Булут эбак эле жөн гана ыңгайлуу IT-инфраструктура болуудан калды. Казакстан, Өзбекстан, Грузия жана Кыргызстандагы бизнес үчүн бул — кардарлардын маалыматтары, каржылык документтер, CRM, корпоративдик электрондук почта жана атүгүл бизнес үчүн маанилүү процесстер сакталган иш чөйрөсү. Бирок ыңгайлуулук менен кошо негизги суроо да жаралат: булут чөйрөсү чындап эле корголгонун кардарларга жана өнөктөштөргө кантип далилдөөгө болот? Бул жерде алдыңкы орунга ISO 27017 стандарты чыгат — Cloud провайдерлери жана колдонуучулары үчүн булут кызматтарын коргоо боюнча практикалык колдонмо.
ISO/IEC 27017:2015 деген эмне жана ал эмне үчүн маанилүү
ISO/IEC 27017:2015 — бул ISO/IEC 27001 стандартын толуктаган жана так ушул булут кызматтарынын коопсуздугуна багытталган эл аралык стандарт. Эгер ISO 27001 маалыматтык коопсуздукту башкаруунун жалпы алкагын берсе, ISO 27017 булут моделине арналган атайын көзөмөл чараларын кошот: ким эмнеге жооп берет, жеткиликтүүлүктү кантип бөлүштүрүү керек, виртуалдык чөйрөлөрдү кантип башкаруу зарыл жана маалыматтарды Cloud’га өткөрүүдө коркунучтарды кантип азайтуу керек.
Бизнес үчүн бул өзгөчө маанилүү, анткени булутта жоопкерчилик ар дайым бөлүштүрүлгөн болот. Провайдер инфраструктуранын бир бөлүгүнө жооп берет, ал эми кардар — жеткиликтүүлүк жөндөөлөрүнө, колдонуучуларга, кызматтардын конфигурациясына жана маалыматтар менен иштөө тартибине жооптуу. Практикада көптөгөн инциденттер “булутту бузуп кирүүдөн” эмес, тараптардын бири өзүнүн жоопкерчилик аймагын так түшүнбөгөндүктөн келип чыгат.
Дал ушул себептен улам булут эсептөөлөрүнүн коопсуздук стандарттары жөн гана формалдуулук эмес, ишенимдин куралына айланат. Компания Cloud-чөйрөнү коргоодо эл аралык деңгээлде таанылган ыкмаларды колдонорун көрсөткөндө, өнөктөштөрдүн текшерүүлөрүнөн өтүү, тендерлерге катышуу жана кардарларды алардын маалыматтары көзөмөлдө экенине ынандыруу кыйла жеңил болот.
ISO 27017 стандарты кайсы милдеттерди чечет
Бул стандарттын негизги баалуулугу — ал абстракттуу “булут коопсуздугун” конкреттүү башкаруу жана техникалык аракеттерге айлантат. Ал булут провайдери үчүн да, заказчы уюм үчүн да түшүнүктүү эрежелерди түзүүгө жардам берет.
Көзөмөл чараларын киргизүүдөн мурун, негизги коркунучтар көбүнчө кайсы жерлерде жашырынарын түшүнүү маанилүү:
- провайдер менен кардардын ортосунда жоопкерчиликтин так бөлүштүрүлбөшү;
- кызматкерлерге жана подрядчыларга ашыкча жеткиликтүүлүк укуктарынын берилиши;
- булут инфраструктурасындагы өзгөрүүлөрдү көзөмөлдөөнүн начардыгы;
- виртуалдык машиналардын жана административдик панелдердин жетишсиз корголушу;
- маалыматтарды резервдик көчүрүү, өчүрүү жана кайтарып берүү боюнча ачыктыктын жоктугу;
- жалпы булут ресурстарын колдонууда маалыматтын сыртка чыгып кетүү коркунучу;
- окуяларды журналдаштыруунун начардыгы жана шектүү активдүүлүккө жетишсиз мониторинг жүргүзүлүшү.
Бул тизме бир жөнөкөй ойду жакшы көрсөтөт: булут “өзүнөн-өзү” коопсуз болуп калбайт. Ал процесстер, ролдор жана көзөмөл учактагы жакшы автопилот сыяктуу так жөнгө салынганда гана коопсуз болот: система жардам берет, бирок экипаждын тартиби болбосо, алыска учуп кетүү кыйын.
Булут кызматтарынын провайдерлери үчүн көзөмөл чаралары
Провайдерлер үчүн ISO/IEC 27017 ачыктыктын жана башкарылуучулуктун жогорку деңгээлин белгилейт. Кардарлар өз маалыматтары кайда жайгашканын, алардын чөйрөсү башка ижарачылардын чөйрөсүнөн кантип обочолонорун жана инцидент болгон учурда эмне болорун түшүнгүсү келет.
Провайдер үчүн төмөнкү багыттар боюнча так эрежелерди камсыз кылуу маанилүү:
Ролдорду жана жоопкерчиликти бөлүштүрүү
Кардар коопсуздуктун кайсы чараларын провайдер камсыз кыларын, ал эми кайсылары анын өз тарабында каларын так көрүшү керек. Бул жалган күтүүлөрдүн жана коргоодогу боштуктардын коркунучун азайтат.
Виртуалдык чөйрөнү коргоо
Виртуалдык машиналарды, контейнерлерди жана булут нускаларын түзүүнү, өзгөртүүнү жана өчүрүүнү көзөмөлдөө, ошондой эле образдарды жана шаблондорду уруксатсыз өзгөртүүлөрдөн коргоо зарыл.
Артыкчылыктуу колдонуучулардын жеткиликтүүлүгүн башкаруу
Булут администратору — имараттын бардык эшиктерине ылайыктуу универсалдуу ачкычы бар адамдай эле. Ошондуктан мындай колдонуучулардын аракеттери катуу көзөмөлдөнүп, журналга катталып жана үзгүлтүксүз кайра каралып турушу керек.
Маалыматтарды коопсуз өчүрүү жана кайтарып берүү
Келишим аяктагандан кийин кардар өз маалыматтары кандай тартипте кайтарыларын жана калган маалымат провайдердин чөйрөсүнөн кантип коопсуз өчүрүлөрүн так түшүнүшү керек.
Мониторинг жана инциденттерге жооп кайтаруу
Провайдер үчүн окуяларды жөн гана каттоо жетишсиз, коопсуздук бузулган учурда кабарлоо, иликтөө жана кардар менен өз ара аракеттенүү боюнча түшүнүктүү тартип болушу маанилүү.
Cloud колдонуучулары эмнени көзөмөлдөшү керек
Заказчы уюмдар да баарын эле “жеткирүүчүгө жүктөп” кое алышпайт. Эң күчтүү провайдер да бизнести алсыз сырсөздөрдөн, укуктарды башаламан бөлүштүрүүдөн жана сезимтал документтерди ачык папкаларда сактаган кызматкерлерден коргой албайт.
Булут колдонуучулары төмөнкү чараларга көңүл бурушу керек:
Жеткиликтүүлүк укуктарын жөндөө
Жеткиликтүүлүк эң аз зарыл болгон артыкчылыктар принциби боюнча берилиши керек. Ашыкча укуктар канчалык аз болсо, ката кетирүү же кыянаттык менен пайдалануу мүмкүнчүлүгү ошончолук төмөн болот.
Конфигурацияларды көзөмөлдөө
Сактагычтарды, тармактарды, API’лерди жана админ-панелдерди туура эмес жөндөө — Cloud чөйрөсүндөгү инциденттердин эң кеңири тараган себептеринин бири.
Маалыматтарды классификациялоо
Кайсы маалыматтарды булутка жайгаштырса болорун, кайсылары кошумча шифрлөөнү талап кыларын, ал эми кайсыларын изоляцияланган чөйрөлөрдө сактоо жакшы экенин алдын ала аныктоо керек.
Келишим шарттарын текшерүү
SLA’ны, резервдик көчүрмө жасоо шарттарын, маалыматтарды сактоо географиясын, инциденттер жөнүндө кабарлоо тартибин жана тараптардын жоопкерчилигин талдоо маанилүү.
Кызматкерлерди окутуу
ISO 27017нин эң жакшы стандарты да булут кызматтарын күнүмдүк иште кантип коопсуз колдонуу керектигин түшүнгөн адамдарсыз иштебейт.
Бул чаралар киргизилгенден кийин компания жөн гана “коопсуздук боюнча белги” эмес, тобокелдиктерди башкаруунун түшүнүктүү системасын алат. Бизнес үчүн бул — үзгүлтүктөрдүн азайышы, процесстердин алдын ала божомолдоого ылайыктуу болушу жана кардарлар тараптан көбүрөөк ишеним дегенди билдирет.
ISO 27017 кардарлардын ишенимин кантип бекемдөөгө жардам берет
Компания булут менен иштегенде, кардар ага жөн гана кызматты эмес, өзүнүн маалыматтарын, аброюн, кээде атүгүл бизнесинин үзгүлтүксүз иштешин да ишенип тапшырат. Ошондуктан ишеним убадалардын негизинде эмес, тастыкталган практикалардын негизинде курулат.
Бул жагынан алганда булут эсептөөлөрүнүн коопсуздук стандарттары компания, кардар жана өнөктөш ортосундагы түшүнүктүү эл аралык тилдин ролун аткарат. Эгер уюм ISO/IEC 27017 боюнча процесстерди киргизсе, бул жеткиликтүүлүк, мониторинг, жоопкерчиликти бөлүштүрүү жана булут чөйрөсүн коргоо маселелери “абалга жараша” эмес, системалуу түрдө караларын билдирет.
Борбор Азия жана Кавказ рынокторунда иштеген компаниялар үчүн бул дагы атаандаштык артыкчылык болуп саналат. Эл аралык заказчылар барган сайын жеткирүүчүлөрдү баасы боюнча гана эмес, тобокелдиктерди башкаруу деңгээли боюнча да баалашат. Ошондуктан Казакстанда жана коңшу өлкөлөрдө ISO 27017 сертификаттоо IT-компаниялар, SaaS-провайдерлер, дата-борборлор, fintech-долбоорлор жана сервистик уюмдар үчүн барган сайын актуалдуу болуп баратат.
ISO 27017 стандарты кимдерге өзгөчө керек
Бул стандарт эң чоң пайдасын төмөнкүлөргө алып келет:
- булут кызматтарын көрсөткөндөргө;
- булутта жеке, каржылык же коммерциялык жактан сезимтал маалыматтарды сактагандарга;
- кардарлардын же инвесторлордун аудитинен өткөндөргө;
- тендерлерге жана эл аралык долбоорлорго катышкандарга;
- маалыматтын чыгып кетүү, токтоп калуу жана заказчылардын дооматтары сыяктуу коркунучтарды азайтууну каалагандарга.
Эгер сиздин компания маалыматтык коопсуздук системасын буга чейин эле түзүп жатса, булуттагы көзөмөл чараларын жалпы коргоо архитектурасы менен байланыштырган пайдалуу. Ушул контекстте ISO/IEC 27017 кызматына көңүл буруп, стандартты киргизүүнү бизнесиңизге кантип ылайыкташтырууга болорун баалоо керек.
Өсүүнү, ири заказчылар менен иштөөнү жана өз аброюн бекемдөөнү каалаган компаниялар үчүн ISO/IEC 27017 коопсуздукка жетилген мамиленин күчтүү далили болуп саналат. Ал эми КМШдагы «Систем Менеджмент» командасы бул жолду ылдамыраак өтүүгө жардам бере алат: талаптарды түшүнүүдөн тартып сертификацияга даярдык көрүүгө жана бизнесиңизге болгон ишенимди күчөтүүгө чейин.