• 1.3. Xavfsizlik siyosati
  • Axborot xavfsizligi




    Download 2,72 Mb.
    Pdf ko'rish
    bet11/191
    Sana18.11.2023
    Hajmi2,72 Mb.
    #101187
    1   ...   7   8   9   10   11   12   13   14   ...   191
    Bog'liq
    axborot xavfsizligi222

    Nazorat savollari: 
    1. 
    Axborot xavfsizligini ta’minlash vazifalari nima va u qaysi asosiy 
    guruhlarni o‘z ichiga oladi? 
    2. 
    Axborot xavfsizligi sub’ektlarining kategoriyalarini tushuntirib bering. 
    3. 
    Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab olgan 
    konfidensiallik, yaxlitlik, identifikatsiya va autentifikatsiya kabi masalalarini 
    yoritib bering. 
    4. 
    Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab olgan 
    vakolat berish, foydalanishni nazoratlash, mulklik xuquqi, sertifikatsiya kabi 
    masalalarini yoritib bering. 
    5. 
    Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab olgan imzo, 
    voz kechmaslik, sanasini yozish kabi masalalarini yoritib bering. 
    6. 
    Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab olgan 
    olganligiga tilxat berish, bekor qilish, anonimlik kabi masalalarini yoritib bering. 
    7. 
    Axborot xavfsizligini ta’minlash darajalarini tavsiflab bering. 
    1.3. Xavfsizlik siyosati 
     
    Axborot xavfsizligi siyosati (yoki xavfsizlik siyosati) – tashkilotning 


    25 
    maqsadlari va vazifalari hamda xavfsizlikni ta’minlash sohasidagi tadbirlar 
    tavsiflanadigan yuqori darajadagi reja. Siyosat xavfsizlikni umumlashgan 
    atamalarda, spesifik detallarsiz tavsiflaydi. U xavfsizlikni ta’minlashning barcha 
    dasturlarini rejalashtiradi. Axborot xavfsizligi siyosati tashkilot masalalarini 
    yechish himoyasini yoki ish jarayoni himoyasini ta’minlashi shart. 
    Apparat vositalar va dasturiy ta’minot ish jarayonini ta’minlovchi vositalar 
    hisoblanadi va ular xavfsizlik siyosati tomonidan qamrab olinishi shart. Shu 
    sababli asosiy vazifa sifatida tizimni (jumladan tarmoq xaritasini) to‘liq 
    inventarizatsiyalashni ko‘zda tutish lozim. Tarmoq xaritasini tuzishda har bir 
    tizimdagi axborot oqimini aniqlash lozim. Axborot oqimlari sxemasi axborot 
    oqimlari biznes-jarayonlarni qanchalik ta’minlayotganini ko‘rsatishi mumkin, 
    hamda axborotni himoyalash va yashovchanligini ta’minlash uchun qo‘shimcha 
    choralarni ko‘rish muhim bo‘lgan soxani ko‘rsatishi mumkin. Undan tashqari bu 
    sxema yordamida axborot ishlanadigan joyni, ushbu axborot qanday saqlanishi, 
    qaydlanishi, joyini o‘zgartirishi va nazoratlanishi lozimligini aniqlash mumkin. 
    Inventarizatsiya apparat va dasturiy vositalardan tashqari dasturiy xujjat, 
    apparatura xujjatlari, texnologik xujjat va h. kabi kompyuterga taalluqli bo‘lmagan 
    resurslarni ham qamrab olishi shart. Ushbu xujjatlar tarkibida tijoratni tashkil etish 
    xususiyatlari to‘g‘risidagi axborot bo‘lishi mumkin va bu xujjatlar buzg‘unchilar 
    foydalanishi mumkin bo‘lgan joylarni ko‘rsatadi. 
    Axborot xavfsizligi siyosatini aniqlashda quyidagilar amalga oshirilishi 
    lozim: 
    1. Axborot xavfsizligi sohasida amal qilinadigan xujjatlar va standartlarni, 
    hamda axborot xavfsizligi siyosatining asosiy nizomlarini aniqlash, ya’ni: 

    kompyuter texnikasi vositalaridan, dasturlardan va ma’lumotlardan 
    foydalanishni boshqarish; 

    virusga qarshi himoya; 

    rezervli nushalash masalalari; 

    ta’mirlash va tiklash ishlarini o‘tkazish; 

    axborot xavfsizligi sohasidagi mojarolar xususida xabardor qilish. 


