Vazirligi denov tadbirkorlik va pedagogika instituti mamajanov r. Y., Rajabov t. J., Saidaxmedov e. I kiberxavfsizlik asoslari

siyosatlarning amalga oshirilishi tashkilotga standartlarni o‘rnatish va risklarni
boshqarish kabi vazifalarni bajarishiga imkon yaratadi.
-
Standartlar
. Standartlar siyosatni amalga oshirish usullarini tavsiflaydi va
tashkilotlar tomonidan amalga oshiriladi. Standartlar korxona siyosatiga ixtiyoriy
va mandatli aloqador bo‘lib, ishlab chiqilgan standartni ma’lum vaqtdan so‘ng
o‘zgartirish talab etilmasligi zarur. Shuningdek, standartlar texnologiya, qurilma va
dasturiy vositaga bog‘liq holda xavfsizlik nazoratini o‘z ichiga oladi.
-
Yo‘riqnomalar
. Yo‘riqnomalar tashkilot siyosati va standartlarini amalga
oshirish strategiyasini aniqlab, tashkilotning tahdidlarga qarshi tura olishida
yordam beradi. Shuning uchun, tashkilot xodimlari yo‘riqnomalarni bajarish
uchun, maxsus o‘qitiladi.
-
Muolajalar
. Muoalajalar tashkilot siyosatini amalga oshiruvchi ketma-ket
bosqichlar to‘plami bo‘lib, ularni amalga oshirishda imtiyozga ega subyektdan
tasdiq talab etiladi.
Muolajalar quyidagi savollar asosida ishlaydi:
- kim nimani bajaradi?;
-ular qanday bosqichlarga ega?;
- ular qaysi shakl va hujjatlardan foydalanadilar?
-
Umumiy qoidalar
. Umumiy qoidalar tanlovga ko‘ra maslahatlar bilan
ta’minlovchi hujjat bo‘lib, ulardan biror maxsus standartlar bo‘lmagan holda
foydalaniladi. Umumiy qoidalar tavsiyalar sifatida bo‘ladi va tashkilotlar ularni rad
eta olmaydi. Umumiy qoidalarni amalga oshirish risklarni kamaytirsada, biznes
talablari o‘zgarganida umumiy qoidalarni ham o‘zgartirish tavsiya etiladi.
Xavfsizlik siyosati quyidagi xususiyatlarga ega bo‘lishi shart
:
-
Qisqa va aniq
: xavfsizlik siyosati infrastrukturada joriy qilishda qisqa va
aniq bo‘lishi shart. Murakkab xavfsizlik siyosati tushunish uchun qiyin bo‘lib,
xodimlar tomonidan kutilgani kabi amalga oshirilmaydi.
-
Foydalanuvchan bo‘lishi
: siyosat tashkilotning turli sektorlari bo‘ylab oson
foydalanishli yozilishi va loyihalanishi shart. Yaxshi yozilgan siyosatlar
boshqarishga va amalga oshirishga oson bo‘ladi.

-
Iqtisodiy asoslangan bo‘lishi
: tashkilotlar tejamkor va o‘z xavfsizligini
kuchaytiruvchi siyosatni amalga oshirishlari shart.
-
Amaliy bo‘lishi
: siyosatlar reallikka asoslangan amaliy bo‘lishi kerak. Real
bo‘lmagan siyosatning amalga oshirilishi tashkilotga muammo tug‘diradi.
-
Barqaror bo‘lishi
: tashkilot o‘zining siyosatini amalga oshirishda
barqarorlikga ega bo‘lishi kerak.
-
Mulojaviy bardoshli bo‘lishi
: siyosat muolajalari amalga oshirilganida, ular
ish beruvchi va ishlovchiga mos bo‘lishi kerak.
-
Kiber
va
yuridik
qonunlarga,
standartlarga,
qoidalarga
va
yo‘riqnomalarga mos bo‘lishi
: amalga oshiriluvchi ixtiyoriy siyosat kiber qonunlar
asosida ishlab chiqilgan qoidalar va yo‘riqnomalarga mos bo‘lishi zarur.
Axborot xavfsizligi siyosatining turlari. Tashkilotda axborot xavfsizligini
rejalashtirish, loyihalash va amalga oshirishda siyosat muhim hisoblanib, ular
foydalanuvchilarga xavfsizlik maqsadlariga erishishda mavjud muammolarni
bartaraf etish choralarini taqdim etadi.
Axborot texnologiyalari sohasidagi korxonalarda quyidagi xavfsizlik
siyosatlari qo‘llaniladi:
-
Tashkilot axborot xavfsizligi siyosati
(Enterprise Information Security
Policies, EISP): mazkur siyosat turi tashkilot xavfsiz muhitini, unga g‘oya, maqsad
va usullarni taklif qilish orqali, madadlaydi. U xavfsizlik dasturlarini ishlab
chiqish, amalga oshirish va boshqarish usullarini belgilaydi. Bundan tashqari,
ushbu siyosat taklif etilgan va talab qilingan axborot xavfsizligi strukturasi
talablarini kafolatlaydi.
-
Muammoga qaratilgan xavfsizlik siyosatlari
(Issue-Specific Security
Policies, ISSP): bu siyosatlar tashkilotdagi aynan xavfsizlik muammosiga
qaratilgan bo‘lib, ushbu xavfsizlik siyosatlarining qamrovi va qo‘llanilish sohasi
muammo turi va unda foydalanilgan usullarga bog‘liq bo‘ladi.
-
Tizimga qaratilgan xavfsizlik siyosatlari
(System-Specific Security
Policies, SSSP): mazkur xavfsizlik siyosatini amalga oshirishda tashkilotdagi biror
tizimning umumiy xavfsizligini taminlash ko‘zda tutiladi. Bunda tashkilotlar
3

tizimni madadlash maqsadida muolajalar va standartlarni o‘z ichiga olgan SSSP
siyosatini ishlab chiqadilar va boshqaradilar. Bundan tashqari, tashkilot tomonidan
foydalanilgan texnologiyalar tizimga qaratilgan siyosatlarni o‘z ichiga oladi. Bu
siyosat texnologiyani amalga oshirish, sozlash va foydalanuvchilar harakatlarini
hisobga olishi mumkin.
Tashkilotlarda turli maqsadlarga qaratilgan ko‘plab xavfsizlik siyosatlari
mavjud bo‘lishi mumkin. Quyida ularning ayrimlari keltirilgan.
Internetdan
foydalanish
siyosati
.
Mazkur
siyosat
internetdan
foydalanishdagi cheklanishlarni aniqlab, xodimlar uchun Internet tarmog‘idan
foydalanish tartibini belgilaydi. Internetdan foydalanish siyosati o‘z ichiga
Internetdan foydalanish ruxsati, tizim xavfsizligi, tarmoqni o‘rnatish, AT xizmati
va boshqa yo‘riqnomalarni qamrab oladi. Internetdan foydalanish siyosatini
quyidagi to‘rtta kategoriyaga ajratish mumkin:
1.
Tartibsiz siyosat (Promiscuous Policy)
: ushbu siyosat tizim resurslaridan
foydalanishda hech qanday cheklovlarni amalga oshirmaydi. Masalan, bu siyosatga
ko‘ra foydalanuvchi istalgan saytga kirishi, istalgan dasturni yuklab olishi,
masofadagi kompyuterdan yoki tarmoqdan foydalanishi mumkin. Bu siyosat
korporativ tashkilotlarning ofislarida ishlovchi yoki tashkilotga kelgan mehmonlar
uchun foydali hisoblansada, kompyuterni zararli dasturlar asosidagi tahdidlarga
zaif qilib qo‘yishi mumkin.
2.
Ruxsat berishga asoslangan siyosat
(
Permissive Policy
): Bu siyosatga
ko‘ra faqat xavfli xizmatlar/ hujumlar yoki harakatlar blokirovkalanadi. Masalan,
ruxsat berishga asoslangan Internet siyosatida qator keng tarqalgan zararli
xizmatlar/ hujumlardan tashqari Internet trafigining asosiy qismi ochiq bo‘ladi.
Faqat keng tarqalgan hujumlar va zararli dasturlar blokirovkalanganligi tufayli,
ma’mur joriy holatdagi zararli harakatlarga qarshi himoyani ta’minlay oladi. Bu
siyosatda har doim yangi hujumlarni va zararli dasturiy ta’minotlarni tutish va
bazaga kiritib borish talab etiladi.
3.
Paranoid siyosati
(
Paranoid Policy
): Paranoid siyosatga ko‘ra barcha
narsa blokirovkalanadi va tizim yoki tarmoqdan foydalanuvchi tashkilot

kompyuterlarida qat’iy cheklovlar mavjud bo‘ladi. Bu siyosatga ko‘ra
foydalanuvchi Internetga umuman ulanmagan yoki qat’iy cheklovlar bilan ulangan
bo‘lishi mumkin. Bunday hollarda, foydalanuvchilar odatda siyosatdagi qoidalarni
aylanib o‘tishga harakat qiladilar.
4.
Ehtiyotkorlik siyosati
(
Prudent Policy
): Ehtiyotkorlik siyosati barcha
xizmatlar blokirovkalanganidan so‘ng amalga oshirilib, unda xavfsiz va zarur
xizmatlarga ma’mur tomonidan individual ravishda ruxsat beriladi. Bu maksimal
xavfsizlikni ta’minlab, tizim/ tarmoq faoliyatiga oid barcha hodisalarni qaydlaydi.
Maqbul foydalanish siyosati
. Maqbul foydalanish siyosati tarmoq va web
sayt egalari tomonidan qaror qilingan qoidalardan iborat va u hisoblash
resurslaridan
to‘g‘ri
foydalanishni
belgilaydi.
Ushbu
siyosatda
foydalanuvchilarning o‘z akkauntlarida mavjud bo‘lgan ma’lumotlarni himoya
qilish majburiyati ko‘rsatilgan bo‘lib, foydalanuvchidan tarmoqdan yoki
Internetdagi kompyuterdan foydalanishida siyosat cheklovlarini qabul qilishi talab
etiladi. Ehtiyotkorlik siyosati prinsiplar, taqiqlar, qayta ko‘rib chiqish va jazo
choralarini o‘z ichiga olib, foydalanuvchini, shaxsiy sabablarga ko‘ra, korporativ
resurslardan foydalanishini taqiqlaydi.
Maqbul foydalanish siyosati axborot xavfsizligi siyosatining ajralmas qismi
hisoblanadi. Bunda, tashkilotlar, o‘zlarining yangi xodimlariga axborot
resurlaridan foydalanishga ruxsat berishdan oldin, maqbul foydalanish siyosati
bo‘yicha tanishganligi xususida kafolat imzosi olinadi.
Maqbul foydalanish siyosati to‘g‘ri amalga oshirilganiga ishonch hosil qilish
uchun ma’mur doimiy ravishda xavfsizlik auditini olib borishi kerak. Maqbul
foydalanish siyosatlarining aksariyatida siyosatni buzganlik uchun jazolar
tayinlanadi. Bunday jazolar foydalanuvchi akkauntini vaqtincha yopib qo‘yishdan
tortib qonuniy jazo choralarigacha bo‘lishi mumkin.

Download 7,29 Mb.