News and updates

עודכנה הוראת תכ"ם 7.3.1.5

אחריות לאבטחת מידע וסייבר של ספקי הממשלה – רמה רגילה

  1. הגדרות ייעודיות לטופס זה:
    1. – אירוע (incident), לרבות תקיפת סייבר, אשר עלול לפגוע בזמינות, ברציפות התפעולית, מהימנות או סודיות של מידע של המשרד, של מערכות או קוד המסופקות לו, של חומרה, תכנה, מאגרי מידע או תשתית, בהם הספק עושה שימוש לצורך ביצוע ההסכם, ובכלל זה תקיפת סייבר.
  1. גורם מנחה – הגורם המנחה את המזמין בהיבטי סייבר והגנות מידע כגון היחידה להגנת הסייבר בממשלה (להלן: "יה"ב") במערך הדיגיטל הלאומי, או מערך הסייבר הלאומי.
    1. מזמין –הגוף הרוכש עמו נחתמה ההתקשרות.
    1. מידע – כל מסמך, תכתובת, תוכנית, נתון, עובדה, פרט תוכן, מודל, תמונה, סרט, הקלטה, תהליך עסקי, חוות דעת, קוד, לוגיקה  אשר נשמר או תועד על ידי הספק באמצעי טכנולוגי מכל סוג שהוא.
    1. מידע רגיש – מידע של המזמין אשר יש בחשיפתו כדי לפגוע או לשבש בדרך כלשהי את עבודת המזמין, לפגוע בשירותים המסופקים על ידי המזמין או הממשלה, או לחשוף פרטים ומידע של המזמין אשר אינם נחלת הכלל, ובכלל זה מידע אישי של אזרחים או עובדים, תהליכי עבודה רגישים, שרטוטי מתקנים, תיאור מערכות אבטחה, קוד מקור ותוכנות של מערכות המזמין, מסמכי תכנון של מערכות המזמין או של מערכות המותאמות לשימושו, אמצעי הזדהות ואימות, מידע לגבי מזמינים מסווגים, יעדי הספקה של חומרה או מערכות וכל מידע אחר שיוגדר על ידי המזמין.
    1. מינהל הרכש – מינהל הרכש הממשלתי באגף החשב הכללי או נציגו.
    1. – אחד מאלה:
      1. של המזמין הנדרש לתפקודו התקין של המזמין או הממשלה.
  1. תקיפת סייבר – אירוע אבטחה שמטרתו לעבור או לעקוף את אמצעי האבטחה או הבקרה בהם הספק או המזמין עושים שימוש, למנוע גישה לשירות או למידע, או לנצל חולשה קיימת בניסיון לגרום להרס, אובדן, דלף, שינוי, שימוש, חשיפה לא מורשית או גישה לנתוני המזמין.
  2. כללי
    1. הספק יהיה האחראי הבלעדי על אבטחת המידע שהועבר או נצבר אצלו במסגרת ההתקשרות. בנוסף, הספק יהיה אחראי על אבטחת המערכות, התוכנות והחומרה המשמשת אותו לצורך אספקת השירותים או המוצרים למזמין, על תקינותם, אמינותם (integrity) ועל תפקודם השוטף והתקין. לצורך עמידת הספק בחובות אלו יתפעל הספק ויעדכן את אמצעי האבטחה באופן שוטף, ויוודא כי האמצעים הטכנולוגיים והתהליכיים המשמשים לאבטחת המידע הם חדישים ועומדים בסטנדרטים המקובלים בתחום.
    1. מבלי לגרוע מהאמור, ולצורך עמידה בחובותיו על פי טופס זה מסכים הספק על שיתוף פעולה עם המזמין כמפורט בטופס זה, והכל לצורך ביצוע תקין של התקשרויות עם ממשלת ישראל.
    1. מנכ"ל הספק או בעל התפקיד הבכיר בחברה יהיה הכתובת לכל פניה באשר לחובות הספק בהתאם לנספח זה, אלא אם מינה נציג אחר מטעמו והודיע על כך בכתב למזמין.
    1. הספק מתחייב לתקן ליקויים שנמצאו על ידי עורך המכרז בפרק זמן סביר ועל חשבונו, וכן מסכים כי ככל ולא יתקן ליקויים כאמור בפרק זמן סביר, יהווה הדבר הפרה יסודית של ההסכם, ויהווה עילה להפסקת התקשרות בכפוף לשימוע.
    1. חובות הספק לפי נספח זה יחולו כל עוד מידע רגיש של המזמין זמין במערכותיו.
  3. חובת דיווח
      1. אירוע אבטחה או תקיפת סייבר אשר הביאו לדלף מידע הקשור למזמין או לשיבושו של מידע או קוד תוכנה.
      1. אירוע אבטחה או ניסיון תקיפת סייבר אשר עלול להביא לפגיעה במערכות המזמין, במערכות המסופקות לו, במידע של המזמין או בקוד המשמש אותו.
      1. אירוע אבטחה או ניסיון תקיפת סייבר אשר מטרתו לאסוף מידע על המזמין.
      1. אופן הטיפול באירוע, ועל האמצעים הננקטים באופן מידי לצורך צמצום הנזק, ומזעור החשיפה בטווח הזמן המידי.
      1. תיאור כללי של האירוע, אופן התרחשותו, סקירת היסטוריית האירוע הידועה וכולי.
      1. המערכות אשר נפגעו או היו היעד לתקיפה.
      1. המידע אשר זלג, נפגע או שהיה היעד לתקיפה.
      1. ניתוח דרכי התקיפה, החולשות ששימשו את התקיפה וכל מידע רלוונטי אחר.
      1. פעולות מתקנות למניעת הישנות אירועים בעתיד.
      1. כל מידע אחר שיידרש על ידי המזמין לצורך ניתוח האירוע.
    1. חובת הדיווח המפורטת בסעיף ‏3.1 – ‏3.2 -לעיל תוגבל למידע הרלוונטי למערכות הספק המשמשות למתן שירותים למזמין או מחזיקות במידע של המזמין, ולא נדרש גילוי מידע של לקוחות או גורמים בלתי קשורים אחרים.
  4. ביקורת תקופתית
    1. המזמין יהיה רשאי לבצע ביקורת תקופתית על אודות עמידת הספק בדרישות הגנת המידע, הפרטיות והסייבר במסגרת אספקת השירותים למזמין. ביקורת זו תתבצע בדרך של בקשת דוחות ודיווחים על אופן עמידת הספק בדרישות המכרז לאבטחת מידע והגנות סייבר. על הספק להעביר את הדוחות והדיווחים בהתאם ללוח הזמנים שיוגדר על ידי המזמין.
    1. ככל שהספק סבור כי יש בהעברת המידע חשש לפגיעה בתהליכי העבודה שלו, או בשירותים הניתנים ללקוחות האחרים שלו או שהיא כרוכה בעלויות כספיות לא פרופורציונאלית, יפנה למזמין לצורך תיאום אופן ביצוע הביקורת.
  5. בעקבות חשש לתקיפת סייבר
        1. ‎3.2 לעיל או כל מידע אחר הנדרש על מנת לעמוד על הפגיעה באספקת השירותים או המוצרים למזמין.
        1. , יהיה המזמין רשאי לקבוע כי במקביל לעבודת הספק, המשך הטיפול באירוע יהיה כאמור במסלול ב' כמפורט בסעיף ‎5.1.2 להלן.
        1. ‎5.1.1.3, בהם פעילות במסלול זה תשולב עם הטיפול באירוע על ידי הספק.
        1. .

ליצירת קשר

בניית אתריםוקידום אתרים‏ -קידום פלוס

דילוג לתוכן