• etilgan
  • Maqsadli auditoriya
  • Qollash usuli
  • BSI xavfsizlik boyicha tavsiyalar doirasini aniqlash
  • Security Recommendations for Cloud Computing Providers




    Download 0,66 Mb.
    bet1/24
    Sana13.09.2024
    Hajmi0,66 Mb.
    #271001
      1   2   3   4   5   6   7   8   9   ...   24
    Bog'liq
    Tar SecurityRecommendationsCloudComputingProviders


    Federal idora
    Axborot xavfsizligi uchun
    Oq qog'oz
    Bulutli hisoblash provayderlari uchun xavfsizlik bo'yicha tavsiyalar

    www.bsi.bund.de


    Tarkib




    Preambula
    Bulutli hisoblashda minimal xavf
    etish va ulardan foydalanish usullarini o'zgartirish uchun uzoq muddatli salohiyatga ega . ­Ammo bulutdagi IT xizmatlaridan ishonchli foydalanish uchun axborot xavfsizligi asosiy omil hisoblanadi. Bulutli hisoblashda xavfsizlik nuqtai nazaridan barqaror asos yaratish uchun 2010 yil sentyabr oyida Germaniyaning Axborot xavfsizligi bo'yicha Federal idorasi ­( nemischa BSI qisqartmasi ) amaliy tajribani almashtirishni ilgari surdi. ­Tegishli echimlar provayderlari, ularning foydalanuvchilari va xavfsizlik bo'yicha mutaxassislar BSI tomonidan chop etilgan "Cloud Computing"da axborot xavfsizligiga qo'yiladigan minimal talablarni belgilab beruvchi oq hujjatni muhokama qilish uchun taklif qilindi.
    Bulutli tizimlar uchun nafaqat an'anaviy hujum stsenariylari tegishli ­. Bundan tashqari, bir nechta foydalanuvchilarning umumiy IT infratuzilmasini baham ko'rishi kabi o'ziga xos xususiyatlar mavjud. IT xizmatini bir nechta joylarda dinamik almashish ham alohida muammo hisoblanadi.
    Ushbu BSI tashabbusiga sektorning ko'plab javoblari provayderlar va foydalanuvchilar o'rtasida qo'shma, amaliy muhokama o'tkazish strategiyasi to'g'ri ekanligini ko'rsatdi - oq qog'oz, odatda, bozor bilan shug'ullanuvchilar tomonidan yaxshi qabul qilindi ­. Buni ko'plab so'rovlar va ko'plab konstruktiv sharhlar tasdiqlaydi ­. Ushbu munozara natijalari endi ushbu maqolada hujjatlashtirilgan.
    BSI, jalb qilinganlar bilan hamkorlik qilib, axborot, ilovalar ­va tizimlarning himoyalanishini ta'minlash uchun bulutli hisoblash uchun oqilona, adekvat xavfsizlik talablarini ishlab chiqishni maqsad qilgan. Biz buni amalga oshirishga ancha yaqinlashdik


    maqsad. Quyida tavsiflangan minimal talablar mavjudlik va maxfiylik nuqtai nazaridan kengaytirilishi mumkin. Ular metodologik boshlang'ich nuqtani ta'minlaydi, undan boshqa masalalarni birlashtirish va keyinchalik ­doimiy ravishda o'zgaruvchan sharoitlarga moslashtirish mumkin. Bundan tashqari, ular xalqaro miqyosdagi munozaralar uchun yaxshi asosdir . ­Xalqaro standartlar o'zaro muvofiqlik va axborot xavfsizligini sertifikatlash asosidir. Aynan shu asos ­foydalanuvchilarga mavjud bo'lgan turli xil bulutli takliflarning to'liq, ishonchli rasmini olish imkonini beradi. Keyingi qadam sifatida biz bulutli hisoblashni BSIning IT-Grundschutz ( asosiy himoya ) yondashuviga kiritishni rejalashtirmoqdamiz.
    Tegishli xizmatlar yuqori darajadagi xavfsizlik bilan ta'minlangandagina, ­bulutli yechimlardagi potentsial - moslashuvchanlik, samaradorlik, ­xarajatlarni kamaytirish va axborot texnologiyalarini taqdim etish va ulardan foydalanish kabi imkoniyatlardan foydalanish mumkin bo'ladi.
    Umid qilamanki, siz o'qishni juda foydali deb topasiz.

