Jismoniy xavfsizlik Jismoniy xavfsizlikning maqsadi - resurslarga jismoniy kirish va zarar yetkazishning oldini olishdir. Ushbu axborot xavfsizligi siyosati jismoniy kirishni boshqarish uchun quyidagi asoslarni belgilaydi:
- asosiy jihozlarni (serverlar va boshqalar) izolyatsiyalash;
- maxfiy axborotni va uni qayta ishlash vositalaridan foydalanishda avtorizatsiya qilish;
- himoyalangan hududlarga kirish huquqlarini ko‘rish va yangilash.
Binolar ularga joylashtirilgan axborot resurslari/axborot tizimining ahamiyatiga ko‘ra tasniflanadi. Kategoriyaga muvofiq binolarni texnik jihatdan mustahkamlash, video nazorati, foydalanishni boshqarish, yongin va ovozli ogohlantirish xavfsizlik qurilmasi bilan jihozlangan bo‘lishi kerak.
Himoyalangan hududlarga kirish faqat vakolatli xodimlar (shaxslar) tomonidan nazorat qilinishi kerak. Axborot xavfsizligi sohasida xodimlarning foydalanish huquqlarini muntazam ravishda tahlil qilish.
Axborot tizimi begona shaxslarning tasodifiy yoki ruxsatsiz foydalanishiga yo‘l qo‘ymasligi hisobga olingan holda joylashtirilishi zarur.
Axborot xavfsizligi buzilishi holatlariga javob qaytarish
Axborot xavfsizligi buzilishi holatlari (noxush hodisalar) bo‘lgan taqdirda, axborot xavfsizligiga javobgar xodim tizim administratori bilan birgalikda ushbu axborot xavfsizligi siyosatiga muvofiq javob berishlari kerak.
Noxush hodisalarga - virus hujumlari, elektron pochtaga buzib kirish, axborotni o‘chirish yoki o‘zgartirish, maxfiy axborotni tarqalib ketishi, jumladan axborot tashuvchi qurilmalarni yuqolishi yoki o‘g‘irlanishi, shuningdek, boshqa xavfsizlikka oid buzilishlar, tahdidlar yoki tarmoqdagi ishdan chiqishlar kiradi.
Tashkilotning barcha xodimlari axborot xavfsizligi bo‘yicha ma’lum xolatlar yoki gumon qilingan shubxalar xaqida axborot xavfsizligi bo‘yicha mas’ul xodim yoki tizim administratoriga xabar berishlari, xamda xavfsizlik tizimining zaif tomonlarini eksplutatsiya qilishga urunmasliklari kerak.
Xavfsizlik tizimidagi da’vo qilingan kamchiliklarni o‘zboshimchalik bilan bartaraf etish taqiqlanadi!
Axborot xavfsizligi javobgar xodimi voqea hisobotlarini monitoring qilish va qayd qilishni ta’minlash, xamda ularni bartaraf etishda tegishli choralar ko‘rish uchun javobgardir. Axborot xavfsizligini ta’minlash uchun voqea-hodisalar hisobotini, xavfsizlikka oid kamchiliklar to‘g‘risidagi hisobotlarni, nosozliklar bo‘yicha hisobotlarni va "Elektron ta’lim" milliy tarmog‘ini o‘z ichiga oladigan tadbirlarni monitoring qilish tizimini yaratishi kerak bo‘ladi. Buning uchun axborot xavfsizligi mas’ul xodimi voqea jurnaliga profilaktik ishlarni bajarish, texnik va dasturiy ta’minotni o‘rnatish, xamda o‘zgarishlarni qayd etib boradi (19-ilova). Voqea jurnali Respublika ixtisoslashtirilgan onkologiya va radiologiya ilmiy-amaliy markazi Samarqand filiali tashkiloti rahbariyati tomonidan raqamlangan va muhirlangan bo‘lishi kerak.
Quyidagilar ro‘yxatdan o‘tishi shart:
- muvaffaqiyatsiz autentifikatsiya qilish urinishlari;
- tashkilot axborot xavfsizligi buzilishi;
- taqiqlangan qurilmalardan foydalanishga urinishlar;
- maxfiy ma’lumotlarga kirishga urinishlar;
- ommaviy axborot vositalarini joriy etish va olib tashlashga urinishlar;
- qurilmalar sozlamalarini ruxsatsiz o‘zgartirish;
- belgilangan cheklovlarni chetlab o‘tishga urinishlar.
Jurnalga kiritish faqat Respublika ixtisoslashtirilgan onkologiya va radiologiya ilmiy-amaliy markazi Samarqand filiali tashkiloti axborot xavfsizligi mas’ul xodimi va tizim administratori tomonidan boshqarilishi kerak.
Noxushlikni aniqlash uchun zaifliklarni kuzatib borish, uzluksiz takomillashtirish, monitoringini o‘tkazish, baholash va voqea-hodisalarni boshqarish bo‘yicha axborot xavfsizligini ta’minlash kerak.
Agar maxfiy axborotlar tarqalishi aniqlansa, maxfiy axborotlarni tarqalishi va qayta ishlashni to‘xtatib turish kerak.
Aloqa kanallarini ta’minlash
Ma’lumot uzatiladigan yoki boshqa axborot xizmatlarini amalga oshiradigan elektr va telekommunikatsiya kabel tarmoqlari axborot zararlanishidan himoyalangan bo‘lishi kerak.
Axborotga ishlov berish vositalarini bog‘laydigan elektr va telekommunikatsiya liniyalari, iloji bo‘lsa, yer osti yoki muqobil muxofazaga ega bo‘lishi kerak.
Tarmoq simini ruxsatsiz ulanishlardan yoki zararlanishlardan himoya qilish kerak, masalan, umumiy joylarni to‘sish uchun maxsus muhofaza yoki marshrutlash usuli yordamida.
Simsiz tarmoqlardan foydalangan xolda, virtual xususiy tarmoq yaratilishini ta’minlash kerak. Virtual xususiy tarmoqni boshqarish orqali xar bir virtual shaxsiy aloqa (VPN tuneli) sozlanadi.
Javobgarlik majburiyati
Ushbu qoidalar va axborot xavfsizligi siyosatini buzganlikda aybdor shaxslar ushbu Nizomga muvofiq shaxsan javobgardirlar.
Resurslarni taqsimlash va xavfsizlik tartib-tamoillarini amalga oshirish uchun javobgarlik Respublika ixtisoslashtirilgan onkologiya va radiologiya ilmiy-amaliy markazi Samarqand filiali tashkiloti boshqarma boshliqlarida qoladi.
Tashkilotda axborot xavfsizligini ta’minlash mas’uliyati axborot xavfsizligiga mas’ul xodim zimmasida.
Ish stansiyasi (shu jumladan jismoniy) xavfsizligi o‘z vazifalarini bajarishi uchun taqdim etilgan xodim tomonidan olib boriladi.
Mahalliy serverlarning xavfsizligi, «Elektron ta’lim» milliy tarmog‘i va cheklangan imkoniyatga ega boshqa muhim axborot resurslari uchun tizim administratori javobgar.
Ayrim resurslar uchun javobgarlik Respublika ixtisoslashtirilgan onkologiya va radiologiya ilmiy-amaliy markazi Samarqand filiali tashkilotining xodimlarining funksional majburiyatlarida belgilanadi.
Resurs egasi manbani himoya qilish vakolatini qisman yoki to‘liq boshqa shaxsga topshirishi mumkin, ammo bu resurs uchun mas’uliyat mavjudligicha qoladi.
Agar tashkilotda xodimlari kompyuteri axborot tizimini suiste’mol qilishda gumon qilinayotgan bo‘lsa, vazirlik rahbariyati tomonidan belgilanadigan komissiya rasmiy nazorati boshlanadi.
Qoidabuzarlik dalillari aniqlangandan keyin tashkilot raxbariyati tomonidan tashkilot ichki qoidalariga va amaldagi qonunlarga muvofiq shaxsiy javobgarlik choralari va intizomiy jazo olish uchun rasmiy bayonot yoziladi.
Axborot xavfsizligi siyosatini ko‘rib chiqish va yangilash tartibi
Axborot xavfsizligi tahriri siyosati yiliga bir marta, shuningdek, quyidagi xollarda amalga oshiriladi:
- axborot xavfsizligi to‘g‘risidagi yangi normativ-hukukiy xujjatlar va normalarni o‘zgartirish va tasdiqlash;
- texnik vositalarning konfiguriyatsiyasi va sozlamalarini o‘zgartirish;
- xizmat ko‘rsatuvchi xodimlar va ularning axborot xavfsizligi uchun mas’ul xodimlari va tarkibi o‘zgarishi.
Axborot xavfsizligi siyosati axborot jarayonlari texnologiyasini o‘zgartirish yoki axborotni himoya qilishning yangi texnik vositalaridan foydalanishda to‘liq qayta ko‘rib chiqilishi kerak.
Axborot xavfsizligi bo‘yicha qabul qilingan
chora-tadbirlar siyosatga muvofiq ravishda muntazam tekshirilishi kerak.
