zaxira nusxalari, falokatlarni tiklash va boshqalar.
Korxonaning axborot xavfsizligini ta’minlash faqat himoyaga tizimli va kompleks
yondashuv orqali amalga oshiriladi va UPS ma’lumotlar xavfsizligiga ta’sir qiluvchi
va yil davomida amalga oshiriladigan barcha muhim voqealar va shartlarning
doimiy to‘liq monitoringini o‘z
ichiga oladi
[64]
.
Korxonaning axborot xavfsizligiga korporativ ma’lumotlarni himoya qilishga
qaratilgan tashkiliy va texnik chora-tadbirlarning butun majmuasi orqali erishiladi.
Tashkiliy chora-tadbirlarga har xil turdagi axborotlar, AT xizmatlari, xavfsizlik
vositalari va boshqalar bilan ishlash bo‘yicha hujjatlashtirilgan tartib va qoidalar
kiradi. Texnik chora-tadbirlarga apparat va dasturiy ta’minotdan
foydalanishni
nazorat qilish, oqish monitoringi, virusga qarshi himoya, xavfsizlik devori,
elektromagnit nurlanishdan himoya qilish va boshqalar kiradi
[65]
.
Axborot xavfsizligini ta’minlash doimiy jarayon bo‘lib, besh asosiy bosqichni o‘z
ichiga oladi:
1. xarajatlar smetasi;
2. xavfsizlik siyosatini ishlab chiqish;
3. siyosatni amalga oshirish;
4. mutaxassislarni malakali tayyorlash;
5. audit.
Axborot xavfsizligini ta’minlash jarayoni mulkni baholashdan,
tashkilotning
axborot aktivlarini, ushbu ma’lumotlarga tahdid soluvchi omillarni va uning
zaifligini, tashkilot uchun umumiy xavfning ahamiyatini aniqlashdan boshlanadi.
Mulkga qarab, ushbu aktivlarni himoya qilish dasturi tuziladi. Xavf aniqlangan va
miqdori ochiqlangandan so‘ng ushbu xavfni kamaytirishning iqtisodiy jihatdan
samarali qarshi choralari tanlanishi mumkin.
Axborot xavfsizligini baholashning maqsadlari:
axborot aktivlarining qiymatini aniqlash;
ushbu aktivlarning maxfiyligi, yaxlitligi, mavjudligi va/yoki
identifikatsiya
qilinishiga tahdidlarni aniqlash;
tashkilotning amaliy faoliyatidagi mavjud nnuqsonlarni aniqlash;
tashkilotning axborot aktivlari bilan bog‘liq risklarini aniqlash;
mavjud ish amaliyotida xavflar hajmini maqbul darajada kamaytiradigan
o‘zgarishlarni taklif qilish;
xavfsizlik loyihasini yaratish uchun asos yaratish.
Baholashning beshta asosiy turi:
Tizim darajasida zaifliklarni baholash. Kompyuter tizimlari ma’lum zaifliklar va
oddiy muvofiqlik siyosatlari uchun tekshiriladi.
Tarmoq darajasida baholash. Mavjud kompyuter tarmog‘i va axborot
infratuzilmasi baholanadi, xavf zonalari aniqlanadi.
Tashkilot ichidagi xavflarni umumiy baholash. Uning axborot aktivlariga
tahdidlarni aniqlash uchun butun tashkilot tahlil qilinadi.
Audit. Tashkilotning mavjud siyosati va ushbu siyosatga muvofiqligi
tekshiriladi.
Penetratsiya testi. Tashkilotning simulyatsiya qilingan kirishga javob berish
qobiliyati o‘rganiladi.
Baholash jarayonida quyidagi hujjatlar tekshirilishi lozim:
Xavfsizlik
siyosati;
axborot siyosati;
zaxira siyosati va protseduralari;
ishchining ma’lumotnomasi yoki ko‘rsatmalari;
ishchilarni yollash va ishdan bo‘shatish tartibi;
dasturiy ta’minotni ishlab chiqish metodologiyasi;
dasturiy ta’minotni o‘zgartirish metodologiyasi;
telekommunikatsiya siyosati;
tarmoq diagrammalari.
Yuqoridagi siyosat va protseduralar amalga oshirilgandan so‘ng, har birining
tegishliligi, qonuniyligi, to‘liqligi va dolzarbligi tekshiriladi, chunki siyosat va
protseduralar hujjatda belgilangan maqsadga muvofiq bo‘lishi kerak.
Baholashdan so‘ng kutilayotgan xavfsizlik holati va zarur ishlar ro‘yxatini
belgilaydigan siyosat va tartiblarni ishlab chiqish lozim. Chunki, hech qanday
siyosat bo‘lmasa, tashkilot samarali UPS dasturini
ishlab chiqadigan va amalga
oshiradigan reja ham bo‘lmaydi.
Axborot xafsizligini ta’minlashda quyidagi siyosat va tartiblarni ishlab chiqish
lozim: