O’zbekiston Respublikasi Axborot Texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi Muhammad Al-Xorazmiy nomidagi Toshkent Axborot Texnologiyalari

ISO/IEC 27005:2018 - Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligi xavfini boshqarish

Download 145,11 Kb. bet 3/3 Sana 15.04.2022 Hajmi 145,11 Kb. #553171

Bu sahifa navigatsiya:

• Static Application Security Testing (SAST)

ISO/IEC 27005:2018 - Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligi xavfini boshqarish. Abstrakt “Ushbu xalqaro standart axborot xavfsizligi risklarini boshqarish bo'yicha ko'rsatmalar beradi. Ushbu xalqaro standart ISO/IEC 27001 standartida koʻrsatilgan umumiy tushunchalarni qoʻllab-quvvatlaydi va xavflarni boshqarish yondashuviga asoslangan axborot xavfsizligini qoniqarli joriy etishga yordam berish uchun moʻljallangan. [Manba: SC27 Doimiy hujjat 11 (2021)] Kirish ISO27k standartlari ochiqdan-ochiq xavf-xatarlarga moslashtirilgan, ya'ni tashkilotlar o'z ma'lumotlari uchun xavflarni (ISO27k standartlarida "axborot xavfsizligi xavflari" deb ataladi) aniqlash va baholashlari kerak, ular bilan turli xil usullarda ("davolash") da'vo sifatida. yo'llari. Ustuvorlik sifatida eng muhim axborot xatarlari bilan kurashish amaliy amalga oshirish va boshqaruv nuqtai nazaridan mantiqiydir. Buni boshdan kechirish, eng muhim xavflarni hal qilishga ustuvor ahamiyat bermaslik boshqaruvdagi muvaffaqiyatsizlik, beparvolik yoki noto'g'ri boshqaruvni anglatadi. Standartning amal qilish doirasi Standart "axborot xavfsizligi risklarini boshqarish bo'yicha ko'rsatmalar beradi" va "ISO/IEC 27001da ko'rsatilgan umumiy tushunchalarni qo'llab-quvvatlaydi va xavflarni boshqarish yondashuvi asosida axborot xavfsizligini qoniqarli amalga oshirishga yordam berish uchun mo'ljallangan." U meʼyoriy (muhim) standart sifatida ISO/IEC 27000 ni keltiradi va kontentda ISO/IEC 27001, ISO/IEC 27002 va ISO 31000 ni eslatib oʻtadi. Bibliografiyada NIST standartlariga havola qilingan. Standartning mazmuni 66 sahifadan iborat boʻlgan ISO/IEC 27005:2018 muhim standart boʻlib, taxminan uchdan ikki qismi misollar va qoʻshimcha maʼlumotlarga ega ilovalardan iborat. Standart xavflarni boshqarishning o'ziga xos usulini belgilamaydi, tavsiya etmaydi va hatto nomlamaydi. Biroq, bu tizimli harakatlar ketma-ketligidan iborat doimiy jarayonni nazarda tutadi, ularning ba'zilari iterativdir: Xatarlarni boshqarish kontekstini (masalan, ko'lami, muvofiqlik majburiyatlari, qo'llanilishi kerak bo'lgan yondashuvlar yoki usullar va tegishli siyosat va mezonlar, masalan, tashkilotning risklarga bardoshliligi yoki ishtahasi) o'rnatish; • Axborot aktivlari, tahdidlar, mavjud nazorat va zaifliklarni hisobga olgan holda, hodisalar yoki hodisalar stsenariylari ehtimolini va agar ular sodir bo'lsa, bashorat qilingan biznes oqibatlarini hisobga olgan holda, tegishli axborot risklarini miqdoriy yoki sifat jihatidan baholash (ya'ni, aniqlash, tahlil qilish va baholash) , “xavf darajasini” aniqlash; • Xavflarni tegishli tarzda davolash (ya'ni [axborot xavfsizligini boshqarish vositalaridan foydalanish], [qabul qilish], saqlab qolish, oldini olish va/yoki [uchinchi shaxslar bilan] baham ko'rish), ularga ustuvorlik berish uchun ushbu "xavf darajasi" dan foydalangan holda; • Jarayon davomida manfaatdor tomonlarni xabardor qilish; va • Xatarlarni, xavflarni davolash usullarini, majburiyatlarni va mezonlarni doimiy ravishda kuzatib borish va ko'rib chiqish, muhim o'zgarishlarni aniqlash va ularga mos ravishda javob berish. Keng qo'shimchalarda qo'shimcha ma'lumotlar, birinchi navbatda tavsiya etilgan yondashuvni ko'rsatadigan misollar mavjud. To'rtinchi nashrda quyidagi asosiy bandlar bo'ladi (odatiy kirish, ta'riflar va boshqalardan tashqari): 5. Axborot xavfsizligi risklarini boshqarish - strategik/uzoq muddatli va operatsion/o'rta-qisqa muddatli davrlarni o'z ichiga oluvchi axborot [xavfsizlik] risklarini aniqlash, baholash va davolashning iterativ (davom etuvchi, "mole") jarayonini tavsiflaydi. . 6. Kontekstni o'rnatish - sarlavhaga qaramay, 6-bandda axborot [xavfsizlik] risklari bilan bog'liq turli mezonlarni qanday aniqlash ko'p jihatdan aniqlangan, masalan. xavfni qabul qilish mezonlari. Tashkilotning axborot xavfi va xavfsizligini boshqarish bo'yicha biznes konteksti 10-bandda yoritilgan. 7. Axborot xavfsizligi tavakkalchiligini baholash jarayoni – yana bir uzun bandda axborot [xavfsizlik] risklarini tizimli ravishda aniqlash, tahlil qilish, baholash va ustuvorliklarini belgilash jarayoni bayon etilgan. 8. Axborot xavfsizligi tavakkalchiligini davolash jarayoni - boshqa davolash usullarining qisqacha va xolisona tavsifi bilan axborot [xavfsizlik] xavflarini kamaytirish uchun axborot xavfsizligini boshqarish vositalaridan foydalanish nuqtai nazaridan xavfni davolashni tavsiflaydi. Standart ISO/IEC 27001:2013 A ilovasidan qanday foydalanish bo'yicha murakkab muammoni hal qiladi, uning ishlatilishini har bir axborot [xavfsizlik] xavf-xatarlari bilan bog'liqligi tekshirilishi mumkin bo'lgan to'liq bo'lmagan boshqarish vositalari sifatida tavsiflaydi. 9. Operatsiya - qisqa bandda axborot [xavfsizlik] xavflari va muolajalari muntazam ravishda yoki o'zgarishlar sodir bo'lganda ko'rib chiqilishi kerakligini eslatib o'tadi. 10. Tegishli AXBT jarayonlaridan foydalanish - bu asosan ISO/IEC 27001 standartini qaytadan xeshlash va kuchaytirish boʻlib, ISO/IEC 27003ga oʻxshash uslubda amalga oshirish boʻyicha maslahatlar beradi. Nima uchun u ISO/IEC 27005ga kiritilganini bilmayman. . Qo'shimchalar - turli vaziyatlarning ehtimoli va ta'sirini birlashtirgan holda xavf "darajalarini" qanday aniqlashni ehtiyotkorlik bilan tushuntirish kabi qo'shimcha ma'lumotlar, shuningdek, tahdidlar va zaiflik turlariga misollar. Standartning holati Birinchi (2008) va ikkinchi (2011) nashrlari qadimiy tarixdir. ISO/IEC 27005 ning uchinchi nashri 2018-yilda chop etilgan - goʻyoki juda cheklangan oʻzgarishlar bilan vaqtinchalik toʻxtash chorasi, masalan. ISO/IEC 27001 ning 2013 yil nashriga tayanib. Uchinchi nashrni qayta ko'rib chiqish/qayta yozish loyihasi g'oyib bo'ldi va bekor qilindi ... keyin qaytadan boshlandi. "27005" ning to'rtinchi nashrini ishlab chiqish davom etmoqda. To'rtinchi nashr 2022 yil oxirida nashr etilishi kerak. To‘rtinchi nashr “Xalqaro standart” loyihasi bosqichida bo‘lib, yangi nom bilan: “Axborot texnologiyalari – Axborot xavfsizligi, kiberxavfsizlik va maxfiylikni himoya qilish – Axborot xavfsizligi xatarlarini boshqarish bo‘yicha qo‘llanma” va yangi yangi qamrov: “Ushbu hujjat tashkilotlarga quyidagilarga yordam berish bo'yicha ko'rsatmalar beradi: - xavflarni bartaraf etish bo'yicha harakatlarga oid ISO/IEC 27001:2013 talablarini bajarish; va - axborot xavfsizligi risklarini boshqarish, xususan, axborot xavfsizligi xavfini baholash va davolash bo'yicha faoliyatni amalga oshirish. Qo'shimcha o'qish ISO27k tez-tez so'raladigan savollar bo'limida ma'lumotlar xavfini tahlil qilish usullari va boshqaruv vositalarini tanlash haqida ko'proq o'qing. Shaxsiy sharhlar Barcha ISO27k yondashuvi xavf-xatarlarga moslashtirilganligini hisobga olsak, axborot risklarini aniqlash, baholash va davolash asosiy hisoblanadi. ISO/IEC 27005 ning to‘rtinchi nashri ISO/IEC 27002 va keyin ISO/IEC 27001 ning keyingi nashri bilan bir vaqtda nashr etilishi kerak. “27005” tahriri yangilangan AXBT spetsifikatsiyasini va qayta yozilgan ilovani qo‘llab-quvvatlash uchun mo‘ljallangan edi. Boshqaruvlar katalogi ... lekin '27005 qayta ko'rib chiqish loyihasidagi jiddiy muammolar va kechikishlar to'rtinchi nashrda ushbu standartlarning oldingi (2013) versiyalaridan iqtibos keltirilishini anglatadi va bu uni nashr etmasdan oldin eskirgan. Qanday tartibsizlik, bema'nilik! Hech bo'lmaganda "27005" ning keyingi nashri chiqqunga qadar, xavfga asoslangan ISO27k standartlari ma'lumot risklarini boshqarish bo'yicha aniq, dolzarb (agar eng so'nggi bo'lmasa) standartsiz qolib, to'plamni tubdan nuqsonli qoldiradi. SC 27 axborot tavakkalchiligini boshqarish uchun ushbu standartni qayta ko'rib chiqish imkoniyatini qo'ldan boy berdi va "axborot xavfi" ni "axborotga oid xavf" sifatida aniqlanmagan, foydasiz va ochiqchasiga chalg'ituvchi "axborot xavfsizligi xavfi" iborasi o'rniga "axborotga tegishli xavf" deb ta'riflaydi. Ushbu standart foydali maslahatlar berishi mumkin bo'lgan ko'plab sohalar mavjud. Agar u meniki bo'lsa, men qayta yozardim Ushbu standart foydali maslahatlar berishi mumkin bo'lgan ko'plab sohalar mavjud. Agar u meniki bo'lsa, men "27005" ni noldan qayta yozgan bo'lardim: • Yangi boshlanuvchilar uchun “axborot xavfi” nima ekanligini tushuntiring - uni rasmiy (to'g'ri), aniq, foydali va qiynoqqa solmasdan va hozirgi g'alati gaplarsiz ta'riflang, so'ngra uni yanada qulayroq va tushunarliroq so'zlar bilan tushuntiring; • Axborot tavakkalchiligini boshqarish uchun tashkiliy/biznes kontekstini belgilang - uning boshqa xavf turlarini boshqarish bilan qanday bog'liqligi va risklarni boshqarish tashkilotning strategik/biznes maqsadlariga erishishni qo'llab-quvvatlash va imkon berish bilan birga tashkilot boshqaruvi va boshqaruvini qanday qo'llab-quvvatlashi; • Xatarlarni boshqarishning asosiy jarayonini taxminan quyidagi yoʻnalishlar boʻyicha tavsiflang: • Tegishli usul va yondashuvlar bo'yicha pragmatik maslahatlar berib, ushbu 8 asosiy faoliyatning har birini chuqurroq ishlab chiqing (masalan, xavfni davolashning to'rtta usuli; xavflarni qanday o'lchash, baholash va solishtirish; o'zgarishlarni qanday aniqlash va ularga munosabat bildirish va qanday qilib tendentsiyalar, statistik usullar va vaziyatdan xabardorlikdan foydalangan holda o'zgarishlarni bashorat qilish); Static Application Security Testing (SAST) Download 145,11 Kb. Do'stlaringiz bilan baham: