4-bob. XAVFSIZLIK AUDITIVA MA’LUMOTLAR
BAZASINI REZERVLINUSXALASH
4.1. Ma’lumotlar bazasini boshqarish tizimlarida xavfsizlik
auditini o‘tkazish xususiyatlari
Axborot tizimi yoki axborot texnologiyasining auditi deganda
tizimning, texnologiyaning joriy holati, unda kechuvchi texno-
logiyalar va hodisalar xususidagi obyektiv ma’lumotlami
olish va
baholashning, ulaming ma’lum mezonga moslik darajasini o‘matish
va natijalami buyurtmachiga taqdim etishning tizimli jarayoni
tushuniladi.
Audit o‘tkazilishi axborot texnologiyasining joriy xavfsizligini
baholashga, xavf-xatarlami baholash va boshqarishga, ulaming
tashkilot biznes jarayonlariga ta’sirini boshqarishga,
tashkilot
axborot aktivlarining xavfsizligini ta’minlash masalasiga to‘g‘ri va
asoslangan yondashishga imkon beradi.
Tashkilotning asosiy aktivlari quyidagilar:
- g‘oyalar;
- bilimlar;
- loyihalar;
- ichki tekshirish natijalari.
Auditning umumiy tushunchasi.
1844-yili Angliyada aksioner
shirkatlar xususida qonun qabul qilingan. Ushbu qonunga binoan
shirkat boshqarmasi har yili aksionerlar oldida hisob berishi lozim.
Buning ustiga hisobot maxsus kishi -
mustaqil auditor tomonidan
tekshirilishi va tasdiqlanishi shart. Ushbu yil auditning tug‘ilgan yili
hisoblanadi.
Hozirda audit o‘z rivojining bir necha bosqichlarini o‘tib, dav-
Iatlar xo'jalik hayotining qismiga aylandi. Aksionerlik shirkatining
buxgalteriya hisoblarini alohida professional auditorlar tekshirishi-
dan boshlab audit tarkibida professional auditorlar va auditorlik fir-
malar ko‘rsatuvchi qator xizmatlar (buxgalteriya hisobotini tekshi
rish, moliyaviy tahlil, maslahat berish) bo‘lgan kompleks tushun-
89
chagacha rivojlandi. Bunday firmalaming orasida o‘nlab
xodimlari
boigan - katta boimaganlari va minglab xodimlari boigan - juda
kattalari mavjud.
Audit turlari.
Axborot tizimi xavfsizligining auditini odatda,
tashqi va ichkilariga ajratishadi.
Tashqi audit
asosan tashkilotdan tashqarida va odatda, axborot
xavfsizligi auditi bilan shug‘ullanuvchi ixtisoslashgan tashkilotlar
tomonidan o'tkaziladi. Bunda tashqi hujumlar natijasidagi xavf-
xatar oichamlari tahlillanadi (xatto tashkilot tarmoqlararo
ekranlar
bilan himoyalangan boisa ham). Tashqi auditni o‘tkazishdaportlar-
ni skanerlash, tarmoq va tatbiqiy dasturiy taininot zaifliklarini
qidirish amalga oshiriladi. Web - serverlari, pochta va fayl server-
lari bilan o'zaro bogianishga hamda
tashkilot lokal tarmogiga
kirishga urinishlar amalga oshiriladi. Tashkilot rahbariyatining
xohishi bilan tashqi auditning maxsus turi - Ethical Hacking
o‘tkazilishi mumkin. Bunda maxsus tashkilot (bunday tashkilot
maxsus Tiger Team nomiga ega) tashkilot serverlariga, saytlariga va
xostlariga tanlab olingan hujumlami amalga oshiradi.
Bunday
hujumlar tashkilot axborot tizimining zaifliklarini namoyish etishi
mumkin.
Ichki audit
odatda tashkilot xodimlaridan tashkil topgan
maxsus komanda tomonidan o‘tkaziladi. Ichki auditning vazifasi
mavjud axborot tizimi texnologiyasidan foydalanishdagi xavf-
xatami baholash hisoblanadi. Auditning bu turi qandaydir standartni
amalga oshiruvchi auditni avtomatlashtirish
vositasini jalb qilish
orqali bajariladi. Ichki audit tashkilotning tarmoqlararo ekran bilan
chegaralangan tarmoq muhitining ichida o‘tkaziladi. Tashkilotning
ichki xost portlarini va zaifliklarini skanerlash ham uning vazifasi
hisoblanadi. Undan tashqari, tashkilotda o‘rnatilgan
xavfsizlik
siyosatining bajarilishi, resurslardan foydalanishning nazorati va
boshqarilishi, tashkilot xodimining parol siyosati va uning bajari
lishi tahlillanadi. Auditning bu turi audit o‘tkazishning standart usu-
lini tarmoq zaifliklarini mukammal ko'rib chiqish bilan toidiradi.
Dostları ilə paylaş: