2023-жылы булуттагы коопсуздук коркунучтары
2023-жылга чейин бара жатканыбызда, уюмуңузга таасир эте турган булуттагы коопсуздуктун башкы коркунучтарынан кабардар болуу маанилүү. 2023-жылы булуттагы коопсуздук коркунучтары өнүгө берет жана татаалдашат.
Бул жерде 2023-жылы карала турган нерселердин тизмеси:
1. Инфраструктураңызды бекемдөө
Булут инфраструктураңызды коргоонун эң жакшы жолдорунун бири - аны чабуулдардан катуулатуу. Бул сиздин серверлериңиздин жана башка маанилүү компоненттериңиздин туура конфигурацияланганын жана жаңыртылганын текшерүүнү камтыйт.
Операциялык системаңызды катаалдаштыруу маанилүү, анткени бүгүнкү күндө булуттун коопсуздугуна коркунуч туудурган көптөгөн коркунучтар эскирген программалык камсыздоонун алсыз жактарын пайдаланышат. Мисалы, 2017-жылы WannaCry ransomware чабуулу Windows операциялык тутумунун жаңыртыла элек кемчилигин пайдаланган.
2021-жылы ransomware чабуулдары 20% га өскөн. Көбүрөөк компаниялар булутка өткөн сайын, мындай чабуулдардан коргоо үчүн инфраструктураңызды күчөтүү маанилүү.
Инфраструктураңызды бекемдөө көптөгөн кеңири таралган чабуулдарды азайтууга жардам берет, анын ичинде:
- DDoS чабуулдары
– SQL инъекциялык чабуулдар
– Сайт аралык скрипт (XSS) чабуулдары
DDoS чабуулу деген эмне?
DDoS чабуулу – бул серверге же тармакка трафиктин же ашыкча жүктөө үчүн суроо-талаптардын агымына багытталган киберчабуулдун бир түрү. DDoS чабуулдары өтө үзгүлтүккө учурашы мүмкүн жана веб-сайттын же кызматтын колдонуучулар үчүн жеткиликсиз болуп калышына алып келиши мүмкүн.
DDos чабуулунун статистикасы:
– 2018-жылы DDoS чабуулдары 300-жылга салыштырмалуу 2017% өскөн.
– DDoS чабуулунун орточо баасы 2.5 миллион долларды түзөт.
SQL Injection Attack деген эмне?
SQL инъекциялык чабуулдар – бул маалымат базасына зыяндуу SQL кодун киргизүү үчүн колдонмонун кодунун алсыз жактарынан пайдаланган киберчабуулдардын бир түрү. Бул кодду андан кийин купуя маалыматтарга жетүү үчүн колдонсо болот, ал тургай, маалымат базасын көзөмөлдөөгө болот.
SQL инъекциялык чабуулдар желеде кеңири таралган чабуулдардын бири болуп саналат. Чынында, алар ушунчалык кеңири таралгандыктан, Open Web Application Security Project (OWASP) аларды эң мыкты 10 веб-тиркеме коопсуздук тобокелдиктеринин бири катары санайт.
SQL Injection Attack Статистикасы:
– 2017-жылы SQL инъекциялык чабуулдар 4,000ге жакын маалыматтын бузулушуна себепкер болгон.
– SQL инъекциялык чабуулдун орточо баасы 1.6 миллион долларды түзөт.
Cross-Site Scripting (XSS) деген эмне?
Cross-site scripting (XSS) – веб-баракчага зыяндуу кодду киргизүүнү камтыган кибер чабуулдун бир түрү. Бул код андан кийин баракка кирген бейкапар колдонуучулар тарабынан аткарылат, натыйжада алардын компьютерлери бузулат.
XSS чабуулдары абдан кеңири таралган жана көбүнчө сырсөздөр жана кредиттик карта номерлери сыяктуу купуя маалыматты уурдоо үчүн колдонулат. Алар ошондой эле жабырлануучунун компьютерине зыяндуу программаларды орнотуу же аларды зыяндуу веб-сайтка багыттоо үчүн колдонулушу мүмкүн.
Сайттар аралык скрипт (XSS) статистикасы:
- 2017-жылы XSS чабуулдары 3,000ге жакын маалыматтарды бузуу үчүн жооптуу болгон.
– XSS чабуулунун орточо баасы 1.8 миллион долларды түзөт.
2. Булуттагы коопсуздук коркунучтары
Сиз билишиңиз керек болгон бир катар булуттагы коопсуздук коркунучтары бар. Аларга Тейлөөдөн баш тартуу (DoS) чабуулдары, маалыматтарды бузуулар жана ал тургай зыяндуу инсайдерлер кирет.
Кызматтан баш тартуу (DoS) чабуулдары кантип иштейт?
DoS чабуулдары – бул кибер чабуулдун бир түрү, анда чабуулчу системаны же тармакты трафик менен каптап, аны жеткиликсиз кылууну көздөйт. Бул кол салуулар абдан бузулушу мүмкүн, жана олуттуу каржылык зыян алып келиши мүмкүн.
Кызматтан баш тартуунун статистикасы
– 2019-жылы жалпысынан 34,000 XNUMX DoS чабуулу болгон.
– DoS чабуулунун орточо баасы 2.5 миллион долларды түзөт.
– DoS чабуулдары бир нече күнгө же жумага созулушу мүмкүн.
Маалыматтарды бузуулар кантип болот?
Маалыматтын бузулушу купуя же купуя маалыматтарга уруксатсыз киргенде пайда болот. Бул хакерлик, социалдык инженерия, ал тургай физикалык уурулук сыяктуу бир катар ар кандай ыкмалар аркылуу болушу мүмкүн.
Маалыматтарды бузуу статистикасы
– 2019-жылы жалпысынан 3,813 маалымат бузулган.
– Маалыматтарды бузуунун орточо баасы 3.92 миллион долларды түзөт.
– Маалыматтардын бузулушун аныктоонун орточо убактысы 201 күн.
Зыяндуу инсайдерлер кантип кол салышат?
Зыяндуу инсайдерлер - бул компаниянын маалыматтарына кирүү мүмкүнчүлүгүн атайылап кыянаттык менен пайдаланган кызматкерлер же подрядчылар. Бул бир катар себептерден улам болушу мүмкүн, анын ичинде каржылык пайда, өч алуу, же жөн эле зыян келтиргиси келгендиктен.
Ички коркунуч статистикасы
– 2019-жылы маалыматтын бузулушунун 43% зыяндуу инсайдерлер болгон.
– Инсайдердик чабуулдун орточо баасы 8.76 миллион долларды түзөт.
– Инсайдердик чабуулду аныктоонун орточо убактысы 190 күн.
3. Инфраструктураңызды кантип бекемдейсиз?
Коопсуздукту күчөтүү – бул сиздин инфраструктураңызды чабуулга туруктуураак кылуу процесси. Бул коопсуздукту башкарууну ишке ашыруу, брандмауэрлерди орнотуу жана шифрлөө сыяктуу нерселерди камтышы мүмкүн.
Коопсуздук көзөмөлүн кантип ишке ашырасыз?
Инфраструктураңызды бекемдөө үчүн ишке ашыра турган бир нече түрдүү коопсуздукту көзөмөлдөө каражаттары бар. Аларга брандмауэрлер, кирүүнү көзөмөлдөө тизмелери (ACL), интрузияны аныктоо системалары (IDS) жана шифрлөө сыяктуу нерселер кирет.
Кирүүнү көзөмөлдөө тизмесин кантип түзүү керек:
- Коргоо керек болгон ресурстарды аныктаңыз.
- Ошол ресурстарга кирүү мүмкүнчүлүгүнө ээ болгон колдонуучуларды жана топторду аныктаңыз.
- Ар бир колдонуучу жана топ үчүн уруксаттардын тизмесин түзүңүз.
- Тармак түзмөктөрүңүздө ACLдерди ишке ашырыңыз.
Интрузияны аныктоо системалары деген эмне?
Кирүүлөрдү аныктоо системалары (IDS) тармагыңыздагы зыяндуу аракеттерди аныктоо жана аларга жооп берүү үчүн иштелип чыккан. Алар чабуул жасоо аракети, маалыматтарды бузуу жана ал тургай инсайдердик коркунучтарды аныктоо үчүн колдонулушу мүмкүн.
