Nazorat savollari:
1. Axborot xavfsizligini ta’minlash vazifalari nima va u qaysi
asosiy guruhlami o‘,z ichiga oladi?
2. Axborot xavfsizligi subyektlarining kategoriyalarini tushun-
tirib bering.
3. Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab
olgan konfidensiallik, yaxlitlik, identifikatsiya va autentifikatsiya
kabi masalalarini yoritib bering.
4. Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab
olgan vakolat berish, foydalanishni nazoratlash, mulklik huquqi,
sertifikatsiya kabi masalalarini yoritib bering.
5. Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab
olgan imzo, voz kechmaslik, sanasini yozish kabi masalalarini
yoritib bering.
6. Axborot xavfsizligini ta’minlash asosiy vazifalari qamrab
olgan olganligiga tilxat berish, bekor qilish, anonimlik kabi
masalalarini yoritib bering.
7. Axborot xavfsizligini ta’minlash darajalarini tavsiflab
bering.
13
1.3. Xavfsizlik siyosati
Axborot xavfsizligi siyosati (yoki xavfsizlik siyosati) -
tashkilotning maqsadlari va vazifalari hamda xavfsizlikni ta’minlash
sohasidagi tadbirlar tavsiflanadigan yuqori darajadagi reja. Siyosat
xavfsizlikni umumlashgan atamalarda, spetsifik detallarsiz tavsif-
laydi. U xavfsizlikni ta’minlashning barcha dasturlarini rejalash-
tiradi. Axborot xavfsizligi siyosati tashkilot masalalarini yechish
himoyasini yoki ish jarayoni himoyasini ta’minlashi shart.
Apparat
vositalar
va
dasturiy
ta’minot
ish jarayonini
ta’minlovchi vositalar hisoblanadi va ular xavfsizlik siyosati
tomonidan qamrab olinishi shart. Shu sababli asosiy vazifa sifatida
tizimni (jumladan tarmoq xaritasini) to iiq inventarizatsiyalashni
ko’zda tutish lozim. Tarmoq xaritasini tuzishda har bir tizimdagi
axborot oqimini aniqlash lozim. Axborot oqimlari sxemasi axborot
oqimlari biznes-jarayonlami qanchalik ta’minlayotganini ko‘rsatishi
mumkin hamda axborotni himoyalash va yashovchanligini ta’minlash
uchun qo’shimcha choralami ko’rish muhim bo'lgan sohani
ko’rsatishi mumkin. Undan tashqari bu sxema yordamida axborot
ishlanadigan joyni, ushbu axborot qanday saqlanishi, qaydlanishi,
joyini o’zgartirishi va nazoratlanishi lozimligini aniqlash mumkin.
Inventarizatsiya apparat va dasturiy vositalardan tashqari
dasturiy hujjat, apparatura hujjatlari, texnologik hujjat va h. kabi
kompyuterga taalluqli boim agan resurslami ham qamrab olishi
shart. Ushbu hujjatlar tarkibida tijoratni tashkil etish xususiyatlari
to‘g‘risidagi axborot bo’lishi mumkin va bu hujjatlar buzg'unchilar
foydalanishi mumkin boTgan joylami ko’rsatadi.
Axborot xavfsizligi siyosatini aniqlashda quyidagilar amalga
oshirilishi lozim:
1.
Axborot xavfsizligi sohasida amal qilinadigan hujjatlar va
standartlami hamda axborot xavfsizligi siyosatining asosiy nizom-
larini aniqlash, ya’ni:
- kompyuter texnikasi vositalaridan, dasturlardan va ma’lumot-
lardan foydalanishni boshqarish;
- virusga qarshi himoya;
- rezervli nusxalash masalalari;
- ta’mirlash va tiklash ishlarini o‘tkazish;
14
- axborot xavfsizligi sohasidagi mojarolar xususida xabardor
qilish.
2. Xavf-xatarlami boshqarishga yondashishlami aniqlash, ya’ni
himoyalanganlikning bazaviy sathi yetarli ekanligini yoki xavf-
xatarlami tahlillashning to‘liq variantini o ‘tkazish talab etilishini
aniqlash.
3. Axborot xavfsizligi rejimiga qo'yiladigan talablami
aniqlash.
4. Sathlar bo'yicha qarshi choralami strukturizatsiyalash.
5. Axborot xavfsizligi sohasida sertifikatsiyalash tartibining
standartlarga mosligini aniqlash.
6. Rahbariyatda axborot xavfsizligi mavzui bo‘yicha kengash-
lar o ‘tkazish davriyligini, xususan, axborot xavfsizligi siyosatining
nizomlarini qayta ko‘rish hamda axborot tizimining barcha
kategoriyali foydalanuvchilarini axborot xavfsizligi masalalari
bo‘yicha o ‘qitish tartibini aniqlash.
Tashkilotning real xavfsizlik siyosati quyidagi bo‘limlami o ‘z
ichiga olishi mumkin:
- umumiy qoidalar;
- parollami boshqarish siyosati;
- foydalanuvchilami identifikatsiyalash;
- foydalanuvchilaming vakolatlari;
- tashkilot
axborot
resurslarini
kompyuter
viruslaridan
himoyalash;
- tarmoq bogianishlarini o ‘matish va nazoratlash qoidalari;
- elektron pochta tizimi bilan ishlash bo‘yicha xavfsizlik
siyosati qoidalari;
.
- axborot resurslari xavfsizligini ta’minlash qoidalari;
- foydalanuvchilaming xavfsizlik siyosati qoidalarini bajarish
bo'yicha majburiyatlari va h.
Qoidalar tashkilotning rivojlanishiga, yangi texnologiyalar,
tizimlar va ioyihalar paydo boiishiga muvofiq o ‘zgarishi lozim.
Buning uchun qoidalami davriy ravishda qayta ko‘rib chiqish kerak.
Xavfsizlik siyosatini qayta ko‘rib chiqish usullaridan biri axborot
kommunikatsiya tizimlari auditi hisoblanadi. Shu sababli tashkilot
xavfsizlik siyosati va tabiiyki, axborot xavfsizligi siyosati o‘zining
hayotiy sikliga ega deyish mumkin (1.1-rasm).
15
1.1-rasm. Xavfsizlik siyosatining hayotiy sikli.
Xavfsizlik siyosati qoidalarini qayta ko‘rib chiqish muddatlari
xususida aniq bir ko‘rsatma mavjud emas. Ammo ushbu muddat olti
oydan bir yilgacha belgilanishi tavsiya etiladi.
Xavfsizlik qoidalari ishlab chiqilganidan va amalga kiritil-
ganidan so‘ng foydalanuchilar axborot xavfsizligi talablari bilan
tanishib chiqishlari, xodimlar esa qoidalami o‘rganishlari lozim.
Mojarolar paydo bodganda ishlab chiqilgan reja bo‘yicha hara-
katlanish tavsiya etiladi.
Axborot xavfsizligini ta’minlash masalalari bo‘yicha shug‘ul-
lanadigan yetakchi tashkilotlar xavfsizlik siyosati shablonlarini
ishlab chiqdilar. Masalan, SANS (System Administration Networ
king and Security) instituti turli xavfsizlik siyosatining shablonlari
seriyasini ishlab chiqdi (www.sans.org/resources/policies/).
Ushbu shablonlar tarkibiga quyidagi siyosatlar kiradi:
- jo iz shifrlash siyosati - tashkilotda ishlatiluvchi kriptografik
algoritmlarga qo‘yiladigan talablami aniqlaydi;
16
- jo iz foydalanish siyosati - foydalanuvchilami, tashkilot re-
surslarini va axborotning o ‘zini himoyalash uchun qurilmalardan va
kompyuter xizmatlaridan foydalanishni aniqlaydi;
- virusga qarshi himoya - tashkilot tarmog‘iga bo'ladigan
kompyuter viruslari tahdidlarini samarali kamaytirishning asosiy
prinsiplarini belgilaydi;
- xarid imkoniyatlarini baholash siyosati - tashkilot tomonidan
himoya vositalarini xarid qilish imkoniyatlarini va axborot
xavfsizligi guruhi tomonidan bajariladigan xarid qilinganlami
baholashga qo‘yiladigan minimal talablami aniqlaydi;
- zaifliklarni skanerlash auditi siyosati - axborot resurslarining
yaxlitligiga ishonch hosil qilish, muvofiqlikni o‘rnatish yoki
foydalanish va tizim faolligining monitoringini o ‘tkazish maqsadida
auditni kuzatish hamda xavf-xatarni baholash uchun talablami
aniqlaydi va mas’ul shaxsni tayinlaydi;
- avtomatik tarzda uzatiladigan pochta siyosati - menedjer
yoki direktoming ruxsatisiz hech qanday pochta tashqi manbaga
avtomatik tarzda yo,‘naltirilmasligi talablarini hujjatlashtiradi;
- та 'lumotlar bazasidagi vakolatlarni kodlash siyosati -
m a’lumotlar bazasidagi foydalanuvchilar nomini va parollami xavf-
siz saqlash va olish uchun talablami aniqlash;
- telefon liniyasi orqali foydalanish siyosati - tegishli foydala
nishni
va
undan
avtorizatsiyalangan
xodimlar
tomonidan
foydalanishni aniqlaydi;
- demilitarizatsiyalangan zona xavfsizligi siyosati - demilitari-
zatsiyalangan zonada yoki tashqi tarmoq segmentlarida joylashgan
laboratoriyalarda ishlatiladigan barcha tarmoq va qurilmalar uchun
standartlami belgilaydi;
- jiddiy axborot siyosati - konfidensiallikning mos darajalarini
berish yo‘li bilan tashkilot axborotini tasniflashga va xavfsizligiga
qo‘yiladigan talablami belgilaydi;
- parollarni himoyalash siyosati - parollami hosil qilish, hi
moyalash va almashtirish standartlarini aniqlaydi;
- masofadan foydalanish siyosati - tashkilot uchun tashqi hi-
soblanuvchi har qanday xostning yoki tarmoqning tashkilot
tarmog‘iga ulanish standartlarini aniqlaydi;
17
- xavf-xatarni baholash siyosati - tijorat hamkorligi bilan
assotsiyatsiyalangan tashkilot axborot infratuzilmasida xavf-xatarni
identifikatsiyalash, baholash va kamaytirish uchun talablami
aniqlaydi va mas’ul shaxslami tayinlaydi;
- marshrutizator xavfsizligi siyosati - tashkilot ichki tarmog‘i
yoki faoliyat (mahsulotni tayyorlash) uchun ishlatiladigan marshru-
tizatorlar va kommutatorlar uchun xavfsizlikning minimal konfi-
guratsiyasi standartlarini aniqlaydi;
- server xavfsizligi siyosati - tashkilot ichki tarmog‘i yoki mah-
sulot sifatida ishlatiladigan serverlar uchun xavfsizlikning minimal
konfiguratsiyasi standartlarini aniqlaydi;
- VPN xavfsizligi siyosati - tashkilot tarmog‘i bilan IPSec yoki
L2TPVPN ulanishlardan masofadan foydalanish uchun talablami
aniqlaydi;
|