Bajardi: Mamaroziqov Muzaffar Tekshirdi: Mardiyev Ulug’bek Toshkent 2022 Mundarija
SQL Server ma’lumotlar bazasini boshqarish tizimida audit va monitoring
Download 0.75 Mb.
|
xisobot
|
16.SQL Server ma’lumotlar bazasini boshqarish tizimida audit va monitoring
Axborot xavfsizligi tizimi amalga oshirilganida tarmoq infratuzilmasini murakkabligi, ma’lumotlar va ilovalarning turli-tumanligi sababli ko‘pgina tahdidlar xavfsizlik ma’murining e’tiboridan chetda qolishi mumkin. Shuning uchun axborot tizimlarining muntazam auditi va doimiy monitoringi amalga oshirilishi zarur. Axborot tizimlari xavfsizligining auditi. Audit-korxonaning alohida sohalarini mustaqil ekspertizasi. Korxona auditining tashkil etuvchilaridan biri uning axborot tizimi auditi hisoblanadi. Axborot tizimlarining auditi — axborot tizimining himoyalanishining joriy holati, undagi harakatlar va xodisalar xususidagi ob’ektiv ma’lumotlarni olish va baholash, ular sathining belgilangan mezonga mosligini aniqlovchi tizimli jarayondir. Audit o‘tkazilishi axborot tizimining joriy xavfsizligini baholashga, xavf-xatarni baholashga, ularning tashkilot biznes-jarayonlariga ta’sirini bashoratlashga va boshqarishga, tashkilot axborot resurslari xavfsizligini ta’minlash masalasiga asosli yondashishga imkon beradi. Axborot tizimlari xavfsizligining auditi quyidagi bosqichlarni o‘z ichiga oladi: - audit muolajasining boshlanishi; - audit axborotini yig‘ish; - audit ma’lumotlarini taxlillash; - tavsiyalar ishlab chiqish; -hisobot tayyorlash. Audit bosqichlarining bajarilish ketma-ketligi 6.1- rasmda keltirilgan. Audit muolajasining boshlanishi. Audit, bu masalada manfaatdor hisoblanuvchi, kompaniya rahbariyati tashabbusi bilan o‘tkaziladi. Audit tadbirlarning kompleksi bo‘lib, unda auditor bilan birga kompaniyaning aksariyat tuzilmaviy bo‘linmalarining vakillari qatnashadi. Bu jarayonda ishtirok etuvchilarining harakatlari aniq muvofiqlashtirilishi shart. Shu sababli, audit muolajasining boshlanishi bosqichida audit o‘tkazish rejasini tayyorlash va tasdiqlash, auditor xuquqi va majburiyatini belgilash bilan bog‘liq tashkiliy masalalar echilishi lozim. Audit muolajasining boshlanishi bosqichida tekshirish doirasi aniqlanishi lozim. Kompaniyaning axborot qismi tizimining birini konfidensiallik nuqtai nazaridan auditga tortib bo‘lmasa, ikkinchisini, etarlicha jiddiy bo‘lmaganligi sababli, audit doirasidan chiqarish mumkin.Audit axborotini yig‘ish. Bu bosqich eng murakkab va uzoq davom etadi. Bunga sabab, axborot tizimga kerakli xujjatlarning yo‘qligi va auditorning tashkilotning ko‘pgina lavozimli shaxslari bilan bevosita o‘zaro muloqotda bo‘lishi zaruriyati. Auditor tashkilot, axborot tizimining ishlashi va joriy holati xususidagi axborotni kompaniyaning javobgar shaxslari bilan maxsus tashkil etilgan suxbat orqali, texnikaviy va tashkiliy-boshqarish xujjatlarni o‘rganish yo‘li bilan, hamda ixtisoslashtirilgan dasturiy vositalar yordamida axborot tizimini tadqiqlash orqali oladi. Audit ma’lumotlarini taxlillash. Taxlillash axborot tizimlarining auditida eng ma’suliyatli bosqich hisoblanadi. Taxlillashda noaniq, eskirgan ma’lumotlardan foydalanish nojoizdir, shu sababli ma’lumotlarga aniqlik kiritilishi va axborotlar jiddiy yig‘ilishi mumkin. Audit ma’lumotlarini taxlillashda quyidagi uchta yondashishdan foydalaniladi. Birinchi yondashish xavf-xatarlarni taxlillashga asoslanadi. Xavf-xatarlarni taxlillashdan maqsad mavjud xavf-xatarlarni aniqlash va ular kattaligini baholash (ularga sifatiy va miqdoriy baho berish). Ushbu yondashish juda murakkab bo‘lib, ko‘p mehnat sarf etiladi va auditorning eng yuqori malakasini talab qiladi. Ikkinchi yondashish axborot xavfsizligi standartlaridan foydalanishga asoslangan. Standartlar axborot tizimlarining keng sinfi uchun dunyo amaliyotini umumlashtirish natijasida shakllangan xavfsizlik talablarining bazaviy to‘plamini belgilaydi. Bu holda auditordan, berilgan axborot tizimi uchun standart talablari to‘plamini to‘g‘ri tanlash talab etiladi. Soddaligi va ishonchliligi tufayli bu yondashish amalda keng qo‘llaniladi. U resurslarning minimal sarfida axborot tizimi xususida asoslangan xulosalar qilishga imkon beradi. Uchinchi yondashish oldingi ikala yondoshishni kombinatsiyalashni ko‘zda tutadi. Axborot tizimiga quyiladigan xavfsizlikning bazaviy talablari standart orqali aniqlansa, berilgan axborot tizimi ishlashining xususiyatlarini hisobga oluvchi qo‘shimcha talablar xavf-xatarlarni taxlillash asosida shakllantiriladi. Tavsiyalar ishlab chiqish. Taxlillash natijalari tavsiyalar ishlab chiqish uchun asos bo‘ladi. Auditor tavsiyalari muayyan va berilgan axborot tizimiga qo‘llaniladigan, iqtisodiy asoslangan, isbotlangan (taxlillash natijalari bilan quvvatlangan), va muhimlik darajasi bo‘yicha rutbalangan bo‘lishi shart. Auditning muntazam o‘tkazilishi axborot tizimining barqaror ishlashini kafolatlaydi. Shuning uchun professional audit natijalaridan biri keyingi tekshirishlarini o‘tkazish reja-grafigini shakllantirishdan iborat.Hisobot tayyorlash. Auditor hisoboti audit o‘tkazishning asosiy xujjati hisoblanadi va uning sifati auditor ishining sifatini xarakterlaydi. Hisobot tarkibida audit o‘tkazish maqsadining tavsifi, tekshiriluvchi axborot tizimining xarakteristikasi, audit o‘tkazish doirasi va ishlatiluvchi usullar bo‘yicha ko‘rsatma, audit-ma’lumotlari taxlilining natijasi, bu natijalarni umumlashtiruvchi va axborot tizimi himoyalanish sathining standart talablarga javob berishi bo‘yicha xulosalar va albatta, mavjud kamchiliklarni bartaraf etish va himoya tizimini takomillashtirish bo‘yicha tavsiyalar bo‘lishi lozim. Download 0.75 Mb. Do'stlaringiz bilan baham: 
|