דלג לתוכן הראשי

A.8.11 העלמת נתונים

מטרה

מטרת הנוהל היא להבטיח כי תהליך העלמת נתונים (Data Masking) מבוצע בצורה מאובטחת ומבוקר, על מנת להגן על פרטיות המידע הרגיש ולהבטיח שהמידע אינו נגיש או ניתן לזיהוי על ידי גורמים לא מורשים.

תחום יישום

הנוהל חל על כל המערכות והיישומים שבהם נעשה שימוש במידע רגיש בארגון, כולל מסדי נתונים, יישומי בדיקה, מערכות דוחות, וכלי ניתוח נתונים.

הגדרות

  • העלמת נתונים (Data Masking): תהליך שבו מידע רגיש מוחלף או מעוות כך שעדיין יוכל לשמש למטרות עסקיות, אך אינו ניתן לזיהוי או לניצול לרעה על ידי גורמים לא מורשים.
  • מידע רגיש: כל מידע שעלול לחשוף פרטים אישיים, קניין רוחני או מידע עסקי חשוב, שחשיפתו עלולה לפגוע בארגון או באנשים פרטיים.

אחריות

  • מחלקת IT: אחראית על יישום תהליכי העלמת הנתונים, כולל בחירת הכלים המתאימים, ביצוע התהליך בצורה מאובטחת ובדיקת תקינות הנתונים לאחר ההעלמה.
  • ממונה על אבטחת המידע: אחראי לפקח על תהליך העלמת הנתונים ולוודא שהתהליכים מתבצעים בהתאם למדיניות הארגון ודרישות הרגולציה.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם מודעים לחשיבות העלמת הנתונים ומשתמשים במידע בצורה מאובטחת.

תהליך

1. זיהוי נתונים להעלמה

  • מחלקת IT ומנהלי המחלקות יזהו את המידע הרגיש הנדרש להעלמה, כולל מידע אישי, פיננסי או כל נתון רגיש אחר.
  • יש לוודא שכל מידע שמיועד להעלמה תואם את מדיניות הארגון ואת דרישות הרגולציה.

2. בחירת שיטת העלמת נתונים

  • העלמת נתונים תתבצע באמצעות כלים וטכנולוגיות מתאימים, כגון החלפת ערכים, ערפול נתונים (obfuscation), הצפנה או כל שיטה אחרת המתאימה לדרישות הארגון.
  • יש לבחור את השיטה המתאימה ביותר לפי סוג המידע והיישומים בהם המידע משמש, תוך הבטחת שמירת התועלת העסקית של הנתונים המועמדים.

3. ביצוע העלמת נתונים

  • מחלקת IT תבצע את תהליך העלמת הנתונים בהתאם לשיטה שנבחרה, תוך הבטחת אבטחת המידע במהלך התהליך ולאחריו.
  • יש לוודא שהתהליך מתבצע בצורה שמונעת שחזור המידע המקורי, ושכל הנתונים שהועמדו מנותקים ממידע מזהה.

4. בדיקה ואימות

  • לאחר העלמת הנתונים, יש לבצע בדיקות לוודא שהמידע הועמד כראוי ושהוא אינו ניתן לשחזור או זיהוי על ידי גורמים לא מורשים.
  • ממונה על אבטחת המידע יבחן את תהליך העלמת הנתונים כדי לוודא עמידה בדרישות הארגון.

5. תיעוד ודיווח

  • מחלקת IT תתעד את תהליכי העלמת הנתונים, כולל המידע שהועמד, השיטות בהן נעשה שימוש, תאריכי הביצוע והתוצאות.
  • דו"חות תקופתיים על העלמת הנתונים יועברו להנהלת הארגון לצורך מעקב ובקרה.

6. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים בנושא העלמת נתונים, כולל שיטות העלמה, חשיבות ההגנה על מידע רגיש והנחיות לפעולה במקרים של צורך בהעלמת נתונים.
  • ההדרכה תכלול גם הנחיות לגבי שימוש נכון במידע מועמד, תוך הבטחת הגנה על הפרטיות ושמירת סודיות.

7. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי העלמת הנתונים, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע להעלמת נתונים, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.