Axborot xavfsizligi siyosati
Axborot xavfsizligi siyosati-reglamentlar to'plami, regulyatorlar talablari, standartlar, tavsiyalar, unga muvofiq muayyan kompaniya/firma, tashkilotning professional faoliyati uning mavjud axborot resurslarini himoya qilishni ta'minlaydi.
Muayyan tashkilotning boshqaruv tarkibi mustaqil ravishda qanday usullar va qanday ma'lumotlarni himoya qilish kerakligini hal qiladi (Rossiya Federatsiyasining amaldagi federal qonunlari bilan tartibga solingan hollar bundan mustasno).
Axborot xavfsizligi siyosati rasmiylashtirish bilan tavsiflanadi-xavfsizlik siyosati ishlab chiqilgan tashkilotning barcha xodimlari tomonidan bajarilishi majburiy bo'lgan qoidalarni ishlab chiqish.
Axborot xavfsizligi siyosati nima?
Rossiya korxonalari ko'pincha sohadagi davlat regulyatorining talablarini bajarish uchun axborot xavfsizligi siyosatini ishlab chiqish bilan shug'ullanadi. Agar kompaniyada tegishli axborot xavfsizligi qoidalari bo'lmasa, unda nazorat qiluvchi organlar kamchiliklarni bartaraf etishdan oldin keyingi ishlarga cheklovlar qo'yadilar.
Axborot xavfsizligi siyosati ba'zi rus va global standartlarning ajralmas qismidir. Har bir tashkilot tashqi auditorlar tomonidan ilgari surilgan kiberxavfsizlik bo'yicha muayyan talablarga javob berishi kerak. Kiberxavfsizlik siyosati bo'lmasa, tashkilotning obro'si, uning reytingi, investorlar uchun jozibadorlik va boshqalar.
Samarali axborot xavfsizligi siyosatini yaratish
Korxona xavfsizligi siyosatini, reglamentini sifatli, zamonaviy talablarga mos ravishda ishlab chiqish uchun tashkilot ichida shakllantirilishi kerak:
kiberxavfsizlik tushunchasi (uning yordami bilan axborot xavfsizligi siyosati, uning tamoyillari, maqsadlari);
ushbu tashkilotning faoliyatining turli sohalarida himoya qilish standartlari;
jarayon (ular bilan o'zaro aloqada ma'lumotlarni himoya qilish uchun amalga oshirilayotgan harakatlarning tavsifi: shaxsiy ma'lumotlar, axborot vositalariga kirish tartibi, ichki korporativ tizimlar, tarmoqlar, xizmatlar, resurslar);
ko'rsatmalar (tashkilotning samarali axborot muhofazasini shakllantirishingiz mumkin bo'lgan harakatlarning batafsil tavsifi, tashkilotning axborot xavfsizligi sohasida Rossiya va xalqaro standartlarga muvofiqligi uchun sharoit yaratish).
Yuqoridagi har bir element uchun alohida hujjat ishlab chiqilishi kerak. Yaratilgan barcha hujjatlar o'zaro bog'liq bo'lishi va qarama-qarshiliklar bo'lmasligi kerak. Zarar, yo'qotish, o'g'irlash va boshqa salbiy ta'sirlar yuz berganda axborot tizimlarining ishlashini tiklash uchun zarur bo'lgan favqulodda vaziyat rejalarini yaratish ortiqcha bo'lmaydi.
Axborot xavfsizligi siyosatining tuzilishi
Axborot xavfsizligi siyosati axborot xavfsizligi strategiyasining o'xshashligi emas, chunki birinchisi statik, ikkinchisi dinamik. Tashkilotning axborot xavfsizligi siyosatining majburiy bo'limlari ro'yxatiga quyidagilar kiradi:
axborot xavfsizligini aniqlash;
kompaniyaning kiberxavfsizlik tarkibi;
kompaniyaning kiberxavfsizlikni nazorat qilish tartib-taomillari tavsifi;
xavfni baholash;
ma'lumotlar xavfsizligi (amaldagi standartlar, tamoyillar);
kompaniyaning ayrim bo'linmalari va departamentlarining tashkilotning axborot muhofazasi, axborot tashuvchilari sohasidagi majburiyatlari va javobgarligi;
axborot xavfsizligi bo'yicha normativ hujjatlarga havolalar.
Bundan tashqari, muhim ma'lumotlarni himoya qilish sohasida samaradorlikning asosiy mezonlarini tavsiflaydigan bo'limni qo'shish tavsiya etiladi. Yuqori boshqaruv axborotni muhofaza qilish samaradorligi ko'rsatkichlarini ishlab chiqishni talab qiladi, bu esa kompaniyaning kiberxavfsizlik tashkilotini texnik nuancelarga chuqur kirmasdan ob'ektiv baholash imkonini beradi.
Axborot xavfsizligi siyosatini amalga oshirish
Kompaniyaning axborot xavfsizligi siyosati bilan bog'liq barcha hujjatlarni ishlab chiqqandan so'ng, uni tashkilot faoliyatiga joriy etish bo'yicha ish olib borish talab etiladi. Bu quyidagi fikrlarni amalga oshirishni talab qiladi:
xodimlarni ishlab chiqilgan kiberxavfsizlik siyosati bilan tanishtirish;
har bir yangi xodimni mavjud kiberxavfsizlik siyosati bilan tanishtirish;
xavflarning salbiy ta'sirini aniqlash va kamaytirish uchun tashkilotdagi mavjud biznes jarayonlarini to'liq o'rganish;
axborot xavfsizligi siyosatini to'ldirish uchun mo'ljallangan batafsil axborot va uslubiy materiallarni, ko'rsatmalarni tuzish;
axborotdan foydalanishni qayta ko'rib chiqish va tuzatish, u bilan ishlash tartib-taomillari, axborot xavfsizligi bo'yicha kompaniyada qabul qilingan hujjatlarni yangilash, mavjud kiberxavfsizlik tahdidlarini muntazam monitoring qilish va o'rganish.
Do'stlaringiz bilan baham: |