1. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphicMatrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
2. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
רקע:ענן ומחשוב בנקאות
לאחרונה עד,בסקטור ענן מחשוב לגבי בהירות חוסר
הבנקאות!
הוראה357-לנושא נרחבת התייחסותמיקורהחוץ,אין אך
ענן למחשוב פרטנית התייחסות:
3. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
רקע:ענן ומחשוב בנקאות
מס מידע מאגרי רשם הנחיית'2/2011
חוץ מיקור בשירותי שימושOutsourcing))אישי מידע לעיבוד
4. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
5. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
"ניהולמחשוב בסביבת סיכוניםענן"
מהבנק דרישות
6. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
מהבנק דרישות
בסעיפים עמידה18,17,30בהוראה357.
מדיניות גיבושענן מחשוב(בהנהלה ואישורהובדירקטוריון.)
סיכונים הערכת ביצועלפרויקטיםהענן בסביבת.
7. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
מהבנק דרישות
לעשות לאעבור ענן במחשוב שימושומערכות פעילויותליבה.
מידע לאחסן לא/נתונימדינת לגבולות מחוץ בענן לקוחות
כן אם אלא ישראל,את מקיים הענן שספק ווידא בדק הבנק
בהתאם ההגנה רמתבמדינות המידע הגנת על לדירקטיבה
האירופי האיחוד.
•Data Protection Directive(Directive 95/46/EC)מה חלקEU
Privacy Law.
•Safe Harbor.
•ידעתנו למיטב,ל ברורה הגדרה אין"ליבה ומערכות פעילויות"
הבנקאות בסקטור.
8. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
מהבנק דרישות
כלכלי חוסן בדיקת,הענן ספק של וניסיון מקצועיות.
ענן בטכנולוגיות השימוש נושא של בדירקטוריון אישור:
•הצגתענן מחשוב בטכנולוגיות הגלומים הסיכונים.
•הבקרות הצגתלהפחתה והמתוכננות הקיימות.
במדיניות יעמוד בענן פרויקט שכל תוודא הבנק הנהלת
הענן מחשוב.
אחסון הכולל פרויקט לכל הבנקים על מהפיקוח אישור קבלת
בענן מידע.
9. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
"ענן מחשוב בסביבת סיכונים ניהול"
הענן מספק דרישות
10. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
הענן מספק דרישות
הזכותאחר לספק לעבור או הספק בשירותי השימוש את להפסיק
תוךהנתונים מחיקתאת לאחזר ניתן שלא הספק והתחייבות
במחשביו נתוניו.
oהענן ספק עם ההתקשרות בהסכם זה נושא לעגן–מהספק לדרוש מומלץ
זו דרישה ליישום באשר הסברים.
oבדרישה שעומדים מצהירים הענן ספקי מרבית-CSA CAIQ.
oגדולים ספקים(לדוגמה:Amazon)בהתאם נתונים מחיקת לבצע מאפשרים
לתקנים/כגון סטנדרטים:
• DoD 5220.22-M - “National Industrial Security Program Operating Manual “
• NIST 800-88 - “Guidelines for Media Sanitization”
oThe Code Space case study.
oנתונים הצפנת.
11. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
הענן מספק דרישות
ביקורת לביצוע הזכותע"הבנק של והחיצונית הפנימית הביקורת י
ע וכן"הבנקים על הפיקוח י.
•נושא לעגן לנסותספק עם ההתקשרות בהסכם זההענן.
•הקטנים הספקים עבור יעיל כלי הינם ביקורות,בספקים אך
ועלולה יעילה פחות הינה הביקורת גדוליםלהוותמכשול.
•על להסתמך גוברת מגמהותקנים רגולציותכתחליףלביקורת.
•בתחום והסמכות ביקורת דוחות של קיומם לבדוקא"מ:
ISO 27001,STAR,PCI,HIPAA,SOC 2,SSAE 16,ISAE 3402,
לאבטחת תקניםData Centers(Tier 1-4.)
12. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
הענן מספק דרישות
הצפנה:
להיות הבנקאי התאגיד של המידע עלמוצפןבתקשורת העברתו בעת
מאוחסן הוא כאשר וכןבמערכתשאינההבלעדי לשימושו(Multi-
tenancy.)
כאמור המידע כל את להצפין הבנקאי לתאגיד קושי יש בהם במקרים,
בחשיפתם ושיש כרגישים ידו על שסווגו הנתונים את לפחות להצפין יש
ובלקוחותיו הבנקאי בתאגיד לפגוע כדי.
•הבנק של פרטי לשימוש המיועדות בסביבות גם להצפין מומלץ
(כגוןVPC)האיומים עם להתמודד מנת על:Subpeona,
Malicious Insider.
13. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
הענן מספק דרישות
ניטור:
עלאפשרות לו יש שבפועל לוודא הבנקאי התאגידאבטחת אירועי ניטור
מידעענן מחשוב במערכות לשימושו הקשורים.
אםע המסופקים כלים באמצעות מבוצע זה ניטור"הספק י,לוודא יש
מקובלים בסטנדרטים עומדים שהכליםומאפשריםמערכות עם שילוב
הניטורהבנק של הקיימות.
IAAS
•בעלות מערכות להטמיע הבנק על
נאותות ניטור יכולות.
•לניטור כלים לספק הענן ספק על
קונסולתהענן של הניהול
(לדוגמה:Cloud Trailבאמאזון.)
SAAS
•עומדת שהתוכנה לוודא הבנק על
הניטור בדרישות.
•בכלי שימושSAAS Audit Tools
(כגוןAdallom)
14. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
ענן מחשוב מדיניות
מידע מקורות:
ענן מחשוב בסביבת סיכונים ניהול בנושא טיוטה.
CAIQ(Consensus Assessments Initiative Questionnaire.)
CCM(Cloud Control Matrix.)
The Forrester Cloud Security Compliance Checklist(על מבוסס
FedRAMP.)
15. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
ענן מחשוב מדיניות–מבנה
16. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
בענן לפרויקטים סיכונים הערכת
א שלב
הקונטקסט הבנת
ב שלב
הסיכונים מיפוי
ג שלב
הענן מספק למידע דרישה
ד שלב
סיכונים הערכת ביצוע
17. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
בענן לפרויקטים סיכונים להערכת מתודולוגיות
1)טיוטת נספחעל הפיקוחהבנקים
18. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
סיכונים להערכת מתודולוגיותבענן לפרויקטים
2)הנחייההרגולטור של ענן במחשוב סיכונים לניהול(על פקוח
הבנקים)ההולנדי(DNB.)
סיכוניםארגוניים–לדוגמה:הספק אצל נעילה(vendor locking),סיכונים
אספקה שרשרת לאבטחת הקשורים.
טכניים סיכונים–לדוגמה:הענן ספק של זדוני עובדאת לרעה המנצל
הרשאותיו,הענן משרות אפקטיבית לא נתונים מחיקת-של שמידע הסיכון
לזמן מעבר בענן זמין יהיה הבנקשנקבע.
תאימות סיכוני–לדוגמה:Subpoena,רגולציות בין להתנגשות סיכון(לדוגמה
מאוחסן המידע בה ובמדינה בישראל.)
הענן לסביבת ספציפיים שאינם נוספים סיכונים-לדוגמה:גישה(פיזית)לא
ל מורשיתData Centerהענן ספק של,גניבה/ומדיות מציוד מידע זליגת
מחשוב.
19. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
סיכונים להערכת מתודולוגיותבענן לפרויקטים
20. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
סיכונים להערכת מתודולוגיותבענן לפרויקטים
3)Enisa-Risks and recommendations
for cloud computing
פירוט23ענן מחשוב סיכוני
ל משמעויות ניתוחIAAS,PAAS,SAAS
4)CSA–"The Notorious Nine”
21. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
הספק על מידע איסוף
CSA STAR Self-Assessment
ביקורת דוחות(כגוןSOC 2)
הענן לספק אבטחה שאלון
22. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
הענן לספק אבטחה שאלון
23. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
24. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
25. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
PCI DSS & Cloud Computing
26. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
Security and Shared Responsibility
27. Matrix IT work Copyright 2014. Do not remove source or Attribution from any graphic or portion of graphic
תודה!
מטריקס לעובדי מיוחדת תודהבתמונות ששיתפוושל שלהםיקיריהם
7/19/2015