Skip to content

ISO/IEC 27017:2015: bulud xidmətlərinin təhlükəsizliyini və müştəri etibarını necə artırmaq olar

  • by
ISO/IEC 27017:2015 в облаке

Bulud artıq sadəcə rahat İT infrastruktur olmaqdan çıxıb. Qazaxıstan, Özbəkistan, Gürcüstan və Qırğızıstandakı biznes üçün bu, artıq müştəri məlumatlarının, maliyyə sənədlərinin, CRM sistemlərinin, korporativ e-poçtun və hətta kritik biznes proseslərinin saxlanıldığı iş mühitidir. Lakin rahatlıqla yanaşı, əsas sual da yaranır: müştərilərə və tərəfdaşlara bulud mühitinin həqiqətən qorunduğunu necə sübut etmək olar? Məhz burada ISO 27017 standartı ön plana çıxır — Cloud provayderləri və istifadəçiləri üçün bulud xidmətlərinin qorunmasına dair praktiki rəhbərlik.

ISO/IEC 27017:2015 nədir və niyə vacibdir

ISO/IEC 27017:2015 — ISO/IEC 27001 standartını tamamlayan və məhz bulud xidmətlərinin təhlükəsizliyinə yönəlmiş beynəlxalq standartdır. Əgər ISO 27001 informasiya təhlükəsizliyinin idarə olunması üçün ümumi çərçivəni müəyyən edirsə, ISO 27017 bulud modeli üçün xüsusi nəzarət tədbirləri əlavə edir: kim nəyə cavabdehdir, giriş hüquqları necə bölüşdürülməlidir, virtual mühitlər necə idarə edilməlidir və məlumatların Cloud-a ötürülməsi zamanı risklər necə azaldılmalıdır.

Biznes üçün bu xüsusilə vacibdir, çünki buludda məsuliyyət həmişə bölüşdürülür. Provayder infrastrukturun bir hissəsinə, müştəri isə giriş ayarlarına, istifadəçilərə, xidmətlərin konfiqurasiyasına və məlumatlarla iş qaydalarına cavabdeh olur. Praktikada bir çox insident “buludun sındırılması” səbəbindən deyil, tərəflərdən birinin öz məsuliyyət zonasını anlamaması səbəbindən baş verir.

Məhz buna görə bulud hesablamalarının təhlükəsizlik standartları formal tələbdən çox, etibar alətinə çevrilir. Şirkət Cloud mühitinin qorunması üçün tanınmış beynəlxalq yanaşmalardan istifadə etdiyini göstərdikdə, tərəfdaş yoxlamalarından keçməsi, tenderlərdə iştirak etməsi və müştəriləri məlumatlarının nəzarət altında olduğuna inandırması daha asan olur.

ISO 27017 standartı hansı vəzifələri həll edir

Standartın əsas dəyəri ondadır ki, o, mücərrəd “bulud təhlükəsizliyi” anlayışını konkret idarəetmə və texniki addımlara çevirir. O, həm bulud provayderi, həm də sifarişçi təşkilat üçün aydın qaydalar qurmağa kömək edir.

Nəzarət tədbirlərini tətbiq etməzdən əvvəl əsas risklərin adətən harada gizləndiyini anlamaq vacibdir:

  • provayder və müştəri arasında məsuliyyətin qeyri-müəyyən bölüşdürülməsi;
  • əməkdaşlar və podratçılar üçün həddindən artıq giriş səlahiyyətləri;
  • bulud infrastrukturunda dəyişikliklərə zəif nəzarət;
  • virtual maşınların və inzibati panellərin yetərincə qorunmaması;
  • məlumatların ehtiyat nüsxələnməsi, silinməsi və geri qaytarılması ilə bağlı şəffaflığın olmaması;
  • ümumi bulud resurslarından istifadə zamanı məlumat sızması riskləri;
  • hadisələrin zəif loqlanması və şübhəli aktivliyin yetərsiz monitorinqi.

Bu siyahı bir sadə fikri yaxşı göstərir: bulud “standart olaraq” təhlükəsiz olmur. O, yalnız proseslər, rollar və nəzarət tədbirləri təyyarədəki yaxşı avtopilot kimi dəqiqliklə qurulduqda təhlükəsiz olur: sistem kömək edir, amma ekipaj intizamı olmadan uzağa uçmaq mümkün deyil.

