נְגִישׁוּת

גודל טקסט

גדול קטן רגיל

ניגודיות

ניגודיות בהירה ניגודיות כהה רגיל

מצב קריאה

הפעל מצב קריאה חזור לתצוגה רגילה

אנימציות

בטל אנימציות הפעל אנימציות

ניגודיות גבוהה במיוחד

הפעל רגיל

גופן קריא

הפעל רגיל

טקסט מודגש

הדגש רגיל

הקראת טקסט

הקרא טקסט נבחר עצור קריאה

הדגשת קישורים

הפעל בטל
דווח
לְבַטֵל הצהרת ניגשות
תיק אישי
כספיות
פיקדונות
מחקות
עוקבות
כשרות
גידור בנאמנות
דרוג קרנות
הרכבי קרנות
אחזקות
מנהלים
גיוסים ופדיונות
מחזורי מוסדיים
חיסכון לכל ילד
גמל להשקעה
תיק אישי|כספיות|פיקדונות|מחקות|עוקבות|כשרות|גידור בנאמנות|דרוג קרנות|הרכבי קרנות|אחזקות|מנהלים|גיוסים ופדיונות|מחזורי מוסדיים|חיסכון לכל ילד|גמל להשקעה

ניהול סיכונים בסביבת מחשוב ענן

שימוש בטכנולוגיית הענן צריך להיות מחושב

 

 
דוד זקן, המפקח על הבנקים דוד זקן, המפקח על הבנקים
 
דוד זקן, המפקח על הבנקים
LinkedinFacebookTwitter Whatsapp
01/07/2015
1.רקע

בשנים האחרונות מתפתחת מגמה של מעבר הולך וגובר לתצורות שונות של מחשוב ענן ( Cloud Computing). טכנולוגיות אלו מאפשרות ניצול יעיל ונוח של משאבי מחשוב תוך אפשרות לשיתוף משאבים ולשימוש בהם לפי הצורך; זאת, בד בבד עם חיסכון בעלויות ציוד, שטחי ה- Data Center,חשמל וכד', התורמים למחשוב ידידותי יותר לסביבה (Green Computing). בצד היתרונות, שימוש בטכנולוגיות אלו עלול לחשוף את התאגיד הבנקאי לסיכונים תפעוליים מהותיים הקשורים לאבטחת מידע, המשכיות עסקית, שליטה ובקרה על נכסי ה- IT, וכד'. סיכונים אלו נגזרים, בין היתר, מתלות בספקים או טכנולוגיות ספציפיים; כלי ניהול, אבטחה, שליטה ובקרה שטרם הבשילו; קשיים בהגנה על המידע וביישום בקרות נאותות; העצמת הנזק הפוטנציאלי במקרה של כשל, במיוחד כאשר נוצרות נקודות כשל יחידות (Single Points of Failure); רגישות הרכיבים הייעודיים של הטכנולוגיה; קושי בהפרדת תפקידים ועוד. נציין כי סיכונים אלו בחלקם אמנם
מוכרים, אך נוכח המאפיינים הספציפיים של טכנולוגיות אלו והעובדה שמדובר בטכנולוגיות מתפתחות וכלי אבטחת מידע שאינם בהכרח בשלים, גלומים בהן סיכונים ייחודיים.

2. תחולה

הוראות מכתב זה יחולו בהתאם להוראות התחולה הקבועות בסעיף 2 להוראת ניהול בנקאי תקין מספר 357 )להלן: "ההוראה").

3. כללי

3.1. תאגיד בנקאי לא יעשה שימוש בשירותי מחשוב ענן עבור פעילויות ליבה ו/או מערכות ליבה.

3.2. תאגיד בנקאי לא יאחסן מידע או נתוני לקוחות בענן מחוץ לגבולות מדינת ישראל, אלא אם כן, וידא שספק שירותי הענן מקיים את רמת ההגנה בהתאם לדירקטיבה על הגנת המידע

במדינות האיחוד האירופי.

3.3. מחשוב ענן מהווה מקרה פרטי של מיקור חוץ כהגדרתו בפרק ו' להוראה. לפיכך, יש לפעול בהתאם להוראת ניהול בנקאי תקין מס' 357, בפרט בהתייחס לאמור בסעיפים 18 ,17 ו- 30 להוראה. 

3.4. הננו מפנים את התאגידים הבנקאיים לחוקים ולתקנות הרלבנטיים לשימוש בטכנולוגיות מחשוב ענן, ובכלל זאת, לחוק הגנת הפרטיות ולתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה(, תשס"א-2001. בנוסף, אנו מפנים להנחיית רשם מאגרי מידע מס' 2/2011 – "שימוש בשירותי מיקור חוץ )outsourcing) לעיבוד מידע אישי".

3.5. מומלץ כי התאגיד הבנקאי יסתייע, לפי העניין, ביועצים חיצוניים מומחים בהפחתת הסיכונים הגלומים בשימוש בטכנולוגיות ענן.

4. ממשל תאגידי

4.1. על תאגיד בנקאי אשר בוחן שימוש בטכנולוגיות מחשוב הענן להביא את הנושא לדיון מקדמי בדירקטוריון, לפני הפעלת טכנולוגיות מחשוב ענן. בדיון זה יוצגו הסיכונים הגלומים בטכנולוגיות מחשוב ענן והבקרות המיושמות או המתוכננות להפחתתן. על הדירקטוריון לדון בסיכונים אלו, להחליט האם לתת אישור מקדמי למהלך, ולהנחות את הנהלת הבנק בדבר הפעולות שעליה לנקוט – בין היתר ע"פ המפורט במכתב זה. לפי העניין, ינחה הדירקטוריון את ההנהלה לגבש ולהגיש לאישורו מסמך מדיניות לשימוש בטכנולוגיות מחשוב ענן.

4.2. בהמשך לאמור בסעיף 4.1 לעיל, הדירקטוריון ידון ויאשר מדיניות לשימוש בטכנולוגיות מחשוב ענן. מסמך המדיניות יתייחס לסמכויות, אחריות ופעולות גופי ניהול שירותי ענן, גופי הבקרה והבקרות; סוגי השירותים והיקפם; תהליכי אישור ודרגי אישור; אחריות הגורמים השונים בבנק לטיפול בהיבטים משפטיים, תחזוקה, ניטור, אבטחת מידע וכד'. המדיניות תיתן מענה, בין היתר, גם לנדרש במכתב זה.

4.3. לפני כל התקשרות עם ספק שירותי מחשוב ענן (להלן: "ספק שירותי הענן" או "הספק") יערך דיון בהנהלה, ולפי העניין, גם בדירקטוריון.

4.4. על הנהלת התאגיד הבנקאי לוודא שכל שימוש בטכנולוגיות מחשוב ענן יהיה ע"פ המדיניות שנקבעה כאמור.

5. ניהול סיכונים

5.1. לפני התקשרות עם ספק שירותי הענן, על התאגיד הבנקאי לבצע בדיקת Due Diligence לרבות בנוגע לחוסנו הכלכלי, יכולתו המקצועית וניסיונו לספק שירותים דומים. ראוי לבצע מעת לעת בדיקה כאמור, גם במהלך תקופת ההתקשרות.

5.2. תאגיד בנקאי יבצע מיפוי והערכת סיכונים לכל התקשרות עם ספק שרותי ענן, הערכת הסיכונים תעשה קודם להתקשרות ותעודכן באופן שוטף במהלך תקופת ההתקשרות בין היתר, בהתאם לשינויים כגון: טכנולוגיים, עסקיים וארגוניים אצלו ואצל ספק שירותי הענן, רגולטוריים. על התאגיד הבנקאי לוודא קיום בקרות מפצות מתאימות. על אף שמחשוב ענן מהווה מקרה פרטי של מיקור חוץ, הערכת הסיכונים צריכה לכלול גם סיכונים ייחודיים (טכנולוגיים ואחרים) הקשורים לשימוש במחשוב ענן. דוגמאות של היבטים שיש לקחת בחשבון מובאות בנספח. בהתאם לכך, על התאגיד הבנקאי לוודא שיקבל מספק שירותי הענן את המידע הנדרש לצורך ביצוע הערכת הסיכונים, לרבות הנדרש בסעיף 6.1.1

להלן. 

5.3. על תאגיד בנקאי לוודא שביכולתו לבצע ניטור אירועי אבטחת מידע הקשורים לשימושו במערכות מחשוב ענן. אם ניטור זה מבוצע באמצעות כלים המסופקים ע"י הספק, יש לוודא שהכלים עומדים בסטנדרטים מקובלים ומאפשרים שילוב עם מערכות הניטור הקיימות של הבנק.

5.4. על המידע של התאגיד הבנקאי להיות מוצפן בעת העברתו בתקשורת וכן כאשר הוא מאוחסן במערכת שאינו לשימושו הבלעדי (Multi-tenancy). במקרים בהם יש קושי לתאגיד הבנקאי להצפין את כל המידע כאמור, יש להצפין לפחות את הנתונים שסווגו על ידו כרגישים ושיש בחשיפתם כדי לפגוע בתאגיד הבנקאי ובלקוחותיו. מפתחות ההצפנה יאוחסנו אצל התאגיד הבנקאי ולא אצל הספק.

6. הסכם התקשרות עם הספק

6.1. הסכם ההתקשרות עם הספק יכלול, בין היתר את הדרישות הבאות:

6.1.1. קבלת דוחות ביקורת פנימיים של הספק ודוחות ביקורת חיצוניים שנערכו על פעילותו, לרבות דוחות ביקורת שבוצעו ע"י גופים רגולטוריים. בנוסף, ההסכם יכלול אפשרות לתאגיד הבנקאי לדרוש במקרים מיוחדים מהספק לערוך עבורו ביקורת בנושא מסוים.

6.1.2. קיום אפשרות חד-צדדית של התאגיד הבנקאי להפסיק את השימוש בשירותי הספק או לעבור לספק אחר תוך העברת נתוניו הרלבנטיים ממערכות הספק תוך זמן קצר, מחיקתם במערכות הספק והתחייבות הספק שלא ניתן לאחזר נתונים אלו במערכותיו.

6.1.3. מתן אפשרות לפיקוח על הבנקים לבצע ביקורות אצל ספק שירותי ענן.

6.2. בכל שינוי בבעלות על ספק שירותי הענן, על התאגיד הבנקאי לבחון מחדש את ההתקשרות כדי להבטיח קיום ההתחייבויות כלפיו גם ע"י הבעלים החדשים.

7. קבלת היתר מהמפקח על הבנקים

על אף האמור בסעיף 3.3 לעיל, התאגיד הבנקאי נדרש לקבל היתר מראש ובכתב מהמפקח על הבנקים לפני כל התקשרות עם ספק מחשוב ענן שבמסגרתו מאוחסן מידע אצל ספק גם אם לא מדובר במידע של לקוחות. לצורך קבלת היתר זה, על הבנק לפנות לפיקוח על הבנקים לפחות 60 ימים לפני הפעלת השירות.

8. תחילה

הנחיות מכתב זה ייכנסו לתוקף עם פרסומו
 

הנתונים, המידע, הדעות והתחזיות המתפרסמות באתר זה מסופקים כשרות לגולשים. אין לראות בהם המלצה או תחליף לשיקול דעתו העצמאי של הקורא, או הצעה או שיווק השקעות או ייעוץ השקעות ב: קרנות נאמנות, תעודות סל, קופות גמל, קרנות פנסיה, קרנות השתלמות או כל נייר ערך אחר או נדל"ן– בין באופן כללי ובין בהתחשב בנתונים ובצרכים המיוחדים של כל קורא – לרכישה ו/או ביצוע השקעות ו/או פעולות או עסקאות כלשהן. במידע עלולות ליפול טעויות ועשויים לחול בו שינויי שוק ושינויים אחרים. כמו כן עלולות להתגלות סטיות בין התחזיות המובאות בסקירה זו לתוצאות בפועל. לכותב עשוי להיות עניין אישי במאמר זה, לרבות החזקה ו/או ביצוע עסקה עבור עצמו ו/או עבור אחרים בניירות ערך ו/או במוצרים פיננסיים אחרים הנזכרים במסמך זה. הכותב עשוי להימצא בניגוד עניינים. פאנדר אינה מתחייבת להודיע לקוראים בדרך כלשהי על שינויים כאמור, מראש או בדיעבד. פאנדר לא תהיה אחראית בכל צורה שהיא לנזק או הפסד שיגרמו משימוש במאמר/ראיון זה, אם יגרמו, ואינה מתחייבת כי שימוש במידע זה עשוי ליצור רווחים בידי המשתמש.
x