Business Continuity Management




Download 0,66 Mb.
bet16/24
Sana13.09.2024
Hajmi0,66 Mb.
#271001
1   ...   12   13   14   15   16   17   18   19   ...   24
Bog'liq
Tar SecurityRecommendationsCloudComputingProviders

Business Continuity Management


Shaxsiy ommaviy >>B C+ A+ IB C+ A+


z '
z z


uzluksizligini boshqarish tizimini o'rnatishi va boshqarishi kerak­CSP o'z mijozlariga taqdim etiladigan bulut xizmatlari uchun qayta ishga tushirish ustuvorligini ta'minlashi kerak
Doimiy biznes uzluksizligini boshqarish mashqlari (masalan, Cloud Computing manzilini yopishda)
CSP ularning biznesning uzluksizligini boshqarish tizimi ­BS 25999 yoki BSI 100-4 standarti kabi xalqaro tan olingan standartga asoslanganligini tasdiqlovchi dalillarni taqdim etishi kerak (masalan, favqulodda vaziyatlarni rejalashtirish kontseptsiyasi va biznesning uzluksizligi bo'yicha qo'llanmadan foydalanish)





Portability and interoperability



  1. Portativlik va birgalikda ishlash

platformalar oʻrtasida maxsus kelishuvlarga ehtiyoj sezmasdan, ikki yoki undan ortiq mustaqil bulutli hisoblash platformalarining birgalikda ishlash qobiliyati tushuniladi . ­Buning uchun umumiy standartlardan foydalanish asos bo'ladi.
Boshqa tomondan, portativlik va platformaning mustaqilligi bulut xizmatining turli xil bulutli hisoblash platformalarida ishlay olish xususiyatiga ishora qiladi ­.
Ma'lumotlarga kelsak, portativlik uni bitta bulut xizmatidan eksport qilish va boshqa xizmatga import qilish mumkinligini anglatadi. SaaS takliflari bo'lsa, mijoz dasturiy ta'minot xizmatidan foydalanish huquqiga ega bo'ladi. Mijoz odatda ushbu xizmat imzolangan kelishuv asosida yetkazib berilishiga tayanganligi sababli ­, bu bulutli xizmat ko'rsatuvchi provayder bilan aloqani yaratadi. Sotuvchining bloklanishi, ya'ni sindirish qiyin bo'lgan provayderga bog'liqlikning oldini olish uchun mijozning ma'lumotlari va ilovalari ­asosiy portativ bo'lishi muhim . ­Shu sababli, ma'lumotlarning ko'chirilishi ­kafolatlangan formatlar va barcha mantiqiy munosabatlarning saqlanishi bilan chiqish kelishuvining bir qismi sifatida kafolatlanishi kerak. Agar, masalan, ma'lumotlar boshqa CSPga ko'chirilsa, bulutli xizmat ko'rsatuvchi provayder o'z mijozlariga tushuntirishi kerak bo'lgan xarajatlar kelib chiqishi mumkin.
Hozirgi vaqtda turli CSPlar o'rtasida platforma mustaqilligi kafolatlanmaydi. Salesforce kompaniyasining Force.com (APEX dasturlash tilidan foydalanadi, Java-ning quyi to'plami), SAP Business byDesign, Microsoft Az ­ure (.NET, PHP; Ruby, Python yoki Java) va Google App Engine (Python, Java) kabi platformalar SaaS ilovalarini ishlab chiqish uchun bir qator funksiyalarga ega mijozlar ­. Agar xizmat iste'molchisi PaaS xizmati asosida o'z xizmatlarini yaratsa, ular mavjud platformalardan birini tanlashi kerak. Masalan, hozirda Microsoft Azure ma'lumotlar bazasi xizmatidan bulutli xizmat orqali foydalanish mumkin emas.





Portability and interoperability


muz Google App Engine-da ishlab chiqilgan. Bitta platformada ishlab chiqilgan xizmatni hozirda katta ishlamasdan ko'chirish mumkin emas. Bunday hollarda ko'pincha yangi bulut xizmati ishlab chiqilishi kerak.
IaaS Compute shaklida taklif qilingan taqdirda, VMlarni ­OVF (Ochiq Virtualizatsiya Formati) yordamida portativ qilish mumkin. OVF virtual jihozlarni qadoqlash va tarqatish uchun platformadan mustaqil standartdir [12]. Biroq, hozirda deyarli barcha virtual mashina provayderlari o'z formatlaridan foydalanadilar, bu esa xizmat iste'molchilariga provayderni almashtirishni qiyinlashtiradi. Masalan , Ama ­zonasida bulut xizmatlarini boshqarish uchun API ham, virtual tasvirlar formati ham xususiydir. Umuman olganda, agar xizmat ko'rsatuvchi provayderlar OVFni qo'llab-quvvatlasa, ma'qul bo'lardi.
Hozirgi vaqtda bulutli hisoblash sohasida qo'llanilishi mumkin bo'lgan birgalikda ishlash va ko'chirish muammolarini kamaytirish uchun bir qator sanoat standartlari mavjud, ulardan ba'zilari allaqachon qo'llanilmoqda. Bularga Open Grid Forum [13] ning Open Cloud Computing In ­interfeysi (OCCI), VMware dan vCloud API [14] va yuqorida keltirilgan OVF formati kiradi. Xizmat ko'rsatuvchi provayderlar uchun o'zaro muvofiqlik va portativlikni isbotlashning yana bir yo'li, ­masalan, ­Evkalipt ochiq kodli dasturiy ta'minoti uchun Amazon veb-xizmatlari bilan qilinganidek, mavjud, ishlab chiqaruvchiga xos interfeyslarni qayta ishlab chiqarishdir . ­O'zaro hamkorlikni ta'minlash uchun Cloud Computing provayderlari standartlashtirilgan yoki ochiq interfeyslardan (API va pro ­protokollari) foydalanishlari kerak.




