Ақпараттық жүйе. Ақпараттық жүйелерді қорғау стандарттары
Ақпараттық жүйелер дегеніміз ақпаратты жинауға, сақтауға, іздеуге, талдауға және таратуға бағытталған қолданбалы бағдарламалық өнім. Ақпараттық жүйелер кіріс ақпаратты (қандайда бір мәліметтер, нұсқаулар) және шығыс ақпаратты (есептеу, есептеулер) қамтиды, яғни ақпараттық жүйелер кіріс ақпараттарды өңдеп, шығыс ақпараттарды нәтиже ретінде береді. Амалдарды, әрекеттерді бақылап отыратын кері байланыс механизмі де жүзеге асырылынады.
Ақпараттық жүйелерді қорғаудың негізгі стандарттарының бірі - ISO/IEC 27001.
ISO 27001 ақпараттық қауіпсіздікті басқару жүйесі - бұл компанияларға қаржылық мәліметтерін, зияткерлік меншігін және клиенттер туралы құпия ақпаратты қорғауға көмектесетін халықаралық құрылым. ISO 27001 көмегімен компаниялар тәуекелдерді анықтай алады, құпия ақпаратты басқарады немесе азайтады. Сонымен қатар, олар осы бағытта қажетті қауіпсіздік шараларын орындайды. Бұл сізге бүгін ғана емес, болашақта да қолданылатын әдістерді үнемі қайта қарап, нақтылауға көмектеседі. ISO 27001 сіздің іскерлік беделіңіз бен беделіңізді қорғайды. Бұл сіздің клиенттеріңізге және барлық мүдделі тараптарға сенім беру арқылы сіздің бизнесіңізге құндылықтар қосады.
ISO 27001 сертификаты үшін мекемелер мен ұйымдар алдымен ISO 27001 ақпараттық қауіпсіздікті басқару жүйесінің стандартына сәйкес жүйелерді құруы және енгізуі керек. ISO 27001 ақпараттық қауіпсіздікті басқару жүйесі ұйымдардан тәуекелдерді басқару және тәуекелдерді өңдеу жоспарларын, міндеттері мен жауапкершіліктерін, бизнестің үздіксіздігі жоспарларын, төтенше жағдайларды басқару процедураларын дайындауды және өз жазбаларын іс жүзінде жүргізуді талап етеді.
ISO / IEC 27001 - ақпараттық қауіпсіздікті басқару жүйесінің талаптарын анықтайтын, тексерілетін жалғыз халықаралық стандарт. Тиісті және пропорционалды қауіпсіздік аудиті таңдалуын қамтамасыз ету үшін әзірленген. Бұл стандарт, әсіресе, қаржы, денсаулық сақтау, қоғамдық және АТ секторлары сияқты ақпаратты қорғау маңызды болып табылатын салаларда қажет. Бұл клиенттерге олардың ақпаратының қорғалатындығына кепілдік бере алатын басқару стандарты.
ISO 27001 ақпараттық қауіпсіздікті басқару жүйесінің стандартына сәйкес жүйелерді құрған компанияларда ISO 27001 ақпараттық қауіпсіздікті басқару жүйесі үшін аккредиттелген және халықаралық аудиторлық ұйымдардан аудиторлық тексерулер болуы керек.
Тағы бір маңызды стандарт-төлем карталары саласында қолданылатын және карта ұстаушыларының деректерін қорғауға қойылатын талаптарды белгілейтін PCI DSS (Payment Card Industry Data Security Standard). Төлем карталарын пайдаланып төлемдерді қабылдайтын компаниялар үшін PCI DSS сәйкестігі міндетті болып табылады.
PCI DSS стандарты (Payment Card Industry Data Security Standard) - төлем карталары туралы деректерді қорғау үшін Payment Card Industry Security standards Council (PCI SSC) әзірлеген талаптар мен қауіпсіздік шараларының жиынтығы. PCI DSS стандартының мақсаты Төлем карталары транзакцияларының қауіпсіздігін қамтамасыз ету және клиенттердің құпия деректерін қорғау болып табылады.
PCI DSS стандарты несиелік және дебеттік карталармен төлемдерді қабылдайтын ұйымдар сақтауы керек алты негізгі қауіпсіздік қағидасын қамтиды. Бұл принциптерге мыналар жатады:
1. Жүйені бұзудан қорғау: брандмауэрлерді, антивирустық бағдарламалық жасақтаманы және басқа қорғаныс құралдарын орнату және қолдау қажет.
2. Төлем картасының деректерін қорғау: карта деректері қауіпсіз сақталуы, шифрлануы және рұқсатсыз кіруден қорғалуы керек.
3. Қауіпсіздік саясатын әзірлеу және қолдау: төлем картасының деректерін өңдеудің нақты ережелері мен процедураларын белгілеңіз және қызметкерлерді қауіпсіздік мәселелері бойынша оқытыңыз.
PCI DSS стандартын сақтау Visa, MasterCard, American Express және басқалардың төлем карталарын қолдана отырып төлемдерді қабылдайтын барлық компаниялар үшін міндетті болып табылады. Стандартты сақтамау айыппұлдарға, тұтынушылардың сенімін жоғалтуға және құпия деректердің бұзылуына әкелуі мүмкін.
Достарыңызбен бөлісу: |