Misol uchun, ISO 27001 AXBT siyosati va boshqaruvlarini yaratish,

boshqarish va amalga oshirishni batafsil tavsiflovchi spetsifikatsiyalar to'plamidir.
ISO muayyan harakatlarni talab qilmaydi; Buning o'rniga u tegishli AXBT
strategiyalarini ishlab chiqish bo'yicha ko'rsatmalar beradi.
AXBT uchun asos odatda xavflarni baholash va risklarni boshqarishga
qaratilgan. Buni xavfni kamaytirish va yuzaga kelgan xarajat (xavf) o'rtasidagi
muvozanatli kelishuvga tizimli yondashuv sifatida o'ylab ko'ring.
Sog'liqni saqlash yoki moliya kabi qat'iy tartibga solinadigan sanoat
vertikallarida faoliyat yurituvchi tashkilotlar keng ko'lamli xavfsizlik tadbirlari va
xavflarni kamaytirish strategiyalarini talab qilishi mumkin.
(InfoSec boshqaruvini umumiy IT xavfsizligi siyosati doirasida ko'rib chiqing.)
Axborot xavfsizligini doimiy ravishda takomillashtirish
AXBT axborot xavfsizligini boshqarishning yaxlit imkoniyatlarini
yaratishga moʻljallangan boʻlsa-da, raqamli transformatsiya tashkilotlardan
xavfsizlik siyosati va boshqaruvlarini doimiy takomillashtirish va evolyutsiyani
qabul qilishni talab qiladi.
AXBT tomonidan belgilangan tuzilma va chegaralar faqat cheklangan vaqt
oralig'ida qo'llanilishi mumkin va ishchi kuchi ularni dastlabki bosqichlarda qabul
qilishda qiynalishi mumkin. Tashkilotlar uchun xavflar, madaniyat va manbalar
o'zgarganda xavfsizlikni nazorat qilish mexanizmlarini rivojlantirishdir.
ISO 27001 ga muvofiq, AXBTni joriy etish ISM jarayonlarini doimiy
takomillashtirish uchun Plan-bajarish-tekshirish-harakat qilish (PCDA) modeliga
amal qiladi:

Muammolarni aniqlang va xavfsizlik xavfini baholash uchun foydali

ma'lumotlarni to'plang. Muammoning asosiy sabablarini hal qilish uchun
ishlatilishi mumkin bo'lgan siyosat va jarayonlarni belgilang. Axborot xavfsizligini
boshqarish imkoniyatlarini doimiy takomillashtirish usullarini ishlab chiqish.
Do. Ishlab chiqilgan xavfsizlik siyosati va protseduralarini amalga oshirish.
Amalga oshirish ISO standartlariga amal qiladi, ammo amalda amalga oshirish
kompaniyangizda mavjud resurslarga asoslanadi.
Tekshirish. AXBT siyosati va nazorati samaradorligini nazorat qilish. ISM
jarayonlari bilan bog'liq bo'lgan aniq natijalarni va xulq-atvor jihatlarini baholang.
Qonun. Doimiy takomillashtirishga e'tibor qarating. Natijalarni
hujjatlashtiring, bilim almashing va AXBT siyosati va boshqaruvini PCDA
modelini joriy etishning kelajakdagi takrorlanishini hal qilish uchun fikr-
mulohazalardan foydalaning.
Mashhur AXBT ramkalari
ISO 27001 axborot xavfsizligi boʻyicha yetakchi hisoblanadi, ammo boshqa
tizimlar ham qimmatli koʻrsatmalar beradi. Ushbu boshqa ramkalar ko'pincha ISO
27001 yoki boshqa sohaga oid ko'rsatmalardan olinadi.
ITIL, keng tarqalgan xizmatlarni boshqarish tizimi, Axborot xavfsizligini
boshqarish (ISM) deb nomlangan maxsus komponentga ega. ISMning maqsadi
InfoSec barcha faoliyatlarda samarali boshqarilishini ta'minlash uchun IT va biznes
xavfsizligini moslashtirishdir.
COBIT, ITga yo'naltirilgan yana bir tizim, aktivlarni boshqarish va
konfiguratsiyani boshqarish axborot xavfsizligi, shuningdek, deyarli barcha boshqa
ITSM funktsiyalari, hatto InfoSec bilan bog'liq bo'lmaganlar uchun qanday asos
bo'lishiga katta vaqt sarflaydi.
AXBT xavfsizlik nazorati
AXBT xavfsizligi nazorati ISO 27001 standartida ko'rsatilganidek, axborot
xavfsizligining bir nechta sohalarini qamrab oladi. Katalogda quyidagi
maqsadlarga ega amaliy ko'rsatmalar mavjud:

