Namuna: tashkilot uchun axborot xavfsizligi siyosati modelini ishlab chiqish


Download 0.94 Mb.
bet1/7
Sana22.11.2020
Hajmi0.94 Mb.
#149907
  1   2   3   4   5   6   7
Bog'liq
razrabotka modeli politiki ib uzb


NAMUNA: TASHKILOT UCHUN AXBOROT XAVFSIZLIGI SIYOSATI MODELINI ISHLAB CHIQISH

Axborot tizimi tuzilmaviy modelini qurish

Tuzilmaviy model tizim funksiyalarini bajarilishi imkonini beradi. AT quyidagi elementlardan tashkil topadi:

  • operatorlarning avtomatlashtirilgan ish joylari (AIJ). автоматизированных рабочих мест (АРМ), с которых операторы вводят/запрашивают информацию, поступающую в устной или письменной форме;

  • Internet. выход в Интернет;

  • Qayta ishlash serverlari. сервера обработки, на котором установлена система управления базами данных (СУБД) и производится автоматизированный анализ текущей ситуации;

  • Rezerv nusxalash serverlari. сервера резервного копирования;

  • Axborot xavfsizligi mamuri AIJ. автоматизированного рабочего места администратора информационной безопасности;

  • MB mamuri AIJ. автоматизированного рабочего места администратора БД.

  • Buxgalter AIJ. автоматизированного рабочего места бухгалтера.

  • Rahbariyat AIJ. автоматизированного рабочего места руководства.

Графическое изображение конфигурации системы – ее структурная модель, на которой отображены аппаратные компоненты ИС, необходима для наглядного представления процесса функционирования системы.
Полотно 6

Рисунок 10 – Структурная модель информационной системы.


После того как составлено графическое изображение ИС рассматриваемой организации, которая представляет собой совокупность вычислительных средств управляющего кадрами предприятия, определяются ответственные за аппаратные ресурсы; кто является их пользователем и как пользователи используют или будут использовать тот или иной компонент системы.
Jadval 5 – AT komponentlariga nisbatan foydalanuvchilar huquqlarini aniqlash


Apparat komponenti

Foydalanuvchi

Foydalanuvchining komponentga nisbatan huquqlari

Xavfsizlik bo’limi AIJ

AX va MB ma’murlari

AX ta’minlash


Internetga chiqish



Operatorlar, AX va MB ma’murlari

Telekommunikatsiya tashkilotlari bilan aloqani ta’minlash, abonentlardan ma’lumot qabul qilib olish



AT serveri

Tizim ma’muri, MB ma’muri, axborotni qayta ishlash operatori


Komponent tarmoq sozlanmalarini sozlash, OT va DT o'rnatish, komponentdagi ma'lumotlarni o'qish, yaratish, o'zgartirish va o'chirish

Moliyaviy direktor AIJ

Ijro etuvchi direktor

Axborotni qabul qilib olish va qayta ishlash

Buxgalter AIJ

Bosh buxgalter

MB axborotini olish, qayta ishlash va yuborish



Tashkilot AX siyosati qoidalarini ishlab chiqish

Разработка и выполнение политики ИБ организации является наиболее эффективным способом минимизации рисков нарушения ИБ для организации. Политика безопасности представляет собой свод принципов и правил безопасности для наиболее важных областей деятельности и зон ответственности персонала. Политика информационной безопасности является требованием, в котором описываются цели и задачи мероприятий по обеспечению безопасности.

В процессе разработки политики безопасности формулируется свод правил информационной безопасности для противодействия угрозам информационной системы организации. На основе свода правил создается политика безопасности.

Qoida №1:

Tashkilotda xodimlar bajarayotgan ishlari tekshirib turilishi kerak.

Qoida №2:

Tashkilotda axborot xavfsizligini taminlash chora-tadbirlari boyicha xodimlarning majburiyatlari davriy ravishda tekshirilib, kelishilib turilishi kerak.

  • Roy berishi mumkin xavfsizlik risklarini zararini minimallashtirish maqsadida, foydalanuvchilarni xavfsizlik protseduralariga va axborotni qayta ishlash vositalaridan togri foydalanishga orgatish kerak. Xavfsizlikga bogliq insidentlar haqida darhol mamurga xabar qilish kerak.

Qoida №3: MBBT va malumotlarni saqlash himoyasini taminlash.

  • Roy berishi mumkin xavfsizlik risklarini zararini minimallashtirish maqsadida, foydalanuvchilarni xavfsizlik protseduralariga va axborotni qayta ishlash vositalaridan togri foydalanishga orgatish kerak.;

  • Mamur faqatgina rahbariyat ruxsati bilan malumotlarni oqish, yozish, ozgartirish va ochirish huquqiga ega;

  • MBga parol o’rnatilgan bo’lishi kerak;

  • Tashqi USB “vinchester”ga sutkasiga bir marta rezerv nusxa olinishi kerak.


Qoida №4: Tijorat banki filiali biznes-jarayonlari himoyasini ta’minlash.

  • Turli darajadagi ma’lumotlar bazasida saqlanuvchi ma’lumotlarni majburiy tarzda dublikatsiyalasha;

  • Axborot tizimidagi barcha malumotlar bazalarini davriy ravishda (iloji boricha har kuni) faollashtirish (bu chora axborot tizimi malumotlarinioldingi sanabilan qalbakilashtirishni oldini oladi);

  • Dasturiy vositalar tomonidan axborot himoyasining zarur darajasiga erishish uchun tarmoq operatsion tizimlari vositalaridan foydalanish.


Qoida №5: Foydalanishlarni boshqarish.

  • Unikal parollardan foydalanish;

  • Tizim yoki xizmatlardan foydalana olish huquqlarini tasdiqlash uchun ma’mur parollarni tekshirishi kerak;

  • Parol sir saqlanishi kerak;

  • Parol o’g’irlanganlik belgilari paydo bo’lganda parolni o’zgartirish;

  • Sifatli parollardan foydalanish: parol uzunligi 8 ta belgidan kam bo’lmasligi, parolda katta va kichik harf, raqam va maxsus simvollardan tashkil topgan bo’lishi kerak; parol oson topilishi mumkin bo’lgan simvollar ketma-ketligi (ismlar, familiyalar, h.k.) va umumiy qabul qilingan qisqartmalardan tashkil topmasligi kerak; parol o’zgartirilgan taqdirda, yangi parol eskisidan kamida 4 o’rinda farq qilishi kerak; oyiga bir martadan kam bo’lmagan holda rejaga asosan parollarni to’liq o’zgartirish amalga oshirilishi kerak;

  • Foydalanuvchilarni identifikatsiya, autentifikatsiya va verifikatsiya qilish;

  • Tizimga muvaffaqiyatli va muvaffaqiyatsiz kirishlarni yozib borish;

  • Tizimdan foydalanish vaqtini cheklash;

  • Foydalanuvchilar himoyasi uchun majburiy favqulotda holat signalizatsiyasi.

Qoida №6: Zararli DT dan himoya

  • Antivirus bazalarini o’rnatish va davriy ravishda yangilab turish hamda DTni tuzatish;

  • DT tarkibini doimiy ravishda ko’rib chiqib turish;

  • Elektron pochta orqali yuborilgan fayllar va yuklanayotgan axborotlarni zararli DT bor-yo’qligiga tekshirish;

  • Zararli DTni tizimga kiritilishini oldini olish protsedura va reajalari;

  • Faqat litsenziyaga ega DTdan foydalanish.




AX qoidasi

Javobgarlar

Himoya choralari turi

Tashkilotda xodimlar bajarayotgan ishlari tekshirib turilishi kerak

AX ma’muri

Tashkiliy va texnik

Tashkilotda axborot xavfsizligini taminlash chora-tadbirlari boyicha xodimlarning majburiyatlari davriy ravishda tekshirilib, kelishilib turilishi kerak

AX ma’muri

Tashkiliy

MBBT va ma’lumotlarni saqlash himoyasini ta’minlash

Xodimlar (AIJ operatorlari, ma’murlar)

Tashkiliy va texnik

Tijorat banki filiali biznes-jarayonlari himoyasini ta’minlash

Xodimlar (AIJ operatorlari, ma’murlar)

Tashkiliy va texnik

Foydalanishlarni boshqarish

Xodimlar (AIJ operatorlari, ma’murlar)

Tashkiliy va texnik

Zararli DT dan himoya

AX va MBBT mamurlari

Tashkiliy va texnik


10 JadvalTashkilot xavfsizlik siyosati
Разработка алгоритма расчёта риска ИБ по модели информационных потоков

Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.

В результате работы алгоритма программа представляет следующие данные:



1. Инвентаризацию ресурсов;

2. Значения риска для каждого ценного ресурса организации;

3. Значения риска для ресурсов после задания контрмер статочный риск);

4. Эффективность контрмер.
Введение в модель

Для того, чтобы оценить риск информации, необходимо проанализировать защищенность и архитектуру построения информационной системы. Для этого необходимо описать архитектуру сети:



- все ресурсы, на которых хранится ценная информация;

- все сетевые группы, в которых находятся ресурсы системы .е. физические связи ресурсов друг с другом);

- виды ценной информации;

- ущерб для каждого вида ценной информации по трем видам угроз;

- группы пользователей, имеющих доступ к ценной информации; класс группы пользователей;

- доступ группы пользователей к информации; характеристики этого доступа (вид и права); средства защиты информации;

- средства защиты рабочего места группы пользователей.

Исходя из введенных данных, можно построить полную модель информационной системы компании, на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе.




Download 0.94 Mb.

Do'stlaringiz bilan baham:
  1   2   3   4   5   6   7




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling