Tashkiliy, texnik va dasturiy chora-tadbirlar hamda usullar
Muayyan axborot tizimining axborotni himoya qilish texnologiyasini tavsiflash uchun odatda axborot xavfsizligi siyosati yoki ko‘rib chiqilayotgan axborot tizimining xavfsizlik siyosati yaratiladi. Tashkiliy xavfsizlik siyosati (inglizcha: Organizational security policy) – tashkilot faoliyatida axborot xavfsizligi sohasidagi hujjatlashtirilgan qoidalar, tartiblar, amaliyotlar yoki ko‘rsatmalar to‘plami.
Axborot va telekommunikatsiya texnologiyalari xavfsizligi siyosati (inglizcha: ІСТ security policy)
– tashkilot va uning axborot va telekommunikatsiya texnologiyalari ichida aktivlarni, shu jumladan muhim ma’lumotlarni boshqarish, himoya qilish va tarqatish usullarini belgilaydigan qoidalar, ko‘rsatmalar, o‘rnatilgan amaliyotlar.
Axborot xavfsizligi siyosatini shakllantirishda axborot tizimini himoya qilishning quyidagi yo‘nalishlarini alohida ko‘rib chiqish tavsiya etiladi [61]:
Axborot tizimi ob’ektlarini himoya qilish;
Jarayonlar, protseduralar va axborotni qayta ishlash dasturlarini himoya qilish;
Aloqa kanallari (akustik, infraqizil, simli, radiokanallar va boshqalar)ni himoya qilish, shu jumladan mahalliy tarmoqlarda axborotni himoya qilish;
Yon elektromagnit nurlanishni bostirish; Himoya tizimini boshqarish.
Shu bilan birga, yuqoridagi sohalarning har biri uchun axborotni himoya qilish vositalarini yaratishda axborot xavfsizligi siyosati quyidagi bosqichlarni tavsiflashi talab etiladi:
Himoya qilinadigan axborot va texnik resurslarni belgilash;
Potensial tahdidlarning to‘liq to‘plami va ma’lumotlarning sizib chiqish kanallarini aniqlash;
Turli xil tahdidlar va sizib chiqish kanallari mavjud bo‘lganda ma’lumotlarning zaiflik darajasi va xavflarini baholashni o‘tkazish;
Himoya tizimiga qo‘yiladigan talablarni aniqlash;
Axborot xavfsizligi vositalari va ularning xususiyatlarini tanlashni amalga oshirish;
Tanlangan himoya choralari, usullari va vositalarini amalga oshirish va ulardan foydalanishni tashkil etish;
Butunlikni nazorat qilish va himoya qilish tizimini boshqarishni amalga oshirish.
Axborot xavfsizligi siyosati axborot tizimiga qo‘yiladigan hujjatlashtirilgan talablar shaklida tuziladi. Hujjatlar, odatda, himoya jarayonining tavsifi (tafsiloti) darajalariga ko‘ra darajalarga bo‘linadi. Axborot xavfsizligi siyosatining yuqori darajadagi hujjatlari tashkilotning axborot xavfsizligi sohasidagi faoliyatiga nisbatan pozitsiyasini, ushbu sohadagi davlat, xalqaro talablar va standartlarga rioya qilish istagini aks ettiradi. Bunday hujjatlar „AT kontseptsiyasi“, „AT boshqaruvi reglamenti“, „AT siyosati“, „AT texnik standarti“ va boshqa tashqi va ichki foydalanish deb nomlanishi mumkin. GOST R ISO/IEC 17799-2005ga muvofiq, axborot xavfsizligi siyosatining yuqori darajasida quyidagi hujjatlar tuzilishi kerak: „AT xavfsizligi kontseptsiyasi“, „Axborot tizimi resurslaridan maqbul foydalanish qoidalari“, „Biznesning uzluksizlik rejasi“.
O‘rta darajaga axborot xavfsizligining ayrim jihatlari bilan bog‘liq hujjatlar kiradi. Bu axborot xavfsizligi vositalarini yaratish va ulardan foydalanish, shuningdek, axborot xavfsizligining ma’lum bir sohasida tashkilotning axborot va biznes jarayonlarini tashkil etish talablaridir. Bunga misol qilib ma’lumotlar xavfsizligi, aloqa xavfsizligi, kriptografik himoya vositalaridan foydalanish, kontentni filtrlash va boshqalarni keltirish mumkin. Bunday hujjatlar odatda tashkilotning ichki texnik va tashkiliy siyosati (standartlari) shaklida nashr etiladi. O‘rta darajadagi axborot xavfsizligi siyosatining barcha hujjatlari maxfiy hisoblanadi.
Quyi darajadagi axborot xavfsizligi siyosati mehnat qoidalari, ma’muriy qo‘llanmalar, shaxsiy axborot xavfsizligi xizmatlaridan foydalanish bo‘yicha ko‘rsatmalarni o‘z ichiga oladi.
|
