Skip to content

ISO/IEC 27017:2015: bulutli xizmatlar xavfsizligini va mijozlar ishonchini qanday oshirish mumkin

  • by
ISO/IEC 27017:2015 в облаке

Bulut allaqachon shunchaki qulay IT-infratuzilma bo‘lishdan to‘xtagan. Qozog‘iston, O‘zbekiston, Gruziya va Qirg‘izistondagi biznes uchun bu endi mijozlar ma’lumotlari, moliyaviy hujjatlar, CRM tizimlari, korporativ elektron pochta va hatto muhim biznes jarayonlari saqlanadigan ish muhiti hisoblanadi. Ammo qulaylik bilan birga asosiy savol ham paydo bo‘ladi: mijozlar va hamkorlarga bulut muhiti haqiqatan ham himoyalanganini qanday isbotlash mumkin? Bu yerda ISO 27017 standarti oldingi o‘ringa chiqadi — bu provayderlar va Cloud foydalanuvchilari uchun bulutli xizmatlarni himoya qilish bo‘yicha amaliy qo‘llanmadir.

ISO/IEC 27017:2015 nima va u nima uchun muhim

ISO/IEC 27017:2015 — bu ISO/IEC 27001 standartini to‘ldiruvchi va aynan bulutli xizmatlar xavfsizligiga qaratilgan xalqaro standartdir. Agar ISO 27001 axborot xavfsizligini boshqarishning umumiy asosini belgilasa, ISO 27017 bulut modeli uchun maxsus nazorat choralarini qo‘shadi: kim nima uchun javob beradi, kirishni qanday ajratish kerak, virtual muhitlarni qanday boshqarish lozim va ma’lumotlarni Cloud’ga uzatishda xavflarni qanday kamaytirish mumkin.

Biznes uchun bu ayniqsa muhim, chunki bulutda javobgarlik har doim taqsimlangan bo‘ladi. Provayder infratuzilmaning bir qismi учун javob beradi, mijoz esa kirish sozlamalari, foydalanuvchilar, servislar konfiguratsiyasi va ma’lumotlar bilan ishlash tartibi учун javobgar bo‘ladi. Amaliyotda ko‘plab hodisalar “bulut buzilgani” sababli emas, balki tomonlardan biri o‘z javobgarlik zonasini tushunmagani sababli yuz beradi.

Shu sababli bulutli hisoblash xavfsizligi standartlari oddiy rasmiyatchilik emas, balki ishonch vositasiga aylanadi. Kompaniya Cloud-muhitini himoya qilish uchun tan olingan xalqaro yondashuvlardan foydalanayotganini ko‘rsatganda, unga hamkorlar tekshiruvlaridan o‘tish, tenderlarda qatnashish va mijozlarni ularning ma’lumotlari nazorat ostida ekaniga ishontirish osonroq bo‘ladi.

ISO 27017 standarti qanday vazifalarni hal qiladi

Standartning asosiy qadriyati shundaki, u mavhum “bulut xavfsizligi” tushunchasini aniq boshqaruv va texnik harakatlarga aylantiradi. U ham bulut provayderi, ham buyurtmachi tashkilot uchun tushunarli qoidalarni shakllantirishga yordam beradi.

Nazorat choralarini joriy etishdan oldin, asosiy xavflar odatda qayerda yashiringanini tushunish muhim:

  • provayder va mijoz o‘rtasida javobgarlikning noaniq taqsimlanishi;
  • xodimlar va pudratchilarga ortiqcha kirish huquqlarining berilishi;
  • bulut infratuzilmasidagi o‘zgarishlar ustidan sust nazorat;
  • virtual mashinalar va ma’muriy panellarning yetarli darajada himoyalanmagani;
  • zaxira nusxalash, ma’lumotlarni o‘chirish va qaytarish bo‘yicha shaffoflikning yo‘qligi;
  • umumiy bulut resurslaridan foydalanishda axborot sizib chiqishi xavflari;
  • hodisalarni sust jurnalga olish va shubhali faollikning yetarli darajada monitoring qilinmasligi.

Bu ro‘yxat bitta oddiy fikrni yaxshi ko‘rsatadi: bulut “sukut bo‘yicha” xavfsiz bo‘lib qolmaydi. U faqat jarayonlar, rollar va nazorat samolyotdagi yaxshi avtopilot kabi puxta sozlanganda xavfsiz bo‘ladi: tizim yordam beradi, ammo ekipaj intizomisiz uzoqqa uchib bo‘lmaydi.

Bulutli xizmatlar provayderlari uchun nazorat choralari

Provayderlar uchun ISO/IEC 27017 yanada yuqori darajadagi shaffoflik va boshqaruvchanlikni belgilaydi. Mijozlar o‘z ma’lumotlari qayerda joylashganini, ularning muhitlari boshqa ijarachilardan qanday ajratilganini va hodisa yuz berganda nima sodir bo‘lishini tushunishni xohlaydi.

Provayder uchun quyidagi yo‘nalishlar bo‘yicha aniq qoidalarni ta’minlash muhim:

Rollar va javobgarlikni ajratish

Mijoz provayder qaysi xavfsizlik choralarini ta’minlashini va qaysilari uning zimmasida qolishini aniq tushunishi kerak. Bu noto‘g‘ri kutishlar va himoyadagi bo‘shliqlar xavfini kamaytiradi.

Virtual muhitni himoya qilish

Virtual mashinalar, konteynerlar va bulut nusxalarini yaratish, o‘zgartirish va o‘chirishni nazorat qilish, shuningdek obrazlar va shablonlarni ruxsatsiz o‘zgartirishlardan himoya qilish zarur.

Imtiyozli foydalanuvchilar kirishini boshqarish

Bulut administratori deyarli binoning universal kalitiga ega odamga o‘xshaydi. Shu sababli bunday foydalanuvchilarning harakatlari qat’iy nazorat qilinishi, jurnalga yozilishi va muntazam qayta ko‘rib chiqilishi kerak.

Ma’lumotlarni xavfsiz o‘chirish va qaytarish

Shartnoma yakunlangandan so‘ng, mijoz uning ma’lumotlari aynan qanday qaytarilishini va qoldiq axborot provayder muhitidan qanday xavfsiz tarzda o‘chirib tashlanishini tushunishi kerak.

Monitoring va hodisalarga javob berish

Provayder uchun hodisalarni shunchaki qayd etish emas, balki xavfsizlik buzilishlari yuz berganda xabardor qilish, tekshirish va mijoz bilan o‘zaro ishlashning tushunarli tartibiga ega bo‘lish muhim.

Cloud foydalanuvchilari nimalarni nazorat qilishi kerak

Buyurtmachi tashkilotlar ham hamma narsani shunchaki “yetkazib beruvchiga yuklab qo‘ya” olmaydi. Hatto eng kuchli provayder ham biznesni zaif parollar, tartibsiz berilgan huquqlar va maxfiy hujjatlarni ochiq papkalarda saqlaydigan xodimlardan himoya qila olmaydi.

Bulut foydalanuvchilari quyidagi choralarga e’tibor qaratishlari kerak:

Kirish huquqlarini sozlash

Kirish huquqi minimal zarur imtiyozlar tamoyili asosida berilishi kerak. Ortiqcha huquqlar qancha kam bo‘lsa, xato yoki suiiste’mol ehtimoli shuncha past bo‘ladi.

Konfiguratsiyalarni nazorat qilish

Saqlash tizimlari, tarmoqlar, API va admin-panellarning noto‘g‘ri sozlanishi Cloud’dagi hodisalarning eng ko‘p uchraydigan sabablaridan biridir.

Ma’lumotlarni tasniflash

Oldindan qaysi ma’lumotlarni bulutda joylashtirish mumkinligini, qaysilari qo‘shimcha shifrlashni talab qilishini va qaysilarini alohida muhitlarda saqlash yaxshiroq ekanini belgilash kerak.

Shartnoma shartlarini tekshirish

SLA, zaxira nusxalash shartlari, ma’lumotlarni saqlash geografiyasi, hodisalar haqida xabardor qilish tartibi va tomonlarning javobgarligini tahlil qilish muhim.

Xodimlarni o‘qitish

Hatto eng yaxshi ISO 27017 standarti ham bulutli xizmatlardan kundalik ishda qanday xavfsiz foydalanishni tushunadigan insonlarsiz ishlamaydi.

Ushbu choralar joriy etilgandan so‘ng kompaniya shunchaki “xavfsizlik bo‘yicha belgi” emas, balki xavflarni boshqarishning aniq tizimiga ega bo‘ladi. Biznes uchun bu kamroq uzilishlar, jarayonlarning yuqori darajada bashorat qilinishi va mijozlar tomonidan ko‘proq ishonch deganidir.

ISO 27017 mijozlar ishonchini mustahkamlashga qanday yordam beradi

ISO 27017 mijozlar ishonchini mustahkamlashga qanday yordam beradiKompaniya bulut bilan ishlaganda, mijoz unga amalda nafaqat xizmatni, balki o‘z ma’lumotlarini, obro‘sini va ba’zan hatto biznesning uzluksizligini ham ishonib topshiradi. Shu sababli ishonch va’dalarga emas, balki tasdiqlangan amaliyotlarga asoslanadi.

Shu ma’noda, bulutli hisoblash xavfsizligi standartlari kompaniya, mijoz va hamkor o‘rtasida tushunarli xalqaro til vazifasini bajaradi. Agar tashkilot ISO/IEC 27017 bo‘yicha jarayonlarni joriy qilgan bo‘lsa, bu kirish, monitoring, javobgarlikni taqsimlash va bulut muhitini himoya qilish masalalari “vaziyatga qarab” emas, balki tizimli ravishda ko‘rib chiqilishini anglatadi.

Markaziy Osiyo va Kavkaz bozorlarida faoliyat yuritayotgan kompaniyalar uchun bu yana bir raqobat ustunligidir. Xalqaro buyurtmachilar yetkazib beruvchilarni tobora ko‘proq nafaqat narx, balki xavflarni boshqarish yetukligi bo‘yicha ham baholamoqda. Shu sababli Qozog‘iston va qo‘shni mamlakatlarda ISO 27017 sertifikatsiyasi IT-kompaniyalar, SaaS-provayderlar, data-markazlar, fintech-loyihalar va servis tashkilotlari uchun tobora dolzarb bo‘lib bormoqda.

ISO 27017 standarti ayniqsa kimlarga kerak

Standart eng katta foydani quyidagilarga beradi:

  • bulutli xizmatlarni taqdim etuvchilarga;
  • bulutda shaxsiy, moliyaviy yoki tijorat jihatidan sezgir ma’lumotlarni saqlovchilarga;
  • mijozlar yoki investorlar tomonidan auditdan o‘tuvchilarga;
  • tenderlar va xalqaro loyihalarda ishtirok etuvchilarga;
  • ma’lumotlar sizib chiqishi, uzilishlar va buyurtmachilar tomonidan e’tirozlar xavfini kamaytirishni istovchilarga.

Agar kompaniyangiz axborot xavfsizligi tizimini allaqachon shakllantirayotgan bo‘lsa, bulutli nazorat choralarini umumiy himoya arxitekturasi bilan bog‘lash foydali bo‘ladi. Shu nuqtai nazardan, ISO/IEC 27017 bo‘yicha xizmatni ko‘rib chiqish va standartni joriy etishni biznesingizga qanday moslashtirish mumkinligini baholash kerak.

O‘sishni, yirik buyurtmachilar bilan ishlashni va obro‘sini mustahkamlashni istagan kompaniyalar uchun ISO/IEC 27017 xavfsizlikka yetuk yondashuv foydasiga kuchli dalil bo‘lib xizmat qiladi. MDHdagi System Management jamoasi esa bu yo‘lni tezroq bosib o‘tishga yordam berishi mumkin: talablarni tushunishdan tortib sertifikatsiyaga tayyorgarlik va biznesingizga bo‘lgan ishonchni mustahkamlashgacha.

Fikr bildirish

Email manzilingiz chop etilmaydi. Majburiy bandlar * bilan belgilangan

«Sistem Menedjment» MChJ xalqaro ISO standartlariga muvofiq boshqaruv tizimlari bo‘yicha konsalting xizmatlari ko‘rsatish, o‘qitish va sertifikatlashga ixtisoslashgan. Bunga ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 27701, ISO 50001, ISO 13485 va boshqa standartlar kiradi.

Bizning missiyamiz boshqaruv tizimlarini ishlab chiqish va sertifikatlash sohasida yuqori sifatli xizmatlarni ta’minlashdan iborat bo‘lib, ular samarali va moslashuvchan yechimlardan foydalanish orqali har bir mijozning o‘ziga xos talablari va bilimlariga yo‘naltirilgan holda ularga haqiqiy foyda keltiradi

E-mail:
info@bcert.org

Telefon:

+37253686541

WhatsApp:

+37253686541

Ticket to Online kompaniyasi tomonidan ishlab chiqilgan

UZ
RU EN RO KK TR KY FA HY AZ KA UZ