פורסמו תגובות המבוקרים לפרק העוסק ב”טיפול משרד החקלאות בהגנת הפרטיות ובאבטחת מידע” בדו”ח החדש של מבקר המדינה

כמקובל, כל אימת שמתפרסם דו”ח חדש של משרד מבקר המדינה, מפרסם במקביל אגף המפקח הכללי לענייני ביקורת המדינה במשרד ראש הממשלה דו”ח מפורט הכולל התייחסויות של הגופים המבוקרים לליקויים עליהם הצביע מבקר המדינה בדו”ח שלו.

בשנים האחרונות פירסמתי כאן באתר ציטוטים מתוך הדו”חות הללו של משרד ראש הממשלה ואני עושה זאת גם הפעם לגבי הדו”ח שפורסם השבוע (69ב).

הערה: ההדגשות אינן מופיעות במקור.

= = = = = = = = = = =  = = = = = = =

הגוף המבוקר: משרד החקלאות ופיתוח הכפר

■ “משרד החקלאות עורך, בעזרת חברת ייעוץ חיצונית, החל מסוף שנת 2018 בחינה מסודרת של כל מאגרי המידע ונכסי המידע על פי החוק להגנה על הפרטיות וכן על-פי החלטות הממשלה לנושא הסייבר. חברת הייעוץ והמשרד סוקרים בימים אלו את כל הסיכונים הנמצאים בחזקת המשרד. המיפוי אמור לקחת עוד כמה חודשים. עוד לפני תחילת סקר הסיכונים, כאמור וכפי שהמשרד השיב למבקר, המשרד החל ברישום מאגרי מידע של המשרד וכן של מינהל המחקר החקלאי. על פי לוח הזמנים של חברת הייעוץ, מיפוי נכסי המשרד אמור להסתיים לקראת קיץ 2019. רישום המאגרים האמורים להיות רשומים וכתיבת תיקי מאגרים תחל במקביל.

■ “כפי שצוין בתגובה לליקוי 1, משרד החקלאות החל ברישום המאגרים של המשרד וכן של מנהל המחקר החקלאי. בסיום סקר הסיכונים המלא, המשרד יבצע רישום נוסף של מאגרים באם ימצאו מאגרים נוספים העומדים בקריטריונים על פי החוק להגנה על הפרטיות ותקנותיו. מובן שברישום כל מאגר ימונו בעלי התפקידים על פי דרישת החוק והתקנות. חלק מתפקידי חברת הייעוץ העורכת את סקר הסיכונים הוא גם כתיבת נהלי אבטחת המידע על פי החוק והתקנות בנושא הגנה על הפרטיות וכן על פי דרישות מערך הסייבר הממשלתי. כתיבת תיקי המאגרים יעשה במקביל לרישום המאגרים. ריבוי המאגרים והמידע במאגרים השונים והכשרת מנהלי המאגרים יגרום לתהליך הכנת תיקי המאגרים להימשך זמן מה.

“משרד החקלאות אכן מינה רק בשנת 2017 ממונה אבטחת מידע. הממונה עובר הכשרה בתחום אבטחת מידע בימים אלו וצפוי לסיים את הכשרתו עד קיץ 2019. כפי שצוין בדו”ח הביקורת, נושא ההכשרה הנמצא בתקנות החוק להגנה על הפרטיות לא מוגדר והרשות להגנה על הפרטיות לא הגדירה איזו הכשרה צריך הממונה לעבור, סוגיה זו עיכבה את המשרד בכל הקשור להסמכת הממונה. מנכ”ל משרד החקלאות מינה בשנת 2018 חברים חדשים לוועדה להעברת מידע. הוועדה דנה בנוהל וטרם אישרה אותו. חברי הוועדה העירו שהנוהל אינו שלם ויש להתייחס לסוגיות שהועלו בדו”ח המבקר. חברת הייעוץ ששכר המשרד לצורך סקר הסיכונים אמורה בין השאר לעסוק בנוהל זה עם חברי הוועדה.

■ “משרד החקלאות עושה בעזרת חברת ייעוץ סקר סיכונים מקיף שמטרתו היא לאתר את כלל מאגרי המידע של המשרד ולבחון את רמת האבטחה של כל אחד מהם. בנוסף מאגרים שייקמו את התנאים לרישום, יירשמו ויקבעו להם בעלי תפקידים על פי הוראות החוק והתקנות. כמו כן וכחלק מסקר הסיכונים יכתבו נהלי אבטחת מידע. המשרד החל במקביל לסקר בהתארגנות לקראת כתיבת תיקי מאגרים על פי המדריך המלא לתקנות הגנת הפרטיות (אבטחת מידע).

■ “לאור העובדה שסקר הסיכונים שבוצע בשנת 2017 מומן על ידי מטה הסייבר הממשלתי, לא הייתה כל כוונה לבדוק את כל יחידות המשרד. סקר הסיכונים תוקצב לקראת סוף שנת 2018 ומבוצע בימים אלו כאמור. את תפקיד מנהל/מיישם אבטחת מידע באגף המחשוב המוגדר ע”י נציבות שירות המדינה (נש”מ) כתפקיד ליבה באגף מערכות מידע הוחלט לאייש באמצעות מיקור-חוץ כפיתרון בינתיים באופן מידי, ולפני כחודש פורסם מכרז. תוך שבועות מספר יהיה אדם שימלא את התפקיד, זאת עד סיום הליך גיוס עובד מדינה בתקן כפתרון הקבע. הוכנה תוכנית להצטיידות ורכש בכל הקשור למוצרים טכנולוגיים של אבטחת מידע והגנה בסייבר. כבר במהלך שנת 2017  המשרד הוציא מכרז פומבי לרכש מוצרי אבטחת מידע, כהשלמה למוצרים אחרים שהינם תחת מכרז חשכ”ל מרכזי.