Mavzu: Axborot xavfsizligi siyosati va uni boshqarish Reja



Download 231,07 Kb.
Sana29.11.2022
Hajmi231,07 Kb.
#875058

18-Ma’ruza


Mavzu: Axborot xavfsizligi siyosati va uni boshqarish


Reja:

  1. Tashkilot konteksti, xavfsizlikni boshqarish,

  2. Axborot xavfsizligi siyosati;

  3. Rahbariyat va direktorlar kengashi satxidagi kommunikatsiyalar.

  4. Axborot xavfsizligi siyosati shablonlari

Axborot xavfsizligi siyosati (yoki xavfsizlik siyosati) - tashkilotning maqsadlari va vazifalari hamda xavfsizlikni ta’minlash sohasidagi tadbirlar tavsiflanadigan yuqori darajadagi reja. Siyosat xavfsizlikni umumlashgan atamalarda, spetsifik detallarsiz tavsiflaydi. U xavfsizlikni ta’minlashning barcha dasturlarini rejalashtiradi. Axborot xavfsizligi siyosati tashkilot masalalarini yechish himoyasini yoki ish jarayoni himoyasini ta’minlashi shart.
Apparat vositalar va dasturiy ta’minot ish jarayonini ta’minlovchi vositalar hisoblanadi va ular xavfsizlik siyosati tomonidan qamrab olinishi shart. Shu sababli asosiy vazifa sifatida tizimni (jumladan tarmoq xaritasini) to‘liq inventarizatsiyalashni ko‘zda tutish lozim. Tarmoq xaritasini tuzishda har bir tizimdagi axborot oqimini aniqlash lozim. Axborot oqimlari sxemasi axborot oqimlari biznes-jarayonlami qanchalik ta’minlayotganini ko‘rsatishi mumkin hamda axborotni himoyalash va yashovchanligini ta’minlash uchun qo‘shimcha choralami ko‘rish muhim bo‘lgan sohani ko‘rsatishi mumkin. Undan tashqari bu sxema yordamida axborot ishlanadigan joyni, ushbu axborot qanday saqlanishi, qaydlanishi, joyini o‘zgartirishi va nazoratlanishi lozimligini aniqlash mumkin.
Inventarizatsiya apparat va dasturiy vositalardan tashqari dasturiy hujjat, apparatura hujjatlari, texnologik hujjat va h. kabi kompyuterga taalluqli bo‘lmagan resurslami ham qamrab olishi shart. Ushbu hujjatlar tarkibida tijoratni tashkil etish xususiyatlari to‘g‘risidagi axborot bo‘lishi mumkin va bu hujjatlar buzg‘unchilar foydalanishi mumkin bo‘lgan joylami ko‘rsatadi.
Axborot xavfsizligi siyosatini aniqlashda quyidagilar amalga oshirilishi lozim:
1. Axborot xavfsizligi sohasida amal qilinadigan hujjatlar va standartlami hamda axborot xavfsizligi siyosatining asosiy nizomlarini aniqlash, ya’ni:

  • kompyuter texnikasi vositalaridan, dasturlardan va ma’lumotlardan foydalanishni boshqarish;

  • virusga qarshi himoya;

  • rezervli nusxalash masalalari;

  • ta’mirlash va tiklash ishlarini o‘tkazish;