Интрузияны аныктоо системасын кантип ишке ашырасыз?
- Сиздин муктаждыктарыңыз үчүн туура IDS тандаңыз.
- Тармагыңызда IDSти орнотуңуз.
- Зыяндуу аракеттерди аныктоо үчүн IDSти конфигурациялаңыз.
- IDS тарабынан түзүлгөн эскертүүлөргө жооп бериңиз.
Firewall деген эмне?
Firewall - бул эрежелердин жыйындысынын негизинде трафикти чыпкалоочу тармактык коопсуздук түзүлүш. Firewalls инфраструктураңызды бекемдөө үчүн колдонула турган коопсуздукту көзөмөлдөөнүн бир түрү. Аларды бир катар ар кандай жолдор менен, анын ичинде жер-жерлерде, булутта жана кызмат катары жайгаштырса болот. Firewalls кирүүчү трафикти, чыгыш трафикти же экөөнү тең бөгөттөө үчүн колдонулушу мүмкүн.
Жергиликтүү Firewall деген эмне?
Жергиликтүү брандмауэр - бул сиздин жергиликтүү тармагыңызда орнотулган брандмауэрдин бир түрү. Жергиликтүү брандмауэрлер, адатта, чакан жана орто бизнести коргоо үчүн колдонулат.
Cloud Firewall деген эмне?
Булуттагы брандмауэр булутта орнотулган брандмауэрдин бир түрү. Cloud Firewalls адатта ири ишканаларды коргоо үчүн колдонулат.
Булут брандмауэрлеринин кандай артыкчылыктары бар?
Cloud Firewalls бир катар артыкчылыктарды сунуштайт, анын ичинде:
– Жакшыртылган коопсуздук
– Тармактын активдүүлүгүн көрүүнүн жогорулашы
- Кыскартылган татаалдык
- Чоң уюмдар үчүн төмөнкү чыгымдар
Кызмат катары Firewall деген эмне?
Кызмат катары брандмауэр (FaaS) булутка негизделген брандмауэрдин бир түрү. FaaS провайдерлери булутта жайгаштырыла турган брандмауэрлерди сунушташат. Кызматтын бул түрү, адатта, чакан жана орто бизнес тарабынан колдонулат. Эгер сизде чоң же татаал тармак болсо, брандмауэрди кызмат катары колдонбоңуз.
FaaS артыкчылыктары
FaaS бир катар артыкчылыктарды сунуш кылат, анын ичинде:
- Кыскартылган татаалдык
– Ийкемдүүлүктү жогорулатуу
– Баалоо модели
Кантип Firewallды кызмат катары ишке ашырасыз?
- FaaS камсыздоочуну тандаңыз.
- Булуттагы брандмауэрди орнотуңуз.
- Сиздин муктаждыктарыңызды канааттандыруу үчүн брандмауэрди конфигурациялаңыз.
Салттуу Firewalls үчүн альтернатива барбы?
Ооба, салттуу брандмауэрлерге бир катар альтернативалар бар. Аларга кийинки муундагы брандмауэрлер (NGFWs), веб-тиркемелердин брандмауэрлери (WAFs) жана API шлюздары кирет.
Кийинки муун Firewall деген эмне?
Кийинки муундагы брандмауэр (NGFW) - салттуу брандмауэрлерге салыштырмалуу жакшыртылган аткарууну жана мүмкүнчүлүктөрдү сунуш кылган брандмауэрдин бир түрү. NGFWs адатта колдонмо деңгээлинде чыпкалоо, интрузияны алдын алуу жана мазмунду чыпкалоо сыяктуу нерселерди сунуштайт.
Колдонмо деңгээлиндеги чыпкалоо колдонулуп жаткан колдонмонун негизинде трафикти көзөмөлдөөгө мүмкүндүк берет. Мисалы, сиз HTTP трафигине уруксат берип, бирок башка бардык трафикти бөгөттөсөңүз болот.
Интрузиянын алдын алуу чабуулдарды алар боло электе аныктоого жана алдын алууга мүмкүндүк берет.
Мазмунду чыпкалоо тармагыңызда кандай мазмунга кирүүгө болорун көзөмөлдөөгө мүмкүндүк берет. Сиз зыяндуу веб-сайттар, порно жана кумар сайттары сыяктуу нерселерди бөгөттөө үчүн мазмун чыпкалоону колдоно аласыз.
Веб-тиркеме Firewall деген эмне?
Веб тиркемелердин брандмауэри (WAF) веб-тиркемелерди чабуулдардан коргоо үчүн иштелип чыккан брандмауэрдин бир түрү. WAFs адатта чабуулду аныктоо, колдонмо деңгээлиндеги чыпкалоо жана мазмунду чыпкалоо сыяктуу функцияларды сунуштайт.
API Gateway деген эмне?
API шлюзу - бул API'лерди чабуулдардан коргоо үчүн иштелип чыккан брандмауэрдин бир түрү. API шлюздары, адатта, аутентификация, авторизация жана ылдамдыкты чектөө сыяктуу функцияларды сунуштайт.
тастыктоо маанилүү коопсуздук өзгөчөлүгү болуп саналат, анткени ал гана ыйгарым укуктуу колдонуучулар API кире алат деп кепилдик берет.
укук берүү маанилүү коопсуздук өзгөчөлүгү болуп саналат, анткени ал белгилүү бир аракеттерди ыйгарым укуктуу колдонуучулар гана аткара аларын камсыздайт.
Чен чектөө маанилүү коопсуздук өзгөчөлүгү болуп саналат, анткени ал кызматтык чабуулдардан баш тартууга жол бербөөгө жардам берет.
Шифрлөөнү кантип колдоносуз?
Шифрлөө - инфраструктураңызды бекемдөө үчүн колдонула турган коопсуздук чарасынын бир түрү. Ал маалыматтарды авторизацияланган колдонуучулар гана окуй ала турган формага айландырууну камтыйт.
Шифрлөө ыкмалары төмөнкүлөрдү камтыйт:
– Симметриялык ачкыч шифрлөө
– Асимметриялык ачкыч шифрлөө
– Ачык ачкычты шифрлөө
Симметриялык ачкыч шифрлөө бир эле ачкыч маалыматтарды шифрлөө жана чечмелөө үчүн колдонулган шифрлөөнүн бир түрү.
Асимметриялык ачкыч шифрлөө маалыматтарды шифрлөө жана чечмелөө үчүн ар кандай ачкычтар колдонулган шифрлөөнүн бир түрү.
Ачык ачкыч шифрлөө ачкыч баарына жеткиликтүү болгон шифрлөөнүн бир түрү.
4. Булут базарынан катууланган инфраструктураны кантип колдонсо болот
Инфраструктураңызды чыңдоонун эң жакшы жолдорунун бири - AWS сыяктуу провайдерден катууланган инфраструктураны сатып алуу. Инфраструктуранын бул түрү кол салууга туруктуураак болуп иштелип чыккан жана коопсуздукка шайкештик талаптарын аткарууга жардам берет. Бирок AWSдеги бардык инстанциялар бирдей түзүлгөн эмес. AWS ошондой эле катаалданган сүрөттөр сыяктуу чабуулга туруштук бербеген сүрөттөрдү сунуштайт. AMI кол салууга туруктуураак экенин аныктоонун эң жакшы жолдорунун бири - бул версиянын акыркы коопсуздук функцияларына ээ экендигине ынануу.
Катуу инфраструктураны сатып алуу, өзүңүздүн инфраструктураңызды катаалдаштыруу процессинен өтүүдөн алда канча жөнөкөй. Бул дагы үнөмдүү болушу мүмкүн, анткени инфраструктураңызды бекемдөө үчүн керектүү куралдарга жана ресурстарга инвестициялоонун кереги жок.
Катуу инфраструктураны сатып алууда, сиз коопсуздукту көзөмөлдөөнүн кеңири спектрин сунуш кылган провайдерди издешиңиз керек. Бул сизге кол салуулардын бардык түрлөрүнө каршы инфраструктураңызды бекемдөөгө эң жакшы мүмкүнчүлүк берет.
Катуу инфраструктураны сатып алуунун көбүрөөк артыкчылыктары:
- Коопсуздукту жогорулатуу
– Жакшыртылган шайкештик
– Төмөндөтүү наркы
- Жөнөкөйлүк жогорулады
Булут инфраструктураңыздагы жөнөкөйлүктү жогорулатуу өтө төмөн бааланат! Белгилүү сатуучунун катууланган инфраструктурасынын ыңгайлуу жагы - ал учурдагы коопсуздук стандарттарына жооп берүү үчүн дайыма жаңыланып турат.
Эскирген булут инфраструктурасы чабуулга көбүрөөк дуушар болот. Ошондуктан инфраструктураңызды жаңыртып туруу маанилүү.
Эскирген программалык камсыздоо бүгүнкү күндө уюмдардын алдында турган эң чоң коопсуздук коркунучтарынын бири. Катуу инфраструктураны сатып алуу менен, сиз бул көйгөйдөн таптакыр кутула аласыз.
Өзүңүздүн инфраструктураңызды чыңдап жатканда, бардык потенциалдуу коопсуздук коркунучтарын эске алуу маанилүү. Бул өтө оор иш болушу мүмкүн, бирок бул сиздин күч-аракетиңиздин натыйжалуу болушун камсыз кылуу үчүн зарыл.
5. Коопсуздукту сактоо
Инфраструктураңызды чыңдоо коопсуздукту сактоого да жардам берет. Себеби, көптөгөн шайкештик стандарттары маалыматыңызды жана системаңызды чабуулдан коргоо үчүн чараларды көрүүнү талап кылат.
Булуттагы коопсуздуктун башкы коркунучтарынан кабардар болуу менен, уюмуңузду алардан коргоо үчүн кадамдарды жасай аласыз. Инфраструктураңызды чыңдоо жана коопсуздук функцияларын колдонуу менен сиз чабуулчуларга системаларыңыздын бузулушун бир топ кыйындата аласыз.
Сиз коопсуздук процедураларыңызды жетектөө жана инфраструктураңызды бекемдөө үчүн КМШ эталондорун колдонуу менен шайкештик позицияңызды бекемдей аласыз. Сиз ошондой эле системаларыңызды катуулатууга жана аларды шайкеш сактоого жардам берүү үчүн автоматташтырууну колдоно аласыз.
2022-жылы коопсуздук эрежелеринин кандай түрлөрүн эске алуу керек?
– GDPR
– PCI DSS
– HIPAA
– SOX
– HITRUST
Кантип GDPR ылайыктуу бойдон калуу керек
Жалпы маалыматтарды коргоо регламенти (GDPR) жеке маалыматтарды кантип чогултуу, пайдалануу жана коргоону жөнгө салуучу ченемдердин жыйындысы. ЕБ жарандарынын жеке маалыматтарын чогулткан, колдонгон же сактаган уюмдар GDPRга ылайык келиши керек.
GDPRга шайкеш келүү үчүн инфраструктураңызды бекемдөө жана ЕБ жарандарынын жеке маалыматтарын коргоо боюнча кадамдарды жасашыңыз керек. Буга маалыматтарды шифрлөө, брандмауэрлерди орнотуу жана кирүүнү көзөмөлдөө тизмелерин колдонуу сыяктуу нерселер кирет.
GDPR ылайыктуулугу боюнча статистика:
Бул жерде GDPR боюнча кээ бир статистика:
– GDPR киргизилгенден бери уюмдардын 92% жеке маалыматтарды чогултуу жана колдонуу ыкмасына өзгөртүүлөрдү киргизди
– Уюмдардын 61% GDPRга баш ийүү кыйын болгонун айтышат
– GDPR киргизилгенден бери уюмдардын 58%ы маалыматтар бузулган
Кыйынчылыктарга карабастан, уюмдар үчүн GDPRга ылайык кадамдарды жасоо маанилүү. Бул алардын инфраструктурасын күчөтүүнү жана ЕБ жарандарынын жеке маалыматтарын коргоону камтыйт.
GDPRга шайкеш келүү үчүн инфраструктураңызды бекемдөө жана ЕБ жарандарынын жеке маалыматтарын коргоо боюнча кадамдарды жасашыңыз керек. Буга маалыматтарды шифрлөө, брандмауэрлерди орнотуу жана кирүүнү көзөмөлдөө тизмелерин колдонуу сыяктуу нерселер кирет.
Кантип PCI DSS ылайыктуу бойдон калуу керек
Төлөм Карта Өнөр жайынын Берилиштеринин Коопсуздук Стандарты (PCI DSS) кредиттик карта маалыматын кантип чогултуу, колдонуу жана коргоону жөнгө салуучу көрсөтмөлөрдүн жыйындысы. Кредиттик карта төлөмдөрүн иштеткен уюмдар PCI DSSке ылайык келиши керек.
PCI DSS ылайыктуу бойдон калуу үчүн, сиз инфраструктураңызды бекемдөө жана кредиттик карта маалыматын коргоо боюнча кадамдарды жасашыңыз керек. Буга маалыматтарды шифрлөө, брандмауэрлерди орнотуу жана кирүүнү көзөмөлдөө тизмелерин колдонуу сыяктуу нерселер кирет.
PCI DSS боюнча статистика
PCI DSS боюнча статистика:
- PCI DSS киргизилгенден бери уюмдардын 83% кредиттик карта төлөмдөрүн иштетүү ыкмасына өзгөртүүлөрдү киргизишти
– Уюмдардын 61% PCI DSS менен иштөө кыйын болгонун айтышат
– PCI DSS киргизилгенден бери уюмдардын 58%ы маалыматтар бузулган
Бул уюмдар PCI DSS ылайык чараларды көрүү үчүн маанилүү болуп саналат. Бул алардын инфраструктурасын күчөтүүнү жана кредиттик карта маалыматын коргоону камтыйт.
Кантип HIPAA ылайыктуу бойдон калуу керек
Медициналык камсыздандыруунун көчмө жөндөмдүүлүгү жана жоопкерчилиги актысы (HIPAA) жеке ден соолук маалыматын кантип чогултуу, колдонуу жана коргоону жөнгө салуучу ченемдердин жыйындысы. Бейтаптардын жеке ден соолук маалыматын чогулткан, колдонгон же сактаган уюмдар HIPAAга ылайык келүүгө тийиш.
HIPAA талаптарына шайкеш келүү үчүн инфраструктураңызды чыңдоо жана бейтаптардын жеке ден соолук маалыматын коргоо боюнча кадамдарды жасашыңыз керек. Буга маалыматтарды шифрлөө, брандмауэрлерди орнотуу жана кирүүнү көзөмөлдөө тизмелерин колдонуу сыяктуу нерселер кирет.
HIPAA боюнча статистика
HIPAA боюнча статистика:
– HIPAA киргизилгенден бери уюмдардын 91% жеке ден соолук маалыматын чогултуу жана колдонуу ыкмасына өзгөртүүлөрдү киргизди
– Уюмдардын 63% HIPAAга баш ийүү кыйын болгонун айтышат
– HIPAA киргизилгенден бери уюмдардын 60%ы маалыматтар бузулган
Бул уюмдар HIPAA ылайык чараларды көрүү үчүн маанилүү болуп саналат. Бул алардын инфраструктурасын чыңдоону жана бейтаптардын жеке ден соолук маалыматын коргоону камтыйт.
Кантип SOX ылайыктуу бойдон калуу керек
Sarbanes-Oxley Act (SOX) - бул каржылык маалыматты кантип чогултуу, пайдалануу жана коргоону жөнгө салуучу ченемдик укуктук актылардын жыйындысы. Финансылык маалыматты чогулткан, колдонгон же сактаган уюмдар SOX талаптарына жооп бериши керек.
SOX талаптарына шайкеш келүү үчүн, инфраструктураңызды бекемдөө жана каржылык маалыматты коргоо боюнча кадамдарды жасашыңыз керек. Буга маалыматтарды шифрлөө, брандмауэрлерди орнотуу жана кирүүнү көзөмөлдөө тизмелерин колдонуу сыяктуу нерселер кирет.
SOX боюнча статистика
SOX боюнча статистика:
– SOX киргизилгенден бери уюмдардын 94% каржылык маалыматты чогултуу жана колдонуу ыкмасына өзгөртүүлөрдү киргизишти
– Уюмдардын 65% SOX менен иштөө кыйын болгонун айтышат
– SOX киргизилгенден бери уюмдардын 61%ы маалыматтар бузулган
Бул уюмдар SOX ылайык чараларды көрүү үчүн маанилүү болуп саналат. Бул алардын инфраструктурасын чыңдоону жана финансылык маалыматты коргоону камтыйт.
HITRUST сертификатына кантип жетишсе болот
HITRUST сертификациясына жетүү - бул өзүн-өзү баалоону, көз карандысыз баалоодон өтүүнү жана андан кийин HITRUST тарабынан күбөлөндүрүүнү камтыган көп баскычтуу процесс.
Өзүн-өзү баалоо процесстеги биринчи кадам болуп саналат жана уюмдун сертификацияга даярдыгын аныктоо үчүн колдонулат. Бул баалоо уюмдун коопсуздук программасын жана документтерин карап чыгууну, ошондой эле негизги кызматкерлер менен жеринде интервьюларды камтыйт.
Өзүн-өзү баалоо аяктагандан кийин көз карандысыз баалоочу уюмдун коопсуздук программасына тереңирээк баа берет. Бул баалоо уюмдун коопсуздукту көзөмөлдөө каражаттарын карап чыгууну, ошондой эле ошол контролдун натыйжалуулугун текшерүү үчүн жеринде тестирлөөнү камтыйт.
Көз карандысыз баалоочу уюмдун коопсуздук программасы HITRUST CSFтин бардык талаптарына жооп берерин текшергенден кийин, уюм HITRUST тарабынан тастыкталат. HITRUST CSF сертификаты бар уюмдар HITRUST мөөрүн купуя маалыматтарды коргоо боюнча өз милдеттенмелерин көрсөтүү үчүн колдоно алышат.
HITRUST боюнча статистика:
- 2019-жылдын июнь айына карата HITRUST CSFге сертификатталган 2,700дөн ашык уюм бар.
- Саламаттыкты сактоо тармагында 1,000ден ашык сертификатталган уюмдар бар.
- Финансы жана камсыздандыруу тармагы 500дөн ашык сертификатталган уюмдар менен экинчи орунда.
- Чекене соода тармагы 400дөн ашык сертификатталган уюмдар менен үчүнчү орунда.
Коопсуздукту маалымдоо тренинги коопсуздукту сактоого жардам береби?
Ооба, коопсуздукту билүү окутуу ылайык келүүгө жардам берет. Себеби көптөгөн шайкештик стандарттары маалыматыңызды жана системаңызды чабуулдан коргоо үчүн чараларды көрүүнү талап кылат. коркунучун билип туруп кибер чабуулдар, алардан уюмуңузду коргоо үчүн кадамдарды жасай аласыз.
Менин уюмумда коопсуздукту билүү боюнча тренингди ишке ашыруунун кээ бир жолдору кандай?
Сиздин уюмуңузда коопсуздукту маалымдоо тренингин ишке ашыруунун көптөгөн жолдору бар. Бир жолу - коопсуздук маалыматы боюнча тренингди сунуш кылган үчүнчү тараптын кызмат көрсөтүүчүсүн колдонуу. Дагы бир жолу - өзүңүздүн коопсуздукту билүү боюнча тренинг программасын иштеп чыгуу.
Бул айдан ачык болушу мүмкүн, бирок иштеп чыгуучуларыңызды колдонмонун коопсуздугу боюнча эң мыкты тажрыйбаларга үйрөтүү - баштоо үчүн эң жакшы жерлердин бири. Алар тиркемелерди кантип туура коддоону, долбоорлоону жана сыноону билишет. Бул сиздин тиркемелериңиздеги кемчиликтердин санын азайтууга жардам берет. Appsec окутуу да долбоорлорду аяктоо ылдамдыгын жакшыртат.
Сиз ошондой эле социалдык инженерия сыяктуу нерселер боюнча тренингдерди беришиңиз керек көргөзүү кол салуулар. Бул чабуулчулар системаларга жана маалыматтарга кирүү мүмкүнчүлүгүн алуунун кеңири таралган жолдору. Бул чабуулдардан кабардар болуу менен, сиздин кызматкерлер өздөрүн жана уюмуңузду коргоо үчүн чараларды көрө алышат.
Коопсуздукту маалымдоо боюнча тренингди жайылтуу талаптарды сактоого жардам берет, анткени ал кызматкерлериңизди маалыматыңызды жана тутумуңузду чабуулдан кантип коргоону үйрөтүүгө жардам берет.
Булуттагы фишинг симуляция серверин жайгаштырыңыз
Коопсуздукту билүү боюнча тренингиңиздин натыйжалуулугун текшерүүнүн бир жолу булутта фишингдик симуляция серверин жайылтуу болуп саналат. Бул сиздин кызматкерлерге симуляцияланган фишинг электрондук каттарын жөнөтүүгө жана алардын кандай жооп кайтарарын көрүүгө мүмкүндүк берет.
Эгер сиздин кызматкерлериңиз фишингдик чабуулдарга дуушар болуп жатканын байкасаңыз, анда сизге көбүрөөк окутуу керек экенин билесиз. Бул сиздин уюмуңузду чыныгы фишинг чабуулдарына каршы бекемдөөгө жардам берет.
Булуттагы байланыштын бардык ыкмаларын коопсуздандырыңыз
Булуттагы коопсуздукту жакшыртуунун дагы бир жолу - байланыштын бардык ыкмаларын коргоо. Бул электрондук почта, заматта кабарлашуу жана файл бөлүшүү сыяктуу нерселерди камтыйт.
Бул байланыштарды коргоонун көптөгөн жолдору бар, анын ичинде маалыматтарды шифрлөө, санариптик кол коюуну колдонуу жана брандмауэрди орнотуу. Бул кадамдарды жасоо менен сиз маалыматыңызды жана системаңызды чабуулдан коргоого жардам бере аласыз.
Байланышты камтыган ар кандай булут инстанциясы колдонуу үчүн катуулатылышы керек.
Үчүнчү тарапты колдонуунун артыкчылыктары:
– Окутуу программасын иштеп чыгууну жана берүүнү аутсорсингге тапшыра аласыз.
– Провайдер сиздин уюмуңуз үчүн эң мыкты окуу программасын иштеп чыгып, жеткире турган эксперттер тобуна ээ болот.
– Провайдер эң акыркы шайкештик талаптарын жаңыртып турат.
Үчүнчү тарапты коопсуздук боюнча маалымдоо тренингин өткөрүүнүн кемчиликтери:
– Үчүнчү тарапты колдонуунун баасы жогору болушу мүмкүн.
– Сиз өз кызматкерлериңизди окутуу программасын кантип колдонууну үйрөтүшүңүз керек болот.
– Провайдер окуу программасын сиздин уюмуңуздун өзгөчө муктаждыктарына ылайыкташтыра албашы мүмкүн.
Өзүңүздүн коопсуздукту билүү боюнча тренинг программасын иштеп чыгуунун артыкчылыктары:
– Сиз окуу программасын уюмуңуздун өзгөчө муктаждыктарына ылайыкташтыра аласыз.
– Окутуу программасын иштеп чыгуу жана жеткирүү баасы үчүнчү тараптын провайдерин колдонууга караганда төмөн болот.
– Окутуу программасынын мазмунун көбүрөөк көзөмөлдөй аласыз.
Өзүңүздүн коопсуздукту билүү боюнча тренинг программасын иштеп чыгуунун кемчиликтери:
– Окутуу программасын иштеп чыгуу жана жеткирүү үчүн убакыт жана ресурстар талап кылынат.
– Окутуу программасын иштеп чыгып, жеткире ала турган адистерге ээ болушуңуз керек.
– Программа эң акыркы шайкештик талаптарына ылайыктуу эмес болушу мүмкүн.
