|
Inventarizatsiyadan so'ng resurslar tasniflanadi. Har bir manbaning qiymati odatda bir nechta alohida o'zgaruvchilar funktsiyasi sifatida ifodalanadi. Axborot resursining tasnifiga misol keltiraylik. Ma'lumotlarning maxfiylik darajasi odatda quyidagi parametrlarga ega bo'lgan asosiy o'zgaruvchi sifatida tanlanadi:
- davlat sirlarini o'z ichiga olgan ma'lumotlar;
- tijorat sirlarini o'z ichiga olgan ma'lumotlar;
- maxfiy ma'lumotlar (tijorat yoki davlat siri hisoblanmaydigan ma'lumotlar, garchi oshkor qilinishi istalmagan bo'lsa ham);
- bepul ma'lumot.
Keyingi o'zgaruvchini u yoki bu resursning axborot xavfsizligining asosiy uch jihati buzilishiga nisbati sifatida tanlash mumkin. Masalan, ish telefonlari ma'lumotlar bazasi mavjudligi uchun 81, maxfiyligi uchun 2 va yaxlitligi uchun 4 ga baholanishi mumkin. Keyinchalik, xavf tahlili o'tkaziladi. Har bir axborot resursi uchun uning yaxlit qiymati va mumkin bo'lgan tahdidlar aniqlanadi. Tahdidlarning har biri uning ma'lum bir manbaga qo'llanilishi, yuzaga kelishi ehtimoli va mumkin bo'lgan zarar nuqtai nazaridan baholanadi. Ushbu tahlil natijalariga ko'ra, axborot xavfsizligi siyosatining tasnif bo'limi tuziladi.
Ichki bo'lim xodimlarning xatosi, o'g'irlik, firibgarlik yoki resurslardan noqonuniy foydalanish xavfini kamaytirishga qaratilgan. Kelgusida ushbu bo'lim axborot xavfsizligi bo'limlari va xizmatlari uchun foydalanuvchilarning lavozim tavsiflari va ko'rsatma hujjatlarini tuzish uchun ishlatiladi. Hujjatga quyidagi bo'limlarni kiritish maqsadga muvofiqdir:
- yollangan xodimlarni tekshirish qoidalari (shu jumladan, qabul qilish uchun arizalarni topshirish qoidalari, kerakli hujjatlar, rezyume shakli, tavsiyalar va hk. Bundan tashqari, har xil toifadagi xodimlar bilan suhbat o'tkazish zarurati, shakli va tartibi aniqlanadi. bu erda ham tasvirlangan.);
- axborot resurslariga nisbatan foydalanuvchilarning majburiyatlari va huquqlari (foydalanuvchilarning ish joyini saqlash majburiyatlari, shuningdek axborot resurslari bilan ishlashda);
- foydalanuvchilarni o'qitish va axborot resurslari bilan ishlash tartibi (har xil toifadagi ishchilar uchun zarur bo'lgan bilimlar, axborot resurslaridan foydalanish bo'yicha ko'rsatmalarni berish chastotasi va tartibi. Foydalanuvchilar tomonidan barcha protsessual masalalar to'g'risida aniq ma'lumot talab qilinadi). tizim, parolni o'zgartirish, yangilash antivirus ma'lumotlar bazalari, dasturiy paketlar bilan ishlash va boshqalar). Bundan tashqari, foydalanuvchini axborot resurslariga ulash tartibi (kerakli hujjatlar, muvofiqlashtiruvchi shaxslar va bo'limlar) tasvirlangan;
- ma'murlarning huquq va majburiyatlari (tizimning normal ishlashi uchun axborot xavfsizligi ma'murlari etarli huquqlarga ega bo'lishi kerak. Virus tashuvchi ish stantsiyasining tarmog'idan yoki axborot resursidan uzilish - bu texnologik jarayonni buzish emas, balki zarurat);
- axborot xavfsizligiga tahdid soladigan hodisalarga javob berish tartibi (tizim xavfsizligiga tahdidlarga o'z vaqtida javob berish uchun, bunday tizimlarga xabar berish va ularga javob berishning rasmiy tartib -qoidalari aniq belgilanishi kerak. Barcha foydalanuvchilar tayinlanganlarga xabar berishlari shart. xavfsizlik tizimidagi noaniqliklar va zaifliklar, dasturiy va apparatdagi nosozliklar haqida odamlar (apparatdagi nosozlik alomatlarini qayd etish usullari aniqlanishi va foydalanuvchilarga etkazilishi kerak);
- jazo choralarini qo'llash tartibi (korxonada o'rnatilgan axborot xavfsizligi qoidalarini buzganlik uchun jazo tayinlash tartibining tavsifini o'z ichiga oladi. Jazo choralari va javobgarlik darajasi hujjatlashtirilishi kerak). Jismoniy himoya choralari korxona turiga qarab har xil bo'lishi mumkin. Har bir korxona uchun tavakkalchilik tahliliga asoslanib, binolar turlarini va ular uchun zarur bo'lgan xavfsizlik choralarini qattiq ta'riflash kerak. Xavfsizlik choralariga panjara, qulf o'rnatish, binolarga kirish tartibi, elektromagnit himoya vositalari va boshqalar kiradi. Bundan tashqari, ish stolidan foydalanish qoidalarini va materiallarni yo'q qilish usullarini o'rnatish kerak (har xil) magnit tashuvchilar, qog'oz hujjatlar, birliklar), dasturiy va texnik vositalarni tashkilotdan tashqarida olib tashlash qoidalari.
Kompyuterlar va ma'lumotlarni uzatish tarmoqlarini boshqarishga yondashuvlarni tavsiflovchi boshqaruv bo'limlari va tizimlarni ishlab chiqish va joriy etish tartibi ma'lumotlar bilan ishlashning standart operatsion protseduralarini, tizimlarni ishga tushirish qoidalarini (tizimlarni qabul qilish) va ularning ishini auditini tavsiflaydi. . Bundan tashqari, ushbu bo'limda korxonani zararli dasturlardan himoya qilish tartibi ko'rsatilgan (xususan, virusga qarshi tizim qoidalari).
Tizimlarning salomatligi va zaxira nusxalarini tekshirish tartibini belgilaydi. Korxonada foydalanish uchun tasdiqlangan standart dasturiy ta'minotni tavsiflaydi. Bu erda himoya tizimlari ham tasvirlangan. E -pochta, elektron raqamli imzo va korxonada ishlaydigan boshqa kriptografik va autentifikatsiya tizimlari. Bu juda muhim, chunki bu borada Rossiya qonunchiligi qattiq. Tizimga kirish huquqlari hujjatlashtirilishi va ularni berish tartibi belgilanishi kerak. normativ hujjatlar... Kirish huquqini berish to'g'risidagi arizalarni tasdiqlash uchun mas'ul lavozimlar, shuningdek huquqlarni taqsimlash uchun mas'ul shaxslar ko'rsatilishi kerak. Bundan tashqari, axborot xavfsizligiga jiddiy talablar qo'yiladigan tashkilotlarda tizimlarga va uni amalga oshiruvchi shaxslarga kirish huquqlarini tekshirish tartibi belgilanadi. Bu bo'limda shuningdek, foydalanuvchi parollarining qoidalari (siyosati) tasvirlangan.
Do'stlaringiz bilan baham: |