  • axborot xavfsizligi sohasidagi mojarolar xususida xabardor qilish

2. Xavf-xatarlami boshqarishga yondashishlami aniqlash, ya’ni himoyalanganlikning bazaviy sathi yetarli ekanligini yoki xavfxatarlami tahlillashning to‘liq variantini o‘tkazish talab etilishini aniqlash.
3. Axborot xavfsizligi rejimiga qo‘yiladigan talablami aniqlash.
4. Sathlar bo‘yicha qarshi choralami strukturizatsiyalash.
5. Axborot xavfsizligi sohasida sertifikatsiyalash tartibining standartlarga mosligini aniqlash.
6. Rahbariyatda axborot xavfsizligi mavzui bo‘yicha kengashlar o‘tkazish davriyligini, xususan, axborot xavfsizligi siyosatining nizomlarini qayta ko‘rish hamda axborot tizimining barcha kategoriyali foydalanuvchilarini axborot xavfsizligi masalalari bo‘yicha o‘qitish tartibini aniqlash.
Tashkilotning real xavfsizlik siyosati quyidagi bo‘limlami o‘z ichiga olishi mumkin:
- umumiy qoidalar;
- parollami boshqarish siyosati;
- foydalanuvchilami identifikatsiyalash;
- foydalanuvchilaming vakolatlari;
- tashkilot axborot resurslarini kompyuter vimslaridan himoyalash;
- tarmoq bog‘lanishlarini o‘matish va nazoratlash qoidalari;
- elektron pochta tizimi bilan ishlash bo‘yicha xavfsizlik siyosati qoidalari;
- axborot resurslari xavfsizligini ta’minlash qoidalari;
-foydalanuvchilaming xavfsizlik siyosati qoidalarini bajarish bo‘yicha majburiyatlari va h.
Qoidalar tashkilotning rivojlanishiga, yangi texnologiyalar, tizimlar va loyihalar paydo bo‘lishiga muvofiq o‘zgarishi lozim. Buning uchun qoidalami davriy ravishda qayta ко‘rib chiqish kerak. Xavfsizlik siyosatini qayta ко‘rib chiqish usullaridan biri axborot kommunikatsiya tizimlari auditi hisoblanadi. Shu sababli tashkilot xavfsizlik siyosati va tabiiyki, axborot xavfsizligi siyosati o‘zining hayotiy sikliga ega deyish mumkin (19 .l-rasm).



19.1-rasm. Xavfsizlik siyosatining hayotiy sikli.
Xavfsizlik siyosati qoidalarini qayta ко‘rib chiqish muddatlari xususida aniq bir ko‘rsatma mavjud emas. Ammo ushbu muddat olti oydan bir yilgacha belgilanishi tavsiya etiladi. Xavfsizlik qoidalari ishlab chiqilganidan va amalga kiritilganidan so‘ng foydalanuchilar axborot xavfsizligi talablari bilan tanishib chiqishlari, xodimlar esa qoidalami o‘rganishlari lozim. Mojarolar pay do bo‘lganda ishlab chiqilgan reja bo‘yicha harakatlanish tavsiya etiladi.
Axborot xavfsizligini ta’minlash masalalari bo‘yicha shug‘ullanadigan yetakchi tashkilotlar xavfsizlik siyosati shablonlarini ishlab chiqdilar. Masalan, SANS (System Administration Networking and Security) instituti turli xavfsizlik siyosatining shablonlari seriyasini ishlab chiqdi (www.sans.om/resources/Dolicies/).
Ushbu shablonlar tarkibiga quyidagi siyosatlar kiradi:

  • joiz shifrlash siyosati - tashkilotda ishlatiluvchi kriptografik algoritmlarga qo‘yiladigan talablami aniqlaydi;

  • joiz foydalanish siyosati - foydalanuvchilami, tashkilot resurslarini va axborotning o‘zini himoyalash uchun qurilmalardan va kompyuter xizmatlaridan foydalanishni aniqlaydi;

  • virusga qarshi himoya - tashkilot tarmog‘iga bo‘ladigan kompyuter viruslari tahdidlarini samarali kamaytirishning asosiy prinsiplarini belgilaydi;

  • xarid imkoniyatlarini baholash siyosati - tashkilot tomonidan himoya vositalarini xarid qilish imkoniyatlarini va axborot xavfsizligi guruhi tomonidan bajariladigan xarid qilinganlami baholashga qo‘yiladigan minimal talablami aniqlaydi;

  • zaifliklami skanerlash auditi siyosati - axborot resurslarining yaxlitligiga ishonch hosil qilish, muvofiqlikni o‘rnatish yoki foydalanish va tizim faolligining monitoringini o‘tkazish maqsadida auditni kuzatish hamda xavf-xatami baholash uchun talablami aniqlaydi va mas’ul shaxsni tayinlaydi;

  • avtomatik tarzda uzatiladigan pochta siyosati - menedjer yoki direktoming ruxsatisiz hech qanday pochta tashqi manbaga avtomatik tarzda yo‘naltirilmasligi talablarini hujjatlashtiradi;

  • mа’lumotlar bazasidagi vakolatlarni kodlash siyosati - ma’lumotlar bazasidagi foydalanuvchilar nomini va parollami xavfsiz saqlash va olish uchun talablami aniqlash;

  • telefon liniyasi orqali foydalanish siyosati - tegishli foydalanishni va undan avtorizatsiyalangan xodimlar tomonidan foydalanishni aniqlaydi;

  • demilitarizatsiyalangan zona xavfsizligi siyosati - demilitarizatsiyalangan zonada yoki tashqi tarmoq segmentlarida joylashgan laboratoriyalarda ishlatiladigan barcha tarmoq va qurilmalar uchun standartlami belgilaydi;

  • jiddiy axborot siyosati - konfidensiallikning mos darajalarini berish yo‘li bilan tashkilot axborotini tasniflashga va xavfsizligiga qo‘yiladigan talablami belgilaydi;

  • parollami himoyalash siyosati - parollami hosil qilish, himoyalash va almashtirish standartlarini aniqlaydi;

  • masofadan foydalanish siyosati - tashkilot uchun tashqi hisoblanuvchi har qanday xostning yoki tarmoqning tashkilot tarmog‘iga ulanish standartlarini aniqlaydi;

  • xavf-xatarni baholash siyosati - tijorat hamkorligi bilan assotsiyatsiyalangan tashkilot axborot infratuzilmasida xavf-xatarni identifikatsiyalash, baholash va kamaytirish uchun talablami aniqlaydi va mas’ul shaxslami tayinlaydi;

  • marshrutizator xavfsizligi siyosati - tashkilot ichki tarmog‘i yoki faoliyat (mahsulotni tayyorlash) uchun ishlatiladigan marshrutizatorlar va kommutatorlar uchun xavfsizlikning minimal konfiguratsiyasi standartlarini aniqlaydi;

  • server xavfsizligi siyosati - tashkilot ichki tarmog‘i yoki mahsulot sifatida ishlatiladigan serverlar uchun xavfsizlikning minimal konfiguratsiyasi standartlarini aniqlaydi;

  • VPN xavfsizligi siyosati - tashkilot tarmog‘i bilan IPSec yoki L2TPVPN ulanishlardan masofadan foydalanish uchun talablami aniqlaydi; - simsiz ulanishlar siyosati - tashkilot tarmog‘i bilan ulanish uchun ishlatiladigan simsiz tizim uchun standartlami aniqlaydi. Ta’kidlash lozimki, tashkilot qurilishining va faoliyat yuritishining o‘ziga xos xususiyatlariga bog‘liq holda tashkilotning xavfsizlik siyosati nabori shakllantiriladi.

Nazorat savollari:
1. Xavfsizlik siyosatini va uning ahamiyatini jzohlab bering.
2. Xavfsizlik siyosatini aniqlashda qanday amallardan foydalaniladi?
3. Xavfsizlik siyosati qaysi bo‘limlami o‘z ichiga olishi mumkinligini va ularnii mohiyatini tushuntirib bering
4. Xavfsizlik siyosatining hayotiy sikli qanday ifodalanadi?
5. SANS instituti taqdim etgan xavfsizlik siyosati shablonlarini yoritib bering.
Download 231,07 Kb.

Do'stlaringiz bilan baham:



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish