Axborot xavfsizligi siyosatini ishlab chiqish
Kirish
Korxonalarning rivojlanishi va o'sishi IT-infratuzilma va axborot tizimlarining o'sishi bilan chambarchas bog'liq bo'lib, ularning murakkabligi va ko'lami doimiy ravishda o'sib boradi, shu bilan birga tashkilot faoliyatiga bevosita ta'sir ko'rsatadigan tahdidlar, zaifliklar va xatarlarning yangi turlarini keltirib chiqaradi. . Menejmentning muhim vazifasi ushbu tahdidlarning oldini olish, xatarlarni minimallashtirish va korxona IT-infratuzilmasi xavfsizligini ta'minlashdir. Axborot xavfsizligi siyosati bu tashkilot tomonidan o'z faoliyatida foydalanadigan axborot xavfsizligi sohasidagi qoidalar, protseduralar, amaliyot va ko'rsatmalar to'plamidir. Xavfsizlik siyosatining maqsad va vazifalari
Sotib olingan himoya vositalari, mutaxassislarning mehnatiga haq to'lash xarajatlari, tashqi xavfsizlik auditini o'tkazish uchun va hokazo shakllarda axborot xavfsizligini ta'minlashga tashkilotlarning sarmoyalari yildan-yilga barqaror ravishda oshib borishi ko'pincha o'z samarasini bermayapti. Buning sababi shundaki, aksariyat tashkilotlar parchalangan yondashuvni davom ettirmoqdalar, chunki bu faqat tashkilot IT-ga ozgina bog'liq bo'lsa va axborot xavfsizligi xavfi darajasi past bo'lsa. Axborot xavfsizligining etarli darajasi faqat kompleks konsepsiya asosida dasturiy ta'minot va apparat vositalari hamda tashkiliy himoya choralaridan muntazam foydalanishni nazarda tutadigan kompleks yondashuv bilan ta'minlanishi mumkin. Bunday holda, tashkiliy choralar asosiy rol o'ynaydi. Agar foydalanuvchilar parol siyosatining oddiy qoidalarini e'tiborsiz qoldirsalar va tarmoq ma'murlari korporativ tarmoq resurslariga kirish huquqini berishning belgilangan tartiblarini buzsa, eng zamonaviy va qimmat xavfsizlik mexanizmlari kamayadi. Axborotni himoya qilish bo'yicha tashkiliy choralar xavfsizlik siyosatiga asoslangan. Axborot xavfsizligini ta'minlash bo'yicha har qanday tadbirlarning muvaffaqiyati ularning samaradorligiga katta darajada bog'liqdir.
ISO / IEC 27001 xalqaro standartiga muvofiq, axborot xavfsizligi siyosati menejmentning javobgarligini belgilashi, shuningdek tashkilotning axborot xavfsizligini boshqarish bo'yicha yondashuvini belgilashi kerak. Belgilangan standartga muvofiq, korxonaning axborot xavfsizligi siyosati kamida o'z ichiga olishi kerak:
- axborot xavfsizligini, uning umumiy maqsadlari va ko'lamini aniqlash, shuningdek xavfsizlikning ma'lumot almashish qobiliyatini ta'minlovchi vosita sifatida ahamiyatini ochib berish
- rahbariyat tomonidan tuzilgan axborot xavfsizligi maqsadlari va tamoyillari bayoni
- tashkilotning eng muhim xavfsizlik siyosati, printsiplari, qoidalari va talablarining qisqacha mazmuni, masalan:
- qonuniy talablar va shartnoma majburiyatlariga rioya qilish;
- xavfsizlik bo'yicha mashg'ulotlar uchun talablar;
- viruslar va boshqa zararli dasturlarning oldini olish va ularni aniqlash;
- biznesning uzluksizligini boshqarish;
- xavfsizlik siyosatini buzganlik uchun javobgarlik.
- axborot xavfsizligini boshqarish doirasidagi xodimlarning umumiy va o'ziga xos vazifalarini belgilash, shu jumladan axborot xavfsizligi bilan bog'liq hodisalarni xabar qilish
- axborot xavfsizligi siyosatini to'ldiruvchi hujjatlarga havolalar, masalan, aniq ma'lumot tizimlari uchun batafsilroq siyosat va protseduralar, shuningdek foydalanuvchilar tomonidan kuzatilishi kerak bo'lgan xavfsizlik qoidalari.
- Kompaniyaning axborot xavfsizligi siyosati rahbariyat tomonidan tasdiqlanishi, nashr etilishi va barcha xodimlarga tushunarli va tushunarli shaklda etkazilishi kerak. Axborot xavfsizligi siyosatini ishlab chiqish
Xavfsizlikning samarali siyosatini yaratish uchun dastlab axborot xavfsizligi sohasida xatarlar tahlilini o'tkazish rejalashtirilgan. Keyin belgilangan mezon asosida korxona uchun maqbul xatar darajasini aniqlang. Xavfsizlik siyosati va tegishli korporativ axborotni muhofaza qilish tizimi ma'lum bir xavf darajasiga etadigan tarzda qurilishi kerak.
Zamonaviy korxonaning axborot xavfsizligi siyosatini ishlab chiqish metodologiyasi sizga axborot xavfsizligini ta'minlash bilan bog'liq talablarni to'liq tahlil qilish va hujjatlashtirish, xavfni sub'ektiv baholash bilan mumkin bo'lgan keraksiz xavfsizlik choralari narxidan qochish, rejalashtirish va amalga oshirishda yordam berish imkonini beradi. axborot tizimlarining hayot tsiklining barcha bosqichlarida himoya qilish, qisqa vaqt ichida ish olib borilishini ta'minlash, qarshi choralarni tanlash uchun asoslarni berish, qarshi choralar samaradorligini baholash, qarshi choralarning turli xil variantlarini taqqoslash. Ish jarayonida o'rganish chegaralari belgilanishi kerak. Buning uchun kelajakda xavf-xatarlarni baholash uchun olinadigan axborot tizimining resurslarini ajratish kerak. Bunday holda, ko'rib chiqilayotgan resurslarni va o'zaro ta'sir o'tkaziladigan tashqi elementlarni ajratish kerak. Resurslar kompyuter texnikasi, dasturiy ta'minot, ma'lumotlar, shuningdek, axborot resurslari bo'lishi mumkin - alohida hujjatlar va hujjatlarning alohida massivlari, ma'lumotlar tizimidagi hujjatlar (kutubxonalar, arxivlar, fondlar, ma'lumotlar banklari, boshqa ma'lumotlar tizimlari). Tashqi elementlarning namunalari - aloqa tarmoqlari, tashqi xizmatlar va boshqalar.
Modelni qurishda resurslar o'rtasidagi munosabatlar hisobga olinadi. Masalan, har qanday uskunaning ishdan chiqishi ma'lumotlar yo'qolishiga yoki tizimning boshqa muhim elementlarining ishdan chiqishiga olib kelishi mumkin. Bunday munosabatlar axborot xavfsizligi nuqtai nazaridan tashkilot modelini yaratish uchun asosni belgilaydi.
Ushbu model, taklif qilingan metodologiyaga muvofiq, quyidagicha qurilgan: ajratilgan resurslar uchun ularning qiymati ular bilan bog'liq bo'lishi mumkin bo'lgan moliyaviy yo'qotish nuqtai nazaridan ham, zarar etkazish nuqtai nazaridan ham aniqlanadi. tashkilotning obro'si, uning faoliyatining tartibsizligi, maxfiy ma'lumotlar oshkor etilishi natijasida etkazilgan moddiy zarar.Keyin resurslarning o'zaro munosabati tavsiflanadi, xavfsizlikka tahdidlar aniqlanadi va ularni amalga oshirish ehtimoli taxmin qilinadi.
Qurilgan modelga asoslanib, risklarni maqbul darajaga tushiradigan va eng yuqori iqtisodiy samaradorlikka ega bo'lgan qarshi choralar tizimini oqilona tanlash mumkin. Qarama-qarshi choralar tizimining bir qismi himoya tizimining samaradorligini muntazam ravishda ko'rib chiqish uchun tavsiyalar bo'ladi.
Axborot xavfsizligi uchun talablarning oshishini ta'minlash, axborot texnologiyalarining hayot tsiklining barcha bosqichlarida tegishli choralarni o'z ichiga oladi. Ushbu tadbirlar tavakkalchilikni tahlil qilish va qarshi choralarni tanlash bosqichi tugagandan so'ng rejalashtirilgan. Ushbu rejalarning majburiy qismi - mavjud IS rejimining xavfsizlik siyosatiga muvofiqligini vaqti-vaqti bilan tekshirish, axborot tizimini (texnologiyani) ma'lum xavfsizlik standarti talablariga muvofiqligini sertifikatlash.
Axborot xavfsizligi siyosatini ishlab chiqishning asosiy bosqichlari quyidagilardan iborat:
- tashkilotning axborot muhiti va axborot xavfsizligining hozirgi holatini o'rganish;
- tadqiqot natijalariga ko'ra olingan ma'lumotlarni tahlil qilish;
- Axborot xavfsizligi siyosatini ishlab chiqish bo'yicha ish rejasini shakllantirish;
- tashkilotning axborot xavfsizligi siyosatini ishlab chiqish.
Axborot xavfsizligi masalalari bo'yicha tashkiliy va ma'muriy hujjatlar to'plamiga quyidagi hujjatlar turlari kiradi:
- tashkilotning axborot xavfsizligi siyosati - tashkilotning axborot resurslarini himoya qilishga qaratilgan asosiy printsiplar va qoidalarni tavsiflovchi yuqori darajadagi hujjat;
- siyosatda bayon etilgan asosiy printsiplar va qoidalarga muvofiq axborot xavfsizligini ta'minlash tartibi va usullarini batafsilroq ochib beradigan axborot xavfsizligi qoidalari;
- siyosat va me'yoriy hujjatlar talablarini inobatga olgan holda tashkilot mansabdor shaxslarining axborot xavfsizligini ta'minlash bo'yicha ko'rsatmalar;
- hisobotlar, jurnallar va boshqa past darajadagi qo'llanmalar kabi boshqa hujjatlar.
Xulosa
Zamonaviy tashkilotda axborot xavfsizligining etarli darajasi faqat kompleks yondashuv asosida ta'minlanishi mumkin, uni amalga oshirish samarali xavfsizlik siyosatini ishlab chiqish va amalga oshirishdan boshlanadi. Axborot xavfsizligi xavfini maqbul darajaga tushirish uchun bunday siyosat xavfsizlik talablarining zarur va etarli to'plamini belgilaydi. Xavfsizlik siyosati samarali bo'lib qolishi uchun uning bajarilishini doimiy ravishda nazorat qilib borish, tashkilot xodimlarining xavfsizlik masalalari to'g'risida xabardorligini oshirish va ularni o'zlari tomonidan belgilangan qoidalarga rioya qilishga o'rgatish zarur.
Do'stlaringiz bilan baham: |