    Maykl Xanj
    BSI jamoatchilikka xizmat qiladi
    BSI
    Xalqqa xizmat qilish
    Bonnda joylashgan Axborot xavfsizligi federal idorasi (BSI) 1 yanvarda tashkil etilgan 1991 va Federal Ichki ishlar vazirligining bir qismini tashkil qiladi.


    Hozirda 500 ga yaqin xodim va 62 million evro byudjeti bilan BSI axborot jamiyatida IT xavfsizligi bilan bog'liq barcha masalalar bilan shug'ullanadigan mustaqil, neytral organdir.
    Federal hukumat uchun markaziy AT xavfsizligi provayderi sifatida BSI hukumat nomidan ishlaydi, tijorat ­sektori bilan hamkorlikda ishlaydi va jamoatchilikni axborot bilan ta'minlaydi.
    BSI asosiy AT xavfsizligi bo'yicha o'zining milliy IT xavfsizligi organi sifatida ­jamiyatimiz uchun mas'uldir va shuning uchun Germaniyada ichki xavfsizlikning asosiy ustuni hisoblanadi.





    The BSI Serving the Public


    BSIning maqsadi jamiyatimizda axborot va kommunikatsiya texnologiyalaridan xavfsiz foydalanishdir. AT xavfsizligiga jiddiy qarash va mas'uliyat bilan amalga oshirilishi kerak ­. AT tizimlari va ilovalari bilan bog'liq xavfsizlik masalalari ­ishlab chiqish bosqichida oldindan ko'rib chiqilishi kerak.
    BSI o'z xizmatlarini axborot texnologiyalari foydalanuvchilari va ishlab chiqaruvchilariga qaratilgan ­. Maqsadli guruhga milliy, shtat va tuman ­darajasidagi davlat organlari, xususiy foydalanuvchilar va kompaniyalar kiradi.
    bulutli hisoblash provayderlari uchun asosiy tashkiliy, kadrlar, infratuzilmaviy va texnik ma'lumotlar xavfsizligi chora-tadbirlari haqida qisqacha ma'lumot beradi .­



    1. Kirish

      1. Motivatsiya

    texnologiyalari (IT) dagi eng dolzarb mavzulardan biri hisoblanadi . ­Biroq, "Bulutli hisoblash" atamasi ko'plab ­yangi texnologiyalarni anglatmaydi, balki bu texnologiyalar ­yangi IT xizmatlari va yangi biznes modellarini yaratish uchun birlashtirilgan va samarali tarzda yangilangan.
    Bulutli hisoblash bilan, ko'plab yangi texnologiyalar va xizmatlarda bo'lgani kabi, axborot ­xavfsizligi va ma'lumotlarni himoya qilish masalalari qizg'in muhokama qilinmoqda va ­bir muncha vaqt davomida mavjud bo'lgan takliflarga qaraganda ancha tanqidiyroq ko'rib chiqilmoqda. Ko'pgina so'rovlar va tadqiqotlar shuni ko'rsatadiki, potentsial mijozlar ­axborot xavfsizligi va ma'lumotlarni himoya qilish bilan bog'liq muammolar kengroq foydalanishga to'sqinlik qiladi. Agar ferings bulutidan foydalanish kerak bo'lsa, kerakli ishonch hali ham ishlab chiqilishi kerak .­
    Shu sababli, BSI birinchi navbatda bulutli xizmat ko'rsatuvchi provayderlarga (CSP) qaratilgan xavfsiz bulutli hisoblash bo'yicha tavsiyalar ishlab chiqdi. Ushbu CSPlar axborot xavfsizligini tegishli tarzda amalga oshirish uchun vositalar va majburiyatlarga ega. Ular ushbu oq qog'ozdan xavfsizlik choralarini amalga oshirish uchun qo'llanma sifatida foydalanishlari mumkin . ­O'z navbatida, ushbu tavsiyalardan ta'sirlangan bulut foydalanuvchilari ­CSPlardan ular amalga oshirilganligini so'rashlari mumkin. Biroq, har qanday bulutli mijoz uchun dastlabki qadam o'z ma'lumotlari va ilovalari qanday himoya qilishni talab qilishini aniqlash bo'lishi kerak. Bu asosan bulutda biznes bilan bog'liq ma'lumotlar va ilovalar saqlanishi mumkinmi yoki yo'qmi va qaysi shartlar asosida aniqlanishi mumkin.
    Oq qog'oz xavfsizlikni ta'minlash kerak bo'lgan asosiy bulutli hisoblash sohalari haqida umumiy ma'lumot beradi. Ro'yxatdagi barcha fikrlar barcha bulut xizmatlariga bir xil darajada tegishli emas. Masalan, tahdid profili turlicha bo'lgani uchun


    shaxsiy va ommaviy bulutlar uchun ba'zi hududlar, ba'zan turli xil xavfsizlik choralarini ko'rish kerak.
    Ushbu hujjat nafaqat bulutga xos muammolarni, balki ­axborot xavfsizligining asosiy talablarini ham tekshiradi, chunki ular barcha bulut xizmatlari tayanishi uchun asos bo'ladi. Tavsiyalar asosan mavhum bo'lib, ularni amalga oshirish bo'yicha batafsil ko'rsatmalar berilmagan. Bu hujjatning vakolatidan tashqarida bo'ladi va bulutli takliflarning xilma-xilligiga yo'l qo'ymaydi. Shuning uchun har qanday alohida taklifning xavfsizligini baholash ­har bir holatda ham amalga oshirilishi kerak.

      1. Maqsadlar

    Bulutli IT xizmatlari butun dunyo bo'ylab talab ortib borayotgan bo'lsa-da, deyarli har bir so'rov va tadqiqot shuni ko'rsatadiki, foydalanuvchilarni Cloud Computing xizmatlaridan foydalanishdan qaytaradigan ko'plab xavotirlar ham mavjud. Taqdim etilayotgan xizmatlar xavfsizligiga ishonch yo'qligi ko'pincha ­asosiy to'siqlardan biri sifatida tilga olinadi. Germaniyada federal hukumat uchun markaziy axborot xavfsizligi xizmati provayderi sifatida BSI bulut xizmatlarini ishlab chiqish bosqichini shakllantirishda faol ishtirok etishini muhim deb biladi.
    Ushbu oq qog'ozning asosiy maqsadi CSP va bulutli mijozlar o'rtasidagi munozara uchun asos yaratishdir. Qo'shimcha maqsad sifatida, maqola ­ushbu munozaraga asoslanib, ­kompaniyalar va davlat organlari bulut xizmatlarini qanday qilib xavfsiz qilishlari mumkinligi bo'yicha aniq tavsiyalarni ishlab chiqish uchun asos bo'lishini ko'zda tutadi. Oq qog'oz Cloud Computing platformalarining xavfsizligini tekshirish mumkin bo'lgan standartlarni yaratish yo'lidagi birinchi qadamdir. Ushbu maqolada keltirilgan talablar ­muhokamada davom etadi va kerak bo'lganda qayta ko'rib ­chiqiladi va qo'shimcha tafsilotlar ishlab chiqiladi. Biroq, maqsad ko'rsatmalarni aniqroq qilish emas. Ular o'zlarining hozirgi chuqurligini saqlab qolishlari kerak va "Cloud Computing" mavzusiga oid qo'shimcha qo'shimchalar va tafsilotlar IT-Grundschutz-ga yuboriladi, masalan, IT-Grundschutz modullari yoki "qisqa ma'lumotlar" ko'rinishida. Ikkalamiz uchun ham IT-Grundschutz modullarini ishlab chiqish rejalashtirilmoqda.


    bulut xizmatlarini taqdim etish va taqdim etish. Bulutli muammolarni IT-Grundschutz metodologiyasiga integratsiyalash uchun BSI 100-2 standarti, xususan, murakkab, virtuallashtirilgan axborot tarmoqlarini modellashtirish sohasida sozlanishi kerak.

      1. Maqsadli auditoriya

    Oq qog'oz bulutli xizmatlarni taqdim etish yoki undan foydalanish bilan shug'ullanadigan IT mutaxassislariga mo'ljallangan. Axborot xavfsizligi masalalari o'tishda eslatib o'tiladi va biz texnik, tarkibiy ­, kadrlar va tashkilot darajasida axborot xavfsizligi haqida asosiy tushunchaga ega bo'lamiz.
    Tavsiyalar, birinchi navbatda, ushbu xizmatlarni kompaniyalar va davlat organlariga va professional foydalanuvchilarga taqdim etuvchi CSPlarga qaratilgan. Ular to'g'ridan-to'g'ri maxsus bulut xizmatlaridan foydalanadigan shaxsiy foydalanuvchilarga mo'ljallangan emas, lekin ular bunday foydalanuvchilarga xavfsizlik masalalari bo'yicha yo'l-yo'riq ko'rsatishi mumkin.

      1. Qo'llash usuli

    Quyida sanab o'tilgan fikrlar mavhum darajada, ­CSP qanday xavfsizlik choralarini qo'llashi kerakligini ko'rsatadi. Axborot xavfsizligini boshqarishning tizimli jarayoni ham, samarali tizimi ham ­kompaniya yoki davlat organida xavfsizlikning tegishli darajasiga erishish va uni ta'minlash uchun zarur shartdir. ISO 27001 va IT-Grundschutz metodologiyasi bo'yicha ­BSI 100-2 standarti kabi tegishli me'yorlar axborot ­xavfsizligini boshqarishning ishlaydigan tizimini qanday qurish mumkinligini va u nimani o'z ichiga olishi kerakligini tasvirlaydi. Bulutli hisoblash xizmatlarini himoya qilish uchun bulutli hisoblash uchun xos bo'lgan tahdidlarni ham tahlil qilish va tegishli xavfsizlik choralarini aniqlash va amalga oshirish kerak.
    Shunday qilib, har bir CSP o'zlari ishlayotgan xizmatlarga joriy va tegishli tahdidlarni, ular qanday ta'sir ko'rsatishi mumkinligini va aniqlangan xavflarni, masalan, maxsus ­xavfsizlik choralari orqali qanday hal qilish kerakligini aniqlaydigan xavf tahlilini ishlab chiqishi kerak. Kamroq darajada, bulut foydalanuvchilari ma'lumotlarni saqlash yoki ilovalarni ishga tushirish orqali ular uchun yuzaga kelishi mumkin bo'lgan xavflarni baholashlari kerak.


    bulut. Ushbu oq qog'ozda taqdim etilgan xavfsizlik bo'yicha tavsiyalar BSI muhim deb hisoblagan bulutli hisoblash sohalariga murojaat qilish uchun asos bo'lib xizmat qiladi.
    CSP xavf omillarini ko'rib chiqayotganda, odatda mijoz ma'lumotlarining qiymatini yoki himoya talabini oldindan bilmaslik muammosiga duch keladi ­. Bitta yechim barcha mijozlar va ularning ma'lumotlari uchun yuqori yoki juda yuqori himoya darajasini taklif qilish bo'ladi. Tajriba shuni ko'rsatadiki, bu ­oddiy himoya talabi bo'lgan ma'lumotlar uchun juda qimmat. CSPlar ­o'z mijozlari bilan dastlabki bosqichda axborot xavfsizligi bo'yicha sudga murojaat qilishlari kerak. Axborot xavfsizligi - mijozlar bulutli xizmat ko'rsatuvchi provayderlar va muayyan bulut xizmatlarini tanlashda qaror qabul qilishning asosiy mezonlaridan biridir. Shunday qilib, CSPlar o'z mijozlariga axborot xavfsizligi nuqtai nazaridan qanchalik yaxshi sozlanganligini ko'rsatishlari kerak . ­Bu o'z mijozlariga qaysi xavfsizlik choralari takliflarining standart qismi ekanligini va opsiya sifatida foydalanish mumkinligini ko'rsatishni o'z ichiga oladi, lekin ular mijozlarga o'zlari qanday xavfsizlik choralarini ko'rishlari kerakligini ham ko'rsatishlari kerak.

      1. BSI xavfsizlik bo'yicha tavsiyalar doirasini aniqlash

    Ushbu hujjatning asosiy e'tibori ­oddiy va yuqori himoya talablari, masalan, maxfiy ­kompaniya va himoyaga loyiq shaxsiy ma'lumotlarga ega bo'lgan ma'lumotlarni bulutga asoslangan qayta ishlashda xavfsizlik masalalariga qaratilgan. Himoya talabini belgilash IT-Grundschutzda belgilangan himoya talablari toifalariga asoslanadi (qarang: BSI standarti 100-2 [1]). Ushbu hujjat milliy maxfiy ma'lumotlar sifatida baholangan ma'lumotlarning himoyalanishini aniq tekshirmaydi ­.
    Himoya qilinishi kerak bo'lgan asosiy qadriyatlar bo'lib, konfidensiallik va mavjudlik ­ushbu yo'riqnomalarni ishlab chiqishda ustuvor ahamiyatga ega. Shuning uchun xavfsizlik ­bo'yicha tavsiyalar mavjudlik va maxfiylikka bo'linadi, asosiy qiymat sifatida yaxlitlikka alohida e'tibor berilmaydi.
    Taqdim etilgan xavfsizlik bo'yicha tavsiyalar uchta toifaga ajratilgan:


      1   2   3   4   5   6   7   8   9   ...   24




    Download 0,66 Mb.

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    Security Recommendations for Cloud Computing Providers

    Download 0,66 Mb.