O‘zbekiston respublikasi axborot texnologiyalarivakommunikatsiyalarini

O‘ZBEKISTON RESPUBLIKASI
AXBOROT TEXNOLOGIYALARIVAKOMMUNIKATSIYALARINI
RIVOJLANTIRISH VAZIRLIGI MUHAMMAD
ALXORAZMIYNOMIDAGI TOSHKENT AXBOROT
TEXNOLOGIYALARIUNIVERSITETI
8-9-10 - Amaliy ish
Guruh:715-20
Bajardi: Qurbanbaev Zafarbek
Tekshirdi: Xabibullayev
Jahongirbek

Mavzu : Riskni qayta ishlash
Reja:
kirish
Ishdan maqsad
Risklar haqida tushinchq
9- amaliy ish
Ishdan maqsad: Tanlangan predmet sohada sifat va son bo’yicha baholangan axborot xavfsizligi xavfini qayta ishlash bilim va
ko’nikmalarini shakllantirishdan iborat.
Qisqacha nazariy ma’lumot
Risklarni qayta ishlash va baholash usuliga qo'yiladigan talablarni tavsiflovchi asosiy hujjatlardan biri “ISO 27001: Axborot
texnologiyalari” xalqaro standartidir. Himoya usullari. Axborot xavfsizligini boshqarish tizimlari "(keyingi o'rinlarda - ISO 27001
standarti). Axborot xavfsizligi risklarini hisoblash jarayoni axborotni himoya qilish tizimining barcha bosqichlarida dolzarb bo'lib,
axborot egasi uchun birinchi navbatda iqtisodiy sohadagi yo'qotishlar nuqtai nazaridan qiziq.
ISO 27001: 2013 talablarida xavflarni hisoblash uchun aniq formulalar hisobga olinmaganiga qaramay, hujjat ma'lumotlariga asoslanib,
quyidagilarni ajratib ko'rsatish mumkin:
risklarni baholash jarayonida xavf-xatarni qabul qilish mezonlari va AX xavfini baholash mezonlari belgilanishi;
axborot xavfsizligi xavflarini baholash ko'rib chiqilayotgan tizim uchun tegishli bo'lgan axborot xavfsizligi xavflarining oqilona va izchil
massivlarini berishiga kafolatlar berilishi;
Axborot resurslarining maxfiyligi, yaxlitligi va mavjudligi kabi xususiyatlariga qaratilgan axborot xavfsizligi xavflarini aniqlash;
Shuningdek, risk egasining identifikatsiyasi amalga oshirilishi kerak, bunda mulk egasi risklarni boshqarish uchun mas'ul bo'lgan va
buning uchun zarur vakolatlarga ega bo'lgan jismoniy, yuridik shaxs yoki birlik tushunilsa, bu holda axborot xavfsizligi bo'yicha
mutaxassislar, axborot xavfsizligi bo'limlari,menejerlar haqida gapirish mumkin;
axborot xavfsizligi risklarini tahlil qilish jarayonida xavf amalga oshirilgan taqdirda mumkin bo'lgan yo'qotishlarni baholash;
risklarni amalga oshirish ehtimolini baholash va xavflarning hajmini aniqlash;
axborot xavfsizligi risklarini baholash jarayonida xavflarni belgilangan mezonlar bilan solishtirish va ularni qayta ishlashning ustuvor
yo‘nalishlari vektorini aniqlash.
ISO 27001: 2013 standarti ISO 27001: 2005 standartidan farqli ravishda sezilarli darajada qisqartirildi, bunda xavflarni baholash
jarayoni yetarli darajada batafsil koʻrib chiqildi va zaif tomonlarni aniqlash, aktivlar va ularning egalarini aniqlash kabi bosqichlarni oʻz
ichiga oldi.
GOST R ISO 31000-2010 ga asoslanib, axborot xavfsizligi xavflarini baholashning ko'plab usullari mavjud: "xavfni aniqlash, axborot
xavfsizligi xavflarini amalga oshirish oqibatlarini tahlil qilish, mavjud nazorat samaradorligini baholash, axborot xavfsizligi darajasini
miqdoriy baholash. xavf-xatarlar, axborot xavfsizligi xavflarining qiyosiy bahosi, xavfning sifat, miqdoriy yoki aralash baholash
ehtimoliy xususiyatlari.
Axborot xavfsizligi xavfini baholash usulini tanlash quyidagi omillarga asoslanishi kerak:
vaqtinchalik, moliyaviy, axborot resurslari;
axborot xavfsizligi xavflarini baholashda noaniqlik darajasi;
ishlab chiqarishning miqdoriy baholarini olish imkoniyatining mavjudligi yoki yo'qligi, bunda chiqish ma'lumotlari AX xavfini baholash
usuli va bosqichiga qarab fikrlar, qarorlar, ro'yxatlar, shuningdek tavsiyalar bo'lishi mumkin.
Amalda, risklarni hisoblash risklarni tahlil qilish va qayta ishlashdan oldin ishlab chiqilgan "xavfni baholash va qayta ishlash
metodologiyasi" hujjatidan boshlanishi kerak.
Metodologiyaga muvofiq amalga oshirilgan tadbirlar natijalari barcha darajalarni baholash va ularni qayta ishlash bo'yicha barcha
tadbirlarning umumiy natijalari bilan hisobot bo'lishi kerak.
Bunda biz ommaviy tarmoqlarga ulanishga ega bo‘lgan, davlat sirini tashkil etuvchi ma’lumotlarni o‘z ichiga olmaydigan turli darajadagi
maxfiylik darajasidagi ma’lumotlarni qayta ishlaydigan korporativ taqsimlangan ko‘p foydalanuvchili axborot tizimini (keyingi o‘rinlarda
– AT) ko‘rib chiqamiz.
GOST R ISO / IEC 27005-2010 ga muvofiq “Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligi
risklarini boshqarish "tashkilotning qimmatli aktivlarini shartli ravishda asosiy va yordamchiga bo'lish mumkin.

1-Jadval
CHECK THIS OUT
RadarMedia
Страсть у них в крови: самые умелые любовники по знаку зодиака
RadarMedia
Ревнивый муж установил дома скрытые камеры и вот что увидел!
Amaliy qism
9.1-Jadval
Tavsiya etilgan qarshi choralar
Tashkilotning qimmatli aktivlari
Tahdidlar
Risk
Qabul qilinadigan xavf
Rejalashtirilgan chora-tadbirlar
Qoldiq xavf miqdori
Tashkilotning maqsadi yoki biznesini amalga oshirish uchun zarur bo'lgan ma'lumotlar
091
48
1 dan 19 gacha
Zaxira tizimi, ruxsatsiz kirishdan himoya qilish tizimi
12
143
24
Antivirus himoya tizimi, xavfsizlik devori
12
156
48
Axborot tashuvchilarni nazoratga olish
12
186
24
Antivirus himoya tizimi, xavfsizlik devori;
Tashkiliy chora-tadbirlar
8
Apparat va dasturiy kompleks
023
36
Xavfsizlik devori, ishonchli yuklash tizimi, antivirusni himoya qilish tizimi;
Tashkiliy chora-tadbirlar

12
139
36
Video kuzatuv tizimlari, yetarli jismoniy himoya;
Tashkiliy chora-tadbirlar.
12
140
24
Xavfsizlik devori tizimi
12
155
24
Xavfsizlik devori tizimi
12
160
24
Video kuzatuv tizimlari, yetarli jismoniy himoya;
Tashkiliy chora-tadbirlar.
8
Tarmoq
140
24
Xavfsizlik devori tizimi
12
155
24
Xavfsizlik devori tizimi
12
186
24
Virusga qarshi himoya tizimi, xavfsizlik devori;
Tashkiliy chora-tadbirlar
8
Mumkin bo'lgan qarshi choralar
Tasavvur qilaylik, korxona rahbari 20 dan yuqori raqamli risklarni minimallashtirish uchun qayta ishlanishi kerak deb qaror qildi.
Mumkin bo'lgan qarshi choralar 9.1-jadvalda keltirilgan.
Axborot xavfsizligi xavflarini qayta ishlashdan so'ng, qoldiq xavf har bir joriy axborot xavfsizligi tahdidlari uchun maqbul bo'ldi.

Tavsiya etilgan usul tashkilotning axborot xavfsizligi xavfini katta miqdordagi qayta ishlangan ma'lumotlar va cheksiz ko'p
foydalanuvchilar sharoitida aniq va oqilona baholash imkonini berdi va minimal moliyaviy infuziyalarni talab qildi. Ko'rib chiqilgan
usulni amalda qo'llash Rossiya FSTEK axborot xavfsizligi tahdidlari bankiga asoslangan xavfsizlikni muhofaza qilishning asosiy
tahdidlarini aniqlashga yordam berdi. Axborot xavfsizligi xavfini baholash natijalaridan kelib chiqqan holda, telekommunikatsiya
korxonasining tahdid modeli yaratildi.
Shuni ta'kidlash kerakki, tavsiya etilgan usul avtomatlashtirilgan axborot tizimiga ham, avtomatlashtirish vositalaridan
foydalanmasdan axborotni qayta ishlash tizimlariga ham bir xil darajada qo'llaniladi. Biroq, axborot xavfsizligi risklarini baholashga
imkon beruvchi ixtisoslashtirilgan dasturiy mahsulotlardan foydalanish hanuzgacha ustuvor vazifa bo'lib qolmoqda, chunki u ko'rib
chiqilayotgan usuldan farqli o'laroq, etarli vaqt va moliyaviy resurslarni hisobga olgan holda risklarni boshqarish tizimining real vaqt
rejimida ishlashiga imkon beradi. bir martalik yoki vaqti-vaqti bilan amalga oshirilishi mumkin.
Risklarni davolash protsedurasining yana bir xususiyati shundaki, u nafaqat mavjud zaifliklarni "bartaraf etish" va mavjud axborot
xavfsizligi tahdidlarini amalga oshirish ehtimolini minimallashtirish, balki xodimlarning axborot xavfsizligi masalalari bo'yicha
malakasini oshirishga yordam beradi.
Topshiriq
Ushbu ishda har bir talaba individual tanlagan predmet sohasi bo’yicha sifat va son bo’yicha baholangan axborot xavfsizligi riskini
qayta ishlashni amalga oshirishi lozim hamda berilgan nazorat savollariga javob yozadilar.
Riskni qayta ishlashda foydalaniladigan standartlar odatda bir qancha xususiyatlarga ega bo'lishi kerak, shu jumladan:
Riskni qayta ishlashni tashkil etish uchun yordamchi vositalar: Bu standartlar, riskni qayta ishlash jarayonini boshqarishda
qo'llanadigan yordamchi vositalar va xizmatlar yozishga yo'l qo'yadi, shu jumladan, Risk qayta ishlash stratejilari, metodologiyalari,
usullari va boshqalar. Masalan, ISO 31000 Risk boshqaruvi standarti.
Riskni qayta ishlashning joriy standartlari: Bu standartlar xususiy sohalarda riskni qayta ishlash uchun tavsiya etilgan qoidalarni
yaratishda foydalaniladi. Masalan, banklar uchun riskni qayta ishlashda foydalaniladigan standartlar - Basel Accords.
Riskni qayta ishlashni tashkil etish va boshqarishning yuridik standartlari: Bu standartlar, riskni qayta ishlashda yuridik asoslarni qo'llab
-quvvatlaydi. Masalan, Gdpr (ma'lumotlarni himoyalash bo'yicha umumiy Nizom) shaxsiy ma'lumotlarni muxofaza qilish bo'yicha
yuridik standartlar.
Sertifikatlashtirish standartlari: Bu standartlar, riskni qayta ishlashning sertifikatlashtirish va sinovdan o'tkazish uchun asosiy
qoidalarni aniqlaydi. Masalan, ISO 9001 standarti.
Har bir standartning xususiyatlari va yo'l-yo'riqlari mavjud, shuning uchun riskni qayta ishlashda qaysi standartlarni qo'llash kerakligi,
qo'llanuvchi tashkilotning xususiyatlari va talablariga qarab o'zlashtiriladi.
Xavfni qayta ishlash samaradorligi nimaga bog’liq?
"Xavfni qayta ishlash samaradorligi" deyarli har qanday muammoga qarshi kurashish uchun o'rganilgan va amalga oshirilgan ko'plab
faoliyatlar uchun ishlatiladigan bir menejment vositasidir. Bu vosita orqali, muammolarni yechish uchun tahlil qilinadi, oldindan
aniqlangan risklar identifikatsiyasi amalga oshiriladi va qayta ishlash jarayonida yuzaga kelishi mumkin bo'lgan muammo va xatolar
tuzatiladi.
Bundan tashqari, "Xavfni qayta ishlash samaradorligi" tizimining ishlatilishi biznesni boshqarish, operatsiyalarni rivojlantirish, xavf va
zararlaridan saqlash va kelajakdagi muammolarga qarshi tayyorlikni oshirishga yordam beradi. Shu sababli, "Xavfni qayta ishlash
samaradorligi" muhim bir menejment vositasidir va har qanday tashkilot uchun zarur bo'lishi mumkin.
"Xavfni qayta ishlash samaradorligi" yoki qisqacha "XQIS" (inglizcha: "Risk Management") muammolarni aniqlash, oldindan aniqlangan
risklarni identifikatsiya qilish va ularga qarshi kurashishda yordam beruvchi menejment vositasidir. Bu menejment vositasi, tashkilotlar
uchun zaruriy bo'lgan bir qadamdir, chunki bu, tashkilotning qayta ishlash jarayonlarida muammolarni hal qilish va xavf va zararlardan
saqlashda yordam beradi.
XQIS tizimining bosh asosiy vazifalari quyidagilardir:
Xavf va zararlarining kuchaytirilishi (Risk Assessment): Tashkilotning har bir tizim va sub'ekti uchun xavf va zararlar belgilanib, ularga
ta'sir qilish imkoniyati hisobga olinadi va ularning kuchayish darajalari baholangan holda o'zgarishlar kiritiladi.
Xavf va zararlarning boshqarilishi (Risk Management): Xavf va zararlarning yuzaga kelishi imkoniyati yuqori bo'lgan holatlarda ularni
qabul qilish, ularni miqdorini kattalashtirish yoki kamaytirish, ularni tuzatish yoki ularni qabul qilishga yoki uni yo'q qilishga qaror qabul
qilish, xavf va zararlarning yuzaga kelishining ixtiyoriy darajalari yoki tahminlari o'zgartirish kabi chora-tadbirlar o'tkaziladi.
Monitoring va baholash (Monitoring and Evaluation): Tashkilotda amalga oshirilayotgan jarayonlar baholangan, boshqa so'z bilan,
o'tkazilayotgan o'zgarishlarning natijalari baholangan holda, yana ham yaxshi ishlaydi yoki qayta ishlash zarurati mavjudmi ekanligi
aniqlanadi.
Qaytib ishlash va ta'lim (voqea javob va tahlil): Xavf va zararlarning yuzga kelishi holatida, qaytib ishlashni amalga oshirish zarur
yuzaga kelishi mumkin bo'ladi. Bu esa, muammolarni yechish uchun tahlil qilishni, muammolarni yechish va ularning o'zgartirishlari
uchun chora-tadbirlarni aniqlash uchun qo'llaniladi.
Shunday qilib, XQIS tizimi, tashkilotlarning xavf va zararlari oldindan qarashda yordam beradi va jarayonlarni rivojlantirish uchun yaxshi
bir vosita hisoblanadi.
ISO 27001:2013 standarti, tashkilotlar uchun axborot xavfsizligi menejment tizimini belgilaydi. Bu standart, tashkilotlarga,
xavfsizlikning qanday boshqarilishi kerakligini va buni amalga oshirishning bajarilishi lozim bo'lgan talablarni belgilaydi. Bu talablar,
xavfsizlik risklarini boshqarishga va axborot xavfsizligi menejment tizimini o'zlashtirishga yordam beradigan, keyinchalik 2017 yilda
yangilangan talablarga muvofiq tasdiqlangan.
Quyidagi talablarga
Xavfsizlik siyosati va rivojlanishi: Tashkilotning xavfsizlik siyosati va uning rivojlanishi belgilanishi kerak. Xavfsizlik siyosati tashkilot
rahbariyati tomonidan qabul qilinishi, tashkilotdagi barcha ishtirokchilar uchun tayinlangan va xavfsizlik siyosati rivojlanishi, talablariga
mos keladigan usullar amalga oshirilishi kerak.
Xavfsizlik risklarining boshqarilishi: Tashkilot xavfsizlik risklarini tahlil qilishi va ularni boshqarishni ta'minlash uchun qo'llanmalar,
xavfsizlikni ta'minlash va xavfsizlikni ta'minlashga xizmat qiladigan narsalarni tahlil qilish talablari ko'rsatilishi lozim.

