Zbekiston respublikasi raqamli texnologiyalar vazirligi muhammad al-xorazmiy nomidagi
Yüklə 261,58 Kb. Pdf görüntüsü
|
Domen
Nazorat maqsadlari Xavfsizlik siyosati Biznes talablari va tegishli qonunlar va qoidalarga muvofiq axborot xavfsizligini boshqarish va qo'llab-quvvatlashni ta'minlash. Axborot xavfsizligini tashkil etish Tashkilot ichida axborot xavfsizligini boshqarish. Tashkilotning tashqi tomonlar tomonidan foydalaniladigan, qayta ishlanadigan, ularga yuboriladigan yoki boshqariladigan axborot va ma'lumotlarni qayta ishlash vositalarining xavfsizligini ta'minlash. Aktivlar boshqaruvi Tashkilot aktivlarining tegishli himoyasiga erishish va qo'llab- quvvatlash. Axborotning tegishli himoya darajasini olishini ta'minlash. Inson resurslari xavfsizligi Xodimlar, pudratchilar va uchinchi tomon foydalanuvchilari o'z mas'uliyatini tushunishlari va ular uchun ko'rib chiqilgan rollarga mos kelishini ta'minlash va ob'ektlarni o'g'irlash, firibgarlik yoki noto'g'ri ishlatish xavfini kamaytirish. Barcha xodimlar, pudratchilar va uchinchi tomon foydalanuvchilari axborot xavfsizligi tahdidlari va xavotirlari, ularning mas'uliyati va 11 majburiyatlari to'g'risida xabardor bo'lishlarini ta'minlash va ularning normal ishlashi davomida tashkilotning xavfsizlik siyosatini qo'llab- quvvatlash va inson xatosi xavfini kamaytirish uchun jihozlangan bo'lishi. Xodimlar, pudratchilar va uchinchi tomon foydalanuvchilarining tashkilotdan chiqib ketishini yoki ish joyini tartibli ravishda o'zgartirishini ta'minlash. Jismoniy va ekologik xavfsizlik Tashkilot binolari va ma'lumotlariga ruxsatsiz jismoniy kirish, shikastlanish va aralashuvni oldini olish. Mol-mulkning yo'qolishi, shikastlanishi, o'g'irlanishi yoki buzilishining oldini olish va tashkilot faoliyatining uzilishi. Aloqa va operatsiyalarni boshqarish Axborotni qayta ishlash vositalarining to'g'ri va xavfsiz ishlashini ta'minlash. Uchinchi tomon xizmatlarini ko'rsatish shartnomalariga muvofiq axborot xavfsizligi va xizmatlar ko'rsatishning tegishli darajasini amalga oshirish va qo'llab-quvvatlash. Tizimdagi nosozliklar xavfini minimallashtirish. Dasturiy ta'minot va ma'lumotlarning yaxlitligini himoya qilish. Axborot va axborotni qayta ishlash vositalarining yaxlitligi va mavjudligini ta'minlash. Tarmoqlarda axborotni himoya qilishni va qo'llab-quvvatlovchi infratuzilmani himoya qilishni ta'minlash. Kirish nazorati Axborotga kirishni nazorat qilish uchun. Foydalanuvchilarning ruxsat etilgan kirishini ta'minlash va axborot tizimlariga ruxsatsiz kirishning oldini olish Ruxsatsiz foydalanuvchi kirishining, axborot va ma'lumotlarni qayta ishlash vositalarining buzilishi yoki o'g'irlanishining oldini olish. Tarmoqqa ulangan xizmatlarga ruxsatsiz kirishning oldini olish uchun. Operatsion tizimlarga ruxsatsiz kirishni oldini olish uchun. Mobil hisoblash va masofaviy ish vositalaridan foydalanishda axborot xavfsizligini ta'minlash Axborot tizimlarini olish, ishlab Xavfsizlik axborot tizimlarining ajralmas qismi ekanligini ta'minlash. 12 chiqish va texnik xizmat ko'rsatish Ilovalarda xatolar, yo'qotishlar, ruxsatsiz o'zgartirishlar yoki ma'lumotlardan noto'g'ri foydalanishning oldini olish uchun. Kriptografik vositalar yordamida ma'lumotlarning maxfiyligi, haqiqiyligi yoki yaxlitligini himoya qilish. Tizim fayllari xavfsizligini ta'minlash uchun. Nashr etilgan texnik zaifliklardan foydalanish natijasida yuzaga keladigan xavflarni kamaytirish Axborot xavfsizligi hodisalarini boshqarish Axborot xavfsizligini ta'minlash uchun axborot tizimlari bilan bog'liq hodisalar va zaif tomonlar o'z vaqtida tuzatish choralarini ko'rishga imkon beradigan tarzda xabar