| התקשרויות ורכישות |
לגוף ההוראה תתווסף הפסקה הבאה:
יש לכלול במסגרת מסמכי המכרז תניה בדבר אחריות הספק לאבטחת המידע של הממשלה והגנות סייבר למערכות באמצעותם הוא מספק שירותים לממשלה או שומר מידע ממשלתי שהועבר או נצבר אצלו במסגרת ההתקשרות, ככל שישנם, בהתאם להנחיות המפורטות בנספח ז – אחריות לאבטחת מידע וסייבר של ספקי הממשלה.
אחריות לאבטחת מידע וסייבר של ספקי הממשלה
- לצורך קביעת תניות הגנת מידע ואבטחת סייבר יש לבצע ניתוח של סיכונים ביחס למהות וכמות המידע של המשרד המועבר אל הספק, המידע הנוצר אצל הספק במסגרת ההתקשרות או שהוא נחשף אליו, וכן הגנות סייבר נדרשות למערכות המופעלות על ידי הספק הרלוונטיות לאותה התקשרות. לצורך כך יש לפעול יחד עם הגורמים הרלוונטיים במשרד בהתאם להנחיות הרלוונטיות כגון הוראה 5.19 של היחידה להגנת הסייבר בממשלה (יחידת יה"ב).[1]
- במסגרת המכרז יקבעו תניות אבטחת מידע והגנות סייבר ספציפיות עבור המכרז, ככל שהדבר נדרש בהתאם לניתוח הסיכונים כאמור לעיל.
- בנוסף, ומבלי לגרוע מחובת המשרד לקבוע תניות אבטחת מידע והגנות סייבר ספציפיות עבור המכרז, במקרים המפורטים להלן יש לכלול את הנספח הייעודי המוגדר בטבלה בנושא אבטחת מידע והגנות סייבר שלהלן.
- יש לוודא כי מסמכי המכרז עולים בקנה אחד עם האמור בנספח אבטחת המידע שנקבע בהתאם לסעיף 3.
| טופס | תכולת ההתקשרות | דרגת רגישות |
| ראו סעיף 5 להלן | רכישת רישיונות לשימוש On-Premise | נמוכה |
| פיתוח, אספקה, תחזוקה או תפעול של מערכת מידע בהיקף התקשרות של עד 1 מיליון ש"ח שאינה כוללת מידע רגיש | נמוכה | |
| טופס, "אחריות לאבטחת מידע וסייבר של ספקי הממשלה – רמה רגילה" | פיתוח, אספקה, תחזוקה או תפעול מערכות מידע בהיקף התקשרות של עד 4 מיליון ש"ח | רגילה |
| התקשרות עם ספק המחזיק במערכותיו מידע רגיש של המשרד או הממשלה | רגילה | |
| טופס, "אחריות לאבטחת מידע וסייבר של ספקי הממשלה – רמה מוגברת" | פיתוח, אספקה, תחזוקה או תפעול מערכות מידע בהיקף התקשרות של 4 מיליון ש"ח ומעלה | גבוהה |
| פיתוח, אספקה, תחזוקה או תפעול מערכות תשתית טכנולוגית כגון מערכות תקשורת, שרתים, אחסון נתונים, פיתוח או רכישה של מערכות או רכיבי אבטחת מידע או רכישה של מערכות ליבה ארגוניות. | גבוהה | |
| התקשרות עם ספק אשר פגיעה בפעולתו או במערכותיו תביא לנזק ממשי לפעולת המשרד או לשירות לאזרח | גבוהה | |
| התקשרות עם ספק המחזיק או מקים מאגר מידע כהגדרתו בחוק הגנת הפרטיות, התשמ"א-1981 הכולל נתונים שהתקבלו במסגרת ההתקשרות. | גבוהה | |
| התקשרות עם ספק המקושר למערכות המידע של המזמין או למערכות אחרות המחזיקות מידע ממשלתי רגיש | גבוהה | |
| טופס, "טופס אחריות לאבטחת מידע וסייבר של ספקי שירות בענן" | רכישת שירותי ענן או רכישת שירותים הניתנים על גבי תשתיות ענן (למעט במסגרת פרויקט נימבוס) לרבות שירותי IaaS, PaaS, SaaS | גבוהה מאוד |
- כל שלא נכלל אחד מנספחי אבטחת מידע במסמכי המכרז, יש לכלול סעיף בנוסח הבא:
"הספק יהיה האחראי הבלעדי על אבטחת המידע שהועבר או נצבר אצלו במסגרת ההתקשרות. בנוסף, הספק יהיה אחראי על אבטחת המערכות, התוכנות והחומרה המשמשת אותו לצורך אספקת השירותים או המוצרים למזמין, על תקינותם, אמינותם (integrity) ועל תפקודם השוטף והתקין. לצורך עמידת הספק בחובות אלו יתפעל הספק ויעדכן את אמצעי האבטחה באופן שוטף, ויוודא כי האמצעים הטכנולוגיים והתהליכיים המשמשים לאבטחת המידע הם חדישים ועומדים בסטנדרטים המקובלים בתחום."
- יש לכלול את הנספח הרלוונטי, המפורט בטבלה, כלשונו, כנספח להסכם ההתקשרות.
- על מנת לקבוע מהו הנספח הרלוונטי, יש לבחון, בין היתר, את השאלות הבאות:
- האם כחלק מההתקשרות נדרש הספק להפעיל מערכות מידע ייעודיות? והאם מערכות אלו פועלות גם על תשתיות המשרד?
- איזה מידע של המשרד או של עובדי המשרד מועבר לספק או נצבר אצלו, מה היקף המידע שנצבר אצלו וכיצד הספק מאכסן ומגן על מידע זה?
- האם כחלק ממתן השירותים מועבר לספק מידע על אודות אזרחים או תושבים של מדינת ישראל?
- מה הרגישות של השירותים הניתנים על ידי הספק, ובמסגרת כך חשש לפגיעה במשק, פגיעה בחיי אדם, ופגיעה באופן התפעול של המשרד?
- מה משמעות של אירוע אבטחת מידע על אספקת שירותים אלו ועל עבודת המשרד? כגון הדלפת מידע, חסימת גישה למערכת, אי זמינות של המערכת וכיוצא בזה.
- ככל שהשירותים הנרכשים במסגרת המכרז מתאימים ליותר מנספח רלוונטי אחד, יפעל המשרד לפי הדרישה של דרגת הרגישות הגבוה יותר.
- כל מקרה של סטייה או שינוי מהאמור בנספח זה יבוצע תוך קבלת אישור ממינהל הרכש הממשלתי.
[1] הנחיית יה"ב 5.19, מתייחסת באופן ישיר למתודת שרשרת האספקה של מערך הסייבר הלאומי, ניתן למצוא בקישור הבא את שאלון הבקרות העדכני בנוסף למסמכי הסבר נוספים.