Jamiyatning axborot muhitidagi manfaatlari ushbu muhitda shaxs manfaatlarini ta’minlashni, demokratiyani mustahkamlashni, huquqiy ijtimoiy davlatm yaratishni, jamiyat inoqligiga erishish va uni madadlashni, mamlakatning ma’naviy yangilanishini ko‘zda tutadi.
Davlatning axborot muhitidagi manfaatlari inson va fuqa- roning axborot olishidagi konstitutsiyaviy huquq va erkinligini ta’minlashni, olingan axborotdan konstitutsiyaviy tuzumning mustah- kamligini, davlat suvereniteti va hududiy yaxlitligini, siyosiy, iqtisodiy va ijtimoiy barqarorlikni hamda qonuniylikni va huquqiy tartibni, teng huquqli va o’zaro foydali xalqaro hamkorlikni ta’min- lash maqsadida foydalanishdagi shart-sharoitlarni yaratish uchun axborot infrastrukturasining garmomk rivojini ko'zda tutadi.
Nazorat savollari:
Axborot xavfsizligmi ta’minlash vazifalari nima va u qaysi asosiy guruhlarni o‘z ichiga oladi?
Axborot xavfsizligi subyektlarining kategoriyalarini tushun- tirib bering.
Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab olgan konfidensiallik, yaxlitlik, identifikatsiya va autentifikatsiya kabi masalalarini yoritib bering
Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab olgan vakolat berish, foydalanishni nazoratlash, mulklik huquqi, sertifikatsiya kabi masalalarini yoritib bering.
Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab olgan imzo, voz kechmaslik, sanasini yozish kabi masalalarini yoritib bering.
Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab olgan olganligiga tilxat berish, bekor qilish, anonimlik kabi masalalarini yoritib bering.
Axborot xavfsizligini ta’minlash darajalarini tavsiflab bering.
Axborot xavfsizligi siyosati (yoki xavfsizlik siyosati) - tashkilotning maqsadlari va vazifalari hamda xavfsizlikni ta’minlash sohasidagi tadbirlar tavsiflanadigan yuqori darajadagi reja. Siyosat xavfsizlikni umumlashgan atamalarda, spetsifik detallarsiz tavsif- laydi. U xavfsizlikni ia’minlashning barcha dasturlarini rejalash- tiradi. Axborot xavfsizligi siyosati tashkilot masalalarini yechish himoyasini yoki ish jarayoni himoyasini ta’minlashi shart.
Apparat vositalar va dasturiy ta’minot ish jarayonini ta’minlovchi vositalar hisoblanadi va ular xavfsizlik siyosati tomonidan qamrab olinishi shart. Shu sababli asosiy vazifa sifatida tizimni (jumladan tarmoq xaritasini) to‘liq inventarizatsiyalashni ko‘zda tutish lozim. Tarmoq xaritasini tuzishda har bir tizimdagi axborot oqimini aniqlash lozim. Axborot oqimlari sxemasi axborot oqimlari biznes-jarayonlami qanchalik ta’minlayotganini ko‘rsatishi mumkin hamda axborotni himoyalash va yashovchanligini ta’minlash uchun qo‘shimcha choralami ko‘rish muhim bo‘lgan sohani ko‘rsatishi mumkin. Undan tashqari bu sxema yordamida axborot ishlanadigan joyni, ushbu axborot qanday saqlanishi, qaydlanishi, joyini o‘zgartirislu va nazoratlanishi lozimligini aniqlash mumkin.
Inventarizatsiya apparat va dasturiy vositalardan tashqari dasturiy hujjat, apparatura hujjatlari, texnologik hujjat va h. kabi kompyuterga taalluqli bo‘lmagan resurslarni ham qamrab olishi shart. Ushbu hujjatlar tarkibida tijoratni tashkil etish xususiyatlari to‘g‘risidagi axborot boTishi mumkin va bu hujjatlar buzg‘unchilar foydalanishi mumkin bo‘lgan joylarni ko‘rsatadi.
