לדלג לתוכן

ISO/IEC 27017

מתוך ויקיפדיה, האנציקלופדיה החופשית
יש לערוך ערך זה. ייתכן שהערך סובל מבעיות ניסוח, סגנון טעון שיפור או צורך בהגהה, או שיש לעצב אותו, או מפגמים טכניים כגון מיעוט קישורים פנימיים.
אתם מוזמנים לסייע ולערוך את הערך. אם לדעתכם אין צורך בעריכת הערך, ניתן להסיר את התבנית.
יש לערוך ערך זה. ייתכן שהערך סובל מבעיות ניסוח, סגנון טעון שיפור או צורך בהגהה, או שיש לעצב אותו, או מפגמים טכניים כגון מיעוט קישורים פנימיים.
אתם מוזמנים לסייע ולערוך את הערך. אם לדעתכם אין צורך בעריכת הערך, ניתן להסיר את התבנית.

ISO/IEC 27017 הוא תקן העוסק באבטחת מידע וניהול סיכוני אבטחת מידע בסביבת מחשוב ענן.

שמו של התקן באנגלית: ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services.

התקן כולל הנחיות לבניית בקרות לשירותי ענן, המהוות אמצעי הנועד למנוע או להקטין את ההסתברות להתרחשות אירועי פגיעה באבטחת מידע באמצעות:

  1. הרחבת הנחיות יישום בקרות המופיעות בתקן ISO/IEC 27002 ורלוונטיות לסביבת שירותי ענן.
  2. הוספת הנחיות ליישום בקרות ייעודיות לשירותי ענן.

ההנחיות וההמלצות בתקן מתייחסות גם לספק שירותי ענן וגם ללקוח שירותי ענן.[1]

אבטחת המידע בסביבת מחשוב ענן מורכבת יותר מאבטחת מידע בארגון משום שאבטחת מידע בתוך ארגון היא בשליטת הארגון. השליטה באבטחת המידע בשירותי ענן, מתחלקת בין ספק שירותי הענן לבין הלקוח. נדרשת הגדרה של תחומי אחריות:

  • לאילו נושאי אבטחה אחראי ספק שירותי הענן?
  • לאילו נושאי אבטחה אחראי הלקוח?
  • לאילו נושאי אבטחה יש אחריות משותפת?

לאחר הגדרת תחומי האחריות נדרשת הגדרת מנגנוני בקרה משותפים והדדיים.

גורמים נוספים ההופכים את אבטחת המידע במחשוב ענן למורכבת יותר הם:

  • הלקוח והספק אינם בהכרח מאותה מדינה ועשויה להיות רגולציה שונה בין המדינות למשל בהקשר של נתונים בכלל ונתונים שנדרשת הגנת פרטיות עליהם בפרט.
  • סביבת המחשוב של הלקוח משותפת באתר הספק ביחד עם סביבות עבודה של לקוחות אחרים. צריכה להיות הגנה מפני גישה לא מורשית של אנשים העובדים בארגונים אחרים לנתונים.

התקן כולל הנחיות מורחבות לסביבת הענן למימוש 37 Controls המופיעים בתקן ISO/IEC 27002. בנוסף לכך נכללות בתקן הנחיות למימוש שבעה Controls ספציפיים למחשוב ענן, שאינם מופיעים בתקן ISO/IEC 27002 כמפורט להלן:

  • מי אחראי על מה בתחומים האפורים בין ספק שירותי הענן ולבין לקוח שירותי הענן.
  • הסרה או החזרה של משאבים בענן לאחר סיום החוזה בין הספק ללקוח.
  • אבטחה והפרדה בין סביבת הלקוח לביין סביבות אחרות בענן.
  • קביעת תצורת מכונות וירטואליות
  • פעולות מנהליות ופרוצדרות מנהליות הקשורות בסביבת הענן.
  • ניטור פעילות הלקוח בענן
  • סנכרון והתאמה בין הסביבה הווירטואלית לבין סביבת הרשת בענן.

[2]

התקן כולל 18 סעיפים. מבנה התקן ISO/IEC 27017:2015 הוא כמפורט להלן:

  1. Scope טווח
  2. Normative References
  3. Terms and definitions מושגים והגדרות
  4. Overview סקירה כללית
  5. Information security policies מדיניות אבטחת מידע
  6. Organization of information security מבנה אבטחת מידע
  7. Human resource security אבטחת מידע של משאבים אנושיים
  8. Asset management ניהול נכסי מחשוב
  9. Access control בקרת גישה
  10. Cryptography הצפנה
  11. Physical and environmental security אבטחה פיזית וסביבתית
  12. Operations security אבטחה תפעולית
  13. Communications security אבטחת תקשורת נתונים
  14. System acquisition, development and maintenance פיתוח, תחזוקה ורכישה של מערכות
  15. Supplier relationships
  16. Information security incident management ניהול אירועי אבטחת מידע
  17. Information security aspects of business continuity management היבטי אבטחת מידע של [3]המשכיות עסקית
  18. Compliance התאמה לרגולציה ולתקינה

מבנה התקן זהה למבנה התקן ISO/IEC 27018 וכמעט זהה למבנה התקן ISO/IEC 27002.

הערות שוליים

[עריכת קוד מקור | עריכה]