S. K. Ganiyev, M. M. Karimov, K. A. Tashev

1.3. Xavfsizlik siyosati
Axborot xavfsizligi siyosati (yoki xavfsizlik siyosati) -
tashkilotning maqsadlari va vazifalari hamda xavfsizlikni ta’minlash 
sohasidagi tadbirlar tavsiflanadigan yuqori darajadagi reja. Siyosat 
xavfsizlikni umumlashgan atamalarda, spetsifik detallarsiz tavsif- 
laydi. U xavfsizlikni ta’minlashning barcha dasturlarini rejalash- 
tiradi. Axborot xavfsizligi siyosati tashkilot masalalarini yechish 
himoyasini yoki ish jarayoni himoyasini ta’minlashi shart.
Apparat 
vositalar 
va 
dasturiy 
ta’minot 
ish jarayonini 
ta’minlovchi vositalar hisoblanadi va ular xavfsizlik siyosati 
tomonidan qamrab olinishi shart. Shu sababli asosiy vazifa sifatida 
tizimni (jumladan tarmoq xaritasini) to iiq inventarizatsiyalashni 
ko’zda tutish lozim. Tarmoq xaritasini tuzishda har bir tizimdagi 
axborot oqimini aniqlash lozim. Axborot oqimlari sxemasi axborot 
oqimlari biznes-jarayonlami qanchalik ta’minlayotganini ko‘rsatishi 
mumkin hamda axborotni himoyalash va yashovchanligini ta’minlash 
uchun qo’shimcha choralami ko’rish muhim bo'lgan sohani 
ko’rsatishi mumkin. Undan tashqari bu sxema yordamida axborot 
ishlanadigan joyni, ushbu axborot qanday saqlanishi, qaydlanishi, 
joyini o’zgartirishi va nazoratlanishi lozimligini aniqlash mumkin.
Inventarizatsiya apparat va dasturiy vositalardan tashqari 
dasturiy hujjat, apparatura hujjatlari, texnologik hujjat va h. kabi 
kompyuterga taalluqli boim agan resurslami ham qamrab olishi 
shart. Ushbu hujjatlar tarkibida tijoratni tashkil etish xususiyatlari 
to‘g‘risidagi axborot bo’lishi mumkin va bu hujjatlar buzg'unchilar 
foydalanishi mumkin boTgan joylami ko’rsatadi.
Axborot xavfsizligi siyosatini aniqlashda quyidagilar amalga 
oshirilishi lozim:
1. 
Axborot xavfsizligi sohasida amal qilinadigan hujjatlar va 
standartlami hamda axborot xavfsizligi siyosatining asosiy nizom- 
larini aniqlash, ya’ni:
- kompyuter texnikasi vositalaridan, dasturlardan va ma’lumot- 
lardan foydalanishni boshqarish;
- virusga qarshi himoya;
- rezervli nusxalash masalalari;
- ta’mirlash va tiklash ishlarini o‘tkazish;
14

- axborot xavfsizligi sohasidagi mojarolar xususida xabardor 
qilish.
2. Xavf-xatarlami boshqarishga yondashishlami aniqlash, ya’ni 
himoyalanganlikning bazaviy sathi yetarli ekanligini yoki xavf- 
xatarlami tahlillashning to‘liq variantini o ‘tkazish talab etilishini 
aniqlash.
3. Axborot xavfsizligi rejimiga qo'yiladigan talablami 
aniqlash.
4. Sathlar bo'yicha qarshi choralami strukturizatsiyalash.
5. Axborot xavfsizligi sohasida sertifikatsiyalash tartibining 
standartlarga mosligini aniqlash.
6. Rahbariyatda axborot xavfsizligi mavzui bo‘yicha kengash- 
lar o ‘tkazish davriyligini, xususan, axborot xavfsizligi siyosatining 
nizomlarini qayta ko‘rish hamda axborot tizimining barcha 
kategoriyali foydalanuvchilarini axborot xavfsizligi masalalari 
bo‘yicha o ‘qitish tartibini aniqlash.
Tashkilotning real xavfsizlik siyosati quyidagi bo‘limlami o ‘z 
ichiga olishi mumkin:
- umumiy qoidalar;
- parollami boshqarish siyosati;
- foydalanuvchilami identifikatsiyalash;
- foydalanuvchilaming vakolatlari;
- tashkilot 
axborot 
resurslarini 
kompyuter 
viruslaridan 
himoyalash;
- tarmoq bogianishlarini o ‘matish va nazoratlash qoidalari;
- elektron pochta tizimi bilan ishlash bo‘yicha xavfsizlik
siyosati qoidalari; 
.
- axborot resurslari xavfsizligini ta’minlash qoidalari;
- foydalanuvchilaming xavfsizlik siyosati qoidalarini bajarish 
bo'yicha majburiyatlari va h.
Qoidalar tashkilotning rivojlanishiga, yangi texnologiyalar, 
tizimlar va ioyihalar paydo boiishiga muvofiq o ‘zgarishi lozim. 
Buning uchun qoidalami davriy ravishda qayta ko‘rib chiqish kerak. 
Xavfsizlik siyosatini qayta ko‘rib chiqish usullaridan biri axborot 
kommunikatsiya tizimlari auditi hisoblanadi. Shu sababli tashkilot 
xavfsizlik siyosati va tabiiyki, axborot xavfsizligi siyosati o‘zining 
hayotiy sikliga ega deyish mumkin (1.1-rasm).
15

1.1-rasm. Xavfsizlik siyosatining hayotiy sikli.
Xavfsizlik siyosati qoidalarini qayta ko‘rib chiqish muddatlari 
xususida aniq bir ko‘rsatma mavjud emas. Ammo ushbu muddat olti 
oydan bir yilgacha belgilanishi tavsiya etiladi.
Xavfsizlik qoidalari ishlab chiqilganidan va amalga kiritil- 
ganidan so‘ng foydalanuchilar axborot xavfsizligi talablari bilan 
tanishib chiqishlari, xodimlar esa qoidalami o‘rganishlari lozim. 
Mojarolar paydo bodganda ishlab chiqilgan reja bo‘yicha hara- 
katlanish tavsiya etiladi.
Axborot xavfsizligini ta’minlash masalalari bo‘yicha shug‘ul- 
lanadigan yetakchi tashkilotlar xavfsizlik siyosati shablonlarini 
ishlab chiqdilar. Masalan, SANS (System Administration Networ­
king and Security) instituti turli xavfsizlik siyosatining shablonlari 
seriyasini ishlab chiqdi (www.sans.org/resources/policies/).
Ushbu shablonlar tarkibiga quyidagi siyosatlar kiradi:
- jo iz shifrlash siyosati - tashkilotda ishlatiluvchi kriptografik 
algoritmlarga qo‘yiladigan talablami aniqlaydi;
16

- jo iz foydalanish siyosati - foydalanuvchilami, tashkilot re- 
surslarini va axborotning o ‘zini himoyalash uchun qurilmalardan va 
kompyuter xizmatlaridan foydalanishni aniqlaydi;
- virusga qarshi himoya - tashkilot tarmog‘iga bo'ladigan 
kompyuter viruslari tahdidlarini samarali kamaytirishning asosiy 
prinsiplarini belgilaydi;
- xarid imkoniyatlarini baholash siyosati - tashkilot tomonidan 
himoya vositalarini xarid qilish imkoniyatlarini va axborot 
xavfsizligi guruhi tomonidan bajariladigan xarid qilinganlami 
baholashga qo‘yiladigan minimal talablami aniqlaydi;
- zaifliklarni skanerlash auditi siyosati - axborot resurslarining 
yaxlitligiga ishonch hosil qilish, muvofiqlikni o‘rnatish yoki 
foydalanish va tizim faolligining monitoringini o ‘tkazish maqsadida 
auditni kuzatish hamda xavf-xatarni baholash uchun talablami 
aniqlaydi va mas’ul shaxsni tayinlaydi;
- avtomatik tarzda uzatiladigan pochta siyosati - menedjer 
yoki direktoming ruxsatisiz hech qanday pochta tashqi manbaga 
avtomatik tarzda yo,‘naltirilmasligi talablarini hujjatlashtiradi;
- та 'lumotlar bazasidagi vakolatlarni kodlash siyosati -
m a’lumotlar bazasidagi foydalanuvchilar nomini va parollami xavf- 
siz saqlash va olish uchun talablami aniqlash;
- telefon liniyasi orqali foydalanish siyosati - tegishli foydala­
nishni 
va 
undan 
avtorizatsiyalangan 
xodimlar 
tomonidan 
foydalanishni aniqlaydi;
- demilitarizatsiyalangan zona xavfsizligi siyosati - demilitari- 
zatsiyalangan zonada yoki tashqi tarmoq segmentlarida joylashgan 
laboratoriyalarda ishlatiladigan barcha tarmoq va qurilmalar uchun 
standartlami belgilaydi;
- jiddiy axborot siyosati - konfidensiallikning mos darajalarini 
berish yo‘li bilan tashkilot axborotini tasniflashga va xavfsizligiga 
qo‘yiladigan talablami belgilaydi;
- parollarni himoyalash siyosati - parollami hosil qilish, hi­
moyalash va almashtirish standartlarini aniqlaydi;
- masofadan foydalanish siyosati - tashkilot uchun tashqi hi- 
soblanuvchi har qanday xostning yoki tarmoqning tashkilot 
tarmog‘iga ulanish standartlarini aniqlaydi;
17

- xavf-xatarni baholash siyosati - tijorat hamkorligi bilan 
assotsiyatsiyalangan tashkilot axborot infratuzilmasida xavf-xatarni 
identifikatsiyalash, baholash va kamaytirish uchun talablami 
aniqlaydi va mas’ul shaxslami tayinlaydi;
- marshrutizator xavfsizligi siyosati - tashkilot ichki tarmog‘i 
yoki faoliyat (mahsulotni tayyorlash) uchun ishlatiladigan marshru- 
tizatorlar va kommutatorlar uchun xavfsizlikning minimal konfi- 
guratsiyasi standartlarini aniqlaydi;
- server xavfsizligi siyosati - tashkilot ichki tarmog‘i yoki mah- 
sulot sifatida ishlatiladigan serverlar uchun xavfsizlikning minimal 
konfiguratsiyasi standartlarini aniqlaydi;
- VPN xavfsizligi siyosati - tashkilot tarmog‘i bilan IPSec yoki 
L2TPVPN ulanishlardan masofadan foydalanish uchun talablami 
aniqlaydi;

Download 10,28 Mb.