Бұлт бұрыннан бері жай ғана ыңғайлы ІТ-инфрақұрылым болудан қалды. Қазақстан, Өзбекстан, Грузия және Қырғызстандағы бизнес үшін бұл — клиенттік деректер, қаржылық құжаттар, CRM, корпоративтік пошта, тіпті бизнес үшін аса маңызды процестер сақталатын жұмыс ортасы. Бірақ ыңғайлылықпен бірге ең басты сұрақ та туындайды: клиенттер мен серіктестерге бұлтты ортаның шынымен қорғалғанын қалай дәлелдеуге болады? Осы жерде ISO 27017 стандарты алдыңғы қатарға шығады — бұл Cloud провайдерлері мен пайдаланушылары үшін бұлтты сервистерді қорғауға арналған практикалық нұсқаулық.
ISO/IEC 27017:2015 деген не және ол неге маңызды
ISO/IEC 27017:2015 — бұл ISO/IEC 27001 стандартын толықтыратын және нақты бұлтты сервистердің қауіпсіздігіне бағытталған халықаралық стандарт. Егер ISO 27001 ақпараттық қауіпсіздікті басқарудың жалпы негізін белгілесе, ISO 27017 бұлттық модель үшін арнайы бақылау шараларын қосады: кім не үшін жауап береді, қолжетімділікті қалай шектеу керек, виртуалды орталарды қалай басқару қажет және деректерді Cloud-қа беру кезінде тәуекелдерді қалай азайтуға болады.
Бизнес үшін бұл әсіресе маңызды, өйткені бұлтта жауапкершілік әрқашан бөлінеді. Провайдер инфрақұрылымның бір бөлігіне жауап береді, ал клиент — қолжетімділік баптауларына, пайдаланушыларға, сервистер конфигурациясына және деректермен жұмыс істеу тәртібіне жауапты. Іс жүзінде көптеген оқиғалар “бұлтты бұзу” салдарынан емес, тараптардың бірінің өз жауапкершілік аймағын түсінбеуінен болады.
Сондықтан бұлттық есептеулер қауіпсіздігінің стандарттары жай формальдылық емес, сенім құралына айналады. Компания Cloud-ортаны қорғауда халықаралық деңгейде мойындалған тәсілдерді қолданатынын көрсеткен кезде, оған серіктестердің тексерулерінен өту, тендерлерге қатысу және клиенттерге олардың деректерінің бақылауда екенін дәлелдеу оңайырақ болады.
ISO 27017 стандарты қандай міндеттерді шешеді
Стандарттың басты құндылығы — ол бұлт қауіпсіздігі туралы абстрактілі түсінікті нақты басқарушылық және техникалық әрекеттерге айналдырады. Ол бұлтты провайдер үшін де, тапсырыс беруші ұйым үшін де түсінікті ережелер құруға көмектеседі.
Бақылау шараларын енгізбес бұрын, негізгі тәуекелдердің әдетте қай жерде жасырынатынын түсіну маңызды:
- провайдер мен клиент арасындағы жауапкершіліктің нақты бөлінбеуі;
- қызметкерлер мен мердігерлерде артық қолжетімділік құқықтарының болуы;
- бұлтты инфрақұрылымдағы өзгерістерді бақылаудың әлсіздігі;
- виртуалды машиналар мен әкімшілік панельдердің жеткіліксіз қорғалуы;
- деректерді резервтік көшіру, жою және қайтару процестерінің ашық еместігі;
- ортақ бұлтты ресурстарды пайдалану кезінде ақпараттың сыртқа шығу қаупі;
- оқиғаларды журналдаудың әлсіздігі және күмәнді белсенділікті мониторингтеудің жеткіліксіздігі.
Бұл тізім бір қарапайым ойды жақсы көрсетеді: бұлт өздігінен қауіпсіз бола салмайды. Ол процестер, рөлдер және бақылау ұшақтағы жақсы автопилот сияқты мұқият бапталған кезде ғана қауіпсіз болады: жүйе көмектеседі, бірақ экипаж тәртібінсіз алысқа ұша алмайсың.
Бұлтты сервистер провайдерлеріне арналған бақылау шаралары
Провайдерлер үшін ISO/IEC 27017 ашықтық пен басқарылудың неғұрлым жоғары деңгейін белгілейді. Клиенттер өз деректерінің қайда орналасқанын, олардың орталары басқа жалға алушылардың орталарынан қалай оқшауланатынын және оқыс жағдай туындағанда не болатынын түсінгісі келеді.
Провайдер үшін келесі бағыттар бойынша нақты ережелерді қамтамасыз ету маңызды:
Рөлдер мен жауапкершілікті бөлу
Клиент қауіпсіздік шараларының қайсысын провайдер қамтамасыз ететінін, ал қайсысы өз жағында қалатынын нақты түсінуі керек. Бұл жалған күтулер мен қорғаныстағы олқылықтар қаупін азайтады.
Виртуалды ортаны қорғау
Виртуалды машиналарды, контейнерлерді және бұлтты даналарды құру, өзгерту және жою процестерін бақылау, сондай-ақ бейнелер мен үлгілерді рұқсатсыз өзгерістерден қорғау қажет.
Артықшылықты пайдаланушылардың қолжетімділігін басқару
Бұлт әкімшісі — ғимараттың барлық есігіне ашатын әмбебап кілті бар адам сияқты. Сондықтан мұндай пайдаланушылардың әрекеттері қатаң бақылануы, журналдануы және тұрақты түрде қайта қаралуы керек.
