Axborot xavfsizligi xavflarni boshqarishga kirish 2 amaliy
3. Axborot aktivlarini hayotiy davrini boshqarish Ishdan maqsad: Ushbu amaliy mashg‘ulot bajarish mobaynida talabalarda Axborot aktivlarini hoyotiy davrini boshqarish bo‘yicha bilim va ko‘nikmalarni hosil qilish.
Nazariy qism: Axborot aktivlarini hayotiy davrini boshqarish deganda axborot korhona ichida foydalanilganda uni boshqarish xavsizligini taminlash tushiniladi. Zarur bo‘lganda tashkilot ichida axborot xavfsizligi masalalari bo‘yicha manfaatdor xodim murojaat etishi mumkin bo‘lgan mutaxassis ko‘zda tutilishi kerak. Soha tendensiyalari, uni baholash usullari va metodlaridan xabardor bo‘lish, shuningdek, axborot xavfsizligining buzilishiga adekvat munosabat bildirish maqsadida xavfsizlik bo‘yicha tashqi mutaxassislar bilan aloqalarni yaxshilash kerak. Axborot xavfsizligiga ko‘p profillik yondashishni qo‘llab-quvvatlash kerak, masalan, menejerlar, foydalanuvchilar, ma’murlar, ilovalarni ishlab chiquvchilar, auditlar va xavfsizlik xodimlari, shuningdek, sug‘urtalash va xavflarni boshqarish sohasidagi mutaxassislar o‘rtasida hamkorlikni yo‘lga qo‘yish yo‘li bilan.
Rahbariyat aniq ko‘rsatmalar berish, bajarishda namuna bo‘lish, aniq topshiriqlar berish, shuningdek, axborot xavfsizligini ta’minlash bo‘yicha topshiriqlarni tasdiqlash bilan tashkilotda xavfsizlikni faol saqlab turishi kerak.
Rahbariyat quyidagilarni bajarishi kerak:
a) Xavfsizlik maqsadlari belgilanganligi, tashkilot talablariga muvofiq va tegishli jarayonlarga kiritilganligiga ishonch hosil qilish;
b) Axborot xavfsizligining siyosatini ifodalash, qayta ko‘rib chiqish va tasdiqlash;
s) Axborot xavfsizligining siyosatini joriy etishning samaraliligini nazorat qilish;
d) Xavfsizlikni oshirishga yo‘naltirilgan tashabbuskorlikka sezilarli ma’muriy qo‘llab-quvvatlashni va aniq rahbarlikni ta’minlash;
e) Axborot xavfsizligini ta’minlash uchun zarur aktivlarning ajratilishini ta’minlash;
f) Tashkilot ichida axborot xavfsizligi uchun javobgarlarni tayinlashni va ularning majburiyatlarini tasdiqlash;
g) Xodimlarning axborot xavfsizligi bo‘yicha xabardorligini ta’minlash rejalari va dasturlarini initsiatsiya qilish;
h) Axborot xavfsizligini boshqarish vositalarini tashkilot ichida joriy etish muvofiqlashtirilganligiga ishonch hosil qilish.
Tashkilotda axborot xavfsizligini boshqarish bo‘yicha tadbirlarni amalga oshirish (ya’ni boshqarish vositalari, siyosat, axborot xavfsizligi jarayonlari va protseduralari) ishlab chiqilgan reja asosida yoxud xavfsizlik bo‘yicha tadbirlarni amalga oshirishda katta o‘zgarishlar yuz berganida mustaqil tekshirilishi (audit) kerak.
Mustaqil tekshiruv rahbariyat tomonidan initsiatsiya qilinadi. U tashkilotda ishlab chiqilgan tadbirlar kerak tarzda siyosatni aks ettirishiga, bajarsa bo‘ladigan va samarali hisoblanishiga ishonchni ta’minlash maqsadida o‘tkaziladi.
Ushbu tekshiruv mumkin bo‘lgan yaxshilanishlarning baholanishini, shuningdek, boshqarish siyosati va maqsadlarini hisobga olgan holda xavfsizlikka yondashishning o‘zgarishlariga ehtiyojni aniqlashi kerak.
Bunday tekshiruv ichki audit, mustaqil menejer yoki ana shunday tekshiruvlarda ixtisoslashgan begona tashkilot tomonidan bajarilishi mumkin, bunda tekshiruvga jalb etiladigan mutaxassislar tegishli ko‘nikma va tajribaga ega bo‘lishlari kerak.
Mustaqil tekshiruv natijalarini yozish va ushbu tekshiruvni initsiatsiya qilgan rahbarga hisobot ko‘rinishida yuborish kerak. Berilgan hujjatlar tahlil qilinishi kerak.
Agar tekshiruv tomonidan axborot xavfsizligini boshqarish bo‘yicha tadbirlarni amalga oshirish axborot xavfsizligi talablari va normalariga mos kelmasligi aniqlansa, rahbariyat tuzatishlar kiritish to‘g‘risidagi masalani ko‘rib chiqishi kerak.
Tomonlar ishtirok etadigan biznes-jarayonlar tomonidan tashkilotga tegishli axborot va unga ishlov berish vositalariga tegishli xavflarni aniqlash kerak. Foydalanishga ruxsat berishdan avval maqbul boshqarish vositalarini joriy etish kerak.
Agar begona tashkilotlarning axborotga ishlov berish vositalaridan va/yoki tashkilot axborot aktivlaridan foydalanishlari uchun ruxsat berish zarurati bo‘lsa, u holda muayyan boshqarish vositalariga talablar qo‘yish uchun xavflarni belgilash kerak (4). Begona tashkilotlarning foydalana olishiga tegishli xavflarni aniqlashda quyidagilarni e’tiborga olish kerak:
a) Begona tashkilotlar foydalanishi kerak bo‘lgan axborotga ishlov berish vositalari;
b) Begona tashkilotning axborot va unga ishlov berish vositalaridan foydalanish turi, masalan:
1) Ofis xonalari, kompyuter xonalari, server xonalaridan - jismoniy foydalanish;
2) Tashkilotning ma’lumotlar bazalari va axborot tizimlaridan - mantiqiy foydalanish;
3) Tashkilot tarmoqlari va begona tashkilot o‘rtasida tarmoqli ulanish - doimiy ulanish yoki uzoqlashtirilgan foydalanish;
4) Foydalanish ekspluatatsiya qilish joyida taqdim etiladimi yoki undan tashqaridami;
s) Amaldagi axborotning muhimligi va konfidensialligi, shuningdek, biznes-operatsiyalar uchun uning sezgirligi;
d) Tashkilotning axborot aktivlarini muhofaza qilish uchun zarur bo‘lgan va begona tashkilotlarga foydalanishni taqdim etish uchun mo‘ljallanmagan boshqarish vositalari;
e) Tashkilot axborotiga ishlov berishda qatnashadigan begona subpudratchining xodimi;
f) Foydalanishga ruxsat olishga vakolat berilgan tashkilot yoki xodimni identifikatsiya qilish usuli, vakolatlarni, shuningdek, ehtiyojlarni tasdiqlashning takrorlanishini tekshirish usuli.
g) Axborotni saqlash, unga ishlov berish, uni uzatish, undan birgalikda foydalanish va almashish uchun begona tashkilotlar tomonidan foydalaniladigan turli usullar va boshqarish vositalari;
h) Begona subpudratchiga axborotdan zarur bo‘lgan foydalanishni inkor etishning ta’siri, shuningdek, uning tomonidan noaniq yoki chalg‘itadigan axborotni kiritish va olish;
i) Axborot xavfsizligi insidentlari va potensial zararlar bilan bog‘liq amaliyot va protseduralar, axborot xavfsizligi insidenti holatida begona tashkilotning foydalanishini davom ettirish muddatlari va shartlari;
j) Yuridik va normativ talablar, shuningdek, e’tiborga olinishi kerak bo‘lgan begona tashkilotlarga tegishli boshqa shartnoma majburiyatlari;
k) Kontraktlarning har qanday boshqa manfaatdor tomonlarning manfaatlariga ta’siri.