Vazirligi denov tadbirkorlik va pedagogika instituti mamajanov r. Y., Rajabov t. J., Saidaxmedov e. I kiberxavfsizlik asoslari
Download 7.29 Mb. Pdf ko'rish
|
anteplaget
|
Aniq taxminlarni belgilaydi-xavfsizlik siyosati bo‘lmasa, har bir xodim yoki
foydalanuvchi nima to‘g‘ri va nima noto‘g‘riligini o‘zi hal qiladi. Turli xodimlar turli standartlarni qo‘llaganida, bu falokatga olib kelishi mumkin. Shaxsiy foydalanish uchun kompaniya qurilmasidan foydalanish o‘rinlimi? Menejer qulaylik uchun parollarni bevosita hisobotlari bilan bo‘lishishi mumkinmi? Tasdiqlanmagan dasturlarni o‘rnatish haqida nima deyish mumkin? Aniq siyosatlarsiz, turli xodimlar bu savollarga turli yo‘llar bilan javob berishlari mumkin. Xavfsizlik siyosatida muvofiqlik qanday nazorat qilinishi va amalga oshirilishi aniq ko‘rsatilishi kerak. Normativ va muvofiqlik talablariga javob berishga yordam beradi- hujjatlashtirilgan xavfsizlik siyosati HIPAA va Sarbanes-Oxley kabi qonunchilik, shuningdek, PCI-DSS, ISO 27001 va SOC2 kabi qoidalar va standartlar talabidir. Hatto aniq talab qilinmasa ham, xavfsizlik siyosati ko‘pincha xavfsizlik va ma’lumotlar maxfiyligining tobora kuchayib borayotgan talablariga javob beradigan strategiyani ishlab chiqishda amaliy zarurat hisoblanadi. Tashkiliy samaradorlikni oshiradi va biznes maqsadlariga erishishga yordam beradi-yaxshi xavfsizlik siyosati tashkilot samaradorligini oshirishi mumkin. Uning siyosati hammani bir sahifada to‘playdi, harakatlar takrorlanishiga yo‘l qo‘ymaydi va muvofiqlikni kuzatish va amalga oshirishda izchillikni ta’minlaydi. Xavfsizlik siyosati, shuningdek, siyosatdan istisnolar qachon va kim tomonidan berilishi haqida aniq ko‘rsatmalar berishi kerak. Xavfsizlik siyosatining uch turi- Xavfsizlik siyosati turli tashkilotlarning ehtiyojlariga ko‘ra ko‘lami, qo‘llanilishi va murakkabligi jihatidan farq qilishi mumkin. Xavfsizlik siyosati uchun universal model mavjud bo‘lmasa-da, Milliy 7 Standartlar va Texnologiyalar Instituti (NIST) maxsus nashrda (SP) 800-12 ning uchta turini ajratib ko‘rsatadi. Dastur siyosati-dastur siyosati strategik, yuqori darajadagi rejalar bo‘lib, ular tashkilotning axborot xavfsizligi dasturini boshqaradi. Ular dasturning maqsadi va ko‘lamini ta’riflaydi, shuningdek, rol va mas’uliyat va muvofiqlik mexanizmlarini belgilaydi. Magistr yoki tashkiliy siyosat sifatida ham tanilgan ushbu hujjatlar yuqori darajadagi rahbariyatning yuqori darajadagi kiritishlari bilan ishlab chiqilgan va odatda texnologiya agnostik hisoblanadi. Ular eng kam yangilanadigan siyosat turidir, chunki ular texnik va tashkiliy o‘zgarishlar orqali ham dolzarb bo‘lib qolishi uchun yetarlicha yuqori darajada yozilishi kerak. Masalaga oid siyosat- muammolarga oid siyosatlar umumiy xavfsizlik siyosatiga asoslanadi va tashkilotning ishchi kuchi bilan bog‘liq bo‘lgan muayyan masalalar bo‘yicha aniqroq ko‘rsatmalar beradi. Umumiy misollar tarmoq xavfsizligi siyosati, o‘z qurilmangizni olib keling (BYOD) siyosati, ijtimoiy media siyosati yoki masofadan ishlash siyosatini o‘z ichiga olishi mumkin. Ular muayyan texnologiya sohalariga murojaat qilishi mumkin, lekin odatda umumiyroqdir. Masofaviy kirish siyosati saytdan tashqariga kirish faqat kompaniya tomonidan tasdiqlangan va qo‘llab-quvvatlanadigan VPN orqali mumkinligini ko‘rsatishi mumkin, ammo bu siyosatda ma'lum bir VPN mijozi nomlanmasligi mumkin. Shunday qilib, kompaniya yirik yangilanishlarsiz sotuvchilarni o‘zgartirishi mumkin. Tizimga xos siyosat - bu xavfsizlik devori yoki web-server yoki hatto alohida kompyuter kabi tizimning ma'lum bir turiga qaratilgan AT xavfsizligi siyosatining eng nozik turi. Muammoga oid siyosatlardan farqli o‘laroq, tizimga xos siyosatlar ularni qo‘llab-quvvatlaydigan texnik xodimlarga eng mos kelishi mumkin. NIST ta'kidlashicha, tizimga xos siyosatlar ham xavfsizlik maqsadi, ham operatsion qoidalardan iborat bo‘lishi kerak. AT va xavfsizlik guruhlari tizimga xos siyosatlarni yaratish, amalga oshirish va amalga oshirishda jiddiy ishtirok etadilar, ammo asosiy qarorlar va qoidalar hali ham yuqori boshqaruv tomonidan qabul qilinadi. |
