הודו: חובת דיווח על אירועי אבטחת מידע בתוך 6 שעות

אולי יעניין אותך גם

ממשלת הודו פרסמה הנחיות חדשות המחייבות ארגונים - כדוגמת ספקי שירותים, ספקי גישה לרשת, מרכזי נתונים, גופים וארגונים ממשלתיים - לדווח על אירועי אבטחת מידע, בתוך שש שעות (!) מהרגע שנודע להם על כך. ההנחיות מחייבות דיווח לצוות התגובה לאירועי אבטחת מידע של הודו (CERT-In) גם על חשד בלבד לארוע אבטחה. הן באות במקום החובה שהייתה קיימת עד היום לדווח בתוך זמן סביר.

law.co.il מעיר שזהו זמן דיווח סופר-קצר, שיצריך מעתה אירגון לא רק להתמודד עם ארוע אבטחה, שבשעותיו המוקדמות הוא כיאוטי ובלתי ברור, אלא לעסוק מיידית גם בחובת הדיווח המינהלית, שתוסיף על המהומה.

בנוסף, ההנחיות מחייבות ארגונים לשמור את תיעוד יומני המערכות ('לוגים') בצורה מאובטחת למשך 180 ימים, באופן שאיפשר לשתף אותם עם CERT-In. ספקי שרתים פרטיים וירטואליים (VPS), רשתות פרטיות וירטואליות (VPN) ונכסים וירטואליים כמו ארנקי מטבעות קריפטוגרפיים יחוייבו מעתה לשמור מידע על משתמשיהם במשך חמש שנים לאחר סיום ההתקשרות עמם.

ההנחיות החדשות יכנסו לתוקף תוך 60 ימים ממועד פרסומן.