3 – amaliy ish Biznesni uzluksizligi va qayta tiklash. Risklarni baxolash Ishdan maqsad

Rejalashtirish – bu bir martalik muolaja emas, balki dinamik jarayondir. Rejalar dolzab va sinxronlangan holatda bo’lishi lozim. Shu maqsadda ularni doimiy sinovdan o’tkazish, kerak bolganda esa yangi ma’lumotlar bilan to’ldirib turish lozim.

1. 
   Uzluksiz biznes strategiyasini aniqlashtirish;
   
2. 
   Tashkiliy va texnik yechimlarni tanlash;
   
3. 
   Texnik va tashkiliy BCM tizimlarini yaratish.
   
4. 
   Ma’lumotlarni qayta ishlash markazlarini bardoshliligini qurish;
   
5. 
   BCP va DRP rejalarini ishlab chiqish;
   
6. 
   BCM tizimlarini yuritish va joriy qilish dasturlarini shakllanishi;
   
7. 
   Korporotiv ma’daniyatda jarayonlarni jorlashtirish.
   

• 
  Korxonani IT-tizimlari avariya holatida faoliyatni davom ettirilishiga tayyorlik;
  
• 
  Shtatdan tashqari va ehtimoliy zararlar paydo bo’lganda axborot tizimlari uzilish ehtimolini baholanganligi;
  
• 
  Nazoratlovchi organlartalabariga muvofiq auditdan o’tish.
  

ISO / IEC 27001 - axborot xavfsizligini boshqarish bo'yicha xalqaro standart. Standart dastlab Xalqaro Standartlashtirish Tashkiloti (ISO) va Xalqaro Elektrotexnika Komissiyasi (IEC) tomonidan 2005 yilda [1] birgalikda nashr etilgan va 2013 yilda qayta ko'rib chiqilgan. [2] Unda axborot xavfsizligini boshqarish tizimini (AXBT) tashkil etish, joriy etish, saqlash va doimiy ravishda takomillashtirishga qo'yiladigan talablar batafsil bayon etilgan - ularning maqsadi tashkilotlarga o'zlarining axborot aktivlarini yanada xavfsizroq qilishlariga yordam berishdir. [3] Standartning Evropadagi yangilanishi 2017 yilda nashr etilgan. [4] Standart talablariga javob beradigan tashkilotlar auditorlik tekshiruvi muvaffaqiyatli yakunlangandan so'ng akkreditatsiyadan o'tgan sertifikatlashtirish organi tomonidan sertifikatlashni tanlashi mumkin.

ISO / IEC 27001 quyidagi boshqaruvni talab qiladi:

Tashkilotning tahdidlar, zaifliklar va ta'sirlarni hisobga olgan holda axborot xavfsizligi xavfini muntazam ravishda tekshirib turing;

Axborot xavfsizligini nazorat qilishning izchil va keng qamrovli to'plamini va / yoki xavfni davolashning boshqa shakllarini (masalan, xavfni oldini olish yoki xavfni uzatish kabi) qabul qilinishi mumkin emas deb hisoblanadigan xatarlarni ishlab chiqish va amalga oshirish; va axborot xavfsizligi nazorati tashkilotning axborot xavfsizligi ehtiyojlarini doimiy ravishda qondirishda davom etishini ta'minlash uchun umumiy boshqaruv jarayonini qabul qilish. E'tibor bering, ISO / IEC 27001 nafaqat IT-dan ko'proq narsani qamrab olishga mo'ljallangan.

ISO / IEC 27001 sertifikati doirasida qanday nazorat sinovlari o'tkazilishi sertifikat auditoriga bog'liq. Bunga tashkilotning AXBT doirasida deb hisoblagan har qanday boshqaruvlari kirishi mumkin va ushbu sinov har qanday chuqurlik yoki darajada auditor tomonidan nazorat amalga oshirilganligini va samarali ishlayotganligini tekshirish uchun kerak bo'lganda baholanishi mumkin.

Menejment sertifikatlashtirish maqsadida ISHM hajmini belgilaydi va uni, masalan, bitta biznes bo'linmasi yoki joylashgan joy bilan cheklashi mumkin. ISO / IEC 27001 guvohnomasi, tashkilotning qolgan qismini, ushbu hududdan tashqarida, axborot xavfsizligini boshqarish uchun etarli darajada yondashishni anglatmaydi.

ISO / IEC 27000 standartlar oilasidagi boshqa standartlar, masalan, axborot xavfsizligi xavfini boshqarish (ISO / IEC 27005), ISMSni loyihalash, amalga oshirish va undan foydalanishning ba'zi jihatlari bo'yicha qo'shimcha ko'rsatmalar beradi.

ISMS ISO / IEC 27001 standartlariga muvofiq dunyo bo'ylab bir qator akkreditatsiyalangan ro'yxatga oluvchilar tomonidan sertifikatlanishi mumkin. [6] Akkreditatsiyadan o'tgan sertifikatlashtirish organi tomonidan ISO / IEC 27001 (masalan, JIS Q 27001, yaponcha versiyasi) ning tan olingan milliy variantlaridan har qanday sertifikatlash funktsional jihatdan ISO / IEC 27001 sertifikatiga tengdir.

Ba'zi mamlakatlarda menejment tizimlarining belgilangan standartlarga muvofiqligini tekshiruvchi organlar "sertifikatlashtirish organlari" deb nomlanadi, boshqalarda ular odatda "ro'yxatga olish organlari", "baholash va ro'yxatga olish organlari", "sertifikatlashtirish / ro'yxatga olish organlari", va ba'zan "ro'yxatga oluvchilar".

ISO / IEC 27001 sertifikati [7], boshqa ISO boshqaruv tizimining sertifikatlari singari, odatda ISO / IEC 17021 [8] va ISO / IEC 27006 [9] standartlari bilan belgilangan uch bosqichli tashqi audit jarayonini o'z ichiga oladi:

1-bosqich - bu XMS-ni dastlabki, norasmiy ko'rib chiqish, masalan, tashkilotning axborot xavfsizligi siyosati, Amaliylik to'g'risidagi bayonot (SoA) va Xatarlarni davolash rejasi (RTP) kabi asosiy hujjatlarning mavjudligini va to'liqligini tekshirish. Ushbu bosqich auditorlarni tashkilot bilan tanishtirishga xizmat qiladi va aksincha.

2-bosqich muvofiqlashtirishni batafsilroq va rasmiy tekshiruvi bo'lib, ISO / IEC 27001-da ko'rsatilgan talablarga muvofiq mustaqil ravishda ISMSni sinovdan o'tkazadi. Auditorlar menejment tizimi to'g'ri ishlab chiqilganligi va amalga oshirilganligi va aslida amalda bo'lganligini tasdiqlovchi dalillarni izlaydilar ( masalan, xavfsizlik qo'mitasi yoki shunga o'xshash boshqaruv organi muntazam ravishda AXBTni nazorat qilish uchun yig'ilishini tasdiqlash orqali). Sertifikatlashtirish auditi odatda ISO / IEC 27001 etakchi auditorlari tomonidan o'tkaziladi. Ushbu bosqichdan o'tish ISMS ISO / IEC 27001 standartlariga muvofiqligini tasdiqlaydi.

Doimiy ravishda tashkilotning standartga muvofiqligini tasdiqlash uchun keyingi tekshiruvlar yoki tekshirishlar kiradi. Sertifikatlashtirishni amalga oshirish davri qayta baholash tekshiruvlarini olib borishni talab qiladi, chunki AXBT belgilangan va mo'ljallangan tarzda ishlashni davom ettiradi. Bu kamida har yili sodir bo'lishi kerak, lekin (menejment bilan kelishilgan holda) tez-tez, ayniqsa, AXBT hali pishib yetilayotgan paytda o'tkaziladi.

Matritsa yoki jadvaldan oqibatlar omillarini (aktivlar qiymatini) tahdidning yuzaga kelish ehtimolligi bilan bog'lash uchun (zaifliklar aspektlarini hisobga olib) foydalanilishi mumkin. Birinchi qadam, xavf ostida bo'lgan har bir aktiv uchun, oldindan belgilangan, masalan, 1 dan 5 gacha shkala bo'yicha oqibatlarni baholashdan iborat (1-jadaval, “b” ustun). Ikkinchi qadam, har bir tahdid uchun, oldindan belgilangan, masalan, 1 dan 5 gacha shkala bo'yicha tahdidlarning yuzaga kelish ehtimolligini baholashdan iborat (1-jadaval, “c” ustun). Uchunchi qadam “b” va “c” ustunlarni ko'paytirish (b * c) yo'li bilan, risk o'lchovlarini hisoblab chiqishdan iborat. Nihoyat, tahdidlar risk o'lchoviga mos keladigan tartibda ranjlanishi mumkin. Bu misolda “1” eng kam oqibatlarga va yuxaga kelishning eng past ehtimolligiga to'g'ri kelishini ta'kidlab o'tish zarur.

TAXDID

B- Nosoz elektor uskunalar orqali yong’in kelib chiqishi yoki qasdan o’t qo’yish

C- Ishonchsiz xodimlar

1-jadval. Risklar o'lchovi bo'yicha tahdidlarni ranjirlash

A1 Ma’lumotlarning chiqib ketishi

B1 Natijada qimmatli ma’lumotlarnig yuqotilishi

C1 Natijada oylik ish xaqining kam bo’lganligi va ishdagi xuquqlarning buzulganligi sabab

Zararni kamaytirish

a1 autentifikatsiya va boshqa ximoya vositalari orqali zararni kamaytirish mumkin

b1 yog’inga qarshi extiyot choralari xamda signalzatsiyalar o’rnatish.

c1 xodimlarning ichtimoiy va moddiy kelib chiqshiga qarab Mehnat shartonmasi tuzish.

Risk rejalashtirish

Tarmoqga xujum- psc.uz

Tabiy ofat – yong’in chqishi

Fizik qurilamalarning ishdan chiqishi - bu ish unumdorligi xamda xavfsizlikka taxdid