ארגונים רבים שואפים לעמוד בתקן ISO/IEC 27001:2022 כדי להבטיח את אבטחת המידע שלהם ולבנות אמון מול לקוחות ושותפים. אלא שעדכון התקן האחרון, ובפרט בקרת 8.11, מציב רף חדש ומחייב: לא עוד הצפנה בלבד, אלא שימוש מדויק בטכניקות של הסתרת נתונים (Data Masking) בהתאם למדיניות בקרת הגישה הארגונית. במילים פשוטות? צריך להחליט מי רואה מה, מתי, ואיך – ולהבטיח שמידע רגיש לעולם לא נחשף שלא לצורך.

בפוסט הזה נצלול לתוך המשמעות המעשית של בקרת 8.11, נסקור טעויות נפוצות, נציג שלבים מומלצים ליישום נכון – כולל דוגמאות, תרשימים וטיפים – ונשתף בסיפור מהשטח. בסוף, נענה על שאלות נפוצות ונציע כלים להמשך הדרך.

רקע והקשר רגולטורי: בקרת 8.11 היא חלק מהגרסה המעודכנת של ISO 27001 שפורסמה ב-2022. על פי הניסוח החדש, "יש להשתמש ב-Data Masking בהתאם למדיניות הארגונית על בקרת גישה". הדרישה מחייבת כל ארגון לסווג מידע רגיש (כמו PII, PHI, מידע פיננסי או קניין רוחני), להחיל עליו מדיניות חשיפה מדורגת, ולהבטיח שהחשיפה בפועל תואמת לרמות ההרשאה שהוגדרו. המועד האחרון לעמידה בדרישות המעודכנות הוא 31 באוקטובר 2025, אך כבר כעת מבקרים שואלים על יישום בקרת 8.11.

טעויות נפוצות ביישום Data Masking:

• ❌ חוסר בזיהוי שדות רגישים – ללא סיווג מידע, אי אפשר למסך אותו.
• ❌ שימוש בטכניקות לא מתאימות (כמו רק החלפה אקראית) שפוגעות בשימושיות הנתונים.
• ❌ הסתרה חלקית בלבד בסביבות בדיקה או אנליטיקה – ופוטנציאל לחשיפת מידע.
• ❌ התמקדות רק בדאטה מובנה, והתעלמות ממיילים, צ׳אטים, מסמכים, קבצי קול.
• ❌ העדר תיעוד ובקרת גישה – בעייתי מול מבקרים.

צעדים נכונים ליישום:

1. מיפוי מידע רגיש: סריקה של כלל המערכות והסביבות (פרודקשן, בדיקה, אנליטיקה) וזיהוי של מידע אישי, מזהים, תכנים טקסטואליים ועוד.
2. סיווג וסימון: הגדרת רמות רגישות לפי מדיניות אבטחת מידע.
3. בחירת טכניקת מסקינג מתאימה:

• Redaction: טוב להצגה בסיסית, אך פוגע בשימושיות.
• Tokenization: שומר על פורמט, אך דורש מערכות תומכות.
• סינתזה (Synthetic Data): מייצרת מידע דמיוני המתנהג כמו המקור – פתרון אידיאלי לפיתוח ו-ML.

1. יישום טכני לפי סביבה:

• Static masking לסביבות QA/Dev.
• Dynamic masking לסביבות דוחות ו-BI.
• שמירה על ייחוס (Referential Integrity) בין טבלאות.

1. ניהול הרשאות מדויק (RBAC).
2. תיעוד ולוגים: תיעוד כל חשיפה או שינוי.
3. בדיקות שימושיות: לוודא שהמידע המוסתר עדיין תומך בצרכי הפיתוח, הבדיקות או האנליטיקה.



סיפור מהשטח: בחברת פינטק ישראלית בינונית, הצוות עבד עם דאטה רגיש בסביבות בדיקה מבלי לדעת שהמידע כולל פרטים אמיתיים של לקוחות. לאחר בדיקה, נמצא שהעברת המידע נעשתה ללא מסקינג. עם יישום Static Masking מבוסס מדיניות, הצליחו לצמצם חשיפה, לשפר אמון הלקוחות ולעבור בהצלחה ביקורת ISO.

שאלות נפוצות:

• האם מספיק להשתמש ב-redaction בסיסי? לא. לרוב יש צורך בפתרונות שמאזנים פרטיות ושימושיות.
• האם זה נוגע גם לדאטה לא מובנה? כן. צ׳אטים, קבצי קול, מסמכים – הכל נכלל.
• האם אפשר ליישם ידנית? לא כדאי. יש להשתמש באוטומציה וכלים תומכים.

סיכום וקריאה לפעולה: Data Masking הוא לא רק אמצעי טכני – אלא אסטרטגיה ניהולית ורגולטורית קריטית. ארגונים שמעוניינים לעמוד בתקני ISO ולהבטיח פרטיות מידע, צריכים להשקיע ביישום נכון של בקרת 8.11: לזהות, לסווג, למסך – ולתעד כל שלב. כך תיצרו לא רק ציות, אלא גם תרבות של אבטחת מידע אחראית.

📢 מחפשים להטמיע פתרון Data Masking חכם בארגון? דברו איתי – רונית שדה, יועצת מומחית לתרבות אבטחת מידע וניהול סיכונים.