13-Amaliy mashg’ulot Mavzu: xavfsizlik hodisalariga e'tibor qaratish ishning maqsadi
Yüklə 100,17 Kb.
|
|
18-Amaliy mashg’ulot
Mavzu: XAVFSIZLIK STANDARTLARINI TUZISH Ishning maqsadi: Xavfsizlik standartlarini tuzishning asosiy maqsadi, tarmoq va axborot tizimlarini kiberatakalar va xakerlar qaramay himoya qilish, foydalanuvchilarning maxfiylikni saqlash va xavfsizlikni oshirishdir. Buning sababi shundaki, IT xavfsizligi standartlariga javob berish kompaniyadan uning kiberxavfsizlik holatini yaxshilaydigan zarur choralar, jarayonlar, siyosat va nazoratni amalga oshirishni talab qiladi . Endi shuni ta'kidlash kerakki, muvofiqlik xavfsizlikka aylanishi shart emas, chunki kibertahdidlar xavfsizlik standartlariga qaraganda tezroq rivojlanadi, bu ajoyib boshlanish nuqtasidir. Xavf haqida xabardorlikni oshirish Xavfsizlik standartlariga rioya qilish kompaniyaning xavfsizlik guruhlarini kiberxavfsizlik bo'yicha eng yaxshi amaliyotlar, ta'riflar, terminologiya va eng muhimi, ular duch keladigan kiber tahdidlarning to'liq ko'lamidan xabardor bo'lishini talab qiladi. Bu johillik tufayli qimmat buzilish ehtimolini kamaytiradi va kiberhujumlarni yumshatish uchun sinov va xatoliklardan o'tish zaruratini kamaytiradi . Kengaytirilgan e’tibor Axborot xavfsizligi standartlariga javob berish kompaniyangizning kiberxavfsizlik va maʼlumotlar xavfsizligini taʼminlashga sodiqligidan dalolat beradi – ayniqsa, sizning harakatlaringiz uchun sertifikat olganingizda. Bu mavjud va potentsial mijozlar, ta'minot zanjiri hamkorlari va boshqalar bilan ishonchni uyg'otadi va siz bilan ishlashda ularning ma'lumotlari xavfsiz ekanligiga ishonch hosil qiladi. Ikki asosiy axborot xavfsizligi standarti Kompaniyalar javob berishga intilayotgan ikkita asosiy axborot xavfsizligi standartlari ISO 27001 va ISO 27002 hisoblanadi. Ular Xalqaro Standartlashtirish Tashkiloti (ISO) tomonidan chiqariladi - texnologiya, ishlab chiqarish, boshqaruv va boshqalarni qamrab oluvchi standartlarni yaratuvchi mustaqil, xalqaro organ. ISO 27001 va 27002 ISO 27000 seriyasining ikkita asosiy standartlari boʻlib, axborot xavfsizligi masalalarining keng doirasini qamrab oluvchi 45 dan ortiq standartlardan iborat. Keling, ISO 27001 va 27002 ni va nima uchun kompaniyalar ularga rioya qilishlari kerakligini batafsil ko'rib chiqaylik. ISO 27001 ISO 27001 axborot xavfsizligi standarti boʻlib, kompaniya Axborot xavfsizligini boshqarish tizimini ( AXBT ) qanday joriy qilishi kerakligi haqidagi talablarni belgilaydi . AXBT - bu kompaniyaga axborot xavfsizligi risklarini boshqarishga imkon beruvchi tuzilgan tadbirlar to'plamini o'z ichiga olgan boshqaruv tizimi. ISO 27001 sizning kompaniyangizga tegishli axborot xavfsizligi xavflarini kamaytirish uchun AXBT tizimida amalga oshirishingiz kerak bo'lgan nazorat va tartiblarni, shuningdek, ushbu boshqaruv vositalarining davom etayotgan samaradorligi va ishlashini qanday kuzatish va o'lchashni belgilaydi. Axborot xavfsizligi holatini yaxshilash bo'yicha keng qamrovli ko'rsatmalarga muhtoj bo'lgan kompaniyalar ISO 27001 talab qilinadigan siyosat, jarayonlar va nazoratni qanday qulay tarzda birlashtirishidan sezilarli foyda olishlari mumkin. Kompaniya ISO 27001 standartiga muvofiqligini ISO akkreditatsiyadan o'tgan agentliklar tomonidan taqdim etilgan audit va sertifikatlash orqali isbotlashi mumkin. RiskXchange sizga CyberSec-as-a-Service taklifimizning bir qismi sifatida ISO 27001 sertifikatini olishga yordam beradi . Shunday qilib, ISO 27001 sertifikatiga ega bo'lgan kompaniya jahon miqyosidagi axborot xavfsizligi standartiga rioya qilgani uchun tan olinadi. ISO 27001 va NIST o'rtasidagi farq nima? ISO 27001 va NIST Cyber Security Framework (CSF) ikkalasi ham kompaniyalar o'zlarining kiberxavfsizlik siyosatlari va boshqaruvlarini asoslashlari mumkin bo'lgan axborot xavfsizligi standartlaridir. Ikkalasi ham kompaniyaga kiberhujumlar xavfini yaxshiroq kamaytirishga yordam beradi va ma'lumotlar xavfsizligi bo'yicha turli qonunlarga rioya qiladi. Garchi ular aslida kompaniyalarga bir xil narsaga erishishda yordam berishsa-da, ISO 27001 va NIST CSF o'rtasida bir nechta asosiy farqlar mavjud: - ISO (Xalqaro Standartlashtirish Tashkiloti) xalqaro nodavlat organ, NIST (Milliy standartlar va texnologiyalar instituti) esa AQSh hukumati bilan bog'liq. Natijada, ISO sertifikatlari kengroq xalqaro e'tirofga ega. – ISO 27001 sertifikatini, jumladan, uchinchi tomon auditini olish mumkin. Shu bilan birga, NIST CSF uchun sertifikat mavjud emas: kompaniyalar undan faqat ko'rsatmalar to'plami sifatida foydalanishlari kerak. – NIST CSF bepul, shu bilan birga siz ISO 27001 hujjatlari va sertifikati uchun toʻlashingiz kerak boʻladi. ISO 27002 ISO 27001 AXBTni ishlab chiqish bo'yicha batafsil yo'riqnomalarni taqdim etgan bo'lsa-da, u kompaniyaning qaysi maxsus axborot xavfsizligi nazoratini amalga oshirishi kerakligini rasmiy ravishda belgilamaydi. Buning sababi shundaki, kerakli boshqaruvlar kompaniyaning aniq axborot xavfsizligi ehtiyojlariga qarab o'zgaradi. Bu erda ISO 27002 kiradi. ISO 27002 ISO 27001 standartini to'ldiradi va ISO 27001da ko'rsatilganidek, kompaniya amalga oshirishi mumkin bo'lgan axborot xavfsizligini boshqarish vositalarini batafsil bayon qiladi. Kompaniyalar o'zlarining maxsus axborot xavfsizligi xavflariga eng mos keladigan boshqaruvni amalga oshirishlari mumkin; ISO 27002 ushbu nazoratni tanlash, amalga oshirish va boshqarish bo'yicha eng yaxshi amaliyotlarni taqdim etadi - shu bilan birga kompaniyaning xavf muhitini hisobga oladi. ISO 27002da batafsil tavsiflangan boshqaruv elementlari ISO 27001 A ilovasining A ilovasida ko‘rsatilgan bir xildir. Ilgari ISO 27002 ham, A ilovasi ham 114 ta boshqaruvni o‘z ichiga olgan bo‘lsa, 2022 yil yangilangan nashri 58 ta yangilangan boshqaruv, 24 ta birlashtirilgan boshqaruv bilan 93 ta boshqaruvga qayta tashkil etilgan. va 11 ta yangi. Xuddi shunday, 114 ta boshqaruv 14 ta domenga boʻlingan boʻlsa, 2022 yilgi yangilanishda 93 ta boshqaruv quyidagi toʻrt toifaga tarqalgan: Tashkiliy Odamlar Jismoniy Texnologik Bundan tashqari, ISO 27001 dan farqli o'laroq, muvofiqlikni isbotlash uchun sizga sertifikat kerak emas. Buning sababi, ISO 27002 standarti ISO 27001 kabi me'yoriy standart emas, balki ma'lumot beruvchidir. Boshqacha qilib aytganda, ISO 27002 ning maqsadi ISO 27001da bo'lgani kabi, talab qilinadigan boshqaruv elementlarini belgilash emas, balki batafsilroq tavsiflashdir. Axborot xavfsizligining 3 ta tamoyili nimalardan iborat? Axborot xavfsizligining uchta printsipi - maxfiylik, yaxlitlik va mavjudlik (CIA). Maxfiylik : ma'lumotlar faqat mo'ljallangan tomonlar uchun mavjud. Butunlik : ma'lumotlar kirish va/yoki uzatilganda to'liq hisoblanadi. Mavjudlik : ma'lumot so'ralganda darhol mavjud. AT xavfsizligi standartlariga javob bermasangiz, qanday muammolarga duch kelasiz? Axborot xavfsizligi standartlariga rioya qilishning bir qancha afzalliklarini ko‘rib chiqdik – ammo ularga rioya qilmasangiz nima bo‘ladi ? IT xavfsizligi standartlariga javob bermaslikning eng muhim oqibatlari Xavfsizlik buzilishi xavfining ortishi : xavfsizlik standartlari kiberxavfsizlik xatarlarini yumshatish va axborotni xavfsiz saqlash bo'yicha eng yaxshi amaliyotlarni belgilab berganidek , ularga rioya qilmaslik sizni qimmatli buzilish xavfi ostida qoldiradi . Huquqiy muammo: IT standartlariga rioya qilmaslik sizning sanoat yoki hukumat qoidalariga rioya qilmasligingizga olib kelishi mumkin, bu esa kompaniyangizga qarshi sud jarayoniga olib kelishi mumkin - ayniqsa ma'lumotlar buzilgan taqdirda. Bundan tashqari, sizning kompaniyangiz kundalik faoliyatingizga sezilarli ta'sir ko'rsatadigan cheklovlarga duch kelishi mumkin. Jarimalar: huquqiy muammolarga qo'shimcha ravishda, sizning kompaniyangizga rioya qilmaslik uchun ko'pincha qattiq moliyaviy jazolar qo'llanilishi mumkin. Shuningdek, GDPR (Maʼlumotlarni himoya qilish boʻyicha umumiy reglament) kabi baʼzi IT standartlari bilan sizdan yuzaga kelgan buzilishdan taʼsirlangan tomonlarga kompensatsiya toʻlashingiz talab qilinishi mumkin. Obro'ga ziyon etkazish : kompaniya yuridik muammolar va moliyaviy qiyinchiliklarni engib o'tishi mumkin bo'lsa-da, obro'ga ziyonni tuzatish qiyinroq. Agar sizning mijozlaringiz o'z ma'lumotlarini kompaniyangizda xavfsiz deb hisoblamasa, ular boshqa joyga qarashadi. Xuddi shunday, agar sizning kompaniyangizning zaif xavfsizlik obro'si sizdan oldin bo'lsa, yangi mijozlarni jalb qilish uchun zarur bo'lgan ishonchni qozonish qiyin bo'ladi. Sizning kompaniyangiz javob berishi mumkin bo'lgan boshqa axborot xavfsizligi standartlari GDPR Umumiy maʼlumotlarni himoya qilish toʻgʻrisidagi reglament (GDPR) Yevropa Ittifoqidagi (EI) fuqarolar uchun maʼlumotlar maxfiyligiga oid AT xavfsizligi standartidir. GDPR Yevropa qonunchiligi boʻlsa-da, u qayerda joylashganidan qatʼi nazar, Yevropa Ittifoqi fuqarolaridan maʼlumotlarni toʻplaydigan va saqlaydigan har qanday tashkilotga nisbatan qoʻllaniladi. GDPR 2018 yilda amalga oshirila boshlanganidan beri katta masalaga aylandi. Buning asosiy sababi 10 million evrogacha bo'lishi mumkin bo'lgan katta jarimalardir - yoki kompaniyaning o'tgan moliyaviy yildagi daromadining 2 foizi (qaysi biri yuqoriroq bo'lsa) . . Google, Meta (Facebook va WhatsApp) va Amazon jarimaga tortilgan kompaniyalarning yorqin misolidir - Amazon 2021 yilda 877 million dollar miqdorida jarimaga tortilgan . GDPR axborot xavfsizligi uchun umumiy asosni ta'minlovchi ettita tamoyilni o'z ichiga oladi: Qonuniylik, adolatlilik va shaffoflik Maqsad cheklovi Ma'lumotlarni minimallashtirish Aniqlik Saqlash chegarasi Yaxlitlik va maxfiylik (xavfsizlik) Mas'uliyat FINRA IT xavfsizligi standarti bo'lishdan farqli o'laroq, Moliyaviy sanoatni tartibga solish organi (FINRA AQShda joylashgan broker-dilerlar va birjalarni tartibga soluvchi hukumat vakolatli, notijorat tashkilotdir. Ularning nazoratining muhim qismi kompaniyalarda kuchli kiberxavfsizlik choralariga ega bo'lishini ta'minlashdir. o'z mijozlarining maxfiy ma'lumotlarini himoya qilish uchun . FINRAda muvaffaqiyatli ro'yxatdan o'tish uchun har bir moliyaviy xizmatlar firmasi quyidagi yo'nalishlar bo'yicha baholanadi, jumladan: Texnologiyani boshqarish Xavf-xatarni baholash Texnik nazorat Kirish boshqaruvi Hodisa javobi Yetkazib beruvchilarni boshqarish Ma'lumotlar yo'qolishining oldini olish Tizim o'zgarishini boshqarish Filial nazorati Xodimlarni tayyorlash O'z vakolatlari ostidagi kompaniyalarga muvofiqlikka erishishda yordam berish uchun FINRA bir nechta resurslarni, jumladan, ularning kiberxavfsizlikni tekshirish ro'yxatini va buzilgan hisoblar uchun nazorat ro'yxatini taqdim etadi. HIPAA
PCI DSS To'lov kartalari sanoati ma'lumotlar xavfsizligi standarti (PCI DSS) kompaniyalar kredit va debit karta ma'lumotlarini qanday ishlatishi va saqlashi kerakligi haqida batafsil ma'lumot beradi. PCI DSS to'lov kartalari sanoati xavfsizligi standartlari kengashi (PCI SSC) tomonidan yaratilgan bo'lib, u beshta yirik kredit karta kompaniyalari: Visa, MasterCard, American Express, Discover va JCB Internationaldan iborat. Karta tranzaktsiyalarini qayta ishlaydigan har qanday kompaniya PCI DSS ga rioya qilishi kerak va bunday qilmaslik oqibatlari jarimalar, jabrlanuvchilarga tovon to'lash va sud jarayonini o'z ichiga oladi. PCI DSS kompaniyalar uchun oltita nazorat toifasidan iborat: Xavfsiz tarmoq va tizimlarni yarating va saqlang Karta egasi ma'lumotlarini himoya qiling Zaiflikni boshqarish dasturini saqlang Kuchli kirishni nazorat qilish choralarini qo'llang Tarmoqlarni doimiy ravishda kuzatib boring va sinab ko'ring Axborot xavfsizligi siyosatini olib boring Sizning kompaniyangiz qaysi axborot xavfsizligi standartlariga javob berishi kerakligini bilib oling Sizning kompaniyangiz qaysi kiberxavfsizlik standartlari va ramkalariga rioya qilishi kerakligini bir necha omillar aniqlaydi. Bunga sizning sohangiz, faoliyat yuritayotgan joyingiz va, eng muhimi, hujum yuzangizning o'lchami va murakkabligi hamda kompaniyangiz duch keladigan alohida xavflar kiradi. Xulosa Xavfsizlik standartlarini tuzish amaliy ishi xavfsizlikni ta'minlash va kiberatakalar bilan kurashish uchun muhim bir qadam bo'ladi. Ushbu amaliy ishning asosiy maqsadi, xavfsizlikning o'zlashtirilgan tizimlarini yaratish va o'zlashtirishdir Yüklə 100,17 Kb. Dostları ilə paylaş:
|