Müraciət etmək​

ISO 27001

İnformasiya texnologiyaları. Təhlükəsizlik üsulları. İnformasiya təhlükəsizliyi idarəetmə sistemləri. Baxış-icmal

 

Beynəlxalq İdarəetmə Sistemi Standartları idarəetmə sisteminin qurulması və istismarı zamanı izləniləcək bir modeli təmin edir. Bu model, bu sahədə mütəxəssislərin beynəlxalq səviyyədə ən yüksək səviyyəli olduğunu qəbul etdikləri xüsusiyyətləri ehtiva edir. ISO/IEC JTC 1/SC 27, informasiya təhlükəsizliyi idarəetmə sistemi (ITIS) standartlar ailəsi kimi də tanınan beynəlxalq informasiya təhlükəsizliyi idarəetmə sistemi standartlarının hazırlanmasına həsr olunmuş ekspert komitəsini dəstəkləyir. ITIS standartları ailəsindən istifadə edərək təşkilatlar maliyyə məlumatları, əqli mülkiyyət və işçi məlumatları, habelə müştərilər və ya üçüncü tərəflər tərəfindən onlara həvalə edilmiş məlumat daxil olmaqla, öz məlumat aktivlərinin təhlükəsizliyinin idarə edilməsi üçün mühit hazırlayıb həyata keçirə bilər. Bu standartlar həmçinin informasiya təhlükəsizliyinə tətbiq edilən ITIS-in müstəqil qiymətləndirilməsinə hazırlamaq üçün istifadə oluna bilər.

ITIS standartları ailəsinə aşağıdakılara imkan verən standartlar daxildir:

а) ITIS-ə və belə sistemləri sertifikatlaşdıran şəxslərə olan tələbləri müəyyən etmək;

  1. b) ITIS-nin yaradılması, həyata keçirilməsi, saxlanılması və təkmilləşdirilməsi üzrə bütün prosesin birbaşa dəstəyi, ətraflı təlimatı və/və ya şərhini təmin etmək;
  2. c) ITIS üzrə sənaye tövsiyələrini nəzərə almaq;
  3. d) ITIS uyğunluğunun qiymətləndirilməsi ünvanı.

Burada informasiya təhlükəsizliyinin idarə edilməsi sistemlərinin (ITIS) icmalı verilmişdir. O, həmçinin ITIS standartları ailəsində ümumi istifadə olunan terminləri və tərifləri təqdim edir. Bu sənəd bütün növ və ölçülü təşkilatlara (məsələn, kommersiya müəssisələri, dövlət qurumları, qeyri-kommersiya təşkilatları) aiddir.

Bu sənəddə təqdim olunan terminlər və təriflər ITIS standartları ailəsində tez-tez istifadə olunan termin və tərifləri əhatə edir.

İnformasiyanı toplayan, emal edən, saxlayan və ötürən bütün növ və ölçülərdə olan təşkilatlar məlumatın və onunla əlaqəli proseslərin, sistemlərin, şəbəkələrin və insanların təşkilati məqsədlərə nail olmaq üçün vacib aktivlər olduğunu qəbul etməlidirlər. Bu cür təşkilatlar aktivlərinin fəaliyyətinə təsir göstərə biləcək bir sıra risklərlə üzləşirlər. Buna görə də, onlar informasiya təhlükəsizliyinə nəzarət tədbirləri həyata keçirməklə qəbul edilən riskə məruz qalmağı aradan qaldırmalıdırlar.

Təşkilat tərəfindən saxlanılan və emal edilən bütün məlumatlar hücum, səhv, təbii fəlakətlər (məsələn, daşqın və ya yanğın) və s. təhlükələrinə məruz qalır və onun istifadəsinə xas olan zəifliklərə məruz qalır. “İnformasiya təhlükəsizliyi” termini ümumiyyətlə məlumatın, məsələn, əlçatanlığın, məxfiliyin və bütövlüyün itirilməsinə qarşı müvafiq qorunma tələb edən dəyər aktivi kimi baxılması ideyasına əsaslanır. Səlahiyyətli ehtiyacı olanlara dəqiq və dolğun məlumatlara vaxtında çıxışın təmin edilməsi biznes fəaliyyəti üçün katalizatordur.

İnformasiya təhlükəsizliyini effektiv şəkildə müəyyənləşdirmək, əldə etmək, saxlamaq və təkmilləşdirmək yolu ilə informasiya aktivlərinin qorunması təşkilatın məqsədlərinə çatması, uyğunluğunu və imicini qorumaq və yaxşılaşdırmaq üçün zəruridir. Müvafiq nəzarətləri həyata keçirmək və qəbuledilməz informasiya təhlükəsizliyi risklərini aradan qaldırmaq üçün bu əlaqələndirilmiş səylər adətən informasiya təhlükəsizliyinə nəzarət kimi tanınır.

İnformasiya təhlükəsizliyi riskləri və nəzarətin effektivliyi dəyişən şəraitə görə dəyişdiyinə görə təşkilatlar:

а) həyata keçirilən nəzarət və prosedurların effektivliyinə nəzarət etmək və qiymətləndirmək;

  1. b) yaranan riskləri müəyyən etmək və aradan qaldırmaq;
  2. c) zəruri hallarda müvafiq nəzarət vasitələrini seçin, həyata keçirin və təkmilləşdirin.

Bu cür informasiya təhlükəsizliyi fəaliyyətləri ilə əməkdaşlıq etmək və əlaqələndirmək üçün hər bir təşkilat öz informasiya təhlükəsizliyi siyasətlərini və məqsədlərini yaratmalı və idarəetmə sistemi vasitəsilə bu məqsədlərə effektiv şəkildə nail olmalıdır.

 

ITIS icmalı və prinsipləri

 

ITIS öz məlumat aktivlərini qorumaq üçün təşkilat tərəfindən birgə idarə olunan siyasətlər, prosedurlar, təlimatlar və əlaqəli resurslardan və fəaliyyətlərdən ibarətdir.

ITIS biznes məqsədlərinə çatmaq üçün təşkilatın informasiya təhlükəsizliyinin yaradılması, həyata keçirilməsi, istismarı, monitorinqi, təhlili və saxlanması və təkmilləşdirilməsinə sistemli yanaşmadır. O, risklərin qiymətləndirilməsinə və riskləri effektiv idarə etmək və idarə etmək üçün nəzərdə tutulmuş təşkilatın risk qəbul etmə səviyyələrinə əsaslanır. İnformasiya aktivlərinin qorunması üçün tələblərin təhlili və zəruri hallarda bu informasiya aktivlərinin mühafizəsini təmin etmək üçün müvafiq nəzarətin tətbiqi ITIS-nin uğurla həyata keçirilməsinə kömək edir.

Aşağıdakı əsas prinsiplər ITIS-nin uğurla həyata keçirilməsinə kömək edir:

  1. a) informasiya təhlükəsizliyinin təmin edilməsi zərurətinin dərk edilməsi;
  2. b) informasiya təhlükəsizliyi üzrə vəzifələrin bölüşdürülməsi;
  3. c) rəhbərliyin öhdəliklərinin və maraqlı tərəflərin maraqlarının nəzərə alınması;
  4. d) sosial dəyərlərin artırılması;
  5. e) məqbul risk səviyyələrinə nail olmaq üçün müvafiq nəzarət tədbirlərini müəyyən edən risk qiymətləndirmələri;
  6. f) təhlükəsizlik informasiya şəbəkələri və sistemlərinin mühüm elementi kimi daxil edilir;
  7. g) informasiya təhlükəsizliyi insidentlərinin proaktiv qarşısının alınması və aşkar edilməsi;
  8. h) informasiya təhlükəsizliyinin idarə edilməsinə kompleks yanaşmanın təmin edilməsi;
  9. i) informasiya təhlükəsizliyini davamlı olaraq yenidən qiymətləndirmək və lazımi dəyişikliklər etmək.

İnformasiya

İnformasiya, digər kritik biznes aktivləri kimi, təşkilatın biznesi üçün mühüm əhəmiyyət kəsb edən aktivdir və buna görə də müvafiq olaraq qorunmalıdır. Məlumat bir çox formada saxlanıla bilər, o cümlədən: rəqəmsal forma (məsələn, elektron və ya optik daşıyıcıda saxlanılan məlumat faylları), maddi forma (məsələn, kağız) və işçi bilikləri şəklində təmsil olunmayan məlumatlar. Məlumat müxtəlif yollarla ötürülə bilər, o cümlədən: kuryer, elektron və ya şifahi ünsiyyət. İnformasiyanın hansı formada alınmasından və ya necə ötürülməsindən asılı olmayaraq, onun həmişə müvafiq mühafizəyə ehtiyacı var.

Bir çox təşkilatlarda informasiya informasiya və kommunikasiya texnologiyalarından asılıdır. Bu texnologiya çox vaxt təşkilatda mühüm elementdir və məlumatın yaradılmasını, işlənməsini, saxlanmasını, ötürülməsini, qorunmasını və məhv edilməsini asanlaşdırmağa kömək edir.

 

İnformasiya təhlükəsizliyi

İnformasiya təhlükəsizliyi məlumatın məxfiliyini, əlçatanlığını və bütövlüyünü təmin edir. İnformasiya təhlükəsizliyi biznesin davamlı uğurunu və davamlılığını təmin etmək və informasiya təhlükəsizliyi insidentlərinin təsirini minimuma endirmək üçün geniş spektrli təhdidlərin nəzərə alınmasını əhatə edən müvafiq nəzarət vasitələrinin tətbiqi və idarə edilməsini əhatə edir.

İnformasiya təhlükəsizliyi seçilmiş risklərin idarə edilməsi prosesi çərçivəsində seçilmiş və müəyyən edilmiş informasiya aktivlərini qorumaq üçün siyasətlər, proseslər, prosedurlar, təşkilati strukturlar, proqram təminatı və avadanlıqlar daxil olmaqla, ITIS-dən istifadə etməklə idarə olunan müvafiq nəzarət vasitələrinin həyata keçirilməsi yolu ilə əldə edilir. Təşkilatın xüsusi informasiya təhlükəsizliyi və biznes məqsədlərinə nail olunmasını təmin etmək üçün bu nəzarətlər müəyyən edilməli, həyata keçirilməli, monitorinq edilməli, nəzərdən keçirilməli və zəruri hallarda təkmilləşdirilməlidir. Müvafiq informasiya təhlükəsizliyi nəzarətinin təşkilatın biznes proseslərinə asanlıqla inteqrasiyası gözlənilir.

Nəzarət

İdarəetmə müvafiq strukturlar daxilində təşkilatı idarə etmək, nəzarət etmək və davamlı olaraq təkmilləşdirmək üçün fəaliyyətləri əhatə edir. İdarəetmə fəaliyyətlərinə resursların təşkili, istiqamətləndirilməsi, istiqamətləndirilməsi, nəzarəti və monitorinqi fəaliyyətləri, metodları və ya təcrübələri daxildir. İdarəetmə strukturları kiçik bir təşkilatda bir nəfərdən tutmuş, böyük təşkilatlarda çoxlu insanlardan ibarət idarəetmə iyerarxiyasına qədər dəyişir.

ITIS nöqteyi-nəzərindən idarəetmə, təşkilatın məlumat aktivlərini qorumaqla biznes məqsədlərinə nail olmaq üçün zəruri olan nəzarəti və qərarların qəbulunu əhatə edir. İnformasiya təhlükəsizliyinin idarə edilməsi informasiya təhlükəsizliyi siyasətlərinin, prosedurlarının və təlimatlarının formalaşdırılması və istifadəsi yolu ilə ifadə edilir və daha sonra təşkilatla əlaqəli bütün şəxslər tərəfindən bütün təşkilatda tətbiq edilir.

Nəzarət sistemi

İdarəetmə sistemi təşkilatın məqsədlərinə çatmaq üçün resursların strukturundan istifadə edir. İdarəetmə sisteminə təşkilati struktur, siyasət, fəaliyyət planlaması, məsuliyyətlər, təcrübələr, prosedurlar, proseslər və resurslar daxildir.

İnformasiya təhlükəsizliyi baxımından idarəetmə sistemi təşkilata imkan verir:

  1. a) müştərilərin və digər maraqlı tərəflərin informasiya təhlükəsizliyi tələblərini təmin etmək;
  2. b) təşkilatın planlarını və fəaliyyətini təkmilləşdirmək;
  3. c) təşkilatın informasiya təhlükəsizliyi məqsədlərinə uyğun olmalıdır;
  4. d) qaydalara, qanunvericiliyə və sənaye tələblərinə riayət etmək; Və
  5. e) cari təşkilati məqsədlərin davamlı təkmilləşməsinə və tənzimlənməsinə kömək edən mütəşəkkil şəkildə informasiya aktivlərini idarə etmək.

Prosesə yanaşma

Təşkilatlar effektiv və səmərəli fəaliyyət göstərmək üçün bir çox fəaliyyətləri müəyyən etməli və idarə etməlidirlər. Resurslardan istifadə edən hər hansı fəaliyyət, bir-biri ilə əlaqəli və ya qarşılıqlı fəaliyyətlər toplusundan istifadə etməklə daxilolmaların nəticələrə çevrilməsini təmin etmək üçün idarə edilməlidir; bu proses kimi də tanınır. Bir prosesin çıxışı birbaşa digər prosesin girişini təşkil edə bilər və bu transformasiya adətən planlaşdırılmış və idarə olunan şəraitdə həyata keçirilir. Təşkilat daxilində proseslər sisteminin tətbiqi, bu proseslərin identifikasiyası, qarşılıqlı əlaqəsi və idarə edilməsi ilə birlikdə “proses yanaşması” adlandırıla bilər.

ITIS-in əhəmiyyəti

Təşkilatın informasiya aktivləri ilə bağlı risklər nəzərə alınmalıdır. İnformasiya təhlükəsizliyinə nail olmaq risklərin idarə edilməsini tələb edir və təşkilat daxilində və ya istifadə etdiyi bütün məlumat formaları ilə əlaqəli fiziki, insan və texnoloji təhlükələrlə bağlı riskləri əhatə edir.

ITIS-in tətbiqinin təşkilat üçün strateji bir qərar olması gözlənilir və həllin təşkilatın ehtiyaclarına uyğun olaraq asanlıqla inteqrasiya oluna, miqyaslana və yenilənməsinə ehtiyac var.

Təşkilatın ITIS-nin dizaynı və tətbiqi təşkilatın ehtiyacları və məqsədləri, təhlükəsizlik tələbləri, istifadə olunan biznes prosesləri, təşkilatın ölçüsü və strukturundan təsirlənir. ITIS-nin dizaynı və istismarı təşkilatın bütün maraqlı tərəflərinin, o cümlədən müştərilərin, təchizatçıların, biznes tərəfdaşlarının, səhmdarların və digər müvafiq üçüncü tərəflərin maraqlarını və informasiya təhlükəsizliyi tələblərini əks etdirməlidir.

Bir-biri ilə əlaqəli dünyada məlumat və onunla əlaqəli proseslər, sistemlər və şəbəkələr kritik biznes aktivləridir. Təşkilatlar və onların informasiya sistemləri və şəbəkələri kompüter fırıldaqçılığı, casusluq, təxribat, vandalizm, yanğın və daşqın da daxil olmaqla müxtəlif mənbələrdən gələn təhlükəsizlik təhdidləri ilə üzləşirlər. Zərərli kodun səbəb olduğu informasiya sistemlərinə və şəbəkələrə ziyan vurması, kompüterin sındırılması və xidmətdən imtina hücumlarının getdikcə daha çox yayılmış hal alması ilə ITIS həm dövlət, həm də özəl sektor müəssisələri üçün vacibdir. İstənilən sənayedə ITIS e-biznesin dəstəklənməsi vasitəsidir və risklərin idarə edilməsi fəaliyyətləri üçün vacibdir. İctimai və özəl şəbəkələrin qarşılıqlı əlaqəsi və informasiya aktivlərinin paylaşılması informasiyanın əldə edilməsinə və emalına nəzarəti çətinləşdirir. Bundan əlavə, informasiya aktivləri olan mobil saxlama cihazlarının çoxalması ənənəvi nəzarətin effektivliyini zəiflədə bilər. Təşkilatlar ITIS standartları ailəsini qəbul etdikdə, ardıcıl və qarşılıqlı qəbul edilən informasiya təhlükəsizliyi prinsiplərini tətbiq etmək bacarığı biznes tərəfdaşlarına və digər maraqlı tərəflərə nümayiş etdirilə bilər.

İnformasiya sistemlərinin layihələndirilməsi və işlənib hazırlanması zamanı informasiya təhlükəsizliyi heç də həmişə nəzərə alınmır. Bundan əlavə, informasiya təhlükəsizliyi çox vaxt texniki həll yolu kimi baxılır. Bununla belə, texniki vasitələrlə əldə edilə bilən informasiya təhlükəsizliyi məhduddur və ITIS kontekstində müvafiq nəzarət və prosedurların dəstəyi olmadan effektiv olmaya bilər. Təhlükəsizliyin tam informasiya sisteminə inteqrasiyası mürəkkəb və bahalı ola bilər. ITIS yerində nəzarət vasitələrinin müəyyən edilməsini nəzərdə tutur və diqqətli planlaşdırma və təfərrüata diqqət yetirməyi tələb edir. Məsələn, texniki (məntiqi), fiziki, inzibati (idarəetmə) və ya onların kombinasiyası ola bilən giriş nəzarətləri biznes və informasiya təhlükəsizliyi tələbləri əsasında informasiya aktivlərinə girişə icazə verilməsini və məhdudlaşdırılmasını təmin edən vasitələri təmin edir.

ITIS-nin uğurla tətbiqi təşkilata aşağıdakıları etmək imkanı verməklə informasiya aktivlərini qorumaq üçün vacibdir:

  1. a) onun informasiya aktivlərinin davamlı olaraq təhlükələrdən adekvat şəkildə qorunduğuna daha çox inam əldə etmək;
  2. b) informasiya təhlükəsizliyi risklərinin müəyyən edilməsi və qiymətləndirilməsi, müvafiq nəzarət vasitələrinin seçilməsi və tətbiqi, həmçinin onların effektivliyinin ölçülməsi və təkmilləşdirilməsi üçün strukturlaşdırılmış və hərtərəfli çərçivəni saxlamaq;
  3. c) nəzarət mühitini daim təkmilləşdirmək;
  4. d) qanuni və tənzimləyici tələbləri effektiv şəkildə yerinə yetirmək.

 

ITIS-nin yaradılması, monitorinqi, saxlanması və təkmilləşdirilməsi

Təşkilat ITIS-ni yaratmaq, izləmək, saxlamaq və təkmilləşdirmək üçün aşağıdakı addımları atmalıdır:

  1. a) informasiya aktivlərini və əlaqəli informasiya təhlükəsizliyi tələblərini müəyyən etmək
  2. b) informasiya təhlükəsizliyi risklərini qiymətləndirmək və informasiya təhlükəsizliyi risklərini idarə etmək (bax;
  3. c) qəbuledilməz riskləri idarə etmək üçün müvafiq nəzarət vasitələrini seçin və həyata keçirin;
  4. d) təşkilatın informasiya aktivləri ilə bağlı nəzarətin effektivliyinə nəzarət etmək, saxlamaq və təkmilləşdirmək.

ITIS-in davamlı olaraq təşkilatın məlumat aktivlərini effektiv şəkildə qorumasını təmin etmək üçün risklərdə və ya təşkilatın strategiyalarında və ya biznes məqsədlərində dəyişiklikləri müəyyən etmək üçün a) d) addımları davamlı olaraq təkrarlanmalıdır.