qilinadi. Axborot xavfsizligi hodisalarini boshqarishda izchil va samarali yondashuvni ta'minlash uchun. Biznesning uzluksizligini boshqarish Tadbirkorlik faoliyatidagi uzilishlarga qarshi turish va muhim biznes jarayonlarini axborot tizimlarining katta nosozliklari yoki ofatlarning ta'siridan himoya qilish va ularning o'z vaqtida tiklanishini ta'minlash. Muvofiqlik Har qanday qonun, qonunchilik, tartibga solish yoki shartnoma majburiyatlari va har qanday xavfsizlik talablari buzilishining oldini olish Tizimlarning tashkiliy xavfsizlik siyosati va standartlariga muvofiqligini ta'minlash. Axborot tizimlarini tekshirish jarayonining samaradorligini oshirish va aralashuvni minimallashtirish. AXBT hujjatlariga qo'llanilishi kerak bo'lgan talablar standartda asosiy tarkibni, zarur hujjatlarni, shuningdek hujjatlarni boshqarish uchun spetsifikatsiyalar va monitoring tuzilmalarini belgilash orqali tavsiflanadi. PDCA tsiklining barcha bosqichlarida top-menejmentning mas'uliyati sanab o'tilgan. Ular xavfsizlik siyosatini aniqlash va amalga oshirish, rol va mas'uliyatni belgilash, zarur xodimlar va moddiy resurslarni yollash va tayyorlash, shuningdek, risklarni boshqarish bo'yicha qarorlarni o'z ichiga oladi. AXBTni takomillashtirish va yanada rivojlantirish xavfsizlik siyosati, operatsiyalarni ro'yxatga olish va baholash, sinov natijalari, shuningdek, takomillashtirish chora-tadbirlari natijalari asosida doimiy ravishda amalga 13 oshirilishi kerak. Bundan tashqari, takomillashtirish va yanada rivojlantirish oldinga surilishi kerak muntazam ichki auditlar. Xavfsizlik siyosatining adekvat bajarilishi, shuningdek, uning muvofiqligi va to'liqligi har yili rahbariyat tomonidan qayta ko'rib chiqilishi orqali ta'minlanishi kerak. AXBT ning ISO 27001 ga muvofiqligini tekshirish uchun kompaniya vakolatli sertifikatlashtirish tashkiloti (Ro‘yxatdan o‘tgan sertifikatlashtirish organlari RCB) tomonidan boshqariladigan sertifikatlashtirish protsedurasidan o‘tishi kerak, ISO RCBlar ro‘yxatini taqdim etadi. Kompaniya RCBni tanlash orqali protsedurani boshlaydi. RCS ko'magida dastlabki ekspertiza o'tkazishda standartga qanchalik muvofiqlik mavjudligini va muvaffaqiyatli sertifikatlash uchun hali ham zarur harakatlar mavjudligini aniqlash uchun qaror qabul qilinishi mumkin. Shunga mos ravishda, AXBT muvofiqligi uchun zarur bo'lgan chora- tadbirlar tayyorgarlik loyihasida amalga oshirilishi kerak. Buning uchun sertifikatlashtirish jarayonlari bo'yicha tegishli bilim va tajriba, shuningdek, axborot xavfsizligi bo'yicha maxsus tajriba zarur va agar kerak bo'lsa, tashqi ekspertlarni chaqirish orqali olinishi kerak. Birinchi navbatda sertifikatlashtirish uchun ekspertiza (audit) RCB tomonidan barcha hujjatlarni (xavfsizlik siyosati, jarayon tavsiflari va boshqalar) tekshirishni o'z ichiga oladi, buning uchun hujjatlar sertifikatlash tashkilotiga yuboriladi. Hujjatlarni tekshirish asosiy auditga tayyorgarlik vazifasini o'taydi, bu erda sertifikatlash tashkiloti vakillari bir necha kun davom etadigan joyga tashrif davomida batafsil tekshiruvdan o'tadilar. Bu barcha mas'ul shaxslar bilan o'tkaziladigan intervyularni o'z ichiga oladi, bunda ular xavfsizlik siyosati bo'yicha o'z tushunchalarini tushuntiradilar, jarayonlarni tasvirlaydilar, tasodifiy ravishda tafsilotlar va xususiyatlarni taqdim etadilar, jarayon hujjatlarini tushuntiradilar, shuningdek, ma'lum zaif tomonlar va boshlangan takomillashtirish choralarini muhokama qiladilar. . Keyin sertifikatlashtirish tashkiloti hisobot tuzadi, unda audit natijalari tushuntiriladi va keyingi auditdan oldin amalga oshirilishi kerak bo'lgan takomillashtirish choralari