Domen
Nazorat maqsadlari
Xavfsizlik siyosati
Biznes talablari va tegishli qonunlar va qoidalarga muvofiq axborot
xavfsizligini boshqarish va qo'llab-quvvatlashni ta'minlash.
Axborot
xavfsizligini tashkil
etish
Tashkilot ichida axborot xavfsizligini boshqarish.
Tashkilotning tashqi tomonlar tomonidan foydalaniladigan, qayta
ishlanadigan, ularga yuboriladigan yoki boshqariladigan axborot va
ma'lumotlarni qayta ishlash vositalarining xavfsizligini ta'minlash.
Aktivlar
boshqaruvi
Tashkilot aktivlarining tegishli himoyasiga erishish va qo'llab-
quvvatlash.
Axborotning tegishli himoya darajasini olishini ta'minlash.
Inson resurslari
xavfsizligi
Xodimlar, pudratchilar va uchinchi tomon foydalanuvchilari o'z
mas'uliyatini tushunishlari va ular uchun ko'rib chiqilgan rollarga mos
kelishini ta'minlash va ob'ektlarni o'g'irlash, firibgarlik yoki noto'g'ri
ishlatish xavfini kamaytirish.
Barcha xodimlar, pudratchilar va uchinchi tomon foydalanuvchilari
axborot xavfsizligi tahdidlari va xavotirlari, ularning mas'uliyati va
11
majburiyatlari to'g'risida xabardor bo'lishlarini ta'minlash va ularning
normal ishlashi davomida tashkilotning xavfsizlik siyosatini qo'llab-
quvvatlash va inson xatosi xavfini kamaytirish uchun jihozlangan
bo'lishi.
Xodimlar, pudratchilar va uchinchi tomon foydalanuvchilarining
tashkilotdan chiqib ketishini yoki ish joyini tartibli ravishda
o'zgartirishini ta'minlash.
Jismoniy va
ekologik xavfsizlik
Tashkilot binolari va ma'lumotlariga ruxsatsiz jismoniy kirish,
shikastlanish va aralashuvni oldini olish.
Mol-mulkning yo'qolishi, shikastlanishi, o'g'irlanishi yoki buzilishining
oldini olish va tashkilot faoliyatining uzilishi.
Aloqa va
operatsiyalarni
boshqarish
Axborotni qayta ishlash vositalarining to'g'ri va xavfsiz
ishlashini ta'minlash.
Uchinchi tomon xizmatlarini ko'rsatish shartnomalariga muvofiq
axborot xavfsizligi va xizmatlar ko'rsatishning tegishli darajasini
amalga oshirish va qo'llab-quvvatlash.
Tizimdagi nosozliklar xavfini minimallashtirish.
Dasturiy ta'minot va ma'lumotlarning yaxlitligini himoya qilish.
Axborot va axborotni qayta ishlash vositalarining yaxlitligi va
mavjudligini ta'minlash.
Tarmoqlarda axborotni himoya qilishni va qo'llab-quvvatlovchi
infratuzilmani himoya qilishni ta'minlash.
Kirish nazorati
Axborotga kirishni nazorat qilish uchun.
Foydalanuvchilarning ruxsat etilgan kirishini ta'minlash va axborot
tizimlariga ruxsatsiz kirishning oldini olish
Ruxsatsiz foydalanuvchi kirishining, axborot va ma'lumotlarni qayta
ishlash vositalarining buzilishi yoki o'g'irlanishining oldini olish.
Tarmoqqa ulangan xizmatlarga ruxsatsiz kirishning oldini olish uchun.
Operatsion tizimlarga ruxsatsiz kirishni oldini olish uchun.
Mobil hisoblash va masofaviy ish vositalaridan foydalanishda axborot
xavfsizligini ta'minlash
Axborot tizimlarini
olish, ishlab
Xavfsizlik axborot tizimlarining ajralmas qismi ekanligini ta'minlash.
12
chiqish va texnik
xizmat ko'rsatish
Ilovalarda
xatolar,
yo'qotishlar,
ruxsatsiz
o'zgartirishlar
yoki
ma'lumotlardan noto'g'ri foydalanishning oldini olish uchun.
Kriptografik
vositalar
yordamida
ma'lumotlarning
maxfiyligi,
haqiqiyligi yoki yaxlitligini himoya qilish.
Tizim fayllari xavfsizligini ta'minlash uchun.
Nashr etilgan texnik zaifliklardan foydalanish natijasida yuzaga
keladigan xavflarni kamaytirish
Axborot xavfsizligi
hodisalarini
boshqarish
Axborot xavfsizligini ta'minlash uchun axborot tizimlari bilan bog'liq
hodisalar va zaif tomonlar o'z vaqtida tuzatish choralarini ko'rishga
imkon beradigan tarzda xabar qilinadi.
Axborot xavfsizligi hodisalarini boshqarishda izchil va samarali
yondashuvni ta'minlash uchun.
Biznesning
uzluksizligini
boshqarish
Tadbirkorlik faoliyatidagi uzilishlarga qarshi turish va muhim biznes
jarayonlarini axborot tizimlarining katta nosozliklari yoki ofatlarning
ta'siridan himoya qilish va ularning o'z vaqtida tiklanishini ta'minlash.
Muvofiqlik
Har qanday qonun, qonunchilik, tartibga solish yoki shartnoma
majburiyatlari va har qanday xavfsizlik talablari buzilishining oldini
olish
Tizimlarning
tashkiliy
xavfsizlik
siyosati
va
standartlariga
muvofiqligini ta'minlash.
Axborot tizimlarini tekshirish jarayonining samaradorligini oshirish va
aralashuvni minimallashtirish.
AXBT hujjatlariga qo'llanilishi kerak bo'lgan talablar standartda asosiy
tarkibni,
zarur
hujjatlarni,
shuningdek
hujjatlarni
boshqarish
uchun
spetsifikatsiyalar va monitoring tuzilmalarini belgilash orqali tavsiflanadi.
PDCA tsiklining barcha bosqichlarida top-menejmentning mas'uliyati sanab
o'tilgan. Ular xavfsizlik siyosatini aniqlash va amalga oshirish, rol va mas'uliyatni
belgilash, zarur xodimlar va moddiy resurslarni yollash va tayyorlash, shuningdek,
risklarni boshqarish bo'yicha qarorlarni o'z ichiga oladi.
AXBTni takomillashtirish va yanada rivojlantirish xavfsizlik siyosati,
operatsiyalarni ro'yxatga olish va baholash, sinov natijalari, shuningdek,
takomillashtirish chora-tadbirlari natijalari asosida doimiy ravishda amalga
13
oshirilishi kerak. Bundan tashqari, takomillashtirish va yanada rivojlantirish
oldinga surilishi kerak muntazam ichki auditlar. Xavfsizlik siyosatining adekvat
bajarilishi, shuningdek, uning muvofiqligi va to'liqligi har yili rahbariyat
tomonidan qayta ko'rib chiqilishi orqali ta'minlanishi kerak.
AXBT ning ISO 27001 ga muvofiqligini tekshirish uchun kompaniya
vakolatli sertifikatlashtirish tashkiloti (Ro‘yxatdan o‘tgan sertifikatlashtirish
organlari RCB) tomonidan boshqariladigan sertifikatlashtirish protsedurasidan
o‘tishi kerak, ISO RCBlar ro‘yxatini taqdim etadi. Kompaniya RCBni tanlash
orqali protsedurani boshlaydi. RCS ko'magida dastlabki ekspertiza o'tkazishda
standartga qanchalik muvofiqlik mavjudligini va muvaffaqiyatli sertifikatlash
uchun hali ham zarur harakatlar mavjudligini aniqlash uchun qaror qabul qilinishi
mumkin. Shunga mos ravishda, AXBT muvofiqligi uchun zarur bo'lgan chora-
tadbirlar tayyorgarlik loyihasida amalga oshirilishi kerak. Buning uchun
sertifikatlashtirish jarayonlari bo'yicha tegishli bilim va tajriba, shuningdek,
axborot xavfsizligi bo'yicha maxsus tajriba zarur va agar kerak bo'lsa, tashqi
ekspertlarni chaqirish orqali olinishi kerak.
Birinchi navbatda sertifikatlashtirish uchun ekspertiza (audit) RCB tomonidan
barcha hujjatlarni (xavfsizlik siyosati, jarayon tavsiflari va boshqalar) tekshirishni
o'z ichiga oladi, buning uchun hujjatlar sertifikatlash tashkilotiga yuboriladi.
Hujjatlarni tekshirish asosiy auditga tayyorgarlik vazifasini o'taydi, bu erda
sertifikatlash tashkiloti vakillari bir necha kun davom etadigan joyga tashrif
davomida batafsil tekshiruvdan o'tadilar. Bu barcha mas'ul shaxslar bilan
o'tkaziladigan intervyularni o'z ichiga oladi, bunda ular xavfsizlik siyosati bo'yicha
o'z tushunchalarini tushuntiradilar, jarayonlarni tasvirlaydilar, tasodifiy ravishda
tafsilotlar va xususiyatlarni taqdim etadilar, jarayon hujjatlarini tushuntiradilar,
shuningdek, ma'lum zaif tomonlar va boshlangan takomillashtirish choralarini
muhokama qiladilar. . Keyin sertifikatlashtirish tashkiloti hisobot tuzadi, unda
audit natijalari tushuntiriladi va keyingi auditdan oldin amalga oshirilishi kerak
bo'lgan takomillashtirish choralari ro'yxatga olinadi. Umumiy natija ijobiy bo'lsa,
14
kompaniya AXBTning ISO 27001 talablariga muvofiqligini tekshirish uchun
rasmiy sertifikat oladi.
Tegishli AXBTni joriy qilish, asosan, tashkilot ichidagi AT xavfsizligini
boshqarishning etukligiga qarab, bir necha oydan bir necha yilgacha davom etishi
mumkin. COBIT, ISO 20000 yoki ITIL kabi tizimlarga muvofiq jarayonlar
allaqachon o'rnatilgan bo'lsa, amalga oshirish vaqti va xarajatlari kamroq bo'ladi.
Sertifikatlash jarayoni qo'shimcha ravishda bir necha oy davom etadi.
Sertifikatning amal qilish muddati 3 yil; shundan so'ng, odatda, dastlabki
sertifikatlashdan kamroq kuch talab qiladigan qayta sertifikatlash qo'llanilishi
mumkin. ISO 27001 standarti talablariga doimiy rioya qilish va AXBTning doimiy
takomillashtirilishi yillik monitoring auditlari orqali ta'minlanadi. Ushbu auditlar
RCB auditorlari tomonidan amalga oshiriladi, bunda birinchi monitoring auditi
sertifikat berilgan kundan boshlab 12 oy o'tishidan oldin o'tkazilishi kerak. Agar
monitoring auditi paytida standart talablaridan jiddiy og'ishlar aniqlansa, RCB
og'ishlar bartaraf etilmaguncha sertifikatni to'xtatib turishi yoki hatto qaytarib
olishi mumkin.
Ba'zi milliy alternativalar mavjud. Nemis kompaniyalari uchun Axborot
xavfsizligi bo'yicha federal idora (BSI) 1994 yildan buyon xavfsizlik bo'yicha
hokimiyat va kompaniyalarni qo'llab-quvvatlash uchun "IT-Grundschutz" deb
nomlangan protsessual qo'llanmani taklif qiladi. 2006 yilda ushbu texnik
xususiyatlar ISO 27001 asosida qayta ko'rib chiqildi va BSIning "IT-Grundschutz"
va ISO 27001 standarti o'rtasidagi muvofiqlik rasman tasdiqlandi. 2006 yildan beri
BSI ushbu "IT-Grundschutz asosidagi ISO 27001 sertifikati"ni tayinlaydi, bu
sertifikat bilan ham ISO 27001ga muvofiqlik, ham ITGrund-schutz kataloglariga
nisbatan AT xavfsizlik choralarini baholash sertifikatlangan.
15
Xulosa
Axborot va axborot tizimlari axborot texnologiyalari tomonidan taqdim
etiladigan
biznes
jarayonlarini
qo'llab-quvvatlashning
kuchayishi,
shuningdek, kompaniyalar ichida va tashqi tomonlar bilan aloqa qilish
darajasining oshishi tufayli tobora ko'proq xavfxatarlarga duchor bo'lmoqda.
Samarali AXBT xavflarni kamaytirishga va xavfsizlik buzilishining oldini
olishga yordam beradi.
ISO 27000, 27001 va 27002 standartlari uzoq muddatli rivojlanish
tajribasiga asoslangan AXBTni loyihalash va ishlatish uchun asos yaratadi.
Bu bilan kompaniyalarga axborot xavfsizligining adekvat darajasini
ta'minlash bo'yicha o'zlarining IT tartiblari va usullarini xalqaro standartlarga
moslashtirish imkoniyati taklif etiladi.
ISO 27001 standarti bo'yicha AXBT sertifikati ham axborot
xavfsizligini tizimli boshqarishni tekshirish orqali ijobiy imidjni aks ettiradi.
Ushbu standart qonun hujjatlarida axborot xavfsizligi mavzusini baholash
uchun mezon va asos sifatida ham qo'llaniladi - bu erda ISO 27001 sertifikati
axborot xavfsizligi bo'yicha "zamonaviy xizmatlarni taqdim etish" ni
tasdiqlaydi. Tashkilotlar IT xizmatlarini xavfsiz tarzda taqdim etish uchun
"etarli darajada mos" ekanliklarini namoyish etishlari mumkin. Sertifikat
yordamida axborot xavfsizligiga muvofiqligini tekshirish mumkin.
ISO 27000, 27001 va 27002 standartlari Yevropa va Osiyoda keng
tarqalgan. AT xizmatlarini xarid qilish to'g'risidagi qarorlar bilan muvofiq
axborot xavfsizligini sertifikatlashning ahamiyati ortadi.
16
Foydalanilgan adabiyotlar
1.
E. Humphreys, “Information Security Management System Standards,”
Datenschutz und Datensicherheit,
2.
BSI, “IT-Sicherheitsmanagement und IT-Grundschutz, BSI-Standards
zur IT-Sicherheit,”.
3.
ChatGPT
4.
Fayllar.org
Dostları ilə paylaş: |