Kontekstni o‘rnatish
Umumiy tahlil. Kirish ma’lumotlari: tashkilot to‘g‘risidagi, axborot xavfsizligi risklarini boshqarish kontekstini o‘rnatish uchun o‘rinli bo‘lgan barcha axborot. Ish: axborot xavfsizligi risklarini boshqarishning tashqi va ichki konteksti o‘rnatilishi kerak, bu, axborot xavfsizligi risklarini boshqarish uchun zarur bo‘lgan asosiy mezonlar o‘rnatilishini (7.2), ish sohalari va chegaralar aniqlanishini (7.3) va axborot xavfsizligi risklarini boshqarishni amalga oshirish uchun tegishli struktura o‘rnatilishini (7.4) ichiga oladi. Amalga oshirish bo‘yicha qo‘llanma: axborot xavfsizligi risklarini boshqarish maqsadini aniqlab olish zarur, chunki u umumiy jarayonga, xususan, kontekstni o‘rnatishga ta’sir qiladi.
Bu maqsad:
- AXBTni qo‘llab-quvvatlash;
- huquqiy muvofiqlik va yetarli e’tiborning isboti;
- biznes uzluksizligini ta’minlash rejasini tayyorlash;
- insidentlarga javob berish rejasini tayyorlash;
- mahsulot, xizmat yoki mexanizm uchun axborot xavfsizligi talablarining tavsifi bo‘lishi mumkin.
AXBTni qo‘llab-quvvatlash uchun zarur bo‘lgan kontekstni o‘rnatish elementlarini amalga oshirish bo‘yicha qo‘llanma 7.2 va 7.4-bo‘limlarda belgilangan. Chiqish ma’lumotlari: Asosiy mezonlar spesifikatsiyasi, ish sohasi va chegaralari, axborot xavfsizligi risklarini boshqarish jarayonining strukturasi.
Risklarni boshqarishga bo‘lgan yondashuv
Qo‘llanish sohasiga va risklarni boshqarish maqsadlariga bog‘liq holda, turli yondashuvlar qo‘llanilishi mumkin. Shuningdek, har bir iteratsiya uchun ham yondashuvlar turlicha bo‘lishi mumkin. Risklarni boshqarishning, rikslarni baholash mezonlari, mezonlarga ta’sir ko‘rsatish, risklarni yo‘l qo‘yishlik mezonlari kabi asosiy mezonlarga yo‘naltirilgan tegishli yondashuv tanlanishi yoki ishlab chiqilishi kerak.
Qo‘shimcha ravishda, tashkilot zarur resurslardan:
- risklarni aniqlash va risklarni qayta ishlash rejasini belgilash uchun;
- siyosatlar va protseduralarni aniqlash va amalga oshirish, jumladan, tanlangan boshqarish vositalarini amalga oshirish uchun;
- monitoringni boshqarish vositalari uchun;
- axborot xavfsizligi risklarini boshqarish jarayoni monitoringi uchun foydalanish mumkinligini baholashi kerak.
Izoh – AXBTni boshqarish va amalga oshirish uchun resurslar bilan ta’minlash to‘g‘risidagi qo‘shimcha axborot O‘z DSt ISO/IEC 27001, 5.2.1-bandda keltirilgan.
Risklarni baholash mezonlari
Tashkilotning axborot xavfsizligi risklarini baholash mezonlari quyidagilar hisobga olingan holda ishlab chiqilishi kerak:
- amaliy faollik to‘g‘risidagi axborotni qayta ishlashning strategik ahamiyati;
- jalb qilingan axborot aktivlarining kritikligi;
- qonunchilik va normativ hujjatlarning talablari, shartnoma majburiyatlari;
- ishlash va biznes uchun qulayligi, konfidensialligi va yaxlitligining muhimligi;
- manfaatdor tomonlarning kutishi va qabul qilishi, shuningdek, obro‘ va sha’ni uchun salbiy oqibatlar.
Bundan tashqari, risklarni baholash mezonlaridan risklarni qayta ishlashda ustuvorliklarni aniqlash uchun foydalanish mumkin.
Risklarni qabul qilish mezonlari
Risklarni qabul qilish mezonlari ishlab chiqilishi va aniqlanishi kerak. Risklarni qabul qilish mezonlari ko‘pincha, tashkilot siyosatiga, vazifalariga, maqsadlariga va manfaatdor tomonlarning manfaatlariga bog‘liq bo‘ladi.
Tashkilot rikslarni qabul qilish darajalari uchun o‘zining shkalalarini aniqlab olishi kerak. Ishlab chiqishda quyidagilarni hisobga olish zarur:
- risklarni qabul qilish mezonlari riskning istalgan maqsadli darajasiga ega ko‘plab chekka qiymatlarni ichiga olishi mumkin, lekin muayyan vaziyatlarda yuqori rahbariyat ko‘rsatilgan darajadan yuqorida turgan risklarni qabul qilishi sharti asosida;
- risklarni qabul qilish mezonlari miqdor jihatdan baholangan foydaning (yoki boshqa biznes foydasining) miqdor jihatdan baholangan riskka bo‘lgan nisbati sifatida ifodalanishi mumkin;
- risklarni qabul qilishning turli mezonlari riskning turli klasslariga nisbatan qo‘llanilishi mumkin, masalan, direktivalar va qonunlarga mos kelmaslik natijasi bo‘lishi mumkin bo‘lgan risklar qabul qilinmaydi, shu vaqtning o‘zida, shartnoma majburiyatlarida belgilangan bo‘lsa, yuqori darajadagi risklar qabul qilinishiga ruxsat etilishi mumkin;
- risklarni qabul qilish mezonlari bo‘lajak qo‘shimcha qayta ishlashga taalluqli talablarni ichiga olishi mumkin, masalan, muayyan vaqt davri doirasida risklarni maqbul darajagacha kamaytirish bo‘yicha ishlarni amalga oshirish tasdiqlansa va rozilik berilsa, risklar qabul qilinishi mumkin.
Risklarni qabul qilish mezonlari quyidagilar hisobga olingan holda o‘rnatilishi kerak:
- biznes mezonlari;
- qonunchilik va normativ hujjatlarning aspektlari;
- operatsiyalar;
- texnologiyalar;
- mablag‘lar;
- ijtimoiy va gumanitar omillar.
Izoh – Risklarni qabul qilish mezonlari O‘z DSt ISO/IEC 27001 (4.2.1, s) sanab
o‘tish, 2)) da belgilangan «risklarni qabul qilish mezonlari va risklarning maqbul
darajasini identifikatsiya qilish» ga mos keladi.
Qo‘llanish sohasi va chegaralari
Tashkilot axborot xavfsizligi risklarini boshqarish chegaralarini va qo‘llanish sohasini aniqlab olishi kerak. Axborot xavfsizligi risklarini boshqarish jarayonining qo‘llanish sohasini barcha ahamiyatli aktivlar riskni aniqlashda hisobga olinishi uchun aniqlash zarur. Bundan tashqari, manbalari bu chegaralardan tashqarida bo‘lishi mumkin bo‘lgan risklarni ko‘rib chiqish uchun, O‘z DSt ISO/IEC 27001, 4.2.1, a) sanab o‘tishga muvofiq, chegaralarni aniqlash zarur.
Tashkilot ishlaydigan muhitni aniqlash uchun tashkilot to‘g‘risidagi axborot va boshqa, axborot xavfsizligi risklarini boshqarish uchun zarur bo‘lgan axborot to‘planishi kerak.
Qo‘llanish sohasi va chegaralarni aniqlashda tashkilot to‘g‘risidagi quyidagi axborot hisobga olinishi kerak:
- tashkilotning, strategiya va siyosatning strategik amaliy maqsadlari;
- biznes-jarayonlar;
- tashkilot strukturasi va funksiyalari;
- tashkilotga qo‘llaniladigan huquqiy, tartibga soluvchi va shartnomaviy talablar;
- tashkilotning axborot xavfsizligi siyosati;
- tashkilotning risklarni boshqarishga umumiy yondashuvi;
- axborot aktivlari;
- tashkilot joylashgan yer va uning geografik xarakteristikalari;
- tashkilotga ta’sir ko‘rsatadigan cheklashlar;
- manfaatdor tomonlarning tilagi;
- ijtimoiy-madaniy muhit;
- interfeyslar (ya’ni, muhit bilan axborot almashinish).
Bundan tashqari, tashkilot qo‘llanish sohasidan bo‘ladigan har bir chiqarib tashlash uchun asos ta’minlanishi kerak.
AT-ilova, AT-infratuzilma, biznes-jarayonlar yoki tashkilotning muayyan qismi risklarni boshqarishning qo‘llanish sohasiga misollar bo‘lishi mumkin.
Izoh – Axborot xavfsizligi risklarini boshqarishning qo‘llanish sohasi va chegaralari O‘z DSt ISO/IEC 27001 4.2.1, a) sanab o‘tishda talab etiladigan AXBTning qo‘llanish sohasi va chegaralari bilan bog‘langan.
Do'stlaringiz bilan baham: |