3.Axborot xavfsizligini tashkil etish va aktivlarni boshqarish.
Axborot xavfsizligini boshqarishning zamonaviy tizimi Standartni ishlab chiquvchilar uning boshqaruv tizimini ishlab chiqish, amalga oshirish, ekspluatatsiya qilish, monitoring qilish, tahlil qilish, qo'llab-quvvatlash va takomillashtirish uchun namuna sifatida tayyorlanganligini ta'kidlamoqdalar. axborot xavfsizligi (ISMS). ISMS (axborot xavfsizligini boshqarish tizimi; ISMS) ishlab chiqish, amalga oshirish, ekspluatatsiya qilish, monitoring qilish, tahlil qilish, qo'llab-quvvatlash va takomillashtirish uchun biznes risklarini baholash usullaridan foydalanishga asoslangan umumiy boshqaruv tizimining bir qismi sifatida tavsiflanadi. axborot xavfsizligi. Tizim boshqaruv o'z ichiga oladi tashkiliy tuzilma, siyosat, rejalashtirish faoliyati, majburiyatlari, amaliyoti, protseduralari, jarayonlari va manbalari.
Standart foydalanishni o'z zimmasiga oladi jarayonga yondashish tashkilotning AXBTini ishlab chiqish, amalga oshirish, boshqarish, monitoring qilish, tahlil qilish, qo'llab-quvvatlash va takomillashtirish uchun. U barcha ISMS jarayonlarini tuzishda qo'llanilishi mumkin bo'lgan Reja - Do - Check - Act (PDCA) modeliga asoslangan. Shakl. 2.3 AXBT axborot xavfsizligi talablari va manfaatdor tomonlarning kutilgan natijalaridan foydalanishda kerakli harakatlar va jarayonlar orqali qanday qilib ushbu talablarga va kutilgan natijalarga javob beradigan axborot xavfsizligi natijalarini ishlab chiqishini ko'rsatadi.
Axborot xavfsizligini boshqarish tizimi (ISMS) axborot xavfsizligini yaratish, amalga oshirish, ishlatish, monitoring qilish, tahlil qilish, qo'llab-quvvatlash va takomillashtirishda biznes tavakkalchiligiga asoslangan umumiy boshqaruv tizimining ushbu qismiga ishora qiladi. ISMS jarayonlari tsiklga asoslangan ISO / IEC 27001: 2005 standartlariga muvofiq ishlab chiqilgan
Tizimning ishi zamonaviy xatarlarni boshqarish nazariyasining yondashuvlariga asoslangan bo'lib, bu uning tashkilotning umumiy xatarlarni boshqarish tizimiga qo'shilishini ta'minlaydi.
Axborot xavfsizligini boshqarish tizimini amalga oshirish axborot xavfsizligi xatarlarini, ya'ni natijada axborot aktivlari (istalgan shaklda va har qanday xarakterdagi ma'lumotlar) ni aniqlash, tahlil qilish va kamaytirishga qaratilgan tartibni ishlab chiqishni va amalga oshirishni nazarda tutadi. maxfiyligini, yaxlitligini va mavjudligini yo'qotadi.
Axborot xavfsizligi xatarlarini tizimli ravishda kamaytirishni ta'minlash uchun xatarlarni baholash natijalari bo'yicha tashkilotda quyidagi jarayonlar amalga oshirilmoqda:
· Axborot xavfsizligini ichki tashkil etishni boshqarish.
· Uchinchi shaxslar bilan o'zaro aloqada bo'lganda axborot xavfsizligini ta'minlash.
· Axborot aktivlari reestrini boshqarish va ularni tasniflash qoidalari.
· Uskunalar xavfsizligini boshqarish.
· Jismoniy xavfsizlikni ta'minlash.
· Xodimlarning axborot xavfsizligini ta'minlash.
· Axborot tizimlarini rejalashtirish va qabul qilish.
· Zaxira nusxasi.
· Tarmoq xavfsizligini ta'minlash.
Axborot xavfsizligini boshqarish tizimidagi jarayonlar tashkilotning AT-infratuzilmasini boshqarishning barcha jihatlariga ta'sir qiladi, chunki axborot xavfsizligi axborot texnologiyalari bilan bog'liq jarayonlarning barqaror ishlashi natijasidir.
Kompaniyalarda ISMS qurishda mutaxassislar quyidagi ishlarni bajaradilar:
· Loyihani boshqarishni tashkil etish, buyurtmachi va pudratchi tomonidan loyiha guruhini tuzish;
· AXBT faoliyat doirasini aniqlang;
OD ISMS-da tashkilotni o'rganish:
o tashkilotning biznes jarayonlari, shu jumladan axborot xavfsizligi bilan bog'liq hodisalarning salbiy oqibatlarini tahlil qilish nuqtai nazaridan;
o tashkilotni boshqarish jarayonlari, shu jumladan mavjud sifat menejmenti va axborot xavfsizligini boshqarish jarayonlari nuqtai nazaridan;
o IT infratuzilmasi nuqtai nazaridan;
o axborot xavfsizligi infratuzilmasi nuqtai nazaridan.
Asosiy biznes-jarayonlar ro'yxati va ularga nisbatan axborot xavfsizligiga tahdidlarni amalga oshirish oqibatlarini baholash, boshqaruv jarayonlari, IT-tizimlar, axborot xavfsizligi quyi tizimlari (ISS) ro'yxati, tahliliy hisobotni ishlab chiqish va kelishish. tashkilotning barcha ISO 27001 talablarini bajarishi darajasini va jarayonlar tashkilotlarining etukligini baholash;
· AXBTning boshlang'ich va maqsadli etuklik darajasini tanlang, AXBT etukligini oshirish dasturini ishlab chiqing va tasdiqlang; yuqori darajadagi axborot xavfsizligi hujjatlarini ishlab chiqish:
o Axborot xavfsizligi kontseptsiyasi,
o IS va ISMS siyosati;
· Tashkilotda qo'llaniladigan xatarlarni baholash metodologiyasini tanlash va moslashtirish;
· ISMS jarayonlarini avtomatlashtirish uchun foydalaniladigan dasturiy ta'minotni tanlash, etkazib berish va tarqatish, kompaniya mutaxassislari uchun treninglarni tashkil etish;
· Xatarlarni baholash va qayta ishlash, bu davrda ularni kamaytirish uchun 27001 standartidagi A ilovasining choralari tanlanadi va ularni tashkilotda tatbiq etish uchun talablar shakllantiriladi, axborot xavfsizligining texnik vositalari oldindan tanlanadi;
· PIB loyihalarining loyihalarini ishlab chiqish, xavfni davolash xarajatlarini baholash;
· Xavfni baholashni tashkilotning yuqori rahbariyati tomonidan tasdiqlanishini tashkil etish va Ilova to'g'risidagi bayonotni ishlab chiqish; axborot xavfsizligini ta'minlash bo'yicha tashkiliy choralarni ishlab chiqish;
· Tanlangan tadbirlarni amalga oshirishni qo'llab-quvvatlaydigan axborot xavfsizligining texnik quyi tizimlarini amalga oshirish bo'yicha texnik loyihalarni ishlab chiqish va amalga oshirish, shu jumladan uskunalar etkazib berish, ishga tushirish, ekspluatatsion hujjatlarni ishlab chiqish va foydalanuvchilarni o'qitish;
· Qurilgan ISMSda ishlash vaqtida maslahat berish;
· Ichki auditorlar uchun treninglar tashkil etish va ISMS ichki auditlarini o'tkazish.
Ushbu ishlarning natijasi - faoliyat yuritayotgan AXBT. Kompaniyada ISMSni joriy etishning afzalliklari quyidagilar orqali amalga oshiriladi:
· Axborot xavfsizligi sohasida qonuniy talablar va biznes talablariga rioya etilishini samarali boshqarish;
· IS hodisalarining oldini olish va ular yuzaga kelgan taqdirda zararni kamaytirish;
· Tashkilotda axborot xavfsizligi madaniyatini oshirish;
· Axborot xavfsizligini boshqarish sohasida etuklikni oshirish;
· Axborot xavfsizligini ta'minlashga sarf-xarajatlarni optimallashtirish.