245
choralar, masalan, foydalanuvchilarni kirish huquqini avtorizasiyalash uchun zarar
bo’lgan texnologiyalar ko’rsatiladi.
-
Tizimga qaratilgan xavfsizlik siyosatlari (System-Specific Security
Policies, SSSP): mazkur xavfsizlik siyosatini amalga oshirishda tashkilotdagi biror
tizimning umumiy xavfsizligini ta’minlash maqsad qiladi.
Bunda tashkilotlar
tizimni qo’llab-quuvatlash maqsadida muolajalar va standartlarni o’z ichiga olgan
SSP siyosatini ishlab chiqadilar va boshqaradilar. Bundan tashqari, tashkilot
tomonidan foydalanilgan texnologiyalar tizimga qaratilgan siyosatlarni o’z ichiga
oladi. Bu siyosat texnologiyani amalga oshirish, sozlash
va foydalanuvchilarni
harakatlarini hisobga olishi mumkin.
Tashkilotlarda turli maqsadlarga qaratilgan ko’plab xavfsizlik siyosatlari
mavjud bo’lishi mumkin. Quyida ularning ayrimlari keltirilgan.
Internetdan foydalanish siyosati. Mazkur siyosat Internetdan foydalanishdagi
cheklanishni aniqlab, xodimlar uchun Internet tarmog’idan foydalanish tartibini
belgilaydi. Internetdan foydalanish siyosati o’z ichiga Internetdan foydalanish
ruxsati, tizim xavfsizligi, tarmoqni o’rnatish, AT xizmati va boshqa yo’riqnomalarni
qamrab oladi.
Internetdan foydalanish siyosatini quyidagi to’rtta kategoriyaga bo’lish
mumkin:
1.
Tartibsiz siyosat (Promiscuous Policy): ushbu siyosat tizim
resurslaridan foydalanishda hyech qanday cheklovlarni amalga oshirmaydi. Masalan,
bu siyosatga ko’ra foydalanuvchi
istalgan saytga kirishi, istalgan dasturni yuklab
olishi, masofadagi kompyuter yoki tarmoqdan foydalanishi mumkin bo’ladi. Bu
siyosat korporativ tashkilotlarning ofislarida ishlovchi yoki tashkilotda kelgan
mehmonlar uchun foydali hisoblansada, kompyuterni zararli dasturlar asosidagi
tahdidlarga zaif qilib qo’yishi mumkin. Ya’ni,
Internetdan foydalanishda
cheklanishlar mavjud bo’lmagani bois, foydalanuvchilar bilimsizligi natijasida
zararli dasturlar kirib kelishi mumkin.
2.
Ruxsat berishga asoslangan siyosat (Permissive Policy): Bu ciyosatga
ko’ra faqat xavfli xizmatlar/ hujumlar yoki harakatlar bloklanadi. Masalan, ruxsat
246
berishga asoslangan Internet siyosatida qator keng tarqalgan zararli xizmatlar/
hujumlardan tashqari Internet trafigining asosiy qismi ochiq bo’ladi. Faqat ken
tarqalgan hujumlar va zararli dasturlar bloklangani uchun, administrator joriy
holatdagi zararli harakatlarga qarshi himoyani ta’minlay oladi.
Bu siyosatda har
doim yangi hujumlarni va zararli dasturiy ta’minotlarni tutish va bazaga kiritib
borish talab etiladi.
3.
Paranoid siyosati (Paranoid Policy): Paranoid siyosatga ko’ra hamma
narsa bloklanadi va tizim yoki tarmoqdan foydalanuvchi tashkilot kompyuterlarida
qat’iy cheklovlar mavjud bo’ladi. Bu siyosatga ko’ra foydalanuvchi Internetga
umuman ulanmagan yoki qat’iy cheklovlar bilan ulangan bo’lishi mumkin. Bunday
hollarda, foydalanuvchilar odatda siyosatdagi qoidalarni aylanib o’tishga harakat
qiladi.
4.
Ehtiyotkorlik siyosati (Prudent Policy): Ehtiyotkorlik siyosati barcha
xizmatlar bloklangandan so’ng
amalga oshirilib, unda administator tomonidan
xavfsiz va zarur xizmatlarga individual ravishda ruxsat beriladi. Bu maksimal
xavfsizlikni ta’minlab, tizim/ tarmoq faoliyatiga oid barcha hodisalarni qayd qiladi.
Maqbul foydalanish siyosati. Maqbul foydalanish siyosati tarmoq va veb sayt
egalari tomonidan qaror qilingan qoidalardan iborat bo’ladi va u hisoblash
resurslaridan
to’g’ri
foydalanishni
belgilaydi.
Ushbu
siyosatda
foydalanuvchilarning o’z akkauntlarida mavjud bo’lgan ma’lumotlarni himoya
qilish majburiyati ko’rsatilgan bo’lib, foydalanuvchi
tarmoqdan yoki Internetdagi
kompyuterdan foydalanishida siyosat cheklovlarini qabul qilishi talab etiladi.
Ehtiyotkorlik siyosati prinsiplar, taqiqlar, qayta ko’rib chiqish va jazo choralarini
o’z ichiga olib, foydalanuvchini shaxsiy sabablarga ko’ra
korporativ resurslardan
foydalanishini taqiqlaydi.
Maqbul foydalanish siyosati axborot xavfsizligi siyosatining ajralmas qismi
hisoblanadi. Bunda, tashkilotlar o’zlarining yangi xodimlariga axborot resurlaridan
foydalanishga ruxsat berishdan oldin maqbul foydalanish siyosati bo’yicha
tanishganligi uchun imzo olishadi. Maqbul foydalanish siyosati foydalanuvchilarni
247
axborot texnologiyalari infratuzilmasida nimalarni bajarish kerak va nimalarni
bajarmaslik kerakligi haqidagi asosiy jihatlarni o’z ichiga oladi.
Maqbul foydalanish siyosati to’g’ri amalga oshirilganiga ishonch hosil qilish
uchun administrator doimiy ravishda xavfsizlik auditini olib borishi kerak.
Masalan,
aksariyat tashkilotlar o’z saytlarida va pochtalarida siyosatga aloqador va diniy
mavzularda muzokaralar olib borilishini taqiqlaydi. Maqbul foydalanish
siyosatlarining aksariyatida siyosatni buzganlik uchun jazolar tayinlanadi. Bunday
jazolar foydalanuvchi akkauntini vaqtincha yopib qo’yishdan tortib qonuniy jazo
choralarigacha bo’lishi mumkin.
