3.2. Axborot xavfsizligining tashkiliy-ma’muriy ta’minoti
Axborotni ishonchli himoya mexanizmini yaratishda tashkiliy tad-birlar muhim rol o'ynaydi, chunki konfidensial axborotlardan ruxsatsiz foydalanish asosan, texnik jihatlar bilan emas. balki himoyaning ele-mentar qoidalarini e’tiborga olmaydigan foydalanuvchilar va xodimlar ning jinoyatkorona harakatlari, beparvoligi, sovuqqonligi va mas’uliyatsizligi bilan bog'liq.
Tashkiliy ta’minot konfidensial axborotdan foydalanishga imkon bermaydigan yoki jiddiy qiyinchilik tug‘diruvchi ijrochilaming ishlab chiqarish va o'zaro munosabatlarini me’yoriy-huquqiy asosida regla-mentlashdir.
Tashkiliy tadbirlarga quyidagilar kiradi:
- xizmatchi va ishlab chiqarish bino va xonalami loyihalashda, qu-rishda va jihozlashda amalga oshiriladigan tadbirlar. Bu tadbirlarning asosiy maqsadi hududga va xonalarga yashirincha kirish imkonini yo‘qotish; odamlarning va transportning yurishi nazoratining qulayligini ta’minlash; foydalanishning alohida tizimiga ega boMgan ishlab chiqar ish zonalarini yaratish va h.;
- xodimlami tanlashda amalga oshiriladigan tadbirlar. Bu tadbir-larga xodimlar bilan tanishish, konfidensial axborot bilan ishlash qoi-dalari bilan ishlashni o‘rgatish, axborot himoyasi qoidasini buzganligi uchun javobgarlik darajasi va h. bilan tanishtirish kiradi;
ishonchli propusk rejimini va tashrif buyuruvchilarning nazoratini tashkil qilish;
xona va hududlarni ishonchli qo‘riqlash;
hujjatlar va konfidensial axborot eltuvchilarini saqlash va ish-latish, shu jumladan, qayd etish, berish. bajarish va qaytarish tartiblariga rioya qilish;
axborot himoyasini tashkil etish, ya’ni muayyan ishlab chiqarish jamoalarida axborot xavfsizligiga javobgar shaxsni tayinlash, konfiden sial axborot bilan ishlovchi xodimlar ishini muntazam tekshirib turish.
Bunday tadbirlar har bir muayyan tashkilot uchun o‘ziga xos xususiyatga ega boMadi.
Tashkiliy tadbirlarning talaygina qismini xodimlar bilan ishlash egallaydi. Mulkchilikning turli shakllariga ega boMgan korxona xodim-lari bilan ishlashda tashkiliy tadbirlar, umumiy holda quyidagilami o‘z ichiga oladi:
ishga qabul qilishda suhbaL Suhbat natijasida nomzodning mos bo‘sh joyga qabul qilinishi maqsadga muvofiqligi aniqlanadi;
muayyan korxonada konfidensial axborot bilan ishlash qoidalari va muolajalari bilan tanishish; ishga qabul qilinuvchi korxona tijorat sirlarini saqlashi bo‘yicha tilxat va firma sirlarini oshkor qilmaslikka va’da beradi;
xodimlami konfidensial axborot bilan ishlash qoidalari va muola-jalariga o‘qitish. Xodimlami o'qitishda nafaqat ishlab chiqarish ko‘nik-malariga ega boMish va ulami yuqori darajada saqlash, balki ulami sanoat (ishlab chiqarish) maxfiyligi axborot xavfsizligi, intellektual mulk va tijorat sirlari himoyasi talablarini bajarish zarurligiga qat’iy ishonch ruhida tarbiyalash ko'zda tutiladi. Muntazam o'qitish rahbariyat va xodimlarning korxona tijorat manfaatlarini himoya qilish masalalari bo'yicha bilimdonlik darajasini oshishiga imkon yaratadi;
ishdan bo‘shayotganlar bilan suhbat. Suhbat davomida ishdan bo‘shayotgan xodimning firma sirlarini fosh qilmaslikka qat’iy va’da berishi lozimligi ta’kidlanadi va bu va’da, odatda, tilxat orqali rasmiy-lashtiradi.
Tadbirlaming muhim yo'nalishlaridan biri ish yuritish va hujjat yu-ritish tizimini puxta tashkil etish hisoblanadi. Bu esa, o‘z navbatida, ish yuritish tartibini, hujjatlami qaydlash, ishlash, saqlash, yo‘qotish va mavjudligini hamda to"g‘ri bajarilishini nazorat qilishni ta’minlaydi. Tizimni amalga oshirishda hujjatlar xavfsizligiga va axborot konfiden-sialligiga alohida e’tibor berish lozim.
Axborotni hujjatlashtirish qat’iy belgilangan qoidalar yordamida amalga oshiriladi. Bu qoidalarning asosiylari GOST 6.38-90 «Tashkiliy-boshqaruvchi hujjatlar tizimi. Hujjatlami rasmiylashtirishga talablar», GOST 6.10.4-84 «Unifikatsiyalangan hujjatlar tizimi. Hisoblash texnika vositalari orqali yaratiluvchi mashina eltuvchilaridagi va mashinogram-malardagi hujjatlarga huquqiy kuch berish» kabilar bayon etilgan. Bu GOSTlarda axborotga hujjat huquqini beruvchi 31 ta rekvizitlar ko'zda tutilgan, ammo bu rekvizitlarning barchasining hujjatda mavjudligi shart emas. Asosiy rekvizit —matn. Shu sababli, har qanday ravon bayon etil gan matn hujjat hisoblanadi va unga huquqiy kuch berish uchun sana va imzo kabi muhim rekvizitlarning mavjudligi kifoya.
Avtomatlashtirilgan axborot tizimlaridan olingan hujjatlar uchun alohida tartib qo'lianiladi. Bunda, ma’lum hollarda, masofadan olingan axborot elektron imzo bilan tasdiqlanadi. Axborotni himoyalash uchun barcha tashkiliy tadbirlarni ta’minlovchi maxsus ma’muriy xizmatni yaratish talab qilinadi. Uning shtat tuzilmasi, soni va tarkibi firmaning real ehtiyojlari, axborotining konfidensiallik darajasi va xavfsizligining umumiy holati orqali aniqlanadi.
Ma’muriy tadbirlarga quyidagilar kiradi:
operatsion tizimning to‘g‘ri konfiguratsiyasini madadlash;
ish jurnallarining nazorati;
parollar almashishining nazorati;
himoya tizimida «rahna»lami aniqlash;
axborotni himoyalovchi vositalami testlash.
Tarmoq operatsion tizimining to‘g‘ri konfiguratsiyasini madadlash masalasini, odatda, tizim ma’muri hal etadi. Ma’mur operatsion tizim (odamlar emas) rioya qilishi lozim boMgan ma’lum qoidalarni yaratadi. Tizimni ma’murlash — konfiguratsiya fayllarini to‘g‘ri tuzishdir. Bu
fayllarda (ular bir nechta boMishi mumkin, masalan, tizimning har bir qismiga bittadan fayl) tizim ishlashi qoidalarining tavsifi boMadi.
Xavfsizlik ma’muri kompyuter tarmogM holatini tezkor tarzda (tarmoq kompyuterlari himoyalanishi holatini kuzatish orqali) va tezkor boMmagan tarzda (axborot himoyasi tizimidagi voqealarni qaydlovchi jumallarni tahlillash orqali) nazoratlash lozim. Ishchi stansiyalar soni-ning oshishi va turli-tuman komponentlari boMgan dasturiy vositalarning ishlatilishi axborot himoyasi tizimidagi hodisalarni qaydlash jurnallar hajmini jiddiy oshishiga olib keladi. Jumallardagi ma’lumotlar hajmi shunchalik oshib ketishi mumkinki, ma’mur ular tarkibini joiz vaqt mo-baynida tahlillay olmaydi.
Tizim zaifligining sababi shundaki, birinchidan, foydalanuvchini autentifikatsiyalash tizimi foydalanuvchi ismiga va uning paroliga (ko'z to‘ridan foydalanish kabi ekzotik holllar bundan mustasno), ikkinchidan, foydalanuvchi tizimida tizimni ma’murlash huquqi berilgan super-vizorning (supervisor) mavjudligiga asoslanadi. Supervizor parolini saqlash rejimining buzilishi butun tizimdan ruxsatsiz foydalanish imkonini yaratadi.
Undan tashqari bunday qoidalarga asoslangan tizim-statik, qotib qolgan tizim. U faqat qat’iy maMum hujumlarga qarshi tura olishi mum kin. Oldindan ko‘zda tutilmagan qandaydir yangi tahdidning paydo boMishida tarmoq hujumi nafaqat muvaffaqiyatli, balki tizim uchun ko‘rinmaydigan boMishi mumkin. Shuning uchun muassasada ishlatiluv-chi axborotning qaysisi himoyaga muhtoj ekanligini aniq tasavvur qilish muhim hisoblanadi. Mavjud axborotni tahlillashdan boshlash lozim. Bu muolajalar axborot himoyasini ta’minlash bo'yicha tadbirlami differen-siallash imkonini beradi va natijada, sarf-xarajatlarning qisqarishiga sa-bab boMadi.
Axborot himoyasi tizimini ekspluatatsiya qilish bosqichida xavf sizlik ma’murining faoliyati foydalanuvchilar vakolatlarini o‘z vaqtida o‘zgartirishdan hamda tarmoq kompyuterlaridagi himoya mexa-nizmlarini sozlashdan iborat boMadi. Foydalanuvchilar vakolatlarini va kompyuter tarmoqlarida axborotni himoyalash tizimini sozlashni bosh qarish muammosi. masalan, tarmoqdan markazlashtirilgan foydalanish tizimidan foydalanish asosida hal etilishi mumkin. Bunday tizimni amalga oshirishda tarmoq asosiy serverida ishlovchi maxsus foydala nishni boshqaruvchi serverdan foydalaniladi. Bu server markaziy hi moya maMumotlari bazasini lokal himoya maMumotlari bazasi bilan av-torr.atik tarzda sinxronlaydi. Foydalanishni boshqarishning bu tizimida
foydalanuvchi vakolati vaqti-vaqti bilan o‘zgartiriladi va markaziy hi moya ma’lumotlari bazasiga kiritiladi, ulaming muayyan kompyuter-larda o‘zgarishi navbatdagi sinxronlash seansi vaqtida amalga oshiriladi.
Undan tashqari, foydalanuvchi parolini ishchi stansiyalarining birida o‘zgartirsa, uning yangi paroli markaziy himoya ma’lumotlari bazasida avtomatik tarzda akslanadi hamda bu foydalanuvchi ishlashiga ruxsat berilgan ishchi stansiyalarga uzatiladi.
Do'stlaringiz bilan baham: |