S. K. Ganiyev, A. A. Ganiyev, D. Y. Irgasheva ma’lumotlar bazasi xavfsizligi

4-bob. XAVFSIZLIK AUDITIVA MA’LUMOTLAR
BAZASINI REZERVLINUSXALASH
4.1. Ma’lumotlar bazasini boshqarish tizimlarida xavfsizlik
auditini o‘tkazish xususiyatlari
Axborot tizimi yoki axborot texnologiyasining auditi deganda 
tizimning, texnologiyaning joriy holati, unda kechuvchi texno- 
logiyalar va hodisalar xususidagi obyektiv ma’lumotlami olish va 
baholashning, ulaming ma’lum mezonga moslik darajasini o‘matish 
va natijalami buyurtmachiga taqdim etishning tizimli jarayoni 
tushuniladi.
Audit o‘tkazilishi axborot texnologiyasining joriy xavfsizligini 
baholashga, xavf-xatarlami baholash va boshqarishga, ulaming 
tashkilot biznes jarayonlariga ta’sirini boshqarishga, tashkilot 
axborot aktivlarining xavfsizligini ta’minlash masalasiga to‘g‘ri va 
asoslangan yondashishga imkon beradi.
Tashkilotning asosiy aktivlari quyidagilar:
- g‘oyalar;
- bilimlar;
- loyihalar;
- ichki tekshirish natijalari.
Auditning umumiy tushunchasi.
1844-yili Angliyada aksioner 
shirkatlar xususida qonun qabul qilingan. Ushbu qonunga binoan 
shirkat boshqarmasi har yili aksionerlar oldida hisob berishi lozim. 
Buning ustiga hisobot maxsus kishi - mustaqil auditor tomonidan 
tekshirilishi va tasdiqlanishi shart. Ushbu yil auditning tug‘ilgan yili 
hisoblanadi.
Hozirda audit o‘z rivojining bir necha bosqichlarini o‘tib, dav- 
Iatlar xo'jalik hayotining qismiga aylandi. Aksionerlik shirkatining 
buxgalteriya hisoblarini alohida professional auditorlar tekshirishi- 
dan boshlab audit tarkibida professional auditorlar va auditorlik fir- 
malar ko‘rsatuvchi qator xizmatlar (buxgalteriya hisobotini tekshi­
rish, moliyaviy tahlil, maslahat berish) bo‘lgan kompleks tushun-
89

chagacha rivojlandi. Bunday firmalaming orasida o‘nlab xodimlari 
boigan - katta boimaganlari va minglab xodimlari boigan - juda 
kattalari mavjud.
Audit turlari.
Axborot tizimi xavfsizligining auditini odatda, 
tashqi va ichkilariga ajratishadi.
Tashqi audit
asosan tashkilotdan tashqarida va odatda, axborot 
xavfsizligi auditi bilan shug‘ullanuvchi ixtisoslashgan tashkilotlar 
tomonidan o'tkaziladi. Bunda tashqi hujumlar natijasidagi xavf- 
xatar oichamlari tahlillanadi (xatto tashkilot tarmoqlararo ekranlar 
bilan himoyalangan boisa ham). Tashqi auditni o‘tkazishdaportlar- 
ni skanerlash, tarmoq va tatbiqiy dasturiy taininot zaifliklarini 
qidirish amalga oshiriladi. Web - serverlari, pochta va fayl server- 
lari bilan o'zaro bogianishga hamda tashkilot lokal tarmogiga 
kirishga urinishlar amalga oshiriladi. Tashkilot rahbariyatining 
xohishi bilan tashqi auditning maxsus turi - Ethical Hacking 
o‘tkazilishi mumkin. Bunda maxsus tashkilot (bunday tashkilot 
maxsus Tiger Team nomiga ega) tashkilot serverlariga, saytlariga va 
xostlariga tanlab olingan hujumlami amalga oshiradi. Bunday 
hujumlar tashkilot axborot tizimining zaifliklarini namoyish etishi 
mumkin.
Ichki audit
odatda tashkilot xodimlaridan tashkil topgan 
maxsus komanda tomonidan o‘tkaziladi. Ichki auditning vazifasi 
mavjud axborot tizimi texnologiyasidan foydalanishdagi xavf- 
xatami baholash hisoblanadi. Auditning bu turi qandaydir standartni 
amalga oshiruvchi auditni avtomatlashtirish vositasini jalb qilish 
orqali bajariladi. Ichki audit tashkilotning tarmoqlararo ekran bilan 
chegaralangan tarmoq muhitining ichida o‘tkaziladi. Tashkilotning 
ichki xost portlarini va zaifliklarini skanerlash ham uning vazifasi 
hisoblanadi. Undan tashqari, tashkilotda o‘rnatilgan xavfsizlik 
siyosatining bajarilishi, resurslardan foydalanishning nazorati va 
boshqarilishi, tashkilot xodimining parol siyosati va uning bajari­
lishi tahlillanadi. Auditning bu turi audit o‘tkazishning standart usu- 
lini tarmoq zaifliklarini mukammal ko'rib chiqish bilan toidiradi.

Yüklə 13,28 Kb.

Dostları ilə paylaş: