|
12-amaliy ish
Kibermojaro etikasi. Kiberxuquq sohasiga oid xalqaro standartlar.
Kiberxavfsizlik standartlari tashkilotlami kibertahdidlardan himoya qilish va ulaming kiberxavfsizlik holatini yaxshilash uchun mutaxassislar tomonidan yaratilgan eng yaxshi amaliyotlar to'plamidir.
Kiberxavfsizlik tizimlari, odatda, hajmi, sanoati yoki sektoridan qat'i nazar, barcha tashkilotlar uchun amal qiladi.Ushbu mavzuda har qanday kiberxavfsizlik strategiyasi uchun mustahkam poydevor bo'lgan umumiy kiberxavfsizlik muvofiqligi standartlari batafsil bayon etiladi.Kiberxavfsizlik odamlar, jarayonlar, tizimlar, tarmoqlar va texnologiyalarni puxta muvofiqlashtirishni talab qiladi.
ISO/IEC 27001:2013 (ISO 27001) bu tashkilotlarga axborot aktivlari xavfsizligini boshqarishga yordam beradigan xalqaro standartdir. U barcha korporativ ma'lumotlarning (masalan, moliyaviy ma'lumotlar, intellektual mulk, xodimlar ma'lumotlari yoki uchinchi shaxslar tomonidan boshqariladigan ma'lumotlar) maxfiyligi, yaxlitligi va mavjudligini ta'minlash uchun AXBT (axborot xavfsizligini boshqarish tizimi) ni joriy qilish uchun boshqaruv tizimini taqdim etadi. U 2013 yilda
ISO (Xalqaro standartlashtirish tashkiloti) va IEC (Xalqaro elektrotexnika komissiyasi) tomonidan nashr etilgan va ISO 27000 standartlari oilasiga tegishli. Bu xalqaro miqyosda tan olingan yagona sertifikatlangan axborot xavfsizligi standartidir. ISO 27001
axborot xavfsizligini boshqarish bo'yicha amaliyot kodeksi bilan qo'llab-quvvatlanadi, ISO/IEC 27002:2013, axborot xavfsizligi xavflarini boshqarish uchun axborot xavfsizligi nazoratini qanday amalga oshirishni tushuntiradi.
ISO 27001 sertifikati
sizning tashkilotingiz ma'lumotlarini himoya qilish uchun odamlarga, jarayonlarga
va texnologiyalarga (masalan, asboblar va tizimlar) sarmoya kiritganligini ko'rsatadi va ma'lumotlaringiz yetarli darajada himoyalanganligini mustaqil ekspert baholash imkonini beradi. Sertifikatlash akkreditatsiyalangan
sertifikatlashtirish organi orqali amalga oshiriladi va iste'molchilar, investorlar va boshqa manfaatdor tomonlarga ilg'or xalqaro amaliyotga muvofiq axborot xavfsizligini boshqarayotganligingiz haqida dalillarni taqdim etadi.
ISO 27001 standartini qo‘llash tobora muhim ahamiyat kasb etmoqda, chunki me'yoriy talablar (masalan, GDPR, HIPAA va CCPA ) tashkilotlarga iste'molchi va shaxsiy ma'lumotlarini himoya qilish uchun bosim o'tkazadi. Sertifikatlash sertifikatlashtirish organi tomonidan
tashqi audit o'tkazilgandan so'ng olinishi mumkin. Auditorlar axborot xavfsizligini
boshqarish tizimi standart talablariga javob berishini baholash uchun tashkilot amaliyotlari, siyosatlari va tartiblarini ko'rib chiqadilar.
Sertifikatlash odatda uch yil davom etadi, ammo tashkilotlar doimiy takomillashtirish jarayonining bir qismi sifatida muntazam ichki audit o'tkazishlari kerak.
Sertifikatlangandan so'ng, sertifikatlashtirish organi odatda muvofiqlikni nazorat qilish uchun yillik baholash o'tkazadi.
Axborot xavfsizligini boshqarish tizimi - axborot xavfsizligi xavfining maqbul darajasini ta'minlash maqsadida tashkiliy ma'lumotlarga tavakkalchiliklarni boshqarish uchun siyosatlar, jarayonlar va tizimlar to'plamidan iborat bo'lgan belgilangan, hujjatlashtirilgan boshqaruv tizimi. Doimiy xavflarni baholash nazorat vositalari to'plami orqali boshqarilishi kerak bo'lgan xavfsizlik tahdidlari va zaifliklarini aniqlashga yordam beradi.
ISO 27001 standartiga mos Axborot xavfsizligini boshqarish tizimiga ega bodish tashkilotlarga barcha korporativ ma’lumotlarning maxfiyligi, yaxlitligi va mavjudligini optimallashtirilgan va tejamkor tarzda boshqarishga yordam beradi.
Xatarlarni boshqarish axborot xavfsizligini boshqarish tizimi asoslarini tashkil qiladi. Muntazam xavflarni baholash ma'lum axborot xavfsizligi xavflarini aniqlashga yordam beradi. ISO 27001 axborot xavfsizligi xavflarini boshqarish va kamaytirish uchun qo'llanilishi mumkin bo'lgan boshqaruv vositalari to'plamini tavsiya qiladi.
ISO 27001 axborot xavfsizligi xatarlarini aniqlash, oldini olish va boshqarish uchun asosni ta'minlovchi 114 ta nazoratdan (A ilovasiga kiritilgan va ISO 27002da kengaytirilgan) iborat. ISO/IEC 27001:
2013 boshqaruvlarining qisqacha mazmuni quidagilardan iborat:
> A.5. Axborot xavfsizligi siyosati;
> A.6. Axborot xavfsizligini tashkil etish;
> A.7. Inson resurslari xavfsizligi;
> A.8. Aktivlarni boshqarish;
> A.9. Kirish nazorati;
> A.10. Kriptografiya;
> A.11. Jismoniy va ekologik xavfsizlik;
> A.12 .Operatsion xavfsizlik;
> A.13 .Aloqa xavfsizligi;
> A.14 .Tizimni olish, ishlab chiqish va texnik xizmat ko'rsatish;
> A.15 .Yetkazib beruvchi munosabatlari;
> A.16 .Axborot xavfsizligi hodisalarini boshqarish;
> A.17 .Biznes uzluksizligini boshqarishning axborot xavfsizligi aspektlari;
> A.18 .Muvofiqlik.
Boshqaruv vositalariga qo'shimcha ravishda, ISO 27001 Axborot xavfsizligini boshqarish tizimini joriy etish, boshqarish va doimiy takomillashtirish bo'yicha ko'rsatmalarni ta'minlaydigan 10 ta boshqaruv tizimining bandlaridan iborat:
S 1, 2, 3: Qo'llash sohasi, normativ havolalar, atamalar va ta'riflar;
S 4: Tashkilotning mazmuni;
S 5: Etakchilik;
S 6: Rejalashtirish;
S 7: qo'llab-quvvatlash;
Do'stlaringiz bilan baham: |