 

İnformasiya təhlükəsizliyi tələblərinin müəyyən edilməsi

Təşkilatın ümumi strategiyasının və biznes məqsədlərinin, ölçüsünün və coğrafi yayılmasının bir hissəsi olaraq, informasiya təhlükəsizliyi tələbləri aşağıdakıları başa düşməklə müəyyən edilə bilər:

  1. a) müəyyən edilmiş informasiya aktivləri və onların dəyəri;
  2. b) informasiyanın emalı, saxlanması və ötürülməsi üçün biznes ehtiyacları;
  3. c) hüquqi, normativ və müqavilə tələbləri.

Təşkilatın informasiya aktivləri ilə bağlı risklərin metodoloji qiymətləndirilməsinin aparılması informasiya aktivlərinə olan təhdidlərin, zəifliklərin və informasiya aktivlərinə təhlükənin yaranma ehtimalının təhlilini, eləcə də hər hansı informasiya təhlükəsizliyi insidentinin informasiya aktivlərinə potensial təsirini əhatə edir. Müvafiq nəzarət xərclərinin yaranan riskin gözlənilən biznes təsiri ilə mütənasib olacağı gözlənilir.

 

 İnformasiya təhlükəsizliyi riskinin qiymətləndirilməsi

İnformasiya təhlükəsizliyi riskinin idarə edilməsi risklərin qiymətləndirilməsi və müalicəsi üçün uyğun metod tələb edir ki, bura xərclər və faydaların, qanuni tələblərin, maraqlı tərəflərin narahatlıqlarının və müvafiq olaraq digər daxilolmaların və dəyişənlərin qiymətləndirilməsi daxil ola bilər.

Riskin qiymətləndirilməsi risklərin qəbulu meyarlarına və təşkilata aid olan məqsədlərə uyğun olaraq riskləri müəyyən etməli, kəmiyyətləndirməli və prioritetləşdirməlidir. Nəticələr informasiya təhlükəsizliyi risklərini idarə etmək və bu risklərdən qorunmaq üçün seçilmiş tədbirləri həyata keçirmək üçün müvafiq idarəetmə tədbirlərini və prioritetləri istiqamətləndirməli və müəyyən etməlidir.

Risk qiymətləndirilməsi aşağıdakıları əhatə etməlidir:

— risklərin miqyasının qiymətləndirilməsinə sistemli yanaşma (risk təhlili);

— risklərin əhəmiyyətini müəyyən etmək üçün qiymətləndirilmiş risklərin risk meyarları ilə müqayisəsi prosesi (risklərin qiymətləndirilməsi).

Riskin qiymətləndirilməsi informasiya təhlükəsizliyi tələblərindəki dəyişiklikləri və aktivlər, təhdidlər, zəifliklər, məruz qalmalar, risklərin qiymətləndirilməsi və əhəmiyyətli dəyişikliklərin baş verdiyi zaman kimi risk vəziyyətlərini həll etmək üçün vaxtaşırı aparılmalıdır. Bu risk qiymətləndirmələri müqayisə edilə bilən və təkrarlana bilən nəticələr verə bilən metodik şəkildə aparılmalıdır.

Effektiv olması üçün informasiya təhlükəsizliyi riskinin qiymətləndirilməsi aydın şəkildə müəyyən edilmiş əhatə dairəsinə malik olmalı və əgər varsa, digər sahələrdə risklərin qiymətləndirilməsi ilə əlaqələri də daxil etməlidir.

ISO/IEC 27005 riskin qiymətləndirilməsi, riskin müalicəsi, riskin qəbulu, risk hesabatı, risklərin monitorinqi və risk təhlili üzrə təlimatlar daxil olmaqla, informasiya təhlükəsizliyi riskinin idarə edilməsi üzrə təlimatlar təqdim edir. Risklərin qiymətləndirilməsi metodologiyalarının nümunələri də daxil edilmişdir.