Деректерді қауіпсіз жою және қайтару
Келісімшарт аяқталғаннан кейін клиент өз деректерінің нақты қалай қайтарылатынын және провайдер ортасындағы қалдық ақпараттың қандай тәсілмен қауіпсіз жойылатынын түсінуі керек.
Мониторинг және инциденттерге ден қою
Провайдер үшін оқиғаларды жай ғана тіркеу жеткіліксіз, қауіпсіздік бұзылған жағдайда хабарлау, тергеу жүргізу және клиентпен өзара әрекеттесу тәртібі нақты белгіленген болуы маңызды.
Cloud пайдаланушылары нені бақылауы керек
Тапсырыс беруші ұйымдар да бәрін жай ғана “жеткізушіге артып қоя” алмайды. Тіпті ең мықты провайдердің өзі бизнесті әлсіз құпиясөздерден, құқықтарды ретсіз беруден және құпия құжаттарды ашық бумаларда сақтайтын қызметкерлерден қорғай алмайды.
Бұлт пайдаланушылары мынадай шараларға назар аударуы керек:
Қолжетімділік құқықтарын баптау
Қолжетімділік ең аз қажетті артықшылықтар қағидаты бойынша берілуі тиіс. Артық құқықтар неғұрлым аз болса, қателік немесе теріс пайдалану ықтималдығы да соғұрлым төмен болады.
Конфигурацияларды бақылау
Қоймаларды, желілерді, API-ді және әкімшілік панельдерді қате баптау — Cloud-тағы инциденттердің ең жиі себептерінің бірі.
Деректерді жіктеу
Алдын ала қандай деректерді бұлтта орналастыруға болатынын, қайсысы қосымша шифрлауды қажет ететінін, ал қайсысын оқшауланған ортада сақтаған дұрыс екенін анықтау қажет.
Келісімшарт талаптарын тексеру
SLA-ны, резервтік көшіру шарттарын, деректердің қай жерде сақталатынын, инциденттер туралы хабарлау тәртібін және тараптардың жауапкершілігін мұқият талдау маңызды.
Қызметкерлерді оқыту
Тіпті ең жақсы ISO 27017 стандарты да бұлтты сервистерді күнделікті жұмыста қауіпсіз пайдалануды түсінетін адамдарсыз жұмыс істемейді.
Осы шаралар енгізілгеннен кейін компания жай ғана “қауіпсіздік бойынша белгі” алып қоймайды, тәуекелдерді басқарудың түсінікті жүйесіне ие болады. Бизнес үшін бұл — ақаулардың азаюы, процестердің болжамдылығының артуы және клиенттер тарапынан сенімнің күшеюі.
ISO 27017 клиенттердің сенімін нығайтуға қалай көмектеседі
Компания бұлтпен жұмыс істеген кезде, клиент іс жүзінде оған тек қызметті ғана емес, сонымен бірге өз деректерін, беделін, ал кейде тіпті бизнесінің үздіксіздігін де сеніп тапсырады. Сондықтан сенім уәделерге емес, расталған тәжірибелерге негізделеді.
Осы тұрғыдан алғанда, бұлттық есептеулер қауіпсіздігінің стандарттары компания, клиент және серіктес арасындағы түсінікті халықаралық тілдің рөлін атқарады. Егер ұйым ISO/IEC 27017 бойынша процестерді енгізсе, бұл қолжетімділік, мониторинг, жауапкершілікті бөлу және бұлтты ортаны қорғау мәселелері “жағдайға қарай” емес, жүйелі түрде қарастырылатынын білдіреді.
Орталық Азия мен Кавказ нарықтарында жұмыс істейтін компаниялар үшін бұл сонымен қатар бәсекелестік артықшылық болып табылады. Халықаралық тапсырыс берушілер жеткізушілерді барған сайын тек баға бойынша емес, сонымен бірге тәуекелдерді басқару деңгейінің жетілуі бойынша да бағалайды. Сондықтан Қазақстанда және көршілес елдерде ISO 27017 сертификаттауы ІТ-компаниялар, SaaS-провайдерлер, дата-орталықтар, fintech-жобалар және сервистік ұйымдар үшін барған сайын өзекті болып келеді.
ISO 27017 стандарты кімдерге ерекше қажет
Бұл стандарт ең көп пайдасын мынадай ұйымдарға береді:
- бұлтты сервистер ұсынатындарға;
- бұлтта жеке, қаржылық немесе коммерциялық тұрғыдан сезімтал деректерді сақтайтындарға;
- клиенттер немесе инвесторлар тарапынан аудиттен өтетіндерге;
- тендерлер мен халықаралық жобаларға қатысатындарға;
- деректердің сыртқа шығу, тоқтап қалу және тапсырыс берушілер тарапынан шағымдар тәуекелін азайтуды қалайтындарға.
Егер сіздің компанияңыз ақпараттық қауіпсіздік жүйесін әлдеқашан құрып жатса, бұлтты бақылау шараларын жалпы қорғаныс архитектурасымен байланыстыру пайдалы болады. Осы тұрғыда ISO/IEC 27017 қарап шығып, стандартты енгізуді өз бизнесіңізге қалай бейімдеуге болатынын бағалаған жөн.
Өсуге, ірі тапсырыс берушілермен жұмыс істеуге және беделін нығайтуға ұмтылатын компаниялар үшін ISO/IEC 27017 қауіпсіздікке жетілген көзқарастың күшті дәлеліне айналады. Ал ТМД елдеріндегі «Систем Менеджмент» командасы бұл жолдан тезірек өтуге көмектесе алады: талаптарды түсінуден бастап сертификаттауға дайындыққа және бизнесіңізге деген сенімді арттыруға дейін.