Kiber xavfsizlik asoslari
Yüklə 176,48 Kb.
|
|
Xavfsizlik siyosati
Axborot xavfsizligi siyosati (yoki xavfsizlik siyosati) - tashkilotning maqsadlari va vazifalari hamda xavfsizlikni ta'minlash sohasidagi tadbirlar tavsiflanadigan yuqori darajadagi reja. Siyosat xavfsizlikni umumlashgan atamalarda, spetsifik detallarsiz tavsif laydi. U xavfsizlikni ta'minlashning barcha dasturlarini rejalash tiradi. Axborot xavfsizligi siyosati tashkilot masalalarini yechish himoyasini yoki ishjarayoni himoyasini ta'minlashi shart. Apparat vositalar va dasturiy ta'minot ish jarayonini ta'minlovchi vositalar hisoЫanadi va ular xavfsizlik siyosati tomonidan qamrab olinishi shart. Shu sabaЫi asosiy vazifa sifatida tizimni Gumladan tarmoq xaritasini) to'liq inventarizatsiyalashni ko'zda tutish lozim. Tarmoq xaritasini tuzishda har bir tizimdagi axborot oqimini aniqlash lozim. Axborot oqimlari sxemasi axborot oqimlari biznes-jarayonlarni qanchalik ta'minlayotganini ko'rsatishi mumkin hamda axborotni himoyalash va yashovchanligini ta'minlash uchun qo'shimcha choralarni ko'rish muhim bo'lgan sohani ko'rsatishi mumkin. Undan tashqari bu sxema yordamida axborot ishlanadigan joyni, ushbu axborot qanday saqlanishi, qaydlanishi, joyini o'zgartirishi va nazoratlanishi lozimligini aniqlash mumkin. Inventarizatsiya apparat va dasturiy vositalardan tashqari dasturiy hujjat, apparatura hujjatlari, texnologik hujjat va h. kaЬi kompyuterga taalluqli bo'lmagan resurslami ham qamrab olishi shart. Ushbu hujjatlar tarkibida tijoratni tashkil etish xususiyatlari to'g'risidagi axborot bo'lishi mumkin va bu hujjatlar buzg'unchilar foydalanishi mumkin bo'lganjoylami ko'rsatadi. Axborot xavfsizligi siyosatini aniqlashda quyidagilar amalga oshirilishi lozim: 1. Axborot xavfsizligi sohasida amal qilinadigan hujjatlar va standartlami hamda axborot xavfsizligi siyosatining asosiy nizom larini aniqlash, ya'ni: kompyuter texnikasi vositalaridan, dasturlardan va ma'lumot- lardan foydalanishni boshqarish; virusga qarshi himoya; rezervli nusxalash masalalari; ta'mirlash va tiklash ishlarini o'tkazish; - axborot xavfsizligi sohasidagi mojarolar xususida xabardor qilish. Xavf-xatarlami boshqarishga yondashishlami aniqlash, ya'ni himoyalanganlikning bazaviy sathi yetar1i ekanligini yoki xavf xatarlami tahlillashning to'liq variantini o'tkazish talab etilishini aniqlash. Axborot xavfsizligi rejimiga qo'yiladigan talaЫami aniqlash. Sathlar bo'yicha qarshi choralami strukturizatsiyalash. Axborot xavfsizligi sohasida sertifikatsiyalash tartiЬining standartlarga mosligini aniqlash. Rahbariyatda axborot xavfsizligi mavzui bo'yicha kengash lar o'tkazish davriyligini, xususan, axborot xavfsizligi siyosatining nizom1arini qayta ko'rish hamda axborot tizimining barcha kategoriyali foydalanuvchilarini axborot xavfsizligi masalalari bo'yicha o'qitish tartiЬini aniqlash. Tashkilotning real xavfsizlik siyosati quyidagi bo'limlami o'z ichiga olishi mumkin: umumiy qoidalar; parollami boshqarish siyosati; foydalanuvchilami identifikatsiyalash; foydalanuvchilaming vakolatlari; tashkilot axborot resurslarini kompyuter viruslaridan himoyalash; tarmoq bog'lanishlarini o'matish va nazoratlash qoidalari; elektron pochta tizimi Ьilan ishlash bo'yicha xavfsizlik siyosati qoidalari; axborot resurslari xavfsizligini ta'minlash qoidalari; foydalanuvchilaming xavfsizlik siyosati qoidalarini bajarish bo'yicha majburiyatlari va h. Qoidalar tashkilotning rivojlanishiga, yangi texnologiyalar, tizimlar va loyihalar paydo bo'lishiga muvofiq o'zgarishi lozim. Buning uchun qoidalami davriy ravishda qayta ko'rib chiqish kerak. Xavfsizlik siyosatini qayta ko'rib chiqish usullaridan Ьiri axborot kommunikatsiya tizimlari auditi hisoЫanadi. Shu sabaЬli tashkilot xavfsizlik siyosati va taЬiiyki, axborot xavfsizligi siyosati o'zining hayotiy sikliga ega deyish mumkin. Xavfsizlik siyosati qoidalarini qayta ko'rib chiqish muddatlari xususida aniq Ьir ko'rsatma mavjud emas. Ammo ushbu muddat olti oydan bir yilgacha belgilanishi tavsiya etiladi. Xavfsizlik qoidalari ishlab chiqilganidan va amalga kiritil ganidan so'ng foydalanuchilar axborot xavfsizligi talaЫari Ьilan tanishib chiqishlari, xodimlar esa qoidalami о'rganishlari lozim. Mojarolar paydo bo'lganda ishlab chiqilgan reja bo'yicha hara katlanish tavsiya etiladi. Axborot xavfsizligini ta'minlash masalalari bo'yicha shug'ul lanadigan yetakchi tashkilotlar xavfsizlik siyosati shaЬlonlarini ishlab chiqdilar. Masalan, SANS (System Administration Networ king and Security) instituti turli xavfsizlik siyosatining shablonlari seriyasini ishlab chiqdi. Ushbu shaЫonlar tarkiЬiga quyidagi siyosatlar kiradi: - joiz shifrlash siyosati - tashkilotda ishlatiluvchi kriptografik algoritmlarga qo'yiladigan talaЫami aniqlaydi; - joiz foydalanish siyosati - foydalanuvchilami, tashkilot resurslarini va axborotning o'zini himoyalash uchun qurilmalardan va kompyuter xizmatlaridan foydalanishni aniqlaydi; , virusga qarshi himoya - tashkilot tarmog'iga bo'ladigan kompyuter viruslari tahdidlarini samarali kamaytirishning asosiy prinsiplarini belgilaydi; xarid imkoniyatlarini baholash siyosati - tashkilot tomonidan himoya vositalarini xarid qilish imkoniyatlarini va axborot xavfsizligi guruhi tomonidan bajariladigan xarid qilinganlami baholashga qo'yiladigan minimal talaЫami aniqlaydi; zaifliklarni skanerlash auditi siyosati - axborot resurslarining yaxlitligiga ishonch hosil qilish, muvofiqlikni o'matish yoki foydalanish va tizim faolligining monitoringini о'tkazish maqsadida auditni kuzatish hamda xavf-xatami baholash uchun talaЫami aniqlaydi va mas'ul shaxsni tayinlaydi; avtomatik tarzda uzatiladigan pochta siyosati - menedjer yoki direktoming ruxsatisiz hech qanday pochta tashqi manbaga avtomatik tarzda yo'naltirilmasligi talaЫarini hujjatlashtiradi; та 'lumotlar bazasidagi vakolatlarni kodlash siyosati - ma'lumotlar bazasidagi foydalanuvchilar nomini va parollami xavf siz saqlash va olish uchun talaЫami aniqlash; telefon liniyasi orqali foydalanish siyosati - tegishli foydala nishni va undan avtorizatsiyalangan xodimlar tomonidan foydalanishni aniqlaydi; . demilitarizatsiyalangan zona xavfsizligi siyosati - demilitari zatsiyalangan zonada yoki tashqi tarmoq segmentlarida joylashgan laboratoriyalarda ishlatiladigan barcha tarmoq va qurilmalar uclшn standartlami belgilaydi; jiddiy axborot siyosati - konfidensiallikning mos darajalarini berish yo'li Ьilan tashkilot axborotini tasniflashga va xavfsizligiga qo'yiladigan talaЫami belgilaydi; parollarni himoyalash siyosati - parollami hosil qilish, hi moyalash va almashtirish standartlarini aniqlaydi; masofadan foydalanish siyosati - tashkilot uchun tashqi hi soЫanuvchi har qanday xostning yoki ta ilot tarmog'iga ulanish standartlarini aniqlaydi; xavfxatarni baholash siyosati - tijorat hamkorligi Ьilan assotsiyatsiyalangan tashk:ilot axborot infratuzilrnasida xavf-xatarni identifikatsiyalash, baholash va karnaytirish uchun talaЫarni aniqlaydi va rnas'ul shaxslarni tayinlaydi; marshrutizator xavfsizligi siyosati - tashk:ilot ichk:i tannog'i yoki faoliyat (rnahsulotni tayyorlash) uchun ishlatiladigan rnarshru tizatorlar va kornrnutatorlar uchun xavfsizlikning rninirnal konfi guratsiyasi standartlarini aniqlaydi; server xavfsizligi siyosati - tashk:ilot ichk:i tannog'i yoki rnah sulot sifatida ishlatiladigan serverlar uchun xavfsizlikning rninirnal konfiguratsiyasi standartlarini aniqlaydi; VPN xavfsizligi siyosati - tashk:ilot tannog'i bilan IPSec yoki L2TPVPN ulanishlardan rnasofadan foydalanish uchun talaЫarni aniqlaydi; simsiz ulanishlar siyosati - tashkilot tarrnog'i bilan ulanish uchun ishlatiladigan sirnsiz tizirn uchun standartlarni aniqlaydi. Ta'kidlash lozirnki, tashk:ilot qurilishining va faoliyat yuriti shining o'ziga xos xususiyatlariga bog'liq holda tashk:ilotning xavfsizlik siyosati nabori shakllantiriladi.. Yüklə 176,48 Kb. Dostları ilə paylaş:
|