הממונה על שוק ההון, הביטוח והחיסכון באוצר, דורית סלינגר, פרסמה השבוע טיוטה שנייה לחוזר ניהול סיכוני סייבר בגופים מוסדיים וחברות ביטוח. בטיוטה זו דורשת הממונה מינוי של מנהל אבטחת סייבר בכל גוף מוסדי.
בנובמבר 2015 פורסמה טיוטה ראשונה בנושא ובו הוסבר על הצורך בהסדרה: "עם ההתפתחות הטכנולוגית והתלות של פעילויות עסקיות ברשת האינטרנט גדלו היקפם ועוצמתם של איומים קיברנטיים, שעלולים לשבש את פעילותם התקינה של גופים מוסדיים ולכן עלה הצורך לעדכן את תפיסת ההגנה של גופים מוסדיים כך שתינתן התייחסות גם לאיומים אלו", נכתב בהסבר.
אחד החידושים המשמעותיים בטיוטה היה שהיא הגדירה והגדילה את אחריות הדירקטוריון והנהלת הגוף המוסדי הן לניהול תהליכי אבטחת מידע וסיכוני סייבר מתמשכים, הן להנחיה ופיקוח על יישום אבטחת המידע, והן על מעורבות רציפה של גורמי אבטחת המידע במכלול פעילויות הגוף המוסדי.
דגש על סייבר
הטיוטה השנייה, שפורסמה השבוע, מבטאת שינוי בתפיסת איומי הסייבר הכוללים את כלל האיומים הטכנולוגיים, כאשר היבטי אבטחת מידע ואבטחה פיזית הינם הבסיס למענה לאיומי הסייבר. כך לדוגמה, שונה שמו של החוזר, הדרישה החדשה היא למינוי ממונה הגנת סייבר ולא ממונה אבטחת מידע. גוף מוסדי נדרש עתה להגדיר מדיניות לניהול כולל של סיכוני סייבר שביניהם, בין היתר, גם איומי אבטחת מידע וכדומה.
"שינוי התפיסה מבטא את התפיסה הרווחת שהמדינה משרישה כעת, בכל הקשור להתמודדות כוללת עם סייבר", מציינים באוצר בהסברים לטיוטה.
באוצר הגדירו את תפקידו ואחריותו של מנהל אבטחת הסייבר:
א) גוף מוסדי ימנה מנהל אבטחת סייבר בעל מומחיות וניסיון מוכחים בתפקיד ניהולי בתחום הגנת הסייבר.
ב) מנהל אבטחת סייבר לא ימלא כל תפקיד שעלול לפגוע ביכולתו לבצע כראוי את תפקידו כמנהל אבטחת סייבר או להגבילה, ויהיה כפוף לאחד מחברי ההנהלה החברים בוועדת ההיגוי.
ג) חבר ההנהלה הממונה על מנהל אבטחת סייבר יהיה אחראי על הפעילות המתבצעת בתחומי ניהול סיכוני הסייבר וכן על בקרת תכנית העבודה בנושא זה, בהתאם למדיניות ניהול סיכוני הסייבר של הגוף המוסדי.
ד) מנהל אבטחת סייבר יפעל ליישום מדיניות בתחום ניהול סיכוני סייבר בגוף המוסדי, ייעץ וינחה את הגוף מוסדי בנושאי הגנת סייבר, יקבע נהלי עבודה, ומסגרת דיווחים ויבצע פיקוח ובקרה בנושאים אלו.
ה) למנהל אבטחת סייבר יוקצו המשאבים והמקורות הנאותים לביצוע תפקידו.
בנוסף לכל אלה, הטיוטה החדשה מרחיבה את הפלטפורמה לפעילות דיגיטלית מלאה מול לקוחות, מאפשרת שימוש במחשוב ענן ומסדירה את פעילות הממשל התאגידי הקשורה להיבטי סיכוני סייבר בגופים מוסדיים.
"על הגופים המוסדיים לנהל את סיכוני הסייבר באופן אפקטיבי, עדכני ושוטף, ועל בסיס עקרונות ממשל תאגידי נאותים הכוללים התייחסות לשיטות, לתהליכים ולבקרות ובאופן אשר יאפשר להם להתמודד עם איומי סייבר ולנהל אירועי סייבר. לאור מרכזיות גופים מוסדיים בשוק ההון הישראלי, ולאור הסיכון הגבוה בתחום הגנת הסייבר, מצופה מגוף מוסדי לאמץ סטנדרטים גבוהים בתחום זה", נכתב בטיוטה.
הגופים המוסדיים התבקשו להעביר את הערותיהם עד ל-12 במאי 2016. הדיונים בהערות ייערכו ב-30 עד ה-31 במאי.
