Namuna: tashkilot uchun axborot xavfsizligi siyosati modelini ishlab chiqish
Download 0.94 Mb.
|
razrabotka modeli politiki ib uzb
- Bu sahifa navigatsiya:
- Tashkilot AX siyosati qoidalarini ishlab chiqish
- Разработка алг
|
NAMUNA: TASHKILOT UCHUN AXBOROT XAVFSIZLIGI SIYOSATI MODELINI ISHLAB CHIQISH Axborot tizimi tuzilmaviy modelini qurish Tuzilmaviy model tizim funksiyalarini bajarilishi imkonini beradi. AT quyidagi elementlardan tashkil topadi: operatorlarning avtomatlashtirilgan ish joylari (AIJ). автоматизированных рабочих мест (АРМ), с которых операторы вводят/запрашивают информацию, поступающую в устной или письменной форме; Internet. выход в Интернет; Qayta ishlash serverlari. сервера обработки, на котором установлена система управления базами данных (СУБД) и производится автоматизированный анализ текущей ситуации; Rezerv nusxalash serverlari. сервера резервного копирования; Axborot xavfsizligi ma’muri AIJ. автоматизированного рабочего места администратора информационной безопасности; MB ma’muri AIJ. автоматизированного рабочего места администратора БД. Buxgalter AIJ. автоматизированного рабочего места бухгалтера. Rahbariyat AIJ. автоматизированного рабочего места руководства. Графическое изображение конфигурации системы – ее структурная модель, на которой отображены аппаратные компоненты ИС, необходима для наглядного представления процесса функционирования системы. 
Рисунок 10 – Структурная модель информационной системы. После того как составлено графическое изображение ИС рассматриваемой организации, которая представляет собой совокупность вычислительных средств управляющего кадрами предприятия, определяются ответственные за аппаратные ресурсы; кто является их пользователем и как пользователи используют или будут использовать тот или иной компонент системы. Jadval 5 – AT komponentlariga nisbatan foydalanuvchilar huquqlarini aniqlash
Tashkilot AX siyosati qoidalarini ishlab chiqish Разработка и выполнение политики ИБ организации является наиболее эффективным способом минимизации рисков нарушения ИБ для организации. Политика безопасности представляет собой свод принципов и правил безопасности для наиболее важных областей деятельности и зон ответственности персонала. Политика информационной безопасности является требованием, в котором описываются цели и задачи мероприятий по обеспечению безопасности. В процессе разработки политики безопасности формулируется свод правил информационной безопасности для противодействия угрозам информационной системы организации. На основе свода правил создается политика безопасности. Qoida №1: Tashkilotda xodimlar bajarayotgan ishlari tekshirib turilishi kerak. Qoida №2: Tashkilotda axborot xavfsizligini ta’minlash chora-tadbirlari bo’yicha xodimlarning majburiyatlari davriy ravishda tekshirilib, kelishilib turilishi kerak. Ro’y berishi mumkin xavfsizlik risklarini zararini minimallashtirish maqsadida, foydalanuvchilarni xavfsizlik protseduralariga va axborotni qayta ishlash vositalaridan to’g’ri foydalanishga o’rgatish kerak. Xavfsizlikga bog’liq insidentlar haqida darhol ma’murga xabar qilish kerak. Qoida №3: MBBT va ma’lumotlarni saqlash himoyasini ta’minlash. Ro’y berishi mumkin xavfsizlik risklarini zararini minimallashtirish maqsadida, foydalanuvchilarni xavfsizlik protseduralariga va axborotni qayta ishlash vositalaridan to’g’ri foydalanishga o’rgatish kerak.; Ma’mur faqatgina rahbariyat ruxsati bilan ma’lumotlarni o’qish, yozish, o’zgartirish va o’chirish huquqiga ega; MBga parol o’rnatilgan bo’lishi kerak; Tashqi USB “vinchester”ga sutkasiga bir marta rezerv nusxa olinishi kerak. Qoida №4: Tijorat banki filiali biznes-jarayonlari himoyasini ta’minlash. Turli darajadagi ma’lumotlar bazasida saqlanuvchi ma’lumotlarni majburiy tarzda dublikatsiyalasha; Axborot tizimidagi barcha ma’lumotlar bazalarini davriy ravishda (iloji boricha har kuni) faollashtirish (bu chora axborot tizimi ma’lumotlarini “oldingi sana” bilan qalbakilashtirishni oldini oladi); Dasturiy vositalar tomonidan axborot himoyasining zarur darajasiga erishish uchun tarmoq operatsion tizimlari vositalaridan foydalanish. Qoida №5: Foydalanishlarni boshqarish. Unikal parollardan foydalanish; Tizim yoki xizmatlardan foydalana olish huquqlarini tasdiqlash uchun ma’mur parollarni tekshirishi kerak; Parol sir saqlanishi kerak; Parol o’g’irlanganlik belgilari paydo bo’lganda parolni o’zgartirish; Sifatli parollardan foydalanish: parol uzunligi 8 ta belgidan kam bo’lmasligi, parolda katta va kichik harf, raqam va maxsus simvollardan tashkil topgan bo’lishi kerak; parol oson topilishi mumkin bo’lgan simvollar ketma-ketligi (ismlar, familiyalar, h.k.) va umumiy qabul qilingan qisqartmalardan tashkil topmasligi kerak; parol o’zgartirilgan taqdirda, yangi parol eskisidan kamida 4 o’rinda farq qilishi kerak; oyiga bir martadan kam bo’lmagan holda rejaga asosan parollarni to’liq o’zgartirish amalga oshirilishi kerak; Foydalanuvchilarni identifikatsiya, autentifikatsiya va verifikatsiya qilish; Tizimga muvaffaqiyatli va muvaffaqiyatsiz kirishlarni yozib borish; Tizimdan foydalanish vaqtini cheklash; Foydalanuvchilar himoyasi uchun majburiy favqulotda holat signalizatsiyasi. Qoida №6: Zararli DT dan himoya Antivirus bazalarini o’rnatish va davriy ravishda yangilab turish hamda DTni tuzatish; DT tarkibini doimiy ravishda ko’rib chiqib turish; Elektron pochta orqali yuborilgan fayllar va yuklanayotgan axborotlarni zararli DT bor-yo’qligiga tekshirish; Zararli DTni tizimga kiritilishini oldini olish protsedura va reajalari; Faqat litsenziyaga ega DTdan foydalanish.
10 Jadval – Tashkilot xavfsizlik siyosati Разработка алгоритма расчёта риска ИБ по модели информационных потоков Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации. В результате работы алгоритма программа представляет следующие данные: 1. Инвентаризацию ресурсов; 2. Значения риска для каждого ценного ресурса организации; 3. Значения риска для ресурсов после задания контрмер (остаточный риск); 4. Эффективность контрмер. Введение в модель Для того, чтобы оценить риск информации, необходимо проанализировать защищенность и архитектуру построения информационной системы. Для этого необходимо описать архитектуру сети: - все ресурсы, на которых хранится ценная информация; - все сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом); - виды ценной информации; - ущерб для каждого вида ценной информации по трем видам угроз; - группы пользователей, имеющих доступ к ценной информации; класс группы пользователей; - доступ группы пользователей к информации; характеристики этого доступа (вид и права); средства защиты информации;
Исходя из введенных данных, можно построить полную модель информационной системы компании, на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе. Download 0.94 Mb. Do'stlaringiz bilan baham: 
|