Bu uning maxfiyligi, yaxlitligi, haqiqiyligi va mavjudligini ta’minlaydigan korporativ ma’lumotlar xavfsizligi holati. Korxona axborot xavfsizligi tizimlarining vazifalari har xil ommaviy axborot vositalarida ma’lumotlarning xavfsiz saqlanishini ta’minlash aloqa kanallari orqali uzatiladigan ma’lumotlarni himoya qilish zaxira nusxalari, falokatlarni tiklash va boshqalar. Korxonaning axborot xavfsizligini ta’minlash faqat himoyaga tizimli va kompleks yondashuv orqali amalga oshiriladi va UPS ma’lumotlar xavfsizligiga ta’sir qiluvchi va yil davomida amalga oshiriladigan barcha muhim voqealar va shartlarning doimiy to’liq monitoringini o’z ichiga oladi. Korxonaning axborot xavfsizligiga korporativ ma’lumotlarni himoya qilishga qaratilgan tashkiliy va texnik chora-tadbirlarning butun majmuasi orqali erishiladi. Tashkiliy chora-tadbirlarga har xil turdagi axborotlar, AT xizmatlari, xavfsizlik vositalari va boshqalar bilan ishlash bo’yicha hujjatlashtirilgan tartib va qoidalar kiradi. Texnik chora-tadbirlarga apparat va dasturiy ta’minotdan foydalanishni nazorat qilish, oqish monitoringi, virusga qarshi himoya, xavfsizlik devori, elektromagnit nurlanishdan himoya qilish va boshqalar kiradi Axborot xavfsizligini ta’minlash doimiy jarayon bo’lib, besh asosiy bosqichni o’z ichiga oladixarajatlar smetasi xavfsizlik siyosatini ishlab chiqish siyosatni amalga oshirish mutaxassislarni malakali tayyorlash Axborot xavfsizligini ta’minlash jarayoni mulkni baholashdan, tashkilotning axborot aktivlarini, ushbu ma’lumotlarga tahdid soluvchi omillarni va uning zaifligini, tashkilot uchun umumiy xavfning ahamiyatini aniqlashdan boshlanadi. Mulkga qarab, ushbu aktivlarni himoya qilish dasturi tuziladi. Xavf aniqlangan va miqdori ochiqlangandan so’ng ushbu xavfni kamaytirishning iqtisodiy jihatdan samarali qarshi choralari tanlanishi mumkin Axborot xavfsizligini baholashning maqsadlari axborot aktivlarining qiymatini aniqlash ushbu aktivlarning maxfiyligi, yaxlitligi, mavjudligi va/yoki identifikatsiya qilinishiga tahdidlarni aniqlash tashkilotning amaliy faoliyatidagi mavjud nnuqsonlarni aniqlash tashkilotning axborot aktivlari bilan bog’liq risklarini aniqlash mavjud ish amaliyotida xavflar hajmini maqbul darajada kamaytiradigan o’zgarishlarni taklif qilish xavfsizlik loyihasini yaratish uchun asos yaratish Baholashning beshta asosiy turi Tizim darajasida zaifliklarni baholash. Kompyuter tizimlari ma’lum zaifliklar va oddiy muvofiqlik siyosatlari uchun tekshiriladi. Tarmoq darajasida baholash.
Mavjud kompyuter tarmog’i va axborot infratuzilmasi baholanadi, xavf zonalari aniqlanadi. Tashkilot ichidagi xavflarni umumiy baholash. Uning axborot aktivlariga tahdidlarni aniqlash uchun butun tashkilot tahlil qilinadi. Audit. Tashkilotning mavjud siyosati va ushbu siyosatga muvofiqligi tekshiriladi. Penetratsiya testi. Tashkilotning simulyatsiya qilingan kirishga javob berish qobiliyati o’rganiladi.Baholash jarayonida quyidagi hujjatlar tekshirilishi lozim Xavfsizlik siyosatiaxborot siyosatizaxira siyosati va protseduralari ishchining ma’lumotnomasi yoki ko’rsatmalari ishchilarni yollash va ishdan bo’shatish tartibi dasturiy ta’minotni ishlab chiqish metodologiyasi dasturiy ta’minotni o’zgartirish metodologiyasi telekommunikatsiya siyosati tarmoq diagrammalari Yuqoridagi siyosat va protseduralar amalga oshirilgandan so’ng, har birining tegishliligi, qonuniyligi, to’liqligi va dolzarbligi tekshiriladi, chunki siyosat va protseduralar hujjatda belgilangan maqsadga muvofiq bo’lishi kerak. Baholashdan so’ng kutilayotgan xavfsizlik holati va zarur ishlar ro’yxatini belgilaydigan siyosat va tartiblarni ishlab chiqish lozim. Chunki, hech qanday siyosat bo’lmasa, tashkilot samarali UPS dasturini ishlab chiqadigan va amalga oshiradigan reja ham bo’lmaydi. Axborot xafsizligini ta’minlashda quyidagi siyosat va tartiblarni ishlab chiqish lozim Axborot siyosati.Maxfiy ma’lumotlarni va ularni qayta ishlash, saqlash, uzatish va yo’q qilish usullarini oshkor qiladi.Xavfsizlik siyosati.Turli xil kompyuter tizimlari uchun texnik boshqaruvni belgilaydi.
Kompyuter tizimlaridan foydalanish bo’yicha kompaniya siyosatini ta’minlaydi. Kompyuter tizimlarining zaxira nusxasini yaratish uchun talablarni belgilaydi. Hisobni boshqarish tartib-qoidalari.Foydalanuvchilar qo’shilgan yoki o’chirilganda bajarilishi kerak bo’lgan amallarni belgilaydi.Favqulodda vaziyatlar rejasi.Tabiiy ofatlar yoki inson tomonidan sodir etilgan hodisalardan keyin kompaniya jihozlarini tiklash bo’yicha harakatlarni ta’minlaydi. Xavfsizlik siyosatini amalga oshirish texnik vositalar va to’g’ridan-to’g’ri nazorat qilish vositalarini amalga oshirishdan, shuningdek, xavfsizlik xodimlarini tanlashdan iborat. Xavfsizlik bo’limi doirasidan tashqarida tizimlar konfiguratsiyasiga o’zgartirishlar kiritish talab qilinishi mumkin, shuning uchun tizim va tarmoq ma’murlari xavfsizlik dasturini amalga oshirish ishlarida ishtirok etishlari kerak. Har qanday yangi xavfsizlik tizimlaridan foydalanganda malakali xodimlar mavjud bo’lishi kerak. Tashkilot o’z xodimlarining ishtirokisiz maxfiy ma’lumotlarning himoyasini ta’minlay olmaydi. Vakolatli kasbiy qayta tayyorlash bu xodimlarni zarur ma’lumotlar bilan ta’minlash mexanizmi hisoblanadi. Xodimlar xavfsizlik masalalari nima uchun juda muhim ekanligini bilishlari va maxfiy ma’lumotlarni aniqlash va himoya qilish uchun o’qitilishi kerak.
3.2 Axborotlashtirish Ob’ektlarini Tashkiliy Himoya Qilish.
Tashkiliy himoya ishlab chiqarish faoliyatini va ijrochilarning o’zaro munosabatlarini qonuniy asosda tartibga solish tizimi bo’lib, bu maxfiy ma’lumotlarga noqonuniy egalik qilishni, ichki va tashqi tahdidlarning namoyon bo’lishini istisno qiladigan yoki sezilarli darajada to’xtatuvchi tizimdir. Tashkiliy himoya quyidagilarni ta’minlaydi xavfsizlikni tashkil etish, rejim, xodimlar va hujjatlar bilan ishlash tadbirkorlik faoliyati uchun ichki va tashqi tahdidlarni aniqlashda texnik xavfsizlik uskunalari va axborot-tahliliy faoliyatdan foydalanish.
Asosiy tashkiliy faoliyatga quyidagilar kiradi. Rejim va himoyani tashkil etish. Ularning maqsadi shaxslarning hududga va binolariga ruxsatsiz, yashirin kirish imkoniyatini yo’q qilishdir. Xodimlarni tanlash va joylashtirishni nazarda tutuvchi xodimlar bilan ishlashni tashkil etish, shu jumladan xodimlar bilan tanishish, ularni o’rganish, maxfiy axborot bilan ishlash qoidalariga o’rgatish, axborotni muhofaza qilish qoidalarini buzganlik uchun javobgarlik choralari bilan tanishtirish va boshqalar Hujjatlar va hujjatlashtirilgan axborot bilan ishlashni tashkil etish, shu jumladan hujjatlar va maxfiy axborot tashuvchilarni ishlab chiqish va ulardan foydalanishni tashkil etish, ularni hisobga olish, rasmiylashtirish, qaytarish, saqlash va yo’q qilish. Maxfiy ma’lumotlarni yig’ish, qayta ishlash, to’plash va saqlash uchun texnik vositalardan foydalanishni tashkil etish. Maxfiy axborotga nisbatan ichki va tashqi tahdidlarni tahlil qilish va uning himoyasini ta’minlash chora-tadbirlarini ishlab chiqish bo’yicha ishlarni tashkil etish xodimlarning maxfiy ma’lumotlar bilan ishlashi, hujjatlar va texnik vositalarni hisobga olish, saqlash va yo’q qilish tartibi ustidan tizimli nazoratni amalga oshirish bo’yicha ishlarni tashkil etish. Barcha holatlarda, tashkiliy chora-tadbirlar ushbu tashkilot uchun ma’lum sharoitlarda axborot xavfsizligini ta’minlashga qaratilgan o’ziga xos shakl va mazmunga ega.
3.3.Xavfsizlik Choralari.
Axborot xavfsizligiga tahdidlar turli shakllarda boʻlishi mumkin. 2018-yil uchun eng jiddiy tahdidlar „xizmat koʻrsatish usulidagi jinoyatlar“ Internet mahsulotlari, taʼminot zanjirlari va tartibga solish talablarining murakkabligi bilan bogʻliq boʻlgan tahdidlar boʻlgan. „Xizmat koʻrsatish usulidagi jinoyatlar“ yirik jinoiy hamjamiyatlar uchun darknet bozorida jinoiy xizmatlar paketini yangi paydo boʻlgan kiberjinoyatchilarga arzon narxlarda taqdim etishning bir namunasidir. Bu yuqori texnik murakkablik yoki yuqori narx tufayli ilgari erishib boʻlmaganhujumlarini amalga oshirish imkonini beradi. Bu esa kiberjinoyatni ommaviy hodisaga aylantiradi. Koʻpgina tashkilotlar Internet mahsulotlarini faol tatbiq qilmoqdalar. Bu qurilmalar koʻpincha xavfsizlik talablarisiz ishlab chiqilganligi bois, kiberhujumlar uchun qoʻshimcha imkoniyatlar yaratadi. Bundan tashqari, internet xizmatlarining jadal rivojlanishi va murakkablashuvi uning shaffofligini pasaytiradi, bu esa noaniq belgilangan huquqiy qoidalar va shartlar bilan birgalikda tashkilotlarga qurilmalar tomonidan toʻplangan mijozlarning shaxsiy maʼlumotlaridan oʻz ixtiyoriga koʻra, ular bilmagan holda foydalanish imkonini beradi. Bundan tashqari, tashkilotlarning oʻzlari IoT qurilmalari tomonidan toʻplangan maʼlumotlarning qaysi biri tashqariga uzatilishini kuzatishi mushkul masaladir. Taʼminot zanjirlariga tahdid shundaki, tashkilotlar oʻzlarining yetkazib beruvchilari bilan turli xil qimmatli va nozik maʼlumotlarni almashishadi, natijada ular ustidan bevosita nazorat yoʻqoladi. Shunday qilib, ushbu maʼlumotlarning maxfiyligi, yaxlitligi yoki mavjudligini buzish xavfi sezilarli darajada oshadi. Bugungi kunda regulyatorlarning tobora koʻpayib borayotgan yangi talablari tashkilotlarning hayotiy axborot aktivlarini boshqarishni sezilarli darajada murakkablashtirmoqda. Masalan, 2018-yilda Evropa Ittifoqida qabul qilingan „Umumiy maʼlumotlarni himoya qilish qoidalari“ (inglizcha: General DataProtection Regulation, GDPR) har qanday tashkilotdan istalgan vaqtda oʻz faoliyati yoki taʼminot zanjirining istalgan qismida joylashtirilgan shaxsiy maʼlumotlarning mazmuni, ularni qayta ishlash usullari, saqlanish va himoyalanish tartibi va qanday maqsadlar uchun xizmat qilishini koʻrsatishni talab qiladi.
Bundan tashqari, ushbu maʼlumot nafaqat vakolatli organlar tomonidan tekshirish paytida, balki ushbu maʼlumotlar egasining birinchi talabiga binoan ham taqdim etilishi lozim. Bunday muvofiqlikka rioya qilish muhim byudjet mablagʻlari va resurslarini tashkilotning boshqa axborot xavfsizligi vazifalaridan chetlashtirishni talab qiladi. Shaxsiy maʼlumotlarni qayta ishlashni soddalashtirish uzoq muddatli istiqbolda axborot xavfsizligini yaxshilashni nazarda tutsa ham, qisqa muddatda tashkilotning xatarlari sezilarli darajada oshadi. Aksariyat odamlar u yoki bu tarzda axborot xavfsizligi tahdidlariga duchor boʻlishadi. Masalan, ular zararli dasturlar (viruslar va kompyuter qurti, troya oti(kompyuter virusi) va firibgarlik dasturlari) fishing yoki identifikatorni oʻgʻirlash qurboni boʻlishadi. Fishing (inglizcha:Phishing) maxfiy maʼlumotlarni (masalan, hisob,parol yoki kreditkarta maʼlumotlari) olishga qaratilgan firibgarlik harakatlaridir. Odatda, ular internet foydalanuvchisini har qanday tashkilotning (bank,internet-doʻkon,ijtimoiy tarmoq va h.k.) asl veb-saytidan ajratib boʻlmaydigan soxta veb-saytga jalb qilishga harakat qiladilarQoida tariqasida, bunday urinishlar tashkilot nomidansoxta veb-saytlarga havolalarni oʻz ichiga olgan soxta elektron pochta xabarlarini ommaviy yuborish orqali amalga oshiriladi. Foydalanuvchi brauzerda bunday havolani ochib, oʻz hisob maʼlumotlarini kiritib firibgarlarning oʻljasiga aylanadi[ 1964-yilda ingliz tiliga Andoza :Trkiritilgan boʻlib, unda kimningdir shaxsiy maʼlumotlari (masalan, koʻpincha fishing yoʻli bilan olingan ism, bank hisobi yoki kredit karta raqami) firibgarlik va boshqa jinoyatlarni sodir etishda foydalaniladi.Jinoyatchilar nomidan noqonuniy moliyaviy imtiyozlar, qarz olgan yoki boshqa jinoyatlarni sodir etgan shaxs koʻpincha ayblanuvchining oʻzi boʻlib qoladi va bu uning uchun jiddiy moliyaviy va huquqiy oqibatlarga olib kelishi mumkin Axborot xavfsizligi shaxsiy hayotga bevosita taʼsir qiladi va bu holat turli madaniyatlarda turlicha taʼriflanishi mumkin.
Hukumatlar,harbiylar,korporatsiyalar, moliya institutlari, tibbiyot muassasalari va xususiy korxonalar oʻz xodimlari, mijozlari, mahsulotlari, tadqiqotlari va moliyaviy natijalari haqida doimiy ravishda katta miqdordagi maxfiy maʼlumotlarni toʻplaydi. Agar bunday maʼlumotlar raqobatchilar yoki qamrovli huquqiy oqibatlarga, tuzatib boʻlmas moliyaviy va ayanchli yoʻqotishlarga olib kelishi mumkin. Biznes nuqtai nazaridan, axborot xavfsizligi xarajatlarga nisbatan muvozanatli boʻlishi kerak. Gordon-Lob[en] iqtisodiy modeli bu muammoni hal qilishning matematik apparatni tavsiflaydi. Unga koʻra axborot xavfsizligi tahdidlari yoki axborot xavflariga qarshi kurashishning asosiy usullari quyidagilardan iborat. Kamaytirish zaifliklarni amalga oshirish.
Xulosa
Ushbu ish jarayonida shaxsiy ma’lumotlarni himoya qilish sohasidagi huquqiy munosabatlarni tartibga soluvchi asosiy me’yoriy hujjatlar ko’rib chiqiladi, shaxsiy ma’lumotlarning ma’lumotlar tizimiga mumkin bo’lgan xavfsizlik tahdidlari, shu jumladan ruxsatsiz kirish tahdidlarining batafsil tavsifi taqdim etiladi. Tahdidlarni ko’rib chiqishda xavfsizlikni buzuvchilarni tasniflashga alohida e’tibor qaratildi, chunki ular axborot tizimining xavfsizligini buzishda asosiy rol o’ynaydi.
Xavfsiz axborot tizimini yaratish uchun asosiy komponentlarga alohida e’tibor qaratiladi. Ma’lumotlar bazasida shaxsiy ma’lumotlarni saqlashni tashkil etish, dasturiy ta’minot va texnik vositalarning tasnifi va mahalliy tarmoqni himoya qilishning asosiy vositalari batafsil ko’rib chiqilib, tashkiliy himoya choralari ko’rsatilgan. Axborot tizimida shaxsiy ma’lumotlar aylanishining umumiy sxemasiga alohida e’tibor qaratildi. Shuningdek, tibbiy muassasaning xavfsiz lokal tarmog’ini yaratish chora-tadbirlari ko’rib chiqildi, bu orqali shaxsiy ma’lumotlarga oid ma’lumotlar xavfsiz kanallarda aylanib boradi, dasturiy va apparat vositalarini himoya qilish vositalari taklif etildi. Muhim manbalarga ruxsatsiz kirishdan himoya qilish uchun asosiy xavfsizlik siyosati ham taklif qilingan.