליף מנעולים.

תיוג והדרכות:
קיימו הדרכות שוטפות בנושאי ביטחון, עם דגש על אבטחת מידע, אך אל תזלזלו גם בפרטים הקטנים, כמו נעילה של חלונות. מומלץ להצמיד לעובדים תגים הנושאים את שמם ואת שם המחלקה שבה הם עובדים, כך שאפשר יהיה לזהות לא רק אורחים לא קרואים, אלא גם עובד שנמצא במקום שהוא לא אמור להיות בו.

בדיקת פתע:
יש לבצע בדיקת האזנה תקופתית ובדיקות פתע לקווי טלפון ופקס, עם דגש על סריקות לקראת אירועים חשובים, כמו לפני ישיבה חשובה עם משקיעים או בנקודות זמן חשובות, כמו הנפקה, הכנת מכרזים או חתימה על חוזים. בצעו מדי פעם, אבל לא ביעדים ידועים מראש, בדיקות פוליגרף לעובדים בכירים ולעובדים עם גישה למידע רגיש.

לו"ז לא קבוע:
יש להימנע מקביעת ישיבות הנהלה או ישיבות מכרזים בימים קבועים ובשעות קבועות. החליפו שעות וחדרי ישיבות ברגע האחרון. אין לאפשר שימוש בטלפונים סלולאריים בישיבות חשובות, מחשש לשידור תוכנן החוצה. לפני תחילת ישיבות יש לוודא שהחדר סטרילי.

זהירות ממתנות:
יש להקפיד על ניטור ובקרה של כניסות ויציאות לעסק, ולהציב מצלמות בכניסות, בפרוזדורים ובמקומות רגישים. אין לאפשר כניסת זרים למקומות רגישים. מומלץ גם להימנע מקבלת זרי פרחים ועציצים בתקופות רגישות, שגם הם עלולים להיות מקור להאזנות סתר. ככלל, רצוי להתייחס בחשד לכל חבילה ממקור לא ידוע.

נוהלי משרד חדש:
בעת כניסה למשרד חדש, יש לבצע בדיקת האזנה לקווי טלפון ופקס. כל איש שירותים שנכנס לחברה עלול להיות עובד שנשכר כדי להתקין מכשירי האזנה וציטוט. יש ללוות אנשי שירותים בתחום המזגנים, הטלפונים והחשמל.

יפה השתיקה:
בקשו מהעובדים בכל הדרגים לא לדבר על ענייני החברה במקומות ציבוריים. שיחה אקראית עלולה להתגלות כשיחה עם אדם שתודרך להוציא מכם מידע.

קבלני משנה:
מומלץ לפקח באופן שוטף על קבלני משנה ועל עובדיהם (חברות שמירה, ניקיון וכו'). יש לוודא שהקבלן לא מספק שירותים למתחרים, ולערוךבדיקת רקע קפדנית לחברות הקבלניות ולעובדיהן. מוטב שעבודת הניקיון תתבצע בשעות שהחברה פעילה והעובדים נמצאים במשרדיהם.

גריסה:
הדרך החוקית הטובה ביותר לאסוף מידע על חברה היא חיטוט באשפה שלה, אין לזרוק לזבל חומר כתוב. מומלץ לגבש נהלי גריסה מסודרים, ולגרוס חומרים כתובים (פרוטוקולים, מחירונים וכו').

ציוד עזר:
אפשר להיעזר בציוד לאיתור מצלמות סתר, מכשיר לזיהוי האזנות סלולאריות, מצפין פקס וטלפון ומכשירים למניעת האזנה או ציוד סמוי

מודעות וערנות:
יש להגביר את רמת האכפתיות בכל דרגי החברה. לעיתים, חשיפה של פרשיית ריגול מתחילה במשהו אקראי. יש לעודד דיווח מצד כל עובדי החברה בכל נושא שנראה מוזר או לא במקום.


למידע נוסף: חקירות

למידע נוסף: פוליגרף