Ma’lumot xavfsizligining ma’muriy darajasi

Download 15,74 Kb.

Sana	14.07.2022
Hajmi	15,74 Kb.
	#799700

Bog'liq
30-mavzu.Ma’lumot xavfsizligining ma’muriy darajasi

Ma’lumot xavfsizligining ma’muriy darajasi
Ma'muriy darajadagi chora - tadbirlarning asosiy maqsadi axborot xavfsizligi sohasidagi ishlar dasturini shakllantirish va uni amalga oshirishni ta'minlash, zarur resurslarni ajratish va ishlarning holatini nazorat qilishdir.
Dasturning asosi-tashkilotning axborot aktivlarini himoya qilish yondashuvini aks ettiruvchi xavfsizlik siyosati. Har bir tashkilotning rahbariyati xavfsizlik rejimini saqlab qolish va ushbu maqsadlarga katta resurslarni ajratish zarurligini tushunishi kerak.
Xavfsizlik siyosati tashkilotning axborot tizimi uchun haqiqiy deb topilgan xatarlarni tahlil qilish asosida qurilgan. Xatarlar tahlil qilinib, mudofaa strategiyasi aniqlanganda axborot xavfsizligini ta'minlash dasturi tuziladi. Ushbu dastur uchun resurslar ajratiladi, mas'ul shaxslar tayinlanadi, dastur bajarilishini nazorat qilish tartibi belgilanadi va hokazo.
"Xavfsizlik siyosati" atamasi ingliz tilidagi "xavfsizlik siyosati" iborasining to'liq tarjimasi emas, ammo bu holda kuzatuv varaqasi ushbu kontseptsiyaning ma'nosini lingvistik jihatdan to'g'ri "xavfsizlik qoidalari"ga qaraganda yaxshiroq aks ettiradi. Biz alohida qoidalar yoki ularning to'plamlarini (bunday qarorlar qabul qilinadigan protsessual darajaga) emas, balki tashkilotning axborot xavfsizligi strategiyasini yodda tutamiz. Strategiyani ishlab chiqish va uni amalga oshirish uchun, shubhasiz, eng yuqori darajada qabul qilingan siyosiy qarorlar kerak.
Xavfsizlik siyosati ostida biz tashkilot rahbariyati tomonidan qabul qilingan va axborot va unga aloqador resurslarni himoya qilishga qaratilgan hujjatlashtirilgan qarorlar to'plamini tushunamiz.
Bunday talqin, albatta, kirishni ajratish qoidalariga qaraganda ancha kengroq (bu "apelsin kitobi" da "xavfsizlik siyosati" atamasi va uning asosida qurilgan boshqa mamlakatlarning me'yoriy hujjatlarida nazarda tutilgan).
Tashkilotning IP-si va u bilan bog'liq bo'lgan sub'ektlarning manfaatlari ob'ektga yo'naltirilgan yondashuvni va batafsil ma'lumot darajasini tushunish zarur bo'lgan murakkab tizimdir. Biz misolda qilgan va yana bir bor qiladigan kamida uchta darajani ajratish tavsiya etiladi.
IP-ni mavzu bo'yicha ko'rib chiqish uchun tegishli ma'lumotlardan foydalanib, axborot tizimining xaritasini tuzish kerak. Ushbu xarita, albatta, ob'ektga yo'naltirilgan uslubda amalga oshirilishi kerak, bu nafaqat tafsilot darajasini, balki ob'ektlarning ko'rinadigan yuzlarini ham o'zgartirishi mumkin. Bunday xaritalarni tuzish, qo'llab-quvvatlash va vizualizatsiya qilishning texnik vositasi har qanday nazorat tizimining erkin tarqatiladigan ramkasi bo'lib xizmat qilishi mumkin.
Xavfsizlik siyosati
Amaliy nuqtai nazardan, xavfsizlik siyosatini uch darajadagi batafsil ko'rib chiqish maqsadga muvofiqdir. Yuqori darajaga butun tashkilotga ta'sir ko'rsatadigan qarorlar kiradi. Ular tabiatda juda keng tarqalgan va odatda tashkilot rahbariyatidan keladi. Bunday echimlarning taxminiy ro'yxati quyidagi elementlarni o'z ichiga olishi mumkin:
keng qamrovli axborot xavfsizligini ta'minlash dasturini tuzish yoki qayta ko'rib chiqish, dasturni ilgari surish uchun mas'ul shaxslarni tayinlash to'g'risidagi qaror;
tashkilotning axborot xavfsizligi sohasidagi maqsadlarini shakllantirish, ushbu maqsadlarga erishishda umumiy yo'nalishlarni aniqlash;
qonun va qoidalarga rioya qilish uchun asos yaratish;
tashkilot darajasida ko'rib chiqilishi kerak bo'lgan xavfsizlik dasturini amalga oshirish masalalari bo'yicha ma'muriy qarorlarni shakllantirish.
Yuqori darajadagi siyosat uchun tashkilotning axborot xavfsizligi maqsadlari yaxlitlik, mavjudlik va maxfiylik nuqtai nazaridan shakllantiriladi. Agar tashkilot muhim ma'lumotlar bazalarini saqlab qolish uchun mas'ul bo'lsa, birinchi navbatda yo'qotish, shikastlanish yoki ma'lumotlar buzilishining kamayishi mumkin. Kompyuter texnikasini sotish bilan shug'ullanadigan tashkilot uchun taqdim etilgan xizmatlar va narxlar haqidagi ma'lumotlarning dolzarbligi va potentsial xaridorlarning maksimal soni mavjudligi muhim ahamiyatga ega. Rejimli korxona rahbariyati birinchi navbatda ruxsatsiz kirishdan himoya qilish, ya'ni maxfiylik haqida qayg'uradi.
Yuqori darajadagi himoya resurslarini boshqarish va ushbu resurslardan foydalanishni muvofiqlashtirish, muhim tizimlarni himoya qilish uchun maxsus xodimlarni ajratish va xavfsizlik rejimini ta'minlaydigan yoki nazorat qiluvchi boshqa tashkilotlar bilan hamkorlik qilish.
Yuqori darajadagi siyosat uning ta'sir doirasini aniq belgilashi kerak. Ehtimol, bu tashkilotning barcha kompyuter tizimlari bo'lishi mumkin (yoki undan ham ko'proq, agar siyosat o'z uy kompyuterlari xodimlari tomonidan foydalanishning ayrim jihatlarini tartibga solsa). Biroq, ta'sir doirasi faqat eng muhim tizimlarni o'z ichiga olgan vaziyat ham mumkin.
Siyosat xavfsizlik dasturini ishlab chiqish va uni amalga oshirish uchun mansabdor shaxslarning majburiyatlarini belgilashi kerak. Shu ma'noda xavfsizlik siyosati xodimlarning hisobdorligi uchun asos bo'lib xizmat qiladi.
Yuqori darajadagi siyosat qonunga rioya qilish va ijro intizomining uch jihati bilan bog'liq. Birinchidan, tashkilot mavjud qonunlarga rioya qilishi kerak. Ikkinchidan, xavfsizlik dasturini ishlab chiqishga mas'ul shaxslarning harakatlarini nazorat qilish kerak. Nihoyat, xodimlarning muayyan darajada ijro etilishini ta'minlash kerak va buning uchun mukofot va jazo tizimini ishlab chiqish kerak.
Umuman olganda, eng yuqori darajaga minimal savollar berilishi kerak. Bunday pul mablag'lari katta miqdorda tejashni va'da qilganda yoki boshqacha qilib aytganda, bu mumkin emas.

Buyuk Britaniyaning BS 7799 standarti: 1995 tashkilotning xavfsizlik siyosatini tavsiflovchi hujjatga quyidagi bo'limlarni kiritishni tavsiya qiladi:

axborot xavfsizligi muammolari bo'yicha yuqori boshqaruvning tashvishlarini tasdiqlovchi kirish;
axborot xavfsizligi sohasidagi ishlar uchun mas'ul bo'linmalar, komissiyalar, guruhlar va h. k. larning tavsifini o'z ichiga olgan tashkiliy;
tashkilotda mavjud bo'lgan moddiy va axborot resurslarini va ularni himoya qilishning zarur darajasini tavsiflovchi tasniflash;
xodimlarga qo'llaniladigan xavfsizlik choralarini tavsiflovchi xodimlar (axborot xavfsizligi nuqtai nazaridan lavozimlarning tavsifi, xodimlarni o'qitish va qayta tayyorlashni tashkil etish, xavfsizlik rejimining buzilishiga javob berish tartibi va boshqalar);
jismoniy himoya masalalarini yorituvchi bo'lim ;
kompyuter va kompyuter tarmoqlarini boshqarish yondashuvini tavsiflovchi boshqarish bo'limi;
ishlab chiqarish ma'lumotlariga kirishni ajratish qoidalarini tavsiflovchi bo'lim;
tizimlarni ishlab chiqish va qo'llab-quvvatlash tartibini tavsiflovchi bo'lim;
tashkilotning uzluksiz ishlashini ta'minlashga qaratilgan chora-tadbirlarni tavsiflovchi bo'lim;
xavfsizlik siyosatining amaldagi qonunchilikka muvofiqligini tasdiqlovchi huquqiy bo'lim.
O'rta darajadagi axborot xavfsizligining alohida jihatlari bilan bog'liq masalalarni o'z ichiga oladi, ammo tashkilot tomonidan boshqariladigan turli tizimlar uchun muhimdir. Bunday savollarga misollar-ilg'or (lekin, ehtimol, etarlicha tekshirilmagan) texnologiyalarga bo'lgan munosabat, Internetga kirish (tashqi tahdidlarga qarshi himoya bilan axborot olish erkinligini qanday birlashtirish mumkin ?), uy kompyuterlaridan foydalanish, foydalanuvchilarning norasmiy dasturiy ta'minotini qo'llash va boshqalar.
O'rta darajadagi siyosat har bir jihat uchun quyidagi mavzularni yoritishi kerak:
Jihatning tavsifi. Misol uchun, agar foydalanuvchilar norasmiy dasturiy ta'minotni qo'llashni ko'rib chiqsalar, u tashkilot darajasida tasdiqlanmagan va/yoki sotib olinmagan dastur sifatida belgilanishi mumkin.
Dastur maydoni. Qaerda, qachon, qanday qilib, kimga va nima uchun bu xavfsizlik siyosati qo'llanilishini aniqlash kerak. Masalan, norasmiy dasturiy ta'minot, subpudratchi tashkilotlar bilan bog'liq siyosat bormi? Portativ va uy kompyuterlaridan foydalanadigan va ma'lumotni ishlab chiqarish mashinalariga ko'chirishga majbur bo'lgan xodimlarga ta'sir qiladimi?
Tashkilotning bu jihatdan pozitsiyasi. Norasmiy dasturiy ta'minot bilan misolni davom ettirsangiz, to'liq taqiqning pozitsiyasini tasavvur qilishingiz mumkin, bunday dasturiy ta'minotni qabul qilish tartibini ishlab chiqish va boshqalar. Umuman olganda, xavfsizlik siyosatini belgilovchi hujjatlar uslubi (ularning ro'yxati kabi) turli tashkilotlarda juda farq qilishi mumkin.
Rollar va majburiyatlar. "Siyosiy" hujjat xavfsizlik siyosatini amalga oshirish uchun mas'ul mansabdor shaxslar haqida ma'lumot o'z ichiga olishi kerak. Misol uchun, agar norasmiy dasturiy ta'minotdan foydalanish uchun xodimlar rahbarlik ruxsatini talab qilsa, kimga va qanday qilib olinishi mumkinligi ma'lum bo'lishi kerak. Agar norasmiy dasturiy ta'minotni ishlatish mumkin bo'lmasa, ushbu qoida bajarilishini kim kuzatayotganini bilishingiz kerak.
Qonunga rioya qilish. Siyosat ular uchun taqiqlangan harakatlar va jazolarning umumiy tavsifini o'z ichiga olishi kerak.

Aloqa nuqtalari. Tushuntirishlar, yordam va qo'shimcha ma'lumotlarga qaerga murojaat qilish kerakligini bilish kerak. Odatda" aloqa nuqtasi " ma'lum bir mansabdor shaxs bo'lib, hozirgi paytda ushbu lavozimni egallagan shaxs emas.

Pastki darajadagi xavfsizlik siyosati muayyan axborot xizmatlariga ishora qiladi. Bu ikki jihatni o'z ichiga oladi - ularga erishish maqsadlari va qoidalari, shuning uchun ba'zan uni amalga oshirish masalalaridan ajratish qiyin. Ikki yuqori darajadan farqli o'laroq, ushbu siyosat batafsilroq aniqlanishi kerak. Butun tashkilot doirasida yagona tartibga solinmagan ayrim turdagi xizmatlarga xos bo'lgan ko'p narsalar mavjud. Shu bilan birga, bu narsalar xavfsizlik rejimini ta'minlash uchun juda muhimdir, chunki ular bilan bog'liq qarorlar texnik darajada emas, balki boshqaruvda amalga oshirilishi kerak.

Download 15,74 Kb.

Do'stlaringiz bilan baham: