10- amaliy ish
Mavzu: Riskni qabul qilish
Ishdan maqsad: Tanlangan predmet sohada sifat va son bo’yicha baholangan va qayta ishlangan axborot xavfsizligi xavfini qabul qilish bilim va ko’nikmalarini shakllantirishdan iborat.
Qisqacha nazariy ma’lumot
Axborot xavfsizligi risklarini boshqarish va ularni qayta ishlashning butun jarayoni vaqtida risklarga taalluqli axborot tegishli rahbariyatga va tezkor xodimlarga yetkazilishi muhim. Hatto, risklarni qayta ishlashgacha identifikatsiya qilingan risklar tо‘g‘risidagi axborot insidentlarni boshqarishni amalga oshirish uchun muhim bо‘lishi va potensial zararni kamaytirishga kо‘maklashishi mumkin. Rahbariyat va xodimlarning risklar, rikslarni kamaytirish uchun qо‘llaniladigan boshqarish vositalarining tabiati va tashkilotning muammoli sohalari tо‘g‘risida xabardorligi insidentlarni va kо‘zda tutilmagan voqea-hodisalarni kо‘rib chiqishda eng samarali tarzdagi yordamchi mexanizm hisoblanadi. Axborot xavfsizligi risklarini boshqarish jarayoniga kiradigan har bir tadbirning batafsil natijalari va risklar bо‘yicha qarorlar qabul qilishning ikki nuqtasidan olingan natijalar ujjatlashtirilishi kerak.
Amaliy qism
Risklarni qabul qilish mezonlari ishlab chiqilishi va aniqlanishi kerak. Risklarni qabul qilish mezonlari kо‘pincha, tashkilot siyosatiga, vazifalariga, maqsadlariga va manfaatdor tomonlarning manfaatlariga bog‘liq bо‘ladi.
Tashkilot rikslarni qabul qilish darajalari uchun о‘zining shkalalarini aniqlab olishi kerak. Ishlab chiqishda quyidagilarni hisobga olish zarur:
risklarni qabul qilish mezonlari riskning istalgan maqsadli darajasiga ega kо‘plab chekka qiymatlarni ichiga olishi mumkin, lekin muayyan vaziyatlarda yuqori rahbariyat kо‘rsatilgan darajadan yuqorida turgan risklarni qabul qilishi sharti asosida;
risklarni qabul qilish mezonlari miqdor jihatdan baholangan foydaning (yoki boshqa biznes foydasining) miqdor jihatdan baholangan riskka bо‘lgan nisbati sifatida ifodalanishi mumkin;
risklarni qabul qilishning turli mezonlari riskning turli klasslariga nisbatan qо‘llanilishi mumkin, masalan, direktivalar va qonunlarga mos kelmaslik natijasi bо‘lishi mumkin bо‘lgan risklar qabul qilinmaydi, shu vaqtning о‘zida, shartnoma majburiyatlarida belgilangan bо‘lsa, yuqori darajadagi risklar qabul qilinishiga ruxsat etilishi mumkin;
risklarni qabul qilish mezonlari bо‘lajak qо‘shimcha qayta ishlashga taalluqli talablarni ichiga olishi mumkin, masalan, muayyan vaqt davri doirasida risklarni maqbul darajagacha kamaytirish bо‘yicha ishlarni amalga oshirish tasdiqlansa va rozilik berilsa, risklar qabul qilinishi mumkin.
Risklarni qabul qilish mezonlari risklar qanchalik uzoq, taxminan mavjud bо‘lishiga bog‘liq holda farqlanishi mumkin, masalan, risklar vaqtinchalik yoki qisqa muddatli faoliyat bilan bog‘liq bо‘lishi mumkin.
Risklarni qabul qilish mezonlari quyidagilar hisobga olingan holda о‘rnatilishi kerak:
- biznes mezonlari;
- qonunchilik va normativ hujjatlarning aspektlari;
- operatsiyalar;
- texnologiyalar;
- mablag‘lar;
- ijtimoiy va gumanitar omillar.
Risklarni qabul qilish mezonlari О‘z DSt ISO/IEC 27001 (4.2.1, s) sanab о‘tish, belgilangan «risklarni qabul qilish mezonlari va risklarning maqbul darajasini identifikatsiya qilish» ga mos keladi.
Axborot xavfsizligi risklarini boshqarish jarayoni bilan bog‘liq bо‘lgan tashkiliy struktura va javobgarlik о‘rnatilishi va ta’minlanishi kerak. Quyida tashkiliy strukturaga xos bо‘lgan asosiy rollar va vazifalar sanab о‘tiladi:
ushbu tashkilot uchun mos keladigan, axborot xavfsizligi risklarini boshqarish jarayonini ishlab chiqish;
manfaatdor tomonlarni identifikatsiya va tahlil qilish;
tashkilotga nisbatan ham ichki, ham tashqi bо‘lgan barcha tomonlarning rollari va vazifalarini aniqlash;
tashkilot va manfaatdor tomonlar о‘rtasida talab qilinadigan о‘zaro aloqalarni, shuningdek, yuqori darajadagi risklarni boshqarishning ( masalan, operatsion risklarni boshqarish) tashkiliy funksiyalari uchun, boshqa ahamiyatli loyihalar va faoliyat turlari bilan interfeyslar о‘rnatish;
qarorlar qabul qilinishini birmuncha yuqori darajaga topshirish yо‘llari;
saqlanishi zarur bо‘lgan hujjatlarni aniqlash.
Bu tashkiliy struktura tashkilotning tegishli rahbariyati tomonidan ma’qullanishi kerak.
О‘z DSt ISO/IEC 27001 (5.2.1, a) sanab о‘tish) ga muvofiq, tashkilot AXBTni ishlab chiqish, joriy qilish, foydalanish, monitoringi, tahlili, takomillashtirish va samaradorligini oshirish uchun zarur bо‘lgan resurslarni aniqlashi va ta’minlashi kerak. Risklarni boshqarishni bajaradigan tashkilot bо‘linmasi, О‘z DSt ISO/IEC 27001 talab qiladigan resurslardan biri sifatida kо‘rib chiqilishi mumkin.
Do'stlaringiz bilan baham: |