1

ניהול סיכונים בסביבת

מחשוב ענן

יעקבי( רוחה)רחל ' גב

מנהלת יחידת ניהול סיכונים תפעוליים

והממונה על הטכנולוגיה והסייבר בפיקוח על הבנקים

בנק ישראל

STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא

25/01/2016

2

על סדר היום

רקע

תהליך כתיבת המכתבשליוו את הדילמות

בנושאהמפקח מכתב:"ענןמחשוב ניהול סיכונים בסביבת "

היתרקבלת תהליךSTKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016

3

:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"

:רקע

שנים5-כלפניהחלהבנקיםעלבפיקוחהתהליך

המכתבשלגרסאותמספרנכתבו

ל"בחופיקוחרשויותשלהנחיותסקרנו

גורמיםשלרחבמגווןמולהתייעצויותקיימנו:לרבות,רלוונטיים

ט"רמו

ממשלגופי

הבנקאייםהתאגידים

בתחוםמומחיםיועציםמגוון

שוניםענןספקיSTKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016

4

הדילמות שליוו את תהליך כתיבת המכתבלחכות?למנוע?לאפשר?

הרלוונטייםהסיכונים

המכתבשלהרזולוציהרמת

היתרים:היתרבמתןהצורך?

היתרלקבלתשנדרשיםהיישומיםסוגיהגדרת?

הענןיישומיספקאצלביקורותביצוע

:נוכחיתדילמה

והחרגותהקלות?STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016

5

:הפיקוחיתהתפישה

הולםסיכוניםניהולתוך,לאפשר:הדרגתיות

מתמשךבאופןהסיכוניםבחינת

בהוראת'ובפרקכהגדרתו,חוץמיקורשלפרטימקרה357ת"נב

סעיפיםבפרט,בהוראהלאמורבהתאםלפעולישבהוראה30–ו17,18

פעילויותעבורענןמחשובבשירותישימושיעשהלאליבהמערכותאו/וליבה

סקירה מה קורה בעולם

דגש על סיכונים מהותיים

:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"

6

:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן":המשך-הפיקוחיתהתפישה

זאתבכלל,רלבנטייםותקנותחוקיםלהפנייה:הפרטיותהגנתחוק

שמחוץמידעמאגריאלמידעהעברת)הפרטיותהגנתתקנות(המדינהלגבולות

בשירותישימוש"–2/2011'מסמידעמאגרירשםהנחיית"אישימידעלעיבודחוץמיקור

האיחודבמדינותהמידעהגנתעללדירקטיבההפניהרמתאתמקייםהענןשירותישספקבדיקה–האירופיזולדירקטיבהבהתאםההגנה

STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016

7

:(4סעיף)תאגידיממשל

בדירקטוריוןמקדמידיוןמדיניותמסמךלגבשההנהלהאתינחההדירקטוריון,הדיוןלאור

ענןמחשובבטכנולוגיותלשימושמדיניותואישורגיבוש

כללפני,בדירקטוריוןגםהענייןולפי,בהנהלהדיוןענןמחשובשירותיספקעםהתקשרות

שנקבעהבמדיניותעמידהלוודאהבנקהנהלתעל

:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"

STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016

8

:(5סעיף)סיכוניםניהול

בדיקתDue Diligenceההתקשרותלפני

ההתקשרותתקופתבמהלךגםתקופתיתבדיקהלבצעראוי

ענןשירותיספקעםהתקשרותלכלסיכוניםוהערכתמיפוילהתקשרותקודםיבוצע

ההתקשרותתקופתבמהלךשוטףבאופןיעודכן

סיכוניםגםובנוסףחוץמיקורלסיכוניהתייחסותתכלול

(למכתבבנספחדוגמאות)ענןבמחשובלשימושהקשוריםייחודיים

:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"

STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016

10

:המשך-(5סעיף)סיכוניםניהול

הקשוריםמידעאבטחתאירועיניטוריכולתוידואענןמחשובבמערכותלשימוש

הואכאשרוכןבתקשורתהעברתובעתהמידעהצפנתהבלעדילשימושושאינהבמערכתמאוחסן

(Multi-Tenancy)

:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"

STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016

11

:(6סעיף)הספקעםהתקשרותהסכם

היתרבין,יכלולההתקשרותהסכם:וחיצונייםפנימייםביקורתדוחותקבלת

התאגידעבורלערוךמהספקמיוחדיםבמקריםלדרושאפשרותמסויםבנושאביקורתהבנקאי

השימושאתלהפסיקהבנקאיהתאגידשלצדדית-חדאפשרותאחרלספקלעבוראוהספקבשירותי

שירותיספקאצלביקורותלבצעהבנקיםעללפיקוחאפשרותמתןהענן

אתמחדשלבחוןהתאגידעל,בבעלותשינויבכל.ההתקשרות

:בנושא29.06.2015-מכתב המפקח מ"ניהול סיכונים בסביבת מחשוב ענן"

STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016

12

תהליך קבלת היתרובכתבמראשהיתרלקבלנדרשהבנקאיהתאגיד-7סעיף

מחשובספקעםהתקשרותכללפניהבנקיםעלמהמפקחמדוברלאאםגם,ספקאצלמידעמאוחסןשבמסגרתוענן

לקוחותשלבמידע

היתרקבלתתהליך:לרבות,לפיקוחמסמכיםהעברת:

וטכנולוגיתעסקיתהתייחסותלרבות,הפרויקטתיאור

המפקחמכתבבעקרונותעמידהפרוט

הבנקאיהתאגידשגיבשסיכוניםהערכתמסמך

הפיקוחעםפגישותקיום

ומידעחומריםהשלמת

ואישורו,רלוונטיותדרישותהוספתתוך,בפיקוחההיתרכתיבת

הבנקאילתאגידההיתרהפצת

13

סיכום

למערכתאתגרמהווהענןמחשובלטכנולוגייתמעברהבנקיםעלולפיקוחהבנקאית

השוניםהיבטיועל,הנושאאתבוחןהבנקיםעלהפיקוח,שוטףבאופן

הסיכוניםלניהולהולםמענהשניתןלוודא:המטרהענןמחשובביישומיהגלומים

STKIחברת –Getting to the Cloudמפגש שולחן עגול בנושא -25/01/2016

14

תודה