ISO/IEC 27001:2005 – “Axborot texnologiyalari. Xavfsizlikni ta’minlash
metodlari. Axborot xavfsizligini boshqarish tizimlari. Talablar”. Ushbu
standart axborot xavfsizligini boshqarish tizimini (AXBT) ishlab chiqish, joriy
etish, uning ishlashi, monitoringi, tahlili, unga xizmat ko‘rsatish va uni
takomillashtirish modeli va talablaridan iborat. AXBT joriy etilishi tashkilotning
strategik qarori bo‘lib qolishi kerak. AXBTni ishlab chiqish va joriy etishda
xavfsizlikning ehtiyojlari, maqsadlari, foydalaniladigan jarayonlari, tashkilotning
ko‘lami va strukturasi hisobga olinishi kerak. AXBT va uning yordamchi tizimlari
vaqt o‘tishi bilan o‘zgaradi degan taxmin bor. Shuningdek, AXBTni kengaytirish
masshtablari tashkilotning ehtiyojlariga bog‘liq bo‘ladi, masalan, oddiy vaziyat
AXBT uchun oddiy echimni talab qiladi. Muvofiqlikni baholash uchun ushbu
standartdan ichki va tashqi tomonlar foydalanishi mumkin.
49
Jarayonli yondashuv. Ushbu standart tashkilot AXBTni ishlab chiqish, joriy
etish, uning ishlashi, monitoringi, tahlili, unga xizmat ko‘rsatish va uni
takomillashtirishda jarayonli yondashuvning qo‘llanishiga yo‘naltirilgan.
Tashkilot muvaffaqiyatli ishlashi uchun faoliyatning ko‘p sonli o‘zaro
bog‘liq turlarini aniqlashi va ularni boshqarishni amalga oshirishi kerak.
Aktivlardan foydalanuvchi va kirishlarni chiqishlarga o‘zgartirish maqsadida
boshqariladigan faoliyatning barcha turlariga jarayonlar sifatida qarash mumkin.
Ko‘pincha bir jarayonning chiqishi keyingi jarayonning bevosita kirishini hosil
qiladi.
Tashkilotda jarayonlar tizimini identifikasiyalash va ularning o‘zaro harakati
bilan bir qatorda jarayonlar tizimidan foydalanish, shuningdek, jarayonlarni
boshqarish jarayonli yondashuv deb hisoblanishi mumkin.
Bunday yondashuv axborot xavfsizligida qo‘llanganda quyidagilarning
muhimligini ta’kidlaydi:
- tashkilotning axborot xavfsizligi talablarini va axborot xavfsizligi siyosati
va maqsadlarini belgilash zarurligini tushunish;
- tashkilot barcha biznes-tavakkalchiliklarning umumiy kontekstida tashkilot
axborot xavfsizligi xatarlarini boshqarish choralarini joriy etish va qo‘llash;
- AXBT unumdorligi va samaradorligining doimiy monitoringi va tahlili;
- ob’ektiv o‘lchashlar natijalariga asoslangan uzluksiz takomillashtirish.
Ushbu standartda AXBT har bir jarayonini ishlab chiqishda qo‘llanishi
mumkin bo‘lgan rejalashtirish – amalga oshirish – tekshirish - harakat [«Rlan-
Do-Check-Act» (PDCA)] modeli keltirilgan.
Ushbu model AXBT axborot xavfsizligi talablari va manfaatdor
tomonlarning kutilayotgan natijalaridan kiruvchi ma’lumotlar sifatida qanday
foydalanishini va zarur xatti-harakatlar va jarayonlarni amalga oshirish natijasida
e’lon qilingan talablar va kutilayotgan natijalarni qanoatlantirishidan dalolat
beradigan ma’lumotlarni olishini ko‘rsatadi.
Bundan tashqari, PDCA modeli «Axborot tizimlari va tarmoqlari xavfsizligi
bo‘yicha iqtisodiy hamkorlik va rivojlanish tashkilotining amaldagi
50
ko‘rsatmalariga mos keladi. Ushbu standart xatarlarni boshqarish, xavfsizlik
choralarini rejalashtirish va amalga oshirish, xavfsizlikni boshqarish va qayta
baholashda ushbu prinsiplarni qo‘llashning amaliy modelini taqdim etadi.
1-misol. Axborot xavfsizligining buzilishi tashkilot uchun jiddiy moliyaviy
yo‘qotishlarning va/yoki qandaydir qiyinchiliklarning sababi bo‘la olmaydi degan
talab qo‘yilishi mumkin.
2-misol. Qandaydir jiddiy mojaro, masalan, sayt yordamida elektron savdoni
amalga oshirayotgan tashkilot saytining buzilishi natijasida yuzaga keladigan holat
uchun – tashkilot buzilish oqibatlarini minimumga keltirish uchun yetarli bilim va
tajribaga ega bo‘lgan mutaxassislarga ega bo‘lishi kerak. 3.1-rasmda AXBT
jarayonlariga PDCA modelini qo‘llash ko’rsatilgan.
Boshqa boshqarish tizimlari bilan moslashuv. Ushbu standart boshqa
boshqaruv standartlari bilan moslashuvini yaxshilash va integrasiya qilish uchun
ISO 9001:2000 [2] va ISO 14001:2004 [3] standartlari bilan muvofiqlashtirilgan.
Kerakli tarzda loyihalashtirilgan bitta boshqaruv tizimi barcha ushbu
standartlarning talablariga javob berishga qodir. 3.1-jadvalda ushbu standartning
ISO 9001:2000 va ISO 14001:2004 standartlari bilan o‘zaro bog‘liqligi
ko‘rsatilgan.
Manfaatdor
tomonlar
Axborot
xavfsizligi
sohasidagi
talablar va
kutilayotgan
natijalar
Manfaatdor
tomonlar
Boshqariladigan
axborot xavfsizligi
AXBTni joriy etish va
uning ishlashi
AXBTni qo’llab-
quvvatlash va
yaxshilash
AXBTni ishlab chiqish
AXBT monitoringi va
tahlili
Rejalashtirish
Tekshirish
A
m
a
lg
a
o
s
h
ir
is
h
H
a
ra
k
a
t
3.1-rasm. AXBT jarayonlariga PDCA modelini qo‘llash.
51
Ushbu standart tashkilotga amaldagi AXBTni boshqa boshqaruv
tizimlarining tegishli talablari bilan moslashtirish yoki integrasiya qilish imkonini
beradi.
3.1-jadval.
|