Axborot xavfsizligini boshqarish tizimi "Telekommunikatsiya operatorlari uchun axborot xavfsizligining asosiy darajasi. Tashkilotning axborot tizimiga tahdidlar. Normativ havolalar, ta'riflar va qisqartmalar

Foydali dasturlar

© Vadim Grebennikov, 2018 yil

ISBN 978-5-4493-0690-6

Ridero Intelligent Publishing System tomonidan yaratilgan

1. Axborot xavfsizligini boshqarish standartlari oilasi

1.1. Axborot xavfsizligini boshqarish standartlarini ishlab chiqish tarixi

Bugungi kunda raqamli makon xavfsizligi har bir mamlakatning milliy xavfsizligiga yangi yo'l ochmoqda. Axborotning biznesdagi qimmatbaho tovar sifatidagi roliga muvofiq, albatta uni himoya qilish zarur. Ushbu maqsadga erishish uchun har bir tashkilot, axborot darajasiga qarab (iqtisodiy qiymat nuqtai nazaridan), uning axborot aktivlarini himoya qilish imkoniyati mavjud bo'lgan holda, axborot xavfsizligini boshqarish tizimini (bundan keyin - AXBT) ishlab chiqishni talab qiladi.

Mavjudligi axborot texnologiyalariga (bundan buyon matnda IT deb yuritiladi) bog'liq bo'lgan tashkilotlarda ma'lumotlarni himoya qilishning barcha vositalaridan foydalanish mumkin. Biroq, axborot xavfsizligi iste'molchilar, sheriklar, boshqa tashkilotlar va hukumat uchun zarurdir. Shu munosabat bilan, qimmatli ma'lumotlarni himoya qilish uchun har bir tashkilot ma'lum bir strategiya va unga asoslangan xavfsizlik tizimini amalga oshirishga intilishi kerak.

AXBT tashkilotning maqsadlari va talablaridan, xavfsizlik talablaridan kelib chiqqan holda ishlab chiqilishi, joriy etilishi, boshqarilishi, monitoringi, tahlili, texnik ta'minoti va yaxshilanishi uchun xavflarni baholash va tahlil qilishga asoslangan integrallashgan boshqaruv tizimining bir qismi hisoblanadi. protseduralar va uni tashkil etishning hajmi va tuzilishi.

Axborot xavfsizligini boshqarish tamoyillari va qoidalarining kelib chiqishi Buyuk Britaniyada 1980-yillarda boshlangan. O'sha yillarda Buyuk Britaniya Savdo va Sanoat Vazirligi (DTI) axborot xavfsizligini ta'minlash bo'yicha eng yaxshi tajribalarni ishlab chiqish uchun ishchi guruhini tashkil qildi.

1989 yilda "DTI" PD 0003 "Axborot xavfsizligini boshqarishning amaliy qoidalari" deb nomlangan ushbu sohadagi birinchi standartni nashr etdi. Bu o'sha davrda texnologiya va atrof-muhit uchun tegishli bo'lgan, etarli, normal va yaxshi deb hisoblangan xavfsizlikni boshqarish vositalarining ro'yxati edi. DTI Britaniya standart tizimining (British Standard, BS) boshqaruv hujjati sifatida nashr etildi.

1995 yilda Britaniya Standartlar Instituti (BSI) BS 7799-1 "Axborot xavfsizligini boshqarishning amaliy qoidalari" milliy standartini qabul qildi. U jahon amaliyotining eng yaxshi namunalari asosida aniqlangan AXBT (Ingliz tilida axborot xavfsizligini boshqarish tizimi, ISMS) ni yaratish uchun zarur bo'lgan 10 yo'nalish va 127 boshqaruv mexanizmini tavsiflab berdi.

Ushbu standart barcha AXBT standartlarining asoschisi bo'ldi. Har qanday milliy BS 7799 standarti kabi, 1995-2000 yillar davomida, aytaylik, Britaniya Hamdo'stligi mamlakatlari orasida o'rtacha darajada mashhurlik yoqdi.

1998 yilda ushbu standartning ikkinchi qismi - BS 7799-2 "AXBT paydo bo'ldi. Texnikaviy tavsif va qo'llanma ”, unda AXBTni tuzishning umumiy modeli va unga muvofiqlik uchun majburiy talablar to'plami aniqlangan. BMS 7799 ikkinchi qismining paydo bo'lishi bilan, AXBT qanday bo'lishi kerakligini belgilash bilan xavfsizlikni boshqarish sohasida sertifikatlashtirish tizimini faol rivojlantirish boshlandi.

1999 yil oxirida Xalqaro standartlashtirish tashkiloti (ISO) va Xalqaro elektrotexnika komissiyasi (IEC) mutaxassislari mavjud standartlar doirasida axborot xavfsizligini boshqarish uchun ixtisoslashgan standart mavjud emas degan xulosaga kelishdi. Shunga ko'ra, yangi standartni ishlab chiqmaslik to'g'risida qaror qabul qilindi, ammo BSI bilan kelishib, BS 7799-1-ni asos sifatida tegishli ISO / IEC xalqaro standartini qabul qildi.

1999 yil oxirida BS 7799 ning ikkala qismi ham ISO / IEC 9001 sifat menejmenti tizimlari va ISO / IEC 14001 atrof-muhitning xalqaro standartlariga muvofiqlashtirildi va bir yil o'tgach, o'zgarishsiz, BS 7799-1 ISO / IEC 17799: 2000 xalqaro standarti sifatida qabul qilindi. “Axborot texnologiyalari (bundan buyon matnda IT). Axborot xavfsizligini boshqarishning amaliy qoidalari ».

2002 yilda BS 7799-1-ning birinchi qismi (ISO / IEC 17799) va BS 7799-2-ning ikkinchi qismi yangilandi.

ISO / IEC 17799 ga muvofiq rasmiy sertifikatlashtirishga kelsak, dastlab u taqdim etilmagan (BS 7799 bilan to'liq o'xshashlik). Ilovaga BS 7799-1 (ISO / IEC 17799) ning eng muhim talablari (BS 7799-1 ga kiritilmagan) va shartli majburiy shartlar ro'yxati (sertifikat qiluvchining ixtiyoriga ko'ra) ro'yxatidan iborat bo'lgan BS 7799-2 bo'yicha faqat sertifikatlash taqdim etildi.

MDHda 2004 yil noyabr oyida ISO / IEC 17799: 2000 standartini milliy sifatida qabul qilgan birinchi davlat Belarus bo'ldi. Rossiya ushbu standartni faqat 2007 yilda joriy etgan. Rossiya Federatsiyasining Markaziy banki uning asosida Rossiya Federatsiyasining bank sektori uchun AX boshqaruv standartini yaratdi.

ISO / IECning bir qismi sifatida 27-son kichik qo'mita axborot xavfsizligini boshqarishning xalqaro standartlari oilasini rivojlantirish uchun javobgardir, shuning uchun 27000 (27k) dan boshlab ketma-ket raqamlardan foydalangan holda ushbu standartlar oilasiga raqamlash sxemasi qabul qilindi.

2005 yilda SC 27 "IT-ni himoya qilish usullari" kichik qo'mitasi "IT" ISO / IEC qo'shma texnik qo'mitasi ISO / IEC 27001 "IT" ni ishlab chiqdi. Himoya qilish usullari. ISH. BS 7799-2 o'rnini bosgan va hozirda sertifikatlash ISO 27001 ga muvofiq amalga oshirilmoqda.

2005 yilda ISO / IEC 17799: 2000, ISO / IEC 27002: 2005 «IT. Himoya qilish usullari. Axborot xavfsizligini boshqarish normalari va qoidalari to'plami. ”

2006 yil boshida, yangi Britaniya standarti BS 7799-3, ISMS. 2008 yilda ISO / IEC 27005 «IT» xalqaro standarti maqomini olgan Axborot xavfsizligi xavflarini boshqarish bo'yicha qo'llanma ». Himoya qilish usullari. Xatarlarni boshqarish IS ”.

2004 yilda Britaniya Standartlar Instituti ISO / IEC TR 18044, IT-ni nashr etdi. Himoya qilish usullari. IS voqealarini boshqarish. ” Uning asosida 2011 yilda ISO / IEC 27035 «IT. Himoya qilish usullari. IS voqealarini boshqarish. ”

2009 yilda ISO / IEC 27000 «IT. ISH. Umumiy nuqtai nazar va terminologiya ». U axborot xavfsizligini boshqarish tizimlari haqida umumiy ma'lumot beradi va tegishli atamalarni belgilaydi. Puxta ishlab chiqilgan rasmiy ta'riflarning lug'ati ISO / IEC 27 guruhi standartlarida ishlatiladigan ISga tegishli ixtisoslashgan atamalarning ko'pchiligini qamrab oladi.

2013 yil 25 sentyabrda ISO / IEC 27001 va 27002 standartlarining yangi versiyalari nashr etildi va bundan buyon ISO / IEC 27k seriyali standartlari (IS menejmenti) ISO / IEC 20k seriyali (IT xizmatlarini boshqarish) standartlari bilan to'liq birlashtirildi. ISO / IEC 27001-dagi barcha atamalar ISO / IEC 27000 standartiga o'tkaziladi, bu ISO / IEC 27k standartlarining butun oilasi uchun umumiy terminologik apparatni belgilaydi.

1.2. ISO / IEC 27000-2014 standarti

ISO / IEC 27000 «IT. ISH. Umumiy sharh va atamalar »mavzusida seminar 2014 yil 14 yanvarda bo'lib o'tdi.

Standart quyidagi bo'limlardan iborat:

- kirish;

- qo'llash doirasi;

- atamalar va ta'riflar;

- AX boshqaruv tizimlari;

- AXBT standartlari turkumi.

Kirish

Sharh

Menejment tizimining xalqaro standartlari menejment tizimini yaratish va ishlatish modelini taqdim etadi. Ushbu model ushbu sohada to'plangan xalqaro tajriba asosida mutaxassislar bilan kelishilgan vazifalarni o'z ichiga oladi.

Standartlar AXBT turkumidan foydalangan holda, tashkilotlar AXBTni joriy qilishi va takomillashtirishi hamda moliyaviy ma'lumot, intellektual mulk, xodimlar to'g'risidagi ma'lumotlar va mijozlar yoki uchinchi tomon ishonadigan ma'lumotlar kabi ma'lumotlarni himoya qilish uchun foydalaniladigan mustaqil baholashga tayyorlanishi mumkin. Ushbu standartlardan tashkilot axborotni himoya qilish uchun foydalaniladigan AXBTga mustaqil baho tayyorlash uchun foydalanishi mumkin.

AXBT standartlari turkumi

AXBT standartlar oilasi, ular birgalikda Axborot texnologiyalari deb nomlanadi. Xavfsizlik texnikasi "(Axborot texnologiyalari. Xavfsizlik usullari), AXBTni joriy qilish va ishlashda har qanday shakl va hajmdagi tashkilotlarga yordam berish uchun mo'ljallangan va quyidagi xalqaro standartlardan iborat:

- ISO / IEC 27000 AXBT. Umumiy nuqtai nazar va atamalar;

- ISO / IEC 27001 AXBT. Talablar;

- Axborot xavfsizligini boshqarish bo'yicha ISO / IEC 27002 amaliyot kodeksi;

- AXBTni joriy qilish bo'yicha ISO / IEC 27003 ko'rsatmalar;

- ISO / IEC 27004 UIB. O'lchovlar;

- ISO / IEC 27005 IS xavflarni boshqarish;

- O'z DSt ISO / IEC 27006 - AXBT auditini va sertifikatlanishini ta'minlovchi organlarga qo'yiladigan talablar;

- O'z DSt ISO / IEC 27007 - AXBT auditini o'tkazish bo'yicha qo'llanma;

- ISO / IE TR 27008 AX-ni boshqarish mexanizmlarini auditi bo'yicha qo'llanma;

- tarmoqlararo va idoralararo aloqalar uchun ISO / IES 27010 UIB;

- ISO / IEC 27011 ISO / IEC 27002 asosida telekommunikatsiya tashkilotlari uchun PSI bo'yicha qo'llanma;

- ISO / IEC 27013 ISO / IEC 27001 va ISO / IEC 20000-1 integratsiyalashgan amalga oshirish bo'yicha ko'rsatmalar;

- ISO / IEC 27014 IS menejmenti;

- moliyaviy xizmatlar bo'yicha PSB bo'yicha ISO / IES TR 27015 qo'llanmasi;

- ISO / IES TR 27016 UIB. Tashkiliy iqtisodiyot;

- ISO / IES 27035 axborot xavfsizligi intsidentlarini boshqarish (standartda ko'rsatilmagan).

