ქლაუდი უკვე დიდი ხანია აღარ არის უბრალოდ მოსახერხებელი IT-ინფრასტრუქტურა. ბიზნესისთვის ყაზახეთში, უზბეკეთში, საქართველოში და ყირგიზეთში ეს უკვე სამუშაო გარემოა, სადაც ინახება კლიენტების მონაცემები, ფინანსური დოკუმენტები, CRM, კორპორაციული ელფოსტა და даже კრიტიკულად მნიშვნელოვანი ბიზნეს-პროცესებიც. მაგრამ კომფორტთან ერთად ჩნდება მთავარი კითხვაც: როგორ დაუმტკიცოთ კლიენტებსა და პარტნიორებს, რომ ქლაუდური გარემო ნამდვილად დაცულია? სწორედ აქ გამოდის წინა პლანზე ISO 27017 — პრაქტიკული სახელმძღვანელო ქლაუდური სერვისების დაცვისთვის როგორც პროვაიდერებისთვის, ისე Cloud-ის მომხმარებლებისთვის.
რა არის ISO/IEC 27017:2015 და რატომ არის ის მნიშვნელოვანი
ISO/IEC 27017:2015 არის საერთაშორისო სტანდარტი, რომელიც ავსებს ISO/IEC 27001-ს და კონცენტრირებულია უშუალოდ ქლაუდური სერვისების უსაფრთხოებაზე. თუ ISO 27001 ადგენს ინფორმაციული უსაფრთხოების მართვის საერთო ჩარჩოს, ISO 27017 ამატებს კონტროლის სპეციალურ ზომებს ქლაუდური მოდელისთვის: ვინ რაზეა პასუხისმგებელი, როგორ უნდა გაიმიჯნოს წვდომა, როგორ უნდა იმართოს ვირტუალური გარემოები და როგორ უნდა შემცირდეს რისკები მონაცემების Cloud-ში გადაცემისას.
ბიზნესისთვის ეს განსაკუთრებით მნიშვნელოვანია, რადგან ქლაუდში პასუხისმგებლობა ყოველთვის გაყოფილია. პროვაიდერი პასუხს აგებს ინფრასტრუქტურის ერთ ნაწილზე, ხოლო კლიენტი — წვდომის პარამეტრებზე, მომხმარებლებზე, სერვისების კონფიგურაციაზე და მონაცემებთან მუშაობის წესზე. პრაქტიკაში ბევრი ინციდენტი ხდება არა „ქლაუდის გატეხვის“ გამო, არამედ იმიტომ, რომ ერთ-ერთ მხარეს საკუთარი პასუხისმგებლობის ზონა სწორად არ ესმის.
სწორედ ამიტომ ქლაუდური გამოთვლების უსაფრთხოების სტანდარტები აღარ არის უბრალოდ ფორმალობა — ისინი ნდობის ინსტრუმენტად იქცა. როდესაც კომპანია აჩვენებს, რომ Cloud-გარემოს დასაცავად იყენებს საერთაშორისოდ აღიარებულ მიდგომებს, მას უადვილდება პარტნიორების შემოწმებების გავლა, ტენდერებში მონაწილეობა და კლიენტების დარწმუნება, რომ მათი მონაცემები კონტროლის ქვეშ არის.
რა ამოცანებს წყვეტს ISO 27017 სტანდარტი
სტანდარტის მთავარი ღირებულება ისაა, რომ აბსტრაქტულ „ქლაუდის უსაფრთხოებას“ გადააქცევს კონკრეტულ მმართველობით და ტექნიკურ ქმედებებად. ის ეხმარება მკაფიო წესების ჩამოყალიბებაში როგორც ქლაუდ-პროვაიდერისთვის, ისე დამკვეთი ორგანიზაციისთვის.
კონტროლის ზომების დანერგვამდე მნიშვნელოვანია გაიგოთ, სად იმალება ჩვეულებრივ ძირითადი რისკები:
- პასუხისმგებლობის არამკაფიო განაწილება პროვაიდერსა და კლიენტს შორის;
- თანამშრომლებისა და კონტრაქტორების ზედმეტად ფართო წვდომის უფლებები;
- ქლაუდური ინფრასტრუქტურის ცვლილებების სუსტი კონტროლი;
- ვირტუალური მანქანებისა და ადმინისტრაციული პანელების არასაკმარისი დაცვა;
- სარეზერვო კოპირების, მონაცემების წაშლისა და დაბრუნების პროცესებში გამჭვირვალობის ნაკლებობა;
- ინფორმაციის გაჟონვის რისკები საერთო ქლაუდური რესურსების გამოყენებისას;
- მოვლენების სუსტი ლოგირება და საეჭვო აქტივობის არასაკმარისი მონიტორინგი.
ეს სია კარგად აჩვენებს ერთ მარტივ აზრს: ქლაუდი „ნაგულისხმევად“ უსაფრთხო არ ხდება. ის უსაფრთხო ხდება მაშინ, როდესაც პროცესები, როლები და კონტროლი იმავე სიზუსტით არის გამართული, როგორც კარგი ავტოპილოტი თვითმფრინავში: სისტემა გეხმარება, მაგრამ ეკიპაჟის დისციპლინის გარეშე შორს ვერ გაფრინდები.
ქლაუდური სერვისების პროვაიდერებისთვის კონტროლის ზომები
პროვაიდერებისთვის ISO/IEC 27017 ადგენს გამჭვირვალობისა და მართვადობის უფრო მაღალ დონეს. კლიენტებს სურთ გაიგონ, სად ინახება მათი მონაცემები, როგორ არის მათი გარემო იზოლირებული სხვა მომხმარებლების გარემოებისგან და რა ხდება ინციდენტის შემთხვევაში.
პროვაიდერისთვის მნიშვნელოვანია მკაფიო წესების უზრუნველყოფა შემდეგ მიმართულებებში:
როლებისა და პასუხისმგებლობების გამიჯვნა
კლიენტმა ნათლად უნდა ხედავდეს, უსაფრთხოების რომელ ზომებს უზრუნველყოფს პროვაიდერი და რომელი რჩება მის საკუთარ პასუხისმგებლობად. ეს ამცირებს მცდარი მოლოდინებისა და დაცვის ხარვეზების რისკს.
ვირტუალური გარემოს დაცვა
აუცილებელია ვირტუალური მანქანების, კონტეინერებისა და ქლაუდური ინსტანსების შექმნის, ცვლილებისა და წაშლის კონტროლი, ასევე იმიჯებისა და შაბლონების დაცვა არასანქცირებული ცვლილებებისგან.
პრივილეგირებული მომხმარებლების წვდომის მართვა
ქლაუდის ადმინისტრატორი თითქმის იმ ადამიანს ჰგავს, ვისაც შენობის უნივერსალური გასაღები აქვს. ამიტომ ასეთი მომხმარებლების ქმედებები მკაცრად უნდა კონტროლდებოდეს, ილოგებოდეს და რეგულარულად გადაიხედოს.
მონაცემების უსაფრთხო წაშლა და დაბრუნება
ხელშეკრულების დასრულების შემდეგ კლიენტს უნდა ესმოდეს, ზუსტად როგორ დაუბრუნდება მისი მონაცემები და რა გზით წაიშლება უსაფრთხოდ ნარჩენი ინფორმაცია პროვაიდერის გარემოდან.
ინციდენტების მონიტორინგი და რეაგირება
პროვაიდერისთვის მნიშვნელოვანია არა მხოლოდ მოვლენების დაფიქსირება, არამედ უსაფრთხოების დარღვევების შემთხვევაში შეტყობინების, გამოძიებისა და კლიენტთან ურთიერთქმედების მკაფიო წესრიგის ქონა.
რას უნდა აკონტროლებდნენ Cloud-ის მომხმარებლები
დამკვეთი ორგანიზაციებიც ვერ შეძლებენ უბრალოდ „ყველაფრის მომწოდებელზე გადაბარებას“. ყველაზე ძლიერი პროვაიდერიც კი ვერ დაიცავს ბიზნესს სუსტი პაროლებისგან, უფლებების ქაოსური განაწილებისგან და თანამშრომლებისგან, რომლებიც სენსიტიურ დოკუმენტებს ღია საქაღალდეებში ინახავენ.
ქლაუდის მომხმარებლებმა ყურადღება უნდა მიაქციონ შემდეგ ზომებს:
წვდომის უფლებების კონფიგურაცია
წვდომა უნდა გაიცეს მინიმალურად აუცილებელი პრივილეგიების პრინციპით. რაც ნაკლებია ზედმეტი უფლებები, მით ნაკლებია შეცდომის ან ბოროტად გამოყენების შანსი.
კონფიგურაციების კონტროლი
საცავების, ქსელების, API-ების და ადმინისტრაციული პანელების არასწორი კონფიგურაცია Cloud-ში ინციდენტების ერთ-ერთი ყველაზე ხშირი მიზეზია.
მონაცემების კლასიფიკაცია
წინასწარ უნდა განისაზღვროს, რომელი მონაცემების განთავსება შეიძლება ქლაუდში, რომელს სჭირდება დამატებითი შიფრაცია და რომელთა შენახვა სჯობს იზოლირებულ გარემოში.
სახელშეკრულებო პირობების შემოწმება
მნიშვნელოვანია SLA-ს, სარეზერვო კოპირების პირობების, მონაცემების შენახვის გეოგრაფიის, ინციდენტების შესახებ შეტყობინების წესისა და მხარეთა პასუხისმგებლობების ანალიზი.
თანამშრომლების სწავლება
თუნდაც საუკეთესო ISO 27017 სტანდარტი არ იმუშავებს იმ ადამიანების გარეშე, რომლებსაც ესმით, როგორ გამოიყენონ ქლაუდური სერვისები უსაფრთხოდ ყოველდღიურ საქმიანობაში.
ამ ზომების დანერგვის შემდეგ კომპანია იღებს არა უბრალოდ „უსაფრთხოების თოლიას“, არამედ რისკების მართვის გასაგებ სისტემას. ბიზნესისთვის ეს ნიშნავს ნაკლებ შეფერხებას, პროცესების უფრო მაღალ პროგნოზირებადობას და კლიენტების მხრიდან მეტ ნდობას.
როგორ ეხმარება ISO 27017 კლიენტების ნდობის გაძლიერებას
როდესაც კომპანია ქლაუდთან მუშაობს, კლიენტი მას ფაქტობრივად ანდობს არა მხოლოდ სერვისს, არამედ საკუთარ მონაცემებს, რეპუტაციას და ზოგჯერ ბიზნესის უწყვეტობასაც. ამიტომ ნდობა შენდება არა დაპირებებზე, არამედ დადასტურებულ პრაქტიკებზე.
ამ თვალსაზრისით, ქლაუდური გამოთვლების უსაფრთხოების სტანდარტები კომპანიის, კლიენტისა და პარტნიორის შორის გასაგები საერთაშორისო ენის როლს ასრულებს. თუ ორგანიზაციამ ISO/IEC 27017-ის მიხედვით პროცესები დანერგა, ეს ნიშნავს, რომ წვდომის, მონიტორინგის, პასუხისმგებლობების განაწილებისა და ქლაუდური გარემოს დაცვის საკითხები სისტემურად განიხილება და არა „სიტუაციის მიხედვით“.
ცენტრალური აზიისა და კავკასიის ბაზრებზე მომუშავე კომპანიებისთვის ეს ასევე კონკურენტული უპირატესობაცაა. საერთაშორისო დამკვეთები სულ უფრო ხშირად აფასებენ მომწოდებლებს არა მხოლოდ ფასის, არამედ რისკების მართვის სიმწიფის მიხედვითაც. ამიტომ ISO 27017-ის სერტიფიცირება ყაზახეთში და მეზობელ ქვეყნებში სულ უფრო აქტუალური ხდება IT-კომპანიებისთვის, SaaS-პროვაიდერებისთვის, დათა-ცენტრებისთვის, fintech-პროექტებისთვის და სერვისული ორგანიზაციებისთვის.
ვისთვის არის ISO 27017 განსაკუთრებით საჭირო
სტანდარტი ყველაზე დიდ სარგებელს მოუტანს მათ, ვინც:
- უზრუნველყოფს ქლაუდურ სერვისებს;
- ქლაუდში ინახავს პერსონალურ, ფინანსურ ან კომერციულად მგრძნობიარე მონაცემებს;
- გადის აუდიტს კლიენტების ან ინვესტორების მხრიდან;
- მონაწილეობს ტენდერებსა და საერთაშორისო პროექტებში;
- სურს შეამციროს მონაცემთა გაჟონვის, შეფერხებებისა და დამკვეთების პრეტენზიების რისკები.
თუ თქვენი კომპანია უკვე აყალიბებს ინფორმაციული უსაფრთხოების სისტემას, სასარგებლოა ქლაუდური კონტროლის ზომების დაკავშირება დაცვის საერთო არქიტექტურასთან. ამ კონტექსტში ღირს ISO/IEC 27017 სერვისის განხილვა და იმის შეფასება, როგორ შეიძლება სტანდარტის დანერგვის ადაპტირება თქვენი ბიზნესისთვის.
იმ კომპანიებისთვის, რომლებიც ზრდას, მსხვილ დამკვეთებთან მუშაობასა და რეპუტაციის გამყარებას ისახავენ მიზნად, ISO/IEC 27017 იქცევა ძლიერ არგუმენტად უსაფრთხოებისადმი მომწიფებული მიდგომის სასარგებლოდ. ხოლო „სისტემ მენეჯმენტის“ გუნდი დსთ-ში დაგეხმარებათ ამ გზის უფრო სწრაფად გავლაში — მოთხოვნების გააზრებიდან სერტიფიკაციისთვის მომზადებამდე და თქვენი ბიზნესის მიმართ ნდობის გაძლიერებამდე.