שולחן עגול בנקאות רגולציה וענן
TRANSCRIPT
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphicMatrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
בנקאות ומחשוב ענן: רקע
חוסר בהירות לגבי מחשוב ענן בסקטור , עד לאחרונה
!הבנקאות
אך אין , החוץמיקור התייחסות נרחבת לנושא -357הוראה
:התייחסות פרטנית למחשוב ענן
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
בנקאות ומחשוב ענן: רקע
2/2011' הנחיית רשם מאגרי מידע מסלעיבוד מידע אישי( (Outsourcingשימוש בשירותי מיקור חוץ
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
"ענןסיכונים בסביבת מחשוב ניהול "
דרישות מהבנק
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
דרישות מהבנק
357בהוראה 30, 18,17עמידה בסעיפים.
(.ובדירקטוריוןואישורה בהנהלה )מחשוב ענן גיבוש מדיניות
בסביבת הענןלפרויקטים ביצוע הערכת סיכונים.
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
דרישות מהבנק
ליבהפעילויות ומערכות שימוש במחשוב ענן עבור לא לעשות.
לקוחות בענן מחוץ לגבולות מדינת נתוני /לא לאחסן מידע
הבנק בדק ווידא שספק הענן מקיים את , ישראל אלא אם כן
לדירקטיבה על הגנת המידע במדינות רמת ההגנה בהתאם
.האיחוד האירופי
•Data Protection Directive (Directive 95/46/EC ) חלק מהEU
Privacy Law.
•Safe Harbor.
" פעילויות ומערכות ליבה"אין הגדרה ברורה ל, למיטב ידעתנו•
. בסקטור הבנקאות
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
דרישות מהבנק
מקצועיות וניסיון של ספק הענן, בדיקת חוסן כלכלי.
אישור בדירקטוריון של נושא השימוש בטכנולוגיות ענן:
.הסיכונים הגלומים בטכנולוגיות מחשוב ענןהצגת •
.הקיימות והמתוכננות להפחתההצגת הבקרות •
הנהלת הבנק תוודא שכל פרויקט בענן יעמוד במדיניות
.מחשוב הענן
קבלת אישור מהפיקוח על הבנקים לכל פרויקט הכולל אחסון
.מידע בענן
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
"ניהול סיכונים בסביבת מחשוב ענן"
דרישות מספק הענן
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
דרישות מספק הענן
להפסיק את השימוש בשירותי הספק או לעבור לספק אחר הזכות
והתחייבות הספק שלא ניתן לאחזר את מחיקת הנתוניםתוך
.נתוניו במחשביו
o מומלץ לדרוש מהספק –לעגן נושא זה בהסכם ההתקשרות עם ספק הענן
.הסברים באשר ליישום דרישה זו
o מרבית ספקי הענן מצהירים שעומדים בדרישה-CSA CAIQ.
o ספקים גדולים(לדוגמה :Amazon ) מאפשרים לבצע מחיקת נתונים בהתאם
: סטנדרטים כגון/לתקנים
• DoD 5220.22-M - “National Industrial Security Program Operating Manual “
• NIST 800-88 - “Guidelines for Media Sanitization”
oThe Code Space case study.
oהצפנת נתונים.
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
דרישות מספק הענן
י הביקורת הפנימית והחיצונית של הבנק "עהזכות לביצוע ביקורת
.י הפיקוח על הבנקים"וכן ע
.הענןזה בהסכם ההתקשרות עם ספק לנסות לעגן נושא •
אך בספקים , ביקורות הינם כלי יעיל עבור הספקים הקטנים•
. מכשוללהוות גדולים הביקורת הינה פחות יעילה ועלולה
. לביקורתכתחליף רגולציות ותקנים מגמה גוברת להסתמך על •
: מ"אלבדוק קיומם של דוחות ביקורת והסמכות בתחום •
ISO 27001 ,STAR ,PCI ,HIPAA ,SOC 2 ,SSAE 16 ,ISAE 3402 ,
Data Centers(Tier 1-4.)תקנים לאבטחת
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
דרישות מספק הענן
:הצפנה
בעת העברתו בתקשורת מוצפןעל המידע של התאגיד הבנקאי להיות
-Multi)לשימושו הבלעדישאינה במערכת וכן כאשר הוא מאוחסן
tenancy.)
במקרים בהם יש קושי לתאגיד הבנקאי להצפין את כל המידע כאמור ,
יש להצפין לפחות את הנתונים שסווגו על ידו כרגישים ושיש בחשיפתם
.כדי לפגוע בתאגיד הבנקאי ובלקוחותיו
מומלץ להצפין גם בסביבות המיועדות לשימוש פרטי של הבנק •
, Subpeona: על מנת להתמודד עם האיומים( VPCכגון )
Malicious Insider .
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
דרישות מספק הענן
:ניטור
ניטור אירועי אבטחת התאגיד הבנקאי לוודא שבפועל יש לו אפשרות על
. הקשורים לשימושו במערכות מחשוב ענןמידע
יש לוודא , י הספק"ניטור זה מבוצע באמצעות כלים המסופקים עאם
שילוב עם מערכות ומאפשרים שהכלים עומדים בסטנדרטים מקובלים
.הקיימות של הבנקהניטור
IAAS
על הבנק להטמיע מערכות בעלות •
. יכולות ניטור נאותות
על ספק הענן לספק כלים לניטור •
הניהול של הענן קונסולת
(. באמאזוןCloud Trail: לדוגמה)
SAAS
על הבנק לוודא שהתוכנה עומדת •
.בדרישות הניטור
SAAS Audit Toolsשימוש בכלי •
(Adallomכגון )
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
מדיניות מחשוב ענן
:מקורות מידע
טיוטה בנושא ניהול סיכונים בסביבת מחשוב ענן.
CAIQ(Consensus Assessments Initiative Questionnaire.)
CCM(Cloud Control Matrix .)
The Forrester Cloud Security Compliance Checklist( מבוסס על
FedRAMP.)
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
מבנה –מדיניות מחשוב ענן
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
הערכת סיכונים לפרויקטים בענן
שלב א
הבנת הקונטקסט
שלב ב
מיפוי הסיכונים
שלב ג
דרישה למידע מספק הענן
שלב ד
ביצוע הערכת סיכונים
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
מתודולוגיות להערכת סיכונים לפרויקטים בענן
הבנקיםהפיקוח על נספח טיוטת ( 1
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
לפרויקטים בענןמתודולוגיות להערכת סיכונים
פקוח על )לניהול סיכונים במחשוב ענן של הרגולטור הנחייה ( 2
(.DNB)ההולנדי ( הבנקים
נעילה אצל הספק : לדוגמה–ארגוניים סיכונים(vendor locking) , סיכונים
.הקשורים לאבטחת שרשרת אספקה
המנצל לרעה את עובד זדוני של ספק הענן : לדוגמה–סיכונים טכניים
הסיכון שמידע של -מחיקת נתונים לא אפקטיבית משרות הענן, הרשאותיו
.שנקבעהבנק יהיה זמין בענן מעבר לזמן
לדוגמה–סיכוני תאימות :Subpoena , לדוגמה )סיכון להתנגשות בין רגולציות
(.בישראל ובמדינה בה המידע מאוחסן
לא ( פיזית)גישה : לדוגמה-סיכונים נוספים שאינם ספציפיים לסביבת הענן
זליגת מידע מציוד ומדיות /גניבה, של ספק הענןData Centerמורשית ל
.מחשוב
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
לפרויקטים בענןמתודולוגיות להערכת סיכונים
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
לפרויקטים בענןמתודולוגיות להערכת סיכונים
3 )Enisa-Risks and recommendations
for cloud computing
סיכוני מחשוב ענן23פירוט
ניתוח משמעויות לIAAS ,PAAS ,SAAS
4 )CSA–"The Notorious Nine”
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
איסוף מידע על הספק
CSA STAR Self-Assessment
דוחות ביקורת( כגוןSOC 2)
שאלון אבטחה לספק הענן
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
שאלון אבטחה לספק הענן
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
PCI DSS & Cloud Computing
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
Security and Shared Responsibility
Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
!תודה
יקיריהםשלהם ושל ששיתפו בתמונות תודה מיוחדת לעובדי מטריקס
7/19/2015