Ushbu umumiy nomga ega bo'lmagan xalqaro standart:

- ISO 27799 sog'liqni saqlash informatikasi. ISO / IEC 27002 bo'yicha PEB.

Standart maqsad

Standart AXBTga umumiy nuqtai nazarni taqdim etadi va tegishli shartlarni belgilaydi.

AXBT standartlari turkumiga quyidagi standartlar kiradi:

- AXBT va bunday tizimlarni sertifikatlashtirishga qo'yiladigan talablarni aniqlash;

- AXBT uchun sohaviy ko'rsatmalarni kiritish;

- AXBT muvofiqligini baholashga rahbarlik qilish.

1. Qo'llanish sohasi

Ushbu standart AXBTga umumiy nuqtai nazarni, shuningdek, AXBT standartlari oilasida keng qo'llaniladigan atamalar va ta'riflarni taqdim etadi. Standart barcha turdagi va o'lchamdagi tashkilotlarga tegishli (masalan, tijorat korxonalari, davlat idoralari, notijorat tashkilotlar).

2. Atamalar va ta'riflar

Bo'lim 89 atamaning ta'rifini o'z ichiga oladi, masalan:

axborot tizimi- ilovalar, xizmatlar, IT-aktivlar va axborotni qayta ishlashning boshqa tarkibiy qismlari;

axborot xavfsizligi (IS)- ma'lumotlarning maxfiyligini, yaxlitligini va ulardan foydalanishni ta'minlash;

mavjudligivakolatli shaxsning iltimosiga binoan mavjud va foydalanishga tayyor bo'lgan mulk;

maxfiylik- ruxsatsiz shaxslarga kirish mumkin bo'lmagan yoki yopiq bo'lgan ma'lumotlarning mulki;

yaxlitligi- aniqlik va to'liqlik xususiyati;

rad etmaslik- voqea yoki harakatning paydo bo'lishini va ularni yaratadigan sub'ektlarni tasdiqlash qobiliyati;

iB voqeasi   - AX siyosati yoki choralarining mumkin bo'lgan buzilishini yoki xavfsizlikka taalluqli ilgari noma'lum holatni ko'rsatadigan tizimning (xizmatning yoki tarmoqning) aniqlangan holati;

axborot xavfsizligi intsidenti   - bir yoki bir nechta axborot xavfsizligi hodisalari, katta ehtimollik bilan biznesning buzilishiga olib keladigan va axborot xavfsizligiga tahdid soladigan;

voqealarni boshqarishIB   - AX intsidentlarini aniqlash, ogohlantirish, baholash, ularga javob berish, tekshirish va o'rganish jarayonlari;

boshqaruv tizimi   ushbu maqsadlarga erishish uchun siyosat, maqsadlar va jarayonlarni belgilash uchun tashkilotning o'zaro bog'liq elementlari to'plami;

monitoring- tizim, jarayon yoki harakat holatini aniqlash;

siyosat   - rahbariyat tomonidan rasmiy ravishda bildirilgan umumiy niyat va yo'nalish;

xavf   - maqsadga noaniqlik ta'siri;

tahdid   - zararli bo'lishi mumkin bo'lgan istalmagan hodisaning mumkin bo'lgan sababi;

zaiflik - bitta yoki bir nechta tahdidlardan foydalanish mumkin bo'lgan aktiv yoki himoya chorasi yo'qligi.

3. AX boshqaruv tizimlari

AXBT bo'limi quyidagi asosiy fikrlardan iborat:

- AXBT tavsifi;

- AXBTni joriy qilish, monitoring qilish, saqlash va takomillashtirish;

- standartlar oilasiga AXBTni joriy etishning afzalliklari.

3.1. Kirish

Barcha turdagi va o'lchamdagi tashkilotlar:

- ma'lumotlarni to'plash, ishlov berish, saqlash va uzatish;

- axborot va tegishli jarayonlar, tizimlar, tarmoqlar va odamlar tashkilot maqsadlariga erishish uchun muhim vosita ekanligini tan olish;

- aktivlarning ishlashiga ta'sir qilishi mumkin bo'lgan bir qator xavflarga duch kelish;

- axborot xavfsizligini ta'minlash choralari va vositalarini amalga oshirish orqali qabul qilingan xavfni bartaraf etish.

Tashkilot tomonidan saqlanadigan va ishlov beriladigan barcha ma'lumotlar hujum tahdidlari, xatolar, tabiat (masalan, yong'in yoki toshqin) va hokazolar ob'ekti va undan foydalanish uchun xos bo'lgan zaifliklar ob'ekti hisoblanadi.

Odatda, axborot xavfsizligi tushunchasi qimmatbaho aktiv sifatida qaraladigan va tegishli himoyani talab qiladigan ma'lumotlarga asoslanadi (masalan, foydalanish, maxfiylik va yaxlitlikni yo'qotishdan). Vakolatli shaxslar tomonidan aniq va to'liq ma'lumotga o'z vaqtida kirish imkoniyati biznes samaradorligining katalizatoridir.

Axborot xavfsizligini aniqlash, yaratish, qo'llab-quvvatlash va takomillashtirish orqali axborot aktivlarini samarali himoya qilish tashkilotning maqsadlariga erishish, shuningdek, qonuniylikni va obro'sini saqlash va yaxshilash uchun zarur shartdir. Tegishli himoya choralarini joriy etishga va AXning qabul qilinishi mumkin bo'lmagan xatarlarni boshqarishga qaratilgan ushbu muvofiqlashtirilgan harakatlar AXni boshqarish elementlari sifatida yaxshi ma'lum.

Axborot xavfsizligi xavflari va o'zgaruvchan vaziyatga qarab himoya choralarining samaradorligi kabi, tashkilot quyidagilarni bajarishi kerak:

- amalga oshirilayotgan himoya choralari va protseduralarining samaradorligini nazorat qilish va baholash;

- qayta ishlashda yuzaga keladigan xatarlarni aniqlash;

- Tegishli himoya choralarini tegishli ravishda tanlang, amalga oshiring va yaxshilang.

Har bir tashkilotning axborot xavfsizligi faoliyatini o'zaro bog'liqligi va muvofiqlashtirishi uchun, axborot xavfsizligi siyosati va maqsadlarini shakllantirish va boshqaruv tizimidan foydalanib, ushbu maqsadlarga samarali erishish kerak.

3.2. AXBT tavsifi

AXBT tavsifi quyidagi tarkibiy qismlarni taqdim etadi:

qoidalar va tamoyillar;

- ma'lumot;

- axborot xavfsizligi;

- boshqaruv;

- boshqaruv tizimi;

- jarayonga yondashuv;

- AXBT ahamiyati.

Qoidalar va tamoyillar

AXBT siyosat, protseduralar, ko'rsatmalar va tegishli manbalardan hamda tashkilot tomonidan axborot aktivlarini himoya qilishga erishish uchun birgalikda boshqariladigan harakatlardan iborat. AXBT maqsadlarga erishish uchun tashkilotning axborot xavfsizligini yaratish, amalga oshirish, qayta ishlash, boshqarish, ko'rib chiqish, texnik xizmat ko'rsatish va takomillashtirishga tizimli yondashuvni belgilaydi.

U risklarni samarali boshqarish va boshqarish uchun ishlab chiqilgan tashkilotning xavflarni baholash va maqbul darajalariga asoslanadi. Axborot aktivlarini himoya qilish talablarining tahlili va ushbu aktivlarning zaruriy himoyasini ta'minlash uchun tegishli himoya choralarini qo'llash AXBT muvaffaqiyatli amalga oshirilishiga yordam beradi.

AXBT muvaffaqiyatli amalga oshirilishiga quyidagi asosiy printsiplar yordam beradi:

- axborot xavfsizligi tizimiga ehtiyojni anglash;

- axborot xavfsizligi uchun javobgarlikni tayinlash;

- boshqaruv majburiyatlari va manfaatdor tomonlarning manfaatlarini uyg'unlashtirish;

- ijtimoiy qadriyatlarning o'sishi;

- xavfning maqbul darajasiga erishish uchun tegishli himoya choralarini belgilaydigan xavflarni baholash;

- xavfsizlik IP va tarmoqlarning ajralmas elementi sifatida;

- AX intsidentlarini faol oldini olish va aniqlash;

- PEBga kompleks yondoshishni ta'minlash;

- doimiy ravishda qayta baholash va axborot xavfsizligini takomillashtirish.

Ma'lumot

Axborot, boshqa muhim biznes aktivlari bilan bir qatorda, tashkilotning biznesi uchun muhim bo'lgan aktiv hisoblanadi va shuning uchun uni etarli darajada himoya qilish zarur. Axborot turli shakllarda, shu jumladan raqamli shaklda (masalan, elektron yoki optik muhitda saqlanadigan ma'lumotlar fayllari), moddiy shaklda (masalan, qog'ozda), shuningdek, xodimlarning ma'lumotlari shaklida nomoddiy shaklda saqlanishi mumkin.

Axborot turli yo'llar bilan, jumladan kuryer, elektron yoki ovozli aloqa orqali uzatilishi mumkin. Axborot qanday shaklda va qanday tarzda uzatilishidan qat'iy nazar, u to'g'ri himoyalangan bo'lishi kerak.

Ko'pgina tashkilotlarda ma'lumotlar axborot va aloqa texnologiyalariga bog'liq. Ushbu texnologiya har qanday tashkilotning ajralmas qismidir va ma'lumotlarni yaratish, qayta ishlash, saqlash, uzatish, himoya qilish va yo'q qilishga yordam beradi.

Axborot xavfsizligi

AJ uchta asosiy o'lchamlarni (xususiyatlarni) o'z ichiga oladi: konfidentsiallik, erkinlik va yaxlitlik. AX biznesning uzoq muddatli muvaffaqiyati va uzluksizligini ta'minlash va AX intsidentlarining ta'sirini minimallashtirish uchun turli xil tahdidlarni hisobga olishni o'z ichiga olgan tegishli xavfsizlik choralarini qo'llash va boshqarishni ta'minlaydi.

AX ga xavfsizlikni boshqarish jarayonida aniqlangan va siyosatni, jarayonlarni, protseduralarni, tashkiliy tuzilmalarni, aniqlangan axborot aktivlarini himoya qilish uchun dasturiy ta'minotni va AXBTdan foydalangan holda boshqariladigan tegishli xavfsizlik choralarini qo'llash orqali erishiladi.

Ushbu xavfsizlik choralari aniqlanishi, bajarilishi, kuzatilishi, sinovdan o'tkazilishi va kerak bo'lganda AX darajasi tashkilotning biznes maqsadlariga mos kelishini ta'minlash uchun yaxshilanishi kerak. Tegishli AX o'lchovlari va vositalari tashkilotning biznes-jarayonlariga organik ravishda qo'shilishi kerak.

Boshqaruv

Menejment tegishli tuzilmalar ichidagi tashkilotni boshqarish, boshqarish va doimiy ravishda takomillashtirish bo'yicha harakatlarni o'z ichiga oladi. Boshqarish faoliyati resurslarni shakllantirish, qayta ishlash, yo'naltirish, monitoring va boshqarishning xatti-harakatlari, usullari yoki amaliyotini o'z ichiga oladi. Boshqaruv tuzilmasining o'lchamlari kichik tashkilotlardagi bir kishidan ko'p odamlardan iborat bo'lgan yirik tashkilotlarda boshqaruv ierarxiyasiga qadar o'zgarishi mumkin.

AXBTga nisbatan, boshqaruv axborot aktivlarini himoya qilish orqali biznes maqsadlariga erishish uchun zarur bo'lgan qarorlarni ishlab chiqish va monitoringini o'z ichiga oladi. Axborot xavfsizligini boshqarish axborot xavfsizligi siyosati, protseduralari va tavsiyalarini shakllantirish va ulardan foydalanish orqali ifodalanadi, ular keyinchalik tashkilotda u bilan bog'liq barcha shaxslar tomonidan qo'llaniladi.

Boshqarish tizimi

Menejment tizimi tashkilot maqsadlariga erishish uchun resurslar kombinatsiyasidan foydalanadi. Tashkilotni boshqarish tizimi tarkibini, siyosatini, rejalashtirishini, majburiyatlarini, usullari, protseduralari, jarayonlari va manbalarini o'z ichiga oladi.

Axborot xavfsizligi nuqtai nazaridan boshqarish tizimi tashkilotlarga quyidagilarga imkon beradi:

- mijozlar va boshqa manfaatdor tomonlarning xavfsizlik talablarini qondirish;

- tashkilotning rejalari va faoliyatini takomillashtirish;

- tashkilotning axborot xavfsizligi maqsadlariga muvofiqligi;

- qonunlar, qonun hujjatlari va sohaviy buyruqlarga rioya qilish;

- tashkilotning joriy maqsadlarini doimiy ravishda takomillashtirish va tuzatishga yordam berish uchun axborot aktivlarini boshqarishni tashkil qiling.

3.3. Jarayonga yondashuv

Samarali va samarali ishlashi uchun tashkilot turli xil faoliyat turlarini olib borishi va boshqarishi kerak. Resurslardan foydalanadigan har qanday faoliyat bir-biriga bog'langan xatti-harakatlarning kombinatsiyasi orqali kirishlarni kirishga aylantirishni boshqarish uchun boshqarilishi kerak. Bu jarayon deb ham ataladi.

Bitta jarayonning chiqishi to'g'ridan-to'g'ri keyingi jarayonning kirishini shakllantirishi mumkin va odatda bunday o'zgartirish rejalashtirilgan va boshqariladigan sharoitlarda amalga oshiriladi. Tashkilot ichidagi jarayonlar tizimidan foydalanish, shuningdek, ushbu jarayonlarni identifikatsiya qilish va o'zaro ta'sir qilish, shuningdek ularni boshqarish "jarayonga yondashuv" sifatida belgilanishi mumkin.

qo'shimcha ma'lumot (standart emas)

Sifatni boshqarishdagi jarayon yondashuvining asoschisi amerikalik olim Valter Shuxart hisoblanadi. Uning kitobi 3 bosqichni ajratib ko'rsatish bilan boshlanadi tashkilot natijalarini sifat menejmenti:

1) talab qilinadigan texnik shartlarni (texnik topshiriqlar, texnik xususiyatlar, maqsadlarga erishish mezonlari) ishlab chiqish;

2) texnik xususiyatlarga javob beradigan mahsulotlar ishlab chiqarish;

3) ishlab chiqarilayotgan mahsulotning texnik tavsifga muvofiqligini tekshirish (nazorat qilish).

Shexart birinchilardan bo'lib, ushbu bosqichlarni chiziqcha idrok qilishni tsiklda "bilim olishning dinamik jarayoni" bilan belgilagan.

Birinchi tsikldan keyin tekshirish natijalari mahsulot spetsifikatsiyalarini yaxshilash uchun asos bo'lishi kerak. Bundan tashqari, ishlab chiqarish jarayoni qayta ko'rib chiqilgan spetsifikatsiya asosida tartibga solinadi va ishlab chiqarish jarayonining yangi natijasi yana tekshiriladi va h.k.

Amerikalik olim Edvards Deming Shevxart tsiklini bugungi kunda keng tarqalgan shaklga aylantirdi. Sifatni nazorat qilishdan sifat menejmentiga o'tish uchun u har bir bosqichga ko'proq umumiy nomlar berdi va qo'shimcha ravishda amerikalik menejerlar e'tiborini ular etarli darajada tahlil qilmasliklariga jalb qilmoqchi bo'lgan yana bir 4-bosqichni qo'shdi. uchinchi bosqichda ma'lumot jarayonni yaxshilamaydi. Shuning uchun bu bosqich "Act" (Act) deb nomlanadi va shunga ko'ra Shexart-Deming tsiklini "PDCA" yoki "PDSA" modeli deb atashadi:

RejaRejalashtirish   - muammolarni aniqlash va tahlil qilish; imkoniyatlarni baholash, maqsadlarni belgilash va rejalarni ishlab chiqish;

QilishAmalga oshirish   - muammolar echimini izlash va rejalarni amalga oshirish;

Tekshirish (o'rganish)Ish faoliyatini baholash   - topshiriqqa muvofiq amalga oshirish natijalari va xulosalarni baholash;

AmalYaxshilash   - topilmalar, ishlarni to'g'rilash va takomillashtirish asosida qarorlar qabul qilish.

"PDCA" modeli aXBT uchun

Rejalashtirish - amalga oshirish - boshqarish - takomillashtirish

1.   Rejalashtirish (loyihalash va dizayn): tashkilotning umumiy siyosati va maqsadlariga mos keladigan natijalarga erishish uchun AXBT maqsadlari, siyosati, boshqarish vositalari, jarayonlari va protseduralarini belgilash.

2. Amalga oshirish (amalga oshirish va texnik xizmat ko'rsatish):   AX siyosatini, boshqarish vositalarini, AXB jarayonlarini va AX-ning xavflari va intsidentlarini baholash va qayta ishlash protseduralarini joriy qilish va qo'llash.

3. Nazorat (monitoring va ishlashni tahlil qilish):   siyosat talablarini bajarish, AXS maqsadlari va AXBT samaradorligini baholash va natijalar to'g'risida yuqori rahbariyatni xabardor qilish.

4. Yaxshilash (texnik xizmat ko'rsatish va takomillashtirish):   rahbariyat tomonidan AXBTni takomillashtirishga erishish uchun audit va tahlil natijalariga ko'ra tuzatish va profilaktik tadbirlarni amalga oshirish

Ko'pincha Deming aylanishi deb nomlanadigan Shexart-Deming usuli va tsikli odatda har qanday faoliyat jarayonini boshqarish sxemasini namoyish etadi. Kerakli tushuntirishlar bilan u hanuzgacha xalqaro boshqaruv standartlarida keng qo'llanilmoqda:

- ISO 9000 mahsulot sifati;

- atrof-muhitni muhofaza qilish ISO 14000;

- OHSAS 18000 sog'liq va xavfsizlik;

- ISO / IEC 20000 axborot xizmatlari;

- ISO 22000 oziq-ovqat xavfsizligi;

- ISO / IEC 27000 axborot xavfsizligi;

- ISO 28000 xavfsizligi;

- ISO 22300 uzluksizligi;

- ISO 31000 risklari;

- energiya ISO 50,000.

3.4. AXBTning ahamiyati

Tashkilot axborot aktivlari bilan bog'liq xavflarni aniqlashi kerak. AX ga erishish xavflarni boshqarishni talab qiladi va tashkilot ichidagi yoki tashkilot foydalanadigan har qanday axborot bilan bog'liq tahdidlar bilan bog'liq jismoniy, insoniy va texnologik xavflarni qamrab oladi.

AXBTni qabul qilish tashkilot uchun strategik qaror bo'lib, ushbu qaror doimiy ravishda integratsiyalashishi, baholanishi va tashkilot ehtiyojlariga muvofiq yangilanishi zarur.

Tashkilotning AXBTni ishlab chiqish va amalga oshirishga tashkilotning ehtiyojlari va maqsadlari, xavfsizlik talablari, foydalaniladigan biznes-jarayonlar, shuningdek tashkilotning hajmi va tuzilishi ta'sir qiladi. AXBTni ishlab chiqish va uning ishlashi tashkilotning barcha manfaatdor tomonlarining, shu jumladan mijozlar, etkazib beruvchilar, biznes sheriklar, aktsionerlar va boshqa uchinchi tomon manfaatlarini va talablarini aks ettirishi kerak.

O'zaro bog'liq dunyoda axborot va unga bog'liq jarayonlar, tizimlar va tarmoqlar muhim aktivlarni tashkil qiladi. Tashkilotlar va ularning IP va tarmoqlari turli xil manbalar, jumladan kompyuter firibgarligi, josuslik, sabotaj, vandalizm, yong'in va toshqin kabi xavf-xatarlarga duch kelmoqdalar. Zararli dasturlar, xakerlar va DoS xujumlari natijasida kelib chiqqan IP va tizimlarga zarar yanada kengroq, kengroq va murakkablashdi.

AXBT ham davlat, ham xususiy sektordagi korxonalar uchun muhimdir. Har qanday sohada AXBT elektron biznesni qo'llab-quvvatlash uchun zarur vositadir va xavflarni boshqarish bo'yicha faoliyat uchun muhimdir. Davlat va xususiy tarmoqlarning o'zaro bog'liqligi va axborot aktivlari almashinuvi axborotdan foydalanish va uni qayta ishlashni boshqarishni murakkablashtiradi.

Bundan tashqari, axborot aktivlarini o'z ichiga olgan mobil saqlash moslamalarining ko'payishi an'anaviy himoya choralarining samaradorligini pasaytirishi mumkin. Tashkilotlar AXBT turkumini qabul qilganda, izchil va o'zaro tan olingan AX printsiplarini qo'llash qobiliyati biznes sheriklari va boshqa manfaatdor tomonlarga namoyish qilinishi mumkin.

AJ har doim AX yaratish va rivojlantirishda hisobga olinmaydi. Bundan tashqari, ko'pincha axborot xavfsizligi texnik muammo deb ishoniladi. Ammo texnik vositalar yordamida erishish mumkin bo'lgan AX cheklangan va AXBT kontekstida tegishli boshqarish va protseduralar tomonidan qo'llab-quvvatlanmasdan samarasiz bo'lishi mumkin. Xavfsizlik tizimini funktsional jihatdan to'liq IP-ga o'rnatish murakkab va qimmat bo'lishi mumkin.

AXBT mavjud xavfsizlik choralarini aniqlashni o'z ichiga oladi va puxta rejalashtirishni va detallashtirishni talab qiladi. Masalan, texnik (mantiqiy), jismoniy, ma'muriy (ma'muriy) yoki ularning kombinatsiyasi bo'lishi mumkin bo'lgan foydalanishni boshqarish vositalari, biznes va AX talablariga binoan, axborot aktivlariga kirish huquqini va cheklanishini ta'minlaydi.

AXBTning muvaffaqiyatli joriy etilishi axborot aktivlarini himoya qilish uchun muhimdir, chunki u quyidagilarga imkon beradi:

- Axborot aktivlarining AX tahdidlaridan doimiy ravishda etarli darajada himoya qilinishini kafolatlash;

- AX tahdidlarini baholash, tegishli himoya choralarini tanlash va qo'llash, o'lchash va ularning samaradorligini oshirish uchun tuzilgan va keng qamrovli tizimni saqlash;

- tashkilotning boshqaruv muhitini doimiy ravishda takomillashtirib borish;

- qonuniy va tartibga soluvchi talablarga samarali rioya qilish.

3.5. AXBTni joriy qilish, monitoring qilish, texnik xizmat ko'rsatish va takomillashtirish

AXBTni joriy qilish, monitoring qilish, texnik xizmat ko'rsatish va takomillashtirish AXBT rivojlanishining tezkor bosqichlari hisoblanadi.

AXBTning ishlash bosqichlari quyidagi tarkibiy qismlar bilan belgilanadi:

- Umumiy holat;

- axborot xavfsizligi talablari;

- AXBT muvaffaqiyatining hal qiluvchi omillari.

AXBTning ishlash bosqichlari quyidagi tadbirlarni amalga oshiradi:

- IS xavfini baholash;

- IS xavfini davolash;

- himoya choralarini tanlash va amalga oshirish;

- AXBTni boshqarish va yuritish;

- doimiy takomillashtirish.

Umumiy holat

Tashkilot AXBTni joriy qilish, kuzatish, saqlash va takomillashtirish bo'yicha quyidagi choralarni ko'rishi kerak:

- Axborot aktivlarini va ularga tegishli AX talablarini aniqlash;

- AX xavflarini baholash va qayta ishlash;

- qabul qilinmaydigan xavflarni boshqarish uchun tegishli choralarni tanlash va joriy etish;

- tashkilotning axborot aktivlari bilan bog'liq himoya choralarini boshqarish, ta'minlash va samaradorligini oshirish.

AXBT tashkilotning axborot aktivlarini doimiy ravishda samarali himoya qilishini ta'minlash uchun xavflarni yoki tashkilot strategiyasini yoki biznes maqsadlarini o'zgartirishni aniqlash uchun barcha qadamlarni takrorlash kerak.

IS talablari

Tashkilotning umumiy strategiyasi va biznes maqsadlari, uning hajmi va jug'rofiy tarqalishi doirasida AX talablarini tushunish natijasida aniqlash mumkin:

- axborot aktivlari va ularning qiymatlari;

- ma'lumot bilan ishlash uchun biznes ehtiyojlari;

- qonuniy, tartibga soluvchi va shartnomaviy talablar.

Tashkilotning axborot aktivlari bilan bog'liq risklarni baholashni metodologik ravishda o'tkazish quyidagilarni tahlil qilishni o'z ichiga oladi:

- aktivlarga tahdidlar;

- aktivlarning zaifliklari;

- tahdidni amalga oshirish ehtimoli;

- aktivlarga AX intsidentining mumkin bo'lgan ta'siri.

Tegishli himoya choralari xarajatlari risklarni amalga oshirishning kutilayotgan biznes ta'siriga mutanosib bo'lishi kerak.

IS xavfini baholash

AX-ni boshqarish risklarni baholash va qayta ishlashning tegishli usulini talab qiladi, unga xarajatlar va foyda bahosi, qonuniy talablar, manfaatdor tomonlarning xavotirlari va boshqa ma'lumotlar va o'zgaruvchan ma'lumotlar kirishi mumkin.

Xavflarni baholash risklarni aniqlash mezonlari va tashkilotning maqsadlarini hisobga olgan holda risklarni aniqlash, o'lchash va ustuvorliklarni belgilashi kerak. Olingan natijalar axborot xavfsizligi risklarini boshqarish va ustuvorliklarni belgilash uchun tegishli boshqaruv qarorlarini ishlab chiqish va qabul qilishga, shuningdek ushbu xavflardan himoya qilish uchun tanlangan himoya choralarini amalga oshirishga yordam beradi.

Xavflarni baholash xavflarni baholashga tizimli yondoshishni (xavflarni tahlil qilish) va xavflarning jiddiyligini aniqlash uchun risklarni baholash mezonlarini taqqoslash jarayonini o'z ichiga olishi kerak (xavflarni baholash).

AX talablari va xavf holatlarida, masalan, aktivlar, tahdidlar, zaifliklar, ta'sirlar, xavflarni baholashda va sezilarli o'zgarishlar bo'lgan taqdirda, xavflarni aniqlash vaqti-vaqti bilan o'tkazilishi kerak. Xavflarni baholashni taqqoslanadigan va takrorlanadigan natijalarni ta'minlash uchun uslubiy ravishda bajarish kerak.

Axborot xavfsizligini xavflarni baholash samarali bo'lishi kerak bo'lgan sohani aniq belgilashi va iloji bo'lsa, boshqa sohalarda risklarni baholash bilan o'zaro aloqalarni o'z ichiga olishi kerak.

ISO / IEC 27005 standarti axborot xavfsizligi risklarini boshqarish bo'yicha qo'llanmalarni, jumladan baholash, qayta ishlash, qabul qilish, xabar berish, monitoring va xavflarni tahlil qilish bo'yicha tavsiyalarni o'z ichiga oladi.

IS xavfini davolash

Tashkilotning xatarlarni qayta ishlashini ko'rib chiqishdan oldin, risklarni qabul qilish yoki qilmaslik to'g'risida mezon belgilash kerak. Agar risk past bo'lsa yoki qayta ishlash xarajatlari tashkilot uchun foydali bo'lmasa, risklar qabul qilinishi mumkin. Bunday qarorlar qayd etilishi kerak.

Risklarni aniqlash bilan aniqlangan har bir xavf uchun, uni qanday hal qilish to'g'risida qaror qabul qilinishi kerak. Xavfni davolashning mumkin bo'lgan variantlari quyidagilarni o'z ichiga oladi:

- xavflarni kamaytirish uchun tegishli himoya choralarini qo'llash;

- tashkilot siyosatiga va risklarni qabul qilish mezonlariga qat'iy muvofiq ravishda risklarni xabardor va ob'ektiv qabul qilish;

- xatarlarning paydo bo'lishiga olib keladigan xatti-harakatlarni bartaraf etish orqali xavflarning oldini olish;

- boshqa tomonlar bilan, masalan sug'urtalovchilar yoki etkazib beruvchilar bilan bog'liq xatarlarni almashish.

Risklarni boshqarish uchun ularni qo'llash to'g'risida qaror qabul qilingan xavflardan tegishli himoya choralarini tanlash va amalga oshirish kerak.

Himoya choralarini tanlash va amalga oshirish

Xodimlarning xabardorligini oshirish

Ushbu tamoyillarni samarali amalga oshirishning muhim omili - bu axborot xavfsizligini boshqarish doimiy xavf-xatarlarga yo'naltirilganligini ta'minlaydigan o'zaro bog'liqlik tsiklidir. Tashkilotning yuqori rahbariyati axborot tizimlarining xavfsizligi bilan bog'liq bo'lgan biznes jarayonlarining buzilishi xavfini tan olishi muhimdir. Siyosatlarni ishlab chiqish va amalga oshirish va zarur boshqarish vositalarini tanlash uchun asos biznesning alohida ilovalari risklarini baholash hisoblanadi. Qabul qilingan qadamlar foydalanuvchilarning xavflar va tegishli siyosatlar to'g'risida xabardorligini oshiradi. Boshqarish vositalarining samaradorligini turli tadqiqotlar va auditlar orqali baholash kerak. Olingan natijalar xavflarni keyingi baholashga yondashuvni ta'minlaydi va siyosat va boshqarish vositalarida zarur o'zgarishlarni aniqlaydi. Ushbu harakatlarning barchasini xavfsizlik xizmati yoki maslahatchilar, tashkilot bo'linmalari va tashkilot rahbariyati tarkibidagi mutaxassislar guruhi muvofiqlashtiradi. Rasmda risklarni boshqarish siklini aks ettirgan.

Axborot xavfsizligi dasturini amalga oshirish usullari

Quyidagi rasmda xatarlarni boshqarishning besh tamoyilini amalga oshirishda foydalanilgan o'n oltita usul alohida ta'kidlangan. Ushbu usullar tashkilotning axborot xavfsizligi dasturini samarali amalga oshirishning kalitidir.

Xavfni baholang va ehtiyojlarni aniqlang

Xavflarni baholash - bu axborot xavfsizligi dasturini amalga oshirishdagi birinchi qadam. Xavfsizlik o'z-o'zidan ko'rib chiqilmaydi, lekin biznes-jarayonlarni ta'minlash va bog'liq xavflarni kamaytirish uchun ishlab chiqilgan siyosat va tegishli boshqarish vositasi sifatida. Shunday qilib, axborot xavfsizligi bilan bog'liq bo'lgan biznes xatarlarini aniqlash xavflarni boshqarish (axborot xavfsizligi) tsiklining boshlanish nuqtasi hisoblanadi.

Axborot resurslarini tashkilotning muhim (ajralmas) aktivlari sifatida tan olish

Tashkilot rahbariyati tomonidan axborot xavfsizligi xavflarini tan olish, shuningdek ushbu xavflarni aniqlash va boshqarishga qaratilgan chora-tadbirlar axborot xavfsizligi dasturini ishlab chiqishda muhim omil hisoblanadi. Boshqarishning bunday yondashuvi tashkilotning quyi tashkiliy darajalarida axborot xavfsizligi jiddiy ko'rib chiqilishini va axborot xavfsizligi bo'yicha mutaxassislar dasturni samarali amalga oshirish uchun zarur bo'lgan resurslar bilan ta'minlanishini ta'minlaydi.

Xavfsizlik va biznes talablarini bog'laydigan amaliy risklarni baholash tartibini ishlab chiqish

Xavflarni norasmiy muhokama qilishdan tortib to ixtisoslashtirilgan dasturiy ta'minotdan foydalanishni o'z ichiga olgan ancha murakkab usullarga qadar turli xil risklarni baholash usullari mavjud. Biroq, tavakkalchiliklarni muvaffaqiyatli boshqarishning global tajribasi biznes jarayonlaridan xabardor mutaxassislarni, ma'lumotni himoya qilish sohasidagi texnik mutaxassislarni va mutaxassislarni jalb qilgan holda moliyaviy tashkilotlarning turli bo'limlari ishtirok etadigan nisbatan sodda jarayonni tavsiflaydi.

Ta'kidlash joizki, xatarlarni tushunish ularning aniq miqdorini, shu jumladan voqea sodir bo'lish ehtimoli yoki zararning miqdorini ta'minlamaydi. Bunday ma'lumotlar mavjud emas, chunki yo'qotishlar aniqlanmasligi mumkin va rahbariyat xabardor qilinmaydi. Bundan tashqari, xavfsizlikni boshqarishning zaif mexanizmlari tufayli etkazilgan zararni ta'mirlashning umumiy qiymati, shuningdek ushbu mexanizmlarning (boshqarish mexanizmlari) foydalanish qiymati to'g'risidagi ma'lumotlar cheklangan. Texnologiyalarning keskin o'zgarishi, shuningdek, tajovuzkorlar tomonidan qo'llaniladigan dasturlar va vositalar tufayli avvalgi yillarda to'plangan statistikadan foydalanish shubhali. Natijada, boshqarishning iqtisodiy samaradorligini aniqlash uchun, agar iloji bo'lsa, boshqarish vositalarining qiymatini yo'qotish xavfi bilan taqqoslash qiyin. Qanday bo'lmasin, boshqaruv bo'linmalari rahbarlari va axborot xavfsizligi sohasidagi mutaxassislar boshqarishning zarur vositalarini (usullarini) tanlash to'g'risida qaror qabul qilishda ular mavjud bo'lgan eng to'liq ma'lumotlarga ishonishlari kerak.

Xavfsizlik dasturida ishtirok etadigan biznes menejerlari va menejerlari uchun javobgarlikni belgilang

Korxonaning menejerlari birinchi navbatda biznes-jarayonlarni qo'llab-quvvatlaydigan axborot resurslarining xavfsizligi (maxfiyligi) darajasini aniqlash uchun javobgardirlar. Axborot resurslarining qaysi biri eng muhimligini va biznesning yaxlitligi, konfidentsialligi yoki foydalana olish qobiliyati buzilgan taqdirda uning ta'sirini aniqlashga qodir bo'lgan biznes bo'linmalarining menejerlari. Bundan tashqari, biznes bo'limlari rahbarlari biznes jarayonlariga zarar etkazadigan boshqarish vositalariga (mexanizmlariga) ishora qilishlari mumkin. Shunday qilib, ularni boshqarish vositalarini tanlashga jalb qilish orqali boshqarish vositalari talablarga javob berishini va muvaffaqiyatli amalga oshirilishini kafolatlash mumkin.

Xavfni doimo boshqarish

Boshqarish vositalarining adekvatligi va samaradorligini ta'minlash uchun axborot xavfsizligiga doimiy e'tibor berilishi kerak. Yuqorida ta'kidlab o'tilganidek, zamonaviy axborot va tegishli texnologiyalar, shuningdek, axborot xavfsizligi bilan bog'liq omillar doimiy ravishda o'zgarib turadi. Bunday omillar tahdidlar, texnologiyalar va tizim konfiguratsiyasi, dasturiy ta'minotdagi ma'lum zaifliklar, avtomatlashtirilgan tizimlar va elektron ma'lumotlarning ishonchliligi, ma'lumotlar va operatsiyalarning tanqidiyligini o'z ichiga oladi.

Markazlashtirilgan boshqaruvni tashkil etish

Boshqaruv guruhi asosan biznes bo'linmalarining maslahatchisi yoki maslahatchisi vazifasini bajaradi va axborot xavfsizligi usullarini (vositalarini) majburlay olmaydi.

Asosiy harakatlarni amalga oshirish uchun boshqaruv guruhini aniqlang

Umuman olganda, boshqaruv guruhi (1) axborot xavfsizligi xatarlarini doimiy ravishda ko'rib chiqilishini ta'minlaydigan jarayonning katalizatori (tezlashtiruvchisi) bo'lishi kerak; (2) tashkiliy bo'linmalar uchun markaziy maslahat resursi; (3) tashkilot rahbariyatini axborot xavfsizligi holati va ko'rilgan choralar to'g'risida xabardor qilish vositasi. Bundan tashqari, boshqaruv guruhi sizga vazifalarni markazlashtirilgan boshqarish imkoniyatini beradi, aks holda bu vazifalarni tashkilotning turli bo'limlari takrorlashi mumkin.

Boshqaruv guruhiga yuqori boshqaruvga oson va mustaqil kirishni ta'minlang

Axborot xavfsizligi muammolarini menejment guruhi menejerlari tomonidan tashkilotning yuqori rahbariyati bilan muhokama qilish zarurligini ta'kidlaymiz. Bunday dialog bizga samarali ishlashga va kelishmovchiliklardan qochishga imkon beradi. Aks holda, yangi dasturiy mahsulotlarni iloji boricha tezroq joriy qilishni xohlaydigan biznes bo'linmalari menejerlari va tizimni ishlab chiquvchilar bilan nizolar kelib chiqishi mumkin va shuning uchun dasturiy ta'minot bilan ishlashning samaradorligi va qulayligiga xalaqit beradigan boshqaruv vositalaridan foydalanishga qarshi chiqish mumkin. Shunday qilib, axborot xavfsizligi muammolarini eng yuqori darajada muhokama qilish imkoniyati, yakuniy qaror qabul qilinishidan oldin xavflarni to'liq tushunishni va ularning qabul qilinishini kafolatlaydi.

Byudjet va xodimlarni aniqlang va taqsimlang

Byudjet sizga axborot xavfsizligi dasturini rejalashtirish va maqsadlarini belgilashga imkon beradi. Hech bo'lmaganda, byudjet xodimlarning ish haqi va o'qitish xarajatlarini o'z ichiga oladi. Boshqaruv guruhining tarkibi (xavfsizlik bo'limi) farq qilishi mumkin va belgilangan maqsadlarga va ko'rib chiqilayotgan loyihalarga hasad qilishi mumkin. Yuqorida ta'kidlab o'tilganidek, guruh ishiga texnik mutaxassislar ham, biznes bo'linmalarining xodimlari ham jalb qilinishi mumkin.

Xodimlarning kasbiy mahorati va texnik bilimlarini oshirish

Tashkilot xodimlari axborot xavfsizligi dasturining turli jihatlari bilan shug'ullanishi va tegishli ko'nikma va bilimlarga ega bo'lishi kerak. Xodimlarning zarur kasbiy darajasiga tashkilot mutaxassislari ham, tashqi maslahatchilar ham olib borishi mumkin bo'lgan treninglar yordamida erishish mumkin.

Kerakli siyosat va tegishli boshqaruvlarni amalga oshiring

Axborot xavfsizligi siyosati muayyan protseduralarni qabul qilish va boshqarish (boshqarish) vositalarini (mexanizmlarini) tanlash uchun asosdir. Siyosat - bu rahbariyat o'z fikrlari va talablarini xodimlar, mijozlar va biznes sheriklarga etkazadigan asosiy mexanizmdir. Axborot xavfsizligi uchun, shuningdek ichki nazoratning boshqa sohalari uchun siyosat talablari to'g'ridan-to'g'ri xavflarni baholash natijalariga bog'liq.

Siyosatlar va biznes xatarlari o'rtasidagi aloqani o'rnatish

Foydalanuvchilar uchun tushunarli va tushunarli bo'lgan barcha tegishli siyosatlar to'plami axborot xavfsizligi dasturini yaratishda birinchi qadamlardan biridir. Belgilangan xavflar va yuzaga kelishi mumkin bo'lgan kelishmovchiliklarga o'z vaqtida javob qaytarish uchun siyosatni doimiy ravishda qo'llab-quvvatlash muhimligini ta'kidlash kerak.

Qoidalarni va ko'rsatmalarni farqlang

Axborot xavfsizligi siyosatini yaratishda umumiy yondashuv (1) yuqori darajadagi qisqa (qisqa) siyosatlarni va (2) amaliy ko'rsatmalar va standartlarda keltirilgan batafsil ma'lumotlarni o'z ichiga olishi kerak. Siyosatlar yuqori rahbariyat tomonidan qabul qilingan asosiy va majburiy talablarni nazarda tutadi. Amaliy qo'llanmalar barcha biznes bo'limlari uchun majburiy emas. Ushbu yondashuv yuqori rahbariyatga axborot xavfsizligining eng muhim elementlariga e'tibor qaratish, shuningdek, biznes bo'linmalarining menejerlarini manevr qilish, xodimlarga tushunarli bo'lgan siyosatni amalga oshirish imkoniyatini beradi.

Boshqaruv guruhiga siyosatni qo'llab-quvvatlang

Boshqaruv guruhi, tashkilot bo'linmalari menejerlari, ichki auditorlar va yuristlar bilan hamkorlikda tashkilot uchun axborot xavfsizligi siyosatini ishlab chiqish uchun javobgar bo'lishi kerak. Bundan tashqari, boshqaruv guruhi kerakli tushuntirishlarni taqdim etishi va foydalanuvchilarning savollariga javoblar berishi kerak. Bu tushunmovchiliklarni bartaraf etish va oldini olishga yordam beradi, shuningdek, siyosat (ko'rsatmalar) bilan qamrab olinmagan zarur choralarni ko'rishga yordam beradi.

Foydalanuvchilar kerak bo'lganda joriy versiyalariga kira olishlari uchun siyosat taqdim etilishi kerak. Foydalanuvchilar tashkilotning axborot resurslariga kirishga ruxsat berishdan oldin ular siyosat bilan tanish ekanliklarini imzolashlari kerak. Agar foydalanuvchi xavfsizlikka oid intsidentga aloqador bo'lsa, ushbu kelishuv unga tashkilotning siyosati va buzilgan taqdirda sanktsiyalar haqida xabar berilganligi haqida dalil bo'lib xizmat qiladi.

Xabardorlikni oshirish

Foydalanuvchilarning vakolatlari axborot xavfsizligini muvaffaqiyatli ta'minlash uchun zaruriy shart bo'lib, shuningdek boshqarish vositalarining to'g'ri ishlashini ta'minlashga yordam beradi. Foydalanuvchilar o'zlari bilmagan yoki tushunmaydigan qoidalarga amal qila olmaydilar. Tashkilotning axborot resurslari bilan bog'liq xavflardan xabardor bo'lmagan holda, ular xavflarni kamaytirishga qaratilgan siyosatni amalga oshirish zaruratini ko'ra olmaydilar.

Foydalanuvchilar va boshqa xodimlarni xatarlar va tegishli siyosat misolida doimiy ravishda o'qitib borish

Boshqaruv guruhi xodimlarning doimiy ravishda o'qitish strategiyasini, bu tashkilotning axborot xavfsizligiga ta'sir ko'rsatadigan tarzda yoki boshqa usul bilan ta'minlashi kerak. Guruh tashkilot tomonidan ishlov beriladigan axborot bilan bog'liq bo'lgan xatarlarni umumiy tushunishga, shuningdek ushbu xavflarni kamaytirishga qaratilgan boshqarish siyosati va usullari (vositalari) ga e'tiborni qaratishi kerak.

Do'stona munosabatda bo'ling

Boshqaruv guruhi tashkilot siyosatiga kirish va foydalanuvchilarni xabardor qilish uchun turli xil o'qitish va rag'batlantirish usullaridan foydalanishi kerak. Yiliga bir marta tashkilotning barcha xodimlari bilan uchrashuvlardan qoching, aksincha, mashg'ulotlar kichik ishchilar guruhlarida o'tkaziladi.

Siyosat va boshqarish vositalarining samaradorligini kuzatib boring va baholang

Har qanday faoliyat turi singari, axborot xavfsizligi belgilangan maqsadlarga muvofiq siyosat va boshqarish vositalarining (usullarining) muvofiqligini (muvofiqligini) ta'minlash uchun monitoring va davriy qayta ko'rib chiqilishi kerak.

Xavflarni ta'sir qiluvchi va axborot xavfsizligi samaradorligini ko'rsatadigan omillarni boshqarish

Boshqarish birinchi navbatda (1) xavflarni kamaytirishga yo'naltirilgan boshqarish vositalari va usullarining mavjudligiga, ulardan foydalanishga va (2) foydalanuvchilar tushunchasini yaxshilaydigan va intsidentlar sonini kamaytiradigan dastur va axborot xavfsizligi siyosatining samaradorligini baholashga qaratilgan bo'lishi kerak. Bunday tekshirishlar tarkibiga testlarni boshqarish vositalari (usullari), ularning tashkilot siyosatiga muvofiqligini baholash, xavfsizlik intsidentlari tahlili va axborot xavfsizligi dasturining samaradorligining boshqa ko'rsatkichlari kiradi. Boshqaruv guruhining ishlashini quyidagi ko'rsatkichlar asosida baholash mumkin, masalan (lekin cheklanmagan):

  • o'tkazilgan treninglar va uchrashuvlarning soni;
  • amalga oshirilgan risklarni (risklarni) baholash soni;
  • sertifikatlangan mutaxassislar soni;
  • tashkilot xodimlarining ishiga xalaqit beradigan hodisalarning yo'qligi;
  • axborot xavfsizligi muammolari tufayli kechiktirilgan holda amalga oshirilayotgan yangi loyihalar sonining qisqarishi;
  • axborot xavfsizligining minimal talablaridan to'liq muvofiqlik yoki kelishilgan va ro'yxatdan o'tgan og'ishlar;
  • ruxsatsiz kirish, yo'qotish yoki ma'lumotni buzish bilan bog'liq hodisalar sonining kamayishi.

Kelgusi harakatlarni muvofiqlashtirish va boshqaruv javobgarligini oshirish uchun olingan natijalardan foydalaning

Boshqarish, shubhasiz, tashkilotni qabul qilingan axborot xavfsizligi siyosatiga moslashtirishga imkon beradi, ammo natijalar axborot xavfsizligi dasturini takomillashtirish uchun foydalanilmasa, boshqarishning to'liq foydasiga erishilmaydi. Nazorat natijalarining tahlili axborot xavfsizligi bo'yicha mutaxassislar va biznes bo'linmalarining rahbarlariga (1) ilgari aniqlangan xavflarni qayta baholash, (2) yangi muammoli joylarni aniqlash, (3) mavjud boshqarish vositalari (usullari) va usullarining etarliligi va maqsadga muvofiqligini qayta baholashni ta'minlaydi. axborot xavfsizligi, (4) boshqarishning yangi vositalari va mexanizmlariga bo'lgan ehtiyojni aniqlash, (5) boshqarish harakatlarini qayta yo'naltirish (boshqarish harakatlari). Bundan tashqari, olingan natijalar biznes bo'linmalarida xatarlarni tushunish va kamaytirish uchun javobgar bo'lgan menejerlarning faoliyatini baholash uchun ishlatilishi mumkin.

Yangi usul va boshqaruvlarni kuzatib boring

(1) axborot xavfsizligi bo'yicha mutaxassislar ishlab chiqilgan usul va vositalardan (ilovalar) orqada qolmasligini va axborot tizimlari va ilovalarning zaifligi to'g'risida eng so'nggi ma'lumotlarga ega bo'lishini ta'minlash muhimdir (2) yuqori rahbariyat zarur resurslarga ega bo'lishini ta'minlaydi.

Do'stlar! Sizni muhokamaga taklif qilamiz. Fikringiz bo'lsa, bizga sharhlarda yozing.

Axborot xavfsizligi IPni amalga oshirishning muhim jihatlaridan biridir. Bir tomondan, boshqaruvni axborotlashtirish uning bebaho yordamini yaratadi, lekin boshqa tomondan, boshqarish bevosita IP-ning xavfsizligi darajasiga bog'liq.

