10-Mavzu: “ Tashkilotning maxsus tarmoq xavfsizligi siyosatini tuzish asoslari va unga qo‘yiladigan talablar”




Download 28.68 Kb.
bet5/6
Sana15.11.2022
Hajmi28.68 Kb.
#30412
1   2   3   4   5   6
Bog'liq
10-mavzu
Назарий мех-октябр 2018, 9-mavzu, mustaqil ish, m ish 1 Qulsoatov A, css bloknot, 1-amaliy, m, akholiga umumovkatlanish khizmatini, 7.GALVANIK ELEMENTLARNING XALQ XO\'JALIGIDAGI, 9.SANOATDA ELEKTROLIZ JARAYONINING QO’LLANILISHI, Tok-transformatorlarni-ishlatish, EM lec cover, application, Abdukamol

Siyosatda nima bor?
AT xavfsizligi siyosati, agar ular alohida hujjatda ko'rsatilmagan bo'lsa, har doim maqsad, ko'lam, siyosat va protseduralarni o'z ichiga olishi kerak. Ular foydalanuvchi va IT xodimlarining xatti-harakatlari qoidalarini belgilashlari, shu bilan birga ularga rioya qilmaslik oqibatlarini aniqlashlari kerak. AT xavfsizligi siyosati tashkilot ichidagi asosiy xavflarni aniqlashi va ushbu xavflarni qanday kamaytirish bo'yicha ko'rsatmalar berishi kerak . Siyosatlar tashkilotning qimmatli aktivlari va eng katta xavf-xatarlari asosida moslashtirilgan bo'lishi kerak.
Eng muhim siyosatlar tashkilot axborot tizimlarining barcha foydalanuvchilariga taalluqlidir. Ushbu siyosatlar tizimlar va ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini himoya qiladi. Siyosatlarni o'zgartirish, qisqartirish yoki boshqalar bilan birlashtirish mumkin bo'lsa-da, barcha tashkilotlarda quyidagi siyosatlar qo'llanilishi kerak.
Qabul qilinadigan foydalanish siyosati
Qabul qilinadigan foydalanish siyosati (AUP) kompyuter uskunalaridan maqbul foydalanishni belgilaydi. Oddiy faoliyat jarayonida kompaniya, mijozlar va mijozlar manfaatlariga xizmat qilishda biznes maqsadlarida foydalaniladi. AUP axborot tizimlaridan noto'g'ri foydalanishni va u olib kelishi mumkin bo'lgan xavfni belgilaydi. Noto'g'ri xatti-harakatlar tarmoq tizimini buzishi va huquqiy oqibatlarga olib kelishi mumkin. Nomaqbul foydalanish misoli, xodim o'z ishini bajarishdan tashqari boshqa sabablarga ko'ra kompaniya kompyuteri orqali ma'lumotlarga kirishi mumkin. AUP umumiy foydalanish, xususiy yoki maxfiy ma'lumotlar bilan ishlashda tegishli xatti-harakatlar va nomaqbul foydalanishni o'z ichiga oladi.


Xavfsizlik bo'yicha xabardorlik va o'qitish siyosati
Xavfsizlik bo'yicha treninglar barcha ishchi kuchi a'zolariga o'tkazilishi kerak, shunda ular kompaniya ma'lumotlarini tegishli tarzda himoya qilgan holda o'z vazifalarini to'g'ri bajarishlari mumkin. Xodimlar o'qishni tugatgandan so'ng, maxfiylik to'g'risidagi shartnomani imzolashlari va yakunlanganligini tasdiqlovchi hujjatlarni taqdim etishlari kerak. Menejment foydalanuvchilarni tashkilotning xavfsizlik siyosati bo'yicha o'rgatish uchun treningni ishlab chiqishi kerak.
Xavfsizlik bo'yicha xabardorlik va o'qitish siyosatining maqsadlari xavfsizlik siyosati bo'yicha ta'limni o'z ichiga olishi va siyosat biznesni, xodimlarni va mijozlarni qanday himoya qilishini tushunishni rivojlantirishga yordam berishi kerak. Siyosat shuningdek, treningni yaratish va saqlash uchun mas'ul bo'lgan xodimlarni ta'kidlashi kerak. Ushbu xodimlar xavfsizlik va tashkilotga ta'sir qiladigan texnologiyadagi o'zgarishlarni tan olishni o'rganishlari kerak.
Barcha foydalanuvchilarga tegishli siyosat ish stantsiyalarini saqlash, elektron pochta va internetga kirish siyosati hamda xodimlarning kompyuter xavfsizligi uchun javobgarligini o'z ichiga olishi kerak. Xavfsizlik bo'yicha treningning asosiy qismlari ijtimoiy muhandislik taktikasini aniqlash, tizimning ishlamay qolish vaqtini cheklash va muhim biznes ma'lumotlarini himoya qilishni o'z ichiga oladi.


Boshqaruv siyosatini o'zgartirish
Tashkilotning o'zgarishlarni boshqarish siyosati axborot tizimidagi o'zgarishlarni boshqarish, tasdiqlash va kuzatishni ta'minlaydi. Tashkilot barcha o'zgarishlar xizmatlar va mijozlarga salbiy ta'sirni minimallashtirish uchun o'ylangan tarzda amalga oshirilishiga ishonch hosil qilishi kerak. O'zgarishlarni boshqarish siyosati rejalashtirish, baholash, ko'rib chiqish, tasdiqlash, aloqa qilish, amalga oshirish, hujjatlashtirish va o'zgarishlardan keyin tekshirish usullarini o'z ichiga oladi. O'zgarishlarni boshqarish to'g'ri va o'z vaqtida hujjatlarga, doimiy nazoratga va rasmiy va belgilangan tasdiqlash jarayoniga tayanadi. O'zgarishlarni boshqarish siyosati SDLC, apparat, dasturiy ta'minot, ma'lumotlar bazasi va tizim konfiguratsiyasidagi dastur o'zgarishlarini, jumladan, ko'chirish, qo'shish va o'chirishni qamrab oladi.


Hodisalarga javob berish siyosati
Voqealarga javob berish siyosati tashkilotning biznes uzluksizligi rejasining bir qismidir. Unda axborot xavfsizligi hodisasiga tashkilotning munosabati ko‘rsatilgan. Voqealarga javob berish siyosati Favqulodda vaziyatlarni tiklash rejasidan alohida hujjatlashtirilishi kerak , chunki u ma'lumotlarning buzilishi yoki boshqa xavfsizlik hodisasidan keyingi protseduralarga qaratilgan.
Siyosat hodisaga javob berish guruhi, siyosatni sinovdan o'tkazish uchun mas'ul bo'lgan xodimlar, har bir guruh a'zosining roli va buzilgan ma'lumotlarni aniqlash va tiklash uchun ishlatiladigan harakatlar, vositalar va resurslar haqida ma'lumotni o'z ichiga olishi kerak. Voqealarga javob berish bosqichlari:

  • Tayyorgarlik

  • Identifikatsiya

  • Saqlash

  • Yo'q qilish

  • Qayta tiklash

  • Hodisadan keyingi

Voqealarga javob berish siyosati, shuningdek, hodisaga javob berish guruhini va tizim haqida tarmoq va ma'lumotlar oqimi diagrammasi, apparat inventarizatsiyasi va jurnal ma'lumotlari kabi ma'lumotlarni aniqlashi kerak. Hodisalarni hal qilish tartib-qoidalari siyosatda batafsil ko'rsatilishi kerak. Ushbu siyosatning eng muhim jihatlaridan biri foydalanuvchilarga maʼlumotlar buzilishi yoki xavfsizlik bilan bogʻliq boshqa hodisa sodir boʻlgan taqdirda kimga xabar berish kerakligi haqida oʻrgatishdir. Rahbariyat har doim ish faoliyatini baholashi va nazorat qilishi, xodimlar o'rtasidagi hamkorlikni ta'minlashi va hodisalarga javob berish rejasini muntazam ravishda sinab ko'rishi kerak.


Masofaviy kirish siyosati
Masofaviy kirish har qanday xostdan kompaniya tarmog'iga ulanishni o'z ichiga oladi. Masofaviy kirish siyosati resurslardan ruxsatsiz foydalanish natijasida yuzaga kelishi mumkin bo'lgan zararni minimallashtirish uchun ishlab chiqilgan. Ushbu siyosat barcha xodimlarga qaratilgan bo'lishi va elektron pochta xabarlarini yuborish yoki qabul qilish qoidalarini va intranet resurslarini o'z ichiga olishi kerak. Siyosat VPN-ga kirish va diskni shifrlash talablarini ham o'z ichiga olishi kerak.
Masofaviy kirishga qo'yiladigan talablar saytga kirish talablariga o'xshash bo'lishi kerak. Masalan, xodimlar o'zlarining masofaviy kirishlarida noqonuniy faoliyat bilan shug'ullanmasliklari va ruxsatsiz foydalanuvchilarning ish qurilmasidan foydalanishlariga yo'l qo'ymasliklari kerak. Siyosat, shuningdek, kuchli parol iboralarini qo'llashi, qurilmani yolg'iz qoldirganda tizimdan chiqish va ichki tarmoqqa ulangan bir vaqtda boshqa tarmoqlarga ulanishdan tiyilishi kerak. Shuningdek, ular foydalanuvchilardan eng so'nggi antimalware dasturiy ta'minot va operatsion tizimlardan foydalanishlarini ta'minlashlarini talab qilishlari kerak.


