|
1-mustaqil ish mavzu: bs 7799-1: 2005 – Britaniya standard(Axborot xavfsizligini boshqarish amaliyoti) tavfsifi Bajardi
|
| bet | 2/3 | | Sana | 28.05.2024 | | Hajmi | 91,5 Kb. | | #255681 |
Bog'liq 1GrTT-q8WWV7ct2RJC5XWJb6j DSO2t II. ASOSIY QISM.
2.1- Tavsif va Tafsilotlar Britaniya standarti 7799
BS 7799-1 birinchi marta 1995 yilda axborot xavfsizligi bo'yicha eng yaxshi tajribalarni o'z ichiga olgan keng qamrovli boshqaruv vositalarini taqdim etish uchun chiqarilgan. 1999 yilda yangilandi va 2000 yilda ISO17799 ga aylandi. BS7799-2 2002 yilda chiqarilgan, bu safar axborot xavfsizligini boshqarish tizimlariga e'tibor qaratildi. Bu 2005 yil oktyabr oyida ISO 27001 standartiga aylandi. BS 7799 ning so'nggi versiyasi ""BS 7799-3:2005 Axborot xavfsizligini boshqarish tizimlaridir. Axborot xavfsizligi risklarini boshqarish bo'yicha ko'rsatmalar "" AXBT risklarini boshqarish siklining barcha jihatlari bo'yicha ISO 27001da berilgan talablarni qo'llab-quvvatlash bo'yicha ko'rsatmalar berishni maqsad qilgan.
Britaniya standarti 7799 MT-ni tuzishda bir necha kritik nuqtalar mavjud bo'lishi mumkin, masalan:
Ma'lumot Xavfsizligi Politiikasi: Ma'lumot xavfsizligi polisiyaning qanday shakllantirilishi, qanday ko'rsatuvlar va taqibotlar ko'rsatilishi kerakligi haqida qaror qilinishi kerak.
Tizimni Boshqarish: Ma'lumot tizimlarini o'rnatish va ularni boshqarish bo'yicha protseduralar va usullarni belgilash, tizim administratorlarining vazifalari va maqsadlari.
Xavfsizlik Sozlamalari: Ma'lumot tizimlarini xavfsizlik sozlamalari, sozlovchi va to'g'ridan-to'g'ri amalga oshirish tartibi.
Ma'lumotni Himoya Qilish: Ma'lumotni himoya qilishga oid tegishli usullar, soha tahlillari, vaqtdagi boshqa tekshiruvlar va boshqa xavfsizlik muammo va yechimlari.
Ma'lumotni Saklash: Ma'lumotni saqlash uchun tavsiya etilgan xavfsizlik protokollari, ta'minotlar va qulayliklar.
O'qimish: Ma'lumotlarni tayyorlash, uzatish, o'qimish, va ma'lumotlar o'rniga joylashtirish bo'yicha protseduralar va usullar.
Britaniya standarti 7799, ma'lumot xavfsizligi va uni boshqarish sohasidagi keng qamrovli tajribani ta'minlash maqsadida yaratilgan va tashkil etilgan standart sifatida taniladi. Ushbu standart bir nechta sohaga oid yordamchi qonunlar va talablar bilan birgalikda ishlaydi va ma'lumot tizimlarini tashkil etish, ularni boshqarish va ta'minlash bo'yicha qat'iylik va yaxshi amaliyotni ta'minlayd
2.2- Axborot xavfsizligi nima?
BS 7799 ma'lumot boshqa muhim biznes aktivlari kabi tashkilot uchun qadrli bo'lgan va shuning uchun tegishli tarzda himoyalanishi kerak bo'lgan aktivdir. Axborot xavfsizligi biznesning uzluksizligini ta'minlash, biznes zararini minimallashtirish va investitsiyalar va biznes imkoniyatlaridan maksimal foyda olish uchun axborotni turli tahdidlardan himoya qiladi.
Axborot turli shakllarda mavjud bo'lishi mumkin. U qog'ozda chop etilishi yoki yozilishi, elektron shaklda saqlanishi, pochta orqali yoki elektron vositalar yordamida uzatilishi, filmlarda ko'rsatilishi yoki suhbatda gapirish mumkin. Axborot qanday shaklda bo'lishidan qat'i nazar, uni almashish yoki saqlash vositalaridan qat'i nazar, BS 7799 uni har doim tegishli tarzda himoya qilish kerakligini bildiradi.
Axborot xavfsizligi BS 7799 doirasida quyidagilarning saqlanishi sifatida tavsiflanadi:
konfidensiallik: ma'lumotlardan faqat kirish huquqiga ega bo'lganlar foydalanishini ta'minlash;
yaxlitlik: axborot va qayta ishlash usullarining aniqligi va to'liqligini ta'minlash;
mavjudligi: vakolatli foydalanuvchilarning axborot va tegishli aktivlarga kerak bo'lganda foydalanish imkoniyatini ta'minlash.
Axborot xavfsizligiga siyosatlar, amaliyotlar, protseduralar, tashkiliy tuzilmalar va dasturiy ta'minot funktsiyalari bo'lishi mumkin bo'lgan BS 7799 ning tegishli boshqaruv vositalarini amalga oshirish orqali erishiladi. Tashkilotning xavfsizlik bo'yicha aniq maqsadlari bajarilishini ta'minlash uchun ushbu nazoratni o'rnatish kerak.
BS 7799 tashkilot o'zining xavfsizlik talablarini aniqlashi muhimligini ta'kidlaydi. Uchta asosiy manba mavjud:
Birinchi manba tashkilot uchun xavflarni baholashdan olingan. BS 7799 metodologiyani belgilamaydi.
Ikkinchi manba - bu tashkilot, uning savdo sheriklari, pudratchilar va xizmat ko'rsatuvchi provayderlar qondirishi kerak bo'lgan huquqiy, qonuniy, normativ va shartnomaviy talablar.
Uchinchi manba - bu tashkilot o'z faoliyatini qo'llab-quvvatlash uchun ishlab chiqqan ma'lumotlarni qayta ishlash tamoyillari, maqsadlari va talablari.
2.3- Xavfsizlik xavflarini baholash
BS 7799 xavfsizlik talablari xavfsizlik xavflarini metodik baholash orqali aniqlanishini taklif qiladi. Nazorat qilish uchun sarflanadigan xarajatlar xavfsizlikning nosozliklari natijasida yuzaga kelishi mumkin bo'lgan biznes zarariga nisbatan muvozanatli bo'lishi kerak. Xatarlarni baholash va boshqaruv vositalarini tanlash jarayoni tashkilotning turli qismlarini yoki alohida axborot tizimlarini qamrab olish uchun bir necha marta bajarilishi kerak bo'lishi mumkin va xavfsizlik risklari va amalga oshirilgan nazoratni davriy tekshirishni amalga oshirish muhimdir.
Boshqaruv vositalarini tanlash.Xavfsizlik talablari aniqlangandan so'ng, xavflarni maqbul darajaga kamaytirish uchun BS 7799 boshqaruv elementlari tanlanishi va amalga oshirilishi kerak. Nazorat vositalari kamaytirilayotgan xatarlarga va xavfsizlik buzilishi sodir bo'lganda yuzaga kelishi mumkin bo'lgan yo'qotishlarga nisbatan amalga oshirish narxiga qarab tanlanishi kerak. Obro'ni yo'qotish kabi pul bo'lmagan omillarni ham hisobga olish kerak.
Xavfsizlik masalalari kundalik hayotning ajralmas qismiga aylangan va tashkilotlar ularning tegishli tarzda ta'minlanishini ta'minlashi kerak. Qonun chiqaruvchi organlar korporativ boshqaruv qonunlarini qabul qilar ekan, tobora koʻproq korxonalar oʻz sotuvchilari va hamkorlari axborot aktivlarini xavfsizlik xatarlaridan toʻgʻri himoya qilishiga ishonch hosil qilishmoqda va biznes uzluksizligini taʼminlash uchun zarur choralarni koʻrmoqda. Xavfsizlikni boshqarish sertifikati aynan shunday kafolatni ta'minlaydi va shu bilan mijoz va hamkorlar ishonchini oshiradi.
2.4-Tashkilotlarga o'zlarining xavfsizlik xavflarini baholash
Tashkilotlarga o'zlarining xavfsizlik xavflarini baholash, tegishli xavfsizlik nazoratini amalga oshirish va boshqaruv talablariga, shuningdek, maxfiylik va axborot xavfsizligi qoidalariga rioya qilishga yordam beradigan bir qator eng yaxshi amaliyot asoslari mavjud. Mavjud bo'lgan turli xil ilg'or amaliyot tizimlaridan eng keng qamrovli yondashuv axborot xavfsizligini boshqarish bo'yicha xalqaro standart ISO/IEC 17799 va keyinchalik Britaniyaning axborot xavfsizligi bo'yicha BS 7799 standartiga muvofiq sertifikatlashtirishga asoslangan. Ushbu ISO 17799/BS 7799 ramka ishi tashkilotlarga uchinchi tomon tekshiruvidan o'tishga imkon beradigan yagona narsadir.
Tashkilotlar bugungi kunda ko'plab axborot xavfsizligi xavflari bilan kurashishlari kerak. Terrorchilik xurujlari, yong‘inlar, suv toshqinlari, zilzilalar va boshqa ofatlar axborotni qayta ishlash vositalari va muhim hujjatlarni yo‘q qilishi mumkin. Tijorat sirlarini o'g'irlash va kompyuterning kutilmagan yopilishi natijasida ma'lumotlarning yo'qolishi korxonalarning tijorat afzalliklarini yo'qotishiga olib kelishi mumkin. CGI/FBI kompyuter jinoyatlari va xavfsizlik tadqiqoti ma'lumotlariga ko'ra, 2004 yilda Qo'shma Shtatlarda kompyuter xavfsizligi buzilishi natijasida jami yo'qotishlar 141,496,560 dollarga yetgan. Tashkilotlar ko'pincha Sarbanes-Oksli qonuni (SOX) va Sog'liqni saqlash sug'urtasi portativligi va javobgarligi to'g'risidagi qonun (HIPAA) kabi turli tartibga soluvchi talablarga rioya qilish harakatlarining bir qismi sifatida xavfsizlik masalalarini hal qiladilar. Biroq, xavfsizlikning barcha jihatlarini hal qilish uchun tashkilotlar metodik muvofiqlik tizimidan foydalangan holda yanada kengroq yondashuvni amalga oshirishlari kerakligi tobora ravshan bo'lib bormoqda.
Muvofiqlik har doim ham oddiy emas. META Group o'zining "Xavfsizlik va xavflarni tartibga solish" oq qog'ozida ta'kidlaganidek, tartibga soluvchi talablarni tartibga soluvchi qonunchilik ko'pincha tashkilotlarga qanday rioya qilishni bilishi kerak bo'lgan o'ziga xosliklarga ega emas. META Group ma'lumotlariga ko'ra, bunday qonunchilikdan ta'sirlangan kompaniyalar va muassasalar o'zlarining tashkilotlari uchun qaysi xavfsizlik nazorati mos kelishini o'zlari hal qilishlari kerak.
Bundan tashqari, sertifikatlash amalga oshirilayotgan boshqaruv vositalari axborot xavfsizligi talablariga javob berishini kafolatlashini hisobga olgan holda, korxonalar soni ortib bormoqda, uchinchi tomon tashkilotlaridan xavfsizlik sertifikatini olishga intilmoqda. Sertifikatlash tashkilotlarga moliyaviy institutlar va sug'urta kompaniyalarining xavfsizlik auditi bo'yicha ortib borayotgan talablarini qondirish imkonini beradi. Bundan tashqari, u maxfiy mijoz va biznes ma'lumotlarini boshqarish va himoya qilish uchun tegishli xavfsizlik nazoratini amalga oshirish uchun tashkilot salohiyatiga ishonchni mustahkamlaydi.
2.5- Xavfsizlik nazoratini amalga oshirishni osonlashtirish
Xavfsizlik nazoratini amalga oshirishni osonlashtiradigan eng yaxshi amaliyotlar qatoriga Axborot va tegishli texnologiyalarni boshqarish maqsadlari (COBIT), ISO/IEC 17799/BS 7799, Axborot texnologiyalari infratuzilmasi kutubxonasi (ITIL) va Operatsion jihatdan muhim tahdidlar, aktivlar va zaifliklarni baholash (OCTAVE) kiradi. . ISO/IEC 17799 standartiga e'tibor qaratish kafolatlanadi, chunki u axborot xavfsizligini boshqarishga eng keng qamrovli yondashuvni taqdim etadi. Boshqa eng yaxshi amaliyotlar ko'proq IT boshqaruviga, umuman olganda yoki axborot xavfsizligining texnik jihatlariga qaratilgan. (3-jadvalga qarang.) Bundan tashqari, ISO 17799/BS 7799 yagona eng yaxshi amaliyot asosidir...
BS 7799 ning birinchi qismi (ISO/IEC 17799 sifatida qabul qilingan) “Axborot xavfsizligini boshqarish boʻyicha amaliyot kodeksi” deb nomlanadi va 10 ta sarlavhadan iborat boʻlib, 127 ta xavfsizlik boshqaruvini oʻz ichiga oladi, ular batafsilroq tavsiflanadi (Gamma Secure Systems, 2001). ). Har bir nazoratni amalga oshirish har bir firma uchun zarur emas, lekin ularning soni ma'lum bir biznes uchun ko'rsatmalarni moslashtirish imkoniyatini ta'minlaydi. 1998 yilda paydo bo'lgan BS 7799 ning ikkinchi qismi "Axborot xavfsizligini boshqarish tizimlari uchun spetsifikatsiya" deb nomlanadi va firmalarni baholash va ro'yxatga olish uchun mo'ljallangan (BSI, 2002, para. 6).
1998 yildan keyin standart rivojlanishda davom etdi. Yangi BS7799-3 ISO 27001 ( BS7799 va ISO 17799 Awareness , nd, para. 3) ga mos keladigan ramka hisoblanadi. Oxirgi standart “axborot xavfsizligini boshqarish tizimi uchun xalqaro miqyosda tan olingan eng yaxshi amaliyot asosi” sifatida tavsiflangan (BSI, 2015, para. 2). Shu sababli, o'tgan asrda yaratilgan standart nomini saqlab qolgan holda, BS7799 o'zgaruvchan muhitga moslashmoqda.
BS7799 asosi bir nechta boshqaruv vositalari orqali axborot xavfsizligini yaxshilashga qaratilgan (Trinity Security Services, 2004, para. 4). O'nta asosiy nazorat sohasiga "xavfsizlik siyosati, xavfsizlikni tashkil etish, aktivlarni nazorat qilish va tasniflash, xodimlar xavfsizligi, jismoniy va ekologik xavfsizlik, aloqa va operatsiyalarni boshqarish, kirishni boshqarish, tizimlarni ishlab chiqish va texnik xizmat ko'rsatish, biznesning uzluksizligini boshqarish va muvofiqlik" kiradi (Trinity Security Services) , 2004, para. 5, 2001, para. 4-8, Teobald, 2005). Xulosa qilib aytganda, BS 7799 tashkilotning barcha aktivlari uchun maxsus yaratilgan xavfsizlik siyosatiga muvofiq va maxsus yaratilgan tizimlar va protseduralar orqali xavfsizlikni ta'minlashga qaratilgan. Himoya tashqi va ichki tahdidlarga qarshi qaratilgan (qarang: xodimlar va ekologik xavfsizlik) va biznesni uzluksiz olib borish imkoniyati uchun talab qilinadi. Nihoyat, BS 7799 tartibga solish va qonunlarga rioya qilish bilan bog'liq. Natijada, BS 7799 odatda barcha mumkin bo'lgan tahdidlarni qoplash maqsadida axborotga tahdid soladigan tashqi va ichki xavflarning keng doirasini aniqlash, boshqarish va minimallashtirish uchun asos yaratadi.
|
|
Bosh sahifa
Aloqalar
Bosh sahifa
1-mustaqil ish mavzu: bs 7799-1: 2005 – Britaniya standard(Axborot xavfsizligini boshqarish amaliyoti) tavfsifi Bajardi
|