Axborot xavfsizligi - bu axborot egalari yoki foydalanuvchilariga va qo'llab-quvvatlanadigan infratuzilmalarga tasodifiy yoki qasddan qilingan ta'sirlardan (hujumlardan) himoya qilinadigan axborot xavfsizligi.

Moddiy ob'ektlar bo'lgan texnik vositalar, shuningdek dasturiy ta'minot va ma'lumotlar bazalari buzilish ob'ektlari bo'lishi mumkin.

Axborot xavfsizligini boshqarish murakkab jarayon bo'lib, korporativ xavfsizlik siyosatida qayd etilishi kerak bo'lgan bir qator texnik, tashkiliy va huquqiy tadbirlarni o'z ichiga oladi.

Texnik tadbirlar quyidagilarni o'z ichiga oladi:

· Tizimga ruxsatsiz kirishdan himoya qilish,

· Kritik qo'llab-quvvatlovchi quyi tizimlarning ko'pligi,

Shaxsiy aloqa uzilib qolganda resurslarni taqsimlash imkoniyati bilan kompyuter tarmoqlarini tashkil qilish,

Yong'inni aniqlash va o'chirish uchun uskunalar o'rnatish;

O'g'irlik, fitna, portlash va portlashlardan himoya qilish uchun tarkibiy chora-tadbirlardan foydalanish

Ortiqcha zaxira tizimlarni o'rnatish,

Xonalarni qulflar bilan jihozlash,

Xodimlarning binolarga kirishini jismoniy farqlash;

· Signalizatsiya tizimlarini o'rnatish va hk.

Tashkiliy choralar quyidagilarni o'z ichiga oladi:

Axborot tizimlarini himoya qilish;

Xodimlarni puxta tanlash,

· Faqat bitta shaxs tomonidan o'ta muhim ishlarni istisno qilish,

· Tizimni ishdan chiqqandan keyin tiklash rejasi mavjudligi,

· Axborotlashtirish korxonasini o'z faoliyatining buzilishi faktlarini yashirishdan manfaatdor bo'lmagan vakolatli shaxslar tomonidan tashkil etish va yuritish,

Barcha foydalanuvchilar uchun xavfsizlik xususiyatlarining universalligi (shu jumladan yuqori boshqaruv),

Ma'lumotlarga kirish sohasidagi vakolatlarni ajratish;

· Informatika korxonasi ishining xavfsizligini ta'minlashi kerak bo'lgan shaxslarga javobgarlikni berish.

Huquqiy choralar kompyuter jinoyati uchun javobgarlikni belgilovchi normalarni ishlab chiqish, mualliflik huquqini himoya qilish va axborot texnologiyalari sohasidagi qonun hujjatlarini takomillashtirishni o'z ichiga olishi kerak.

ISO / IEC 27001: 2005 «Axborot texnologiyalari. Korporativ axborot xavfsizligini boshqarish tizimlari (AXBT) qurilishida ommaboplikni oshirmoqda» xalqaro standarti. Xavfsizlik usullari. Axborot xavfsizligini boshqarish tizimlari. Talablar ”mavzusiga muvofiq kompaniyalar quyidagi yo'nalishlarda AX ni boshqarish jarayonlarini rasmiylashtirishi va tuzishi mumkin:



· Axborot xavfsizligini tashkil qilish va tashkil qilish siyosati;

Kompaniyaning asosiy biznes-jarayonlarining asosini tashkil etuvchi ichki aktivlar va resurslarni boshqarishni tashkil etish;

Xodimlarni himoya qilish va kompaniyaning ichki tahdidlarini kamaytirish;

Kompaniyadagi jismoniy xavfsizlik va ekologik xavfsizlik;

· Aloqa va jihozlardan foydalanish boshqaruvi;

· Apparat va dasturiy ta'minot tizimlarini yaratish va texnik xizmat ko'rsatish,

· Kompaniyada uzluksiz ishlarni boshqarish;

· Huquqiy xavfsizlik standartlariga rioya qilish.

Axborot xavfsizligini samarali boshqarishga yordam beradigan bir qator umumiy qabul qilingan texnikalar mavjud. Tahdidlarni modellashtirish metodologiyasi (Microsoft Threat Modeling Methodology), DREAD xavflarini baholash metodologiyasi va tahdidlarni STRIDE toifalariga bo'lish modeli (http://msdn.microsoft.com/ru-ru/magazine/cc700352.aspx) ma'lum va keng qo'llaniladi.

IBMda bu xavfsizlik muammolarini aniqlashga, mustahkam arxitekturani yaratishga va mustahkam xavfsizlik siyosatini ishlab chiqishga yordam beradigan Xavfsiz echimlarni arxivlash usuli (MASS) metodidir (www.redbooks.ibm.com).

Mashhur va ommabop usullar qatorida, 5 bosqichni o'z ichiga oladigan, ADDME deb nomlangan va axborot xavfsizligiga ISS yondashuvini esga olish kerak.

1 bosqich - baholash (baholash). Ushbu bosqichda barcha tashkilot resurslarini aniqlash va inventarizatsiya qilish amalga oshiriladi. Ushbu bosqichda xavflarni baholash, shuningdek, zaiflik, kirishni baholash va tahdidlarni baholash amalga oshiriladi.

2-bosqich - dizayn. Ushbu bosqichda tashkilotning xavfsizlik siyosati ishlab chiqilgan va unda taklif qilingan choralar (qonunchilik, tashkiliy, dasturiy va texnik) samaradorligini baholash tamoyillari ishlab chiqilgan. Bunda birinchi bosqichda foydalanuvchilar, mavjud tarmoq qurilmalari, muhim axborot resurslarining joylashuvi va boshqalar to'g'risidagi ma'lumotlar hisobga olinadi.

3-bosqich - tarqatish. Ushbu bosqich doirasida xavfsizlik uskunalarini o'rnatish, uni integratsiya qilish va qabul qilingan axborotni qayta ishlash texnologiyasida sinab ko'rish, foydalanuvchilarni xavfsizlik siyosati talablariga va o'rnatilgan himoya vositalarining ishlash qoidalariga o'rgatish bo'yicha ishlar olib borilmoqda.

4-bosqich - operatsiya (boshqarish va qo'llab-quvvatlash). Ushbu bosqichda ko'rilayotgan choralarning samaradorligi va ishlab chiqilgan xavfsizlik siyosati qoidalariga muvofiqligi baholanadi. Agar uning buzilishi bilan bog'liq intsidentlar bo'lsa, ikkinchi bosqichda ishlab chiqilgan intsidentlarga munosabat rejasi amalga oshiriladi va natijada xavfsizlik siyosatining ba'zi qoidalari ko'rib chiqiladi. Axborotni qayta ishlash texnologiyasining o'zgarishi, yangi himoya texnologiyalarining paydo bo'lishi va boshqalar. shuningdek, ishlab chiqilgan hujjatlarni qayta ko'rib chiqish uchun turtki bo'ladi.

5 bosqich - ta'lim. O'qitish integratsiyalashgan axborot xavfsizligi tizimini yaratishning barcha bosqichlarida amalga oshiriladi. Unda tashkilotning barcha xodimlari ishtirok etishadi: operatorlar, ma'murlar, menejerlar va boshqalar.

Ideal kompaniyada axborot xavfsizligini boshqarish jarayoni faol (faol va davomiy) hisoblanadi.

Axborot xavfsizligi samarali bo'lishi uchun u biznes xavfsizligi va biznes ehtiyojlari bilan chambarchas bog'liq bo'lishi kerak.
AT tashkilotidagi har bir jarayon xavfsizlik muammolarini o'z ichiga olishi kerak. Xavfsizlik avtonom faoliyat emas; bu xizmat ko'rsatuvchi provayderning barcha jarayonlaridan o'tadigan ip.
Tashkilot rahbariyati ma'lumotni tashkil qilish uchun to'liq javobgardir. Rahbariyat axborot xavfsizligiga ta'sir qiladigan barcha savollarga javob berish uchun javobgardir. Direktorlar kengashi axborot xavfsizligini korporativ boshqaruvning ajralmas qismiga aylantirishi kerak.
Ruxsatnomalar

Axborot xavfsizligini boshqarish jarayoni va doirasi odatda quyidagilarni o'z ichiga oladi:
- strategiya, boshqarish va tartibga solish aspektlariga tegishli siyosatlar to'plami tomonidan qo'llab-quvvatlanadigan axborot xavfsizligi siyosati
- Axborot xavfsizligini boshqarish tizimi
- biznesning maqsadlari, strategiyalari va yaqindan bog'liq bo'lgan keng qamrovli xavfsizlik strategiyasi
rejalari

Xavfsizlik modeli samarali tashkiliy tuzilmani ham o'z ichiga olishi kerak.
Xavfsizlik bir kishining majburiyati emas, tashkilotning barcha darajalarida profillarda rollarni hisobga olish kerak.
Xavfsizlikni boshqarish siyosatni qo'llab-quvvatlash va xavfsizlik xavflarini boshqarish uchun zarurdir.
Va nihoyat, xavfsizlik strukturasi quyidagilarni ko'rib chiqishi va o'z ichiga olishi kerak.
- muvofiqlikni ta'minlash va samaradorlik to'g'risida fikr-mulohazalarni bildirish uchun jarayon monitoringi
- Aloqa xavfsizligi strategiyasi va rejasi
- Trening va strategiya va barcha xodimlarga o'z vazifalari haqida ma'lumot berishni rejalashtirish.

Axborot xavfsizligi siyosati

Axborot xavfsizligini boshqarish bo'yicha faoliyat axborot xavfsizligi siyosatiga yo'naltirilishi va boshqarilishi kerak.
Axborot xavfsizligi siyosati AT menejmenti sohasida top-menejerlarni har tomonlama qo'llab-quvvatlashi kerak, va eng yaxshisi, katta biznes menejmenti tarafdorlari.
Ushbu siyosat xavfsizlikning barcha sohalarini qamrab olishi, etarli bo'lishi va biznes ehtiyojlariga javob berishi kerak.
Axborot xavfsizligi siyosati barcha mijozlar va foydalanuvchilar uchun keng bo'lishi kerak.
Ushbu siyosat biznes va IT-ning katta rahbariyati tomonidan tasdiqlangan bo'lishi kerak.

Xavfsizlikning barcha siyosatlari kamida har yili, agar kerak bo'lsa, qayta ko'rib chiqilishi kerak.

Axborot xavfsizligini boshqarish tizimi

Axborot xavfsizligini boshqarish tizimi - bu tashkilotlarning Axborot xavfsizligini boshqarish sohasida o'z maqsadlariga erishishini ta'minlaydigan siyosatlar, jarayonlar, standartlar, ko'rsatmalar va vositalar.

Axborot xavfsizligi menejmenti tizimi biznes maqsadlarini qo'llab-quvvatlaydigan iqtisodiy samarador axborot xavfsizligi dasturlarini ishlab chiqish uchun asos bo'lib xizmat qiladi.
Tizim nafaqat texnologiyani hisobga olishi kerak.

Barcha sohalarda yuqori darajadagi xavfsizlikni ta'minlash uchun 4P usullaridan (odamlar, jarayonlar, mahsulotlar va sheriklar) foydalanish mumkin.

ISO 27001 - bu axborot xavfsizligini boshqarish tizimining mustaqil sertifikatlashini ta'minlaydigan rasmiy standart. Tashkilotlar xavfsizlik talablariga muvofiqligini tasdiqlash uchun sertifikat so'rashlari mumkin.

Axborot xavfsizligi menejmenti tizimi tashkilotning butun tizimida muntazam ravishda va izchil ravishda axborot xavfsizligi va boshqarish jarayonlarini ishlab chiqish, amalga oshirish, boshqarish, ta'minlash va ta'minlash uchun tashkiliy tuzilmani o'z ichiga oladi.

Quyidagi diagrammada axborot xavfsizligini boshqarishga yondashuv ko'rsatilgan.
Tizimlar. Ushbu yondashuv keng qo'llaniladi va manbalarda tavsiflangan tavsiyalar va tavsiyalarga, shu jumladan ISO 27001ga asoslanadi.

Boshqarish

Axborot xavfsizligini boshqarish axborot xavfsizligini boshqarishning birinchi kichik jarayonidir va tashkilot va jarayonni boshqarishni anglatadi. Ushbu turdagi faoliyat Axborot xavfsizligini boshqarishning tarkibiy yondashuvini o'z ichiga oladi, unda quyidagi kichik jarayonlarni tavsiflanadi: xavfsizlik rejalarini shakllantirish, ularni amalga oshirish, amalga oshirishni baholash va har yillik xavfsizlik rejalariga (harakatlar rejalariga) kiritish. Shuningdek, u xizmat ko'rsatish darajasini boshqarish jarayoni orqali mijozga taqdim etilgan hisobotlarni tavsiflaydi.
Ushbu faoliyat pastki jarayonlar, xavfsizlik funktsiyalari, vazifalari va majburiyatlarini belgilaydi. Shuningdek, unda tashkilotning tuzilishi, hisobot berish tizimi va boshqaruv oqimlari (kimga, kim nima qilgani, qanday natijalar haqida hisobot tuzilishini ko'rsatuvchi) tushuntirilgan. Ushbu turdagi faoliyat doirasida Axborot xavfsizligini boshqarish bo'yicha amaliy tavsiyalar to'plamidan quyidagi tadbirlar amalga oshirilmoqda.

Ishning ichki qoidalari (siyosati):
- ichki ish tartibini (siyosatini), boshqa qoidalar bilan munosabatlarni ishlab chiqish va amalga oshirish;
- maqsadlar, umumiy tamoyillar va ahamiyat;
- kichik dasturlarni tavsifi;
- subprosesslar uchun funktsiyalar va majburiyatlarni taqsimlash;
- boshqa ITIL jarayonlariga va ularni boshqarishga havolalar;
- xodimlarning umumiy javobgarligi;
- xavfsizlik intsidentlarini ko'rib chiqish.

Axborot xavfsizligini tashkil qilish:
- boshqaruv bloklari sxemasi;
- boshqaruv tuzilmasi (tashkiliy tuzilma);
- majburiyatlarni yanada batafsil taqsimlash;
- Axborot xavfsizligi bo'yicha boshqaruv qo'mitasini tashkil etish;
- axborot xavfsizligini muvofiqlashtirish;
- vositalarni uyg'unlashtirish (masalan, xatarlarni tahlil qilish va xabardorlikni oshirish uchun);
- mijoz bilan kelishgan holda AT vositalarini avtorizatsiya qilish jarayonining tavsifi;
- mutaxassislarning maslahati;
- tashkilotlar o'rtasidagi hamkorlik, ichki va tashqi hamkorlik;
- axborot tizimlarining mustaqil auditi;
- begona tashkilotlarning ma'lumotlarini olishda xavfsizlik tamoyillari;
- uchinchi shaxslar bilan tuzilgan shartnomalardagi axborot xavfsizligi.

Rejalashtirish

Rejalashtirishning pastki jarayoni, xizmat ko'rsatish darajasini boshqarish jarayoni ishtirokida xavfsizlik masalalari bo'yicha SLA qismining mazmunini aniqlash va tashqi bitimlar doirasida amalga oshiriladigan xavfsizlik bilan bog'liq faoliyatni tavsiflashdan iborat. SLA-da umumiy ma'noda belgilangan vazifalar batafsil va Operatsion xizmat ko'rsatish darajasi (OLA) shaklida ko'rsatilgan. OLA xizmat ko'rsatuvchi tashkilotning tashkiliy tuzilmasi uchun xavfsizlik rejasi va xavfsizlikning alohida rejasi, masalan, har bir platforma, dastur va tarmoq uchun ko'rib chiqilishi mumkin.

Rejalashtirilgan kichik dasturga kirish nafaqat SLA qoidalari, balki xizmat ko'rsatuvchi provayderning xavfsizlik siyosati tamoyillari (boshqarish subprocess dan) hisoblanadi. Ushbu tamoyillarga misollar: «Har bir foydalanuvchi noyob identifikatsiya qilinishi kerak»; "Asosiy xavfsizlik darajasi har doim barcha mijozlar uchun mavjuddir."

Axborot xavfsizligi bo'yicha xizmat ko'rsatish darajasining operatsion shartnomalari (xavfsizlikning maxsus rejalari) standart protseduralar asosida ishlab chiqiladi va amalga oshiriladi. Bu, agar boshqa harakatlar zarur bo'lsa, ushbu jarayonlar bilan muvofiqlashtirish zarurligini anglatadi. Axborot xavfsizligini boshqarish jarayoni taqdim etgan ma'lumotlardan foydalangan holda, AT infratuzilmasiga zarur bo'lgan barcha o'zgarishlar O'zgarishlarni boshqarish jarayoni orqali amalga oshiriladi. O'zgarishlarni boshqarish jarayoni ushbu jarayonning etakchisi hisoblanadi.
Rejalashtirilgan qo'shimcha dastur SLAning xavfsizlik bo'limining tarkibini aniqlash, uni yangilash va uning qoidalariga muvofiqligini ta'minlash uchun xizmat ko'rsatish darajasini boshqarish jarayoni bilan kelishilgan. Xizmatni boshqarish jarayonini muvofiqlashtirish ushbu muvofiqlashtirish uchun javobgardir.

Xavfsizlik talablari SLAda, iloji boricha, o'lchanadigan qiymatlarda aniqlanishi kerak. SLA ning xavfsizlik bo'limi mijozning barcha xavfsizlik talablari va standartlariga muvofiqligini kuzatilishini ta'minlashi kerak.

Amalga oshirish

Dasturni amalga oshirish (amalga oshirish) kichik dasturning vazifasi rejalarda belgilangan barcha tadbirlarni bajarishdir. Ushbu kichik dasturni quyidagi harakatlar ro'yxati qo'llab-quvvatlaydi.

Axborotni tasniflash va boshqarish:
- CMDB-da Konfiguratsiya bloklarini (CI) qo'llab-quvvatlash uchun kirishni ta'minlash;
- kelishilgan printsiplarga muvofiq IT-resurslarni tasniflash.

Xodimlar xavfsizligi:
- ish tavsifidagi vazifalar va majburiyatlar;
- kadrlar tanlash;
- xodimlar uchun maxfiylik to'g'risidagi bitimlar;
- kadrlar tayyorlash;
- Xavfsizlik intsidentlarini va aniqlangan xavfsizlik kamchiliklarini bartaraf etish bo'yicha xodimlar uchun qo'llanmalar;
- intizomiy choralar;
- xavfsizlik haqida xabardorlikni oshirish.

Xavfsizlikni boshqarish:
- javobgarlik turlarini joriy etish va majburiyatlarni taqsimlash;
- yozma ish yo'riqnomasi;
- ichki qoidalar;
- xavfsizlik choralari tizimlarning butun hayot aylanishini qamrab olishi kerak; tizimlarni ishlab chiqish, ularni sinovdan o'tkazish, qabul qilish, foydalanish, texnik xizmat ko'rsatish va ish muhitidan olib tashlash uchun xavfsizlik qo'llanmalari mavjud bo'lishi kerak;
- ishlab chiqish va sinov muhitini ishlaydigan (ishlaydigan) muhitdan ajratish;
- voqealarni boshqarish protseduralari (Intsidentlarni boshqarish jarayoni tomonidan amalga oshiriladi);
- tiklash vositalaridan foydalanish;
- O'zgarishlarni boshqarish jarayoniga kirishni ta'minlash;
- viruslardan himoya qilish choralarini amalga oshirish;
- kompyuterlar, dasturlar, tarmoqlar va tarmoq servislarini boshqarish usullarini amalga oshirish;
- axborot tashuvchilarni to'g'ri ishlashi va himoyasi.

Kirish huquqini boshqarish:
- erkin foydalanish va boshqarish siyosatini amalga oshirish;
- tarmoqlar, tarmoq xizmatlari, kompyuterlar va ilovalarga foydalanuvchi va ilovalarning imtiyozlarini qo'llab-quvvatlash;
- tarmoqdagi xavfsizlik to'siqlarini (xavfsizlik devori, telefon liniyalariga kirish xizmatlari, ko'priklar va marshrutizatorlar) qo'llab-quvvatlash;
- tarmoqdagi kompyuter tizimlari, ish stantsiyalari va shaxsiy kompyuterlarni identifikatsiyalash va avtorizatsiya qilish usullarini joriy etish

Baho

Rejalashtirilgan tadbirlarning bajarilishini mustaqil baholash juda muhimdir. Bunday baholash samaradorlikni aniqlash uchun zarur, uni amalga oshirish mijozlar va uchinchi shaxslar tomonidan ham talab qilinadi. Baholashning pastki jarayoni natijalari mijoz bilan kelishilgan chora-tadbirlarni to'g'irlash, shuningdek ularni amalga oshirish uchun ishlatilishi mumkin. Baholash natijalariga ko'ra o'zgartirishlar taklif qilinishi mumkin, bu holda O'zgartirish talablari (RFC) shakllantiriladi va O'zgarishlarni boshqarish jarayoniga yuboriladi.
Baholashning uch turi mavjud:
- o'zini o'zi baholash: birinchi navbatda tashkilotning chiziqli bo'linmalari tomonidan amalga oshiriladi;
- ichki audit: IT-ichki auditorlar tomonidan;
- tashqi audit: tashqi AT auditorlari tomonidan.
O'z-o'zini baholashdan farqli o'laroq, audit boshqa kichik ishlov berish jarayonlarida qatnashadigan bir xil xodimlar tomonidan o'tkazilmaydi. Bu majburiyatlarning bo'linishini ta'minlash uchun zarurdir. Audit ichki audit bo'limi tomonidan o'tkazilishi mumkin.
Baholash, shuningdek, intsidentlar yuzaga kelganda javob sifatida amalga oshiriladi.
Asosiy faoliyat turlari:
- xavfsizlik siyosati va xavfsizlik rejalarining bajarilishini tekshirish;
- AT tizimlarining xavfsizlik auditini o'tkazish;
- axborot resurslaridan noo'rin foydalanish bo'yicha chora-tadbirlarni aniqlash va qabul qilish;
- AT auditining boshqa turlarida xavfsizlik jihatlarini tekshirish.

Qo'llab-quvvatlash

Kompaniyada va biznes-jarayonlarda IT infratuzilmasining o'zgarishi bilan bog'liq xavflarning o'zgarishi sababli xavfsizlik choralarini etarli darajada ta'minlash kerak. Xavfsizlik choralarini qo'llab-quvvatlash SLA shartnomalarining tegishli xavfsizlik bo'limlarini qo'llab-quvvatlashni va batafsil xavfsizlik rejalarini qo'llab-quvvatlashni o'z ichiga oladi (xizmat ko'rsatish darajasi bo'yicha operatsion bitimlar darajasida).
Xavf o'zgarishini baholash va tahlil qilishning pastki jarayoni natijalari asosida xavfsizlik tizimining samarali ishlashi ta'minlanadi. Takliflar rejalashtirishning quyi bosqichida yoki butun SLA uchun qo'llab-quvvatlash jarayonida amalga oshirilishi mumkin. Qanday bo'lmasin, qilingan takliflar yillik xavfsizlik rejasiga qo'shimcha tashabbuslarning kiritilishiga olib kelishi mumkin. Har qanday o'zgarishlar normal o'zgarishlarni boshqarish jarayonining bir qismi sifatida ko'rib chiqilishi kerak.

Qo'llab-quvvatlash vazifalari xavfsizlik choralarini quyidagicha takomillashtirishdir
xizmat ko'rsatish darajasi va operatsion darajadagi shartnomalarda ko'rsatilgan va
xavfsizlik va nazorat choralarini amalga oshirishni takomillashtirish.

Ta'minotga Rejalash-Do-Tekshirish-Akt tsiklidan foydalangan holda erishish kerak
iSO 27001 tomonidan xavfsizlikni boshqarish bo'yicha axborot tizimini yaratish uchun taklif qilingan rasmiy yondashuv. Bu CSIda batafsil tavsiflangan.

Jarayon to'g'ri amalga oshirilganda, axborot xavfsizligini boshqarish oltita asosiy natijaga ega bo'lishi kerak. Quyida natijalar va tegishli ma'lumotlarning to'liq ro'yxati keltirilgan.

Strategik moslash:
o Xavfsizlik talablari korporativ talablar bilan belgilanishi kerak.
o xavfsizlik choralari korxona jarayonlariga mos kelishi kerak
axborot xavfsizligi sarmoyalari korxona strategiyasiga va kelishilgan risklarga muvofiq bo'lishi kerak

Yetkazib berish qiymati:
o xavfsizlik usullarining standart to'plami, ya'ni xavfsizlikning dastlabki talablariga muvofiqlik
o foyda va biznes uchun eng katta foyda keltiradigan hududlar uchun to'g'ri taqsimlangan ustuvorliklar va harakatlar
o institutsional va ommaviy echimlar
o tashkil etish va jarayonni qamrab oladigan kompleks echimlar, shuningdek doimiy takomillashtirish madaniyati texnologiyasi

Risklarni boshqarish:
o xavflarning uyg'unlashgan profilini
o Xavf ta'sirini tushunish
o xatarlarni boshqarish ustuvorliklari to'g'risida xabardorlik
o xavflarni kamaytirish
o qabul qilish / hurmat qilish xavfi

Unumdorlikni boshqarish:
o aniqlangan, izchil o'lchovlar to'plami
kamchiliklarni aniqlash va muammolarni hal qilish jarayoni to'g'risida fikr-mulohazalarni bildirishga yordam beradigan o'lchash jarayoni aniqlandi.
o mustaqil garov

Resurslarni boshqarish:
o yig'ilgan va mavjud bo'lgan ma'lumotlar
o hujjatlashtirilgan xavfsizlik jarayonlari va amaliyotlari
o infratuzilma resurslaridan samarali foydalanish uchun ishlab chiqilgan xavfsizlik arxitekturasi
- biznes jarayonlarini ta'minlash.

Jet Infosystems kompaniyasi samarali axborot xavfsizligini boshqarish tizimlarini (AXBT) yaratish va joriy etish bo'yicha kompleks loyihalarni amalga oshiradi. Loyihalar tarkibiga axborot xavfsizligini boshqarish jarayonlarini tahlil qilish, ishlab chiqish va amalga oshirish kiradi. Amalga oshirilgan tizimlar ham biznes, ham xalqaro standartlar va ilg'or tajribalar talablariga javob beradi. Natijada, ular nafaqat marketing samarasini olib keladi, balki sizga ma'lumotlarning xavfsizligini ta'minlash uchun byudjetni optimallashtirish, biznes uchun axborot xavfsizligining shaffofligini, shuningdek, mijozning xavfsizligi va etuklik darajasini oshirishga imkon beradi.

Muammo

Muhim ma'lumotlarni himoya qilish uchun kompaniyalar axborot xavfsizligini ta'minlash uchun turli xil choralarni qo'llaydilar, ammo eng zamonaviy va qimmatbaho vositalardan foydalanish ham ularning samaradorligini kafolatlamaydi va axborot xavfsizligini ta'minlash uchun asossiz xarajatlarga olib kelishi mumkin. Axborot xavfsizligini ta'minlash uchun ko'plab choralar va vositalarning mavjudligi boshqaruv jarayonini murakkablashtiradi. Ko'pincha, axborot xavfsizligi tizimining ishlashini doimiy ravishda kuzatib borish va tahlil qilish va uning ishiga tuzatishlar kiritishga imkon beradigan mexanizmlar yaxshi tuzatilmagan.

Rasmiylashtirilgan boshqaruv va axborot xavfsizligi jarayonlarining yo'qligi operatsion xarajatlarning oshishiga olib keladi. Tashkiliy yondashuv yo'qligi sababli, yuzaga keladigan barcha masalalar alohida tartibda hal qilinadi, ular har xil holatlarga qarab o'zgaradi.

Qaror

AXBT umumiy axborot xavfsizligi tizimining bir qismidir. Uning asosiy tarkibiy qismlaridan biri bu AX xavflarini boshqarish jarayoni hisoblanadi. Uning ish natijalari qabul qilinmaydigan xavflarni qayta ishlash bo'yicha echimlarni ishlab chiqish va AX ni ta'minlash uchun iqtisodiy asoslangan choralarni ishlab chiqishga imkon beradi. Tanlangan chora-tadbirlarni amalga oshirishni rejalashtirish sizga axborot xavfsizligini ta'minlash xarajatlarini ham qisqa, ham uzoq muddatda taqsimlashga imkon beradi.

AXBTda AX ni boshqarish va texnik xizmat ko'rsatishning bir qator jarayonlari yaratiladi va / yoki tavsiflanadi, bu sizga ushbu jarayonlarni tuzishga va ularning takrorlanuvchanligini ta'minlashga imkon beradi. Uni qurishda yuqori darajadagi rahbariyat va mijozlarning biznes bo'linmalari vakillari bilan o'zaro munosabat ularning tizimdan nimani kutayotganligini aniqlash uchun kerak.

Ishlab chiqaruvchilar uchun boshqaruv va axborot xavfsizligi tizimining qulayligi uning ishining samaradorligi bilan bog'liqligini hisobga olib, Jet Infosystems mutaxassislari AXBT jarayonlarini yaratish va keyinchalik qayta ishlashga alohida e'tibor berishadi. Ish jarayonida kompaniyada mavjud bo'lgan jarayonlar, ularning xususiyatlari va etuklik darajasi, shuningdek korporativ madaniyat an'analari doimo hisobga olinadi. Tizimni amalga oshirishda ishtirok etadigan xodimlarni o'qitish, vazifalarni taqsimlash, shuningdek, axborot xavfsizligini boshqarish va ta'minlash sohasida ichki vakolat markazini tashkil etishga alohida e'tibor beriladi. Natijada, amalga oshirilayotgan jarayonlar kompaniyaning ajralmas qismiga aylanib, belgilangan maqsadlarga muvofiq ishlaydi va "shkafda yotadigan hujjatlar papkasi" bo'lib qolmaydi.

Jet Infosystems axborot xavfsizligini boshqarish va texnik xizmat ko'rsatish sohasida keng qamrovli xizmatlarni taqdim etadi:

ISO / IEC 27001 asosida AXBTni ishlab chiqish va joriy etish

AJni boshqarishning asosiy jarayonlarini ishlab chiqish va amalga oshirish mijozning tashkiliy tuzilishi va xususiyatlarini hisobga olgan holda amalga oshiriladi. Bundan tashqari, asosiy xodimlar AXBT bilan ishlashga o'rgatiladi va maslahat yordami ko'rsatiladi.

Alohida boshqaruv va axborot xavfsizligi jarayonlarini ishlab chiqish va amalga oshirish

AX ni boshqarish va texnik xizmat ko'rsatishning muayyan jarayonlarini (masalan, xavflarni boshqarish, intsidentlarni boshqarish, ichki auditlar va boshqalar) ishlab chiqish va joriy qilish xalqaro va Rossiya standartlari (ISO / IEC 27001: 2005, ISO / IEC 27002) talablariga muvofiq amalga oshiriladi. 2005, ISO / IEC 27005: 2008, PCI DSS, STO BR IBBS - 1.0 va boshqalar), shuningdek ushbu sohadagi eng yaxshi tajribalar.

Maslahatchilar AXBTga keyinchalik qo'shilish maqsadida AX ni boshqarish jarayonlarini izchil amalga oshirish jadvalini tuzishlari mumkin.

ISO / IEC 27001 xalqaro standarti talablariga muvofiqligini sertifikatlashtirishga tayyorgarlik

Sertifikatlashtirishga tayyorgarlik ISO / IEC 27001 standarti talablariga muvofiqligini oldindan tahlil qilishni, aniqlangan nomuvofiqlikni bartaraf qilishni, AXBTni ushbu standart talablariga muvofiqlashtirishni o'z ichiga oladi. Audit sertifikatlashtirish organi tomonidan tegishli akkreditatsiyaga ega bo'lgan holda o'tkaziladi.

Jet Infosystems tekshiruvlar vaqtida mijozlarga yordam beradi va aniqlangan nomuvofiqliklarni bartaraf etishga yordam beradi.

AXBT yoki individual jarayonlar tomonidan ishlab chiqilgan qo'llab-quvvatlash

Jet infosistemalari quyidagilarni ta'minlaydi:

  • tekshirishning auditorlik tekshiruvlariga buyurtmachining AXBTini tayyorlash: tezkor ekspertiza, sertifikatlashtirish organining tekshirish auditidan o'tishi kerak bo'lgan ishlarni aniqlash;
  • aniq AXBT jarayonlarini takomillashtirish yoki amalga oshirish. Masalan, yillik AX tahlili yoki AXning ichki auditini o'tkazish.

Jet infosistemalari bilan ishlashning afzalliklari:

  • tizimli yondashuv va o'zimizning noyob metodologiyamiz, bu sizga AX ni boshqarish va boshqarish jarayonlarini tez va samarali ishlab chiqish va amalga oshirishga imkon beradi;
  • eng murakkab vazifalarni hal qilishga qodir bo'lgan sertifikatlangan mutaxassislardan iborat yaqin loyiha jamoasi;
  • maslahatchilar BSI MS menejment tizimida trenerlar bo'lib, auditlarda qatnashadilar;
  • ishning asosiy printsipi "har bir kompaniya o'ziga xosdir". Axborot xavfsizligi sohasidagi ehtiyojlar har bir mijoz uchun belgilanadi va nafaqat talablarni (qonunlar, sheriklar, pudratchilar, sanoat va boshqalar) rasmiy ravishda bajarilishini emas, balki haqiqiy axborot xavfsizligini ta'minlashga yordam beradigan echimlar taklif etiladi.

Foyda

AX ni boshqarish va unga xizmat ko'rsatish protseduralarini amalga oshirish sizga quyidagilarga imkon beradi:

  • axborot xavfsizligi xarajatlarini optimallashtirish va asoslash;
  • axborot xavfsizligini ta'minlash bo'yicha barcha tadbirlarning to'liqligi, bir-biriga bog'liqligi, samaradorligi va oshkoraligiga erishish orqali axborot xavfsizligi samaradorligini oshirish;
  • axborot xavfsizligi darajasining qonunchilik, sanoat, ichki korporativ talablar va biznes maqsadlariga muvofiqligini ta'minlash;
  • boshqaruv jarayonlarini va axborot xavfsizligini rasmiylashtirish va standartlashtirish orqali operatsion xarajatlarni kamaytirish;
  • axborot xavfsizligining yuqori darajada ekanligini namoyish etish orqali kompaniya sheriklari va mijozlarining ishonchini oshirish.

Bundan tashqari, AXBTni joriy qilish va sertifikatlash:

  • kompaniyadagi aktsiyalarning kapitallashuvi va qiymatini oshirish;
  • xorijiy investitsiyalarni jalb qilish va xalqaro bozorlarga chiqish uchun zarur bo'lgan kompaniyaning xalqaro reytinglarini oshirish;
  • investitsiyalarni himoya qilish.

Tajriba

"Jet Infosystems" mutaxassislari MDHda AXBT va AX-ni boshqarishning individual jarayonlarini, shu jumladan AX xavflarini boshqarish, AX ni boshqarish va zaifliklarni boshqarish bo'yicha eng katta tajribaga ega.

Kompaniyalarda ISO / IEC 27001: 2005 standarti talablariga muvofiqligini sertifikatlash uchun AXBTni yaratish va keyinchalik tayyorlash bo'yicha beshta yirik loyiha muvaffaqiyatli yakunlandi:

  • Mintaqalararo Tranzit Telekom OAJ
  • ROSNO OAJ
  • "Axborot xavfsizligi markazi" MChJ
  • Askari Bank (Pokiston)
  • Eldorado MChJ

Shuningdek, AX ni boshqarishning alohida jarayonlarini yaratish, AXBTni qo'llab-quvvatlash va sertifikatlashtirish organi tomonidan nazorat auditiga tayyorlash bo'yicha 30 dan ortiq loyihalar yakunlandi.

Sizga maqola yoqdimi? Do'stlar bilan baham ko'ring:
Siz ham qiziqishingiz mumkin.