טיוטה שניה לחוזר ניהול סיכוני סייבר בגופים מוסדיים

אגף שוק ההון, ביטוח וחסכון במשרד האוצר פרסם היום טיוטה שניה לחוזר על ניהול סיכוני אבטחת מידע בגופים מוסדיים - שטיוטה ראשונה שלו, שנקראה ניהול סיכוני אבטחת מידע, פורסמה באוקטובר 2015. לדברי משרד האוצר, הטיוטה השניה, בשונה מהראשונה, מדגישה את "תפיסת איומי הסייבר" שבה אבטחת מידע ואבטחה פיזית הן הבסיס לתפיסה נרחבת יותר של איומים טכנולוגיים בכלל. הטיוטה העדכנית מבטאת את תפיסת המדינה בעניין התמודדות כוללת עם איומי סייבר. מלבד שינויי טרמינולוגיה ושינויי עריכה נרחבים, הטיוטה השניה מחדשת, בין היתר, בנושאים הבאים:
  • הטלת חובות פרטיקולריות על מנכ"ל גוף מוסדי להפעיל אמצעים ניהוליים נאותים לקיום הוראות החוזר.
  • אחריות מנהל הסייבר לתחקר אירועי סייבר חריגים ואחריות ועדת היגוי לתחקר, להפיק לקחים ולמסור המלצות למנכ"ל בנוגע לכל אירוע סייבר משמעותי.
  • האפשרות להסתמך על הערכת סיכונים של ספק מיקור חוץ בהתקיים תנאים שנועדו לוודא את נאותות הערכת הסיכונים.
  • דרישה לנטר פעולות הנעשות במערכות המנהלות מידע רגיש על לקוחות ובמערכות שבהן החשיפה לביצוע פעולות בלתי מורשות היא מוגברת.
  • דרישה כי תוכנית היערכות וניהול אירועי סייבר תכלול התייחסות מפורשת להכלה (השגת שליטה על האירוע), בלימה (עצירת החמרת האירוע), התאוששות (הכרעת האירוע תוך מזעור נזקים) והשבה לשגרה.
  • הצורך בהגדרת נוהל לדרישות הגנת סייבר ביחס לסיכוני מיקור חוץ.
  • צורך לתעד הסכמת לקוח לפעילות בערוצים מקוונים.
  • האפשרות של קבוצת חברות הנמצאת תחת אותו בעל שליטה להסתפק במינוי ועדת היגוי אחת לכל קבוצת החברות, במקום ועדת היגוי נפרדת לכל חברה בקבוצה.
משרד האוצר מזמין את הציבור להעביר הערות לטיוטה החדשה עד ל-12.5.2016 לקראת דיונים בהערות שייערכו בסוף מאי. החוזר צפוי להכנס לתוקף החל מ-1.1.2017 אולם ההוראות העוסקות בניטור ואבטחת מערכות מידע, אבטחת ערוצי קשר עם לקוחות ואבטחת ערוצי קשר בין גופים מוסדיים לבעלי רישיון ייכנסו לתוקף חצי שנה לאחר מכן.