Sotuvchini boshqarish siyosati
Sotuvchini boshqarish siyosati sotuvchining muvofiqligi va axborot xavfsizligi qobiliyatlarini tasdiqlaydi. Siyosat sotuvchilarni sotib olish jarayonini va kompaniyaning barcha sotuvchilarini qanday boshqarishni ko'rib chiqishi kerak. Tashkilot biznes hamkorining kompaniya nomidan maxfiy ma'lumotlarni yaratish, olish, saqlash yoki uzatish qobiliyatini baholashi kerak. Kompaniya uchinchi tomon sotuvchisi unga berilgan ma'lumotni tegishli tarzda himoya qilishiga ishonishi kerak. Tashkilot o'z sotuvchilari ro'yxatini xavflar, sotuvchilar bilan aloqalar va ma'lumotlar buzilgan taqdirda huquqiy oqibatlarga asoslangan holda yuritishi juda muhimdir. Yana bir zaruriy qadam, muvaffaqiyatsizlikka uchragan taqdirda har bir sotuvchi uchun ichki javob rejalarini yaratishdir.
Sotuvchini tanlashda quyidagi fikrlarga e'tibor bering:

  • Ular SOC 2 ga mos keladimi? Ular yana qanday ramkalarga amal qilishadi?

  • Ularning SLAsi nimaga o'xshaydi?

  • Ular har yili xavfsizlik xavfini baholashdan o'tadilarmi?

  • Agar mahsulot muvaffaqiyatsiz bo'lsa, ular qanday choralar ko'radi?

  • Ularga bizning tarmog'imizga qanday kirish kerak bo'ladi?

Siyosat sotuvchini tanlash, tavakkalchilikni boshqarish, tegishli ekspertiza, shartnoma standartlari, hisobot berish va doimiy monitoringni o'z ichiga olishi kerak. Bundan tashqari, siyosat risklarni boshqarish va muvofiqlikni boshqarish amaliyotining boshqa sohalari bilan munosabatlarni ko'rib chiqishi kerak.


Parol yaratish va boshqarish siyosati
Parol yaratish va boshqarish siyosati foydalanuvchi identifikatorlarini tekshirish va kompaniya tizimlari yoki ma'lumotlariga kirish huquqini olish uchun foydalaniladigan kuchli va xavfsiz parollarni tegishli tarzda yaratish, o'zgartirish va himoya qilish uchun hujjatlashtirilgan jarayonni ishlab chiqish, amalga oshirish va ko'rib chiqish bo'yicha ko'rsatmalar beradi. Siyosat kuchli parolni tanlash nega muhimligi haqida ta'lim va xabardorlikka ta'sir qilishi kerak. U vaqtinchalik parollarni o'zgartirish qoidalarini va eski parollarni qayta ishlatish xavfini o'z ichiga olishi kerak.
Siyosat, shuningdek, parolning murakkabligi va uzunligi talablarini ham o'z ichiga olishi kerak. U foydalanuvchilarni oson so'zdan foydalanish yoki parolga shaxsiy ma'lumotlarni kiritish xavfi haqida o'rgatishi kerak. Siyosat turli xil parol talablaridan foydalanadigan ilovalar yoki boshqa axborot tizimlari kabi istisnolarni ham aniqlashi kerak. Unda parol bilan chiqishlar va maksimal qayta urinishlar va barcha muvaffaqiyatsiz kirish urinishlarini ro'yxatga olish tartib-qoidalarini ko'rsatish kerak.


