O’ZBEKISTON RESPUBLIKASI RAQAMLI
TEXNOLOGIYALAR VAZIRLIGI
Muhammad Al-Xorazmiy nomidagi
Mavzu:
Mavjud axborot xavfsizligi
risklarni boshqarish vositalarini aniqlash
Bajardi:Sodiqov Kamron
Guruh: 850-22
Reja:
•
Axborot xavfsizligi risklarini tahlili
•
Risklarni boshqarish sohasiga oid xalqaro standartlar va
milliy standartlar
•
Axborot xavfsizligi risklarini boshqarishda tashkilot
tuzilmasini ahamiyati.
•
Risklarni boshqarishning axborot tizimlari
Har qanday tashkilotning faoliyati xavf bilan bog’liq. Bu shuni anglatadiki,
kelajakda qanday nojo’ya hodisalar sodir bo’lishi yoki bo’lmasligini aniqlashning
iloji yo’q. Axborot muhim ahamiyatga ega bo’lganligi sababli axborot xavfsizligi
masalalari birinchi o’ringa chiqdi. Tashkilot axborot xavfsizligi insidenti yuz
berganda zarar ko’rishi, shu jumladan kutilmagan xarajatlar va mijozlarning
ehtimoliy yo’qotishi mumkin. Ayniqsa, muhim obyektlar uchun uning oqibatlari
ancha jiddiy bo’lishi aniq. Shunday qilib, tashkilot xavfsizligi axborot
tahdidlaridan himoyasini ta’minlash uchun axborot xavfsizligi risklarini boshqarish
zarur. Axborot xavfsizligi risklarini boshqarish va kiberxavfsizlik risklarini
boshqarish ham buning hosilalaridir. Ushbu ikkala xavf sohasining ham
tashkilotlar uchun ahamiyati ortib bormoqda, shuning uchun ushbu maqolaning
maqsadi uni amaliy va amaliy darajaga tushirishga yordam berishdir. ISO
31000:2018 xavfni “noaniqlikning maqsadlarga taʼsiri” sifatida belgilaydigan
risklarni boshqarish boʻyicha Xalqaro standartlar tashkiloti (ISO) standartining
yaqinda yangilangan versiyasidir.
Axborot xavfsizligi risklarini boshqarish (ISRM) - bu tashkilotning qimmatli
ma'lumotlari atrofidagi xavflarni aniqlash, baholash va davolash jarayoni. U
istalgan biznes natijalariga erishishni ta'minlash uchun ushbu aktivlar atrofidagi
noaniqliklarni hal qiladi.
Xavfni boshqarishning turli usullari mavjud va biz ulardan ba'zilarini keyinroq
maqolada ko'rib chiqamiz. Bitta o'lcham hammaga to'g'ri kelmaydi va hamma xavf
ham yomon emas... risklar ham imkoniyatlar yaratadi, lekin ko'pincha u tahdidga
qaratilgan. Butunlik: axborot aktivlarining to'g'riligi va to'liqligini ta'minlash
Axborot xavfsizligi bo'yicha Markaziy razvedka boshqarmasi xavfni baholashda
qilgan barcha ishlaringizga asos bo'lib, undan keyin ko'rilgan choralar haqida
ma'lumot berishga yordam beradi. Axborot xavfsizligi risklarini boshqarish
metodologiyasini ishlab chiqishni boshlaganda, tez-tez ko'rib chiqiladigan
masalalardan biri - bu Markaziy razvedka boshqarmasiga asoslangan xavfni hal
qilishda mojarolar va ustuvorliklar.
Misol uchun, agar ma'lumotlarning buzilishi (maxfiylik) sodir bo'lsa nima bo'ladi?
Xizmatlaringizni oflayn rejimiga o'tkazasizmi yoki ularni davom ettirasizmi
(mavjudlik muammosi)? Agar siz UKAS ISO 27001 sertifikatiga ega bo'lishni
maqsad qilgan bo'lsangiz, tashqi auditor hujjatlaringizdagi ziddiyatlar va ustuvor
xavflarni qanday hal qilganingizni ko'rishni kutadi. Bu ko'rib chiqilishi kerak
bo'lgan tafsilot, lekin keling, birinchi navbatda xavf metodologiyasida
hujjatlashtirishni xohlaydigan (qisqacha, ammo aniq) barcha asosiy yo'nalishlarni
umumlashtiramiz.
Xatarlarni boshqarish jarayonining 5 bosqichi qanday?
Faraz qilaylik, sizning maqsadingiz GDPRga rioya qilgan holda ISO 27001
sertifikatini olishdir. Biz buni hisobga olgan holda axborot xavfsizligi xavfi
metodologiyamizni ishlab chiqamiz.
1. Xavfni aniqlash
Xatarlarni boshqarish jarayonidagi birinchi qadam xavfni aniqlashdir. Xavf manbai
ichki/tashqi muammo (masalan, jarayon, biznes-reja va h.k. bilan bog'liq) yoki
manfaatdor shaxs/manfaatdor tomonlar bilan bog'liq risk bilan bog'liq axborot
aktivi bo'lishi mumkin.
2. Xatarlarni tahlil qilish
Xatarlarni bilganingizdan so'ng, ehtimollik va ta'sirni (LI) hisobga olishingiz
kerak, bu sizga (aytaylik) past ehtimollik va past ta'sirni yuqoriroqdan farqlash
imkonini beradi.
3. Xatarlarni baholash
Xavfni tahlil qilgandan so'ng, siz eng zarur bo'lgan investitsiyalarga ustuvorlik
berishingiz va LI joylashuvi asosida ko'rib chiqishlarni o'tkazishingiz mumkin. Har
bir pozitsiya nimani anglatishini hujjatlashtirishingiz kerak, shunda u usulga rioya
qilgan har bir kishi tomonidan qo'llanilishi mumkin. Biz ISMS.online ichidagi
axborot xavfsizligi xavflarini boshqarish vositasida 5 x 5 tarmoq tizimidan
foydalanamiz. (Maslahat: Shuningdek, u juda ko'p vaqtni tejaydigan mashhur
risklar va davolash usullariga ega risk bankini ham o'z ichiga oladi).Mezonlar
ehtimollik uchun juda pastdan juda yuqorigacha bo'lgan oraliqni o'z ichiga oladi.