ro'yxatga olinadi. Umumiy natija ijobiy bo'lsa, 14 kompaniya AXBTning ISO 27001 talablariga muvofiqligini tekshirish uchun rasmiy sertifikat oladi. Tegishli AXBTni joriy qilish, asosan, tashkilot ichidagi AT xavfsizligini boshqarishning etukligiga qarab, bir necha oydan bir necha yilgacha davom etishi mumkin. COBIT, ISO 20000 yoki ITIL kabi tizimlarga muvofiq jarayonlar allaqachon o'rnatilgan bo'lsa, amalga oshirish vaqti va xarajatlari kamroq bo'ladi. Sertifikatlash jarayoni qo'shimcha ravishda bir necha oy davom etadi. Sertifikatning amal qilish muddati 3 yil; shundan so'ng, odatda, dastlabki sertifikatlashdan kamroq kuch talab qiladigan qayta sertifikatlash qo'llanilishi mumkin. ISO 27001 standarti talablariga doimiy rioya qilish va AXBTning doimiy takomillashtirilishi yillik monitoring auditlari orqali ta'minlanadi. Ushbu auditlar RCB auditorlari tomonidan amalga oshiriladi, bunda birinchi monitoring auditi sertifikat berilgan kundan boshlab 12 oy o'tishidan oldin o'tkazilishi kerak. Agar monitoring auditi paytida standart talablaridan jiddiy og'ishlar aniqlansa, RCB og'ishlar bartaraf etilmaguncha sertifikatni to'xtatib turishi yoki hatto qaytarib olishi mumkin. Ba'zi milliy alternativalar mavjud. Nemis kompaniyalari uchun Axborot xavfsizligi bo'yicha federal idora (BSI) 1994 yildan buyon xavfsizlik bo'yicha hokimiyat va kompaniyalarni qo'llab-quvvatlash uchun "IT-Grundschutz" deb nomlangan protsessual qo'llanmani taklif qiladi. 2006 yilda ushbu texnik xususiyatlar ISO 27001 asosida qayta ko'rib chiqildi va BSIning "IT-Grundschutz" va ISO 27001 standarti o'rtasidagi muvofiqlik rasman tasdiqlandi. 2006 yildan beri BSI ushbu "IT-Grundschutz asosidagi ISO 27001 sertifikati"ni tayinlaydi, bu sertifikat bilan ham ISO 27001ga muvofiqlik, ham ITGrund-schutz kataloglariga nisbatan AT xavfsizlik choralarini baholash sertifikatlangan. 15 Xulosa Axborot va axborot tizimlari axborot texnologiyalari tomonidan taqdim etiladigan biznes jarayonlarini qo'llab-quvvatlashning kuchayishi, shuningdek, kompaniyalar ichida va tashqi tomonlar bilan aloqa qilish darajasining oshishi tufayli tobora ko'proq xavfxatarlarga duchor bo'lmoqda. Samarali AXBT xavflarni kamaytirishga va xavfsizlik buzilishining oldini olishga yordam beradi. ISO 27000, 27001 va 27002 standartlari uzoq muddatli rivojlanish tajribasiga asoslangan AXBTni loyihalash va ishlatish uchun asos yaratadi. Bu bilan kompaniyalarga axborot xavfsizligining adekvat darajasini ta'minlash bo'yicha o'zlarining IT tartiblari va usullarini xalqaro standartlarga moslashtirish imkoniyati taklif etiladi. ISO 27001 standarti bo'yicha AXBT sertifikati ham axborot xavfsizligini tizimli boshqarishni tekshirish orqali ijobiy imidjni aks ettiradi. Ushbu standart qonun hujjatlarida axborot xavfsizligi mavzusini baholash uchun mezon va asos sifatida ham qo'llaniladi - bu erda ISO 27001 sertifikati axborot xavfsizligi bo'yicha "zamonaviy xizmatlarni taqdim etish" ni tasdiqlaydi. Tashkilotlar IT xizmatlarini xavfsiz tarzda taqdim etish uchun "etarli darajada mos" ekanliklarini namoyish etishlari mumkin. Sertifikat yordamida axborot xavfsizligiga muvofiqligini tekshirish mumkin. ISO 27000, 27001 va 27002 standartlari Yevropa va Osiyoda keng tarqalgan. AT xizmatlarini xarid qilish to'g'risidagi qarorlar bilan muvofiq axborot xavfsizligini sertifikatlashning ahamiyati ortadi. 16 Foydalanilgan adabiyotlar 1. E. Humphreys, “Information Security Management System Standards,” Datenschutz und Datensicherheit, 2. BSI, “IT-Sicherheitsmanagement und IT-Grundschutz, BSI-Standards zur IT-Sicherheit,”. 3. ChatGPT 4. Fayllar.org Yüklə 261,58 Kb. Dostları ilə paylaş:
|