סלינגר מעדכנת את דרישות הסייבר ואבטחת המידע מהמוסדיים

האוצר: המטרה היא "שמירת זכויות העמיתים והמבוטחים על ידי שמירה על סודיות, שלמות וזמינות נכסי המידע, מערכות המידע והתהליכים העסקיים של הגוף המוסדי"

דורית סלינגר / צילום: תמר מצפי
דורית סלינגר / צילום: תמר מצפי

הממונה על שוק ההון, ביטוח וחיסכון, דורית סלינגר, מגדירה לחברות הביטוח, חברות ניהול קופות הגמל וקרנות ההשתלמות וחברות ניהול קרנות הפנסיה, פלטפורמה לפעילות דיגיטלית מלאה מול הלקוחות, תוך שימוש במחשוב ענן. זאת במסגרת טיוטת חוזר חדשה ל"ניהול סיכוני אבטחת מידע בגופים מוסדיים", שמגדירה מחדש את היבט הסייבר ואבטחת המידע בפעילות המוסדיים.

באוצר מסבירים כי "ניהול סיכוני אבטחת מידע הינו נדבך מהותי בניהול טכנולוגיות המידע לאור מרכזיות מערכות המידע בתהליכים העסקיים של הגופים המוסדיים ולאור הגידול בסיכונים להם חשופים גופים מוסדיים בתחום זה לרבות סיכוני סייבר", תוך שהם מוסיפים שמבחינתם, "מטרת חוזר זה להבטיח את שמירת זכויות העמיתים והמבוטחים על ידי שמירה על סודיות, שלמות וזמינות נכסי המידע, מערכות המידע והתהליכים העסקיים של הגוף המוסדי". לא רק זאת אלא שמבחינת האוצר, "לאור מרכזיות גופים המוסדיים בשוק ההון הישראלי, ולאור הסיכון הגבוה בתחום אבטחת המידע, מצופה מגוף מוסדי לנהל סיכונים אלו ולאמץ סטנדרטים גבוהים בתחום זה".

בכוונת האוצר להחיל את ההוראות שבטיוטת חוזר זו כבר בתחילת חודש אפריל הקרוב, על כל הגופים המוסדיים באשר הם. הטיוטה החדשה נועדה להחליף חוזר קודם בנושא, שהוצא עוד בשנת 2006 ושכבר אז הגדיר את ההיבטים הללו בעבודת הגופים המוסדיים, תוך שקבע שהאחריות על קביעת מדיניות בנושא, ויישומה, יחולו על הדירקטוריונים וההנהלות בגופים המוסדיים.

החוזר מגדיר עקרונות לניהול סיכוני אבטחת מידע בגוף מוסדי ואת החובה של גופים מוסדיים לנהל את מכלול סיכוני הסייבר ואבטחת המידע. בין היתר מדובר על כך שהגופים המוסדיים יידרשו "לאסוף מודיעין כנגד מתקפות עתידיות במערכת הפיננסית, להתכונן להפעלה דיגיטלית מלאה של מערכות המידע, כולל שיווק ומכירה והעברת מידע של מוצרי ביטוח ומוצרים פנסיוניים", ועוד. כמו כן, החוזר קובע שדירקטוריון גוף מוסדי יאשר מדיניות בתחום אבטחת המידע לכל הפחות אחת לשנה.

באוצר מציינים עוד שההוראות החדשות כוללות דרישה למוכנות של גופים מוסדיים לאירועי חירום, תרגול ודיווח לממונה על שוק ההון, ובנוסף הן מתייחסות גם לסוגיית מחשוב הענן - שאגף שוק ההון מאפשר לגופים להשתמש במערכות ענן, "בכפוף להערכת סיכונים ייעודית ולהחלטת דירקטוריון". עם זאת, ההוראות אוסרות על גוף מוסדי לאחסן מידע בענן מחוץ למדינת ישראל על נתוני לקוחות, אלא אם קיימת ודאות שספק הענן מקיים רמת הגנת פרטיות בהתאם להוראות הדין הישראלית ושהוא עומד בהגדרת הגנת מידע ופרטיות של האיחוד האירופי.

כמו כן, ביחס לתנאי ההתקשרות בין המוסדיים לבין נותני שירותי מיקור חוץ לגופים מוסדיים קובע האוצר כי "יאסר על נותן השירות להעביר לצד שלישי מידע שקיבל במסגרת ההתקשרות, או להשתמש במידע שאליו נחשף אגב ביצוע ההתקשרות, לכל מטרה אחרת שלא קשורה לביצוע ההתקשרות".

רוצה להשאר מעודכן/ת בנושא שוק ההון?
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988