Bulud xidmətləri provayderləri üçün nəzarət tədbirləri

Provayderlər üçün ISO/IEC 27017 daha yüksək şəffaflıq və idarəolunma səviyyəsi müəyyən edir. Müştərilər məlumatlarının harada yerləşdiyini, onların mühitlərinin digər icarəçilərdən necə təcrid olunduğunu və insident baş verərsə nə baş verdiyini anlamaq istəyirlər.

Provayder üçün aşağıdakı istiqamətlər üzrə aydın qaydaların təmin edilməsi vacibdir:

Rolların və məsuliyyətin bölüşdürülməsi

Müştəri provayderin hansı təhlükəsizlik tədbirlərini təmin etdiyini, hansılarının isə onun öz tərəfində qaldığını aydın görməlidir. Bu, yanlış gözləntilər və müdafiədəki boşluqlar riskini azaldır.

Virtual mühitin qorunması

Virtual maşınların, konteynerlərin və bulud nüsxələrinin yaradılması, dəyişdirilməsi və silinməsi nəzarətdə saxlanılmalı, həmçinin obrazlar və şablonlar icazəsiz dəyişikliklərdən qorunmalıdır.

İmtiyazlı istifadəçilərin girişinin idarə edilməsi

Bulud administratoru sanki binanın bütün qapılarını açan universal açara sahib insan kimidir. Buna görə də belə istifadəçilərin hərəkətləri ciddi nəzarət edilməli, jurnallaşdırılmalı və mütəmadi olaraq yenidən yoxlanılmalıdır.

Məlumatların təhlükəsiz silinməsi və geri qaytarılması

Müqavilə başa çatdıqdan sonra müştəri onun məlumatlarının dəqiq necə geri qaytarılacağını və qalıq məlumatların provayder mühitindən hansı üsulla təhlükəsiz silinəcəyini başa düşməlidir.

Monitorinq və insidentlərə reaksiya

Provayder üçün sadəcə hadisələri qeydə almaq kifayət deyil. Təhlükəsizlik pozuntuları zamanı xəbərdarlıq, araşdırma və müştəri ilə qarşılıqlı fəaliyyət üçün aydın prosedur olmalıdır.

Cloud istifadəçiləri nəyə nəzarət etməlidirlər

Sifarişçi təşkilatlar da hər şeyi sadəcə “təchizatçının üzərinə ata” bilməzlər. Hətta ən güclü provayder belə biznesi zəif parollardan, hüquqların nizamsız verilməsindən və həssas sənədləri açıq qovluqlarda saxlayan əməkdaşlardan qoruya bilməz.

Bulud istifadəçiləri aşağıdakı tədbirlərə diqqət yetirməlidirlər:

Giriş hüquqlarının tənzimlənməsi

Giriş minimum zəruri imtiyazlar prinsipi ilə verilməlidir. Artıq hüquqlar nə qədər az olarsa, səhv və ya sui-istifadə ehtimalı da bir o qədər az olar.

Konfiqurasiyalara nəzarət

Saxlancın, şəbəkələrin, API-lərin və admin panellərinin səhv sazlanması Cloud mühitində insidentlərin ən çox rast gəlinən səbəblərindən biridir.

Məlumatların təsnifatı

Əvvəlcədən müəyyən etmək lazımdır ki, hansı məlumatlar buludda yerləşdirilə bilər, hansıları əlavə şifrələmə tələb edir, hansıları isə təcrid olunmuş mühitlərdə saxlamaq daha məqsədəuyğundur.

Müqavilə şərtlərinin yoxlanılması

SLA-nı, ehtiyat nüsxələmə şərtlərini, məlumatların saxlanma coğrafiyasını, insidentlər barədə bildiriş qaydasını və tərəflərin məsuliyyətini təhlil etmək vacibdir.

Əməkdaşların təlimi

Hətta ən yaxşı ISO 27017 standartı belə, bulud xidmətlərindən gündəlik işdə təhlükəsiz istifadə qaydalarını anlayan insanlar olmadan işləmir.

Bu tədbirlər tətbiq edildikdən sonra şirkət sadəcə “təhlükəsizlik üzrə qeyd” deyil, risklərin idarə olunması üçün aydın bir sistem əldə edir. Biznes üçün bu, daha az nasazlıq, proseslərin daha yüksək proqnozlaşdırılması və müştərilər tərəfindən daha çox etibar deməkdir.

ISO 27017 müştəri etibarını möhkəmləndirməyə necə kömək edir

ISO 27017 müştəri etibarını möhkəmləndirməyə necə kömək edirŞirkət buludla işlədikdə, müştəri əslində ona yalnız xidməti deyil, həm də öz məlumatlarını, reputasiyasını və bəzən biznesin fasiləsizliyini etibar edir. Buna görə də etibar vədlər üzərində deyil, təsdiqlənmiş praktikalar üzərində qurulur.

Bu mənada bulud hesablamalarının təhlükəsizlik standartları şirkət, müştəri və tərəfdaş arasında aydın beynəlxalq dil rolunu oynayır. Əgər təşkilat ISO/IEC 27017 üzrə prosesləri tətbiq edibsə, bu o deməkdir ki, giriş, monitorinq, məsuliyyətin bölüşdürülməsi və bulud mühitinin qorunması məsələləri “vəziyyətə görə” deyil, sistemli şəkildə nəzərdən keçirilir.

Mərkəzi Asiya və Qafqaz bazarlarında işləyən şirkətlər üçün bu, həm də rəqabət üstünlüyüdür. Beynəlxalq sifarişçilər getdikcə təchizatçıları yalnız qiymətə görə deyil, həm də risklərin idarə olunması sahəsində yetkinliyinə görə qiymətləndirirlər. Buna görə də Qazaxıstanda və qonşu ölkələrdə ISO 27017 sertifikatlaşdırılması İT şirkətləri, SaaS provayderləri, data mərkəzləri, fintech layihələri və servis təşkilatları üçün getdikcə daha актуal olur.

ISO 27017 standartı kimlər üçün xüsusilə vacibdir

Bu standart ən çox aşağıdakılar üçün faydalıdır:

  • bulud xidmətləri təqdim edənlər;
  • buludda şəxsi, maliyyə və ya kommersiya baxımından həssas məlumatlar saxlayanlar;
  • müştərilər və ya investorlar tərəfindən auditdən keçənlər;
  • tenderlərdə və beynəlxalq layihələrdə iştirak edənlər;
  • məlumat sızması, dayanma halları və sifarişçi tərəfdən irad risklərini azaltmaq istəyənlər.

Əgər şirkətiniz artıq informasiya təhlükəsizliyi sistemini qurursa, bulud üzrə nəzarət tədbirlərini ümumi mühafizə arxitekturası ilə əlaqələndirmək faydalıdır. Bu kontekstdə ISO/IEC 27017 üzrə xidməti nəzərdən keçirmək və standartın tətbiqinin biznesinizə necə uyğunlaşdırıla biləcəyini qiymətləndirmək məqsədəuyğundur.

Böyümək, iri sifarişçilərlə işləmək və reputasiyasını möhkəmləndirmək istəyən şirkətlər üçün ISO/IEC 27017 təhlükəsizliyə yetkin yanaşmanın güclü sübutuna çevrilir. MDB-də “Sistem Menecment” komandası isə bu yolu daha sürətli keçməyə kömək edə bilər: tələblərin başa düşülməsindən sertifikatlaşdırmaya hazırlığa və biznesinizə olan etibarın gücləndirilməsinə qədər.

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir

“Sistem Menecment” ТОО ISO-nun beynəlxalq standartlarına uyğun olaraq — ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 27701, ISO 50001, ISO 13485 və digərləri daxil olmaqla — məsləhət xidmətlərinin göstərilməsi, təlim və idarəetmə sistemlərinin sertifikatlaşdırılması üzrə ixtisaslaşır.

Missiyamız idarəetmə sistemlərinin hazırlanması və sertifikatlaşdırılması sahəsində yüksək keyfiyyətli xidmətlər göstərmək, həmçinin hər bir müştərinin unikal tələbləri və biliklərinə uyğunlaşdırılmış səmərəli və çevik həllərdən istifadə etməklə müştərilərimizə real fayda təqdim etməkdir.

E-poçt:
info@bcert.org

Telefon:

+37253686541

WhatsApp:

+37253686541

“Ticket to Online” şirkəti tərəfindən hazırlanıb

AZ
RU EN RO KK UZ TR KY FA HY KA AZ