Xavfsizlik sinovi va audit


  1. Xavfsizlik sinovi va audit

Har qanday muvaffaqiyatli axborot xavfsizligini boshqarish tizimining muhim qismi belgilangan xavfsizlik choralari va ma'lumotlar xavfsizligi jarayonlarini muntazam ravishda ko'rib chiqishdir ­. Bulutli xizmat ko'rsatuvchi provayderlar o'zlarining biznes jarayonlari, xizmatlari va platformalarining AT xavfsizligi holatini muntazam ravishda ko'rib chiqishlari, shuningdek ­ularni doimiy ravishda takomillashtirish va baholashlari kerak. O'z kasbiy kamchiliklariga ko'r bo'lmaslik va bulut foydalanuvchilariga ­bunday sinovlarning dalillarini taqdim etish uchun mustaqil ­uchinchi tomon muntazam tekshiruvlar va testlarni o'tkazish imkoniyati mavjud .
Axborot xavfsizligini ko'rib chiqish (IS tekshiruvi) asosida xavfsizlik choralarini samarali amalga oshirish va ularning valyutasi ­, to'liqligi va adekvatligi, shuning uchun axborot xavfsizligining joriy holati haqida bayonotlar berilishi mumkin. Shunday qilib, AT tekshiruvi muassasa ichidagi xavfsizlikning tegishli darajasini aniqlash, erishish va saqlash uchun vositadir.
Xavfsizlikni sinovdan o'tkazish va sertifikatlash nuqtai nazaridan CSP uchun asosiy talab turli jihatlarga ega:

  • CSPlar o'zlari bajaradigan testlar natijalari tegishli shaklda nashr etilishi kerak.

  • Mijozlar o'zlarining xavfsizlik sinovlarini o'tkazishdan yoki ularning nomidan uchinchi tomon tomonidan o'tkazilishidan haqli manfaatdordirlar.

Agar CSP o'z xizmatlarini etkazib berish uchun subpudratchidan foydalansa, bu ularni bunday xizmatlarning xavfsizligini tekshirish majburiyatidan ozod qilmaydi, chunki CSP o'z mijozlari oldida ularning takliflarining umumiy xavfsizligi uchun javobgardir ­va buni subpudratchilarga topshira olmaydi. Bunday hollarda CSP o'zining subpudratchisidan barcha zarur xavfsizlik sinovlari natijasida kerakli dalillarni so'rashi kerak. Umuman olganda, o'tkazilgan xavfsizlik sinovlari ularga o'tkazilishi mumkin bo'lgan tarzda hujjatlashtirilishi kerak

Security testing and Audit


kerak bo'lganda mijozlar, ham CSP o'zlari, ham ularning subpudratchilari tomonidan ­.
Ham davlat, ham xususiy bulut xizmatlarida xavfsizlikni muntazam tekshirib turish kerak. Biroq, odatda, operatorlar uchun xavfsizlikni tekshirish natijalarini, masalan, penetratsion testlarni, shaxsiy bulutlar holatida foydalanuvchilarga topshirish osonroq bo'ladi ­, chunki foydalanuvchilar hammasi bitta umumiy muassasada.
Mavjud texnik chora-tadbirlarning samaradorligini tekshirish uchun penetratsion testlar sinovdan o'tgan mos usul hisoblanadi. Ular axborot sohasiga yoki alohida AT tizimiga qasddan qilingan hujumning muvaffaqiyati ehtimolini oldindan baholash, ­bundan zarur qo'shimcha xavfsizlik choralarini olish va qabul qilingan xavfsizlik choralarining samaradorligini tekshirish uchun ishlatiladi. CSPlar o'zlari ishlaydigan tarmoqlar, tizimlar va ilovalarda muntazam ravishda kirish testlarini o'tkazishlari kerak.

J

V

V

J

J


Download 0,66 Mb.
1   ...   12   13   14   15   16   17   18   19   ...   24




Download 0,66 Mb.