Bu nimani anglatishini tushuntirishga ega, masalan. juda past bo'lsa, hech qanday
hodisa tarixi yo'q va buning uchun maxsus ko'nikmalar va yuqori investitsiyalar
kerak bo'ladi. Ta'sir mezonlari juda past va ahamiyatsiz oqibatlar va xarajatlar
bilan, biznesning deyarli o'limiga qadar juda yuqori. Siz rasmni olasiz. Bu qiyin
emas, faqat aniqlik va hujjatlashtirish kerak; aks holda mening 3×4 o‘lchamim
siznikidan farq qilishi mumkin va biz sahifaning yuqori qismida boshlagan
joyimizga qaytamiz.
4. Xavfni davolash
"Xavfga javobni rejalashtirish" deb ham ataladigan xavfni davolash xavfni
davolash ortidagi dalillarni o'z ichiga olishi kerak. Oddiy so'zlar bilan aytganda,
"xavfni davolash" bu siz xavfni nazorat qilish va toqat qilish uchun ichingizda
qilayotgan ish bo'lishi mumkin yoki bu siz xavfni o'tkazish bo'yicha
qadamlaringizni anglatishi mumkin (masalan, etkazib beruvchiga) yoki bu xavfni
butunlay tugatish bo'lishi mumkin.
ISO 27001 bu erda ham juda yaxshi, chunki standart sizga ushbu davolashda ko'rib
chiqilishi kerak bo'lgan nazorat maqsadlari to'plamini A ilovasini ham beradi, bu
sizning Qo'llash mumkinligi haqidagi bayonotingizning asosini tashkil qiladi. A
ilovasining boshqaruv elementlari, shuningdek, sizga “pastdan yuqoriga” qarash va
bu siz ilgari xayolingizga ham keltirmagan xavflarni keltirib chiqarishi yoki
yo‘qligini aniqlash imkoniyatini beradi.
5. Xavfni kuzatib boring va ko'rib chiqing
Xatarlarni boshqarish jarayonining monitoring va ko'rib chiqish bosqichining
birinchi qismi monitoring va ko'rib chiqish jarayonlarini tavsiflashdan iborat. Buni
quyidagi sohalarga bo'lish mumkin:
- Xodimlarning faolligi va xabardorligi
Jarayonga muntazam ravishda tegishli xodimlarni jalb qiling va fikr bildirish va
qabul qilish uchun forumga ega bo'ling.
Sizda har bir xavf uchun egasi bo'lishi kerak, shuning uchun uni keng tan olingan
"3 mudofaa chizig'i" modeliga muvofiq oldingi (birinchi) qatorga topshirishingiz
mumkin.
- Boshqaruv sharhlari
Xavflarni ko'rib chiqish ushbu 9.3 kun tartibining standart qismidir va siz ushbu
darajadagi xavf egalariga ega bo'lishga qaror qilishingiz mumkin, buning o'rniga
operatsion ishni 1-qatorga topshirasiz, lekin egalik huquqini saqlab qolasiz.Sizning
boshqaruv sharhlaringiz kamida yillik bo'lishi kerak (biz ko'proq muntazam
bo'lishini tavsiya qilamiz), lekin ular har bir xavfni batafsil ko'rib chiqish va ushbu
kun tartibidagi barcha narsalarni qamrab olish uchun etarlicha uzoq bo'lmasligi
mumkin. Shunday qilib, biz xavf egasiga o'zining tarmoq holatiga qarab ko'rib
chiqishni ko'rib chiqish vazifasi yuklangan jarayonni ham tavsiya qilamiz,
masalan. juda yuqori ehtimollik va juda yuqori ta'sir xavfi uchun oylik tekshiruv,
har yili esa juda past ehtimollik va juda past ta'sir xavfini ko'rib chiqish uchun
yaxshi. Keyin siz auditoringizga risklarni ko'rib chiqish ularga yoqadigan ta'sir va
ehtimollik asosida pragmatik ekanligini ko'rsatasiz.
- Yaxshilash
Ichki auditlar va 10-banddagi takomillashtirish bo'yicha boshqa mexanizmlardan
foydalanish yanada strategik risklarni ko'rib chiqish jarayoni bilan yaxshi
bog'lanishi mumkin.
ISO 27001:2013/17 risklarni boshqarish talablari
Xatarlarni boshqarish ifodalangan ikkita asosiy talab mavjud: 6-band Rejalashtirish
va 8-band.8-band oddiygina 6.1 uchun tavsiflagan narsani amalga oshirish va
ishlatish haqidadir, shuning uchun keling, biznesni yaxshi yuritish va sertifikat
olish imkoniyatiga ega bo'lish uchun amalda yashash va undan nafas olish
kerakligini bilib, 6.1 ga e'tibor qarataylik.
6.1-band: Xatarlar va imkoniyatlarni bartaraf etish bo'yicha harakatlar
Shuni ham eslaylikki, bu jarayon biznes maqsadlariga yo'naltirilishi kerak (ya'ni
yuqoridagi kontekstni o'rnatish), shuning uchun siz axborot xavfsizligini
boshqarish tizimini ko'rsatishingiz kerak:
*mo'ljallangan natijalarga erishish
*kiruvchi ta'sirlarni oldini olish yoki kamaytirish
*doimiy takomillashtirishga erishish
Agar siz yuqoridan pastga yondashuvni qo'llayotgan bo'lsangiz, avvalroq ISO
talablarida siz tashkilotingizning konteksti va maqsadini u oldida turgan masalalar
(4.1), manfaatdor tomonlar (4.2), ko'lami (4.3), axborot aktivlari va boshqalarni
ko'rib chiqqan bo'lasiz. , bu quyidagi rasmda ko'rsatilgan (bu ISMS.online ichidagi
ISO 27001 Virtual Coach dasturimizdan ko'chirma. Bu eng mantiqiy
yondashuvdir.)
