Біз туралыСтандарттарБлог✦ ЖИ бағалауБаға алу →

Басты бет  ›  Блог  ›  Zero Trust архитектурасы және ISO 27001

Zero Trust архитектурасы және ISO 27001 — неғұрлым берік ISMS құру

Дәстүрлі периметрге негізделген қауіпсіздік моделі жеткіліксіз. Zero Trust архитектурасы ISO 27001 А қосымшасы бақылауларына тікелей сәйкес келетін принципке негізделген тәсілді ұсынады, ұйымдарға неғұрлым төзімді ISMS-ке практикалық жол береді.

Киберқауіпсіздік2025 жылғы 5 желтоқсан10 мин оқу

Zero Trust архитектурасы дегеніміз не?

Zero Trust архитектурасы (ZTA) бір негізгі болжамға негізделген қауіпсіздік моделі: корпоративтік периметрдің ішінде немесе сыртында орналасуына қарамастан, ешбір пайдаланушыға, құрылғыға немесе желі сегментіне табиғи түрде сенім білдірілмеуі тиіс. Бұл тұжырымдама бастапқыда Forrester Research тарапынан 2010 жылы формализацияланған және кейін NIST SP 800-207-де кодталған, теориялық шеңберден күрделі, тұрақты қауіптерге тап болатын ұйымдар үшін операциялық қажеттілікке айналды.

Zero Trust негізгі принциптері

  • Ешқашан сенбе, әрқашан тексер. Әр қол жеткізу сұрауы бастапқы желіге немесе алдыңғы аутентификация мәртебесіне қарамастан нақты уақытта аутентификацияланады және авторизацияланады.
  • Ең аз артықшылықты қол жеткізу. Пайдаланушылар мен жүйелер өз функцияларын орындау үшін қажетті ең аз деңгейдегі қол жеткізуді алады.
  • Бұзушылықты болжа. Архитектура шабуылдаушы желі ішінде болғандай жобаланады. Бүйірлік қозғалыс микросегментация және қатаң саясатты қолдану арқылы шектеледі.
  • Үздіксіз мониторинг және валидация. Сессиялар орнатылып ұмытылмайды. Пайдаланушы мінез-құлқы, құрылғы денсаулығы және қол жеткізу үлгілері сессия өмірлік циклі бойынша бағаланады.
  • Деректерге бағытталған қауіпсіздік. Қорғау деректердің өзін ілесіп жүреді, желі шекарасын емес.

Zero Trust ISO 27001 А қосымшасы бақылауларына қалай сәйкес келеді

ISO 27001-ге сертификатталған ұйымда Zero Trust-ты қабылдаудың ең күшті аргументтерінің бірі — ZTA принциптері мен ISO 27001:2022-де енгізілген А қосымшасы бақылау жиынтығы арасындағы табиғи сәйкестік.

A.5.15 — Қол жеткізуді бақылау. Бұл бақылау ұйымдардан ақпаратқа логикалық және физикалық қол жеткізу ережелерін белгілеуді және қолдануды талап етеді. Zero Trust мұны әр сұрау үшін контекстуалды, тәуекелге негізделген қол жеткізу шешімдерін талап ету арқылы операцияландырады.

A.8.1 — Пайдаланушы соңғы нүкте құрылғылары. Zero Trust мұны әр соңғы нүктені ықтимал бұзылған ретінде қарастыру арқылы кеңейтеді. Құрылғы денсаулығын тексеру қол жеткізуді берудің алдын ала шарты болады.

A.8.5 — Қауіпсіз аутентификация. Zero Trust базалық деңгей ретінде көп факторлы аутентификацияны (MFA) талап етеді және тәуекел сигналдарына негізделген бейімделгіш аутентификацияны қосады.

A.8.20 — Желі қауіпсіздігі. Zero Trust микросегментация, қызметтер арасындағы шифрланған коммуникациялар және бағдарламалық қамтамасыз етілген периметрлер арқылы желі аймақтарындағы жанама сенімді жояды.

Микросегментация: техникалық негіз

Микросегментация — желіні ұсақ аймақтарға бөлу және периметр деңгейінде емес, жұмыс жүктемесі деңгейінде қол жеткізу саясаттарын қолдану тәжірибесі. Zero Trust ортасында микросегментация шабуылдаушы бір жұмыс жүктемесін бұзса да, қосымша саясатты қолдану нүктелерінен өтпей көрші жүйелерге бүйірлік қозғалыс жасай алмауын қамтамасыз етеді.

Іске асыру жол картасы

  1. Ағымдағы жағдайды бағалаңыз. Бар қол жеткізуді бақылау механизмдерін, желі архитектурасын және идентификация басқару мүмкіндіктерін Zero Trust принциптеріне қарсы салыстырыңыз.
  2. Қорғау беттерін анықтаңыз. Бүкіл желіні бірден қорғауға тырысудың орнына, ең жоғары қорғау деңгейін талап ететін маңызды деректерді, қосымшаларды, активтерді және қызметтерді (DAAS) анықтаңыз.
  3. Идентификацияға бағытталған бақылауларды іске асырыңыз. MFA орнатыңыз немесе нығайтыңыз, шартты қол жеткізу саясаттарын іске асырыңыз және идентификация провайдерлерін біріктіріңіз.
  4. Микросегментацияны орнатыңыз. Жоғары құнды қорғау беттерінен бастаңыз және ортаңыз бойынша біртіндеп кеңейтіңіз.
  5. Үздіксіз мониторингті іске қосыңыз. Zero Trust телеметриясын SIEM-ге біріктіріңіз, мінез-құлық базалық деректерін орнатыңыз және жалпы қауіп сценарийлері үшін автоматтандырылған жауап пландарын конфигурациялаңыз.
  6. ISMS құжаттамасын жаңартыңыз. Қолданылу мәлімдемеңізді (SoA), тәуекелді өңдеу жоспарларын және ішкі саясаттарды іске асырған Zero Trust бақылауларын көрсететіндей қайта қараңыз.
  7. Қайталаңыз және жетілдіріңіз. Zero Trust үздіксіз жетілдіру моделі. Жетілу деңгейіңізді тұрақты бағалаңыз, қорғау беттерін кеңейтіңіз және саясаттарды жетілдіріңіз.

ISMS-іңіз үшін артықшылықтар

  • Шабуыл бетін азайту. Жанама сенімді жою және ең аз артықшылықты қол жеткізуді қолдану арқылы пайдаланылатын жолдар айтарлықтай азаяды.
  • Күшті аудит дәлелдері. Zero Trust әр қол жеткізу шешімінің бай, егжей-тегжейлі журналдарын жасайды, бақылау тиімділігін көрсетуді жеңілдетеді.
  • Жақсартылған оқиғаны тежеу. Микросегментация мен үздіксіз тексеру қауіпсіздік оқиғасының тарау радиусын шектейді.
  • Реттеу сәйкестігі. NIS2, DORA және секторлық шеңберлер сияқты көптеген дамып жатқан реттеулер Zero Trust принциптеріне сілтеме жасайды немесе болжайды.
  • Бизнесті қолдау. Zero Trust дәстүрлі VPN-ге негізделген қол жеткізу модельдерінің үйкелісінсіз қауіпсіз қашықтан жұмысты, бұлтқа көшуді және үшінші тарап ынтымақтастығын қолдайды.

Қорытынды

Zero Trust архитектурасы мен ISO 27001 бәсекелес шеңберлер емес — олар бір-бірін толықтырады. ISO 27001 Zero Trust-қа операциялық тәртіп беретін басқару құрылымын, тәуекелдерді басқару әдістемесін және аудит шеңберін ұсынады. Zero Trust, өз кезегінде, ISO 27001 бақылауларын іс жүзінде неғұрлым тиімді ететін техникалық архитектура мен дизайн принциптерін ұсынады.

Ақпараттық қауіпсіздікке байыпты қарайтын ұйымдар үшін мәселе Zero Trust-ты қабылдау қажет пе емес, көшуді қаншалықты тез бастауға болатыны. Идентификацияға бағытталған бақылаулардан бастау және микросегментация мен үздіксіз тексеруді біртіндеп қосу — әр кезеңде қауіпсіздік жақсартуларын ұсынатын дәлелденген, төмен тәуекелді тәсіл.