12-amaliy ish Kibermojaro etikasi. Kiberxuquq sohasiga oid xalqa
ISO 27005 risklarni boshqarish jarayoni. Garchi ISO 27005 risklarni boshqarishning maxsus metodologiyasini belgilamasa ham, u oltita asosiy komponentga asoslangan uzluksiz axborot risklarini boshqarish jarayonini nazarda tutadi:
1. Kontekstni yaratish: Risklarni boshqarish konteksti risklar qanday identifikatsiya qilinganligi, tavakkalchilikka egalik qilish uchun kim javobgar bo'lishi, xavflar ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligiga qanday ta'sir qilishi, xavf ta'siri va ehtimoli qanday hisoblanganligi mezonlarini belgilaydi.
2. Risklarni baholash: Ko'pgina tashkilotlar besh asosiy bosqichni o'z ichiga olgan aktivlarga asoslangan risklarni baholash jarayonini tanlaydilar:
I. Axborot aktivlarini tuzish
II. Har bir aktivga tegishli tahdidlar va zaifliklarni aniqlash
III. Xavf mezonlari asosida ta'sir va ehtimollik qiymatlarini belgilash
IV. Har bir xavfni qabul qilinadiganlikning oldindan belgilangan darajalari bo‘yicha baholash
V. Qaysi risklarni qanday tartibda va qaysi tartibda hal qilish zarurligini aniqlash.
3. Riskni davolash: Xavfni davolashning to'rtta usuli mavjud:
I. Xavfni butunlay yo'q qilish orqali "qoching"
II. Xavfsizlik nazoratini qo'llash orqali xavfni "o'zgartirish"
III. Riskni uchinchi shaxs bilan "bo'lishish" (sug'urta yoki autsorsing orqali)
IV. Riskni "ushlab turish" (agar xavf belgilangan xavfni qabul qilish mezonlariga to'g'ri kelsa)
4. Riskni qabul qilish: Tashkilotlar mavjud siyosatlar, maqsadlar, vazifalar va aktsiyadorlar manfaatlarini hisobga olgan holda riskni qabul qilish uchun o'zlarining mezonlarini belgilashlari kerak.
5. Xavf bo'yicha aloqa va maslahat: samarali aloqa axborot xavfsizligi risklarini boshqarish jarayoni uchun muhim ahamiyatga ega. Bu risklarni boshqarishni amalga oshirish uchun mas'ul bo'lganlar qarorlar qabul qilinadigan asosni va nima uchun muayyan harakatlar talab qilinishini tushunishlarini ta'minlaydi. Xavf haqida ma'lumot almashish va almashish, shuningdek, qaror qabul qiluvchilar va boshqa manfaatdor tomonlar o'rtasida xavfni qanday boshqarish bo'yicha kelishuvni osonlashtiradi.
Risk bilan aloqa qilish faoliyati doimiy ravishda amalga oshirilishi kerak va tashkilotlar normal operatsiyalar, shuningdek favqulodda vaziyatlar uchun xavf bilan bog'lanish rejalarini ishlab chiqishi kerak.
6. Risk monitoringi va tahlili: Risklar statik emas va keskin o'zgarishi mumkin. Shu sababli, o'zgarishlarni tezda aniqlash va xavf rasmini to'liq ko'rib chiqish uchun ularni doimiy ravishda kuzatib borish kerak.
Tashkilotlar quyidagilarga diqqat bilan qarashlari kerak:
Risklarni boshqarish doirasiga kiritilgan har qanday yangi aktivlar;
O'zgaruvchan biznes talablariga javoban o'zgartirishni talab qiluvchi aktiv qiymatlari;
Nima uchun tashkilotlar ISO 27005 ni qabul qilishlari kerak? Yagona yondashuvni qo'llaydigan boshqa mashhur risklarni boshqarish standartlaridan farqli o'laroq, ISO 27005 moslashuvchan xususiyatga ega va tashkilotlarga o'zlarining biznes maqsadlaridan kelib chiqqan holda risklarni baholashga o'zlarining yondashuvlarini tanlash imkonini beradi.
ISO 27005 oddiy, takrorlanadigan tuzilishga amal qiladi, har bir asosiy band quyidagi to'rt bo'limga ajratilgan: