TƏHLÜKƏSİZLİK SİYASƏTİ Təhlükəsizliyin təşkil olunma siyasəti dedikdə informasiyanın müdafiəsinə yönəldilmiş və onunla birlikdə resursların assosiasiya olunmasının idarəetmə qərarlarının sənədləşdirilməsinin toplumu başa düşülür. Təhlükəsizlik siyasəti vasitələrdən ibarətdir və onların köməyilə kompüter informasiya sisteminin təşkil olunması fəaliyyəti həyata keçirilir. Ümumiyyətlə, təhlükəsizlik siyasəti kompüter mühitində istifadə edilir və təşkilatın spesifik tələbatını əks etdirir. Adətən kompüter informasiya sistemləri dedikdə müxtəlif xüsusiyyətli mürəkkəb kompleks başa düşülür və ya aparat və proqram təminatının arabir öz aralarında lazımi səviyyədə işləmələrinin uyuşa bilməməsi qəbul edilir. Bura kompüterlər, əməliyyat sistemləri, şəbəkə vasitələri, verilənlər bazalarını idarəetmə sistemləri, müxtəlif əlavələr aiddir. Bütün bu komponentlər (təşkiledicilər) özünəməxsus müdafiə vasitələrinə malikdir və bunların bir-biri ilə razılaşdırılması mütləqdir. Bu baxımdan da korporativ sistemlərin təhlükəsizliyinin təmin olunması təhlükəsizlik siyasətinin effektiv həyata keçirilməsində mühüm rol oynayır.
TƏHLÜKƏSİZLİK SİYASƏTİNİN ƏSAS ANLAYIŞLARI Təhlükəsizlik siyasəti rəhbərliyin faydalı saydığı və seçdiyi informasiya təhlükəsizliyi sahəsində idarəetmə strategiyasını, resursların miqdarını və onlara yanaşmanın ölçüsünü müəyyən edir. Təhlükəsizlik siyasəti müəssisənin informasiya sistemi üçün real sayılan cəsarətin (və ya cürətin) təhlil edilməsinə əsaslanaraq qurulur. Belə olan halda cürət təhlil edilir, müdafiə strategiyası müəyyən olunur, informasiya təhlükəsizliyini təmin edən proqram tərtib edilir - bütün bunlar təhlükəsizlik siyasətidir. Tərtib olunan prioqrama uyğun olaraq resurslar ayrılır, bu resurslara məsul şəxslər seçilir, proqramın yerinə yetirilmə ardıcıllığı müəyyən edilir və s. Müəssisənin təhlükəsizlik siyasəti müxtəsər struktura malik olmaqla yanaşı yüksək səviyyəli siyasətı dəstəkləməlidir. Yüksək səviyyəli siyasət daim nəzərdən keçirilməli və müəssisənin cari tələblərini ödəməklə yanaşı bu tələblərin ödənilməsinə təminat da verməlidir. Siyasət sənədi elə tərtib edilməlidir ki, konkret texnologiyadan asılı olmasın və bu sənədin tez-tez dəyişilməsinə ehtiyac duyulmasın. Təhlükəsizlik siyasəti ilə tanış olmaq üçün bəzi müəssisənin hipotetiklik (fərziyyəyə əsaslanma) lokal şəbəkəsini nümunə kimi araşdırraq. Təhlükəsizlik siyasəti adətən sənəd formasında tərtib olunur, bura problemin izahı, tətbiq olunma sahələri, müəssisənin tutduğu mövqe, rəhbərlikdə vəzifələrin bölüşdürülməsi və s. bölmələr daxil edilir.