Axborot xavfsizligi siyosatini aniqlashda quyidagilar amalga oshirilishi lozim:
Axborot xavfsizligi sohasida amal qilinadigan hujjatlar va standartlarni hamda axborot xavfsizligi siyosatining asosiy nizom- larini aniqlash, ya’ni:
kompyuter texnikasi vositalaridan, dasturlardan va ma’lumot- lardan foydalanishni boshqarish;
virusga qarshi himoya;
rezervli nusxalash masalalari;
ta’mirlash va tiklash ishlarini o‘tkazish;
axborot xavfsizligi sohasidagi mojarolar xususida xabardor qilish.
Xavf-xatarlarni boshqarishga yondashishlarni aniqlash, ya’ni himoyalanganlikning bazaviy sathi yetarli ekanligini yoki xavf- xatarlami tahlillashning to‘liq variantini o‘tkazish talab etilishini aniqlash.
Axborot xavfsizligi rejimiga qo‘yiladigan talablami aniqlash.
Sathlar bo'yicha qarshi choralarni strukturizatsiyalash.
Axborot xavfsizligi sohasida sertifikatsiyalash tartibining standartlarga mosligini aniqlash.
Rahbariyatda axborot xavfsizligi mavzui bo‘yicha kengash- lar o'tkazish davriyligini, xususan, axborot xavfsizligi siyosatining nizomlarini qayta ko‘rish hamda axborot tizimining barcha kategoriyali foydalanuvchilarini axborot xavfsizligi masalalari bo‘yicha o‘qitish tartibini aniqlash.
Tashkilotning real xavfsizlik siyosati quyidagi bo‘limlami o‘z ichiga olishi mumkin:
umumiy qoidalar;
parollami boshqarish siyosati;
foydalanuvchilami identifikatsiyalash;
foydalanuvchilaming vakolatlari;
tashkilot axborot resurslarini kompyuter viruslaridan himoyalash;
tarmoq bog‘lanishlarini o‘rnatish va nazoratlash qoidalari;
elektron pochta tizimi bilan ishlash bo‘yicha xavfsizlik siyosati qoidalari;
axborot resurslari xavfsizligini ta’minlash qoidalari;
foydalanuvchilaming xavfsizlik siyosati qoidalarini bajarish bo‘yicha majburiyatlari va h.
Qoidalar tashkilotning rivojlanishiga, yangi texnologiyalar, tizimlar va loyihalar paydo bo'lishiga muvoflq o‘zgarishi lozim. Buning uchun qoidalarni davriy ravishda qayta ko‘rib chiqish kerak. Xavfsizlik siyosatini qayta ko‘rib chiqish usullaridan biri axborot kommunikatsiya tizimlari auditi hisoblanadi. Shu sababli tashkilot xavfsizlik siyosati va tabiiyki, axborot xavfsizligi siyosati o‘zining hayotiy sikliga ega deyish mumkin (1,1-rasm).
15
1.1 -rasm. Xavfsizlik siyosatining hayotiy sikli.
Xavfsizlik siyosati qoidalarini qayta ko‘rib chiqish muddatlari xususida aniq bir ko‘rsatma mavjud emas. Ammo ushbu muddat olti oydan bir yilgacha belgilanishi tavsiya etiladi.
Xavfsizlik qoidalari ishlab chiqilganidan va amalga kiritil- ganidan so‘ng foydalanuchilar axborot xavfsizligi talablari bilan tanishib chiqishlari, xodimlar esa qoidalarni o‘rganishlari lozim. Mojarolar paydo bolganda ishlab chiqilgan reja bo‘yicha hara- katlanish tavsiya etiladi.
Axborot xavfsizligini ta’minlash masalalari bo‘yicha shug‘ul- lanadigan yetakchi tashkilotlar xavfsizlik siyosati shablonlarini ishlab chiqdilar. Masalan, SANS (System Administration Networking and Security) instituti turli xavfsizlik siyosatining shablonlari seriyasini ishlab chiqdi (www.sans.ощ/resources/policies/).
Ushbu shablonlar tarkibiga quyidagi siyosatlar kiradi:
- joiz shifrlash siyosati - tashkilotda ishlatiluvchi kriptografik algoritmlarga qo‘yiladigan talablami aniqlaydi;
Do'stlaringiz bilan baham: |