О‘zbеkistоn rеspublikаsi raqamli texnologiyalar vаzirligi


Axborot xavfsizligi risklari tahlili



Yüklə 146,7 Kb.
səhifə6/6
tarix19.12.2023
ölçüsü146,7 Kb.
#184792
1   2   3   4   5   6
Axborot xavfsizligi xavflarni boshqarishga kirish 2 amaliy

4. Axborot xavfsizligi risklari tahlili

Axborot xavfsizligi risklarini tahlili


Risklarni boshqarish sohasiga oid xalqaro standartlar va milliy standartlar


Axborot xavfsizligi risklarini boshqarishda tashkilot tuzilmasini ahamiyati.


Risklarni boshqarishning axborot tizimlari


Har qanday tashkilotning faoliyati xavf bilan bog’liq. Bu shuni anglatadiki, kelajakda qanday nojo’ya hodisalar sodir bo’lishi yoki bo’lmasligini aniqlashning iloji yo’q. Axborot muhim ahamiyatga ega bo’lganligi sababli axborot xavfsizligi masalalari birinchi o’ringa chiqdi. Tashkilot axborot xavfsizligi insidenti yuz berganda zarar ko’rishi, shu jumladan kutilmagan xarajatlar va mijozlarning ehtimoliy yo’qotishi mumkin. Ayniqsa, muhim obyektlar uchun uning oqibatlari ancha jiddiy bo’lishi aniq. Shunday qilib, tashkilot xavfsizligi axborot tahdidlaridan himoyasini ta’minlash uchun axborot xavfsizligi risklarini boshqarish zarur. Axborot xavfsizligi risklarini boshqarish va kiberxavfsizlik risklarini boshqarish ham buning hosilalaridir. Ushbu ikkala xavf sohasining ham tashkilotlar uchun ahamiyati ortib bormoqda, shuning uchun ushbu maqolaning maqsadi uni amaliy va amaliy darajaga tushirishga yordam berishdir. ISO 31000:2018 xavfni “noaniqlikning maqsadlarga taʼsiri” sifatida belgilaydigan risklarni boshqarish boʻyicha Xalqaro standartlar tashkiloti (ISO) standartining yaqinda yangilangan versiyasidir.
Axborot xavfsizligi risklarini boshqarish (ISRM) - bu tashkilotning qimmatli ma'lumotlari atrofidagi xavflarni aniqlash, baholash va davolash jarayoni. U istalgan biznes natijalariga erishishni ta'minlash uchun ushbu aktivlar atrofidagi noaniqliklarni hal qiladi.
Xavfni boshqarishning turli usullari mavjud va biz ulardan ba'zilarini keyinroq maqolada ko'rib chiqamiz. Bitta o'lcham hammaga to'g'ri kelmaydi va hamma xavf ham yomon emas... risklar ham imkoniyatlar yaratadi, lekin ko'pincha u tahdidga qaratilgan. Butunlik: axborot aktivlarining to'g'riligi va to'liqligini ta'minlash
Axborot xavfsizligi bo'yicha Markaziy razvedka boshqarmasi xavfni baholashda qilgan barcha ishlaringizga asos bo'lib, undan keyin ko'rilgan choralar haqida ma'lumot berishga yordam beradi. Axborot xavfsizligi risklarini boshqarish metodologiyasini ishlab chiqishni boshlaganda, tez-tez ko'rib chiqiladigan masalalardan biri - bu Markaziy razvedka boshqarmasiga asoslangan xavfni hal qilishda mojarolar va ustuvorliklar.
Misol uchun, agar ma'lumotlarning buzilishi (maxfiylik) sodir bo'lsa nima bo'ladi? Xizmatlaringizni oflayn rejimiga o'tkazasizmi yoki ularni davom ettirasizmi (mavjudlik muammosi)? Agar siz UKAS ISO 27001 sertifikatiga ega bo'lishni maqsad qilgan bo'lsangiz, tashqi auditor hujjatlaringizdagi ziddiyatlar va ustuvor xavflarni qanday hal qilganingizni ko'rishni kutadi. Bu ko'rib chiqilishi kerak bo'lgan tafsilot, lekin keling, birinchi navbatda xavf metodologiyasida hujjatlashtirishni xohlaydigan (qisqacha, ammo aniq) barcha asosiy yo'nalishlarni umumlashtiramiz.
Xatarlarni boshqarish jarayonining 5 bosqichi qanday?
Faraz qilaylik, sizning maqsadingiz GDPRga rioya qilgan holda ISO 27001 sertifikatini olishdir. Biz buni hisobga olgan holda axborot xavfsizligi xavfi metodologiyamizni ishlab chiqamiz.
1. Xavfni aniqlash
Xatarlarni boshqarish jarayonidagi birinchi qadam xavfni aniqlashdir. Xavf manbai ichki/tashqi muammo (masalan, jarayon, biznes-reja va h.k. bilan bog'liq) yoki manfaatdor shaxs/manfaatdor tomonlar bilan bog'liq risk bilan bog'liq axborot aktivi bo'lishi mumkin.
2. Xatarlarni tahlil qilish
Xatarlarni bilganingizdan so'ng, ehtimollik va ta'sirni (LI) hisobga olishingiz kerak, bu sizga (aytaylik) past ehtimollik va past ta'sirni yuqoriroqdan farqlash imkonini beradi.
3. Xatarlarni baholash
Xavfni tahlil qilgandan so'ng, siz eng zarur bo'lgan investitsiyalarga ustuvorlik berishingiz va LI joylashuvi asosida ko'rib chiqishlarni o'tkazishingiz mumkin. Har bir pozitsiya nimani anglatishini hujjatlashtirishingiz kerak, shunda u usulga rioya qilgan har bir kishi tomonidan qo'llanilishi mumkin. Biz ISMS.online ichidagi axborot xavfsizligi xavflarini boshqarish vositasida 5 x 5 tarmoq tizimidan foydalanamiz. (Maslahat: Shuningdek, u juda ko'p vaqtni tejaydigan mashhur risklar va davolash usullariga ega risk bankini ham o'z ichiga oladi).Mezonlar ehtimollik uchun juda pastdan juda yuqorigacha bo'lgan oraliqni o'z ichiga oladi. Bu nimani anglatishini tushuntirishga ega, masalan. juda past bo'lsa, hech qanday hodisa tarixi yo'q va buning uchun maxsus ko'nikmalar va yuqori investitsiyalar kerak bo'ladi. Ta'sir mezonlari juda past va ahamiyatsiz oqibatlar va xarajatlar bilan, biznesning deyarli o'limiga qadar juda yuqori. Siz rasmni olasiz. Bu qiyin emas, faqat aniqlik va hujjatlashtirish kerak; aks holda mening 3×4 o‘lchamim siznikidan farq qilishi mumkin va biz sahifaning yuqori qismida boshlagan joyimizga qaytamiz.
4. Xavfni davolash
"Xavfga javobni rejalashtirish" deb ham ataladigan xavfni davolash xavfni davolash ortidagi dalillarni o'z ichiga olishi kerak. Oddiy so'zlar bilan aytganda, "xavfni davolash" bu siz xavfni nazorat qilish va toqat qilish uchun ichingizda qilayotgan ish bo'lishi mumkin yoki bu siz xavfni o'tkazish bo'yicha qadamlaringizni anglatishi mumkin (masalan, etkazib beruvchiga) yoki bu xavfni butunlay tugatish bo'lishi mumkin.
ISO 27001 bu erda ham juda yaxshi, chunki standart sizga ushbu davolashda ko'rib chiqilishi kerak bo'lgan nazorat maqsadlari to'plamini A ilovasini ham beradi, bu sizning Qo'llash mumkinligi haqidagi bayonotingizning asosini tashkil qiladi. A ilovasining boshqaruv elementlari, shuningdek, sizga “pastdan yuqoriga” qarash va bu siz ilgari xayolingizga ham keltirmagan xavflarni keltirib chiqarishi yoki yo‘qligini aniqlash imkoniyatini beradi.
5. Xavfni kuzatib boring va ko'rib chiqing
Xatarlarni boshqarish jarayonining monitoring va ko'rib chiqish bosqichining birinchi qismi monitoring va ko'rib chiqish jarayonlarini tavsiflashdan iborat. Buni quyidagi sohalarga bo'lish mumkin:
- Xodimlarning faolligi va xabardorligi
Jarayonga muntazam ravishda tegishli xodimlarni jalb qiling va fikr bildirish va qabul qilish uchun forumga ega bo'ling.
Sizda har bir xavf uchun egasi bo'lishi kerak, shuning uchun uni keng tan olingan "3 mudofaa chizig'i" modeliga muvofiq oldingi (birinchi) qatorga topshirishingiz mumkin.
- Boshqaruv sharhlari
Xavflarni ko'rib chiqish ushbu 9.3 kun tartibining standart qismidir va siz ushbu darajadagi xavf egalariga ega bo'lishga qaror qilishingiz mumkin, buning o'rniga operatsion ishni 1-qatorga topshirasiz, lekin egalik huquqini saqlab qolasiz.Sizning boshqaruv sharhlaringiz kamida yillik bo'lishi kerak (biz ko'proq muntazam bo'lishini tavsiya qilamiz), lekin ular har bir xavfni batafsil ko'rib chiqish va ushbu kun tartibidagi barcha narsalarni qamrab olish uchun etarlicha uzoq bo'lmasligi mumkin. Shunday qilib, biz xavf egasiga o'zining tarmoq holatiga qarab ko'rib chiqishni ko'rib chiqish vazifasi yuklangan jarayonni ham tavsiya qilamiz, masalan. juda yuqori ehtimollik va juda yuqori ta'sir xavfi uchun oylik tekshiruv, har yili esa juda past ehtimollik va juda past ta'sir xavfini ko'rib chiqish uchun yaxshi. Keyin siz auditoringizga risklarni ko'rib chiqish ularga yoqadigan ta'sir va ehtimollik asosida pragmatik ekanligini ko'rsatasiz.
- Yaxshilash
Ichki auditlar va 10-banddagi takomillashtirish bo'yicha boshqa mexanizmlardan foydalanish yanada strategik risklarni ko'rib chiqish jarayoni bilan yaxshi bog'lanishi mumkin.
ISO 27001:2013/17 risklarni boshqarish talablari
Xatarlarni boshqarish ifodalangan ikkita asosiy talab mavjud: 6-band Rejalashtirish va 8-band.8-band oddiygina 6.1 uchun tavsiflagan narsani amalga oshirish va ishlatish haqidadir, shuning uchun keling, biznesni yaxshi yuritish va sertifikat olish imkoniyatiga ega bo'lish uchun amalda yashash va undan nafas olish kerakligini bilib, 6.1 ga e'tibor qarataylik.
6.1-band: Xatarlar va imkoniyatlarni bartaraf etish bo'yicha harakatlar
Shuni ham eslaylikki, bu jarayon biznes maqsadlariga yo'naltirilishi kerak (ya'ni yuqoridagi kontekstni o'rnatish), shuning uchun siz axborot xavfsizligini boshqarish tizimini ko'rsatishingiz kerak:
*mo'ljallangan natijalarga erishish
*kiruvchi ta'sirlarni oldini olish yoki kamaytirish
*doimiy takomillashtirishga erishish
Agar siz yuqoridan pastga yondashuvni qo'llayotgan bo'lsangiz, avvalroq ISO talablarida siz tashkilotingizning konteksti va maqsadini u oldida turgan masalalar (4.1), manfaatdor tomonlar (4.2), ko'lami (4.3), axborot aktivlari va boshqalarni ko'rib chiqqan bo'lasiz. , bu quyidagi rasmda ko'rsatilgan (bu ISMS.online ichidagi ISO 27001 Virtual Coach dasturimizdan ko'chirma. Bu eng mantiqiy yondashuvdir.)
Risklarni boshqarish. Risklarni boshqarish - risklarni aniqlash, baholash, javob berish va bo‘lishi mumkin bo‘lgan ta’sirga tashkilot tomonidan javob berilishini amalga oshirish jarayoni. Risklarni boshqarish xavfsizlikning hayotiy siklida o‘zining muhim o‘miga ega, u davomiy va hattoki murakkablashib boruvchi jarayon hisoblanadi. Risklar turli tashkilotlar uchun turlicha bo‘lsada, risklarni boshqarishga tayyorgarlik ko‘rish barcha tashkilotlar uchun umumiy.
Risklarni boshqarish ularni aniqlashda tizimlashgan yondashuvni ta’minlaydi va quyidagi afzalliklarga ega:

bo‘lishi mumkin bo‘lgan risk ta’siri sohasiga e’tibor qaratadi;


risklarni darajalari bo‘yicha manzillaydi;


risklarni tutish jarayonini yaxshilaydi;


kutilmagan holatlarda xavfsizlik xodimini samarali harakat qilishiga ko‘mak beradi;


resurslardan samarali foydalanish imkonini beradi.


Risklarni boshqarishda muhim rollar va javobgarliklar. Risklarni boshqarishda rollar va javobgarliklar xodimlar o‘rtasida quyidagicha taqsimlangan:


Bosh boshqaruvchi. Bosh boshqamvchi tashkilotda risklarni boshqarish jarayonini olib borishga rahbar hisoblanib, risklar paydo bo‘lganiga qadar ularni aniqlash uchun talab qilinadigan siyosat va usullarni ishlab chiqadi. Bundan tashqari, kelajakda bo‘lishi mumkin bo‘lgan risklarni tutib olish uchun zarur ishlarni amalga oshirish ham uning vazifasi hisoblanadi.
Axborot texnologiyalari bo’yicha direktor. Mazkur lavozim egasi tashkilot axborot va kompyuter texnologiyalarini madadlash uchun zarur bo‘lgan siyosat va rejalarni amalga oshirishga javobgar. Ushbu lavozim egasi uchun asosiy javobgarlik - xodimlarni xavfsizlik bo‘yicha o‘qitish hamda axborot texnologiyalarida bo‘lishi mumkin bo‘lgan risklarning biznes jarayonlariga ta’sirini boshqarish.
Tizim va axborot egalari. Tizim va axborot egalarining vazifasi, asosan, axborot tizimlari uchun ishlab chiqilgan rejalar va siyosatlarni monitoringlab borish bo‘lib, quyidagi javobgarliklarni o‘z ichiga oladi:

sozlanishlarni boshqarish jarayoniga bog‘liq barcha muzokaralarda ishtirok etish;


axborot texnologiyalari komponentlari qaydlarini saqlash;


axborot tizimlarida barcha o‘zgarishlarni va ularning ta’sirlarini tadqiqlash;


barcha tizimlar uchun xavfsizlik holati bo‘yicha hisobotlarni tayyorlash;


axborot tizimlarini himoyalash uchun zarur bo‘lgan xavfsizlik nazoratini yangilab borish;


doimiy ravishda xavfsizlikka oid hujjatlarni yangilab borish;


mavjud xavfsizlik nazoratining samaradorligini ta’minlash bo‘yicha tekshirish va baholash.


Biznes va funksional menejerlar. Mazkur lavozim egalari tashkilotdagi barcha boshqaruv jarayonlarini madadlash uchun javobgar va bu vazifani bajarishlarida tashkilot rahbariyati tomonidan qo‘llab quvvatlanadi. Funksional menejeri turlari:


rivojlantirish jamoasi menejeri;


savdo menejeri;


mijozlarga xizmat ko‘rsatuvchi menejer.


AT xavfsizlik dasturi menedjerlari va kompyuter xavfsizligi bo ‘limi direktori. Ushbu lavozim egalari tizimni himoyalashda xavfsizlik nazoratini tanlash orqali axborot tizimi egalarini qo‘llab quvvatlaydi.


AT xavfsizlik amaliyotchilari. AT xavfsizlik amaliyotchilari tashkilotda shaxsiy, fizik va axborot xavfsizligini amalga oshirib quyidagilarga javobgardirlar:

tashkilotda xavfsizlikning yaxshiroq usullarini yaratish;


tashkilot standartlariga to‘liq mos keluvchi usullarni ishlab chiqish;


risklarni boshqarish va biznesni rejalashtirish uchun tashkilot xavfsizlik yondashuvlarini tekshirish;


xavfsizlik insidentlarini tutish va qaydlash;


tashkilotda xavfsizlik uchun rol va javobgarliklarni belgilash;


tashkilotdagi barcha xavfsizlik o‘lchovlarini nazoratlash.


Xavfsizlik boyicha murabbiy. Xavfsizlik bo‘yicha murabbiy tashkilotda tayyorgarlik va o‘quv kurslarini amalga oshiradi. Bu vazifaning, odatda, soha mutaxassislari tomonidan bajarilishi tavsiya etiladi.


Muhim risk ko‘rsatkichlari. Muhim risk ko‘rsatkichlari risklarni samarali boshqarish jarayonida asosiy tashkil etuvchi bo‘lib, dastlabki bosqichlarda harakatlarning xavflilik darajasini ko‘rsatadi. Muhim risk ko‘rsatkichlarini to‘g‘ri aniqlash tashkilot maqsadini tushunishni talab etadi. U tashkilotdagi risk ehtimolini ko‘rsatuvchi o‘lchov sifatida quyidagilarni amalga oshirishda yordam beradi:

hodisa ta’sirini aniqlash;


chegara qiymatda ogohlantirish;


risk hodisalarini qayta ko‘rish.


Muhim risk ko‘rsatkichi aniqlik bilan hisoblanishi va tashkilotning amalga oshirish ko‘rsatkichlariga salbiy ta’sirlarni aks ettirishi kerak. Bu yerda, tashkilotning amalga oshirish ko‘rsatkichi tashkilotni o‘zining maqsadalariga erishish jarayonini baholash ko‘rsatkichi hisoblanadi.


Risklarni boshqarish bosqichlari. Risklarni boshqarish uzluksiz jarayon va har bir bosqichning muvaffaqqiyatli amalga oshirilishi talab etiladi. U aniqlangan va faol ishlaydigan xavfsizlik dasturidan foydalangan holda xavfni maqbul darajada oldini oladi. Risklarni boshqarish jarayoni quyidagi asosiy to‘rtta bosqichga ajratiladi:
1.Risklarni aniqlash.
2. Risklarni baholash.
3. Risklarni bartaraf etish.
4. Risk monitoringi va qayta ko‘rib chiqish.
Har bir tashkilot risklarni boshqarish jarayonida yuqorida keltirilgan bosqichlarni bosib o‘tadi.
Risklarni aniqlash. Risklarni boshqarishdagi dastlabki qadam bo‘lib, uning asosiy maqsadi riskni tashkilotga zarar yetkazmasidan oldin aniqlash hisoblanadi. Risklarni aniqlash jarayoni mas’ul mutaxassislar qobiliyatiga bog‘liq bo‘lganligi tufayli, turli tashkilotlarda turlicha bo‘ladi. Risklarni aniqlash o‘zida tashkilot xavfsizligiga ta’sir qiluvchi ichki va tashqi risklarning manbasini, sabablarini, natijasini va h. aniqlashni mujassamlashtirgan. Risklar odatda quyidagi 4 ta muhim sohalarda vujudga keladi:

Muhit. Muhitga aloqador bo‘lgan risklar o‘zida ish joyidagi kamchiliklar, turli halaqitlar, issiq/ sovuq muhit, tutun, past yoritilganlik va elektr xavflari kabilarni birlashtiradi.


Jihoz. Jihozga aloqador risklar sifatida jihozlarning past ta’mirlanishi muhitini, ishlamasligini, mavjud bo‘lmasligini va vazifaga nomutanosibligini keltirish mumkin.


Mijoz. Mijozlar bilan bog‘liq risklar odatda muhim o‘zgarishlar, kutilmagan ko‘chishlar va zaif aloqa natijasida yuzaga keladi.


Vazifalar. Vazifalarga aloqador bo‘lgan risklarga yetarli bo‘lmagan bajarish vaqti, takroriy vazifalar, ishni loyihalash va xodimlar sonini yetarli bo‘lmasiligi orqali paydo bo‘luvchi risklar misol bo‘la oladi.


Riskni aniqlash risklarni boshqarish jarayonidagi turli og‘ishlarni kamaytiradi va bu, o‘z navbatida, kelajakda ta’sir qiluvchi omillar ehtimolini kamaytiradi. Risklarni aniqlashning ko‘plab usullari mavjud, ular asosida turli dasturiy vositalar ishlab chiqilgan. Aksariyat risklarni aniqlash jarayoni maxsus shakllantirilgan jamoa tomonidan amalga oshiriladi. Risklarni aniqlash jarayoni bir qancha omillarga, masalan, tarmoqning holati va jamoa a’zolarining risklarni boshqarishdagi qobiliyatlariga asoslanadi.


Risklarni baholash. Risklarni baholash bosqichida tashkilotdagi risklarga baho beriladi va bu risklarning ta’siri yoki yuzaga kelish ehtimoli hisoblanadi. Risklarni baholash - uzluksiz davom etuvchi jarayon riskka qarshi kurashish rejalarini amalga oshirish uchun imtiyozlarni belgilaydi. Risklarni baholash ularning miqdoriy va sifatiy qiymatini aniqlaydi. Har bir tashkilot risklarni aniqlash, daraj alarga ajratish va yo‘q qilish uchun o‘zining riskni baholash jarayonini qabul qilishi kerak.
Risklarni baholash taqdim etilgan risk turini, riskning ehtimoli va miqdorini, uning daraj asini hamda uni nazoratlash uchun rejani aniqlaydi. Tashkilotlar risklarni baholash jarayonini odatda xavf aniqlanganida va uni zudlik bilan nazoratlay olmaganlarida amalga oshiradilar. Riskni baholashdan so‘ng ma’lum vaqt mobaynida barcha axborot vositalarini yangilash talab etiladi.
Risklar baholanganidan so‘ng, ular tashkilotga keltiradigan miqdoriy zararga ko‘ra daraj alanadi. Daraj alarga ajratish risklarga qarshi kurashishga va resurslarni joylashtirishga yordam beradi. Taqdim etilgan risklarning daraj alari ularning miqdoriga bog‘liq bo‘ladi:

darajasi 1 -2 ga teng bo ‘ lgan risklarni zudlik bilan bartaraf etish yoki bartaraf etish imkoni bo‘lmasa, nazorat harakatlari orqali uning xavflilik darajasini tushirish talab etiladi.


darajasi 3-4 ga teng bo‘lgan risklarni qandaydir biror vaqt mobaynida bartaraf etish yoki xavfni nazoratga olish zarur hisoblanadi.


darajasi 5-6 ga teng risklarni imkoni bor bo‘lgan vaqtda bartaraf etish yoki imkoni bo‘lmasa xavfni nazoratga olish zarur.


Risklarni baholash quyidagi ikki bosqichda amalga oshiriladi:


Riskni tahlillash: risk tabiatini aniqlash va uning paydo bo‘lishi darajasini hisoblash bosqichi, risklarni nazoratlashga yordam beradi.
Riskni darajalarga ajratish: risklarni tahlillash jarayonida ularning miqdoriy jihatdan reytingini aniqlash va qarshi choralarni loyihalash bosqichi.
Risklarni bartaraf etish. Risklarni bartaraf etish jarayoni aniqlangan risklarni modifikatsiyalash maqsadida mos nazoratni tanlash va amalga oshirishni ta’minlab, miqdoriy darajasi yuqori bo‘lganlariga birinchi murojaat qilinadi. Ushbu bosqichda qaror qabul qilish riskni baholash natijasiga asoslanadi. Ushbu bosqichning asosiy vazifasi jiddiy hisoblangan risklarni nazoratlash uchun qarshi choralarni aniqlash bo‘lib, risklarni individual ravishda yo‘q qilish, monitoringlash va qayta ko‘rib chiqish uchun ularni darajalarga ajratish amalga oshiriladi.
Risklarni yo‘q qilishdan oldin quyidagi axborotni to‘plash talab etiladi:

mos himoya usulini tanlash;


himoya usuli uchun javobgar shaxsni tayinlash;


himoya narxini inobatga olish;


himoya usulining afzalligini asoslash;


muvaffaqqiyatga erishish ehtimolini aniqlash;


himoya usulini o‘lchash va baholash usulini aniqlash.


Agar aniqlangan risklarni bartaraf etish talab etilsa, risklarni boshqarish rejasini doimiy qayta ko‘rib chiqish va ishlab chiqish zarur bo‘ladi. Turli himoya usullari riskdan qochish, ularni kamaytirish va ular uchun javobgarliklarni boshqaga o‘tkazish kabi imkoniyatlarni taqdim etadi.


Xodimlardan risklarni kamaytirish yoki minimallashtirish uchun quyidagilarni amalga oshirishlari talab etiladi:

risklarni nazoratlash rejasini ishlab chiqish;


ko‘rsatilayotgan xizmatga risklarni ta’sirini aniqlash;


risklarni nazoratlash rejasini tugallash uchun qat’iy cheklovlarni qo‘yish;


risklarni nazoratlash strategiyasini amalga oshirish;


risklarni nazoratlashda mijoz harakatini aniqlash;


risklarni nazoratlash mobaynida madadlovchi xodimlar bilan aloqani o‘matish;


risklarni nazoratlash jarayonining bir qismi risklarni nazoratlash rejasini to‘liq hujjatlashtirish.


Risk monitoringi va qayta ko ‘rib chiqish. Samarali risklarni boshqarishning rejasi risklarni aniqlashni va baholashni kafolatli amalga oshirishda risk monitoringi va qayta ko‘rib chiqishni talab etadi.


Risk monitoringi quyidagi imkoniyatlarni beradi:

yangi risklarni paydo bo‘lish imkoniyatini aniqlaydi;


riskni bartaraf etuvchi mos nazorat usuli amalga oshirilganligini kafolatlaydi;


shuningdek, risk monitoringi riskning ehtimoli, ta’siri, holati va oshkor bo‘lishini o‘z ichiga oladi.


Riskni qayta ko‘rib chiqish:


orqali amalga oshirilgan risklarni boshqarish strategiyasining samaradorligi baholanadi;


yuqori ehtimollik risklardan ogoh bo‘lishni boshqarishni kafolatlaydi.


1. ISO/IEC 27001:2005, 31010:2011 “Axborot texnologiyasi. Xavfsizlikni ta’minlash usullari. Axborot xavfsizligini boshqarish tizimlari.


2. Axborot texnologiyasi. Xavfsizlikni ta’minlash metodlari, xavfsizligini boshqarishning amaliy qoidalari.
Axborot xavfsizligini boshqarish tizimlari (AXBT) sohasidagi standartlarning maqsadi AXBTni joriy etish va ekspluatatsiya qilishda amal qilinishi zarur bo‘ladigan modelni taqdim etishdan iborat.
AXBT standartlari turkumining vazifasi barcha turdagi va ko‘lamdagi tashkilotlarga AXBTni joriy etish va ekspluatatsiya qilishda yordam berish. AXBT standartlari turkumining yordamida tashkilotlar quyidagilarni amalga oshira oladilar:
a) moliyaviy axborotni, intellektual egaligi hisoblanadigan axborotni, xodimlarning shaxsiy ma’lumotlarini yoki ularga mijozlar tomonidan yoki uchinchi tomondan berilgan axborot kabi axborot aktivlarini himoya qilish uchun mo‘ljallangan AXBTni ishlab chiqish va joriy etish;
b) AXBTni mustaqil baholashga tayyorgarlik ko‘rish.
AXBT standartlarining turkumi quyidagilarni o‘z ichiga olgan standartlarni o‘z ichiga oladi:
a) AXBT va ushbu tizimlarni sertifikatlashtirishni bajaruvchi organlarga qo‘yiladigan talablar belgilangan;
b) AXBTni yaratish, joriy etish, ekspluatatsiya qilish va yaxshilashning barchasini o‘z ichiga olgan jarayonni amalga oshirish bo‘yicha batafsil qo‘llanmalar va/yoki amal qilinadigan ko‘rsatmalar yordamida bevosita qo‘llab–quvvatlash ta’minlangan;
c) muayyan faoliyat sohalarining AXBT uchun amal qilinadigan ko‘rsatmalar keltirilgan;
d) AXBT muvofiqligining bahosi ko‘rib chiqilgan.
AXBT standartlarining turkumiga, odatda, «Axborot texnologiyasi. Xavfsizlikni ta’minlash usullari» kabi umumiy nomga ega standartlar kiradi.
AXBT standartlarining turkumidan faqat boshqarish vositalarini joriy etish ko‘rib chiqiladigan standartlar chiqarib tashlangan vaqtda ushbu AXBT standartlarining turkumiga O‘z DSt ISO/IEC 27002 da keltirilgan boshqarish vositalari ko‘rib chiqiladigan standartlar taalluqlidir.
Ushbu standartda AXBT standartlarining turkumini ko‘rib chiqish predmeti hisoblanadigan AXBT sharhi va tegishli atamalar ta’riflari taqdim etilgan.
Ushbu standart axborot xavfsizligini boshqarish tizimlarining sharhini, shuningdek AXBT standartlarining turkumida ko‘p uchraydigan atamalar va ta’riflarni o‘z ichiga oladi.
Ushbu standart barcha turdagi tashkilotlarda (masalan, tijorat korxonalarida, notijorat tashkilotlarida va davlat muassasalarida) foydalanish uchun mo‘ljallangan.
AXBT standartlari turkumining afzalliklari
Axborot xavfsizligi risklarining pasayishi AXBTni joriy etishning asosiy afzalligi hisoblanadi (ya’ni axborot xavfsizligi insidentlarining ehtimolligi va/yoki ta’sirining kamayishi). Xususan, tashkilot uchun AXBT standartlari turkumini qabul qilish natijasida amalga oshirilgan va barqaror muvaffaqiyatga erishish imkonini beradigan afzalliklar quyidagilarni o‘z ichiga oladi:
a) tashkilot ehtiyojlarini turli operatsiyalar va bo‘linmalar yordamida qondiradigan, kompleks va rentabelli, samarali, integratsiyalangan va o‘rnatilgan AXBTni loyihalash, joriy etish, ishlash va ekspluatatsiya qilish jarayonini qo‘llab–quvvatlashga strukturalangan uslubni;
b) korporativ risklarni boshqarish va boshqarish usullari kontekstida, shu jumladan axborot xavfsizligini boshqarishga kompleks yondashish sohasida biznes va tizim egalarini o‘qitish va treninglarda rahbarlarga axborot xavfsizligini boshqarish jarayonini uzluksiz nazorat qilish va ishonchli ishlashida yordam berish;
c) tashkilotlarga ular faoliyatining o‘ziga xos shartlariga mos keladigan asosiy boshqarish vositalarini mustaqil ravishda tanlash va yaxshilash va ushbu vositalarni ichki va tashqi o‘zgarishlardan qati nazar ekspluatatsiya qilish imkonini beradigan axborot xavfsizligi sohasidagi hamma tan olgan xalqaro standartlardan foydalanishga nodirektiv yondashish;
d) biznes-sheriklar bilan, ayniqsa ular akkreditlangan sertifikatlashtirish organidan AXBTning O‘z DSt ISO/IEC 27001 talablariga muvofiqlik sertifikatini taqdim etishlarini talab qilganlarida ishonchni oqlashni yengillashtiradigan axborot xavfsizligining universal tili va konseptual asosi bilan ta’minlash;
e) manfaatdor tomonlarning tashkilotiga bo‘lgan ishonchini oshirish;
f) ijtimoiy talablar va umidlarni qoniqtirish;
g) axborot xavfsizligiga kiritiladigan iqtisodiy investitsiya- larni boshqarishning yuqori samaradorligi.
gishli atamalar ta’riflarini berish.
O‘z DSt ISO/IEC 27001 Axborot texnologiyalari. Xavfsizlikni ta’minlash metodlari. Axborot xavfsizligini boshqarish tizimlari. Talablar
Qo‘llash sohasi: Ushbu standart tashkilotning umumiy biznes- risklari kontekstida hujjatlashtirilgan AXBTni ishlab chiqish, joriy etish, uning ishlashi, monitoringini amalga oshirish, tahlil qilish va takomillashtirishga qo‘yiladigan talablarni belgilab beradi. Standart tashkilot yoki uning bo‘limlarining individual talablariga moslashgan xavfsizlikni boshqarish vositalarini joriy etishga qo‘yiladigan talablarni belgilaydi. Ushbu standart barcha turdagi tashkilotlarda qo‘llanadi (masalan, tijorat korxonalarida, notijorat tashkilotlarida va davlat muassasalarida).
Maqsad: AXBTni, shu jumladan tashkilot AXBT yordamida himoya qilishga urinadigan axborot aktivlari uchun risklarni boshqarish va ularni pasaytirishni amalga oshiradigan boshqarish vositalarining kompleksini ishlab chiqish va uning ishlashi bo‘yicha normativ talablarni belgilash. AXBTga ega tashkilotlar ularning auditini o‘tkazishlari va O‘z DSt ISO/IEC 27001 talablariga muvofiqligini sertifikatlashlari mumkin. AXBT O‘z DSt ISO/IEC 27001 standartidagi A ilovadagi muayyan talablarga javob berishi uchun boshqarish maqsadlari va vositalari muayyan shartlarga muvofiq AXBT jarayonining bir qismi sifatida tanlab olinishi kerak. O‘z DSt ISO/IEC 27001 - A.1-jadvalda sanab o‘tilgan boshqarish maqsadlari va elementlari O‘z DSt ISO/IEC 27002 standartining 5-15-bo‘limlaridan bevosita olingan.
O‘z DSt ISO/IEC 27002 Axborot texnologiyasi. Xavfsizlikni ta’minlash metodlari. Axborot xavfsizligini boshqarishning amaliy qoidalari
Qo‘llash sohasi: Ushbu standart boshqarish va zamonaviy boshqarish vositalarining hamma tan olgan maqsadlarining ro‘yxatini, shuningdek, axborot xavfsizligini ta’minlash uchun mo‘ljallangan boshqarish vositalarini tanlash va joriy etish bo‘yicha amal qilinadigan ko‘rsatmalarni o‘z ichiga oladi.
Maqsad: axborot xavfsizligini boshqarish vositalarini joriy etish bo‘yicha amal qilinadigan ko‘rsatmalarni taqdim etish.
Bunda 5–15-bo‘limlarda O‘z DSt ISO/IEC 27001 standartining A.5- bo‘limlarida belgilangan boshqarish vositalarini qo‘llab-quvvatlash usullari bo‘yicha aniq tavsiyalar va amal qilinadigan ko‘rsatmalar keltirilgan.
O‘z DSt ISO/IEC 27003 Axborot texnologiyasi. Xavfsizlikni ta’minlash usullari. Axborot xavfsizligini boshqarish tizimini joriy etish bo‘yicha qo‘llanma
Qo‘llash sohasi: Ushbu standart amal qilinadigan foydali ko‘rsatmalarni o‘z ichiga oladi va O‘z DSt ISO/IEC 27001 ga muvofiq AXBTni ishlab chiqish, joriy etish, uning ishlashi, monitoringini amalga oshirish, tahlil qilish, xizmat ko‘rsatish va takomillashtirish sohasidagi qo‘shimcha axborotni taqdim etadi.
Maqsad: O‘z DSt ISO/IEC 27001 ga muvofiq AXBTni muvaffaqiyatli joriy etish uchun jarayonli yondashish qo‘llanishini ta’minlash.
O‘z DSt ISO/IEC 27004 Axborot texnologiyasi. Xavfsizlikni ta’minlash usullari. Axborot xavfsizligini boshqarish tizimining samaradorligini o‘lchash.
Axborot xavfsizligi risklarini boshqarish uchun zarur bo'lgan asosiy mezonlarni belgilash, ko'lami va chegaralarini aniqlash hamda axborot xavfsizligi risklarini boshqarishni amalga oshirish uchun tegishli tuzilmani tuzishni o'z ichiga olgan axborot xavfsizligi risklarini boshqarish konteksti belgilanishi maqsadga muvofiq. Tashqi kontekst
•Tashkilot o'z maqsadlariga erishmoqchi bo'lgan tashqi muhit.
•O'z ichiga olishi mumkin:
•Madaniy, ijtimoiy, huquqiy, qonunchilik, moliyaviy, texnologik, iqtisodiy, xalqaro,mintaqaviy, milliy yoki mahalliy darajadagi tabiiy va bozor muhiti.
•Tashkilot maqsadlariga ta'sir qiluvchi asosiy omillar va tendentsiyalar
•Manfaatdor tomonlar munosabatlari, anglashuv va qiymatlili. Ichki kontekst
•– Tashkilot o'z maqsadlariga erishishga undaydigan ichki muhit.
•O'z ichiga olishi mumkin:
•Yetakchilik, tashkiliy tuzilma, vazifalar va mas'uliyat
•Siyosatlar, maqsadlar va ularga erishish strategiyalari
•Resurslar va bilimlarga nisbatan ko'rib chiqiladigan imkoniyatlar (masalan, kapital, vaqt, odamlar, jarayonlar, tizimlar va texnologiyalar)
•Axborot tizimlari, axborot oqimi va qaror qabul qilish jarayonlari (rasmiy va norasmiy)
•Ichki manfaatdor tomonlar bilan munosabatlar, ularning o'zaro anglashuv va qiymatlilik.
•Tashkilot madaniyati.
•Tashkilot tomonidan qabul qilingan standartlar, ko'rsatmalar va modellar
•Shartnoma munosabatlarining shakli va ko'lami.
Umumiy tahlil.Kirish ma’lumotlari: tashkilot to‘g‘risidagi, axborot xavfsizligi risklarini boshqarish kontekstini o‘rnatish uchun o‘rinli bo‘lgan barcha axborot. Ish: axborot xavfsizligi risklarini boshqarishning tashqi va ichki konteksti o‘rnatilishi kerak, bu, axborot xavfsizligi risklarini boshqarish uchun zarur bo‘lgan asosiy mezonlar o‘rnatilishini , ish sohalari va chegaralar aniqlanishini va axborot xavfsizligi risklarini boshqarishni amalga oshirish uchun tegishli struktura o‘rnatilishini ichiga oladi. Amalga oshirish bo‘yicha qo‘llanma: axborot xavfsizligi risklarini boshqarish maqsadini aniqlab olish zarur, chunki u umumiy jarayonga, xususan, kontekstni o‘rnatishga ta’sir qiladi.Bu maqsad:
- AXBTni qo‘llab-quvvatlash;- huquqiy muvofiqlik va yetarli e’tiborning isboti;
- biznes uzluksizligini ta’minlash rejasini tayyorlash;
- insidentlarga javob berish rejasini tayyorlash;
Tashkilotda risklarni boshqarish freymworki quyidagi harakatlarni aniqlaydi, tahlillaydi va amalga oshiradi:

riskka olib keluvchi harakatlarni bekor qilish orqali riskdan qochish;


risk ta’siri yoki ehtimolini minimallashtirish orqali riskni kamaytirish;


risklarni boshqarish jarayoni standartlarini taqdim qilish.


Tashkilotda risklarni boshqarish freymworkining asosiy maqsadlari quyidagilardan iborat:


tashkilotda risklarni boshqarishni tashkilot faoliyatini boshqarish bilan birlashtirish;


risklarni boshqarishning afzalliklarini o‘zaro bog‘lash;


risklarni boshqarish uchun tashkilotda rollarni va vazifalarni belgilash;


risklar to‘g‘risida hisobot berish va rivojlanish jarayonini standartlashtirish;


tashkilotda risklarni boshqarish uchun standart yondashuvlarni o‘matish;


risklarni boshqarishda resurslarga ko‘maklashish;


tashkilotda risklarni boshqarish doirasini va ilovalarini o‘matish;


tashkilotda risklarni boshqarishni takomillashtirish uchun vaqti-vaqti bilan tekshirish amalga oshiriladi.


Amalda tashkilotda risklarni boshqarish freymworklari sifatida NIST ERM, COSO ERM va COBIT ERM kabilardan keng foydalaniladi.


Risklarni boshqarishning axborot tizimlari (Risk Management Information Systems, RMIS). RMIS bu - boshqaruv axborot tizimi bo‘lib, axborotni saqlashni boshqarish, tahlillash va tashkilot tarmog‘i uchun risk to‘g‘risida ma’lumot olish imkoniyatini taqdim qiladi. Tashkilotlar risklarni boshqarish jarayonini optimallashtirish uchun RMIS bilan risklarni boshqarish freymworkini birlashtiradi. RMIS tizimlari quyidagi afzalliklarga ega:

ma’lumot ortiqchaligi va xatoligini kamaytirish orqali ma’lumot ishonchligini yaxshilaydi;


RMIS orqali xabarlar boshqamvining yaxshilanishi natijasida tashkilotdagi xarajatlar kamayadi;


RMIS, tashkilotning standartlariga muvofiq, risklarni boshqarish siyosatidan samarali foydalanishda yordam beradi.


RMIS turli omillar bo‘yicha hisobotlarni shakllantiradi va ushbu hisobotlar tashkilotda tarmoq risklari to‘g‘risida yaxlit tasavvurga ega bo‘lishga hamda ularni boshqarishga imkon beradi. Hosil qilingan RMIS hisoboti turlari unga yuborilgan so‘rov turiga bog‘liq bo‘ladi. RMIS quyidagi turdagi hisobotlarni shakllantiradi:


Standart hisobotlar: yuborilgan umumiy so‘rovlarga javob sifatida standart hisobotlarni shakllantiradi. Ushbu hisobot guruhga ajratilgan ma’lumotlardan tashkil topmaydi.


Maxsus hisobotlar: maxsus so‘rovlarga nisbatan turli guruhga tegishli ma’lumotlardan tashkil topgan maxsus javoblarni generatsiyalaydi. Amalda RMIS tizimining turli ko‘rinishidagi vositalaridan keng foydalaniladi. Ularga misol sifatida, Aon Enterprise Risk Management, Stars RMIS, RiskEnvision, RiskonnectRMIS, INFORM, Traveler’s e-CARMA vositalarini keltirish mumkin.


Tahlil qilish sifati sonli qiymatlarning to’laligi va aniqligiga hamda foydalaniladigan modellarning asoslanganligiga bog’liq. Ko’pgina hollarda, miqdor jihatdan tahlil qilishda o’tgan davr ichidagi insidentlar bo’yicha ma’lumotlardan foydalaniladi, uning afzalligi shundan iboratki, u axborot xavfsizligi va tashkilotning muammolari bilan to’g’ridan-to’g’ri bog’liq bo’lishi mumkin. Miqdor jihatdan tahlil qilishning kamchiligi yangi risklar yoki axborot xavfsizligi muammolari bo’yicha bunday ma’lumotlarni yetishmasligi hisoblanadi. Miqdor jihatdan tahlil qilishning kamchiliklari haqiqatda tekshiriladigan ma’lumotlardan foydalanib bo’lmaganda ko’rinadi, shuning uchun, riskni baholashning aniqligi va ahamiyatliligi illyuziyasi hosil bo’ladi.


Oqibatlar va ehtimollikni ifodalash usuli va risk darajasi to’g’risidagi ma’lumotlarni ta’minlash uchun ularni birlashtirish usullari, risk turiga va riskni baholashning chiqish ma’lumotlaridan foydalaniladigan maqsadga muvofiq o’zgaradi. Oqibatlar va ehtimollikning noaniqligi va o’zgaruvchanligi tahlil qilishda hisobga olinishi va u haqda samarali tarzda xabar qilinishi zarur. xavfsizligi risklarini boshqarish va kiberxavfsizlik risklarini boshqarish ham buning hosilalaridir. Ushbu ikkala xavf sohasining ham tashkilotlar uchun ahamiyati ortib bormoqda, shuning uchun ushbu maqolaning maqsadi uni amaliy va amaliy darajaga tushirishga yordam berishdir. Xususan, biz ISO 27001 standarti boʻyicha risklarni boshqarish va Maʼlumotlarni himoya qilish boʻyicha umumiy reglamentning (EI GDPR) xavfga yoʻnaltirilgan qismiga muvofiqlikka qanday erishishni aytib beramiz.
Xavfni boshqarishning turli usullari mavjud va biz ulardan ba'zilarini keyinroq maqolada ko'rib chiqamiz. Bitta o'lcham hammaga to'g'ri kelmaydi va hamma xavf ham yoyaratadi. Risklar ham imkoniyatlar yaratadi, lekin ko'pincha u tahdidga qaratilgan.
Foydalanilgan adabiyotlar


http://www.kompy.info › ref...
https://fayllar.org › 5-amaliy-...
https://www.kalitebelgesi.com › ...



Yüklə 146,7 Kb.

Dostları ilə paylaş:
1   2   3   4   5   6




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin