הנחיה מקצועית של הרשויות המקומיות בתחום הגנת סייבר - בדוח מבקר המדינה משנת 2022 צוין כי משרד הפנים מסר כי הוא יסכם את מתווה המשך הפעילות של היחידה המגזרית שהקים בעקבות החלטת ממשלה משנת 2015 להנחיית הרשויות המקומיות בתחום הגנת הסייבר, תוך תיאום עם מערך...
מדיניות ונהלים בתחום אבטחת המידע - אף שמערך הסייבר הלאומי העלה ביוני 2021 את חשיבות הכנתו של מסמך מדיניות הגנת מידע וסייבר, כפי שנקבע גם בתקן 27001ISO, נמצא כי לשלוש מהרשויות המקומיות שנבדקו, רשויות מקומיות ב', ג' ו-ה' אין מסמכי מדיניות בנושא אבטחת מי...
קביעת רמת האבטחה של מאגרי המידע - לפי תקנות הגנת הפרטיות, על כל רשות מקומית להגדיר מהי רמת האבטחה החלה על כל אחד מן המאגרים שבבעלותה - בינונית או גבוהה. נמצא כי רשויות מקומיות א' ו-ג' הגדירו את רמת האבטחה הנדרשת למאגרי המידע של מערכת הגבייה שלהן כגבוהה...
ניהול מאגרי מידע של מערכת הגבייה - על אף שבחוק הגנת הפרטיות, התשמ"א-1981 (חוק הגנת הפרטיות), נקבע כי אדם המנהל מאגר מידע או המחזיק בו מחויב לבצע רישום שלו בפנקס של רשם מאגרי המידע, נמצא כי שתיים מהרשויות המקומיות שנבדקו - רשויות מקומיות ב' ו-ה' לא רשמו...
מינוי בעלי תפקידים - ברשויות מקומיות א' ו-ה' ממונה אבטחת המידע משמש גם בתפקיד מנמ"ר הרשות המקומית, ועל פי עמדת הרשות להגנת הפרטיות הדבר עלול להעמיד בעלי תפקידים אלה בחשש לניגוד עניינים מבני. ברשות מקומית ב' לא אויש תפקיד המנמ"ר.
תוכניות עבודה להתמודדות עם אירועי סייבר - על אף שבתורת ההגנה בסייבר של מערך הסייבר הלאומי צוין הצורך בהכנת תוכנית עבודה להתמודדות עם אירועי סייבר, לרשויות מקומיות ב', ג' ו-ה' אין תוכנית עבודה שנתית להתמודדות עם אירועי סייבר. על אף היתרונות שבתוכנית עבו...
הסמכה לפי תקן 27001ISO - על אף שאין חובה ליישום תקן 27001ISO, הוא יכול לסייע לרשויות המקומיות להעריך את עמידתן בדרישות אבטחת המידע שלו. רשויות מקומיות א', ב', ג', ד', ה' ו-ו' אינן מוסמכות לפי תקן 27001ISO. עוד נמצא כי בהסכמים של רשויות מקומיות א' ו-ב'...
התאוששות מאסון - בתורת ההגנה בסייבר נקבע שיש לוודא כי יש לארגון יכולת התאוששות בעקבות נפילת אתר, מחיקת מידע או נעילת קבצים, וכי בפרט יש לוודא שיש לארגון גיבוי אפקטיבי. עוד צוין כי יש לבצע שחזור יזום בתדירות קבועה ולהגדיר את תדירות הגיבוי ואת סוג הגיבוי...
אבטחה פיזית של מערכת גבייה - בתקנות הגנת הפרטיות נקבע בין היתר כי בעל מאגר מידע יכלול בנוהל אבטחת מידע את ההוראות בעניין האבטחה הפיזית והסביבתית של אתרי המאגר. לרשויות מקומיות ב' ו-ה' אין כלל נהלים לתחום אבטחת מידע, ובכללם נהלים לאבטחה פיזית. עם זאת, ל...
ניטור של פעולות במערכת הגבייה והבקרה בנושא - בתקנות הגנת הפרטיות נקבע כי בעל מאגר מידע אחראי לתיעוד כל אירוע המעורר חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה; במידת האפשר יבוסס התיעוד האמור על רישום אוטומטי. רשויות מקומיות א', ג', ה...