Tarmoq xavfsizligi siyosati
To'liq tarmoq xavfsizligi siyosati davriy asosda axborot tizimini va tarmoq faoliyatini tekshirishni o'tkazishning muayyan tartibiga rioya qilish orqali kompaniya tizimlaridagi ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini ta'minlaydi. Siyosat tizimlarning tegishli apparat, dasturiy ta'minot yoki protsessual audit mexanizmlariga ega bo'lishini ta'minlaydi. Audit hodisalari tizimga muvaffaqiyatsiz urinishlar, ma'lumotlarni ishga tushirish yoki o'chirish va imtiyozli hisoblardan foydalanishni o'z ichiga oladi. Boshqa ro'yxatga olish elementlariga xavfsizlik devorlaridagi anomaliyalar, marshrutizatorlar va kalitlar ustidagi faollik va tarmoqdan qo'shilgan yoki o'chirilgan qurilmalar kiradi. Tashkilotlar faoliyatning sanasi, vaqti va kelib chiqishi kabi tafsilotlarni qayd etishlari kerak.
Siyosatda tekshirilishi mumkin bo'lgan hodisa davomida amalga oshirilgan amaldagi harakatlar va kim nima uchun javobgar ekanligini ko'rsatishi kerak. Masalan, IT muammoni hal qiladi va keyin ISOga hisobot beradi. Ushbu jarayon siyosatda aniq belgilanishi kerak.
Tarmoq xavfsizligi siyosati kompaniya infratuzilmasiga qarab boshqa siyosatlarga bo'linishi mumkin. Qo'shimcha siyosatlarga Bluetooth asosiy talablari siyosati, marshrutizator va kalit xavfsizlik siyosati, simsiz aloqa siyosati va standarti kiradi. Ushbu siyosatlarning barchasi tarmoqqa kirishda qoidalar va xatti-harakatlarni o'z ichiga olishi kerak.


Kirish avtorizatsiyasi, o'zgartirish va identifikatorga kirishni boshqarish
Kirish avtorizatsiyasidan foydalanish tashkilotlardan eng kam imtiyozlar tamoyilini amalga oshirishni talab qiladi(PoLP). Bu foydalanuvchilar va tizimlarga faqat o'z ishlarini bajarish uchun zarur bo'lgan ma'lumotlarga kirish huquqiga ega bo'lishi kerak degan fikr. Tashkilot tizimlar va maxfiy ma'lumotlarga kirishni yaratish, hujjatlashtirish, ko'rib chiqish va o'zgartirish jarayonini yaratishi va hujjatlashtirishi kerak. Bu jarayon odatda HR va ITni o'z ichiga oladi, ular ishga qabul qilish va tugatilganda kirishga ruxsat beradi. Kirish ruxsati haqiqiy ruxsatnoma, tizimdan maqsadli foydalanish va tashkilotlar tomonidan talab qilinadigan boshqa atributlar asosida berilishi kerak. Kirish avtorizatsiyasi va parolni boshqarish siyosatiga muvofiq kirishni avtorizatsiya qilish va o'zgartirish xaritasi yaratilishi kerak. HR va IT guruhga a'zolik, maxsus imtiyozlar, vaqtinchalik yoki mehmon hisoblari va umumiy foydalanuvchilarni hisobga olishi kerak. Ushbu siyosat va tartiblar muntazam ravishda yangilanib turishi kerak, chunki ular maʼlumotlar maxfiyligida muhim ahamiyatga ega.


Ma'lumotlarni saqlash siyosati
Ma'lumotni saqlash siyosati biznes saqlanishi kerak bo'lgan ma'lumotlar turlarini va qancha vaqtni belgilaydi. Siyosatda ma'lumotlar qanday saqlanishi va yo'q qilinishi ham ko'rsatilgan. Bu siyosat eskirgan va takrorlangan maʼlumotlarni oʻchirishga va koʻproq xotira maydoni yaratishga yordam beradi. Ma'lumotni saqlash siyosati, shuningdek, keyinchalik foydalanish uchun ma'lumotlarni tartibga solishga yordam beradi. Ma'lumotlar turlariga hujjatlar, mijozlar yozuvlari, tranzaksiya ma'lumotlari, elektron pochta xabarlari va shartnomalar kiradi. Bu siyosat maxfiy maʼlumotlarni saqlaydigan korxonalar uchun zarur. Tashkilotlar ma'lumotlarni saqlash talablari uchun normativ standartlarga murojaat qilishlari kerak.



Download 28.68 Kb.
1   2   3   4   5   6




Download 28.68 Kb.
Bosh sahifa
Aloqalar
    Bosh sahifa
Dərs
Mühazirə
Qaydalar
Referat
Xülasə
Yazı


10-Mavzu: “ Tashkilotning maxsus tarmoq xavfsizligi siyosatini tuzish asoslari va unga qo‘yiladigan talablar”

Download 28.68 Kb.