Xavfsizlik va nazorat uchun tashkiliy tuzilmaning mavjud komponentlari

Agar qanday qilib, qaerda va to‘g‘ri ishlatishni bilmasangiz hatto eng yaxshi xavfsizlik vositalari ishonchli va xavfsiz bo‘la olmaydilar. Siz kompaniyangiz axborot tizimi ustidan nazoratni amalga oshirish uchun qachon va qaerda tavakkal qilayotganini bilishingiz lozim. Shuningdek, agar axborot tizimlaringiz ishchi holatda bo‘lmasa biznesingizni qo‘llab-quvvatlash uchun xavfsizlik rejasi va siyosatini ishlab chiqishingiz zarur.

Boshqaruvning axborot vositalari boshqaruvning umumiy vositalaridan tarkib topgan bo‘lib, ular qo‘lda yoki avtomatlashgan tarzda boshqarilishi mumkin. Boshqaruvning umumiy vositalari kompyuter dasturlaridan va ma’lumotlar joylashtirilgan fayllardan xavfsiz foydalanishni boshqaradilar. Umuman olganda, boshqaruvning umumiy vositalari barcha kompyuterlashgan ilovalarda qo‘llaniladi va atrof muhit ustidan umumiy nazoratni amalga oshiradigan apparat vositalari, dasturiy ta’minot hamda qo‘lda bajariladigan tartibotlardan iborat.

Boshqaruvning umumiy vositalari o‘z ichiga dasturiy ta’minotni boshqarish vositalarini, boshqaruvning apparat vositalarini, ma’lumotlar xavfsizligini boshqarishni, tizimli jarayonlar ustidan nazoratni va ma’muriy nazoratni oladi. 8.4-jadvalda boshqaruvning ana shu elementlari bajaradigan funktsiyalar ko‘rsatilgan.

Nazorat amaliy vositalari har bir qo‘llanish uchun, masalan to‘lov vedomosti yoki buyurtmalarni ishlash uchun noyob va o‘ziga xos xususiyatga ega. Ularning tarkidida ham avtomatlashtirilgan, ham qo‘lda bajariladigan tartibotlar bo‘lib, ular ana shu ilova yordamida faqat tasdiqlangan ma’lumotlar to‘liq va aniq ishlanganini kafolatlaydilar. Nazoratning amaliy vositalarini kirishni boshqaruvchi elementlarga (1), ishlov berishni boshqarish elementlariga (2) va (3)chiqayotgan ma’lumotlarni boshqaruvchi elementlarga toifalash mumkin.

Kirishni boshqarish elementlari tizimga kirishda ma’lumotlar aniq va to‘liq bo‘lishini tekshiradilar. Ma’lumotlarni o‘zgartirish, tahrir qilish va xatolarni tuzatish uchun maxsus kirish vositalari qo‘llaniladi.

Qaysi vositalardan foydalanish bo‘yicha qaror qabul qilish uchun loyihachilar barcha qo‘llanilishi mumkin bo‘lgan texnologiyalarni o‘rganib chiqishlari va ularning iqtisodiy samaradorligini taqqolashlari lozim. Bir joydagi zaif nazorat boshqa joydagi kuchli nazorat bilan kompensatsyai qilinishi mumkin. Barcha muammoli sohalarda, agar u erda boshqarishning boshqa vositalari qo‘llanilayotgan bo‘lsa, nazoratni kuchaytirish maqsadga muvofiq bo‘lmasligi ham mumkin. Biron-bir alohida ilova uchun boshqarish vositalarining kombinatsiyasi uning boshqarish tuzilmasini shakllantiradi.

O‘z tizimlaringiz uchun asosiy xavflarni aniqlaganingizdan keyin, Sizning kompaniyangiz o‘z aktivlarini himoya qilishga qaratilgan siyosatni rivojlantira boshlaydi. Xavfsizlik siyosati xavfsizlik bo‘yicha oqilona maqsadlarni va bu maqsadlarga erishish mexanizmlarini aniqlagan holda axborot xavflarini baholovchi yo‘nalishlardan iborat bo‘ladi. Firma uchun eng muhim hisoblangan axborotning aktivlari qaysi? Firmada ana shu axborotni kim ishlab chiqadi va boshqaradi? Axborotni himoya qilishga qaratilgan qanday xavfsizlik siyosati mavjud va qo‘llaniladi? Boshqaruv xavfning qaysi toifasini aktivlarning har biri uchun qabul qilishga tayyor? Masalan, kredit haqidagi foydalanuvchilar ma’lumotlarini 10 yilda bir marta yo‘qotishga tayyormi? Yoki 100 yilda bir marta yo‘qotilishi mumkin bo‘lgan kredit kartasi ma’lumotlari uchun xavfsizlik tizimini ishlab chiqasizlarmi? Boshqaruv bu tadbir uchun qancha mablag‘ sarflanishini hisoblab chiqishi va baholashi zarur.

Xavfsizlik siyosati firmaning axborot resurslaridan oqilona foydalanishning boshqa variantlarini belgilovchi qoidalarni va kompaniyaning qaysi ishtirokchilarida aktivlardan foydalanish huquqi bor ekanini aniqlaydi. Oqilona foydalanish siyosati (OFS) firma axborot resurslari va hisoblash texnikasi, jumladan kompyuterlar, noutbuklar, simziz qurilmalar, telefon va Internetning oqilona qo‘llanishini belgilab beradi.

Xavfsizlik siyosati maxfiylik, foydalanuvchilarning mas’uliyati va kompaniya uskunalari va tarmoqlaridan foydalanishning asosiy printsiplarini izohlab berishi zarur. Yaxshi OFS har bir foydalanuvchi uchun yo‘l qo‘ib bo‘lmaydigan va oqilona harakatlarni hamda rioya qilmaslik oqibatlarini belgilab beradi. Masalan, xalq iste’moli tovarlarini ishlab chiqaruvchi ulkan Unilever kompaniyasida qabul qilingan xavfsizlik siyosati har bir xodim kompaniya tomonidan joriy etilgan qurilmadan foydalanishini va korporativ tarmoqdan ro‘yxatdan o‘tib, parol yoki identifikatsiyaning boshqa usulidan foydalanishni talab qiladi

. Xavfsizlik siyosati, shuningdek, identifikatsiya ma’lumotlarini boshqarish uchun shartlarni ham belgilab beradi. Boshqaruvning identifikatsiya ma’lumotlari biznes-jarayonlardan, tizimdan foydalanish huquqiga ega bo‘lgan foydalanuvchilar uchun dasturiy vositalar va ularni tizimli resurslardan foydalanishini boshqarishdan iborat.Undan tashqrari, xavfsizlik siyosati tarkibiga identifikatsiya ma’lumotlarini boshqarish uchun shartlar ham kiradi. Bu shartlar tizimdan foydalanuvchilarning turli toifalari identifikatsiyasi va avtorizatsiyasini, har bir foydalanuvchi uchun qaysi tizimlarga yoki tizimlarning qismlariga qirish mumkin ekanini, foydalanuvchilar autentifikatsiyasi va ularning indentifikatsiya ma’lumotlarini himoya qilish uchun jarayonlar va texnologiyalarni qamrab oladi.

Siz biznesni boshqarayapsiz, demak, Siz kompaniyangizdagi axborot tizimi va biznesingiz ishlashiga to‘sqinlik qilishi mumkin bo‘lganelektr energiyasining uzilishi, suv toshqini, zilzila yoki terroristik hujumlar kabi hodisalarni ham rejalashtirishingiz kerak. Avariyaviy tiklanishni rejalashtirishda hisoblash texnikasi va kommunikatsiya xizmatlarini tiklash rejasi ishlab chiqiladi. Avariyaviy vaziyatda bajariladigan ishlarning rejalari, birinchi navbatda, texnik muammolarga, masalan, zaxira nusxa ko‘chirish fayllariga xizmat ko‘rsatishga va kompyuter tizimlari yoki avariyaviy tiklanish xizmatlariga qaratiladi.

Misol uchun, MasterCard kompaniyasi Sent-Luisdagi o‘ta ishonchli zaxira nusxasiga ega hisoblash markazi bilan birga Kanzas-siti shahridagi (Missuri shtati) ikkita hisoblash markazini qo‘llab-quvvatlaydi. Aksariyat firmalar o‘zlarining zaxira nusxa ko‘chirish resurslarini yaratish o‘rniga SunGard xizmatining Comdisco kabi avariyaviy tiklanish va foydalanish bo‘yicha xizmat ko‘rsatishga ixtisoslashgan firmalar bilan kontrakt tuzadilar. Bu firmalar mamlakatning turli shtatlarida avariyaviy tiklanish xizmatlarini ko‘rsatish uchun tashkilotlarni zaxira kompyuterlar bilan ta’minlaydilar, ular bilan kontrakt tuzgan tashkilotlar favqulodda vaziyatlarda kerakli ilovalarni ishga tushirish imkoniyatiga egalar. Masalan, neft va gaz operatsiyalari uchun kimyoviy moddalar etkazib berish bilan shug‘ullanuvchi ChampionTechnologies kompaniyasi o‘zining Xyustondan to Skottsdeyl shahridagi (Arizona shtati) axborot markazigacha bo‘lgan korporativ tizimlarini ikki soat davomida zaxira tizimiga ulashi mumkin.

Biznes uzluksizligini rejalashtirishda asosiy e’tibor kompaniya biron halokatdan keyin o‘zining biznes operatsiyalarini eng qisqa muddatlarda tiklashiga qaratiladi. Biznes uzluksizligini ta’minlash bo‘yicha ishlab chiqilgan reja favqulodda biznes-jarayonlar va eng muhim operatsiyalar amalga oshirilishining ketma-ketligini belgilab beradi. Masalan, dunyoning 74 mamlakatida investitsion banking va aktivlarni boshqarish bo‘yicha xizmatlarni ko‘rsatuvchi DeutscheBank da biznes uzluksizligini ta’minlash bo‘yicha doimiy ravishda yangilanib, takomillashtiriladigan juda kuchli reja mavjud. Ushbu reja Singapur, Gonkong, Yaponiya, Hindiston va Avstraliyada qo‘llab-quvvatlanib, kompaniya istalgan favqulodda vaziyatlarida ishlashini rejalarni muvofiqlashtirish orqali ta’minlaydi. DeutscheBank rejasiga ko‘ra jarayonlar kundalik faoliyat uchun va inqirozli vaziyatlar uchun ajratilgan bo‘lib, favqulodda vaziyatlar oqibatida ko‘rilgan talofatlarni bartaraf qilishga muvofiqlashtirilgan.

Biznes-menejerlar va axborot texnolgiyalar bo‘yicha mutaxassislar yaqindan hamkorlik qilishlari va qaysi tizimlar ham biznes-jarayonlar kompaniya uchun eng muhim va ahamiyatli ekanini aniqlashlari lozim. Boshqaruv esa, biznesni tiklash uchun qancha vaqt zarur ekanini va biznesning qaysi qismlari birinchi navbatda tiklanishi zarur ekanini belgilashi kerak.

Kompaniya rahbariyati axborot tizimlarini nazorat qilish vositalari etarlicha samarali ishlayotganiga qay tarzda ishonch hosil qilishi mumkin? Bu savolga javob berish uchun tizimli ravishda puxta audit o‘tkazilishi lozim. Axborot tizimlari boshqarilishining auditi ularning barcha nazorat vositalarini identifikatsiyasi va samaradorligi baholashdan iborat. Tekshiruvni bajarayotgan xodim barcha biznes-jarayonlar, uskunalar, kommunikatsiya tizimlari, xavfsizlik qoidalari, nazorat tizimlari, tashkiliy tuzilma, xodimlar, qo‘lda bajariladigan tartibotlar va alohida dasturiy ilovalar to‘g‘risida to‘liq ma’lumotga ega bo‘lishi kerak.

Auditor, odatda, axborot tizimlari bilan ishlayotgan xodimlar orasida so‘rov o‘tkazib, ularning funktsiyalari va ular bajarayotgan tartibotlarni aniqlaydi. Bunda ilovalar nazorati, nazoratning umumiy to‘liqligi va xavfsizlik nazoratiga alohida etibor beriladi.

Auditor sinov tranzaktsiyalarni qo‘llab turib, ular asosida, agar imkoniyat bo‘lsa, avtomatlashtirilgan tekshiruvdasturlaridan foydalangan holda bir qator testlarni o‘tkazadi. Audit jarayoni nazoratning barcha zaif tomonlarini aniqlab beradi va ularning salbiy oqibatlariehtimolligini baholaydi. Shundan keyin har bir tahdid uchun ehtimoliy zarar aniqlanadi. 8.4-rasmda kredit tizimining tekshiruv natijasida aniqlangan zaif joylarining ro‘yxati keltirilgan. Ushbu ro‘yxatda korxona rahbariyati va uning takliflari uchun mo‘ljallangan bo‘lim bor. Rahbarlar tizimning barcha jiddiy zaif joylari hisobga olingan tegishli rejani ishlab chiqishlari lozim.