Xavfsizlik tizimining o'zlashtirilishi: Tashkilot xavfsizlik tizimining o'zlashtirilishining kerakligi ko'rsatiladi. Bu tizimning o'zlashtirilishida,
xavfsizlik nazorati, xavfsizlikni ta'minlash xizmatlari, xavfsizlik yechimlarini boshqarish, xavfsizlikni ta'minlash xizmatlarining
o'rnatilishi, xavfsizlikni ta'minlash odatlari va ko'rsatkichlari, xavfsizlik nazorati, muammolarni hal qilish va qayta ishlashning
rejalashtirilishi kabi yordamchi qo'llanmalar tayinlanadi.
Xavfsizlikning tahlil va baholash: Tashkilotning xavfsizlik tizimining samaradorligini baholash talablari ko'rsatiladi. Bu baholash, tizimni
baholash va xavfsizlikni baholashni o'z ichiga oladi, tizimni rivojlantirish talablari.
Aktivlarning qiymati shkalasi qanday tuziladi?
Bu shaklda, "aktivning narxi" foydalanishga tayyorlanadigan vaqtidagi o'ziga xos narxdir, ya'ni ushbu aktiv olish uchun to'langan narx.
"Amortizatsiya narxi" esa, aktiv xarid qilingan vaqtdan boshlab uni ishlatishga boshlagan vaqtgacha qayta tiklash uchun ajratilgan
umumiy xarajat hisoblanadi.
Boshqa aktivlar uchun, qiyosiy qiymatlarni aniqlash uchun boshqa shakllar ham mavjud, masalan, kompaniya uchun sizning ma'lumot
tizimingizning qiymatini aniqlash uchun foydalanishdan oldin foydalanuvchilarga xizmatlar narxini va uning qo'shimcha chegirmalarini
hisobga olishingiz mumkin. Boshqa usullar orqali, aktivlar uchun qiymat tushuntirilishi mumkin, masalan, xavfsizlik, ishonch va
shtanga, kreditlik qiymat, kuzatuv va monitoring xizmatlariga murojat qilish, joriy xisob-kitoblarni tekshirish va boshqarish.
aktivlarni, ularning qiymatini, qayerdan topshirilganligini, qaysi vaqtda topshirilganligini, qaysi bo'lim uchun sotilganligini va kim
tomonidan topshirilganligini ko'rsatadi. Bu kompaniyalarda aktivlarni boshqarishda va xisob-kitob yozishda foydalanish uchun qulay
bo'ladi.
10- amaliy ish
Mavzu: Riskni qabul qilish
Ishdan maqsad: Tanlangan predmet sohada sifat va son bo’yicha baholangan va qayta ishlangan axborot
xavfsizligi xavfini qabul qilish bilim va ko’nikmalarini shakllantirishdan iborat.
Qisqacha nazariy ma’lumot
Axborot xavfsizligi risklarini boshqarish va ularni qayta ishlashning butun jarayoni vaqtida risklarga taalluqli
axborot tegishli rahbariyatga va tezkor xodimlarga yetkazilishi muhim. Hatto, risklarni qayta ishlashgacha
identifikatsiya qilingan risklar tо‘g‘risidagi axborot insidentlarni boshqarishni amalga oshirish uchun muhim
bо‘lishi va potensial zararni kamaytirishga kо‘maklashishi mumkin. Rahbariyat va xodimlarning risklar,
rikslarni kamaytirish uchun qо‘llaniladigan boshqarish vositalarining tabiati va tashkilotning muammoli
sohalari tо‘g‘risida xabardorligi insidentlarni va kо‘zda tutilmagan voqea-hodisalarni kо‘rib chiqishda eng
samarali tarzdagi yordamchi mexanizm hisoblanadi. Axborot xavfsizligi risklarini boshqarish jarayoniga
kiradigan har bir tadbirning batafsil natijalari va risklar bо‘yicha qarorlar qabul qilishning ikki nuqtasidan
olingan natijalar ujjatlashtirilishi kerak.
Amaliy qism
Risklarni qabul qilish mezonlari ishlab chiqilishi va aniqlanishi kerak. Risklarni qabul qilish mezonlari
kо‘pincha, tashkilot siyosatiga, vazifalariga, maqsadlariga va manfaatdor tomonlarning manfaatlariga bog‘liq
bо‘ladi.
Tashkilot rikslarni qabul qilish darajalari uchun о‘zining shkalalarini aniqlab olishi kerak. Ishlab chiqishda
quyidagilarni hisobga olish zarur:
risklarni qabul qilish mezonlari riskning istalgan maqsadli darajasiga ega kо‘plab chekka qiymatlarni ichiga
olishi mumkin, lekin muayyan vaziyatlarda yuqori rahbariyat kо‘rsatilgan darajadan yuqorida turgan risklarni
qabul qilishi sharti asosida;
risklarni qabul qilish mezonlari miqdor jihatdan baholangan foydaning (yoki boshqa biznes foydasining)
miqdor jihatdan baholangan riskka bо‘lgan nisbati sifatida ifodalanishi mumkin;
risklarni qabul qilishning turli mezonlari riskning turli klasslariga nisbatan qо‘llanilishi mumkin, masalan,
direktivalar va qonunlarga mos kelmaslik natijasi bо‘lishi mumkin bо‘lgan risklar qabul qilinmaydi, shu
vaqtning о‘zida, shartnoma majburiyatlarida belgilangan bо‘lsa, yuqori darajadagi risklar qabul qilinishiga
ruxsat etilishi mumkin;
risklarni qabul qilish mezonlari bо‘lajak qо‘shimcha qayta ishlashga taalluqli talablarni ichiga olishi mumkin,

masalan, muayyan vaqt davri doirasida risklarni maqbul darajagacha kamaytirish bо‘yicha ishlarni amalga
oshirish tasdiqlansa va rozilik berilsa, risklar qabul qilinishi mumkin.
Risklarni qabul qilish mezonlari risklar qanchalik uzoq, taxminan mavjud bо‘lishiga bog‘liq holda farqlanishi
mumkin, masalan, risklar vaqtinchalik yoki qisqa muddatli faoliyat bilan bog‘liq bо‘lishi mumkin.
Risklarni qabul qilish mezonlari quyidagilar hisobga olingan holda о‘rnatilishi kerak:
- biznes mezonlari;
- qonunchilik va normativ hujjatlarning aspektlari;
- operatsiyalar;
- texnologiyalar;
- mablag‘lar;
- ijtimoiy va gumanitar omillar.
Risklarni qabul qilish mezonlari О‘z DSt ISO/IEC 27001 (4.2.1, s) sanab о‘tish, belgilangan «risklarni qabul
qilish mezonlari va risklarning maqbul darajasini identifikatsiya qilish» ga mos keladi.
Axborot xavfsizligi risklarini boshqarish jarayoni bilan bog‘liq bо‘lgan tashkiliy struktura va javobgarlik
о‘rnatilishi va ta’minlanishi kerak. Quyida tashkiliy strukturaga xos bо‘lgan asosiy rollar va vazifalar sanab
о‘tiladi:
ushbu tashkilot uchun mos keladigan, axborot xavfsizligi risklarini boshqarish jarayonini ishlab chiqish;
manfaatdor tomonlarni identifikatsiya va tahlil qilish;
tashkilotga nisbatan ham ichki, ham tashqi bо‘lgan barcha tomonlarning rollari va vazifalarini aniqlash;
tashkilot va manfaatdor tomonlar о‘rtasida talab qilinadigan о‘zaro aloqalarni, shuningdek, yuqori darajadagi
risklarni boshqarishning ( masalan, operatsion risklarni boshqarish) tashkiliy funksiyalari uchun, boshqa
ahamiyatli loyihalar va faoliyat turlari bilan interfeyslar о‘rnatish;
qarorlar qabul qilinishini birmuncha yuqori darajaga topshirish yо‘llari;
saqlanishi zarur bо‘lgan hujjatlarni aniqlash.
Bu tashkiliy struktura tashkilotning tegishli rahbariyati tomonidan ma’qullanishi kerak.
О‘z DSt ISO/IEC 27001 (5.2.1, a) sanab о‘tish) ga muvofiq, tashkilot AXBTni ishlab chiqish, joriy qilish,
foydalanish, monitoringi, tahlili, takomillashtirish va samaradorligini oshirish uchun zarur bо‘lgan resurslarni
aniqlashi va ta’minlashi kerak. Risklarni boshqarishni bajaradigan tashkilot bо‘linmasi, О‘z DSt ISO/IEC 27001
talab qiladigan resurslardan biri sifatida kо‘rib chiqilishi mumkin.
Topshiriq
Ushbu ishda har bir talaba individual tanlagan predmet sohasi bo’yicha sifat va son bo’yicha baholangan va
qayta ishlangan axborot xavfsizligi riskini qabul qilishni amalga oshirishi lozim hamda berilgan nazorat
savollariga javob yozadilar.
Javob.
Agar har bir talaba individual tanlagan predmet sohasi bo'yicha sifat va son bo'yicha baholangan va qayta
ishlangan axborot xavfsizligi riskini qabul qilish kerak bo'lsa, quyidagi nazorat savollari va javoblari foydali
bo'ladi:

Axborot xavfsizligi tizimlari qanday o'rnatilgan va sozlanadi? - Axborot xavfsizligi tizimlari xavfsizlik choralari
va xavfsizlik standartlari asosida sozlanishi kerak. Buning uchun, tizim o'rnatilishidan oldin risk baholash,
xavfsizlikning muvofiqlikni ta'minlash va xavfsizlikning monitoringi va baholashini ta'minlash lozim.
O'rnatilgan tizimlarni xavfsizlik sozlashi va monitoringi ham muvofiqlik bilan amalga oshirilishi kerak.
Xodimlar xavfsizlikga qanday ta'lim oldilar? - Xodimlar xavfsizlikga oid ta'limlarni amalga oshirganligi
tekshirilishi kerak. Xavfsizlik xodimlariga o'ziga xos ta'lim va tayyorlanish taqdim etilishi kerak. Bu, xavfsizlik
tizimlari va dasturiy ta'minotlarini muhofaza qilish uchun zarur bo'ladi.
Xavfsizlikni monitoring qilish jarayoni qanday amalga oshiriladi? - Monitoring va baholash jarayoni xavfsizlik
siyosatiga muvofiqlik bilan amalga oshirilishi kerak. Tizimning monitoring xususiyatlari va monitoring
jarayoni aniqlanishi kerak. Monitoring natijalari yaxshi ko'rib chiqilishi kerak va ularni to'g'riroq muomalaga
solish lozim.
Risklar qayta baholanganligi va bartaraf qilinishi haqida ma'lumot bormi? - Risklar xavfsizlikning muvofiqlikni
ta'minlash uchun taqdim etilgan xavfsizlik choralari asosida baholangan va tashkilot xavfsizlik siyosatining
bir qismi sifatida takomillashtirilishi kerak. Risklar tez-tez baholangan va baholash natijalari tizimga ko'ra
yangilab turilishi kerak. Risklar to'g'riroq belgilangan va bartaraf qilinganligi hisoblanishi kerak.
Xavfsizlikning mustahkamlanishiga oid yangiliklar va o'zgarishlar qanday amalga oshiriladi? - Yangiliklar va
o'zgarishlar xavfsizlikning mustahkamlanishiga oid xavfsizlik siyosatidagi baholash natijalari va tashkilot
xavfsizlik
Natijalarni baholash
Risklarni qayta ishlash jarayonining oxirida natijalar baholash va o’rganish kerak. Bu qadamda, tahlil qilishda
aniqlangan muammo va xatolar aniqlanishi, ularning ishonchli hal qilinishi va qayta ishlash jarayonida
yechilgan yoki hal qilinmagan xatolar uchun takliflar berilishi kerak.
Baholash jarayonida, natijalar baholanganidan kelib chiqadigan xohishmaldan tashqari, kelajakda qayta
ishlash jarayonlarida ko’proq ehtiyotkorlik va xavfsizlik bilan ta’minlash uchun tavsiyalar va ko’rsatkichlar
ham tuzilishi lozim.
Shuningdek, baholash jarayonida ta’lim jarayonida ta’lim tizimiga takliflar bering, yana qayta ishlash kerak
bo’lgan qismlar yoki ko’rsatkichlar uchun.
Taxminiy
Qayta ishlash jarayoni samarali bo’lishi uchun, taxminiy mablag‘lar to‘g‘risida rejalashtirish kerak. Bu
mablag‘lar risklarni qayta ishlash jarayoni uchun sarflanadigan xavfsizlik xizmatlarini sotib olish, xavfsizlik
nazorati uchun tegishli vositalarni olish, o’zaro bog‘liq xodisalarni to’lash uchun ajratish va shunga o’xshash
boshqa kerakli resurslarni sotib olish uchun sarflanishi mumkin.
Qayta ishlash jarayonining boshqacha jarayonlarga ta’siri
Qayta ishlash jarayoni asosan axborot tizimlarida yoki uni o’zgartirish jarayonlarida amalga oshiriladi.
Shuningdek, uni ishga tushirish uchun kompyuterlarga yuklanishi, axborot tizimlariga ulanishi, xodisalar yoki
qurilmalar to’g‘risida qaror qabul qilinishi va boshqacha jarayonlarni amalga oshirish kerak bo’ladi.

Bularni ko’rib chiqib, qayta ishlash jarayonlarining boshqacha jarayonlar bilan ta’sirini va ularning muvofiqligi
va hamkorligini ta’minlash uchun kerakli tayyorgarliklar olib borishingiz kerak.
Qayta ishlash jarayonining baholash va o‘zgartirishQayta ishlash jarayonlari, yangi axborot xavfsizligi risklari
paydo bo’lishi mumkin.
Nazorat savollari
1. Risk qabul qilish deganda nimani tushunasiz?.
2. Risklarni qabul qilishning qanday mezonlari mavjud?
3. Risklarni qabul qilish mezonlarini shakllantirishda asosan nimalarga e’tibor qaratish lozim?
4. Risklarni qabul qilishning tashkiliy strukturasiga xos bo’lgan vazifalar?
Javoblar.
Risk qabul qilish deganda nimani tushunasiz?
Risk qabul qilish, bir harakat yoki faoliyatning o‘zida yuzaga kelishi mumkin bo‘lgan zararli holat yoki olaylarni
oldini olish uchun kerakli ko‘nikmalarni qo‘llash, o‘z ichida majburiy yoki ixtiyoriy holatda yuzaga kelishi
mumkin bo‘lgan, bunga qarshi muammo yoki xavfni aniqlash, qadrlash, tahlil qilish, natijalari hisobga olish va
uni tahlil qilishdan o‘tgan kelgusidagi harakatlar jamlanmasidir.
Xavfsizlik riskini aniqlashni qanday amalga oshirasiz?
Xavfsizlik riskini aniqlash uchun quyidagi bosqichlar amalga oshiriladi:
. Tahlil: Kerakli ma’lumotlarni yig‘ish, tahlil qilish va ulardan xavfsizlik holatiga oid ma’lumotlarni chiqarish.
. Tahlil natijalarining hisoblanishi: Xavfsizlikni ta’minlash uchun qanday qadam ko‘rilishi haqida fikr bildirish
uchun natijalar ishlatiladi.
. Ovoz berish: Fikrlar, xulosa va takliflarni ovoz berishda mutaxassislar va qatnashuvchilar jalb qilinadi.
. Qabul qilish: Xavfsizlik qabul qilish timi, xavfsizlik tuzatishni yomonlashtirish uchun risklarni identifikatsiya
qiladi va ularni boshqarish uchun xavfsizlikni yaxshilashga yo‘naltiradi.
Xavfsizlik risklarini tahlil qilishning eng yaxshi usullari nimalar?
Xavfsizlik risklarini tahlil qilishning eng yaxshi usullari quyidagilar bo‘ladi:
. Xavfsizlik sohasida mutaxassis bo‘lgan shaxs yoki jamoa ishtirokida tahlil qilish;
. Muhtojliklarni tahlil qilish va ularni risklarga ayirish;
. Tan olingan har bir harakat uchun ixtiyoriy risklarni aniqlash;
. Zararli holatlarni tahlil qilish, qarshi harakatlarni chiqarish va ularni qanchalik yo‘qotish mumkinligini
aniqlash;
. Mahsulot, xizmat yoki tizimni samarali ishlatishni ta’minlash uchun xavfsizlikni oshirishga yo‘naltirilgan
tavsiyalar.
Maqsadga muvofiq xavfsizlikni oshirishning samaradorligini baholash va uning ko‘rsatkichlarini aniqlash.

ISO 27001: 2013 standardi nima uchun foydalaniladi?
ISO 27001: 2013, axborot xavfsizligi tizimlarini tashkil etish, qurish, amalga oshirish, yaxshilash va
rivojlantirishni qayta ishlash uchun xizmat qiladi. Bu standart, xavfsizlik va shifrlash protokollari, xavfsizlikni
oshirish bo‘yicha yaxshi amaliyotlar, xavfsizlik tizimini boshqarish, amalga oshirish va ta’minlashga oid
barcha zarur ma’lumotlarni o‘z ichiga oladi
Risklarni qabul qilishning qanday mezonlari mavjud?
Risklarni qabul qilishning bir necha mezonlari mavjud:
Risk tahlili: Bu mezon, potensial xavf va imkoniyatlarning tahlilini o‘z ichiga oladi. Risk tahlili, xavflarni va
imkoniyatlarni topish, tahlil qilish va yaratilishi mumkin bo‘lgan xavflar va imkoniyatlarni baholashni o‘z ichiga
oladi.
Riski to‘lash: Bu mezon, xavflarni o‘z ichiga oladi va ularni bartaraf etish yoki pastroqqa o‘tkazishga harakat
qiladi. Bu, xavflarning vaqti, miqdori va qimmatini belgilashda juda muhimdir.
Riskni uzish: Bu mezon, xavflarni zavqiyatlantirish yoki ularning xavfsizligini oshirishga harakat qiladi. Ushbu
mezon, zararlarning xavfsizligi hisoblanadi, ammo riskni kamaytirish yoki ortishga harakat qilishga imkon
beradi.
Riskni boshqarish: Bu mezon, xavflarni nazorat qilish yoki kamaytirish uchun o‘zgaruvchan qismlarni nazorat
qilishga harakat qiladi. Bu, xavflarni o‘tkazish, qabul qilish va nazorat qilishning qarorlarni to‘g‘ri qilishga
yordam beradi.
Riskni transfer etish: Bu mezon, xavflarning kelgusi shaxslarga o‘tkazilishiga yoki tijorat xizmatlari yordamida
kamaytirilishiga qaratiladi. Ushbu mezon, xavflarni boshqa shaxslarga yuklash orqali zararlarning riskini yoki
miqdorini yuklashga yordam beradi.
Bu mezonlar, riskni nazorat qilish uchun bir necha strategiyalarni qamrab oladi va kompaniya qatnashchilari
uchun xavfli holatlarni qavatliroq tahlil qilishga imkon beradi.
Risklarni qabul qilish mezonlarini shakllantirishda asosan nimalarga e’tibor qaratish lozim?
Risklarni qabul qilishning bir necha usullari mavjudligi sababli, risklarni qabul qilish mezonlarini
shakllantirishda quyidagi xususiyatlarga e'tibor qaratish lozim:
Organizatsiyaning asosiy maqsadlariga e'tibor qaratish: Risklarni qabul qilish jarayonida organizatsiyaning
asosiy maqsadlariga qanday ta'sir ko'rsatishi ko'rsatilishi kerak. Bunday xususiyat risklarni tanlash
jarayonida organizatsiyada muhim yoki kam ta'sir ko'rsatuvchi risklarni aniqlashda va xavfni qismlantirishda
muhim ahamiyatga ega bo'ladi.
Xavfli yoki xavfsizlikka oid mahsulotlarning va xizmatlarning xususiyatlarini tushunish: Mahsulot yoki
xizmatlarning xususiyatlarini tushunish, o'z ichiga xavfli xususiyatlarni qanchalik o'z ichiga olganligini
tushunish va bularni nazorat qilishning qanday usullarini aniqlash shart.
Organizatsiyaning tashkiliy tuzilishi va faoliyatini tushunish: Risklarni qabul qilishda organizatsiyaning
tashkiliy tuzilishi va faoliyatini tushunish muhim ahamiyatga ega. Organizatsiyaning tuzilishi va faoliyatining
qanday o'tishi, ularning yuritish metodlari va standartlari ham risklarni tanlash jarayonida e'tibor qaratilishi
kerak.

Xavfni qismlantirishda ishtirok etuvchi shaxslar tushunish: Xavfni qismlantirish jarayonida o'z vazifalarini
bajaradigan barcha shaxslarning xavfli xususiyatlarga ega bo'lishi kerak. Bu esa, risklarni tanlash va qabul
qilish jarayonida, ularning fikrlarining ko'rsatilishi, va risklar bilan ishlashda ularning ta'sirining ko'rsatilishi
kerakligi aniq.
Huquqiy mezonlarni tushunish: Xavfsizlik bilan bog'liq huquqiy mezonlarni tushunish, xavfli xususiyatlarni
qanday kamaytirish, o'zlariga qarshi chiqish huquqi va xavfsizlik bilan bog'liq shartlar ham risklarni qabul
qilishda e'tibor qaratilishi kerak.
Ijtimoiy, iqtisodiy va siyosiy muhitni tushunish: Risklarni qabul qilishda ijtimoiy, iqtisodiy va siyosiy
munosabatlar.
Risklarni qabul qilishning amaliyoti, risklar va ularga oid ma’lumotlarga tayyorgarlik, tasniflash va tahlil qilish,
tahlillarni baholash, o’tkazilgan chora-tadbirlarni baholash va tadbirlarni amalga oshirishning muhim
qadamlaridan biridir.
Risklarni qabul qilish jarayoni davomida, imkoniyatlar va ularga oid ma'lumotlar to'plami baholash va
tasniflashga e'tibor beriladi. Bunda, avvalo ma'lumotlarni topish va tasniflash jarayoni boshlanadi.
Ma'lumotlar va ularga oid ko'rsatkichlar baholanadi, va ularning o'zaro bog'liqliklari tahlil qilinadi. Bu tahlil
odatda SWOT-analizi yordamida amalga oshiriladi.