    26 
    2. 
    Xavf-xatarlarni 
    boshqarishga yondashishlarni aniqlash, ya’ni 
    himoyalanganlikning bazaviy sathi yyetarli ekanligini yoki xavf-xatarlarni 
    taxlillashning to‘liq variantini o‘tkazish talab etilishini aniqlash. 
    3. Axborot xavfsizligi rejimiga quyiladigan talablarni aniqlash. 
    4. Sathlar bo‘yicha qarshi choralarni strukturizatsiyalash. 
    5. Axborot xavfsizligi sohasida sertifikatsiyalash tartibining standartlarga 
    mosligini aniqlash. 
    6. Rahbariyatda axborot xavfsizligi mavzui bo‘yicha kengashlar o‘tkazish 
    davriyligini, xususan, axborot xavfsizligi siyosatining nizomlarini qayta ko‘rish, 
    hamda axborot tizimining barcha kategoriyali foydalanuvchilarini axborot 
    xavfsizligi masalalari bo‘yicha o‘qitish tartibini aniqlash.
    Tashkilotning real xavfsizlik siyosati quyidagi bo‘limlarni o‘z ichiga olishi 
    mumkin: 

    umumiy qoidalar; 

    parollarni boshqarish siyosati; 

    foydalanuvchilarni identifikatsiyalash; 

    foydalanuvchilarning vakolatlari; 

    tashkilot axborot resurslarini kompyuter viruslaridan himoyalash; 

    tarmoq bog‘lanishlarini o‘rnatish va nazoratlash qoidalari; 

    elektron pochta tizimi bilan ishlash bo‘yicha xavfsizlik siyosati 
    qoidalari; 

    axborot resurslari xavfsizligini ta’minlash qoidalari; 

    foydalanuvchilarning xavfsizlik siyosati qoidalarini bajarish bo‘yicha 
    majburiyatlari va h. 
    Qoidalar tashkilotning rivojlanishiga, yangi texnologiyalar, tizimlar va 
    loyihalar paydo bo‘lishiga muvofiq o‘zgarishi lozim. Buning uchun qoidalarni 
    davriy ravishda qayta ko‘rib chiqish lozim. Xavfsizlik siyosatini qayta ko‘rib 
    chiqish usullaridan biri axborot kommunikatsiya tizimlari auditi hisoblanadi. Shu 
    sababli tashkilot xavfsizlik siyosati va, tabiiyki, axborot xavfsizligi siyosati 
    o‘zining xayotiy sikliga ega deyish mumkin ( 1.1-rasm). 


    27 
    Xavfsizlik siyosatini o’z 
    ichiga oluvchi hujjatlar 
    Ko’rib chiqish va o’zgartirish
    Qabul qilish va tasdiqlash
    Muntazam ravishda qayta 
    ko’rib chiqish
    Rioya etilishini 
    ta’minlash
    Bajarilishini nazoratga 
    olish
    Qo’llash
    Bajarilishini o’rgatish
    Amalda qo’llanilishini 
    boshlash
    1.1-rasm. Xavfsizlik siyosatining hayotiy sikli 
    Xavfsizlik siyosati qoidalarini qayta ko‘rib chiqish muddatlari xususida aniq 
    bir ko‘rsatma mavjud emas. Ammo ushbu muddat olti oydan bir yilgacha 
    belgilanishi tavsiya etiladi. 
    Xavfsizlik qoidalari ishlab chiqilganidan va amalga kiritilganidan so‘ng 
    foydalanuchilar axborot xavfsizligi talablari bilan tanishib chiqishlari, xodimlar esa 
    qoidalarni o‘rganishlari lozim. Mojarolar paydo bo‘lganda ishlab chiqilgan reja 
    bo‘yicha harakatlanish tavsiya etiladi. 
    Axborot xavfsizligini ta’minlash masalalari bo‘yicha shug‘ullanadigan 
    yetakchi tashkilotlar xavfsizlik siyosati shablonlarini ishlab chiqdilar. Masalan 
    SANS (System Administration Networking and Security) instituti turli xavfsizlik 
    siyosatining 
    shablonlari 
    seriyasini 
    ishlab 
    chiqdi 
    (
    www.sans.org/resources/policies/
    ). 
    Ushbu shablonlar tarkibiga quyidagi siyosatlar kiradi: 


    28 


    Download 2,72 Mb.
    1   ...   7   8   9   10   11   12   13   14   ...   191




    Download 2,72 Mb.
    Pdf ko'rish