19-Amaliy mashg’ulot Mavzu: penetration testing (hujum imkoniyatlari) Ishning maqsadi
Yüklə 84,19 Kb.
|
|
23-Amaliy mashg’ulot
Mavzu: XAVFSIZLIK HODISALARINI BOSHQARISHNING ASOSIY PRINSIPLARI Ishning maqsadi: Tizim va ma'lumotlarni xavf, hujumlar, xavfni yechish va xavfsizlik hodisalarini boshqarish prinsiplari asosida himoya qilish. Ishlab chiqarishdagi xavfsizlik: Mehnat jarayoniga moddiy sharoitlar va ish tartibining xavfsizligi talablariga muvofiq, baxtsiz hodisalar, asbob-uskunalar bilan bog'liq baxtsiz hodisalar va turli xil ofatlarning oldini olish, ishchilar xavfsizligi va sog'lig'ini himoya qilish, ishlab chiqarishning normal jarayoni va barcha tadbirlar kiradi. Xavfsizlikni boshqarish: Davlatning qonunlari, me'yoriy hujjatlari, me'yoriy hujjatlari va texnik standartlari asosida ishlab chiqarish va tadbirkorlik faoliyati sub'ektlarining ishlab chiqarish va xo'jalik faoliyati xavfsizligini samarali ravishda cheklash uchun barcha vositalar qo'llanilishi kerak. Ishlab chiqarishdagi shikastlanish: ishlab chiqarishdagi shikastlanish deb ham nomlanuvchi, nogironlik va o'lim tufayli avariya natijasida va kasb kasalligi tufayli ishdagi yoki boshqa kasbiy faoliyatdagi ishchi (ishchi) ga tegishlidir. 2003 yilda nashr etilgan "Ishlab chiqarishdagi shikastlanishdan sug'urta qilish to'g'risidagi qonunlar" ning 16-moddasida quyidagilar nazarda tutilgan: quyidagi holatlardan biri ishlab chiqarishdagi shikastlanish sifatida aniqlanmasligi yoki ishlab chiqarishdagi shikastlanish sifatida qaralmasligi kerak. 1) jinoyat yoki jamoat xavfsizligi ma'muriyatining buzilishi natijasida o'lim yoki jarohat olish. 2. Mastlik qurbonlarga olib keladi. 3. O'z-o'zini o'ldirish yoki o'z joniga qasd qilish. Har bir ish joyining o'ziga xos xavfi va xavfi bor. Biroq, ba'zilari boshqalarga qaraganda katta xavf va xavflarga duch kelishadi. Masalan, ko'plab korxonalar juda xavfli kimyoviy moddalarni o'z ichiga olgan jarayonlardan toksik, reaktiv yoki tez yonuvchan suyuqlik va gazlarni chiqarish kutilmagan xavfiga duch kelmoqdalar. Ushbu xavflarning potentsial katastrofik oqibatlari tufayli Ish xavfsizligi va xavfsizligi ma'muriyati (OSHA) juda xavfli jarayonlarni boshqarish menejmentini nashr etdi. Sanoat xavfini boshqarish - jarayonlar xavfsizligini boshqarish Jarayon xavfsizligini boshqarish - bu OSHA standarti bo'lib, korxonalar jarayonlarida ishlatiladigan juda xavfli kimyoviy moddalar bilan bog'liq xavflarni aniqlash, baholash va nazorat qilishni talab qiladi. Ushbu standartning asosiy sharti shundan iboratki, korxonalar barcha operatsion jarayonlarning xavf-xatarini har tomonlama tahlil qilishni talab qiladilar. Ushbu baho jarayon xavfsizligini boshqarish yoki jarayon xavfini tahlil qilish deb nomlanadi. Asosan u quyidagi omillarni o'z ichiga olishi kerak: Xavfsizlik ma'lumotlarini qayta ishlash Jarayon xavfini tahlil qilish Operatsion tartib-qoidalari Voqeani tekshirish O'zgarishlarni boshqarish Mexanik yaxlitlik Xodimlarning ishtiroki Savdo sirlari Muvofiqlikni tekshirish ta'lim Pudratchilar Issiq ishlash uchun ruxsatnoma Xavfsizlik tekshiruvini boshlashdan oldin Favqulodda vaziyatlarni rejalashtirish va ularni bartaraf etish To'g'ri ishlatilganda, jarayon xavfsizligini boshqarish dasturidagi ushbu omillar yong'inlar, portlashlar va xodimlar yoki jamoat uchun xavfsizlik xavfini keltirib chiqarishi mumkin bo'lgan xavfli kimyoviy moddalarning chiqishini oldini olish imkoniyatiga ega bo'lishi kerak. Korxonalar ushbu omillarning har biriga ham umuman, ham boshqa omillar bilan birgalikda e'tibor qaratishlari kerak. Muxtasar qilib aytganda, jarayon xavfsizligini boshqarish xavfli kimyoviy moddalarni boshqarish uchun ishlatiladigan muntazam usul hisoblanadi. Ushbu dasturlar, bir tomondan, korxonalarga jarayon xavfsizligi xavfini boshqarish imkoniyatini beradi, boshqa tomondan, ish samaradorligini oshirish va biznesdagi optimallashtirishga yordam beradi. Maqsad jarayonlarni qo'llash tamoyillarini tartibga solish va boshqarishdir. Mamlakatimizda jarayonlar xavfsizligini boshqarish 2013 yilda e'lon qilingan yirik sanoat baxtsiz hodisalarining oldini olish va ularning ta'sirini kamaytirish to'g'risidagi nizom doirasida amalga oshiriladi. Axborot xavfsizligi intsidentlarini boshqarish tartibini belgilovchi normativ hujjatlar biznes jarayonlari va ularni tartibga solishning ajralmas qismiga aylanishi kerak. Hodisani noqonuniy, ruxsat etilmagan hodisa deb hisoblasak, ish hodisa va harakatlarni ruxsat etilgan va taqiqlanganlarga ajratuvchi mexanizmga tayanishi va bunday normalarni ishlab chiqish huquqiga ega bo'lgan organlarni belgilashi kerak. Bundan tashqari, reglament hujjatlarda bevosita ahamiyatli deb belgilanmagan hodisalarni tasniflash usullari va usullarini hamda bunday hodisalarni aniqlash mexanizmini, ularni tavsiflash va keyinchalik normativ hujjatlarga kiritishni belgilaydi. Masalan, reglament ko'chma tashuvchida maxfiy ma'lumotlarni uni kodlash yoki shifrlashsiz joylashtirishni taqiqlashi mumkin, lekin bunday qurilmalarni kompaniyadan tashqarida olib tashlashni bevosita taqiqlamaydi. Jinoiy faoliyat tufayli kompyuterning tasodifiy yo'qolishi voqea bo'ladi, lekin aniq taqiqlanmaydi. Shunga ko'ra, hujjatlar xavfsizlik normalari va qoidalarini keraksiz byurokratiyasiz vaziyatga qarab to'ldirish mexanizmini yaratishi kerak. Bu sizga yangi muammolarga tezda javob berish va himoya choralarini sezilarli kechikish bilan emas, balki o'z vaqtida takomillashtirish imkonini beradi. ISO 27001 sertifikatlash tizimi axborot xavfsizligi elementlaridan biri sifatida biznes jarayonlarini standartlashtirishning umumiy tizimining bir qismi sifatida axborot xavfsizligi hodisalarini boshqarishning alohida tartibini yaratish zarurligini nazarda tutadi. Xavfsizlik hodisalarini boshqarish xususiyatlari Standartlar axborot xavfsizligi hodisalarini boshqarish texnikasini joriy etishni bevosita tavsiya qilishiga qaramay, amalda ushbu amaliyotlarni joriy etish va amalga oshirish ko'plab qiyinchiliklarga duch keladi. Voqealarni boshqarishning alohida tartiblari amalga oshirilmaydi. Bu ko'rsatkich hodisalarni boshqarish tizimlari yaxshi yoki yomon ishlayotganligini bildirmaydi, faqat xavfsizlik tizimida ma'lum bir bo'shliq mavjudligini ko'rsatadi. Axborot xavfsizligi hodisalarini boshqarish quyidagi harakatlarga asoslanadi: ta'rifi. Tashkilotda hodisalarni aniqlash va tasniflash yoki ularning asosiy parametrlarini tavsiflash metodologiyasi mavjud emas, shuning uchun xodimlar hodisaning mezonlarini mustaqil ravishda aniqlash yoki unga e'tibor bermaslik zarurati bilan duch kelishadi. Tarmoqqa boshqa xodimning hisobiga kirish standartlarga muvofiq, axborot xavfsizligi hodisasidir, ammo u jurnalda qayd etilmaydi, chunki xodimlar bunday xatti-harakatni standart va maqbul deb bilishadi, ayniqsa kadrlar etishmasligi sharoitida. ; sodir bo'lganligi to'g'risida xabar berish. Voqea tashkilotda qabul qilingan usullar yoki xodimning shaxsiy fikriga ko'ra hodisa sifatida belgilanishi mumkin bo'lsa ham, ko'pincha tashkilot bunday hodisalar uchun standartlar va xabar berish yo'nalishlarini ishlab chiqmagan. Agar kimdir tijorat siri bilan bog'liq hujjatlardan nusxa ko'chirish faktini aniqlagan taqdirda ham, xodimni ushbu voqea haqida kimga va qanday shaklda xabardor qilish kerakligi haqida savol tug'iladi: uning menejeri, xavfsizlik xizmati yoki boshqa shaxs; ro'yxatdan o'tish. Standartlarning ushbu qismi Rossiya kompaniyalari uchun eng amaliy bo'lmagan, hodisalar aniqlanmagan va shunga mos ravishda qayd etilmagan. Muhim voqealar qayd etiladigan, keyinchalik ularni tahlil qilish va mumkin bo'lgan hujumlarni bashorat qilish uchun materiallarni taqdim etadigan buxgalteriya registrlarini yaratish amaliyoti mavjud emas; sabab va oqibatlarini bartaraf etish. Har qanday hodisa ma'lum izlar va oqibatlarga olib keladi, ular bir tomondan kompaniyaning faoliyatiga xalaqit berishi mumkin, boshqa tomondan uning paydo bo'lish sabablarini o'rganish uchun material bo'lib xizmat qiladi. Oqibatlarni bartaraf etish bo'yicha qoidalarning yo'qligi xatolarning to'planishiga va vaziyatning aybdorini aniqlashga imkon beradigan dalillar bazasining to'liq yo'q qilinishiga olib kelishi mumkin. Barqarorlikni tiklash bo'yicha darhol ko'rilgan har qanday chora-tadbirlar ma'lumotlar bazasini buzish izlarini tasodifan yoki qasddan yo'q qilishi mumkin; Hodisalarga javob choralari. Ba'zi hollarda voqea sodir bo'lishi shoshilinch choralar ko'rishni talab qilishi mumkin, masalan, kompyuterni tarmoqdan uzish, ma'lumot uzatishni to'xtatib turish yoki provayder bilan aloqa o'rnatish. Javob berish mexanizmini ishlab chiqish va uni operativ amalga oshirish uchun mas'ul bo'lgan organlar va mansabdor shaxslar aniqlanishi kerak; Tergov. Tergov vakolatlari IT xizmatidan xavfsizlik xizmatlari mas'uliyatiga o'tkazilishi kerak. Tekshiruv doirasida jurnallar o'rganilishi va favqulodda vaziyat davrida tizimlarga kirish huquqiga ega bo'lgan barcha foydalanuvchilar va ma'murlarning xatti-harakatlari tahlil qilinishi kerak. Tekshiruv hodisalarni boshqarishning asosiy elementi bo'lishi kerak. Amalda, Rossiya kompaniyalari ushbu bosqichni amalga oshirishdan bosh tortadilar, o'zlarini hodisa oqibatlarini bartaraf etish bilan cheklaydilar. Zarur hollarda tergov tezkor-qidiruv organlarini jalb qilgan holda amalga oshirilishi kerak; profilaktika chora-tadbirlarini amalga oshirish. Aksariyat hollarda hodisalar alohida emas, ularning sodir bo'lishi axborot xavfsizligi tizimida bo'shliq paydo bo'lganligini va shunga o'xshash holatlar takrorlanishini ko'rsatadi. Ushbu xavf-xatarlarning oldini olish uchun tergov natijalariga ko'ra, shunga o'xshash holatlarning oldini olish uchun qanday choralar ko'rish kerakligini belgilaydigan protokol yoki komissiya aktini tayyorlash kerak. Bundan tashqari, Mehnat kodeksi va ichki tartib-qoidalarda nazarda tutilgan muayyan intizomiy jazo choralari qo'llaniladi; Analitika. Tartibga solinadigan jarayonlarni buzadigan va axborot xavfsizligi intsidentlari sifatida tasniflanishi mumkin bo'lgan barcha hodisalar ularning mohiyatini aniqlashga, izchillikni ko'rsatishga va kompaniyada ishlaydigan axborot xavfsizligi tizimini takomillashtirish bo'yicha tavsiyalar ishlab chiqishga yordam beradigan tahlil uchun asos bo'lishi kerak. Yüklə 84,19 Kb. Dostları ilə paylaş:
|