Axborot xavfsizligi siyosatini rasmiylashtirish




Download 24,91 Kb.
Sana24.05.2024
Hajmi24,91 Kb.
#252325
Bog'liq
Axborot xavfsizligi siyosatini rasmiylashtirish


Axborot xavfsizligi siyosatini rasmiylashtirish
Axborot xavfsizligi siyosati odatda rasmiylashtiriladi, ya'ni aniq reglamentlar shaklida namoyon bo'ladi. "So'zlarda" qoidalar ishlamaydi, chunki ular tasdiqlangan talablar emas.
Muhim jihat shundaki, ishlab chiqilgan siyosat hujjatlashtirish standartlariga mos kelishi kerak. Ular muayyan sohalarda tashkilotlarning ishlash qoidalarini tartibga soluvchi tashqi mutaxassislar tomonidan tuziladi.
Samarali kompaniya axborot xavfsizligi siyosati hujjatlarning uchta darajasini o'z ichiga oladi:

  1. Yuqori daraja - maxfiy ma'lumotlarni himoya qilish sohasidagi asosiy xavflar va maqsadlar ro'yxatini o'z ichiga olgan hujjatlar.

  2. Asosiy (o'rta) daraja - bu himoya qilinishi kerak bo'lgan ma'lumotlar ro'yxati (axborot aktivlari yoki ularning toifalari reyestri) bo'lgan hujjatlar. Ba'zi tashkilotlar ma'lumotlarga ruxsat berilgan barcha harakatlarni sanab o'tish orqali batafsil ma'lumotga ega. Shuningdek, o'rta darajadagi hujjatlarga talablarga rioya qilmaslik uchun xodimlarning javobgarligi to'g'risidagi qoidalar ham kiritilgan.

  3. Texnik daraja - bu ma'lumotlarni himoya qilish choralarini va aniq xodimlarning mas'uliyatini belgilaydigan hujjatlar.

Siyosatni to'g'ri taqdim etishning ikkinchi qoidasi har bir fikrni aniq shakllantirishdir. Ushbu talabga rioya qilish tashkilotning xavfsizlik masalalariga mas'uliyatli munosabatini ko'rsatadi.
Rasmiylashtirilgan xavfsizlik siyosatining yo'qligi nafaqat biznes jarayonlarini tashkil etishda ichki muammolarga olib keladi, balki kompaniya aktsiyadorlari uchun raqobatbardoshlik, ishbilarmonlik obro'si va biznes qiymatiga salbiy ta'sir qiladi.
Kompaniyaning axborot xavfsizligi siyosati quyidagi jihatlarni o'z ichiga oladi:

  • Siyosatning vazifasi va asosiy maqsadlarini belgilaydigan kontseptsiya.

  • Standartlar, ya'ni xavfsizlik tamoyillarining o'zi.

  • Tashkilotning maxfiy ma'lumotlari bilan ishlashda xodimlar bajarishi kerak bo'lgan aniq harakatlar ro'yxati.

  • Axborot tashuvchilar bilan ishlash tartibi.

  • Korporativ hujjatlar va boshqa muhim manbalarga kirish qoidalari.

  • Himoya usullarini amalga oshirish va qabul qilingan standartlarni qo'llash bo'yicha ko'rsatmalar.

  • Favqulodda vaziyatlar rejalari - bu kutilmagan holatlar (masalan, sizib chiqish, kiber hujumlar, jismoniy ta'sirlar va boshqalar) yuzaga kelganda axborot tizimlariga javob berish va ularni tezda tiklash tartib-qoidalari.

Siyosatning barcha qoidalari bir-biriga bog'liq bo'lishi va bir-biriga zid bo'lmasligi muhimdir.
Kompaniyaning axborot xavfsizligi siyosati doirasidagi himoya kontseptsiyasi
“Axborot xavfsizligi kontseptsiyasi” va “axborot xavfsizligi strategiyasi” tushunchalarini farqlash muhim: birinchisi o'zgarmasdir, ikkinchisi esa dinamik, ya'ni uni to'ldirish mumkin.
Axborot xavfsizligi kontseptsiyasining asosiy tarkibiy qismlari:

  • Himoya predmetining tavsifi (shu nuqtai nazardan, axborot xavfsizligi).

  • Xodimlarning axborot aktivlariga kirish huquqi to'g'risidagi nizom.

  • Kompaniyaning axborot infratuzilmasi bilan bog'liq bo'lgan xodimlarning majburiyatlarining tavsifi.

  • Amaliy tizimlarning himoyalanish darajasi.

  • Tasdiqlangan himoya algoritmlarini amalga oshirish usullari.

  • Xavfsizlik talablariga rioya etilishini nazorat qilish kerak bo'lgan shaxslar ro'yxati.

  • Potentsial xavflarning tavsifi va himoya samaradorligini baholash mezonlari.

  • Siyosat qoidalariga rioya qilmaslik uchun javobgarlik.

Keling, himoya samaradorligini baholash mezonlari haqida batafsilroq to'xtalib o'tamiz. Bu majburiy shart emas, lekin xavfsizlik xodimlari ularning ishi qanday baholanishini bilishlari uchun uni hujjatga kiritishga arziydi.
Shuningdek, kontseptsiya ba'zan ob'ektning jismoniy xavfsizligini (ayniqsa, yirik korxonalar uchun) va ish vaqtida xodimlarni nazorat qilish bilan bog'liq boshqa tashkiliy masalalarni nazarda tutadi. Masalan, ba'zi tashkilotlar ish kunining boshida va oxirida tizimga kirish qoidasini o'rnatadilar.
Normativ hujjatlarni tayyorlashga qo'yiladigan talablar
Kompaniyaning axborot xavfsizligi siyosatini hujjatlashtirishda quyidagilarni hisobga olish kerak:

  • Barcha kompaniya xodimlari texnik shartlarni bilishmaydi. Shuning uchun nizomlar tushunarli va sodda tilda tuzilishi kerak.

  • Agar siyosat juda uzun bo'lsa, uni to'g'ri o'qimaslik xavfi mavjud. Buni qisqacha, ammo lo'nda shakllantirgan ma'qul.

Hujjatda aniq maqsadlar, ularga erishish usullari va siyosatni buzganlik uchun jazo choralari ko'rsatilishi kerak. Barcha keraksiz ma'lumotlar xodimlarni mohiyatdan chalg'itadi, bu esa kontseptsiyaning barbod bo'lishiga olib keladi.
Agar qonun tashkilot faoliyatiga taalluqli har qanday qoidalarni belgilab qo'ygan bo'lsa, ularni talablar manbasini ko'rsatadigan hujjatga kiritish kerak.
Kompaniyaning axborot xavfsizligi siyosatini amalga oshirish
Siyosatni amalga oshirish faqat hujjatlar to'liq shakllantirilgan va kelishilganidan keyin boshlanishi kerak. Quyida kompaniyada axborot xavfsizligi siyosatini amalga oshirish bosqichlari ketma-ketligi keltirilgan:

  1. Kompaniyaning axborot infratuzilmasini zaifliklarga baholang va xavfsizlik siyosatida ko'rsatilgan choralarni ko'ring.

  2. Axborot bilan ishlashni tartibga soluvchi uslubiy materiallar va ko'rsatmalar yaratish. Masalan, foydalanishga ruxsat berilgan Internet-resurslar ro'yxatini, himoyalangan ob'ektlar va axborot aktivlariga kirish qoidalarini va hokazolarni yozing.

  3. Kompaniya tomonidan allaqachon foydalanilmagan ma'lumotlarni himoya qilishning tasdiqlangan vositalarini qo'llang.

  4. Xodimlarni tasdiqlangan qoidalar bilan tanishtirish. Masalan, siz brifing yoki seminar o'tkazishingiz mumkin. Bunday tadbirlar oxirida xodimlar odatda hujjatlarni o'qib chiqqanligini tasdiqlash uchun imzo qo'yadilar.

Amalga oshirilayotgan axborot xavfsizligi siyosatining samaradorligini baholash uchun muntazam ravishda auditlar o'tkazilishi kerak. Tekshiruvlar davomida axborot perimetri xavfsizligini ta’minlash bo‘yicha vazifalar qay darajada bajarilayotgani ayon bo‘ladi.
Qabul qilingan hujjatlar vaqti-vaqti bilan yangilanishi kerak. Masalan, agar kerak bo'lsa, himoya vositalarining arsenalini kengaytiring.
Xavfsizlik siyosatiga rioya qilish
Afsuski, ba'zi tashkilotlar xodimlari kompaniyaning axborot xavfsizligi siyosati talablariga rioya qilmaydi va ma'lumotlarning sizib chiqishiga olib keladigan noqonuniy yoki o'ylamasdan harakatlar qiladi. Xavfsizlik kuchlari qonunbuzarliklarni aniqlashlari uchun ancha vaqt kerak bo'ladi. Vazifa hodisalarni kuzatish va oldini olish uchun texnik vositalar - DLP tizimlari (Ma'lumotlar oqishini oldini olish) bilan soddalashtiriladi . Mana ular qanday ishlaydi:

  • Ular aloqalarning tabiatini va xodimlarning xatti-harakatlarini tahlil qiladilar, foydalanuvchi aloqalarining barcha turlarini (shaxsiy, noyob, ish) aniqlaydilar.

  • Xodimlar haqida ma'lumotnoma tuzing.

  • Aloqa arxivini yarating.

  • Maxfiy ma'lumotlarning uzatilishini kuzatib boring va maxfiy ma'lumotlar bilan barcha operatsiyalarni siyosatga muvofiqligini tekshiring.

  • Xavfsizlik siyosatini buzsa, ma'lumot uzatishni blokirovka qiling.

  • Hisobotlarni yaratish va voqea tekshiruvlarini o'tkazish uchun ma'lumotlarni vizualizatsiya qiling.

DLP tizimlari tufayli hodisani tekshirish jarayoni ancha soddalashtirilgan. Xavfsizlik xizmati xodimlarning ish qurilmalaridagi barcha harakatlari haqida batafsil ma'lumot oladi. Shu jumladan mikrofonlardan olingan yozuvlar va ishlaydigan ekranlarning video translyatsiyalari. Mutaxassislar faqat dalillar bazasini tahlil qilishlari, voqealarni axborot xavfsizligi qoidalari bilan bog'lashlari va yuzaga kelishi mumkin bo'lgan hodisalarning oldini olishlari kerak.
Faoliyatning turli sohalarida ko'plab kompaniyalarSolar Dozorni tanlaydilar . Bu Rossiyaning korporativ toifadagi DLP tizimi bo'lib, u yuqori unumdorlik, kengayish qobiliyati va xatolarga chidamliligiga ega. Solar Dozor maxfiy ma'lumotlarni sizib chiqishidan himoya qilish bo'yicha keng ko'lamli vazifalarni hal qiladi, shu jumladan ma'lumotlarni saqlash va harakatlantirish bilan bog'liq jarayonlarni tahlil qilish va xodimlarning ish kompyuteridagi faoliyati.
Muvaffaqiyatsiz kompaniya axborot xavfsizligi siyosati
Agar siyosat faqat "qog'ozda" mavjud bo'lsa va uning qoidalari amalda qo'llanilmasa, u muvaffaqiyatsiz deb hisoblanadi. Bu ko'p sabablarga ko'ra sodir bo'lishi mumkin, ulardan ba'zilari:

  • Siyosat qoidalari yaxshi shakllantirilgan, ammo amalda ularga amal qilinmayapti. Ko'pincha, bu mas'ul shaxs tayyor hujjatni asos qilib olsa (masalan, boshqa tashkilotning qoidalaridan foydalansa yoki uni Internetdan yuklab olsa) va menejer uni ishonch bilan tasdiqlasa sodir bo'ladi. Bir qarashda, bu erda qo'rqinchli narsa yo'q, chunki turli korxonalarning axborot xavfsizligi tamoyillari o'xshash. Biroq, amalda moslashuvsiz ularni qo'llash mumkin emasligi ma'lum bo'ldi.

  • Siyosat qoidalari yaxshi shakllanmagan yoki davom etishi uchun mo'ljallangan. Masalan, me’yoriy hujjatlarda biron-bir yangi texnologiyalarni joriy etish imkoniyati hisobga olinmagan. Bunday hollarda, xodimlar ba'zan qoidalarni chetlab o'tishadi, bu har doim axborot perimetrini himoya qilish samaradorligiga ta'sir qiladi.

Bunday vaziyatlarning oldini olish uchun kompaniya faoliyati va biznes jarayonlarining o'ziga xos xususiyatlarini hisobga olgan holda uni yaratishga malakali yondashish kerak.

Download 24,91 Kb.




Download 24,91 Kb.

Bosh sahifa
Aloqalar

    Bosh sahifa



Axborot xavfsizligi siyosatini rasmiylashtirish

Download 24,91 Kb.