Axborot xavfsizligi siyosati. Umumiy yo'nalish va yordam tegishli

xavfsizlik siyosatini yaratishga yordam beradi. Xavfsizlik siyosati sizning
o'zgaruvchan biznesingiz va xavfsizlik ehtiyojlaringiz kontekstida ishlab chiqilgan
kompaniyangizga xosdir.
Axborot xavfsizligini tashkil etish. Bu korporativ tarmoq ichidagi tahdidlar
va xavf-xatarlarga, jumladan tashqi ob'ektlarning kiberhujumlariga, ichki
tahdidlarga, tizimdagi nosozliklarga va ma'lumotlar yo'qolishiga qaratilgan.
Aktivlar boshqaruvi. Ushbu komponent korporativ AT tarmog'i ichidagi va
undan tashqaridagi tashkiliy aktivlarni qamrab oladi. Bu muhim biznes
ma'lumotlarini almashishni o'z ichiga olishi mumkin.
Inson resurslari xavfsizligi. Sizning xodimlaringiz, faoliyatingiz va inson
xatolariga oid siyosat va nazorat, jumladan, insayder tahdidlar xavfini kamaytirish
choralari va xavfsizlikning qasddan uzilishlarini kamaytirish uchun ishchi kuchini
o'qitish.
Jismoniy va ekologik xavfsizlik. Ushbu ko'rsatmalar jismoniy AT
uskunasini shikastlanish, yo'qotish yoki ruxsatsiz kirishdan himoya qilish uchun
xavfsizlik choralarini o'z ichiga oladi. Ko'pgina tashkilotlar raqamli
transformatsiyadan foydalanayotgan va maxfiy ma'lumotlarni xavfsiz bulutli
tarmoqlarda saqlayotgan bo'lsa-da, ushbu ma'lumotlarga kirish uchun
foydalaniladigan jismoniy qurilmalar xavfsizligini hisobga olish kerak.
Aloqa va operatsiyalarni boshqarish. Tizimlar xavfsizlik siyosati va
boshqaruvlariga hurmat va texnik xizmat ko'rsatish bilan boshqarilishi kerak.
Xizmatlarni taqdim etish va muammolarni boshqarish kabi kundalik AT
operatsiyalari AT xavfsizligi siyosati va AXBT boshqaruviga rioya qilishi kerak.
Ushbu siyosat domeni vakolatli xodimlarga kirishni cheklash va anomal
xatti-harakatlar uchun tarmoq trafigini kuzatish bilan shug'ullanadi. Kirish
ruxsatlari texnologiyaning raqamli va jismoniy vositalariga tegishli. Jismoniy
shaxslarning roli va mas'uliyati aniq belgilangan bo'lishi kerak, biznes
ma'lumotlariga faqat kerak bo'lganda kirish mumkin.
Axborot tizimini olish, ishlab chiqish va texnik xizmat ko'rsatish.
Xavfsizlikning eng yaxshi amaliyotlari saqlanishi kerak
Ushbu komponentlar va domenlar InfoSec muvaffaqiyati uchun umumiy eng
yaxshi amaliyotlarni taklif qiladi. Garchi ular bir doiradan ikkinchisiga sezilarli

darajada farq qilishi mumkin bo'lsa-da, ushbu domenlarni ko'rib chiqish va ularni

moslashtirish axborot xavfsizligini ta'minlaydi.

Download 72.34 Kb.

Do'stlaringiz bilan baham: