Axborot xavfsizligining siyosati

 
152 
Tashkiliy  ta`minot  konfidenitsal  axborotdan  foydalanishga  imkon  bermaydigan  yoki 
jiddiy 
qiyinchilik 
tug’diruvchi 
ijrochilarning 
ishlab-chikarish 
va 
o`zaro 
munosabatlarini me`yoriy-huquqiy asosida reglamentlashdir. 
Tashkiliy tadbirlarga quyidagilar kiradi: 
- 
xizmatchi  va  ishlab  chiqarish  bino  va  xonalarni  loyihalashda,  qurishda  va 
jihozlashda  amalga  oshiriladigan  tadbirlar.  Bu  tadbirlarning  asosiy  maqsadi  hududga 
va  xonalarga  yashirincha  kirish  imkonini  yo`qotish;  odamlarning  va  transportning 
yurishi  nazoratining  qulayligini  ta`minlash;  foydalanishning  alohida  tizimiga  ega 
bo`lgan ishlab chiqarish zonalarini yaratish va h.; 
- 
xodimlarni tanlashda amalga oshiriladigan tadbirlar. Bu tadbirlarga hodimlar bilan 
tanishish,  konfidentsial  axborot  bilan  ishlash  qoidalari  bilan  ishlashni  o`rgatish, 
axborot  himoyasi  qoidasini  buzganligi  uchun  javobgarlik  darajasi  va  h;  bilan 
tanishtirish kiradi; 
- 
ishonchli  ruxsatnoma  rejimini  va  tashrif  buyuruvchilarning  nazoratini  tashkil 
qilish; 
- 
xona va hududlarni ishonchli qo`riqlash; 
- 
hujjatlar va konfidentsial axborot eltuvchilarini saqlash va ishlatish, shu jumladan, 
qayd etish, berish, bajarish va qaytarish tartiblariga a rioya qilish; 
- 
axborot  himoyasini  tashkil  etish,  ya`ni  muayyan  ishlab  chiqarish  jamoalarida 
axborot xavfsizligiga javobgar shaxsni tayinlash, konfidentsial axborot bilan ishlovchi 
xodimlar ishini muntazam tekshirib turish. 
Bunday tadbirlar har bir muayyan tashkilot uchun o`ziga xos xususiyagga ega bo`ladi. 
Tashkiliy  tadbirlarning  talaygina  qismini  xodimlar  bilan  ishlash  egallaydi. 
Mulkchilikning  turli  shakllariga  ega  bo`lgan  korxona  xodimlari  bilan  ishlashda 
tashkiliy tadbirlar, umumiy holda quyidagilarni o`z ichiga oladi: 
- 
ishga qabul qilishda suhbat. Suhbat natijasida nomzodning mos bo`sh joyga qabul 
qilinishi maqsadga muvofiqligi aniqlanadi; 
- 
muayyan  korxonada  konfidentsial  axborot  bilan  ishlash  qoidalari  va  muolajalari 
bilan tanishish; ishga qabul qilinuvchi korxona tijorat sirlarini saqlashi bo`yicha tilxat 
va firma sirlarini oshkor qilmaslikka va`da beradi; 
- 
xodimlarni konfidentsial axborot bilan ishlash qoidalari va muolajalariga o`qitish. 
Xodimlarni  o`qitishda  nafaqat  ishlab  chiqarish  ko`nikmalariga  ega  bo`lish  va  ularni 
yuqori  darajada  saqlash,  balki  ularni  sanoat  (ishlab  chiqarish)  maxfiyligi  axborot 
xavfsizligi, intellektual mulk va tijorat sirlari himoyasi talablarini bajarish zarurligiga 
qat’iy  ishonch  ruhida  tarbiyalash  ko`zda  tutiladi.  Muntazam  o`qitish  rahbariyat  va 
xodimlarning  korxona  tijorat  manfaatlarini  himoya  qilish  masalalari  bo`yicha 
bilimdonlik darajasini oshishiga imkon yaratadi; 
- 
ishdan  bo`shaganlar  bilan  suhbat.  Suhbat  davomida  ishdan  bo`shayotgan 
xodimning  firma  sirlarini  fosh  qilmaslikka  qat’iy  va`da  berishi  lozimligi  ta`kidlanadi 

 
153 
va bu va`da, odatda, tilxat orqali rasmiylashtiriladi. 
Tadbirlarning muhim yo`nalishlaridan biri ish yuritish va hujjat yuritish tizimini puxta 
tashkil  etish  hisoblanadi.  Bu  esa,  o`z  navbatida,  ish  yuritish  tartibini,  hujjatlarni 
qaydlash,  ishlash,  saqlash,  yo`qotish  va  mavjudligini  hamda  to`g’ri  bajarilishini 
nazorat  qilishni  ta`minlaydi.  Tizimni  amalga  oshirishda  hujjatlar  xavfsizligiga  va 
axborot konfidentsialligiga alohida e`tibor berish lozim. 
Axborotni hujjatlashtirish qat’iy belgilangan qoidalar yordamida amalga oshiriladi. Bu 
qoidalarning  asosiylari  DavST  6.38-90  «Tashkiliy-boshqaruvchi  hujjatlar  tizimi. 
Hujjatlarni  rasmiylashtirishga  talablar»,  DavST  6.10.4-84  «Unifikatsiyalangan 
hujjatlar  tizimi.  Hisoblash  texnika  vositalari  orqali  yaratiluvchi  mashina 
eltuvchilaridagi  va  mashinogrammalardagi  hujjatlarga  huquqiy  kuch  berish»  kabilar 
bayon  etilgan.  Bu  DavST  larda  axborotga  hujjat  huquqini  beruvchi  31  ta  rekvizitlar 
ko`zda tutilgan, ammo bu rekvizitlarning barchasining hujjatda mavjudligi shart emas. 
Asosiy  rekvizit-matn.  SHu  sababli,  har  qanday  ravon  bayon  etilgan  matn  hujjat 
hisoblanadi  va  unga  huquqiy  kuch  berish  uchun  sana  va  imzo  kabi  muhim 
rekvizitlarning mavjudligi kifoya. 
Avtomatlashtirilgan  axborot  tizimlaridan  olingan  hujjatlar  uchun  alohida  tartib 
qo`llaniladi. Bunda, ma`lum hollarda, masofadan olingan axborot elektron imzo bilan 
tasdiqlanadi.  Axborotni  himoyalash  uchun  barcha  tashkiliy  tadbirlarni  ta`minlovchi 
maxsus  ma`muriy  xizmatni  yaratish  talab  qilinadi.  Uning  shtat  tuzilmasi,  soni  va 
tarkibi  firmaning  real  ehtiyojlari,  axborotining  konfidentsiallik  darajasi  va 
xavfsizligining umumiy holati orqali aniqlanadi. 
• 
Ma`muriy tadbirlarga quyidagilar kiradi: 
- 
operatsion tizimning to`g’ri konfiguratsiyasini madadlash; 
' - ish jurnallarining nazorati; 
- parollar almashishining nazorati; 
- himoya tizimida «rahna»larni aniqlash; 
- axborotni himoyalovchi vositalarni testlash. 
 Tarmoq operatsion tizimining to`g’ri konfiguratsiyasini madadlash masalasini, odatda, 
tizim  ma`muri hal etadi. Ma`mur operatsion tizim (odamlar emas) rioya qilishi lozim 
bo`lgan  ma`lum  qoidalarni  yaratadi.  Tizimni  ma`murlash  -  konfiguratsiya  fayllarini 
to`g’ri tuzishdir. Bu fayllarda (ular bir nechta bo`lishi mumkin, masalan, tizimning har 
bir qismiga bittadan fayl) tizim ishlashi qoidalarining tavsifi bo`ladi. 
Xavfsizlik  ma`muri  komp’yuter  tarmog’i  holatini  operativ  tarzda  (tarmoq 
komp’yuterlari  himoyalanishi  holatini  kuzatish  orqali)  va  operativ  bo`lmagan  tarzda 
(axborot  himoyasi  tizimidagi  voqealarni  qaydlovchi  jurnallarni  tahlillash  orqali) 
nazoratlash  lozim.  Ishchi  stantsiyalar  sonining  oshishi  va  turli-tuman  komponentlari 
bo`lgan  dasturiy  vositalarning  ishlatilishi  axborot  himoyasi  tizimidagi  hodisalarni 
qaydlash  jurnallar  hajmini  jiddiy  oshishiga  olib  keladi.  Jurnallardagi  ma`lumotlar 

 
154 
hajmi shunchalik oshib ketishi mumkinki,  ma`mur ular tarkibini joiz vaqt mobaynida 
taxlillay olmaydi. 
Tizim  zaifligining  sababi  shundaki,  birinchidan,  foydalanuvchini  autentifikatsiyalash 
tizimi  foydalanuvchi ismiga  va  uning  paroliga  (ko`z  turidan  foydalanish  kabi  ekzotik 
holllar  bundan  mustasno),  ikkinchidan,  foydalanuvchi  tizimida  tizimni  ma`murlash 
huquqi  berilgan  supervizorning  (supervisor)  mavjudligiga  asoslanadi.  Supervizor 
parolini  saqlash  rejimining  buzilishi  butun  tizimdan  ruxsatsiz  foydalanish  imkonini 
yaratadi. 
Undan tashqari, bunday qoidalarga asoslangan tizim-statik, kotib qolgan tizim. U faqat 
qat`iy  ma`lum  hujumlarga  qarshi  tura  olishi  mumkin.  Oldindan  ko`zda  tutilmagan 
qandaydir  yangi  tahdidning  paydo  bo`lishida  tarmoq  hujumi  nafaqat  muvaffaqiyatli, 
balki  tizim  uchun  ko`rinmaydigan  bo`lishi  mumkin.  SHuning  uchun,  muassasada 
ishlatiluvchi  axborotning  qaysisi  himoyaga  muhtoj  ekanligini  aniq  tasavvur  qilish 
muhim  hisoblanadi.  Mavjud  axborotni  tahlillashdan  boshlash  lozim.  Bu  muolajalar 
axborot himoyasini ta`minlash bo`yicha tadbirlarni differentsiallash imkonini beradi va 
natijada, sarf-xarajatlarning qisqarishiga sabab bo`ladi. 
Axborot  himoyasi  tizimini  ekspluatatsiya  qilish  bosqichida  xavfsizlik  ma`murining 
faoliyati  foydalanuvchilar  vakolatlarini  o`z  vaqtida  o`zgartirishdan  hamda  tarmoq 
komp’yuterlaridagi himoya mexanizmlarini sozlashdan iborat bo`ladi. Foydalanuvchi-
lar  vakolatlarini  va  komp’yuter  tarmoqlarida  axborotni  himoyalash  tizimini  sozlashni 
boshqarish  muammosi,  masalan,  tarmoqdan  markazlashtirilgan  foydalanish  tizimidan 
foydalanish  asosida  hal  etilishi  mumkin.  Bunday  tizimni  amalga  oshirishda  tarmoq 
asosiy ssrverida ishlovchi maxsus foydalanishni boshqaruvchi serverdan foydalaniladi. 
Bu  server  markaziy  himoya  ma`lumotlari  bazasini  lokal  himoya  ma`lumotlari  bazasi 
bilan  avtomatik  tarzda  sinxronlaydi.  Foydalanishni  boshqarishning  bu  tizimida 
foydalanuvchi  vakolati  vaqti-vaqti  bilan  o`zgartiriladi  va  markaziy  himoya 
ma`lumotlari  bazasiga  kiritiladi,  ularning  muayyan  komp’yuterlarda  o`zgarishi 
navbatdagi sinxronlash seansida vaqtida amalga oshiriladi. 
Undan  tashqari,  foydalanuvchi  parolini  ishchi  stantsiyalarining  birida  o`zgartirsa, 
uning yangi paroli markaziy himoya ma`lumotlari bazasida avtomatik tarzda akslanadi 
hamda bu foydalanuvchi ishlashiga ruxsat berilgan ishchi stantsiyalarga uzatiladi. 

Download 3,02 Mb.

Do'stlaringiz bilan baham: