Axborot xavfsizligi siyosatining turlari. Tashkilotda axborot xavfsizligini rejalashtirish, loyihalash va amalga oshirishda siyosat muhim hisoblanib, ular foydalanuvchilarga xavfsizlik maqsadlariga erishishda mavjud muammolarni bartaraf etish choralarini taqdim etadi. Bundan tashqari, xavfsizlik siyosati tashkilotdagi dasturiy ta’minot va jihozning vazifasini tavsiflaydi.
Axborot texnologiyalari sohasidagi korxonalarda quyidagi xavfsizlik siyosatlari qo’llaniladi:
Tashkilot axborot xavfsizligi siyosati (Enterprise Information Security Policies, EISP): mazkur siyosat turi tashkilotlar xavfsiz muhitini unga g’oya, maqsad va usullarni taklif qilish orqali qo’llab – quvvatlaydi. U xavfsizlik dasturlarini ishlab chiqish, amalga oshirish va boshqarish uchun usullarni belgilaydi. Bundan tashqari, ushbu siyosatlar taklif etilgan va talab qilingan axborot xavfsizligi tuzilmasi talablarini kafolatlaydi.
Muammoga qaratilgan xavfsizlik siyosatlari (Issue-Specific Security Policies, ISSP): bu siyosatlar tashkilotdagi aynan bir xavfsizlik muammosiga qaratilgan bo’lib, ushbu xavfsizlik siyosatlarining qamrovi va qo’llanilish sohasi muammo turi va unda foydalanilgan usullarga bog’liq bo’ladi. Unda profilaktik
choralar, masalan, foydalanuvchilarni kirish huquqini avtorizasiyalash uchun zarar bo’lgan texnologiyalar ko’rsatiladi.
Tizimga qaratilgan xavfsizlik siyosatlari (System-Specific Security Policies, SSSP): mazkur xavfsizlik siyosatini amalga oshirishda tashkilotdagi biror tizimning umumiy xavfsizligini ta’minlash maqsad qiladi. Bunda tashkilotlar tizimni qo’llab-quuvatlash maqsadida muolajalar va standartlarni o’z ichiga olgan SSP siyosatini ishlab chiqadilar va boshqaradilar. Bundan tashqari, tashkilot tomonidan foydalanilgan texnologiyalar tizimga qaratilgan siyosatlarni o’z ichiga oladi. Bu siyosat texnologiyani amalga oshirish, sozlash va foydalanuvchilarni harakatlarini hisobga olishi mumkin.
Tashkilotlarda turli maqsadlarga qaratilgan ko’plab xavfsizlik siyosatlari mavjud bo’lishi mumkin. Quyida ularning ayrimlari keltirilgan.
Internetdanfoydalanishsiyosati.Mazkur siyosat Internetdan foydalanishdagi cheklanishni aniqlab, xodimlar uchun Internet tarmog’idan foydalanish tartibini belgilaydi. Internetdan foydalanish siyosati o’z ichiga Internetdan foydalanish ruxsati, tizim xavfsizligi, tarmoqni o’rnatish, AT xizmati va boshqa yo’riqnomalarni qamrab oladi.
Internetdan foydalanish siyosatini quyidagi to’rtta kategoriyaga bo’lish mumkin:
Tartibsiz siyosat (Promiscuous Policy):ushbu siyosat tizim resurslaridan foydalanishda hyech qanday cheklovlarni amalga oshirmaydi. Masalan, bu siyosatga ko’ra foydalanuvchi istalgan saytga kirishi, istalgan dasturni yuklab olishi, masofadagi kompyuter yoki tarmoqdan foydalanishi mumkin bo’ladi. Bu siyosat korporativ tashkilotlarning ofislarida ishlovchi yoki tashkilotda kelgan mehmonlar uchun foydali hisoblansada, kompyuterni zararli dasturlar asosidagi tahdidlarga zaif qilib qo’yishi mumkin. Ya’ni, Internetdan foydalanishda cheklanishlar mavjud bo’lmagani bois, foydalanuvchilar bilimsizligi natijasida zararli dasturlar kirib kelishi mumkin.
Ruxsat berishga asoslangan siyosat (Permissive Policy):Bu ciyosatga ko’ra faqat xavfli xizmatlar/ hujumlar yoki harakatlar bloklanadi. Masalan, ruxsat
berishga asoslangan Internet siyosatida qator keng tarqalgan zararli xizmatlar/ hujumlardan tashqari Internet trafigining asosiy qismi ochiq bo’ladi. Faqat ken tarqalgan hujumlar va zararli dasturlar bloklangani uchun, administrator joriy holatdagi zararli harakatlarga qarshi himoyani ta’minlay oladi. Bu siyosatda har doim yangi hujumlarni va zararli dasturiy ta’minotlarni tutish va bazaga kiritib borish talab etiladi.
Paranoidsiyosati (ParanoidPolicy):Paranoid siyosatga ko’ra hamma narsa bloklanadi va tizim yoki tarmoqdan foydalanuvchi tashkilot kompyuterlarida qat’iy cheklovlar mavjud bo’ladi. Bu siyosatga ko’ra foydalanuvchi Internetga umuman ulanmagan yoki qat’iy cheklovlar bilan ulangan bo’lishi mumkin. Bunday hollarda, foydalanuvchilar odatda siyosatdagi qoidalarni aylanib o’tishga harakat qiladi.
Ehtiyotkorlik siyosati (Prudent Policy): Ehtiyotkorlik siyosati barcha xizmatlar bloklangandan so’ng amalga oshirilib, unda administator tomonidan xavfsiz va zarur xizmatlarga individual ravishda ruxsat beriladi. Bu maksimal xavfsizlikni ta’minlab, tizim/ tarmoq faoliyatiga oid barcha hodisalarni qayd qiladi. Maqbul foydalanish siyosati. Maqbul foydalanish siyosati tarmoq va veb sayt egalari tomonidan qaror qilingan qoidalardan iborat bo’ladi va u hisoblash resurslaridan to’g’ri foydalanishni belgilaydi. Ushbu siyosatda foydalanuvchilarning o’z akkauntlarida mavjud bo’lgan ma’lumotlarni himoya qilish majburiyati ko’rsatilgan bo’lib, foydalanuvchi tarmoqdan yoki Internetdagi kompyuterdan foydalanishida siyosat cheklovlarini qabul qilishi talab etiladi. Ehtiyotkorlik siyosati prinsiplar, taqiqlar, qayta ko’rib chiqish va jazo choralarini o’z ichiga olib, foydalanuvchini shaxsiy sabablarga ko’ra korporativ resurslardan
foydalanishini taqiqlaydi.
Maqbul foydalanish siyosati axborot xavfsizligi siyosatining ajralmas qismi hisoblanadi. Bunda, tashkilotlar o’zlarining yangi xodimlariga axborot resurlaridan foydalanishga ruxsat berishdan oldin maqbul foydalanish siyosati bo’yicha tanishganligi uchun imzo olishadi. Maqbul foydalanish siyosati foydalanuvchilarni
axborot texnologiyalari infratuzilmasida nimalarni bajarish kerak va nimalarni bajarmaslik kerakligi haqidagi asosiy jihatlarni o’z ichiga oladi.