Risklarni boshqarish. Risklarni boshqarish - risklarni aniqlash, baholash, javob
berish va bo‘lishi mumkin bo‘lgan ta’sirga tashkilot tomonidan javob berilishini
amalga oshirish jarayoni. Risklarni boshqarish xavfsizlikning hayotiy siklida
o‘zining muhim o‘miga ega, u davomiy va hattoki murakkablashib boruvchi
jarayon hisoblanadi. Risklar turli tashkilotlar uchun turlicha bo‘lsada, risklarni
boshqarishga tayyorgarlik ko‘rish barcha tashkilotlar uchun umumiy.
Risklarni boshqarish ularni aniqlashda tizimlashgan yondashuvni ta’minlaydi va
quyidagi afzalliklarga ega:
•
bo‘lishi mumkin bo‘lgan risk ta’siri sohasiga e’tibor qaratadi;
•
risklarni darajalari bo‘yicha manzillaydi;
•
risklarni tutish jarayonini yaxshilaydi;
•
kutilmagan holatlarda xavfsizlik xodimini samarali harakat
qilishiga ko‘mak beradi;
•
resurslardan samarali foydalanish imkonini beradi.
Risklarni boshqarishda muhim rollar va javobgarliklar. Risklarni boshqarishda
rollar va javobgarliklar xodimlar o‘rtasida quyidagicha taqsimlangan:
Bosh boshqaruvchi. Bosh boshqamvchi tashkilotda risklarni boshqarish jarayonini
olib borishga rahbar hisoblanib, risklar paydo bo‘lganiga qadar ularni aniqlash
uchun talab qilinadigan siyosat va usullarni ishlab chiqadi. Bundan tashqari,
kelajakda bo‘lishi mumkin bo‘lgan risklarni tutib olish uchun zarur ishlarni amalga
oshirish ham uning vazifasi hisoblanadi.
Axborot texnologiyalari bo’yicha direktor. Mazkur lavozim egasi tashkilot axborot
va kompyuter texnologiyalarini madadlash uchun zarur bo‘lgan siyosat va rejalarni
amalga oshirishga javobgar. Ushbu lavozim egasi uchun asosiy javobgarlik -
xodimlarni xavfsizlik bo‘yicha o‘qitish hamda axborot texnologiyalarida bo‘lishi
mumkin bo‘lgan risklarning biznes jarayonlariga ta’sirini boshqarish.
Tizim va axborot egalari. Tizim va axborot egalarining vazifasi, asosan, axborot
tizimlari uchun ishlab chiqilgan rejalar va siyosatlarni monitoringlab borish bo‘lib,
quyidagi javobgarliklarni o‘z ichiga oladi:
•
sozlanishlarni boshqarish jarayoniga bog‘liq barcha
muzokaralarda ishtirok etish;
•
axborot texnologiyalari komponentlari qaydlarini saqlash;
•
axborot tizimlarida barcha o‘zgarishlarni va ularning ta’sirlarini
tadqiqlash;
•
barcha tizimlar uchun xavfsizlik holati bo‘yicha hisobotlarni
tayyorlash;
•
axborot tizimlarini himoyalash uchun zarur bo‘lgan xavfsizlik
nazoratini yangilab borish;
•
doimiy ravishda xavfsizlikka oid hujjatlarni yangilab borish;
•
mavjud xavfsizlik nazoratining samaradorligini ta’minlash
bo‘yicha tekshirish va baholash.
Biznes va funksional menejerlar. Mazkur lavozim egalari tashkilotdagi barcha
boshqaruv jarayonlarini madadlash uchun javobgar va bu vazifani bajarishlarida
tashkilot rahbariyati tomonidan qo‘llab quvvatlanadi. Funksional menejeri turlari:
•
rivojlantirish jamoasi menejeri;
•
savdo menejeri;
•
mijozlarga xizmat ko‘rsatuvchi menejer.
AT xavfsizlik dasturi menedjerlari va kompyuter xavfsizligi bo ‘limi direktori.
Ushbu lavozim egalari tizimni himoyalashda xavfsizlik nazoratini tanlash orqali
axborot tizimi egalarini qo‘llab quvvatlaydi.
AT xavfsizlik amaliyotchilari. AT xavfsizlik amaliyotchilari tashkilotda shaxsiy,
fizik va axborot xavfsizligini amalga oshirib quyidagilarga javobgardirlar:
•
tashkilotda xavfsizlikning yaxshiroq usullarini yaratish;
•
tashkilot standartlariga to‘liq mos keluvchi usullarni ishlab
chiqish;
•
risklarni boshqarish va biznesni rejalashtirish uchun tashkilot
xavfsizlik yondashuvlarini tekshirish;
•
xavfsizlik insidentlarini tutish va qaydlash;
•
tashkilotda xavfsizlik uchun rol va javobgarliklarni belgilash;
•
tashkilotdagi barcha xavfsizlik o‘lchovlarini nazoratlash.
Xavfsizlik boyicha murabbiy. Xavfsizlik bo‘yicha murabbiy tashkilotda
tayyorgarlik va o‘quv kurslarini amalga oshiradi. Bu vazifaning, odatda, soha
mutaxassislari tomonidan bajarilishi tavsiya etiladi.
Muhim risk ko‘rsatkichlari. Muhim risk ko‘rsatkichlari risklarni samarali
boshqarish jarayonida asosiy tashkil etuvchi bo‘lib, dastlabki bosqichlarda
harakatlarning xavflilik darajasini ko‘rsatadi. Muhim risk ko‘rsatkichlarini to‘g‘ri
aniqlash tashkilot maqsadini tushunishni talab etadi. U tashkilotdagi risk ehtimolini
ko‘rsatuvchi o‘lchov sifatida quyidagilarni amalga oshirishda yordam beradi:
•
hodisa ta’sirini aniqlash;
•
chegara qiymatda ogohlantirish;
•
risk hodisalarini qayta ko‘rish.
Muhim risk ko‘rsatkichi aniqlik bilan hisoblanishi va tashkilotning amalga oshirish
ko‘rsatkichlariga salbiy ta’sirlarni aks ettirishi kerak. Bu yerda, tashkilotning
amalga oshirish ko‘rsatkichi tashkilotni o‘zining maqsadalariga erishish jarayonini
baholash ko‘rsatkichi hisoblanadi.
Risklarni boshqarish bosqichlari. Risklarni boshqarish uzluksiz jarayon va har bir
bosqichning muvaffaqqiyatli amalga oshirilishi talab etiladi. U aniqlangan va faol
ishlaydigan xavfsizlik dasturidan foydalangan holda xavfni maqbul darajada oldini
oladi. Risklarni boshqarish jarayoni quyidagi asosiy to‘rtta bosqichga ajratiladi:
1.Risklarni aniqlash.
2. Risklarni baholash.
3. Risklarni bartaraf etish.
4. Risk monitoringi va qayta ko‘rib chiqish.
Har bir tashkilot risklarni boshqarish jarayonida yuqorida keltirilgan bosqichlarni
bosib o‘tadi.
Risklarni aniqlash. Risklarni boshqarishdagi dastlabki qadam bo‘lib, uning asosiy
maqsadi riskni tashkilotga zarar yetkazmasidan oldin aniqlash hisoblanadi.
Risklarni aniqlash jarayoni mas’ul mutaxassislar qobiliyatiga bog‘liq bo‘lganligi
tufayli, turli tashkilotlarda turlicha bo‘ladi. Risklarni aniqlash o‘zida tashkilot
xavfsizligiga ta’sir qiluvchi ichki va tashqi risklarning manbasini, sabablarini,
natijasini va h. aniqlashni mujassamlashtirgan. Risklar odatda quyidagi 4 ta muhim
sohalarda vujudga keladi:
•
Muhit. Muhitga aloqador bo‘lgan risklar o‘zida ish joyidagi
kamchiliklar, turli halaqitlar, issiq/ sovuq muhit, tutun, past yoritilganlik va
elektr xavflari kabilarni birlashtiradi.
•
Jihoz. Jihozga aloqador risklar sifatida jihozlarning past
ta’mirlanishi muhitini, ishlamasligini, mavjud bo‘lmasligini va vazifaga
nomutanosibligini keltirish mumkin.
•
Mijoz. Mijozlar bilan bog‘liq risklar odatda muhim
o‘zgarishlar, kutilmagan ko‘chishlar va zaif aloqa natijasida yuzaga keladi.
•
Vazifalar. Vazifalarga aloqador bo‘lgan risklarga yetarli
bo‘lmagan bajarish vaqti, takroriy vazifalar, ishni loyihalash va xodimlar
sonini yetarli bo‘lmasiligi orqali paydo bo‘luvchi risklar misol bo‘la oladi.
Riskni aniqlash risklarni boshqarish jarayonidagi turli og‘ishlarni kamaytiradi va
bu, o‘z navbatida, kelajakda ta’sir qiluvchi omillar ehtimolini kamaytiradi.
Risklarni aniqlashning ko‘plab usullari mavjud, ular asosida turli dasturiy vositalar
ishlab chiqilgan. Aksariyat risklarni aniqlash jarayoni maxsus shakllantirilgan
jamoa tomonidan amalga oshiriladi. Risklarni aniqlash jarayoni bir qancha
omillarga, masalan, tarmoqning holati va jamoa a’zolarining risklarni
boshqarishdagi qobiliyatlariga asoslanadi.
Risklarni baholash. Risklarni baholash bosqichida tashkilotdagi risklarga baho
beriladi va bu risklarning ta’siri yoki yuzaga kelish ehtimoli hisoblanadi. Risklarni
baholash - uzluksiz davom etuvchi jarayon riskka qarshi kurashish rejalarini
amalga oshirish uchun imtiyozlarni belgilaydi. Risklarni baholash ularning
miqdoriy va sifatiy qiymatini aniqlaydi. Har bir tashkilot risklarni aniqlash, daraj
alarga ajratish va yo‘q qilish uchun o‘zining riskni baholash jarayonini qabul
qilishi kerak.
Risklarni baholash taqdim etilgan risk turini, riskning ehtimoli va miqdorini, uning
daraj asini hamda uni nazoratlash uchun rejani aniqlaydi. Tashkilotlar risklarni
baholash jarayonini odatda xavf aniqlanganida va uni zudlik bilan nazoratlay
olmaganlarida amalga oshiradilar. Riskni baholashdan so‘ng ma’lum vaqt
mobaynida barcha axborot vositalarini yangilash talab etiladi.
Risklar baholanganidan so‘ng, ular tashkilotga keltiradigan miqdoriy zararga ko‘ra
daraj alanadi. Daraj alarga ajratish risklarga qarshi kurashishga va resurslarni
joylashtirishga yordam beradi. Taqdim etilgan risklarning daraj alari ularning
miqdoriga bog‘liq bo‘ladi:
•
darajasi 1 -2 ga teng bo ‘ lgan risklarni zudlik bilan bartaraf
etish yoki bartaraf etish imkoni bo‘lmasa, nazorat harakatlari orqali uning
xavflilik darajasini tushirish talab etiladi.
•
darajasi 3-4 ga teng bo‘lgan risklarni qandaydir biror vaqt
mobaynida bartaraf etish yoki xavfni nazoratga olish zarur hisoblanadi.
•
darajasi 5-6 ga teng risklarni imkoni bor bo‘lgan vaqtda
bartaraf etish yoki imkoni bo‘lmasa xavfni nazoratga olish zarur.
Risklarni baholash quyidagi ikki bosqichda amalga oshiriladi:
Riskni tahlillash: risk tabiatini aniqlash va uning paydo bo‘lishi darajasini
hisoblash bosqichi, risklarni nazoratlashga yordam beradi.
Riskni darajalarga ajratish: risklarni tahlillash jarayonida ularning miqdoriy
jihatdan reytingini aniqlash va qarshi choralarni loyihalash bosqichi.
Risklarni bartaraf etish. Risklarni bartaraf etish jarayoni aniqlangan risklarni
modifikatsiyalash maqsadida mos nazoratni tanlash va amalga oshirishni
ta’minlab, miqdoriy darajasi yuqori bo‘lganlariga birinchi murojaat qilinadi. Ushbu
bosqichda qaror qabul qilish riskni baholash natijasiga asoslanadi. Ushbu
bosqichning asosiy vazifasi jiddiy hisoblangan risklarni nazoratlash uchun qarshi
choralarni aniqlash bo‘lib, risklarni individual ravishda yo‘q qilish, monitoringlash
va qayta ko‘rib chiqish uchun ularni darajalarga ajratish amalga oshiriladi.
Risklarni yo‘q qilishdan oldin quyidagi axborotni to‘plash talab etiladi:
•
mos himoya usulini tanlash;
•
himoya usuli uchun javobgar shaxsni tayinlash;
•
himoya narxini inobatga olish;
•
himoya usulining afzalligini asoslash;
•
muvaffaqqiyatga erishish ehtimolini aniqlash;
•
himoya usulini o‘lchash va baholash usulini aniqlash.
Agar aniqlangan risklarni bartaraf etish talab etilsa, risklarni boshqarish rejasini
doimiy qayta ko‘rib chiqish va ishlab chiqish zarur bo‘ladi. Turli himoya usullari
riskdan qochish, ularni kamaytirish va ular uchun javobgarliklarni boshqaga
o‘tkazish kabi imkoniyatlarni taqdim etadi.
Xodimlardan risklarni kamaytirish yoki minimallashtirish uchun quyidagilarni
amalga oshirishlari talab etiladi:
•
risklarni nazoratlash rejasini ishlab chiqish;
•
ko‘rsatilayotgan xizmatga risklarni ta’sirini aniqlash;
•
risklarni nazoratlash rejasini tugallash uchun qat’iy
cheklovlarni qo‘yish;
•
risklarni nazoratlash strategiyasini amalga oshirish;
•
risklarni nazoratlashda mijoz harakatini aniqlash;
•
risklarni nazoratlash mobaynida madadlovchi xodimlar bilan
aloqani o‘matish;
•
risklarni nazoratlash jarayonining bir qismi risklarni nazoratlash
rejasini to‘liq hujjatlashtirish.
Risk monitoringi va qayta ko ‘rib chiqish. Samarali risklarni boshqarishning rejasi
risklarni aniqlashni va baholashni kafolatli amalga oshirishda risk monitoringi va
qayta ko‘rib chiqishni talab etadi.
Risk monitoringi quyidagi imkoniyatlarni beradi:
•
yangi risklarni paydo bo‘lish imkoniyatini aniqlaydi;
•
riskni bartaraf etuvchi mos nazorat usuli amalga oshirilganligini
kafolatlaydi;
•
shuningdek, risk monitoringi riskning ehtimoli, ta’siri, holati va
oshkor bo‘lishini o‘z ichiga oladi.
Riskni qayta ko‘rib chiqish:
•
orqali amalga oshirilgan risklarni boshqarish strategiyasining
samaradorligi baholanadi;
•
yuqori ehtimollik risklardan ogoh bo‘lishni boshqarishni
kafolatlaydi.
1. ISO/IEC 27001:2005, 31010:2011 “Axborot texnologiyasi. Xavfsizlikni
ta’minlash usullari. Axborot xavfsizligini boshqarish tizimlari.
2. Axborot texnologiyasi. Xavfsizlikni ta’minlash metodlari, xavfsizligini
boshqarishning amaliy qoidalari.
Axborot xavfsizligini boshqarish tizimlari (AXBT) sohasidagi standartlarning
maqsadi AXBTni joriy etish va ekspluatatsiya qilishda amal qilinishi zarur
bo‘ladigan modelni taqdim etishdan iborat.
AXBT standartlari turkumining vazifasi barcha turdagi va ko‘lamdagi
tashkilotlarga AXBTni joriy etish va ekspluatatsiya qilishda yordam berish. AXBT
standartlari turkumining yordamida tashkilotlar quyidagilarni amalga oshira
oladilar:
a) moliyaviy axborotni, intellektual egaligi hisoblanadigan axborotni,
xodimlarning shaxsiy ma’lumotlarini yoki ularga mijozlar tomonidan yoki
uchinchi tomondan berilgan axborot kabi axborot aktivlarini himoya qilish uchun
mo‘ljallangan AXBTni ishlab chiqish va joriy etish;
b) AXBTni mustaqil baholashga tayyorgarlik ko‘rish.
AXBT standartlarining turkumi quyidagilarni o‘z ichiga olgan standartlarni o‘z
ichiga oladi:
a) AXBT va ushbu tizimlarni sertifikatlashtirishni bajaruvchi organlarga
qo‘yiladigan talablar belgilangan;
b) AXBTni yaratish, joriy etish, ekspluatatsiya qilish va yaxshilashning barchasini
o‘z ichiga olgan jarayonni amalga oshirish bo‘yicha batafsil qo‘llanmalar va/yoki
amal qilinadigan ko‘rsatmalar yordamida bevosita qo‘llab–quvvatlash
ta’minlangan;
c) muayyan faoliyat sohalarining AXBT uchun amal qilinadigan ko‘rsatmalar
keltirilgan;
d) AXBT muvofiqligining bahosi ko‘rib chiqilgan.
AXBT standartlarining turkumiga, odatda, «Axborot texnologiyasi. Xavfsizlikni
ta’minlash usullari» kabi umumiy nomga ega standartlar kiradi.
AXBT standartlarining turkumidan faqat boshqarish vositalarini joriy etish ko‘rib
chiqiladigan standartlar chiqarib tashlangan vaqtda ushbu AXBT standartlarining
turkumiga O‘z DSt ISO/IEC 27002 da keltirilgan boshqarish vositalari ko‘rib
chiqiladigan standartlar taalluqlidir.
Ushbu standartda AXBT standartlarining turkumini ko‘rib chiqish predmeti
hisoblanadigan AXBT sharhi va tegishli atamalar ta’riflari taqdim etilgan.
Ushbu standart axborot xavfsizligini boshqarish tizimlarining sharhini, shuningdek
AXBT standartlarining turkumida ko‘p uchraydigan atamalar va ta’riflarni o‘z
ichiga oladi.
Ushbu standart barcha turdagi tashkilotlarda (masalan, tijorat korxonalarida,
notijorat tashkilotlarida va davlat muassasalarida) foydalanish uchun
mo‘ljallangan.
AXBT standartlari turkumining afzalliklari
Axborot xavfsizligi risklarining pasayishi AXBTni joriy etishning asosiy afzalligi
hisoblanadi (ya’ni axborot xavfsizligi insidentlarining ehtimolligi va/yoki
ta’sirining kamayishi). Xususan, tashkilot uchun AXBT standartlari turkumini
qabul qilish natijasida amalga oshirilgan va barqaror muvaffaqiyatga erishish
imkonini beradigan afzalliklar quyidagilarni o‘z ichiga oladi:
a) tashkilot ehtiyojlarini turli operatsiyalar va bo‘linmalar yordamida qondiradigan,
kompleks va rentabelli, samarali, integratsiyalangan va o‘rnatilgan AXBTni
loyihalash, joriy etish, ishlash va ekspluatatsiya qilish jarayonini qo‘llab–
quvvatlashga strukturalangan uslubni;
b) korporativ risklarni boshqarish va boshqarish usullari kontekstida, shu jumladan
axborot xavfsizligini boshqarishga kompleks yondashish sohasida biznes va tizim
egalarini o‘qitish va treninglarda rahbarlarga axborot xavfsizligini boshqarish
jarayonini uzluksiz nazorat qilish va ishonchli ishlashida yordam berish;
c) tashkilotlarga ular faoliyatining o‘ziga xos shartlariga mos keladigan asosiy
boshqarish vositalarini mustaqil ravishda tanlash va yaxshilash va ushbu
vositalarni ichki va tashqi o‘zgarishlardan qati nazar ekspluatatsiya qilish imkonini
beradigan axborot xavfsizligi sohasidagi hamma tan olgan xalqaro standartlardan
foydalanishga nodirektiv yondashish;
d) biznes-sheriklar bilan, ayniqsa ular akkreditlangan sertifikatlashtirish organidan
AXBTning O‘z DSt ISO/IEC 27001 talablariga muvofiqlik sertifikatini taqdim
etishlarini talab qilganlarida ishonchni oqlashni yengillashtiradigan axborot
xavfsizligining universal tili va konseptual asosi bilan ta’minlash;
e) manfaatdor tomonlarning tashkilotiga bo‘lgan ishonchini oshirish;
f) ijtimoiy talablar va umidlarni qoniqtirish;
g)
axborot xavfsizligiga kiritiladigan iqtisodiy investitsiya- larni
boshqarishning yuqori samaradorligi.
gishli atamalar ta’riflarini berish.
O‘z DSt ISO/IEC 27001 Axborot texnologiyalari. Xavfsizlikni ta’minlash
metodlari. Axborot xavfsizligini boshqarish tizimlari. Talablar
Qo‘llash sohasi: Ushbu standart tashkilotning umumiy biznes- risklari kontekstida
hujjatlashtirilgan AXBTni ishlab chiqish, joriy etish, uning ishlashi, monitoringini
amalga oshirish, tahlil qilish va takomillashtirishga qo‘yiladigan talablarni belgilab
beradi. Standart tashkilot yoki uning bo‘limlarining individual talablariga
moslashgan xavfsizlikni boshqarish vositalarini joriy etishga qo‘yiladigan
talablarni belgilaydi. Ushbu standart barcha turdagi tashkilotlarda qo‘llanadi
(masalan, tijorat korxonalarida, notijorat tashkilotlarida va davlat muassasalarida).
Maqsad: AXBTni, shu jumladan tashkilot AXBT yordamida himoya qilishga
urinadigan axborot aktivlari uchun risklarni boshqarish va ularni pasaytirishni
amalga oshiradigan boshqarish vositalarining kompleksini ishlab chiqish va uning
ishlashi bo‘yicha normativ talablarni belgilash. AXBTga ega tashkilotlar ularning
auditini o‘tkazishlari va O‘z DSt ISO/IEC 27001 talablariga muvofiqligini
sertifikatlashlari mumkin. AXBT O‘z DSt ISO/IEC 27001 standartidagi A
ilovadagi muayyan talablarga javob berishi uchun boshqarish maqsadlari va
vositalari muayyan shartlarga muvofiq AXBT jarayonining bir qismi sifatida tanlab
olinishi kerak. O‘z DSt ISO/IEC 27001 - A.1-jadvalda sanab o‘tilgan boshqarish
maqsadlari va elementlari O‘z DSt ISO/IEC 27002 standartining 5-15-
bo‘limlaridan bevosita olingan.
O‘z DSt ISO/IEC 27002 Axborot texnologiyasi. Xavfsizlikni ta’minlash metodlari.
Axborot xavfsizligini boshqarishning amaliy qoidalari
Qo‘llash sohasi: Ushbu standart boshqarish va zamonaviy boshqarish
vositalarining hamma tan olgan maqsadlarining ro‘yxatini, shuningdek, axborot
xavfsizligini ta’minlash uchun mo‘ljallangan boshqarish vositalarini tanlash va
joriy etish bo‘yicha amal qilinadigan ko‘rsatmalarni o‘z ichiga oladi.
Maqsad: axborot xavfsizligini boshqarish vositalarini joriy etish bo‘yicha amal
qilinadigan ko‘rsatmalarni taqdim etish.
Bunda 5–15-bo‘limlarda O‘z DSt ISO/IEC 27001 standartining A.5- bo‘limlarida
belgilangan boshqarish vositalarini qo‘llab-quvvatlash usullari bo‘yicha aniq
tavsiyalar va amal qilinadigan ko‘rsatmalar keltirilgan.
O‘z DSt ISO/IEC 27003 Axborot texnologiyasi. Xavfsizlikni ta’minlash usullari.
Axborot xavfsizligini boshqarish tizimini joriy etish bo‘yicha qo‘llanma
Qo‘llash sohasi: Ushbu standart amal qilinadigan foydali ko‘rsatmalarni o‘z ichiga
oladi va O‘z DSt ISO/IEC 27001 ga muvofiq AXBTni ishlab chiqish, joriy etish,
uning ishlashi, monitoringini amalga oshirish, tahlil qilish, xizmat ko‘rsatish va
takomillashtirish sohasidagi qo‘shimcha axborotni taqdim etadi.
Maqsad: O‘z DSt ISO/IEC 27001 ga muvofiq AXBTni muvaffaqiyatli joriy etish
uchun jarayonli yondashish qo‘llanishini ta’minlash.
O‘z DSt ISO/IEC 27004 Axborot texnologiyasi. Xavfsizlikni ta’minlash usullari.
Axborot xavfsizligini boshqarish tizimining samaradorligini o‘lchash.
Axborot xavfsizligi risklarini boshqarish uchun zarur bo'lgan asosiy mezonlarni
belgilash, ko'lami va chegaralarini aniqlash hamda axborot xavfsizligi risklarini
boshqarishni amalga oshirish uchun tegishli tuzilmani tuzishni o'z ichiga olgan
axborot xavfsizligi risklarini boshqarish konteksti belgilanishi maqsadga muvofiq.
Tashqi kontekst
•Tashkilot o'z maqsadlariga erishmoqchi bo'lgan tashqi muhit.
•O'z ichiga olishi mumkin:
•Madaniy, ijtimoiy, huquqiy, qonunchilik, moliyaviy, texnologik, iqtisodiy,
xalqaro,mintaqaviy, milliy yoki mahalliy darajadagi tabiiy va bozor muhiti.
•Tashkilot maqsadlariga ta'sir qiluvchi asosiy omillar va tendentsiyalar
•Manfaatdor tomonlar munosabatlari, anglashuv va qiymatlili. Ichki kontekst
•– Tashkilot o'z maqsadlariga erishishga undaydigan ichki muhit.
•O'z ichiga olishi mumkin:
•Yetakchilik, tashkiliy tuzilma, vazifalar va mas'uliyat
•Siyosatlar, maqsadlar va ularga erishish strategiyalari
•Resurslar va bilimlarga nisbatan ko'rib chiqiladigan imkoniyatlar (masalan,
kapital, vaqt, odamlar, jarayonlar, tizimlar va texnologiyalar)
•Axborot tizimlari, axborot oqimi va qaror qabul qilish jarayonlari (rasmiy va
norasmiy)
•Ichki manfaatdor tomonlar bilan munosabatlar, ularning o'zaro anglashuv va
qiymatlilik.
•Tashkilot madaniyati.
•Tashkilot tomonidan qabul qilingan standartlar, ko'rsatmalar va modellar
•Shartnoma munosabatlarining shakli va ko'lami.
Umumiy tahlil.Kirish ma’lumotlari: tashkilot to‘g‘risidagi, axborot xavfsizligi
risklarini boshqarish kontekstini o‘rnatish uchun o‘rinli bo‘lgan barcha axborot.
Ish: axborot xavfsizligi risklarini boshqarishning tashqi va ichki konteksti
o‘rnatilishi kerak, bu, axborot xavfsizligi risklarini boshqarish uchun zarur bo‘lgan
asosiy mezonlar o‘rnatilishini , ish sohalari va chegaralar aniqlanishini va axborot
xavfsizligi risklarini boshqarishni amalga oshirish uchun tegishli struktura
o‘rnatilishini ichiga oladi. Amalga oshirish bo‘yicha qo‘llanma: axborot xavfsizligi
risklarini boshqarish maqsadini aniqlab olish zarur, chunki u umumiy jarayonga,
xususan, kontekstni o‘rnatishga ta’sir qiladi.Bu maqsad:
- AXBTni qo‘llab-quvvatlash;- huquqiy muvofiqlik va yetarli e’tiborning isboti;
- biznes uzluksizligini ta’minlash rejasini tayyorlash;
- insidentlarga javob berish rejasini tayyorlash;
Tashkilotda risklarni boshqarish freymworki quyidagi harakatlarni aniqlaydi,
tahlillaydi va amalga oshiradi:
•
riskka olib keluvchi harakatlarni bekor qilish orqali riskdan
qochish;
•
risk ta’siri yoki ehtimolini minimallashtirish orqali riskni
kamaytirish;
•
risklarni boshqarish jarayoni standartlarini taqdim qilish.
Tashkilotda risklarni boshqarish freymworkining asosiy maqsadlari quyidagilardan
iborat:
•
tashkilotda risklarni boshqarishni tashkilot faoliyatini
boshqarish bilan birlashtirish;
•
risklarni boshqarishning afzalliklarini o‘zaro bog‘lash;
•
risklarni boshqarish uchun tashkilotda rollarni va vazifalarni
belgilash;
•
risklar to‘g‘risida hisobot berish va rivojlanish jarayonini
standartlashtirish;
•
tashkilotda risklarni boshqarish uchun standart yondashuvlarni
o‘matish;
•
risklarni boshqarishda resurslarga ko‘maklashish;
•
tashkilotda risklarni boshqarish doirasini va ilovalarini
o‘matish;
•
tashkilotda risklarni boshqarishni takomillashtirish uchun vaqti-
vaqti bilan tekshirish amalga oshiriladi.
Amalda tashkilotda risklarni boshqarish freymworklari sifatida NIST ERM, COSO
ERM va COBIT ERM kabilardan keng foydalaniladi.
Risklarni boshqarishning axborot tizimlari (Risk Management Information
Systems, RMIS). RMIS bu - boshqaruv axborot tizimi bo‘lib, axborotni saqlashni
boshqarish, tahlillash va tashkilot tarmog‘i uchun risk to‘g‘risida ma’lumot olish
imkoniyatini taqdim qiladi. Tashkilotlar risklarni boshqarish jarayonini
optimallashtirish uchun RMIS bilan risklarni boshqarish freymworkini
birlashtiradi. RMIS tizimlari quyidagi afzalliklarga ega:
•
ma’lumot ortiqchaligi va xatoligini kamaytirish orqali
ma’lumot ishonchligini yaxshilaydi;
•
RMIS orqali xabarlar boshqamvining yaxshilanishi natijasida
tashkilotdagi xarajatlar kamayadi;
•
RMIS, tashkilotning standartlariga muvofiq, risklarni
boshqarish siyosatidan samarali foydalanishda yordam beradi.
RMIS turli omillar bo‘yicha hisobotlarni shakllantiradi va ushbu hisobotlar
tashkilotda tarmoq risklari to‘g‘risida yaxlit tasavvurga ega bo‘lishga hamda ularni
boshqarishga imkon beradi. Hosil qilingan RMIS hisoboti turlari unga yuborilgan
so‘rov turiga bog‘liq bo‘ladi. RMIS quyidagi turdagi hisobotlarni shakllantiradi:
•
Standart hisobotlar: yuborilgan umumiy so‘rovlarga javob
sifatida standart hisobotlarni shakllantiradi. Ushbu hisobot guruhga
ajratilgan ma’lumotlardan tashkil topmaydi.
•
Maxsus hisobotlar: maxsus so‘rovlarga nisbatan turli guruhga
tegishli ma’lumotlardan tashkil topgan maxsus javoblarni generatsiyalaydi.
Amalda RMIS tizimining turli ko‘rinishidagi vositalaridan keng
foydalaniladi. Ularga misol sifatida, Aon Enterprise Risk Management, Stars
RMIS, RiskEnvision, RiskonnectRMIS, INFORM, Traveler’s e-CARMA
vositalarini keltirish mumkin.
Tahlil qilish sifati sonli qiymatlarning to’laligi va aniqligiga hamda
foydalaniladigan modellarning asoslanganligiga bog’liq. Ko’pgina hollarda,
miqdor jihatdan tahlil qilishda o’tgan davr ichidagi insidentlar bo’yicha
ma’lumotlardan foydalaniladi, uning afzalligi shundan iboratki, u axborot
xavfsizligi va tashkilotning muammolari bilan to’g’ridan-to’g’ri bog’liq bo’lishi
mumkin. Miqdor jihatdan tahlil qilishning kamchiligi yangi risklar yoki axborot
xavfsizligi muammolari bo’yicha bunday ma’lumotlarni yetishmasligi hisoblanadi.
Miqdor jihatdan tahlil qilishning kamchiliklari haqiqatda tekshiriladigan
ma’lumotlardan foydalanib bo’lmaganda ko’rinadi, shuning uchun, riskni
baholashning aniqligi va ahamiyatliligi illyuziyasi hosil bo’ladi.
Oqibatlar va ehtimollikni ifodalash usuli va risk darajasi to’g’risidagi
ma’lumotlarni ta’minlash uchun ularni birlashtirish usullari, risk turiga va riskni
baholashning chiqish ma’lumotlaridan foydalaniladigan maqsadga muvofiq
o’zgaradi. Oqibatlar va ehtimollikning noaniqligi va o’zgaruvchanligi tahlil
qilishda hisobga olinishi va u haqda samarali tarzda xabar qilinishi zarur.
xavfsizligi risklarini boshqarish va kiberxavfsizlik risklarini boshqarish ham
buning hosilalaridir. Ushbu ikkala xavf sohasining ham tashkilotlar uchun
ahamiyati ortib bormoqda, shuning uchun ushbu maqolaning maqsadi uni amaliy
va amaliy darajaga tushirishga yordam berishdir. Xususan, biz ISO 27001 standarti
boʻyicha risklarni boshqarish va Maʼlumotlarni himoya qilish boʻyicha umumiy
reglamentning (EI GDPR) xavfga yoʻnaltirilgan qismiga muvofiqlikka qanday
erishishni aytib beramiz.
Xavfni boshqarishning turli usullari mavjud va biz ulardan ba'zilarini keyinroq
maqolada ko'rib chiqamiz. Bitta o'lcham hammaga to'g'ri kelmaydi va hamma xavf
ham yoyaratadi. Risklar ham imkoniyatlar yaratadi, lekin ko'pincha u tahdidga
qaratilgan.
| 