ISO/IEC 27017

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

ISO/IEC 27017 הוא תקן העוסק באבטחת מידע וניהול סיכוני אבטחת מידע בסביבת מחשוב ענן. שמו של התקן באנגלית: ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services.
התקן כולל הנחיות לבניית Controls לשירותי ענן. Controls הם אמצעים המונעים או מקטינים את ההסתברות להתרחשות אירועי פגיעה באבטחת מידע או מפחיתים את טווח הנזק של אירועים כאלה באמצעות:

  1. הרחבת הנחיות יישום Controls המופיעות בתקן ISO/IEC 27002 ורלוונטיות לסביבת שירותי ענן.
  2. הוספת הנחיות ליישום Controls ייועדיים לשירותי ענן.

ההנחיות וההמלצות בתקן מתייחסות גם לספק שירותי ענן וגם ללקוח שירותי ענן. [1]

רקע

אבטחת המידע בסביבת מחשוב ענן מורכבת יותר מאבטחת מידע בארגון משום שאבטחת מידע בתוך ארגון היא בשליטת הארגון. השליטה באבטחת המידע בשירותי ענן, מתחלקת בין ספק שירותי הענן לבין הלקוח. נדרשת הגדרה של תחומי אחריות:

  • לאילו נושאי אבטחה אחראי ספק שירותי הענן?
  • לאילו נושאי אבטחה אחראי הלקוח?
  • לאילו נושאי אבטחה יש אחריות משותפת?

לאחר הגדרת תחומי האחריות נדרשת הגדרת מנגנוני בקרה משותפים והדדיים.
גורמים נוספים ההופכים את אבטחת המידע במחשוב ענן למורכת יותר הם:

  • הלקוח והספק אינם בהכרח מאותה מדינה ועשויה להיות רגולציה שונה בין המדינות למשל בהקשר של נתונים בכלל ונתונים שנדרשת הגנת פרטיות עליהם בפרט.
  • סביבת המחשוב של הלקוח משותפת באתר הספק ביחד עם סביבות עבודה של לקוחות אחרים. צריכה להיות הגנה מפני גישה לא מורשית של אנשים העובדים בארגונים אחרים לנתונים.

מהות התקן

התקן כולל הנחיות מורחבות לסביבת הענן למימוש 37 Controls המופיעים בתקן ISO/IEC 27002. בנוסף לכך נכללות בתקן הנחיות למימוש שבעה Controls ספציפיים למחשוב ענן, שאינם מופיעים בתקן ISO/IEC 27002 כמפורט להלן:

  • מי אחראי על מה בתחומים האפורים בין ספק שירותי הענן ולקוח שירותי הענן.
  • הסרה או החזרה של משאבים בענן לאחר סיום החוזה בין הספק ללקוח.
  • אבטחה והפרדה בין סביבת הלקוח לביין סביבות אחרות בענן.
  • קביעת תצורת מכונות וירטואליות
  • פעולות מנהליות ופרוצדרות מנהליות הקשורות בסביבת הענן.
  • ניטור פעילות הלקוח בענן
  • סנכרון והתאמה בין הסביבה הווירטואלית לבין סביבת הרשת בענן.

[2]

מבנה התקן

התקן כולל 18 סעיפים. מבנה התקן ISO/IEC 27017:2015 הוא כמפורט להלן:

  1. Scope טווח
  2. Normative References
  3. Terms and definitions מושגים והגדרות
  4. Overview סקירה כללית
  5. Information security policies מדיניות אבטחת מידע
  6. Organization of information security מבנה אבטחת מידע
  7. Human resource security אבטחת מידע של משאבים אנושיים
  8. Asset management ניהול נכסי מחשוב
  9. Access control בקרת גישה
  10. Cryptography הצפנה
  11. Physical and environmental security אבטחה פיזית וסביבתית
  12. Operations security אבטחה תפעולית
  13. Communications security אבטחת תקשורת נתונים
  14. System acquisition, development and maintenance פיתוח, תחזוקה ורכישה של מערכות
  15. Supplier relationships
  16. Information security incident management ניהול אירועי אבטחת מידע
  17. Information security aspects of business continuity management היבטי אבטחת מידע של המשכיות עסקית
  18. Compliance התאמה לרגולציה ולתקינה

מבנה התקן זהה למבנה התקן ISO/IEC 27018 וכמעט זהה למבנה התקן ISO/IEC 27002.

ראו גם

הערות שוליים

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

31208237ISO/IEC 27017