Keyinroq, xavf va ta’sir darajalari tayinlanadi, va ularga mos keluvchi qarorlar qabul qilinadi. Riskni o’z ichiga
oluvchi tasvirlar tuziladi va ularni yuzaga kelishi uchun muddat belgilanadi. Shundan so'ng, risklar tahlil
qilinadi va ularning talablariga mos keluvchi chora-tadbirlar va yondashuvlar tanlanadi. Risklarni qabul qilish
jarayonida tayyorlanadigan dasturlar va protsedurlar ham mavjud.
Risklarni qabul qilish jarayoni, xavfli holatlar uchun tayyor bo'lishni ta’minlaydi va o'tkazilayotgan tadbirlarning
samaradorligi va effektivligini oshirishga yordam beradi.
Risklarni qabul qilishning tashkiliy strukturasiga xos bo’lgan vazifalar?
Risklarni qabul qilishning tashkiliy strukturasi quyidagi vazifalarni o‘z ichiga oladi:
Risklar inventarizatsiyasi: Tashkiliy strukturani barcha huquqiy va siyosiy talablar asosida, risklar
inventarizatsiyasi olib boriladi.
Risklarning baholash va tahlil qilish: Tashkiliy strukturada risklarni baholash va tahlil qilish jarayoni tashkil
etiladi, bu jarayon paydo bo‘lgan risklarni tahlil qilish, ularning yuqori darajadagi samaradorlikini va ularning
xavf darajalarini baholashni o‘z ichiga oladi.
Risklarga qarshi tindash usullarini belgilash: Tashkiliy strukturada risklarga qarshi tindash usullari tayinlanadi.
Bu usullar risklar xavf darajalari bo‘yicha tartibga solinadi va ularni bartaraf qilish uchun kerak bo‘lgan
qo‘llanmalar va protseduralarni o‘z ichiga oladi.
Risklarni kuzatib borish: Tashkiliy strukturada, inventarizatsiya va tahlil jarayonlari yakunlanishidan so‘ng,
risklarni kuzatib borish jarayoni amalga oshiriladi. Bu jarayonda tashkiliy strukturani barcha huquqiy va
siyosiy talablar asosida, risklarning kuzatish yo‘llari va shakllari tayinlanadi.
Risklarni boshqarish: Tashkiliy strukturada, kuzatib borish jarayonidan so‘ng, risklarni boshqarish jarayoni
amalga oshiriladi. Bu jarayonda, o‘ziga xos protseduralar, huquqiy va siyosiy talablar asosida, risklarning
bartaraf qilinishi, samaradorligi va qabul qilishsi uchun kerak bo‘lgan huquqiy yoki amaliy hujjatlar tayinlanadi.

Risklarni ko‘rib chiqish: Tashkiliy strukturada, boshqa bir vazifa risklarini o‘z ichiga oladi, ya’ni, risklar ko‘rib
chiqishni o‘z ichiga oladi. Bu jarayonda, tashkiliy strukturada amalga oshirilayotgan barcha ishlarning,
tashkiliy faoliyatning va boshqa muhim ishlarining risklari ko‘rib chiqiladi va ularning bartaraf qilinishi uchun
kerak bo‘lgan huquqiy yoki amaliy hujjatlar tayinlanadi.
Shunday qilib, tashkiliy strukturada risklarni qabul qilishning asosiy vazifalari risklar inventarizatsiyasi,diyiladi.
Tashkiliy struktura xususiy vazifalarni bajarish bilan birga, risklarni qabul qilish jarayoni tashkiliy muhitda turli
tashkilotning yaratilgan imkoniyatlariga va talablari uchun ham xususiy huquqiy hujjatlarga muvofiq amalga
oshirilishi lozim. Bu vazifalarni o‘rnatishda quyidagi yondashuvlar mavjud:
O‘z tashkiliy risklarini belgilash: Tashkilot o‘ziga xos risklarni aniqlash uchun muvofiqlik huquqiy hujjatlari va
mahsulotlari, tashkilot faoliyatining xususiyatlari va muassirligi, uning bozorining holati va boshqa omillar
hisobiga o‘z tashkiliy risklarini belgilash lozim.
Risk tahlilini amalga oshirish: Tahlil jarayonida, tashkilotning muhim faoliyat yo‘nalishlari va imkoniyatlari
taqqoslanadi va u holda uchta tahlil o‘tkaziladi: yuritish, tahlil etilayotgan muhit va tahlil etilayotgan tashkilot.
Natijada, risklar tahlil qilingan va ularning tashkilotning moliyaviy, huquqiy va boshqa manfaatlari uchun
zararlari, shuningdek, yuzaga kelishi mumkin bo‘lgan havo va hududiy, tabiiy-fiziologik, iqtisodiy va sotsial
o‘qibatlari ko‘rsatiladi.
Risklarni baholash: Risklar baholash jarayoni o‘ziga xosdir va uni bajarish uchun qo‘llaniladigan
metodologiyalar, usullar va texnologiyalar mavjud. Baholash jarayonida, risklariga e’tibor beriladigan
ko‘rsatkichlarni (masalan, hayotga ta’sir ko‘rsatkichlari, material-qurilish, muammo bo‘lish ihtimoli,
ko‘rsatiladigan mahsulotlar kabi) ko‘rsatish va ularning bahosini aniqlash, shuningdek, riskning yuzaga
kelishi mumkin bo‘lgan siyosiy, moliyaviy, huquqiy, jismoniy, yuridik va boshqa o‘qibatlari baholash lozim.
Risklarga bo‘lgan ta’sirni baholash: Baholash jarayoni oxirida, belgilangan risklarga tegishli bo‘lgan huquqiy,
moliyaviy va boshqa manfaatlarning bahosini yozish va shuningdek, ularning tarixi va tashkilotning
maqsadlarini aniqlash lozim.
8- Amaliy ish