Mühazirə -9 İnformasiya təhlükəsizliyinin təmin edilməsində

İdarəetmə səviyyəsində həyata keçirilən tədbirlərin əsas məqsədi informasiya təhlükəsizliyi sahəsində görülən işlərin proqramının formalaşması və onların yerinə yetirilməsi üçün lazım olan resursların ayrılması, həmçinin görülən işlərin vəziyyətinə nəzarətin həyata keçirilməsidir. Proqramın əsasını çoxsəviyyəli təhlükəsizlik siyasətı təşkil edir. Təhlükəsizlik siyasəti informasiya aktivlərinin və resursların müdafiə edilməsinin təşkilinə kompleks yanaşmanı əks etdirir. Təcrübə nöqteyi-nəzərindən təhlükəsizlik siyasətini üç səviyyəyə bölmək olar (bu barədə əvvəlki bölmələrdə qısa məlumat verilmişdi):

Yuxarı səviyyə. Təhlükəsizlik siyasətinin bu səviyyəsi müəssisəyə aid olan məsələlərin tam şəkildə həll edilməsinə toxunur. Məsələnin bu şəkildə həll edilməsi ümumi xarakter daşıyır və bu qərarlar qayda-qanuna görə müəssisənin rəhbərliyindən asılıdır.

Yuxarı səviyyənin təhlükəsizlik siyasəti informasiya təhlükəsizıliyi siyasətinin tamlığını, əlçatanlığını və konfidensiallığını dürüst ifadə edir. Əgər müəssisə kritik (tənqidi yanaşılmış) vacib verilənlərin dəstəklənməsinə cavabdehlik daşıyırsa, birinci planda həmin verilənlərin tamlığı dayanır. Satış ilə məşğul olan təşkilat üçün göstərilən xidmətin qiyməti və xidmət barədə informasiyanın aktuallığı vacibdir. Yuxarı səviyyənin təhlükəsizlik siyasətində təhlükəsizlik proqramlarını işləyib hazırlayan məsul şəxslərin vəzifələri müəyyən edilməlidir, çünki bu şəxslər həmin proqramları həyaya keçirirlər.

Orta səviyyə. Bu səviyyədə müəssisə tərəfindən istismar olunan müxtəlif sistemlər üçün əsas sayılan təhlükəsizlik siyasəti informasiya təhlükəsizliyi ilə bağlı ayrı-ayrı aspektləri müəyyən edir.

Orta səviyyənin təhlükəsizlik siyasəti informasiya təhlükəsizliyinin hər bir aspekt üçün aşağıdakı momentləri müəyyən etməldir:

Aspektin izahı – müəssisənin mövqeyi bəzən kifayət qədər ümumi şəkildə formalaşır, çünki müəssisə cari aspektdə bu məqsədlərin yerinə yetirilməsində maraqlıdır;

Tətbiq sahələri – təhlükəsizlik siyasətinin harada, nə vaxt, necə, kimə və nəyə münasibətdə tətbiq ediməsinin təsnifləşdirilməsini yerinə yetirmək;

Vəzifələr və rollar – tərib olunmuş sənəd təhlükəsizlik siyasətinin həyata keçirilməsinə cavabdeh olan məsul şəxs haqqında informasiya daşımalıdır;

Qadağa – təhlükəsizlik siyasəti qadağan olunmuş fəaliyyət haqqında ümumi formada izahata malik olmaqla yanaşı onu pozan haqqında cəzalari da göstərməlidir;

Əlaqə nöqtəsi – müəyyən hadisələr baş verdikdə hara müraciət olunması aydınlaşdırılmalı, göstərilən yardım və əlavə informasiya izah edilməlidir. Adətən “əlaqə nöqtəsi” kimi məsul şəxs cavabdehdir. Aşağı səziyyə təhlükəsizlik siyasəti konkret servisə əsaslanır. Səviyyə özündə iki aspekti birləşdirir – məqsəd və ona çatmaq üçün qanunları. Odur ki, onları realizasiya ilə bağlı suallardan ayırmaq çətindir. Öndə araşdırılan səviyyələrdən fəqli olaraq aşağı səviyyəli siyasət təvsilatı ilə baxılmalıdır, yəni səviyyə aşağıdakı suallara cavab verməldir:

Servis tərəfindən dəstəklənən obyektlərə daxil olmağa kimin hüquqi vardır;

Hansı şəraitdə verilənləri modifikasiya etmək (şəkilini dəyişmək) və oxumaq olar;

Uzaqdan servisə daxil olma necə təşkil olunmuşdur.

Aşağı səviyyənin təhlükəsizlik siyasəti tamlıq, əlçatanlıq və konfidensiallıq baxımından irəli gəlir və bu siyasət onların yerinə yetirilməsinə maneçilik etməməlidir. Ümumi halda servis bunlar arasında əlaqə yaratmalı və onlarsız fəaliyyət göstərməməlidir.