דלג לתוכן הראשי

A.5.23 אבטחת מידע לשימוש בשירותי ענן

מטרה

מטרת הנוהל היא להבטיח כי הארגון מנהל ומיישם בקרות מתאימות לאבטחת מידע בשימוש בשירותי ענן, על מנת למזער את הסיכונים לאבטחת המידע המאוחסן, מעובד או מועבר באמצעות שירותים אלו.

תחום יישום

הנוהל חל על כל שירותי הענן בהם עושה שימוש הארגון, לרבות שירותי ענן ציבוריים, פרטיים, היברידיים ושירותי ענן משותפים.

הגדרות

  • שירותי ענן: שירותים הניתנים על גבי תשתיות ענן ציבוריות, פרטיות, היברידיות או משותפות לצורך אחסון, עיבוד, או העברה של מידע.
  • בקרות אבטחת מידע: אמצעים טכנולוגיים, תהליכיים או מנהלתיים המיועדים להגן על מידע מפני איומים פנימיים וחיצוניים.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח, ניהול ויישום הנוהל, כולל הערכת סיכונים ובחירת בקרות מתאימות לשימוש בשירותי ענן.
  • מנהלי מערכות: אחראים על יישום בקרות אבטחת המידע בשירותי ענן ועל מעקב אחר פעילות השימוש בשירותי ענן בארגון.

תהליך

1. זיהוי והערכת שירותי ענן

  • הארגון יזהה את כל שירותי הענן בהם נעשה שימוש לצורך אחסון, עיבוד או העברה של מידע ארגוני.
  • הארגון יבצע הערכת סיכונים לשירותי הענן, על מנת לזהות ולמזער סיכונים פוטנציאליים לאבטחת המידע.

2. בחירת ספקי שירותי ענן

  • הארגון יבחר ספקי שירותי ענן על בסיס עמידתם בדרישות אבטחת המידע הרלוונטיות.
  • הספקים יידרשו להציג תעודות ותקנים מוכרים בתחום אבטחת המידע, כגון ISO 27001 או SOC 2.

3. ניהול חוזי שירותי ענן

  • הארגון יגדיר דרישות אבטחת מידע מפורטות בהסכמים עם ספקי שירותי הענן.
  • ההסכמים יכללו סעיפים בנוגע לזמינות, שלמות, סודיות, ותנאי גישה למידע המאוחסן בשירותי הענן.

4. בקרות גישה

  • הארגון יישם בקרות גישה מחמירות לשירותי הענן, כולל שימוש במנגנוני אימות מתקדמים (כגון אימות דו-שלבי).
  • הגישה למידע המאוחסן בענן תינתן רק למשתמשים מורשים ותתועד.

5. הצפנת מידע

  • הארגון יבטיח כי כל המידע המאוחסן, מעובד או מועבר באמצעות שירותי ענן יהיה מוצפן, הן במעבר (in-transit) והן במנוחה (at-rest).
  • המפתחות להצפנה ינוהלו בהתאם לנהלי הארגון ולמדיניות אבטחת המידע.

6. ניטור והתרעה

  • הארגון יבצע ניטור שוטף של הפעילות בשירותי הענן על מנת לזהות ולהתריע על פעילויות חשודות.
  • מערכת הניטור תשלח התרעות בזמן אמת לגורמים הרלוונטיים בארגון לטיפול מהיר.

7. ניהול אירועי אבטחת מידע בענן

  • במקרה של אירוע אבטחת מידע הקשור לשירותי הענן, הארגון יפעל בהתאם לנוהלי התגובה לאירועים ולמנגנוני החקירה שפותחו.
  • הספקים יהיו מחויבים לדווח באופן מיידי על אירועים הקשורים לאבטחת המידע ולשתף פעולה עם הארגון בתהליך החקירה.

8. בחינת יעילות הבקרות

  • הארגון יבצע בדיקות תקופתיות לבחינת יעילות הבקרות שהוטמעו בשירותי הענן, ויעדכן את הנהלים בהתאם לתוצאות הבדיקות.
  • כל שינוי בשירותי הענן או במנגנוני האבטחה יבחן ויסוקר מחדש כדי לוודא עמידה בדרישות הארגון.

הערות

  • הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לאבטחת מידע בשימוש בשירותי ענן.
  • הארגון יבצע תהליך של הערכת סיכונים שוטפת על מנת לוודא שהבקרות המתאימות ייושמו והינן תקפות מול איומים מתחדשים.