25
maqsadlari va vazifalari hamda xavfsizlikni ta’minlash sohasidagi tadbirlar
tavsiflanadigan yuqori darajadagi reja. Siyosat xavfsizlikni umumlashgan
atamalarda, spesifik detallarsiz tavsiflaydi. U xavfsizlikni ta’minlashning
barcha
dasturlarini rejalashtiradi. Axborot xavfsizligi siyosati tashkilot masalalarini
yechish himoyasini yoki ish jarayoni himoyasini ta’minlashi shart.
Apparat vositalar va dasturiy ta’minot ish jarayonini ta’minlovchi vositalar
hisoblanadi va ular xavfsizlik siyosati tomonidan qamrab olinishi shart. Shu
sababli asosiy vazifa sifatida tizimni (jumladan tarmoq xaritasini) to‘liq
inventarizatsiyalashni ko‘zda tutish lozim. Tarmoq xaritasini tuzishda har bir
tizimdagi axborot oqimini aniqlash lozim. Axborot oqimlari sxemasi axborot
oqimlari biznes-jarayonlarni qanchalik ta’minlayotganini ko‘rsatishi mumkin,
hamda axborotni himoyalash va yashovchanligini ta’minlash uchun qo‘shimcha
choralarni ko‘rish muhim bo‘lgan soxani ko‘rsatishi mumkin. Undan tashqari bu
sxema yordamida
axborot ishlanadigan joyni, ushbu axborot qanday saqlanishi,
qaydlanishi, joyini o‘zgartirishi va nazoratlanishi lozimligini aniqlash mumkin.
Inventarizatsiya apparat va dasturiy vositalardan tashqari dasturiy xujjat,
apparatura xujjatlari, texnologik xujjat va h. kabi kompyuterga taalluqli bo‘lmagan
resurslarni ham qamrab olishi shart. Ushbu xujjatlar tarkibida tijoratni tashkil etish
xususiyatlari to‘g‘risidagi axborot bo‘lishi mumkin va bu xujjatlar buzg‘unchilar
foydalanishi mumkin bo‘lgan joylarni ko‘rsatadi.
Axborot xavfsizligi siyosatini aniqlashda quyidagilar amalga oshirilishi
lozim:
1. Axborot xavfsizligi sohasida amal qilinadigan xujjatlar va standartlarni,
hamda axborot xavfsizligi siyosatining asosiy nizomlarini aniqlash, ya’ni:
-
kompyuter
texnikasi vositalaridan, dasturlardan va ma’lumotlardan
foydalanishni boshqarish;
-
virusga qarshi himoya;
-
rezervli nushalash masalalari;
-
ta’mirlash va tiklash ishlarini o‘tkazish;
-
axborot xavfsizligi sohasidagi mojarolar xususida xabardor qilish.
26
2.
Xavf-xatarlarni
boshqarishga yondashishlarni aniqlash, ya’ni
himoyalanganlikning bazaviy sathi yyetarli ekanligini yoki xavf-xatarlarni
taxlillashning to‘liq variantini o‘tkazish talab etilishini aniqlash.
3. Axborot xavfsizligi rejimiga quyiladigan talablarni aniqlash.
4. Sathlar bo‘yicha qarshi choralarni strukturizatsiyalash.
5. Axborot xavfsizligi sohasida sertifikatsiyalash tartibining standartlarga
mosligini aniqlash.
6. Rahbariyatda axborot xavfsizligi mavzui bo‘yicha kengashlar o‘tkazish
davriyligini, xususan, axborot xavfsizligi siyosatining nizomlarini qayta ko‘rish,
hamda axborot tizimining barcha kategoriyali
foydalanuvchilarini axborot
xavfsizligi masalalari bo‘yicha o‘qitish tartibini aniqlash.
Tashkilotning real xavfsizlik siyosati quyidagi bo‘limlarni o‘z ichiga olishi
mumkin:
-
umumiy qoidalar;
-
parollarni boshqarish siyosati;
-
foydalanuvchilarni identifikatsiyalash;
-
foydalanuvchilarning vakolatlari;
-
tashkilot axborot resurslarini kompyuter viruslaridan himoyalash;
-
tarmoq bog‘lanishlarini o‘rnatish va nazoratlash qoidalari;
-
elektron pochta tizimi bilan ishlash bo‘yicha xavfsizlik siyosati
qoidalari;
-
axborot resurslari xavfsizligini ta’minlash qoidalari;
-
foydalanuvchilarning xavfsizlik siyosati qoidalarini bajarish bo‘yicha
majburiyatlari va h.
Qoidalar tashkilotning rivojlanishiga, yangi texnologiyalar,
tizimlar va
loyihalar paydo bo‘lishiga muvofiq o‘zgarishi lozim. Buning uchun qoidalarni
davriy ravishda qayta ko‘rib chiqish lozim. Xavfsizlik siyosatini qayta ko‘rib
chiqish usullaridan biri axborot kommunikatsiya tizimlari auditi hisoblanadi. Shu
sababli tashkilot xavfsizlik siyosati va, tabiiyki, axborot xavfsizligi siyosati
o‘zining xayotiy sikliga ega deyish mumkin ( 1.1-rasm).
27
Xavfsizlik siyosatini o’z
ichiga oluvchi hujjatlar
Ko’rib chiqish va o’zgartirish
Qabul qilish va tasdiqlash
Muntazam ravishda qayta
ko’rib chiqish
Rioya etilishini
ta’minlash
Bajarilishini nazoratga
olish
Qo’llash
Bajarilishini o’rgatish
Amalda qo’llanilishini
boshlash
1.1-rasm. Xavfsizlik
siyosatining hayotiy sikli
Xavfsizlik siyosati qoidalarini qayta ko‘rib chiqish muddatlari xususida aniq
bir ko‘rsatma mavjud emas. Ammo ushbu muddat olti oydan bir yilgacha
belgilanishi tavsiya etiladi.
Xavfsizlik qoidalari ishlab chiqilganidan va amalga kiritilganidan so‘ng
foydalanuchilar axborot xavfsizligi talablari bilan tanishib chiqishlari, xodimlar esa
qoidalarni o‘rganishlari lozim. Mojarolar paydo bo‘lganda ishlab chiqilgan reja
bo‘yicha harakatlanish tavsiya etiladi.
Axborot xavfsizligini ta’minlash masalalari bo‘yicha shug‘ullanadigan
yetakchi tashkilotlar xavfsizlik siyosati shablonlarini ishlab chiqdilar. Masalan
SANS (System Administration Networking and Security) instituti turli xavfsizlik
siyosatining
shablonlari
seriyasini
ishlab
chiqdi
(
www.sans.org/resources/policies/
).
Ushbu shablonlar tarkibiga quyidagi siyosatlar kiradi:
