News and updates

עודכנה הוראת תכם 7.3.1.3

אחריות לאבטחת מידע וסייבר של ספקי הממשלה – רמה מוגברת
  1. הגדרות ייעודיות לטופס זה
    1. אירוע אבטחה – אירוע (incident), לרבות תקיפת סייבר, אשר עלול לפגוע בזמינות, ברציפות התפעולית, מהימנות או סודיות של מידע של המשרד, של מערכות או קוד המסופקות לו, של חומרה, תכנה, מאגרי מידע או תשתית, בהם הספק עושה שימוש לצורך ביצוע ההסכם, ובכלל זה תקיפת סייבר.
    1. גורם מנחה – הגורם המנחה את המזמין בהיבטי סייבר והגנות מידע כגון היחידה להגנת הסייבר בממשלה (להלן: "יה"ב") במערך הדיגיטל הלאומי, או מערך הסייבר הלאומי. אם המזמין מנחה את עצמו, אז ייחשב המזמין כגורם המנחה לעניין זה.
    1. גורמי שרשרת האספקה – קבלני המשנה של הספק ובכלל זה, יצרני חומרה או ספקי תוכנה או שירות, אשר הספק אינו יכול להחליפם מבלי שהדבר יפגע באספקת השירותים בהתאם לדרישות המכרז.
    1. מידע – כל מסמך, תכתובת, תוכנית, נתון, עובדה, פרט תוכן, מודל, תמונה, סרט, הקלטה, תהליך עסקי, חוות דעת, קוד, לוגיקה  אשר נשמר או תועד על ידי הספק באמצעי טכנולוגי מכל סוג שהוא.
    1. מידע רגיש – מידע של המזמין אשר יש בחשיפתו כדי לפגוע או לשבש בדרך כלשהי את עבודת המזמין, לפגוע בשירותים המסופקים על ידי המזמין או הממשלה, או לחשוף פרטים ומידע של המזמין אשר אינם נחלת הכלל, ובכלל זה מידע אישי של אזרחים או עובדים, תהליכי עבודה רגישים, שרטוטי מתקנים, תיאור מערכות אבטחה, קוד מקור ותוכנות של מערכות המזמין, מסמכי תכנון של מערכות המזמין או של מערכות המותאמות לשימושו, אמצעי הזדהות ואימות, מידע לגבי מזמינים מסווגים, יעדי הספקה של חומרה או מערכות וכל מידע אחר שיוגדר על ידי המזמין.
    1. מינהל הרכש – מינהל הרכש הממשלתי באגף החשב הכללי או נציגו.
    1. שירות חיוני – אחד מאלה:
      1. שירותים המסופקים על ידי המזמין לאזרחי ותושבי מדינת ישראל אשר תפקודם התקין והסדור הוא קריטי לניהול חיי האזרח או לפעילות המשק.
      1. שירות של המזמין הנדרש לתפקודו התקין של המשרד או הממשלה.
    1. תקיפת סייבר – אירוע אבטחה שמטרתו לעבור או לעקוף את אמצעי האבטחה או הבקרה בהם הספק או המזמין עושים שימוש, למנוע גישה לשירות או למידע, או לנצל חולשה קיימת בניסיון לגרום להרס, אובדן, דלף, שינוי, שימוש, חשיפה לא מורשית או גישה לנתוני המזמין.


  • כללי
    • הספק יהיה האחראי הבלעדי על אבטחת המידע שהועבר או נצבר אצלו במסגרת ההתקשרות. בנוסף, הספק יהיה אחראי על אבטחת המערכות, התוכנות והחומרה המשמשת אותו לצורך אספקת השירותים או המוצרים למזמין, על תקינותם, אמינותם (integrity) ועל תפקודם השוטף והתקין. לצורך עמידת הספק בחובות אלו יתפעל הספק ויעדכן את אמצעי האבטחה באופן שוטף, ויוודא כי האמצעים הטכנולוגיים המשמשים לאבטחת המידע הם חדישים ועומדים בסטנדרטים המקובלים בתחום.
    • מבלי לגרוע מהאמור, ולצורך עמידה בחובותיו על פי טופס זה מסכים הספק על שיתוף פעולה עם המזמין כמפורט בטופס זה, והכל לצורך ביצוע תקין של התקשרויות עם ממשלת ישראל.
    • מנכ"ל הספק או בעל התפקיד הבכיר בחברה יהיה הכתובת לכל פניה באשר לחובות הספק בהתאם לנספח זה, אלא אם מינה נציג אחר מטעמו והודיע על כך בכתב למזמין.
    • הספק מתחייב לתקן ליקויים שנמצאו על ידי המזמין בפרק זמן סביר ועל חשבונו, וכן מסכים כי ככל ולא יתקן ליקויים כאמור בפרק זמן סביר, יהווה הדבר הפרה יסודית של ההסכם, ויהווה עילה להפסקת התקשרות בכפוף לשימוע.
    • חובות הספק לפי נספח זה יחולו כל עוד מידע רגיש של המזמין שמור במערכותיו.
  • חובת דיווח
      • אירוע אבטחה אשר הביאו לדלף מידע הקשור למזמין או לשיבושו של מידע או קוד תוכנה.
      • אירוע אבטחה או ניסיון תקיפת סייבר אשר עלול להביא לפגיעה במערכות המזמין, במערכות המסופקות לו, במידע של המזמין או בקוד המשמש אותו.
      • אירוע אבטחה או ניסיון תקיפת סייבר אשר מטרתו לאסוף מידע על המזמין.
      • אופן הטיפול באירוע, ועל האמצעים הננקטים באופן מידי לצורך צמצום הנזק, ומזעור החשיפה בטווח הזמן המידי.
      • תיאור כללי של האירוע, אופן התרחשותו, סקירת היסטוריית האירוע הידועה וכולי.
      • המערכות אשר נפגעו או היו היעד לתקיפה.
      • המידע אשר זלג, נפגע או שהיה היעד לתקיפה.
      • ניתוח דרכי התקיפה, החולשות ששימשו את התקיפה וכל מידע רלוונטי אחר.
      • פעולות מתקנות למניעת הישנות אירועים בעתיד.
      • כל מידע אחר שיידרש על ידי המזמין לצורך ניתוח האירוע.
    • חובת הדיווח המפורטת בסעיף‏ 3.1 – ‏3.2 לעיל תוגבל למידע הרלוונטי למערכות הספק המשמשות למתן שירותים למזמין או מחזיקות במידע של המזמין, ולא נדרש גילוי מידע של לקוחות או גורמים בלתי קשורים אחרים.
    • הספק יחתים את גורמי שרשרת האספקה על התחייבות להודיע למזמין בהקדם האפשרי וללא שיהוי, על כל אירוע אבטחה אשר מסכן מידע או את מערכות המזמין ואשר עלול להשפיע על יכולת הספק לעמוד בהתחייבויותיו לפי ההסכם. הודעה כאמור תהיה כמפורט בסעיף ‎3.2 לעיל, או ככל שיש לספק S.L.A לחשיפת מידע כאמור בהתאם ל-S.L.A חשיפת מידע של הספק ככל שקיים.
  • 4.       ביקורת תקופתית:
    • המזמין יהיה רשאי לבצע ביקורת תקופתית על אודות עמידת הספק בדרישות הגנת המידע, הפרטיות והסייבר במסגרת אספקת השירותים למזמין. ביקורת זו תתבצע בהתאם למפורט להלן:
      • בקשת דוחות ודיווחים על אופן עמידת הספק בדרישות המכרז לאבטחת מידע והגנות סייבר.
      • ככל שלדעת המזמין יש צורך באימות נתונים אלו או אחרים, יפעל המזמין בדרך המפורטת:
        • הספק יבצע את הבדיקות הנדרשות, על חשבונו, באמצעות גוף חיצוני, בלתי תלוי בספק והמאושר על ידי המזמין, ויעביר למזמין את דוח הבדיקה המקורי והמלא, כאשר הספק יהיה רשאי להשחיר בו אך ורק נתונים על אודות לקוחות אחרים. בכל מקרה, ממצאי הבדיקה וההמלצות יוגשו במלואם.
        • לחלופין, הספק יהיה רשאי לבקש מהמזמין כי המזמין יבצע בדיקה זו או אחרת כחלופה לביצוע הבדיקה על ידי גוף חיצוני, וככל שהמזמין יסכים לביצוע בדיקה זו, יתאם את ביצועה עם הספק תוך שבדיקה זו תבוצע בהתאם לנושאים המוגדרים בסעיף ‎4.1.2.1. אין בביצוע בדיקה זו על ידי עורך המכרז בכדי להפחית אי אלו ממחויבויות הספק.
      • ככל שהספק סבור כי יש בהעברת המידע או באופן ביצוע הביקורת חשש לפגיעה בתהליכי העבודה שלו, או בשירותים הניתנים ללקוחות האחרים שלו או שהיא כרוכה בעלויות כספיות לא פרופורציונאלית, יפנה למזמין לצורך תיאום אופן ביצוע הביקורת.
  • ביקורת בעקבות חשש לתקיפת סייבר
    • המזמין יהיה רשאי לבצע ביקורת בעקבות חשש לתקיפת סייבר המשפיעה על אספקת השירותים או המוצרים למזמין, בהתאם לאחד המסלולים המפורטים להלן:
      • מסלול א' – ביקורת על התמודדות הספק
        • המזמין יהיה רשאי לדרוש כל מסמך או פירוט לגבי אופן התמודדות הספק עם תקיפת הסייבר כמפורט בסעיף ‏3.2 לעיל או כל מידע אחר הנדרש על מנת לעמוד על הפגיעה באספקת השירותים או המוצרים למזמין.
        • המזמין יהיה רשאי לדרוש מהספק כי יבצע בדיקה או פעולה במערכותיו המשמשות למתן השירותים לצורך בחינת התקיפה או על מנת לוודא כי לא מתקיים אירוע כאמור. כל מידע שיועבר לספק לצורך בדיקה זו הוא רגיש ואין להעבירו לכל גורם אחר ללא אישור המזמין.
        • על מנת להבטיח בצורה מספקת את הגנת המערכות או המידע של המזמין, או שמדובר במידע רגיש, או באירוע שיש לו השפעה על שירותים חיוניים, יהיה המזמין רשאי לקבוע כי במקביל לעבודת הספק, המשך הטיפול באירוע יהיה כאמור במסלול ב' כמפורט בסעיף ‏5.1.2 להלן.
        • פעילות במסלול זה תהיה בכפוף לשיקול דעת המזמין, לבקשת הספק ובהסכמה מפורשת ובכתב שלו למעט במקרים המפורטים בסעיף ‎‏5.1.1.3, בהם פעילות במסלול זה תשולב עם הטיפול באירוע על ידי הספק.
        • המזמין יסייע לספק לבצע בדיקה של מערכותיו הנוגעות למתן השירותים או לאספקת המוצרים, לבצע בדיקת הנזקים או הסיכונים שנגרמו למזמין, להתמודד עם אירוע האבטחה ולאבחן את אופן התקיפה, המערכות שנפגעו, ההשפעה על מתן השירות, ולבחון דרכים למנוע את המשכם והישנותם ולהנחות את הספק בדרכים לצמצם סיכונים אלו וכו', וזאת באופן ישיר ובאמצעות כלים העומדים לרשות המזמין.
        • אין בסיוע על ידי המזמין בכדי להפחית אי אלו ממחויבויות הספק.
    • הספק ישתף פעולה כמיטב יכולתו עם דרישות המזמין ויעמיד לרשותו כל מידע נדרש לצורך אבחון והתמודדות עם אירוע האבטחה או לוודא כי אירוע כאמור לא מתקיים. מידע זה יוגבל למידע הרלוונטי למערכות המזמין או המערכות המשמשות למתן שירותים למזמין, וללא גילוי מידע של לקוחות או גורמים בלתי קשורים אחרים.
    • ככל שהספק סבור כי יש בהעברת המידע או באופן ביצוע הביקורת חשש לפגיעה בתהליכי העבודה שלו או בשירותים הניתנים ללקוחות האחרים שלו, יפנה למנהל מינהל הרכש הממשלתי לצורך תיאום אופן ביצוע הביקורת.
  • נציגי המזמין
    • לצורך טופס זה המזמין יהיה רשאי להעביר את כלל המידע שהתקבל אצלו לידי הגורם המנחה וכן לידי מינהל הרכש, וזאת לצורך הערכת סיכונים וקביעת פעולות הנדרשות מהספק.
    • הגורם המנחה ומינהל הרכש יהיו רשאים לבוא במקום המזמין בכל סמכות הנתונה למזמין לפי טופס זה, והספק ישתף פעולה עם הנחיות שיתקבלו מהם לפי הוראות הטופס.
    • הגורם המנחה ומינהל הרכש יהיו מחויבים להשתמש במידע שיתקבל מהספק אך ורק לצורכים האמורים בטופס זה תוך גילויו לגורמים הנדרשים לכך בלבד.

ליצירת קשר

בניית אתריםוקידום אתרים‏ -קידום פלוס

דילוג לתוכן