Axborotni himoya qilish nazariyasining umummetodologik prinsplari


ISO/IEC 27005 "Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligi risklarini boshqarish" - bu


Download 200.5 Kb.
bet2/2
Sana18.06.2023
Hajmi200.5 Kb.
#1583450
1   2
Bog'liq
3-topshiriq

ISO/IEC 27005 "Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligi risklarini boshqarish" - bu Xalqaro standartlashtirish tashkiloti (ISO) va Xalqaro elektrotexnika komissiyasi (IEC) tomonidan nashr etilgan xalqaro standart bo'lib, axborotga xavflarni boshqarish bo'yicha yaxshi amaliyot yo'l-yo'riqlarini taqdim etadi. [1] Bu odatda ISO27k deb nomlanuvchi ISO/IEC 27000 seriyali standartlarning asosiy qismidir .
Standart ISO27k Axborot xavfsizligini boshqarish tizimining (AXBT) markazida joylashgan axborot xavfsizligi risklarini tizimli ravishda aniqlash, baholash, baholash va davolash bo'yicha tavsiyalarni taqdim etadi. U tashkilotlarning axborot xavfsizligini nazorat qilish va boshqa tadbirlarni axborot xavfsizligi xavflaridan kelib chiqqan holda ishlab chiqish, amalga oshirish, boshqarish, monitoring qilish va saqlashni ta'minlashga qaratilgan.
ISO/IEC 27005 ning joriy uchinchi nashri 2018-yilda chop etilgan. Toʻrtinchi nashri [2] loyihasi ishlab chiqilmoqda va 2022-yil oxirida chop etilishi kutilmoqda [3].
Umumiy koʻrinish 
ISO/IEC 27005 xavflarni boshqarishning aniq usullarini batafsil ko'rsatmaydi yoki tavsiya etmaydi. Buning o'rniga u ISO 31000 [4] tomonidan tavsiflangan xavflarni boshqarishning umumiy usuliga asoslanib, jarayonni umumiy/umumiy ma'noda muhokama qiladi, ya'ni:

  • Xatarlarni aniqlash va baholash;

  • Xatarlar haqida nima qilish kerakligini hal qiling (ularni qanday “davolash” kerak) ... va buni qiling;

  • Xatarlarni, xavflarni davolash usullarini va boshqalarni kuzatib boring, muhim o'zgarishlar, muammolar/tashvishlar yoki yaxshilash imkoniyatlarini aniqlash va ularga to'g'ri javob berish;

  • Jarayon davomida manfaatdor tomonlarni (asosan tashkilot rahbariyatini) xabardor qilib turing.

Ushbu keng doirada tashkilotlar o'zlarining ehtiyojlariga eng mos keladigan axborot risklarini boshqarish usullari, strategiyalari va/yoki yondashuvlarini tanlash ishlab chiqish va ulardan foydalanishga da'vat etiladi, masalan:

  • Axborotning maxfiyligi, yaxlitligi yoki mavjudligini buzadigan yoki zarar etkazadigan turli hodisalar, vaziyatlar yoki stsenariylar ehtimolini aniqlash;

  • AT tizimlari va tarmoqlari bilan bog'liq hodisalar natijasida yuzaga kelishi mumkin bo'lgan tahdidlar, zaifliklar va biznes ta'sirini baholash, shuningdek, ma'lumotlarni qo'lda qayta ishlash, qog'ozdagi yoki so'z va rasmlarda ifodalangan ma'lumotlar, shuningdek, bilim, intellektual mulk va boshqalar kabi nomoddiy ma'lumotlar;

  • Tashkilotning to'liq nazorati ostida bo'lgan, uning nazorati ostida bo'lmagan yoki qisman nazorat qilinadigan omillarni hisobga olgan holda;

  • Tashkilot uchun ma'lumotlarning turli shakllari, turlari yoki toifalarining mutlaq yoki nisbiy qiymatlarini aniqlash, xususan, biznesning muhim maqsadlariga erishish uchun muhim bo'lgan axborot va ma'lumotlarni qayta ishlash;

  • Har xil turdagi hodisalarning ehtimoli/ehtimolligini va agar ular sodir bo'ladigan bo'lsa, tashkiliy ta'sirlarni baholash/aniqlash uchun miqdoriy yoki sifat/qiyosiy usullardan foydalangan holda axborot risklarini aniqlash;

  • Boshqa turlarga (masalan, strategik, tijorat/bozor, mahsulot, AT, salomatlik va xavfsizlik hamda qonunchilik/qoidalarga muvofiqlik risklari) nisbatan axborot risklarini ko‘rib chiqish va boshqarish;

  • Tashkilot tomonidan qo'llanilgan risklarni boshqarish usullari va yondashuvlarini qo'llash/moslashtirish, yaxshi amaliyotlarni qabul qilish yoki yangi/gibrid yondashuvlarni ishlab chiqish;

  • Xatarlardan qochish (odatda xavfli faoliyatni boshlamaslik yoki undan voz kechish orqali), ularni uchinchi shaxslar bilan baham ko'rish (masalan, kiber-sug'urta yoki shartnoma bandlari orqali), axborot xavfsizligini boshqarish vositalaridan foydalangan holda ularni kamaytirish yoki ularni saqlab qolish/qabul qilish, xavfni qo'llash orqali qaror qabul qilish. tuyadi/tolerantlik mezonlari;

  • Xatarlarning ahamiyati yoki tabiati, shuningdek, ko'rib chiqilayotgan xavf-xatarni davolash usullarining iqtisodiy samaradorligi yoki boshqa oqibatlariga ko'ra ustuvorlik qilish, ularga mos ravishda davolashni rejalashtirish, resurslarni taqsimlash va h.k.;

  • Axborot risklarini ularning ehtimoli va/yoki ta'sirini turli yo'llar bilan kamaytirish yo'li bilan yumshatish, masalan, avtomatlashtirilgan, qo'lda, jismoniy yoki ma'muriy boshqaruvni profilaktika, detektiv yoki tuzatuvchi tanlash;

  • Noaniqliklarga, shu jumladan risklarni boshqarish jarayonining o'ziga tegishli bo'lgan holatlarga (masalan, kutilmagan hodisalarning ro'y berishi, baxtsiz tasodiflar, qaror qabul qilishdagi xatolar va nazoratning qisman yoki to'liq muvaffaqiyatsizligi);

  • Sinov, baholash, baholash, ko'rib chiqish, audit va hokazolar orqali tanlangan xavflarni davolash usullari mos ekanligi va amalda yetarli darajada samarali bo'lib qolishiga ishonch hosil qilish;

  • Turli qonunlar, qoidalar, shartnomalar, kelishuvlar, standartlar, kodekslar va boshqalar orqali tashkilot tomonidan qo'yiladigan yoki ixtiyoriy ravishda qabul qilingan tegishli talablar yoki majburiyatlarga rioya qilish (masalan, maxfiylik qonunlari, PCI-DSS, axloqiy va atrof-muhit masalalari);

  • Tajribadan o'rganish (shu jumladan tashkilot tomonidan sodir bo'lgan voqealar, shuningdek, yaqin orada o'tkazib yuborilgan va taqqoslanadigan tashkilotlarga ta'sir qiladigan hodisalar) va doimiy ravishda takomillashtirish.

Maqsadlar 
ISO /IEC 27000 seriyali standartlar barcha turdagi va o'lchamdagi tashkilotlarga - juda xilma-xil guruhga nisbatan qo'llaniladi, shuning uchun ularning barchasi uchun alohida yondashuvlar, usullar, xavflar yoki nazoratni belgilash maqsadga muvofiq emas. Buning o'rniga, standartlar boshqaruv tizimi soyaboni ostida umumiy ko'rsatmalar beradi. Menejerlarga o'z tashkilotining muayyan vaziyatiga mos keladigan va ularning axborot risklari bilan oqilona va tizimli ravishda kurashadigan tizimli usullarga rioya qilish tavsiya etiladi.
Axborot risklarini aniqlash va boshqaruv nazorati ostiga olish ularga tegishli tarzda, o‘zgarishlarga javob beradigan va vaqt o‘tishi bilan AXBTning etukligi va samaradorligini oshirishga olib keladigan takomillashtirish imkoniyatlaridan foydalanadigan tarzda muomala qilinishini ta’minlashga yordam beradi.
Standartning tuzilishi va mazmuni [ tahrir ]
ISO/IEC 27005:2018 boshqa ISO/IEC standartlari uchun umumiy boʻlgan anʼanaviy tuzilishga ega boʻlib, quyidagi asosiy boʻlimlarga ega: [6]

  1. Fon

  2. Axborot xavfsizligi risklarini boshqarish jarayoniga umumiy nuqtai

  3. Kontekstni o'rnatish

  4. Axborot xavfsizligi xavfini baholash

  5. Axborot xavfsizligi xavfini davolash

  6. Axborot xavfsizligi xavfini qabul qilish

  7. Axborot xavfsizligi xavfi bo'yicha aloqa va maslahat

  8. axborot xavfsizligi xavfi monitoringi va tahlili

Va oltita ilova:

  1. Axborot xavfsizligi risklarini boshqarish jarayonining doirasi va chegaralarini belgilash

  2. Aktivlarni aniqlash va baholash va ta'sirni baholash

  3. Oddiy tahdidlarga misollar

  4. Zaifliklar va zaiflikni baholash usullari

  5. Axborot xavfsizligi xavfini baholash yondashuvlari

  6. Xavfni o'zgartirish uchun cheklovlar

Download 200.5 Kb.

Do'stlaringiz bilan baham:
1   2




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling