שולחן עגול בנקאות רגולציה וענן
•
0 j'aime•312 vues
שולחן עגול בנקאות רגולציה וענן מנהלי אבטחת מידע 2.0
Recommandé
Contenu connexe
Similaire à שולחן עגול בנקאות רגולציה וענן
Similaire à שולחן עגול בנקאות רגולציה וענן (20)
Plus de Arthur Schmunk
Plus de Arthur Schmunk (13)
שולחן עגול בנקאות רגולציה וענן
- 1. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphicMatrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
- 2. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic רקע:ענן ומחשוב בנקאות לאחרונה עד,בסקטור ענן מחשוב לגבי בהירות חוסר הבנקאות! הוראה357-לנושא נרחבת התייחסותמיקורהחוץ,אין אך ענן למחשוב פרטנית התייחסות:
- 3. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic רקע:ענן ומחשוב בנקאות מס מידע מאגרי רשם הנחיית'2/2011 חוץ מיקור בשירותי שימושOutsourcing))אישי מידע לעיבוד
- 4. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
- 5. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic "ניהולמחשוב בסביבת סיכוניםענן" מהבנק דרישות
- 6. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic מהבנק דרישות בסעיפים עמידה18,17,30בהוראה357. מדיניות גיבושענן מחשוב(בהנהלה ואישורהובדירקטוריון.) סיכונים הערכת ביצועלפרויקטיםהענן בסביבת.
- 7. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic מהבנק דרישות לעשות לאעבור ענן במחשוב שימושומערכות פעילויותליבה. מידע לאחסן לא/נתונימדינת לגבולות מחוץ בענן לקוחות כן אם אלא ישראל,את מקיים הענן שספק ווידא בדק הבנק בהתאם ההגנה רמתבמדינות המידע הגנת על לדירקטיבה האירופי האיחוד. •Data Protection Directive(Directive 95/46/EC)מה חלקEU Privacy Law. •Safe Harbor. •ידעתנו למיטב,ל ברורה הגדרה אין"ליבה ומערכות פעילויות" הבנקאות בסקטור.
- 8. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic מהבנק דרישות כלכלי חוסן בדיקת,הענן ספק של וניסיון מקצועיות. ענן בטכנולוגיות השימוש נושא של בדירקטוריון אישור: •הצגתענן מחשוב בטכנולוגיות הגלומים הסיכונים. •הבקרות הצגתלהפחתה והמתוכננות הקיימות. במדיניות יעמוד בענן פרויקט שכל תוודא הבנק הנהלת הענן מחשוב. אחסון הכולל פרויקט לכל הבנקים על מהפיקוח אישור קבלת בענן מידע.
- 9. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic "ענן מחשוב בסביבת סיכונים ניהול" הענן מספק דרישות
- 10. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic הענן מספק דרישות הזכותאחר לספק לעבור או הספק בשירותי השימוש את להפסיק תוךהנתונים מחיקתאת לאחזר ניתן שלא הספק והתחייבות במחשביו נתוניו. oהענן ספק עם ההתקשרות בהסכם זה נושא לעגן–מהספק לדרוש מומלץ זו דרישה ליישום באשר הסברים. oבדרישה שעומדים מצהירים הענן ספקי מרבית-CSA CAIQ. oגדולים ספקים(לדוגמה:Amazon)בהתאם נתונים מחיקת לבצע מאפשרים לתקנים/כגון סטנדרטים: • DoD 5220.22-M - “National Industrial Security Program Operating Manual “ • NIST 800-88 - “Guidelines for Media Sanitization” oThe Code Space case study. oנתונים הצפנת.
- 11. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic הענן מספק דרישות ביקורת לביצוע הזכותע"הבנק של והחיצונית הפנימית הביקורת י ע וכן"הבנקים על הפיקוח י. •נושא לעגן לנסותספק עם ההתקשרות בהסכם זההענן. •הקטנים הספקים עבור יעיל כלי הינם ביקורות,בספקים אך ועלולה יעילה פחות הינה הביקורת גדוליםלהוותמכשול. •על להסתמך גוברת מגמהותקנים רגולציותכתחליףלביקורת. •בתחום והסמכות ביקורת דוחות של קיומם לבדוקא"מ: ISO 27001,STAR,PCI,HIPAA,SOC 2,SSAE 16,ISAE 3402, לאבטחת תקניםData Centers(Tier 1-4.)
- 12. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic הענן מספק דרישות הצפנה: להיות הבנקאי התאגיד של המידע עלמוצפןבתקשורת העברתו בעת מאוחסן הוא כאשר וכןבמערכתשאינההבלעדי לשימושו(Multi- tenancy.) כאמור המידע כל את להצפין הבנקאי לתאגיד קושי יש בהם במקרים, בחשיפתם ושיש כרגישים ידו על שסווגו הנתונים את לפחות להצפין יש ובלקוחותיו הבנקאי בתאגיד לפגוע כדי. •הבנק של פרטי לשימוש המיועדות בסביבות גם להצפין מומלץ (כגוןVPC)האיומים עם להתמודד מנת על:Subpeona, Malicious Insider.
- 13. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic הענן מספק דרישות ניטור: עלאפשרות לו יש שבפועל לוודא הבנקאי התאגידאבטחת אירועי ניטור מידעענן מחשוב במערכות לשימושו הקשורים. אםע המסופקים כלים באמצעות מבוצע זה ניטור"הספק י,לוודא יש מקובלים בסטנדרטים עומדים שהכליםומאפשריםמערכות עם שילוב הניטורהבנק של הקיימות. IAAS •בעלות מערכות להטמיע הבנק על נאותות ניטור יכולות. •לניטור כלים לספק הענן ספק על קונסולתהענן של הניהול (לדוגמה:Cloud Trailבאמאזון.) SAAS •עומדת שהתוכנה לוודא הבנק על הניטור בדרישות. •בכלי שימושSAAS Audit Tools (כגוןAdallom)
- 14. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic ענן מחשוב מדיניות מידע מקורות: ענן מחשוב בסביבת סיכונים ניהול בנושא טיוטה. CAIQ(Consensus Assessments Initiative Questionnaire.) CCM(Cloud Control Matrix.) The Forrester Cloud Security Compliance Checklist(על מבוסס FedRAMP.)
- 15. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic ענן מחשוב מדיניות–מבנה
- 16. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic בענן לפרויקטים סיכונים הערכת א שלב הקונטקסט הבנת ב שלב הסיכונים מיפוי ג שלב הענן מספק למידע דרישה ד שלב סיכונים הערכת ביצוע
- 17. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic בענן לפרויקטים סיכונים להערכת מתודולוגיות 1)טיוטת נספחעל הפיקוחהבנקים
- 18. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic סיכונים להערכת מתודולוגיותבענן לפרויקטים 2)הנחייההרגולטור של ענן במחשוב סיכונים לניהול(על פקוח הבנקים)ההולנדי(DNB.) סיכוניםארגוניים–לדוגמה:הספק אצל נעילה(vendor locking),סיכונים אספקה שרשרת לאבטחת הקשורים. טכניים סיכונים–לדוגמה:הענן ספק של זדוני עובדאת לרעה המנצל הרשאותיו,הענן משרות אפקטיבית לא נתונים מחיקת-של שמידע הסיכון לזמן מעבר בענן זמין יהיה הבנקשנקבע. תאימות סיכוני–לדוגמה:Subpoena,רגולציות בין להתנגשות סיכון(לדוגמה מאוחסן המידע בה ובמדינה בישראל.) הענן לסביבת ספציפיים שאינם נוספים סיכונים-לדוגמה:גישה(פיזית)לא ל מורשיתData Centerהענן ספק של,גניבה/ומדיות מציוד מידע זליגת מחשוב.
- 19. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic סיכונים להערכת מתודולוגיותבענן לפרויקטים
- 20. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic סיכונים להערכת מתודולוגיותבענן לפרויקטים 3)Enisa-Risks and recommendations for cloud computing פירוט23ענן מחשוב סיכוני ל משמעויות ניתוחIAAS,PAAS,SAAS 4)CSA–"The Notorious Nine”
- 21. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic הספק על מידע איסוף CSA STAR Self-Assessment ביקורת דוחות(כגוןSOC 2) הענן לספק אבטחה שאלון
- 22. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic הענן לספק אבטחה שאלון
- 23. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
- 24. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
- 25. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic PCI DSS & Cloud Computing
- 26. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic Security and Shared Responsibility
- 27. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic תודה! מטריקס לעובדי מיוחדת תודהבתמונות ששיתפוושל שלהםיקיריהם 7/19/2015