Problemin izahı. Lokal şəbəkə çərçivəsində dövr edən informasiya kritik vacib sayılmalıdır. Lokal şəbəkə istifadəçiyə imkan verir ki, təhlükəsizliyi artıran hədələri proqramlardan və verilənlərdən müştərək istifadə etməklə minimuma endirsin. Odur ki, şəbəkəyə qoşulan hər bir kompüter istifadəçisi daha güclü müdafiəyə ehtiyac duyur. Bütün bunlar sənəd formasinda informasiya təhlükəsizliyinin müəssisə daxilində yüksək səviyyədə həyata keçirilməsinə yardımçıdır. İstifadə sahələri. Müəssisənin lokal şəbəkəsinə daxil olan bütün aparat, proqram və informasiya resursları cari siyasətin istifadə sahəsi hesab edilir. Siyasət şəbəkədə çalışan işçilərə, istifadəçilərə, subpodratçılara, tədarükçülərə və digərlərinə yönəldilmişdir. Müəssisənin mövqeyi. Əsas məqsəd verilənlərin tamlığının, əlçatanlığının və konfidensiallığının, həmçinin aktuallığının və dolğunluğunun təmin edilməsidir. Məqsədə aşağıdakıları aid edirlər:
Normativ sənədlərə uyğun olaraq təhlükəsizlik səviyyəsinin təmin edilməsi;
Müdafiə tədbirlərinin seçilməsində məqsədəuyğun iqtisadiyyata əməl edilməsi (müdafiə xərcləri informasiya təhlükəsizliyinin pozulmasından yaranan zərəri keçməməlidir);
Lokal şəbəkənin hər bir funksional sahəsində təhlükəsizliyin təmin edilməsi;
İnformasiya və resurslardan istifadə edən istifadəçinin bütün fəaliyyətinin təhtəlhesabı (hesabat verməli olması) təmin olunmalı; Qeyd olunan informasiyanın təhlilinin təmin edilməsi;
Təhlükəsizlik rejiminin düşünülmüş formada dəstəklənməsi üçün istifadəçiyə kifayət qədər informasiyanın təqdim olunması;
Qəzadan sonra bərpa planının işlənib hazırlanması və şəbəkənin fasiləsiz iş rejiminin təmin edilməsi məqsədi ilə funksional sahələrdə kritik vəziyyətlərin nəzərə alınması
Təhlükəsizliyin uyğun qanunlarına və ümumtəşkilat siyasətinə əməl olunması. Vəzifələrin və rolların bölünməsi. Öndə qeyd edilmiş məqsədin həyata keçirilməsi sözsüz ki, vəzifə sahiblərinin və şəbəkə istifadəçilərinin öhdəsinə düşür. Bölmə rəhbərləri təhlükəsizlik siyasətinin vəziyyəti barədə məlumatları istifadəçiyə çatdırmaqla yanaşı onların bir-biri ilə əlaqə yaratmalarına da cavbabdehlik daşıyırlar. Lokal şəbəkə administratorları şəbəkənin fasiləsiz işləməsini təmin etməklə bərabər təhlükəsizlik siyasətinin həyata keçirilməsi üçün lazım olan texniki tədbirlərin realizə edilməsinə cavabdehdirlər. Administratorların borcudur:
Lokal şəbəkə avadanlıqlarının müdafiəsini təmin etsinlər və digər şəbəkələr ilə interfeys yaratsınlar;
Operativ və effektiv şəkildə baş verənlərə, yavaş-yavaş azalan hədələrə reaksiya versinlər və servis administratorlarını müdafiənin pozulması barədə məlimatlandırsınlar;
Şübhəli halları müəyyən etsinlər və gündəlik informasiyanı qeyd etməklə yanaşı fayl serverində baş verənləri təhlil etsinlər;
Öz vəzifələrindən sui-istifadə etməsinlər;
Zərərli proqram təminatından lokal şəbəkəni qorusunlar və zərərli kodu müəyyənləşdirməklə onu ləğv etsinlər;
Fayl serverində saxlamaq şərti ilə informasiyanın surətini həmişə əldə etsinlər;
Şəbəkədə aparat-proqram dəyişikliklərini həmişə izləsinlər;
Şəbəkə resurslarına əlçatanlıq üçün identifikasiya və autentifikasiya prosedurlarının yerinə yetirilməsinə təminat versinlər və istifadəçini qeydiyyat formasını doldurmaq üçün parol ilə təmin etsinlər;
Lokal şəbəkənin etibarlı işləməsini həmişə yoxlasınlar və digər istifadəçilərin məlumatları əldə etmələrinə imkan verməsinlər. Servis administratorları konkret serverlərə cavabdehdirlər. Onlar təhlükəsizlik siyasətini rəhbər tutmaqla müdafiənin təşkil edilməsinə məsuliyyət daşıyırlar. Onlar borçludur:
Xidmət edilən obyektlərə istifadəçilərin daxil olmasını idarə etməyə; Operativ və effektiv şəkildə baş verənlərə, yavaş-yavaş azalan hədələrə reaksiya verməyə, hədələrin qarşısının alınmasına kömək etməyə, qayda pozucularını müəyyən etməklə onları cəzalandırmağa;
Serverlərdə təhlil olunan informasiyanın surətini həmişə əldə etməyə; Qeydiyyatdan keçdikdən sonra istifadəşiyə parol verməklə yanaşı serverə daxil olma adını verməyə;
Serverə aid olan informasiyanı gündəlik yoxlamağa və servisə ziyanverici proqram təminatının daxil olmasına maneçilik göstərməyə; Servisin etibarlı müdafdiə edilməsini mütəmadi yoxlamağa və qeyriqanuni istifadəçilərə servisdən istifadəyə üstünlük verməməli. İstifadəçilər təhlükəsizlik siyasətinə uyğun olaraq lokal şəbəkə ilə işləyir, təhlükəsizlik aspektinin ayrı-ayrı hissələrinə cavabdeh olan, əmrlər verən şəxslərin verdiyi əmrlərə tabe olur, rəhbərliyi şübhəli vəziyyətlər haqqında daim məlumatlandırırlar. İstifadəçilər aşağıdakıları yerinə yetirməlidirlər: Qanunları bilməli və onları yerinə yetirməli, cari təşkilatda qəbul edilmiş təhlükəsizlik siyasətini qəbul etməli, konfidensiallığı təmin etmək üçün müdafiə mexanizmindən tutarlı səviyyədə istifadə etməli və istifadə etdikləri informasiyanın tamlığına məsuliyyət daşımalıdırlar;
Faylların müdafiə mexanizmindən istifadə etməli və fayllardan lazımi şəkildə istifadə etməlidirlər;
Keyfiyyətli paroldan bəhrələnməli, parolu tez-tez dəyişməli, parolu kağıza yazmamalı, digər şəxslərə parolu deməməlidirlər; Təhlükəsizliyin pozulması halları baş verdikdə, həmçinin digər şübhəli vəziyyət hiss etdikdə rəhbərliyi məlumatlandırmalıdırlar;
Əgər lokal şəbəkə və ya servisdə zəiflik hiss olunarsa, ondan istifadə etməməli, özünə məxsus olmayan fayllardan istifadə etməməli və nəhayət, işlədiyi zaman ərzində başqalarının işləməsinə maneçilik etməməlidirlər;
Başqasının adından istifadə etməklə iş görməməli, informasiyanın autentifikasiya və korrekt identifikasiya olması barədə məlumat verməlidirlər;
Lazımlı informasiyanın ehtiyat üçün surətini almalı, həmişə informasiyanı sərt diskdə saxlamalıdırlar;
Ziyanverici proqram təminatının iş prinsipini bilməli, onun sistemə daxil olma yollarını araşdırmalı, yayılmasına imkan verməməli, ziyanverici kod sistemə daxil olduqda təcili xəbardarlıq etməli, ziyanverici kodu tapmağa və ləğv etməyə çalışmalıdırlar;
Fövqaladə hallarda özlərini necə aparmağı bacarmalı, baş vermiş qəzanı aradan götürməyi bacarmalıdırlar.
Sanksiya (bir müqavilə və ya qanunun yerinə yetirilməsini təmin edən şərt). Təhlükəsizlik siyasətinin pozulması lokal şəbəkəyə və onda dövr edən informasiyaya bağışlanmaz təsir edir. Odur ki, təhlükəsizliyin işçi personal tərəfindən pozulması operativ şəkildə rəhbərlik tərəfindən baxılmalıdır, lazım olan tədbirlər görülməli, əgər tələb olunarsa, işçi tutuğu vəzifədən azad edilməlidir. Əlavə informasiya. Müəyyən qrup istifadəçi üçün əlavə sənədlərlə tanış olmağa ehtiyac yaranır. Bu sənədlərə təhlükəsizlik prosedurlarına və siyasətinə aid sənədlər, həmçinin rəhbərlik tərəfindən verilmiş xüsisi əmrlər və göstərişlər aiddir. Belə sənədlərin yaradılmasına əsasən böyük müəssisələrdə ehtiyac duyulur. Kiçik ölçülü müəssisələrdə müəyyən təhlükəsizlik siyasətini dəstəkləyən sənədlərin hazırlanmasına tələb yaranır. Bu baxımdan belə sənədlər qısa şəkildə tərtib edilir və həcmi bir-iki səhifədən artıq olmur.