Hozirda boshqaruvning turli sohalari mavjud: ishlab chiqarish, moliya sohasi, tijorat, xodimlar va hokazo. Yuqori texnologik biznesning rivojlanishi bilan tobora axborot texnologiyalari, axborot xavfsizligi, sifat, atrof-muhit kabi omillarning ham muhim ahamiyat kasb etishi namoyon bo‘lmoqda. Buni xalqaro miqyosda ISO 2700x, ISO 2000x, ISO 900x, ISO 1400x seriyadagi standartlarning ommaviylashishi bilan ifodalasak bo‘ladi. Boshqarishning asosiy prinsiplari ko‘p jihatdan turli sohalarda bir xildir, shuning uchun tegishli boshqaruv tizimlari ham bir-birini to‘ldirib, tashkilotning integrallashgan boshqaruv tizimini (Integrated Management System – IMS) yaratadi. Lekin, boshqa sohalarga nisbatan axborot xavfsizligining boshqaruv tizimi alohida e’tiborni talab etadi. Bu borada, ushbu soha bo‘yicha xalqaro standartlarni ishlab chiqishda Britaniya Standartlari Institutining (British Standards Institute – BSI ) hissasi kattadir.
BS7799 standartining birinchi qismi BS7799-1 – “axborot xavfsizligini boshqarishning amaliy qoidalari” deb nomlanadi. Nomlanishidan ko‘rinib turibdiki, bu hujjat tashkilotlarda axborot xavfsizligini boshqarish bo‘yicha qo‘llanma hisoblanadi. Bu hujjat axborot xavfsizligini boshqarish tizimini (AXBT) barpo etishda jahon tajribasidan kelib chiqqan holda, boshqarishning 10 sohasi va 127 ta mexanizmlari ta’riflangan. 1998 yilda bu standartning ikkinchi qismi – BS7799-2 ” Axborot xavfsizligini boshqarish tizimlari. Tavsiflanishi va qo‘llash bo‘yicha qo‘llanma” vujudga keldi. Bu qismda sertifikatlashni talab etuvchi AXBT ni barpo etishning umumiy modeli va majburiy talablari belgilab berilgan. AXBT nimalardan tashkil topishi kerakligini belgilab beruvchi ushbu BS7799 standartning ikkinchi qismi ishlab chiqilgandan so‘ng, axborot xavfsizligini boshqarish sohasida sertifikatlash tizimlarinig ham rivojlanishiga turtki bo‘ldi. 1999 yilda BS7799 standartining ikkala qismlari qayta ko‘rib chiqilib, xalqaro ISO 9001 va ISO 14001 stadartlaridagi tegishli qism va talablari bilan moslashtirildi. Bir yildan so‘ng esa ISO texnik qo‘mitasi o‘zgarishlarsiz BS7799-1 standartini xalqaro ISO/IEC 17799:2000 standarti sifatida qabul qildi.
BS7799 ning ikkinchi qismi 2002 yilda qayta ko‘rib chiqilgan bo‘lib, 2005 yil oxirida esa ISO tomonidan xalqaro ISO/IEC 27001:2005 standarti sifatida qabul qilindi – “Axborot texnologiyalari – Xavfsizlikni ta’minlash usullari – Axborot xavfsizligini boshqarish tizimlari – Talablar”. Bu vaqt mobaynida BS7799 ning birinchi qismi ham qayta yangilandi. ISO 27001 standarti paydo bo‘lishi bilan AXBT ning tasniflari xalqaro mavqega ega bo‘ldi va endilikda AXBT ning jamiyatda tutgan o‘rni va mavqei sezilarli darajada oshdi.
Xavfsizlikni boshqarish bo‘yicha 2700x standartlar oilasi tez sur’atlarda rivojlanib bormoqda. ISO qo‘mitasining rejalariga asosan, bu turdagi standartlar oilasi AXBT ga qo‘yiladigan talablarni, tavakkalchiliklarni boshqarish tizimini, boshqarish mexanizmlarining samaradorlligini aniqlash hamda tatbiq etish bo‘yicha qo‘llanmalarni o‘z ichiga qamrab oladi. Bu holatda tartib bilan ketma-ketlik bo‘yicha raqamlanib boradi, ya’ni 27000 dan boshlanib, o‘sib borish tartibida amalga oshiriladi. Jumladan, ISO/IEC 27001:2005 keyinchalik ISO/IEC 27002 tartib raqami bilan belgilanadi. ISO/IEC 27000 standart loyihasini ishlab chiqishda axborot texnologiyalarini boshqarish bo‘yicha COBIT va ITIL kabi standartlar prinsiplari va asoslari bilan boyitiladi.
2006 yil boshlarida axborot xavfsizligida tavakkalchiliklarni boshqarish sohasi bo‘yicha yangi Britaniya milliy standarti BS7799-3 qabul qilindi, keyinchalik u 27005 indeksini qabul qildi. Bulardan tashqari, 27003 va 27004 indekslarini qabul qilishi mumkin bo‘lgan AXBTning samaradorligini aniqlash bo‘yicha yangi standartlar ustida tadqiqotlar olib borilmoqda.
Xalqaro sertifikatlar reyestriga kiruvchi AXBT ni foydalanuvchi guruhlardan olingan ma’lumotlar bo‘yicha, 2006 yil avgust holatiga ko‘ra 2800 dan ortiq tashkilotlar va 66 davlatlar ISO 27001 (BS7799) standarti bo‘yicha sertifikatlangan. Bu sertifikatga ega tashkilotlar ro‘yxatini asosan Axborot texnologiyalari (AT) korxonalari, bank va moliya sohasidagi tashkilotlar, texnik-ekspertiza nazorati idoralari, telekommunikatsiya sohasidagi kabi korxonalar tashkil etadi.
7799/17799/27001: tarafdormi yoki betaraf
BS7799 rivojlanib borgani sari axborot xavfsizligi bo‘yicha asosiy standart bo‘lib qoldi. Lekin, 2000 yil avgustda ISO qo‘mitasi tomonidan ISO17799 ning birinchi nashri tahlil qilinganda qiyinchiliklar bilan bir to‘xtamga kelingan edi. Jahonda yetakchi bo‘lgan yirik AT tashkilotlari tomonidan bu borada ko‘plab qarshiliklar bo‘lgan. Bir qator davlatlar jumladan, AQSH, Kanada, Fransiya va Germaniyada ISO17799 xalqaro standart sifatida qabul qilinishiga qarshi bo‘lgandilar. Chunki, ular bu hujjatni xalqaro standart sifatida emas, balki kerakli tavsiyanomalar sifatida qo‘llash mumkin deb hisoblashdi. AQSH va Yevropa davlatlarida 2000 yilga qadar axborot xavfsizligini standartlashtirish bo‘yicha ko‘plab ishlar amalga oshirildi. Axborot xavfsizligi sohasi bo‘yicha turli qarashlar mavjud. Lekin bularning ichidan eng ma’qulini aniqlab, xalqaro standartni belgilash lozim edi.
Bu masala bo‘yicha BSI vakillari tomonidan bu BS7799 texnik standart emasligi bilan izohlandi. Ya’ni, u xavfsizlik bo‘yicha boshqa standartlaridan farqli o‘laroq, jumladan, Commonly Accepted Security Practices and Regulations (CASPR) va ISO 15408/Common Criteria standartlari kabi faqat axborot muhofazasining texnik jixatlarini ifodalamaydi, balki umumiy (ixtiyoriy) ko‘rinishda ifodalanadi. U xohlagan tashkilotda qo‘llash uchun mo‘ljallangan bo‘lishi hamda AT mahsuloti emas, balki axborot xavfsizligini boshqarish bo‘yicha hujjat bo‘lishi kerakligi bilan ta’kidlangandi.
Shuncha qarshiliklarga qaramasdan, tomonlar o‘rtasida bir to‘xtamga kelinib, BSI tashkilotining (ISO ni tashkil etgan, dunyoda xalqaro standartlarni ishlab chiqaruvchi va sertifikatlovchi tashkilot) ishlab chiqilgan standarti xalqaro standart sifatida tan olindi. ISO17799 ning yutuqlaridan biri uning moslashuvchanligi va universalligidadir.
Unda belgilangan ko‘rsatmalar har qanday faoliyat turi va mulkchilik shaklidan qat’iy nazar, deyarli barcha turdagi tashkilotlarda qo‘llanilishi mumkin. Nimadan boshlash kerak, qanday boshqarish kerak, qaysi talablarga asosan audit tekshiruvini o‘tkazishim kerak- kabi savollar tug‘ilganda, bu standart bevosita to‘g‘ri yo‘lni tanlashda ko‘makdosh bo‘ladi.
Bu hujjat orqali tashkilot rahbariyatiga axborot xavfsizligi bo‘yicha qilinishi kerak bo‘lgan xarajtlarni isbotlab berish mumkin, bozor iqtisodiyotida bu jihat juda katta ahamiyatga egadir. Bu standart umumiylikka tayangan bo‘lib, xavfsizlikni ta’minlash choralarini belgilab, texnik jihatlarini birma-bir sanab o‘tmagan.
Yaqin kelajakda davlatimiz tashkilotlarida ham axborot xavfsizligi sohasida ushbu xalqaro standart va sertifikatlar talablariga javob beradigan ishlar amalga oshiriladi.
CNews elektron axborot portali ma’lumotlaridan foydalanildi.
