אבטחה בענן

MedOne גאה לצרף את הסמכתה לתקן 270001 ISO לאבטחת מידע בתחום מיחשוב הענן לאוסף התקנים המחמירים שהחברה מקפידה לעמוד בהם לדרישת לקוחותיה כמו: European Safe Harbor (תקינת אבטחת המחייבת לקוחות מחוץ לשוק האירופאי המשותף לעמוד בדרישות הפרטיות), SSAE-16 (תקינה אמריקאית לאבטחת תקינות שירותים), HIPAA (תקינה אמריקאית לאבטחת זהות ופרטיות רפואיים) ונוספים.
Firewall מבית F5 המאפשר מיגון לכל VLAN ברמת Layer 2, ויצירת הקשרים וירטואליים. יכולת לקוח להגדיר עד כ-1000 חוקי FW לכל Network Domain. מערכת מתקדמת לאיתור ניסיונות חדירה לא מורשים (Intrusion Detection) מבית Alert Logic המאפשרות: זיהוי והגנה על יישומי אינטרנט מפני מתקפות זיהוי והקטנת איומי רשת ופגיעויות (vulnerabilities) חוצות תשתית ניתוח לוגים לגילוי חריגות התנהגותיות שימוש ב-Arbor Peakflow למניעה ומגון מפני DOS/DDOS. המערכת מנטרת זרימת מידע ומבצעת השוואות שוטפות ואיתור חריגות של תעבורה חיה מול תבניות מוסכמות של התנהגות רשת נורמטיבית. פלטפורמת הענן מאובטחת באמצעות מערכת SIEM מתקדמת המנטרת ארועים בזמן אמת ומגובה ע"י SOC מאוייש 24 שעות ביממה, 7 ימים בשבוע כל השנה. שירות Security as a Service המסופק כשירות ערך מוסף ללקוח ומאפשר בין היתר שירותי SIEM ו-SOC מנוהלים.
לתפיסת מיחשוב הענן של MedOneCloud, אבטחת מידע הנה גישה מרובת ראשים. כיוון שלקוחות מבקשים ומקבלים שליטה מלאה בשרתים וברשתות שלהם מבוססי הענן, אזי חלק לא מבוטל מנטל האבטחה ומהדרכים להשיגה שוכן לפתחם של מנהלי ה-IT. MedOneCloud משלימה את תפיסת האבטחה של לקוחותיה במספר מישורים: אבטחה פיזית של מתקני הענן – 8 מעגלי אבטחה מחמירים לרבות ניטור שוטף ואוטומטי של חריגות, מתן מענה ידני/אוטמטי לחריגות. אבטחת תשתית הוירטואליזציה, התקשורת, התקני האחסון ויישומי שכבת הניהול של Cloud Control. מתן גמישות ללקוחות לקבוע עבור סביבות המיחשוב השונות שבבעלותם, את מידת השיתוף / המידור שביניהן. יכולת מובנית למידור באמצעות ריבוי דיירים (multi-tenant) ובחינת ביצועי התנהגות שוטפת באמצעות שכבת הדו"חות של מערכת ניהול הענן Cloud Control. מעבר לשכבות האבטחה הפיזיות הממומשות בכל אתרי האירוח של MedOne, פתרון הענן שלנו משלב שכבות נוספות לאבטחת מידע השוכן בענן: בידוד כל לקוח בסביבת Virtual Data Center הממומש בטכנולוגיות בידוד של Network Domain מבית F5.
תיאור התקן
שם התקן
התקן למערכת ניהול אבטחת המידע ISO 27001 מגדיר עקרונות פשוטים שיטתיים ותכליתיים להקמה, ניהול ותחזוקה של מערכת אבטחת מידע המתאימה לארגון. ההסמכה למערכת ניהול אבטחת המידע לפי דרישות ISO 27001 מוכיחה כי הארגון נוקט באמצעים המתאימים בכדי לממש את מחויבותו לשמירה על המידע ולנהלו בצורה יעילה. התעודה מתאימה לכל ארגון.
ת"י 27001 ISO – תקן ניהול אבטחת מידע
זהו תקן חדש יחסית שהוגדר בשנת 2015 המגדיר תוספות רלוונטיות למחשוב ענן. התקן מציין במפורש אחריות משותפת לנושא אבטחת המידע לספק הענן וללקוח ומגדיר מהי מסגרת אחריותו של כל צד.
ISO 27017 – תקן לאבטחת מידע בשירותי ענן
תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות, שפורסם בסוף שנת 2010 על ידי ארגון התקינה הבינלאומי. מטרתו לתת כלים בידי ארגונים רפואיים, לצורך הגנה על מידע רפואי אישי שברשותם. היוזמה לניסוח התקן הגיעה מישראל. המידע הרפואי האישי האגור בארגוני הרפואה בעולם הוא מצד אחד רגיש במיוחד, אך מצד שני הוא מצוי בסביבה רוחשת משתמשים ומבקרים. עם הגברת השימוש בארגוני הבריאות בטכנולוגיות אלחוטיות ומבוססות אינטרנט, נוצר צורך הכרחי ומיידי באינטרפרטציה מיוחדת של תקן ISO-27002 המותאמת להגנה על מידע רפואי אישי. צורך מיוחד זה אובחן על ידי איציק כוכב הממונה על הגנת המידע בשירותי בריאות כללית בעת שהטמיע את תקן ISO-27001 במוסדות הקופה. בשיתוף פעולה עם מכון התקנים הישראלי, פנה כוכב לארגון התקינה הבינלאומי והיה שותף פעיל בניסוח התקן. מדובר בהליך בינלאומי מורכב, בו מעורבים כל הגופים בתחום הבריאות והרפואה בעולם כמו חברות תרופות, חברות ביטוח וחברות לציוד רפואי.
ISO 27799 – אבטחת מידע בתחום הבריאות
ארגון ה-CSA, ייצר מטריצת בקרות, שמטרתה לשקף את מידת מוכנות ספק שירותי מחשוב ענן CSP בהיבטי אבטחת מידע, ניהול סיכונים ושרידות ללקוחותיו וללקוחות פוטנציאלים אשר מעוניינים לרכוש את שירותיו. ארגון המספק שירותי מחשוב ענן CSP יכול לענות על שאלון עצמאי המבוסס על אותן בקרות ולהציג לראווה את מידת עמידתו באותן בקרות, באתר ה־CSA . בנוסף לכך, ארגון ה־CSA מנפיק בכפוף לגופי תקינה בין־לאומיים, הסמכה תחת השם STAR לצורך מדידת ספקי שירות מחשוב ענן CSP. תיעוד באשר לאופי הדיווח של ספק ה־CSP ניתן לראות באתר הארגון.
תקן CSA STAR
תקינה בינלאומית לאבטחת יכולת ניוד מידע רפואי תוך שמירה על חסיונו.
HIPAA – Health Insurance Portability and Accountability Act
משק לשעת חירום (מל"ח) הוא גוף בין-משרדי המופקד על הכנת מפעלים, שירותים ומוצרים חיוניים במשק לשעת חירום, על מנת לאפשר שגרת חיים תקינה ככל האפשר בעורף. כן אחראי מל"ח על הפעלת אותם גורמים בעתמלחמה או שעת חירום, על הכנת הרשויות המקומיות ועל היערכות לקליטת מפונים. גוף זה אינו קיים עוד כגוף עצמאי.
מל"ח- משק לשעת חרום
תקן SSAE16 אשר מחליף בתקינה האמריקאית את תקן SAS-70 עושה מהפכה קטנה בדוח ומהפכה גדולה באחריות אשר לוקחת הנהלת לשכת השירות על המידע אשר מפורט בדוח ועל דיווח ליקויים ובקרות אשר בחברה וכן על תהליך הביקורת של רואה החשבון בבואו לחוות דעת על הדוח.
SSAE 16
Safe Harbor מתייחס להוראות של רשות ניירות ערך בארה"ב בכל הקשור למתן תחזיות מצד מנהלי חברות. חברות רבות נוהגות להנחות את המשקיעים לגבי הביצועים שלהן בעתיד. חלק אף מספקות תחזיות לגבי רמת המכירות והרווח שהן מצפות לו ברבעון הבא או בשנה הבאה.
SafeHarbor
תקינה לקיום הגנות בעולם ההמורים מקוונים
AGCC