ISO/IEC 27017
יש לערוך ערך זה. ייתכן שהערך סובל מבעיות ניסוח, סגנון טעון שיפור או צורך בהגהה, או שיש לעצב אותו, או מפגמים טכניים כגון מיעוט קישורים פנימיים.
| ||
יש לערוך ערך זה. ייתכן שהערך סובל מבעיות ניסוח, סגנון טעון שיפור או צורך בהגהה, או שיש לעצב אותו, או מפגמים טכניים כגון מיעוט קישורים פנימיים. | |
ISO/IEC 27017 הוא תקן העוסק באבטחת מידע וניהול סיכוני אבטחת מידע בסביבת מחשוב ענן.
שמו של התקן באנגלית: ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services.
התקן כולל הנחיות לבניית בקרות לשירותי ענן, המהוות אמצעי הנועד למנוע או להקטין את ההסתברות להתרחשות אירועי פגיעה באבטחת מידע באמצעות:
- הרחבת הנחיות יישום בקרות המופיעות בתקן ISO/IEC 27002 ורלוונטיות לסביבת שירותי ענן.
- הוספת הנחיות ליישום בקרות ייעודיות לשירותי ענן.
ההנחיות וההמלצות בתקן מתייחסות גם לספק שירותי ענן וגם ללקוח שירותי ענן.[1]
רקע
[עריכת קוד מקור | עריכה]אבטחת המידע בסביבת מחשוב ענן מורכבת יותר מאבטחת מידע בארגון משום שאבטחת מידע בתוך ארגון היא בשליטת הארגון. השליטה באבטחת המידע בשירותי ענן, מתחלקת בין ספק שירותי הענן לבין הלקוח. נדרשת הגדרה של תחומי אחריות:
- לאילו נושאי אבטחה אחראי ספק שירותי הענן?
- לאילו נושאי אבטחה אחראי הלקוח?
- לאילו נושאי אבטחה יש אחריות משותפת?
לאחר הגדרת תחומי האחריות נדרשת הגדרת מנגנוני בקרה משותפים והדדיים.
גורמים נוספים ההופכים את אבטחת המידע במחשוב ענן למורכבת יותר הם:
- הלקוח והספק אינם בהכרח מאותה מדינה ועשויה להיות רגולציה שונה בין המדינות למשל בהקשר של נתונים בכלל ונתונים שנדרשת הגנת פרטיות עליהם בפרט.
- סביבת המחשוב של הלקוח משותפת באתר הספק ביחד עם סביבות עבודה של לקוחות אחרים. צריכה להיות הגנה מפני גישה לא מורשית של אנשים העובדים בארגונים אחרים לנתונים.
מהות התקן
[עריכת קוד מקור | עריכה]התקן כולל הנחיות מורחבות לסביבת הענן למימוש 37 Controls המופיעים בתקן ISO/IEC 27002. בנוסף לכך נכללות בתקן הנחיות למימוש שבעה Controls ספציפיים למחשוב ענן, שאינם מופיעים בתקן ISO/IEC 27002 כמפורט להלן:
- מי אחראי על מה בתחומים האפורים בין ספק שירותי הענן ולבין לקוח שירותי הענן.
- הסרה או החזרה של משאבים בענן לאחר סיום החוזה בין הספק ללקוח.
- אבטחה והפרדה בין סביבת הלקוח לביין סביבות אחרות בענן.
- קביעת תצורת מכונות וירטואליות
- פעולות מנהליות ופרוצדרות מנהליות הקשורות בסביבת הענן.
- ניטור פעילות הלקוח בענן
- סנכרון והתאמה בין הסביבה הווירטואלית לבין סביבת הרשת בענן.
מבנה התקן
[עריכת קוד מקור | עריכה]התקן כולל 18 סעיפים. מבנה התקן ISO/IEC 27017:2015 הוא כמפורט להלן:
- Scope טווח
- Normative References
- Terms and definitions מושגים והגדרות
- Overview סקירה כללית
- Information security policies מדיניות אבטחת מידע
- Organization of information security מבנה אבטחת מידע
- Human resource security אבטחת מידע של משאבים אנושיים
- Asset management ניהול נכסי מחשוב
- Access control בקרת גישה
- Cryptography הצפנה
- Physical and environmental security אבטחה פיזית וסביבתית
- Operations security אבטחה תפעולית
- Communications security אבטחת תקשורת נתונים
- System acquisition, development and maintenance פיתוח, תחזוקה ורכישה של מערכות
- Supplier relationships
- Information security incident management ניהול אירועי אבטחת מידע
- Information security aspects of business continuity management היבטי אבטחת מידע של [3]המשכיות עסקית
- Compliance התאמה לרגולציה ולתקינה
מבנה התקן זהה למבנה התקן ISO/IEC 27018 וכמעט זהה למבנה התקן ISO/IEC 27002.