ISO / IEC 27001: 2013 talablariga o'zgartirishlar. ISO / IEC 27001: 2013 standartining yangi versiyasining asosiy qismidagi o'zgarishlar:
axborot xavfsizligini boshqarish tizimining maqsadlariga qo'yiladigan talablarni aniq shakllantirdi.
xatarlar matnli tavsifi uchun soddalashtirilgan talablar
yuqori rahbariyat tomonidan “Qaldiq risklarni qabul qilish to‘g‘risidagi Nizom”ni chiqarish majburiyati bekor qilindi.
aniq "Qo'llash to'g'risida bayonot - SoA" havolasi o'rnatildi.
“Aktiv egasi” o‘rniga “Tavakkal egasi”ni belgilash tushunchasi va talabini kiritdi.
AXBT monitoringi talablari aniq shakllantirilgan va to'ldirilgan.
axborot xavfsizligini boshqarish tizimining hujjatlari va yozuvlarini boshqarishga qo‘yiladigan talablar soddalashtirildi.
axborot xavfsizligini boshqarish tizimi doirasida aloqa talablari aniq belgilangan.
Asosiy qismdagi eng muhim o'zgarish "Xavf egalari" ni aniqlash talabidir.
ISO / IEC 27001: 2013 A ilovasidagi yangi talablar:
A.6.1.4 Loyiha boshqaruvida axborot xavfsizligi
A.12.6.2 Dasturiy ta'minotni o'rnatishdagi cheklovlar
A.14.2.1 Xavfsiz rivojlanish siyosati
A.14.2.5 Tizimni ishlab chiqish tartiblari
A.14.2.6 Xavfsiz rivojlanish muhiti
A.14.2.8 Tizim xavfsizligi testi
A.15.1.1 Yetkazib beruvchilar o'rtasidagi munosabatlar uchun axborot xavfsizligi siyosati
A.15.1.3 Axborot-kommunikatsiya texnologiyalari ta'minoti zanjiri
A.16.1.4 Axborot xavfsizligi hodisalarini baholash va hal qilish
A.17.1.2 Axborot xavfsizligi uzluksizligini ta'minlash
A.17.2.1 Axborotni qayta ishlash vositalarining mavjudligi
A ilovasida talablar (nazorat) soni 133 tadan 113 taga kamaydi. ISO/IEC 27001 ning A ilovasida ISO 27002 standartidagi bilan bir xil bo‘lgan , lekin unchalik batafsil tavsiflanmagan maqsadlar va boshqaruv elementlari ro‘yxati mavjud. Ilova B AXBT protseduralari va PDCA bosqichlarining Iqtisodiy hamkorlik va taraqqiyot tashkiloti (OECD) tamoyillariga muvofiqligini ko'rsatadigan jadvalni o'z ichiga oladi. Agar kompaniya allaqachon ISO 9001 yoki ISO 14001 standartlarini joriy qilgan bo'lsa, u holda unga ISO 9001, 14001 va 27001 standartlari talablariga muvofiqlik jadvalini o'z ichiga olgan "S" ilovasi kerak bo'ladi .
Sertifikatlash
Tashkilot ushbu standartga muvofiq akkreditatsiyalangan idoralar tomonidan sertifikatlanishi mumkin. Sertifikatlash jarayoni uch bosqichdan iborat:
1-bosqich - axborot xavfsizligini boshqarish tizimining asosiy hujjatlarini auditor tomonidan o'rganish - qo'llanilishi mumkinligi to'g'risidagi bayonot (SoA), xavfni davolash rejasi (RTP) va boshqalar. Tashkilot hududida ham, ushbu hujjatlarni tashqi tashkilotga yuborish orqali ham amalga oshirilishi mumkin. auditor;
2-bosqich - batafsil, chuqur audit, shu jumladan amalga oshirilgan chora-tadbirlarni sinovdan o'tkazish va ularning samaradorligini baholash. Standart talab qiladigan hujjatlarni to'liq o'rganishni o'z ichiga oladi;
3-bosqich - sertifikatlangan tashkilotning belgilangan talablarga javob berishini tasdiqlash uchun nazorat auditini o'tkazish. Vaqti-vaqti bilan amalga oshiriladi.
Menejment tizimini har qanday xalqaro standartlar yoki ularning kombinatsiyasi bo'yicha sertifikatlash tartibi 4 bosqichga bo'linadi:
Boshqaruv tizimlarini sertifikatlashtirishning asosiy bosqichlari va tartibi
ISO 27001 narxi . Xarajat jihatidan ISO 27001 xalqaro standarti bo'yicha ishlab chiqish, joriy etish va sertifikatlash 35 000 dan 60 000 dollargacha o'zgarib turadi.
Xulosa:
Axborot xavfsizligi standartlari axborot xavfsizligini taminlash uchun juda katta imkoniyat yaratib beradi. Xavfsizlik standartlarining asosiy maqsadi axborot texnologiyalari mahsulotlarini ishlab chiqaruvchilar, iste’molchilar va kvalifikatsiyalash bo'yicha ekspertlar orasida o‘zaro aloqani yaratish hisoblanadi. Axborotning qimmatliligi va talab qilinadigan ximoyaning ishonchliligi bir-biri bilan bevosita bogliq. Himoyalash tizimi uzluksiz, rejali, markazlashtirilgan, maqsadli, aniq, ishonchli, kompleksli, oson mukammallashtiriladigan va ko‘rinishi tez o‘zgartiriladigan bo‘lishi kerak. U odatda barcha ekstremal sharoitlarda samarali bo‘lishi zarur.
Foydalanilgan adabiyotlar:
Abduganiev A.A. Internet asoslari.Toshkent. 2011.
Abduganiev A.A. Internet muloqat vositasi. Toshkent. 2011.
Abduganiev A.A. Internetning texnik va texnologik ta’minoti. Toshkent. 2011.
Gerasimenko V.A. «Зашита информатци в aвтоматизировынних системах оброботки данних» Moskva: 1998.