View
15
Download
8
Category
Preview:
DESCRIPTION
Risk Management in a Cloud Computing Environment
Citation preview
1
ניהול סיכונים בסביבת
מחשוב ענן
יעקבי( רוחה)רחל ' גב
מנהלת יחידת ניהול סיכונים תפעוליים
והממונה על הטכנולוגיה והסייבר בפיקוח על הבנקים
בנק ישראל
STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא
25/01/2016
2
על סדר היום
רקע
תהליך כתיבת המכתבשליוו את הדילמות
בנושאהמפקח מכתב:"ענןמחשוב ניהול סיכונים בסביבת "
היתרקבלת תהליךSTKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016
3
:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"
:רקע
שנים5-כלפניהחלהבנקיםעלבפיקוחהתהליך
המכתבשלגרסאותמספרנכתבו
ל"בחופיקוחרשויותשלהנחיותסקרנו
גורמיםשלרחבמגווןמולהתייעצויותקיימנו:לרבות,רלוונטיים
ט"רמו
ממשלגופי
הבנקאייםהתאגידים
בתחוםמומחיםיועציםמגוון
שוניםענןספקיSTKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016
4
הדילמות שליוו את תהליך כתיבת המכתבלחכות?למנוע?לאפשר?
הרלוונטייםהסיכונים
המכתבשלהרזולוציהרמת
היתרים:היתרבמתןהצורך?
היתרלקבלתשנדרשיםהיישומיםסוגיהגדרת?
הענןיישומיספקאצלביקורותביצוע
:נוכחיתדילמה
והחרגותהקלות?STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016
5
:הפיקוחיתהתפישה
הולםסיכוניםניהולתוך,לאפשר:הדרגתיות
מתמשךבאופןהסיכוניםבחינת
בהוראת'ובפרקכהגדרתו,חוץמיקורשלפרטימקרה357ת"נב
סעיפיםבפרט,בהוראהלאמורבהתאםלפעולישבהוראה30–ו17,18
פעילויותעבורענןמחשובבשירותישימושיעשהלאליבהמערכותאו/וליבה
סקירה מה קורה בעולם
דגש על סיכונים מהותיים
:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"
6
:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן":המשך-הפיקוחיתהתפישה
זאתבכלל,רלבנטייםותקנותחוקיםלהפנייה:הפרטיותהגנתחוק
שמחוץמידעמאגריאלמידעהעברת)הפרטיותהגנתתקנות(המדינהלגבולות
בשירותישימוש"–2/2011'מסמידעמאגרירשםהנחיית"אישימידעלעיבודחוץמיקור
האיחודבמדינותהמידעהגנתעללדירקטיבההפניהרמתאתמקייםהענןשירותישספקבדיקה–האירופיזולדירקטיבהבהתאםההגנה
STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016
7
:(4סעיף)תאגידיממשל
בדירקטוריוןמקדמידיוןמדיניותמסמךלגבשההנהלהאתינחההדירקטוריון,הדיוןלאור
ענןמחשובבטכנולוגיותלשימושמדיניותואישורגיבוש
כללפני,בדירקטוריוןגםהענייןולפי,בהנהלהדיוןענןמחשובשירותיספקעםהתקשרות
שנקבעהבמדיניותעמידהלוודאהבנקהנהלתעל
:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"
STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016
8
:(5סעיף)סיכוניםניהול
בדיקתDue Diligenceההתקשרותלפני
ההתקשרותתקופתבמהלךגםתקופתיתבדיקהלבצעראוי
ענןשירותיספקעםהתקשרותלכלסיכוניםוהערכתמיפוילהתקשרותקודםיבוצע
ההתקשרותתקופתבמהלךשוטףבאופןיעודכן
סיכוניםגםובנוסףחוץמיקורלסיכוניהתייחסותתכלול
(למכתבבנספחדוגמאות)ענןבמחשובלשימושהקשוריםייחודיים
:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"
STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016
10
:המשך-(5סעיף)סיכוניםניהול
הקשוריםמידעאבטחתאירועיניטוריכולתוידואענןמחשובבמערכותלשימוש
הואכאשרוכןבתקשורתהעברתובעתהמידעהצפנתהבלעדילשימושושאינהבמערכתמאוחסן
(Multi-Tenancy)
:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"
STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016
11
:(6סעיף)הספקעםהתקשרותהסכם
היתרבין,יכלולההתקשרותהסכם:וחיצונייםפנימייםביקורתדוחותקבלת
התאגידעבורלערוךמהספקמיוחדיםבמקריםלדרושאפשרותמסויםבנושאביקורתהבנקאי
השימושאתלהפסיקהבנקאיהתאגידשלצדדית-חדאפשרותאחרלספקלעבוראוהספקבשירותי
שירותיספקאצלביקורותלבצעהבנקיםעללפיקוחאפשרותמתןהענן
אתמחדשלבחוןהתאגידעל,בבעלותשינויבכל.ההתקשרות
:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"
STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016
12
תהליך קבלת היתרובכתבמראשהיתרלקבלנדרשהבנקאיהתאגיד-7סעיף
מחשובספקעםהתקשרותכללפניהבנקיםעלמהמפקחמדוברלאאםגם,ספקאצלמידעמאוחסןשבמסגרתוענן
לקוחותשלבמידע
היתרקבלתתהליך:לרבות,לפיקוחמסמכיםהעברת:
וטכנולוגיתעסקיתהתייחסותלרבות,הפרויקטתיאור
המפקחמכתבבעקרונותעמידהפרוט
הבנקאיהתאגידשגיבשסיכוניםהערכתמסמך
הפיקוחעםפגישותקיום
ומידעחומריםהשלמת
ואישורו,רלוונטיותדרישותהוספתתוך,בפיקוחההיתרכתיבת
הבנקאילתאגידההיתרהפצת
13
סיכום
למערכתאתגרמהווהענןמחשובלטכנולוגייתמעברהבנקיםעלולפיקוחהבנקאית
השוניםהיבטיועל,הנושאאתבוחןהבנקיםעלהפיקוח,שוטףבאופן
הסיכוניםלניהולהולםמענהשניתןלוודא:המטרהענןמחשובביישומיהגלומים
STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016
14
תודה
Recommended