2-mavzu: Axborot xavfsizligida risklarni boshqarish jarayonining tahlili.
Axborot xavfsizligi risklarini boshqarish va kiberxavfsizlik risklarini boshqarish ham buning hosilalaridir. Ushbu ikkala xavf sohasining ham tashkilotlar uchun ahamiyati ortib bormoqda, shuning uchun ushbu maqolaning maqsadi uni amaliy va amaliy darajaga tushirishga yordam berishdir. Xususan, biz ISO 27001 standarti boʻyicha risklarni boshqarish va Maʼlumotlarni himoya qilish boʻyicha umumiy reglamentning (EI GDPR) xavfga yoʻnaltirilgan qismiga muvofiqlikka qanday erishishni aytib beramiz. ISO 31000:2018 xavfni “noaniqlikning maqsadlarga taʼsiri” sifatida belgilaydigan risklarni boshqarish boʻyicha Xalqaro standartlar tashkiloti (ISO) standartining yaqinda yangilangan versiyasidir.
Axborot xavfsizligi risklarini boshqarish (ISRM) - bu tashkilotning qimmatli ma'lumotlari atrofidagi xavflarni aniqlash, baholash va davolash jarayoni. U istalgan biznes natijalariga erishishni ta'minlash uchun ushbu aktivlar atrofidagi noaniqliklarni hal qiladi. Xavfni boshqarishning turli usullari mavjud va biz ulardan ba'zilarini keyinroq maqolada ko'rib chiqamiz. Bitta o'lcham hammaga to'g'ri kelmaydi va hamma xavf ham yomon emas... risklar ham imkoniyatlar yaratadi, lekin ko'pincha u tahdidga qaratilgan. Evropa Ittifoqining umumiy ma'lumotlarni himoya qilish to'g'risidagi reglamentining 32-moddasida tashkilot maxfiylik, yaxlitlik va mavjudlik (CIA) dan foydalangan holda xavfni baholashi kerakligini aniq ta'kidlaydi. Bu ISO 27001 standartiga ham mos keladi, chunki Markaziy razvedka boshqarmasining yondashuvi u erda ham kutilmoqda. Shunday qilib, siz nafaqat shaxsiy ma'lumotlaringiz, balki barcha axborot aktivlaringiz uchun axborot xavfsizligi risklarini boshqarishning bitta yondashuvidan foydalanishingiz mumkin. Maxfiylik: ma'lumotlar ruxsatsiz shaxslar, tashkilotlar yoki jarayonlarga taqdim etilmaydi yoki oshkor etilmaydi.
3-mavzu: Axborot xavfsizligini tashkil etish va aktivlarni boshqarish.
Aktiv bo'yicha biz tizimning bir qismi bo'lgan va korxona uchun qiymatga ega bo'lgan hamma narsani anglatadi. Shuning uchun aktivlar biznes uchun qimmatlidir va uni himoya qilish kerak.
Axborot texnologiyalari tizimi nuqtai nazaridan, aktivlar nafaqat dasturiy va texnik vositalar. Mavjudlik tushunchasiga quyidagilar kiradi: barcha turdagi ma'lumotlar, shaxsiy kompyuterlar, printerlar, serverlar va shunga o'xshash barcha qo'shimcha qurilmalar, operatsion tizimlar, ishlab chiqilgan ilovalar, ofis dasturlari va shunga o'xshash barcha dasturlar, telefonlar, kabellar, liniyalar modemlari, kommutatsiya moslamalari va boshqa barcha aloqa vositalari. , ishlab chiqarilgan barcha hujjatlar, xizmatlar va albatta biznesning obro'si va obro'si.
Xatarlarni boshqarish bo'yicha tadqiqotlarda xatarlar ma'lum tasniflanadi. Masalan, agar aktiv past xavf guruhida buzilgan bo'lsa, axborot tizimiga katta zarar etkazilmaydi va tizim o'z faoliyatini davom ettiradi. Ushbu holat korxona obro'siga zarar etkazmaydi. Agar aktiv o'rta darajadagi xavf guruhida buzilgan bo'lsa, axborot tizimiga ta'sir ko'rsatadi. Tizim ishlashda davom etayotgan bo'lsa ham, aktiv hali ham joyiga qo'yilishi kerak. Bu holat korxona obro'siga ma'lum darajada zarar etkazadi. Agar aktiv yuqori xavf guruhida buzilgan bo'lsa, axborot tizimiga katta ta'sir ko'rsatiladi. Tizimning deyarli yarmi yaroqsiz holga keladi. Tizim ishlashi uchun aktivni almashtirish kerak. Ushbu holat korxonaning obro'siga sezilarli darajada ta'sir qiladi. Juda yuqori xavf guruhida ma'lumotlarning mavjudligi jiddiy ravishda buzilgan va bu holda tizimning ishlashiga katta ta'sir ko'rsatdi. Axborot tizimi mavjud emas. Bu holat kompaniyaning bozordagi obro'siga juda yomon ta'sir qiladi.
Qisqacha aytganda, ISO 27001 standarti umumiy ma'lumot xavfsizligini va yashash xavfsizligi jarayoni sifatida axborot xavfsizligini qanday ta'minlashni belgilaydigan tizimdir. Ushbu tizimni o'rnatish bosqichlari quyidagicha tavsiflanishi mumkin:
Axborot aktivlarining tasnifi
Axborot aktivlarini konfidentsiallik, yaxlitlik va foydalanish mezonlariga muvofiq baholash
Xavf tahlili
Xavf tahlili natijalariga ko'ra qo'llaniladigan boshqarish usullarini aniqlash
Hujjatlar bilan ishlashni yakunlash
Belgilangan nazorat usullarini qo'llash
Ichki audit bo'yicha tadqiqotlarni o'tkazish
Standart talab qilgan yozuvlarni saqlash
Rahbariyat tomonidan ko'rib chiqish yig'ilishlarini o'tkazish
Sertifikatlashtirish bo'yicha tadqiqotlarni o'tkazish
Tahdid bu har qanday tahdid manbai, qasddan yoki avariya natijasida tizimdagi zaiflikdan foydalanish va aktivlarga zarar etkazish uchun potentsialdir. Tabiiy tahdidlarga zilzilalar, ko'chkilar, toshqinlar, chaqmoq yoki bo'ronlar kiradi. Atrof-muhit uchun havoga havoning ifloslanishi, elektr uzilishlari va elektr energiyasining uzilishi kiradi. Odamlar tomonidan tahdidlar ongli ravishda yoki bilmasdan odamlar tomonidan yuzaga keladi. Masalan, tizimga noto'g'ri ma'lumotlarni kiritish, tashqi tarmoqqa hujumlar, tizimga zararli dasturlarni o'rnatish, foydalanuvchi ma'lumotlarini o'g'irlash yoki tizimga vakolatli shaxslarning kirishlari.
Axborot tizimlarining ochiqligi - bu tizim xavfsizligini buzadigan, tizim xavfsizligi protseduralarida, amalda yoki ichki auditlarda uchraydigan zaiflik, xato yoki kamchilik. Faqatgina bu ochiq joylar xavf tug'dirmaydi. Ularning amalga oshishi uchun tahdid bo'lishi kerak.
|
