Axborot xavfsizligi siyosati. Tashkilotning axborot xavfsizligi siyosati

Kompyuter savodxonligi
Siyosat axborot xavfsizligi(IS) - axborot resurslarini himoya qilish maqsadida korxona / tashkilot xodimlari tomonidan kundalik amaliyotda boshqaradigan chora-tadbirlar, qoidalar va tamoyillar to'plami.

Axborot xavfsizligi kontseptsiyasi paydo bo'lganidan beri o'tgan vaqt davomida bunday siyosatlar ko'p ishlab chiqilgan - har bir kompaniyada rahbariyat qanday va qanday ma'lumotlarni himoya qilishni o'zi hal qiladi (rasmiy holatlarga qo'shimcha ravishda). qonuniy talablar Rossiya Federatsiyasi). Siyosat odatda rasmiylashtiriladi: tegishli qoidalar ishlab chiqiladi. Korxona xodimlari bunday hujjatga rioya qilishlari shart. Biroq, bu hujjatlarning barchasi oxir-oqibat kuchga kirmaydi. Quyida biz axborot xavfsizligi siyosatining barcha tarkibiy qismlarini ko'rib chiqamiz va uning samaradorligi uchun zarur bo'lgan asosiy jihatlarni aniqlaymiz.

Axborotni muhofaza qilishni rasmiylashtirish nima uchun mo'ljallangan?

Axborot xavfsizligi siyosati qoidalari ko'pincha tartibga soluvchi - ish qoidalarini tartibga soluvchi tashkilot talablariga muvofiq alohida hujjat shaklida paydo bo'ladi. yuridik shaxslar ma'lum bir sanoatda. Agar axborot xavfsizligi to'g'risida hech qanday qoida mavjud bo'lmasa, qoidabuzarga nisbatan muayyan jazo choralari istisno etilmaydi, bu hatto uning faoliyatini to'xtatib qo'yishga olib kelishi mumkin.

Shuningdek, xavfsizlik siyosati ma'lum standartlarning (mahalliy yoki xalqaro) majburiy komponentidir. Odatda tashkilot faoliyatini o'rganuvchi tashqi auditorlar tomonidan qo'yiladigan o'ziga xos talablarga javob berish kerak. Xavfsizlik siyosatining yo'qligi salbiy javoblarni keltirib chiqaradi va bunday baholashlar reyting, ishonchlilik darajasi, investitsiya jozibadorligi va boshqalar kabi ko'rsatkichlarga salbiy ta'sir qiladi.

Axborot xavfsizligi materiallari yuqori rahbariyat axborot xavfsizligi mavzusiga tizimli yondashuv zarurligini tushunganida paydo bo'ladi. Bunday echimlar texnik vositalar joriy etilgandan so'ng amalga oshirilishi mumkin, bu vositalarni boshqarish kerakligi haqida xabardorlik mavjud bo'lganda, ular doimiy nazorat ostida bo'lishi kerak. Ko'pincha, axborot xavfsizligi xodimlar bilan munosabatlar muammosini ham o'z ichiga oladi (xodim nafaqat himoya qilinadigan shaxs, balki ma'lumot himoya qilinishi kerak bo'lgan ob'ekt sifatida ham ko'rib chiqilishi mumkin), faqat himoya qilishdan tashqarida bo'lgan boshqa jihatlar va omillar. kompyuter tarmog'i va unga ruxsatsiz kirishning oldini olish.

Tegishli qoidalarning mavjudligi tashkilotning axborot xavfsizligi masalalarida izchilligini, uning etukligini ko'rsatadi. Axborot xavfsizligi qoidalarining aniq shakllantirilishi shundan dalolat beradi bu jarayon sezilarli yutuqlarga erishildi.

Muvaffaqiyatsiz siyosatlar

"Axborot xavfsizligi to'g'risidagi nizom" nomli hujjatning mavjudligi shunchaki axborot xavfsizligi kafolati emas. Agar u faqat ba'zi talablarga rioya qilish kontekstida ko'rib chiqilsa, lekin amaliy qo'llanilmasa, ta'sir nolga teng bo'ladi.

Amaliyot shuni ko'rsatadiki, samarasiz xavfsizlik siyosati ikki xil: malakali shakllantirilgan, ammo amalga oshirilmagan va amalga oshirilgan, ammo aniq shakllantirilmagan.

Birinchisi, qoida tariqasida, ma'lumotni himoya qilish uchun mas'ul shaxs shunga o'xshash hujjatlarni Internetdan yuklab oladigan, minimal tahrirlar va tahrirlar qiladigan tashkilotlarda juda keng tarqalgan. umumiy qoidalar rahbariyatning roziligi uchun. Bir qarashda bu yondashuv pragmatik ko'rinadi. Turli tashkilotlarda xavfsizlik tamoyillari, hatto ularning faoliyati yo'nalishi boshqacha bo'lsa ham, ko'pincha o'xshashdir. Ammo axborot xavfsizligi bilan bog'liq muammolar axborot xavfsizligining umumiy kontseptsiyasidan protseduralar, usullar, standartlar va boshqalar kabi hujjatlar bilan kundalik ishlashga o'tishda paydo bo'lishi mumkin. Xavfsizlik siyosati dastlab boshqa tuzilma uchun ishlab chiqilganligi sababli, moslashishda ma'lum qiyinchiliklar paydo bo'lishi mumkin. kundalik hujjatlar.

Ikkinchi turdagi samarasiz siyosat muammoni umumiy strategik rejalarni qabul qilish orqali emas, balki darhol qarorlar qabul qilish orqali hal qilishga urinishni o'z ichiga oladi. Masalan, tizim administratori Foydalanuvchilar o'zlarining beparvo manipulyatsiyalari bilan tarmoqni buzishidan charchagan holda, quyidagi harakatlarni amalga oshiradilar: bir varaq qog'ozni oladi va o'n daqiqadan so'ng qoidalarni yozadi (nima ruxsat etilgan va nima taqiqlangan, kimga ma'lum bir mulk ma'lumotlariga kirishga ruxsat berilgan) , va kim emas) va sarlavhalar bu "Siyosat". Agar rahbariyat bunday "Siyosat" ni ma'qullasa, u keyinchalik tuzilmaning yillar davomida axborot xavfsizligi sohasidagi faoliyati uchun asos bo'lib xizmat qilishi mumkin, bu sezilarli muammolarni keltirib chiqaradi: masalan, yangi texnologiyalarni joriy qilish bilan siz har doim ham o'rnatmaysiz. zarur dasturiy ta'minot. Natijada, qoidalardan istisnolarga yo'l qo'yila boshlaydi (masalan, qandaydir dastur kerak, bu qimmat va xodim rahbariyatni oldindan belgilangan xavfsizlik qoidalariga zid ravishda litsenziyasiz versiyadan foydalanishga ishontiradi), bu esa hamma narsani inkor etadi. himoya qilish.

Axborot xavfsizligining samarali tizimini ishlab chiqish

Samarali axborot xavfsizligi tizimini yaratish uchun quyidagilarni ishlab chiqish kerak:

  • axborot xavfsizligi kontseptsiyasi (umumiy siyosatni, uning tamoyillari va maqsadlarini belgilaydi);
  • standartlar (har bir aniq sohada axborotni muhofaza qilish qoidalari va tamoyillari);
  • protsedura (u bilan ishlashda ma'lumotni himoya qilish bo'yicha aniq harakatlar tavsifi: shaxsiy ma'lumotlar, axborot tashuvchilari, tizimlari va resurslariga kirish tartibi);
  • ko'rsatmalar ( batafsil tavsif axborot xavfsizligini tashkil qilish va mavjud standartlarni ta'minlash uchun nima va qanday qilish kerak).

Yuqoridagi barcha hujjatlar o'zaro bog'liq bo'lishi va bir-biriga zid bo'lmasligi kerak.

Shuningdek, axborotni muhofaza qilishni samarali tashkil etish uchun favqulodda vaziyatlar rejalari ishlab chiqilishi kerak. Ular fors-major holatlari: baxtsiz hodisalar, ofatlar va h.k.larda axborot tizimlarini tiklashda zarurdir.

Himoya tushunchasining tuzilishi

Darhol ta'kidlaymiz: axborot xavfsizligi tushunchasi strategiya bilan bir xil emas. Birinchisi statik, ikkinchisi esa dinamik.

Xavfsizlik kontseptsiyasining asosiy bo'limlari:

  • axborot xavfsizligini aniqlash;
  • xavfsizlik tuzilmasi;
  • xavfsizlikni nazorat qilish mexanizmining tavsifi;
  • xavf-xatarni baholash;
  • axborot xavfsizligi: tamoyillar va standartlar;
  • har bir bo‘lim, idora yoki bo‘limning mudofaani amalga oshirishdagi vazifalari va majburiyatlari axborot tashuvchilar va boshqa ma'lumotlar;
  • boshqa xavfsizlik qoidalariga havolalar.

Bundan tashqari, himoya sohasidagi samaradorlikning asosiy mezonlarini tavsiflovchi bo'lim ortiqcha bo'lmaydi. muhim ma'lumotlar... Himoya samaradorligi ko'rsatkichlari, birinchi navbatda, yuqori boshqaruv uchun zarurdir. Ular sizga texnik nuanslarni o'rganmasdan xavfsizlikni tashkil qilishni ob'ektiv baholashga imkon beradi. Xavfsizlikni tashkil etish uchun mas'ul shaxs, shuningdek, rahbariyat o'z ishini qanday baholashini tushunish uchun axborot xavfsizligi samaradorligini baholashning aniq mezonlarini bilishi kerak.

Xavfsizlik hujjatlariga qo'yiladigan asosiy talablar ro'yxati

Xavfsizlik siyosati ikkita asosiy jihatni hisobga olgan holda shakllantirilishi kerak:

  1. Barcha xavfsizlik ma'lumotlarining maqsadli auditoriyasi - o'rta darajadagi menejerlar va oddiy xodimlar maxsus texnik terminologiyani bilishmaydi, lekin ko'rsatmalarni o'qishda taqdim etilgan ma'lumotlarni tushunishlari va o'zlashtirishlari kerak.
  2. Ko'rsatma qisqa bo'lishi va bir vaqtning o'zida hammasini o'z ichiga olishi kerak zarur ma'lumotlar joriy siyosat haqida. Hech kim hajmli "folio" ni yodlash u yoqda tursin, batafsil o'rganmaydi.

Yuqoridagilardan, xavfsizlik bo'yicha uslubiy materiallarga ikkita talab qo'yiladi:

  • ular maxsus texnik atamalardan foydalanmasdan oddiy rus tilida tuzilishi kerak;
  • xavfsizlik to'g'risidagi matnda maqsadlar, ularga erishish yo'llari, axborot xavfsizligiga rioya qilmaslik uchun javobgarlik choralari belgilanishi ko'rsatilgan bo'lishi kerak. Hammasi! Texnik yoki boshqa aniq ma'lumotlar yo'q.

Axborot xavfsizligini tashkil etish va amalga oshirish

Axborot xavfsizligi hujjatlari tayyor bo'lgach, uni kundalik ishda amalga oshirish uchun ishni rejalashtirilgan tashkil etish kerak. Bu talab qiladi:

  • jamoani tasdiqlangan ma'lumotlarni qayta ishlash siyosati bilan tanishtirish;
  • ushbu axborotni qayta ishlash siyosatini barcha yangi xodimlarga tanishtirish (masalan, keng qamrovli tushuntirishlar berish uchun ma'lumot seminarlari yoki kurslarni o'tkazish);
  • xavflarni aniqlash va minimallashtirish uchun mavjud biznes jarayonlarini diqqat bilan o'rganish;
  • axborot xavfsizligi sohasida umidsiz ravishda orqada qolmaslik uchun yangi biznes-jarayonlarni ilgari surishda faol ishtirok etish;
  • batafsil uslubiy va axborot materiallarini, axborotni qayta ishlash siyosatini to'ldiradigan ko'rsatmalarni (masalan, Internetda ishlashga kirishni ta'minlash qoidalari, binolarga kirish tartibi) ishlab chiqish. cheklangan kirish, maxfiy ma'lumotlarni uzatishingiz mumkin bo'lgan axborot kanallari ro'yxati, axborot tizimlari bilan ishlash bo'yicha ko'rsatmalar va boshqalar);
  • har uch oyda bir marta axborotga kirishni, ular bilan ishlash tartibini qayta ko‘rib chiqish va to‘g‘rilash, axborot xavfsizligini ta’minlash bo‘yicha qabul qilingan hujjatlarni yangilash, axborot xavfsizligiga mavjud tahdidlarni doimiy monitoring qilish va o‘rganish.

Axborotga ruxsatsiz kirishga harakat qilayotgan shaxslar

Xulosa qilib aytganda, biz ma'lumotlarga ruxsatsiz kirish huquqiga ega bo'lgan yoki olishni xohlaydiganlarni tasniflaymiz.

Potentsial tashqi tajovuzkorlar:

  1. Ofisga tashrif buyuruvchilar.
  2. Ilgari ishdan bo'shatilgan xodimlar (ayniqsa, janjal bilan ketgan va ma'lumotlarga qanday kirishni biladiganlar).
  3. Xakerlar.
  4. Uchinchi tomon tuzilmalari, shu jumladan raqobatchilar, shuningdek jinoiy guruhlar.

Potentsial insayderlar:

  1. Xodimlar orasidan kompyuter foydalanuvchilari.
  2. Dasturchilar, tizim ma'murlari.
  3. Texnik xodimlar.

Tashkilot uchun ishonchli himoya sanab o'tilgan guruhlarning har biridan olingan ma'lumotlar o'z qoidalarini talab qiladi. Agar tashrif buyuruvchi o'zi bilan oddiygina muhim ma'lumotlarga ega bo'lgan varaqani olib ketishi mumkin bo'lsa, texnik xodimlardan biri LANdan ro'yxatdan o'tmagan kirish va chiqish nuqtasini yaratishi kerak. Har bir holat ma'lumotlarning tarqalishidir. Birinchi holda, ofisda xodimlar uchun xulq-atvor qoidalarini ishlab chiqish kifoya, ikkinchidan - murojaat qilish. texnik vositalar DLP tizimlari va SIEM tizimlari kabi axborot xavfsizligini oshiradigan kompyuter tarmoqlaridan sizib chiqishni oldini oladi.

Axborot xavfsizligini ishlab chiqishda sanab o'tilgan guruhlarning o'ziga xos xususiyatlarini hisobga olish va ularning har biri uchun ma'lumotlarning chiqib ketishining oldini olish bo'yicha samarali choralar ko'rish kerak.

Axborot xavfsizligi siyosati - qonunlar, choralar, qoidalar, talablar, cheklovlar, ko'rsatmalar, normativ hujjatlar Axborotni qayta ishlash tartibini tartibga soluvchi va axborotni ayrim turdagi tahdidlardan himoya qilishga qaratilgan tavsiyalar va boshqalar.

Axborot xavfsizligi siyosati kompaniyada butun axborot xavfsizligini ta'minlash uchun asosiy hujjatdir. Shuning uchun kompaniyaning yuqori rahbariyati kompaniyaning barcha xodimlari tomonidan uning asosiy fikrlarini bilishi va qat'iy rioya qilishidan manfaatdor bo'lishi kerak. Kompaniyaning axborot xavfsizligi rejimiga mas'ul bo'lgan barcha bo'lim xodimlari imzoga qarshi axborot xavfsizligi siyosati bilan tanishishlari kerak. Axir ular axborot xavfsizligi siyosati talablariga rioya etilishini va kompaniya xodimlarining o'zlariga tegishli bo'lgan masalalar bo'yicha uning asosiy jihatlarini bilishlarini tekshirish uchun javobgar bo'ladilar. Shuningdek, bunday tekshirishlarni o‘tkazish tartibi, bunday tekshiruvlarni o‘tkazuvchi mansabdor shaxslarning majburiyatlari, tekshirishlar jadvali belgilanishi kerak.

Axborot xavfsizligi siyosati axborot tizimining alohida komponenti uchun ham, butun axborot tizimi uchun ham ishlab chiqilishi mumkin. Axborot xavfsizligi siyosati axborot tizimining quyidagi xususiyatlarini hisobga olishi kerak: axborotni qayta ishlash texnologiyasi, hisoblash muhiti, jismoniy muhit, foydalanuvchi muhiti, foydalanishni boshqarish qoidalari va boshqalar.

Axborot xavfsizligi siyosati axborot xavfsizligini ta’minlashning huquqiy, ma’naviy-axloqiy me’yorlari, tashkiliy-texnik chora-tadbirlari, dasturiy, texnik va dasturiy-texnik vositalaridan kompleks foydalanishni ta’minlashi, shuningdek ulardan foydalanish qoidalari va tartibini belgilashi kerak. Axborot xavfsizligi siyosati quyidagi tamoyillarga asoslanishi kerak: himoya qilishning uzluksizligi, chora-tadbirlar va himoya vositalarining etarliligi, ularning tahdidlarni amalga oshirish ehtimoliga muvofiqligi, iqtisodiy samaradorlik, tuzilmaning moslashuvchanligi, boshqarish va foydalanishning qulayligi va boshqalar.

Xavfsizlik siyosati - bu maxfiy ma'lumotlarni himoya qilish uchun profilaktika choralari va axborot jarayonlari korxonada. Xavfsizlik siyosati xodimlar, menejerlar va texnik xizmatlarga qo'yiladigan talablarni o'z ichiga oladi. Xavfsizlik siyosatini rivojlantirishning asosiy yo'nalishlari:

  • qanday ma'lumotlarni va qanchalik jiddiy himoya qilinishi kerakligini aniqlash,
  • axborot nuqtai nazaridan kompaniyaga kim va qanday zarar etkazishi mumkinligini aniqlash;
  • xavflarni hisoblash va ularni maqbul qiymatga kamaytirish sxemasini aniqlash.

Korxonada axborot xavfsizligi sohasidagi mavjud vaziyatni baholashning ikkita tizimi mavjud. Ular majoziy ma'noda pastdan yuqoriga tadqiqot va yuqoridan pastga tadqiqot deb ataladi. Birinchi usul juda oddiy, ancha kam kapital qo'yilmalarni talab qiladi, lekin ayni paytda kamroq imkoniyatlarga ega. U taniqli sxemaga asoslanadi: "Siz bosqinchisiz. Sizning harakatlaringiz qanday?" Ya'ni, axborot xavfsizligi xizmati barcha ma'lum bo'lgan hujum turlari bo'yicha ma'lumotlarga asoslanib, bunday hujumni haqiqiy tajovuzkordan amalga oshirish mumkinligini tekshirish uchun ularni amalda qo'llashga harakat qiladi.

“Yuqoridan pastga” usuli, aksincha, axborotni saqlash va qayta ishlashning barcha mavjud sxemasini batafsil tahlil qilishdir. Ushbu usulda birinchi qadam, har doimgidek, qaysi axborot ob'ektlari va oqimlarini himoya qilish kerakligini aniqlashdir. Shundan so‘ng axborot xavfsizligini ta’minlashning klassik usullaridan qaysi biri allaqachon amalga oshirilganligi, qay darajada va qay darajada amalga oshirilganligini aniqlash maqsadida axborot xavfsizligi tizimining hozirgi holati o‘rganiladi. Uchinchi bosqichda barcha axborot ob'ektlari uning maxfiyligi, foydalanish imkoniyati va yaxlitligi (o'zgarmasligi) talablariga muvofiq sinflarga bo'linadi.

Keyingi qadam, har bir aniq ma'lumot ob'ektiga oshkor qilish yoki boshqa hujum kompaniyaga qanchalik jiddiy zarar etkazishi mumkinligini aniqlashdir. Ushbu bosqich "xavfni hisoblash" deb ataladi. Birinchi taxminiy nuqtai nazardan, xavf "hujumning mumkin bo'lgan zarari" ning "bunday hujum ehtimoli" mahsulotidir.

Axborot xavfsizligi siyosati quyidagi bo'limlar ma'lumotlari mavjud bo'lgan bandlarni o'z ichiga olishi kerak:


  • axborot xavfsizligi kontseptsiyasi;
  • axborot xavfsizligi buzilishi manbalariga aylanishi mumkin bo‘lgan axborot tizimining tarkibiy qismlari va resurslarini hamda ularning muhimlik darajasini aniqlash;
  • tahdidlarni himoya qilish ob'ektlari bilan taqqoslash;
  • xavf-xatarni baholash;
  • tahdidlarni amalga oshirish bilan bog'liq mumkin bo'lgan yo'qotishlar miqdorini baholash;
  • axborot xavfsizligi tizimini qurish xarajatlarini baholash;
  • axborot xavfsizligini ta'minlash usullari va vositalariga qo'yiladigan talablarni belgilash;
  • axborot xavfsizligining asosiy yechimlarini tanlash;
  • restavratsiya ishlarini tashkil etish va axborot tizimining uzluksiz ishlashini ta’minlash;
  • kirishni nazorat qilish qoidalari.

Korxonaning axborot xavfsizligi siyosati korxonaning har tomonlama xavfsizligini ta'minlash uchun juda muhimdir. Uskuna va dasturiy ta'minot, uni DLP yechimlari yordamida amalga oshirish mumkin.

Tegishli nashrlar

2014 yil 29 aprel Ko'pgina kompaniyalar ko'pincha xizmat safarlarida bo'lgan xodimlar uchun mobil gadjetlarni o'z mablag'lari hisobidan sotib oladi. Bunday sharoitda IT bo'limi korporativ ma'lumotlarga kirish huquqiga ega bo'lgan, lekin ayni paytda korporativ tarmoq perimetri tashqarisida joylashgan qurilmalarni nazorat qilishning shoshilinch ehtiyojiga ega.

Tashkilotning kattaligi va uning axborot tizimining o'ziga xos xususiyatlaridan qat'i nazar, IS rejimini ta'minlash bo'yicha ishlar odatda quyidagi bosqichlardan iborat (1-rasm):

- axborot xavfsizligini boshqarish tizimining ko'lamini (chegaralarini) belgilash va uni yaratish maqsadlarini belgilash;

- xavf-xatarni baholash;

- IS rejimini ta'minlash uchun qarshi choralarni tanlash;

- risklarni boshqarish;

- AT boshqaruv tizimining auditi;

- xavfsizlik siyosatini ishlab chiqish.

DIV_ADBLOCK340 ">

Bosqich 3. Axborotni himoya qilish bo'yicha qarshi choralarni quyidagi asosiy darajalarda tuzilmalash: ma'muriy, protsessual, dasturiy va texnik vositalar.

4-bosqich. Korporativ axborot tizimlarini AT standartlariga muvofiqligini sertifikatlash va akkreditatsiya qilish tartibini belgilash. Boshqaruv darajasida axborot xavfsizligi masalalari bo'yicha uchrashuvlar chastotasini belgilash, shu jumladan axborot xavfsizligi siyosati qoidalarini davriy qayta ko'rib chiqish, shuningdek, axborot tizimidan foydalanuvchilarning barcha toifalarini axborot xavfsizligi sohasida o'qitish tartibi. . Ma'lumki, tashkilotning xavfsizlik siyosatini ishlab chiqish eng kam rasmiylashtirilgan bosqichdir. Biroq, so'nggi yillarda axborot xavfsizligi bo'yicha ko'plab mutaxassislarning sa'y-harakatlari aynan shu erda to'plangan.

Bosqich 5. Axborot xavfsizligini boshqarish tizimining amal qilish doirasini (chegaralarini) aniqlash va uni yaratish maqsadlarini belgilash. Ushbu bosqichda axborot xavfsizligi rejimi ta'minlanishi kerak bo'lgan tizimning chegaralari aniqlanadi. Shunga ko'ra, axborot xavfsizligini boshqarish tizimi ushbu chegaralar ichida qurilgan. Tizimning chegaralarini tavsiflash quyidagi rejaga muvofiq amalga oshirilishi tavsiya etiladi:

- tashkilotning tuzilishi. avtomatlashtirilgan tizimning rivojlanishi (modernizatsiyasi) munosabati bilan joriy tuzilma va kiritilishi ko‘zda tutilayotgan o‘zgarishlarni taqdim etish;

- himoya qilinadigan axborot tizimining resurslari. Resurslarni hisobga olish tavsiya etiladi avtomatlashtirilgan tizim quyidagi sinflar: SVT, ma'lumotlar, tizim va amaliy dasturlar. Barcha resurslar tashkilot uchun qimmatlidir. Ularni baholash uchun mezonlar tizimi va ushbu mezonlarga muvofiq natijalarni olish metodologiyasi tanlanishi kerak;

· Kompaniyaning axborot aktivlarini tasniflash va ularning xavfsizligini baholash tamoyillarini ishlab chiqish;

· Axborot risklarini baholash va ularni boshqarish;

· Kompaniya xodimlarini axborot xavfsizligi usullariga o'rgatish, brifinglar o'tkazish va kompaniya xodimlari tomonidan xavfsizlik siyosatini amalga oshirish bo'yicha bilim va amaliy ko'nikmalarni nazorat qilish;

Kompaniya menejerlariga boshqaruv masalalari bo'yicha maslahat berish axborot xavflari;

· Kompaniya bo'linmalari o'rtasida xususiy siyosat va xavfsizlik qoidalarini muvofiqlashtirish;

· Kompaniyaning ichki hisobotlari va hujjatlarini tekshirish va tasdiqlash huquqi bilan sifat va avtomatlashtirish xizmatlari ishini nazorat qilish;

· Ishga qabul qilishda xodimlarning shaxsiy ma’lumotlarini tekshirish bo‘yicha kompaniyaning kadrlar xizmati bilan o‘zaro hamkorlik qilish;

· Favqulodda vaziyatlar yoki ular yuzaga kelgan taqdirda axborotni muhofaza qilish sohasidagi favqulodda vaziyatlarni bartaraf etish choralarini tashkil etish;

Axborotning yaxlitligi - axborotning buzilmagan shaklda mavjudligi (uning ba'zi sobit holatiga nisbatan o'zgarmagan). Odatda, sub'ektlar kengroq xususiyatni - ma'lumotlarning ishonchliligini ta'minlashdan manfaatdor bo'lib, u davlat ko'rsatishning adekvatligi (to'liqligi va aniqligi) dan iborat. mavzu maydoni va bevosita axborotning yaxlitligi, ya'ni uning buzilmasligi.

Statik va dinamik yaxlitlik o'rtasida farq bor. Statik yaxlitlikni buzish uchun tajovuzkor: noto'g'ri ma'lumotlarni kiritish; Ma'lumotlarni o'zgartirish uchun. Ba'zan mazmunli ma'lumotlar o'zgaradi, ba'zan - xizmat ma'lumotlari. Dinamik yaxlitlikka tahdidlar - tranzaktsiyalarning atomikligini buzish, qayta tartiblash, o'g'irlash, ma'lumotlarni takrorlash yoki qo'shimcha xabarlarni (tarmoq paketlari va boshqalar) kiritish. Tarmoqli muhitda mos keladigan harakatlar faol tinglash deb ataladi.

Butunlik nafaqat ma'lumotlarni soxtalashtirish yoki o'zgartirish bilan, balki ma'lumotlarni rad etish bilan ham tahdid soladi. amalga oshirilgan harakatlar... Agar "rad etmaslik" ni ta'minlash uchun hech qanday vosita bo'lmasa, kompyuter ma'lumotlari dalil sifatida qaralmaydi. Yaxlitlikni buzish nuqtai nazaridan nafaqat ma'lumotlar, balki dasturlar ham potentsial zaifdir. Zararli dasturlarni in'ektsiya qilish bunday qoidabuzarliklarga misol bo'la oladi.

Tegishli va yuqori xavfli tahdid rootkitlarni (tizimda standart funksiyalarini zararli va maxfiy tarzda o'zgartirish uchun o'rnatilgan fayllar to'plami), botlarni (ma'lum bir vazifani avtomatik ravishda bajaradigan dastur; bir xil botlar bo'lgan kompyuterlar guruhini) joriy etishdir. ish turi botnet deb ataladi), maxfiy o'tishlar ( zararli dastur maxsus TCP yoki UDP portlarida tinglash buyruqlari) va josuslik dasturlari dasturiy ta'minot(foydalanuvchining maxfiy maʼlumotlarini buzish uchun moʻljallangan zararli dastur. Masalan, Back Orifice va Netbus troyanlari sizga boshqaruvni qoʻlga kiritish imkonini beradi. moslashtirilgan tizimlar MS-Windows-ning turli xil ta'mlari bilan.

Maxfiylik tahdidi

Maxfiylikni buzish tahdidi shundaki, ma'lumotlar unga kirish huquqiga ega bo'lmagan shaxsga ma'lum bo'ladi. Ba'zida "oqish" atamasi maxfiylikni buzish tahdidi bilan bog'liq holda ishlatiladi.

Axborotning maxfiyligi - bu ma'lumotlarga kirish huquqiga ega bo'lgan sub'ektlar doirasiga cheklovlar qo'yish zarurligini ko'rsatadigan va tizimning (atrof-muhitning) saqlash qobiliyati bilan ta'minlangan ma'lumotlarning sub'ektiv ravishda aniqlangan (atributlangan) xususiyati (xususiyati). belgilangan ma'lumotlar unga kirish huquqiga ega bo'lmagan sub'ektlardan yashirincha. Ayrim sub'ektlar uchun axborot mavjudligini bunday cheklashning ob'ektiv shartlari ularning qonuniy manfaatlarini axborot munosabatlarining boshqa sub'ektlaridan himoya qilish zaruratidan iborat.

Maxfiy ma'lumotlarni mavzu va xizmat ma'lumotlariga bo'lish mumkin. Xizmat ma'lumotlari (masalan, foydalanuvchi parollari) ma'lum bir mavzuga tegishli emas, u axborot tizimida texnik rol o'ynaydi, lekin uni oshkor qilish ayniqsa xavflidir, chunki u barcha ma'lumotlarga, shu jumladan mavzu ma'lumotlariga ruxsatsiz kirish bilan to'la. Maxfiylik uchun xavfli texnik bo'lmagan tahdidlar "maskarad" - ma'lumotlarga kirish huquqiga ega bo'lgan shaxs niqobi ostida harakatlarni amalga oshirish kabi ma'naviy va psixologik ta'sir qilish usullaridir. Himoya qilish qiyin bo'lgan noxush tahdidlarga hokimiyatni suiiste'mol qilish kiradi. Ko'pgina turdagi tizimlarda imtiyozli foydalanuvchi (masalan, tizim administratori) har qanday (shifrlanmagan) faylni o'qishi, istalgan foydalanuvchining pochtasiga kirishi mumkin.

Hozirgi vaqtda eng keng tarqalgan fishing hujumlari. Baliq ovlash (baliq ovlash - baliq ovlash) Internetdagi firibgarlikning bir turi bo'lib, uning maqsadi foydalanuvchining maxfiy ma'lumotlariga - login va parollarga kirishdir. Bunga o'tkazish orqali erishiladi ommaviy pochta jo'natmalari elektron pochta xabarlari mashhur brendlar nomidan, shuningdek, turli xizmatlar doirasidagi shaxsiy xabarlar, masalan, banklar, xizmatlar (Rambler, Mail.ru) nomidan yoki ichkarida. ijtimoiy tarmoqlar(Facebook, Vkontakte, Odnoklassniki.ru). Fisherlar bugungi kunda banklar va elektron to'lov tizimlarining mijozlarini nishonga olishmoqda. Misol uchun, Qo'shma Shtatlarda ichki daromad xizmati sifatida niqoblangan fisherlar 2009 yilda soliq to'lovchilar haqida muhim ma'lumotlarni to'plashdi.

Yadrodan tashqari OXF dasturi xavfsizlik funksiyalarini amalga oshirish uchun foydalaniladigan ishonchli ilovalardan iborat. E'tibor bering, umumiy kutubxonalar, jumladan PAM modullari ba'zi hollarda ishonchli ilovalar tomonidan qo'llaniladi. Biroq, umumiy kutubxonaning o'zi ishonchli ob'ekt deb hisoblangan holatlar mavjud emas. Ishonchli buyruqlarni quyidagicha guruhlash mumkin.

  • Tizimni ishga tushirish
  • Identifikatsiya va autentifikatsiya
  • Tarmoq ilovalari
  • To'plamni qayta ishlash
  • Tizim boshqaruvi
  • Foydalanuvchi darajasidagi audit
  • Kriptografik yordam
  • Virtual mashinani qo'llab-quvvatlash

Yadro ijro komponentlarini uch qismga bo'lish mumkin: asosiy yadro, yadro iplari va yadro modullari, ular qanday bajarilishiga qarab.

  • Asosiy yadro xizmatni taqdim etish uchun bajariladigan kodni o'z ichiga oladi, masalan, foydalanuvchi tizimiga xizmat ko'rsatish yoki istisno hodisasi yoki uzilishga xizmat ko'rsatish. Ko'pgina kompilyatsiya qilingan yadro kodlari ushbu toifaga kiradi.
  • Yadro iplari. Yadro disk keshlarini tozalash yoki foydalanilmagan sahifa bloklarini tushirish orqali xotirani bo'shatish kabi ma'lum umumiy vazifalarni bajarish uchun ichki jarayonlar yoki oqimlarni yaratadi. Mavzular xuddi oddiy jarayonlar kabi rejalashtirilgan, lekin ularda imtiyozsiz rejimda kontekst yo'q. Yadro iplari C yadro tilining o'ziga xos funktsiyalarini bajaradi. Yadro iplari yadro maydonida joylashgan va faqat imtiyozli rejimda ishlaydi.
  • Yadro moduli va qurilma drayveri yadro moduli kod bo'laklari bo'lib, kerak bo'lganda yadroga yuklanishi va tushirilishi mumkin. Ular kengayadi funksionallik tizimni qayta ishga tushirishga hojat qoldirmasdan yadrolar. Yuklangandan so'ng, yadro moduli ob'ekt kodi statik bog'langan yadro ob'ekt kodi kabi boshqa yadro kodlari va ma'lumotlariga kirishi mumkin.
Qurilma drayveri yadro modulining maxsus turi bo'lib, yadroga tizimga ulangan uskunaga kirish imkonini beradi. Ushbu qurilmalar qattiq disklar, monitorlar yoki tarmoq interfeyslari bo'lishi mumkin. Drayv yadroning qolgan qismi bilan yadroga barcha qurilmalar bilan ishlashga imkon beruvchi maxsus interfeys orqali aloqa qiladi. universal tarzda ularning asosiy amalga oshirilishidan qat'i nazar.

Yadro turli funktsiyalarni ta'minlovchi mantiqiy quyi tizimlardan iborat. Yadro yagona bajariladigan dastur bo'lsa ham, u taqdim etuvchi turli xizmatlarni ajratish va turli mantiqiy komponentlarga birlashtirish mumkin. Ushbu komponentlar o'zaro aloqada bo'lib, muayyan funksionallikni ta'minlaydi. Yadro quyidagi mantiqiy quyi tizimlardan iborat:

  • Fayl quyi tizimi va kiritish-chiqarish quyi tizimi: Ushbu quyi tizim ob'ektlar bilan bog'liq funktsiyalarni amalga oshiradi fayl tizimi. Amalga oshirilgan funktsiyalar jarayonga fayl tizimi ob'ektlarini yaratish, saqlash, ular bilan o'zaro ta'sir qilish va o'chirish imkonini beruvchilarni o'z ichiga oladi. Bu obyektlarga oddiy fayllar, kataloglar, ramziy havolalar, qattiq havolalar, qurilmaga xos fayllar, nomli quvurlar va rozetkalar kiradi.
  • Jarayon quyi tizimi: Ushbu quyi tizim jarayonni boshqarish va ipni boshqarish bilan bog'liq funktsiyalarni amalga oshiradi. Amalga oshirilgan funksiyalar jarayonlar va ish zarrachalarini yaratish, rejalashtirish, bajarish va o'chirish imkonini beradi.
  • Xotira quyi tizimi: Ushbu quyi tizim tizim xotirasi resurslarini boshqarish bilan bog'liq funktsiyalarni amalga oshiradi. Amalga oshirilgan funktsiyalarga yaratuvchi va boshqaruvchi funktsiyalar kiradi virtual xotira, jumladan, sahifalash algoritmlari va peyjer jadvallarini boshqarish.
  • Tarmoq quyi tizimi: Ushbu quyi tizim UNIX va Internet domen soketlarini va tarmoq paketlarini rejalashtirish uchun ishlatiladigan algoritmlarni amalga oshiradi.
  • IPC quyi tizimi: Ushbu quyi tizim IPC mexanizmlari bilan bog'liq funktsiyalarni amalga oshiradi. Amalga oshirilgan funktsiyalarga jarayonlar o'rtasida boshqariladigan ma'lumotlar almashinuvini osonlashtiradigan funktsiyalar kiradi, bu ularga ma'lumotlarni almashish va umumiy manba bilan o'zaro aloqada bo'lganda ularning bajarilishini sinxronlashtirish imkonini beradi.
  • Yadro modullari quyi tizimi: Ushbu quyi tizim yuklanadigan modullarni qo'llab-quvvatlash uchun infratuzilmani amalga oshiradi. Amalga oshirilgan funktsiyalar yadro modullarini yuklash, ishga tushirish va tushirishni o'z ichiga oladi.
  • Kengaytmalar Linux xavfsizligi : Linux xavfsizlik kengaytmalari butun yadro uchun, jumladan Linux xavfsizlik moduli (LSM) ramkasi uchun taqdim etilgan xavfsizlikning turli jihatlarini amalga oshiradi. LSM ramkasi turli xil xavfsizlik siyosatlarini, shu jumladan SELinuxni amalga oshirishga imkon beruvchi modullar uchun asos bo'lib xizmat qiladi. SELinux muhim mantiqiy quyi tizimdir. Ushbu quyi tizim barcha ob'ektlar va ob'ektlar o'rtasida kirishga erishish uchun majburiy kirishni boshqarish funktsiyalarini amalga oshiradi.
  • Qurilma haydovchi quyi tizimi: Ushbu quyi tizim turli xil apparat va dasturiy qurilmalar umumiy qurilmadan mustaqil interfeys orqali.
  • Audit quyi tizimi: Ushbu quyi tizim tizimdagi xavfsizlik uchun muhim voqealarni qayd etish bilan bog'liq funksiyalarni amalga oshiradi. Amalga oshirilgan funktsiyalarga xavfsizlik uchun muhim voqealarni yozib olish uchun har bir tizim qo'ng'irog'ini ushlaydigan va audit izlarini to'plash va yozib olishni amalga oshiradigan funksiyalar kiradi.
  • KVM quyi tizimi: Ushbu quyi tizim virtual mashinaning hayot aylanishiga xizmat ko'rsatishni amalga oshiradi. U ko'rsatmalarni bajarishni amalga oshiradi, bu faqat kichik tekshiruvlarni talab qiladigan ko'rsatmalar uchun ishlatiladi. Bayonotni boshqa har qanday yakunlash uchun KVM QEMU foydalanuvchi-makon komponentini chaqiradi.
  • Kripto API: Ushbu quyi tizim barcha yadro komponentlari uchun yadro ichidagi kriptografik kutubxonani taqdim etadi. U qo'ng'iroq qiluvchilar uchun kriptografik primitivlarni taqdim etadi.

Yadro asosiy qismdir operatsion tizim... U toʻgʻridan-toʻgʻri apparat vositalari bilan oʻzaro taʼsir qiladi, resurslar almashinuvini amalga oshiradi, ilovalar uchun umumiy xizmatlarni taqdim etadi va ilovalarning apparatga bogʻliq funksiyalarga bevosita kirishiga yoʻl qoʻymaydi. Yadro tomonidan taqdim etiladigan xizmatlarga quyidagilar kiradi:

1. Jarayonlarning bajarilishini boshqarish, shu jumladan ularni yaratish, tugatish yoki to'xtatib turish operatsiyalari va jarayonlararo aloqa. Ularga quyidagilar kiradi:

  • Protsessorda ishlash uchun jarayonlarni ekvivalent rejalashtirish.
  • Vaqtni ajratish rejimidan foydalangan holda protsessorda jarayonlarni ajratish.
  • Protsessorda jarayonning bajarilishi.
  • Yadroning kvantga ajratilgan vaqt tugagandan so'ng to'xtatilishi.
  • Boshqa jarayonni bajarish uchun yadro vaqtini ajratish.
  • To'xtatilgan jarayonni ishga tushirish uchun yadro vaqtini qayta rejalashtirish.
  • UID, GID, SELinux teglari, xususiyat identifikatorlari kabi jarayon xavfsizligi bilan bog'liq metama'lumotlarni boshqaring.
2. Izolyatsiya tasodifiy kirish xotirasi bajariladigan jarayon uchun. Bu operatsiya o'z ichiga oladi:
  • Muayyan sharoitlarda o'z manzil maydonining bir qismini bo'lishish uchun jarayonlar uchun yadro ruxsati; ammo yadro jarayonning o'z manzil maydonini tashqi aralashuvdan himoya qiladi.
  • Agar tizimda bo'sh xotira tugasa, yadro jarayonni vaqtincha ikkinchi darajali xotiraga yozish yoki bo'sh joyni almashtirish orqali xotirani bo'shatadi.
  • Kompilyator tomonidan yaratilgan manzillarni jismoniy manzillar bilan taqqoslaydigan fizik manzillarga virtual manzillar xaritasini o'rnatish uchun mashina apparati bilan muvofiqlashtirilgan o'zaro ta'sir.
3. Xizmat muddati virtual mashinalar Bunga quyidagilar kiradi:
  • Berilgan virtual mashina uchun emulyatsiya ilovasi tomonidan sozlangan resurslarga cheklovlar o'rnatadi.
  • Yugurish dastur kodi bajarish uchun virtual mashina.
  • Yo'riqnomani bajarish yoki foydalanuvchi maydonini taqlid qilish bo'yicha ko'rsatmalarni bajarishni kechiktirish orqali virtual mashinalarni o'chirishni boshqaring.
4. Fayl tizimiga texnik xizmat ko‘rsatish. Bunga quyidagilar kiradi:
  • Foydalanuvchi ma'lumotlarini samarali saqlash va olish uchun ikkilamchi xotirani ajratish.
  • Ajratish tashqi xotira maxsus fayllar uchun.
  • Foydalanilmayotgan saqlash joyini qayta ishlating.
  • Fayl tizimi strukturasini tashkil etish (aniq tuzilish tamoyillaridan foydalangan holda).
  • Foydalanuvchi fayllarini ruxsatsiz kirishdan himoya qilish.
  • Jarayonlarga boshqariladigan kirishni tashkil etish tashqi qurilmalar terminallar, lenta drayvlar, disk drayvlar va tarmoq qurilmalari kabi.
  • Subyektlar va ob'ektlar uchun ma'lumotlarga o'zaro kirishni tashkil qilish, DAC siyosati va yuklangan LSM tomonidan amalga oshiriladigan boshqa siyosat asosida boshqariladigan kirishni ta'minlash.
Linux yadrosi OT yadrosining bir turi bo'lib, oldindan rejalashtirishni amalga oshiradi. Bunday imkoniyatga ega bo'lmagan yadrolarda yadro kodining bajarilishi tugagunga qadar davom etadi, ya'ni. rejalashtiruvchi vazifani yadroda bo'lganda qayta rejalashtirishga qodir emas. Bundan tashqari, yadro kodining bajarilishi oldindan rejalashtirishsiz birgalikda rejalashtirilgan va ushbu kodning bajarilishi u tugaguncha va foydalanuvchi maydoniga qaytguncha yoki aniq bloklanmaguncha davom etadi. Preemptiv yadrolarda, yadro qayta rejalashtirish uchun xavfsiz holatda bo'lgan vaqtda istalgan vaqtda vazifani tushirish mumkin.

Ushbu mavzuda men rivojlanish uchun qo'llanmani tuzishga harakat qilaman normativ hujjatlar tayanib, tijorat tuzilmasi uchun axborot xavfsizligi sohasida shaxsiy tajriba va tarmoqdan olingan materiallar.

Bu yerda siz savollarga javob topishingiz mumkin:

  • axborot xavfsizligi siyosati nima uchun;
  • uni qanday tuzish kerak;
  • uni qanday ishlatish kerak.

Axborot xavfsizligi siyosatiga ehtiyoj
Ushbu bo'limda axborot xavfsizligi siyosati va tegishli hujjatlarni darsliklar va standartlarning chiroyli tilida emas, balki shaxsiy tajribadan misollar yordamida amalga oshirish zarurati tasvirlangan.
Axborot xavfsizligi bo'limining maqsad va vazifalarini tushunish
Eng avvalo, kompaniyaning axborot xavfsizligining maqsad va vazifalarini biznesga etkazish uchun siyosat zarur. Biznes tushunishi kerakki, xavfsizlik xodimi nafaqat ma'lumotlarning sizib chiqishini tekshirish vositasi, balki kompaniyaning risklarini minimallashtirish va shuning uchun kompaniyaning rentabelligini oshirishda yordamchidir.
Siyosat talablari - himoya choralarini amalga oshirish asoslari
Axborot xavfsizligi siyosati kompaniyada himoya choralarini joriy etishni asoslash uchun zarur. Siyosat kompaniyaning eng yuqori ma'muriy organi (bosh direktor, direktorlar kengashi va boshqalar) tomonidan tasdiqlanishi kerak.

Har qanday himoya chorasi xavfni kamaytirish va foydalanuvchi tajribasi o'rtasidagi kelishuvdir. Xavfsizlik xodimi ba'zi xavf-xatarlarning paydo bo'lishi sababli jarayon hech qanday tarzda sodir bo'lmasligi kerakligini aytganda, unga doimo oqilona savol beriladi: "Bu qanday bo'lishi kerak?" Xavfsizlik xodimiga ushbu xavflar ma'lum darajada kamaytiriladigan, biznes uchun qoniqarli bo'lgan jarayon modelini taklif qilish kerak.

Shu bilan birga, foydalanuvchining kompaniyaning axborot tizimi bilan o'zaro ta'siri bo'yicha har qanday himoya choralarini qo'llash har doim foydalanuvchining salbiy reaktsiyasini keltirib chiqaradi. Ular qayta o'rganishni xohlamaydilar, ular uchun ishlab chiqilgan ko'rsatmalarni o'qishadi va hokazo. Ko'pincha foydalanuvchilar mantiqiy savollarni berishadi:

  • nega men sizning ixtiro qilgan sxemangiz bo'yicha ishlashim kerak, lekin unday emas oddiy tarzda men har doim foydalanganman
  • bularning barchasini kim ixtiro qilgan
Amaliyot shuni ko'rsatdiki, foydalanuvchi xavf haqida qayg'urmaydi, siz unga xakerlar, jinoyat kodeksi va boshqalar haqida uzoq vaqt va zerikarli tushuntirishingiz mumkin, asab hujayralarini isrof qilishdan boshqa hech narsa chiqmaydi.
Agar kompaniya axborot xavfsizligi siyosatiga ega bo'lsa, siz qisqa va lo'nda javob berishingiz mumkin:
ushbu chora kompaniyaning yuqori ma'muriy organi tomonidan tasdiqlangan kompaniyaning axborot xavfsizligi siyosati talablarini bajarish uchun kiritilgan.

Qoida tariqasida, ko'pchilik foydalanuvchilarning energiyasi yo'qolganidan keyin. Qolganlari kompaniyaning ushbu eng yuqori ma'muriy organiga eslatma yozishni taklif qilishlari mumkin. Qolganlari bu erda yo'q qilinadi. Chunki nota u yerga tushgan taqdirda ham rahbariyat oldida ko‘rilgan chora-tadbirlar zarurligini doim isbotlab bera olamiz. Nonimizni bekorga yemaymiz-ku? Siyosatni ishlab chiqishda ikkita narsani yodda tutish kerak.
  • Axborot xavfsizligi siyosatining maqsadli auditoriyasi - bu murakkab texnik ifodalarni tushunmaydigan, lekin siyosat qoidalari bilan tanish bo'lishi kerak bo'lgan oxirgi foydalanuvchilar va kompaniyaning yuqori rahbariyati.
  • Bu hujjatga qo'lingizdan kelganini kiritib, qo'lingizdan kelganini kiritishga urinib ko'rishning hojati yo'q! Faqat axborot xavfsizligi maqsadlari, ularga erishish usullari va mas'uliyat bo'lishi kerak! Agar ular aniq bilim talab qilsa, texnik tafsilotlar yo'q. Bularning barchasi ko'rsatmalar va qoidalar uchun materiallardir.


Yakuniy hujjat quyidagi talablarga javob berishi kerak:
  • ixchamlik - hujjatning katta hajmi har qanday foydalanuvchini qo'rqitadi, hech kim sizning hujjatingizni hech qachon o'qimaydi (va siz bir necha marta iborani ishlatasiz: "bu sizga tanish bo'lgan axborot xavfsizligi siyosatining buzilishi").
  • oddiy oddiy odam uchun foydalanish imkoniyati - oxirgi foydalanuvchi siyosatda NIMA yozilganligini tushunishi kerak (u "logging", "buzuvchi modeli", "axborot xavfsizligi hodisasi", "axborot infratuzilmasi", "odam" so'zlari va iboralarini hech qachon o'qimaydi yoki eslamaydi. -yasalgan”, “texnogen”, “Xavf omili” va boshqalar)
Bunga qanday erishish mumkin?

Aslida, hamma narsa juda oddiy: axborot xavfsizligi siyosati birinchi darajali hujjat bo'lishi kerak, u kengaytirilishi va boshqa hujjatlar (qoidalar va yo'riqnomalar) bilan to'ldirilishi kerak, ular allaqachon aniq narsani tasvirlab beradi.
Siz davlat bilan o'xshashlik qilishingiz mumkin: birinchi darajali hujjat konstitutsiyadir va davlatda mavjud bo'lgan ta'limotlar, tushunchalar, qonunlar va boshqa normativ hujjatlar faqat uning qoidalarini to'ldiradi va amalga oshirishni tartibga soladi. Taxminiy diagramma rasmda ko'rsatilgan.

Bo'tqani plastinkaga surtmaslik uchun Internetda topish mumkin bo'lgan axborot xavfsizligi siyosatining misollarini ko'rib chiqaylik.

Foydali sahifalar soni * Shartlar bilan to'ldirilgan Umumiy ball
OAJ "Gazprombank" 11 Juda baland
“Damu” tadbirkorlikni rivojlantirish jamg‘armasi AJ 14 Yuqori O'ylangan o'qish uchun qiyin hujjat, oddiy odam o'qimaydi, agar u o'qisa, tushunmaydi va eslamaydi
"KazMunayGaz" MK 3 Past Texnik atamalar bilan chigallashtirilmagan, tushunarli hujjat
"Akademik A. L. Mints nomidagi radiotexnika instituti" OAJ 42 Juda baland O'ylangan o'qish uchun qiyin hujjat, oddiy odam o'qimaydi - sahifalar juda ko'p

* Foydali Men mundarija, sarlavha va boshqa ma'lumotlarga ega bo'lmagan sahifalar sonini chaqiraman

Xulosa

Axborot xavfsizligi siyosati bir necha sahifalarga sig'ishi, oddiy odam uchun tushunarli bo'lishi, axborot xavfsizligi maqsadlari, ularga erishish usullari va xodimlarning mas'uliyatini umumiy tarzda tavsiflashi kerak.
Axborot xavfsizligi siyosatini amalga oshirish va undan foydalanish
IS siyosati tasdiqlangandan keyin quyidagilar zarur:
  • allaqachon ishlayotgan barcha xodimlarni siyosat bilan tanishtirish;
  • barcha yangi xodimlarni siyosat bilan tanishtirish (buni qanday qilish yaxshiroq - bu alohida suhbat uchun mavzu, bizda yangi kelganlar uchun kirish kursi bor, unda men tushuntirishlar bilan gaplashaman);
  • xavflarni aniqlash va minimallashtirish maqsadida mavjud biznes jarayonlarini tahlil qilish;
  • keyinchalik poyezd ortidan yugurmaslik uchun yangi biznes jarayonlarini yaratishda ishtirok etish;
  • siyosatni to'ldiradigan qoidalar, tartiblar, ko'rsatmalar va boshqa hujjatlarni ishlab chiqish (Internetga kirishni ta'minlash bo'yicha ko'rsatmalar, kirish imkoniyati cheklangan xonalarga kirishni ta'minlash bo'yicha ko'rsatmalar, ular bilan ishlash bo'yicha ko'rsatmalar) axborot tizimlari kompaniyalar va boshqalar);
  • IS siyosati va boshqa IS hujjatlarini har chorakda kamida bir marta yangilash maqsadida qayta ko‘rib chiqish.

Savol va takliflar uchun sharhlar va PM ga xush kelibsiz.

Savol% foydalanuvchi nomi%

Siyosatga kelsak, xo‘jayinlarga men istagan narsa yoqmaydi. oddiy so'zlar bilan... Ular menga: “Bu yerda siz va mendan tashqari yana 10 nafar IT-xodimlarimiz bor, o‘zlari hamma narsani biladi va tushunadi, bu haqda hech narsani tushunmaydigan 2 yuztasi bor, ularning yarmi pensionerlar”.
Men tavsiflarning o'rtacha qisqaligi, masalan, qoidalar yo'lidan yurdim antivirus himoyasi, va pastda virusga qarshi himoya siyosati bor kabi yozaman va hokazo. Lekin men foydalanuvchi siyosatga imzo chekayotganini tushunmayapman, lekin yana bir qator boshqa hujjatlarni o'qib chiqishi kerak, u siyosatni qisqartirganga o'xshaydi, lekin u qilmaganga o'xshaydi.

Bu erda men jarayonlarni tahlil qilish yo'lidan borardim.
Aytaylik, antivirus himoyasi. Mantiqan shunday bo'lishi kerak.

Viruslarning xavfi qanday? Axborotning yaxlitligini (shikastlanishini), mavjudligini (serverlar yoki shaxsiy kompyuterlarning ishlamay qolishi) buzilishi. Da to'g'ri tashkil etish tarmoqda foydalanuvchi tizimda mahalliy administrator huquqlariga ega bo'lmasligi kerak, ya'ni u tizimga dasturiy ta'minotni (va shuning uchun viruslarni) o'rnatish huquqiga ega bo'lmasligi kerak. Shunday qilib, nafaqaxo'rlar bu erda biznes qilmasliklari sababli tushib ketishadi.

Viruslar bilan bog'liq xavflarni kim kamaytirishi mumkin? Domen administrator huquqlariga ega foydalanuvchilar. Domen ma'muri - IT bo'limlari xodimlariga beriladigan nozik rol va boshqalar. Shunga ko'ra, ular antiviruslarni o'rnatishlari kerak. Ma'lum bo'lishicha, ular antivirus tizimining faoliyati uchun ham javobgardir. Shunga ko'ra, ular antivirus himoyasini tashkil etish bo'yicha ko'rsatmalarni ham imzolashlari kerak. Aslida, bu mas'uliyat ko'rsatmalarda belgilanishi kerak. Masalan, bezopasnik drayverlari, adminlar bajaradi.

Savol% foydalanuvchi nomi%

Keyin savol tug'iladi, viruslarni yaratish va ulardan foydalanish uchun qanday javobgarlik Anti-Virus ZI ko'rsatmalariga kiritilmasligi kerak (yoki maqola bor va uni eslatib bo'lmaydi)? Yoki ular virus yoki kompyuterning g'alati xatti-harakatlari haqida Yordam xizmati yoki IT xodimlariga xabar berishga majburmi?

Shunga qaramay, men risklarni boshqarish nuqtai nazaridan qaragan bo'lardim. Bu erda, aytganda, GOST 18044-2007 hidi keladi.
Sizning holatingizda "g'alati xatti-harakatlar" virus bo'lishi shart emas. Bu tizim tormozi yoki gposhek va boshqalar bo'lishi mumkin. Shunga ko'ra, bu hodisa emas, balki axborot xavfsizligi hodisasi. Shunga qaramay, GOSTga ko'ra, har qanday shaxs voqeani e'lon qilishi mumkin, ammo voqeani tushunish mumkin yoki faqat tahlildan keyin emas.

Shunday qilib, sizning bu savolingiz endi axborot xavfsizligi siyosatiga emas, balki hodisalarni boshqarishga aylanadi. Bu erda sizning siyosatingizda shunday yozilishi kerak kompaniyada hodisalarni boshqarish tizimi bo'lishi kerak.

Ya'ni, siz ko'rib turganingizdek, siyosatning ma'muriy bajarilishi asosan ma'murlar va xavfsizlik xodimlariga yuklangan. Foydalanuvchilar o'zlariga moslashtirilgani bilan qoladilar.

Shuning uchun siz ma'lum bir "Kompaniyada CBTdan foydalanish tartibi" ni tuzishingiz kerak, bu erda siz foydalanuvchilarning mas'uliyatini ko'rsatishingiz kerak. Ushbu hujjat axborot xavfsizligi siyosati bilan bog'liq bo'lishi va foydalanuvchi uchun tushuntirish bo'lishi kerak.

Ushbu hujjatda foydalanuvchi kompyuterning g'ayritabiiy faoliyati haqida tegishli organni xabardor qilishi shartligini belgilashingiz mumkin. Xo'sh, qolgan hamma narsa odatiy bo'lib, u erga qo'shishingiz mumkin.

Hammasi bo'lib, foydalanuvchini ikkita hujjat bilan tanishtirish kerak:

  • IS siyosati (u nima qilinayotganini va nima uchun ekanligini tushunishi, qayiqni silkitmasligi, yangi boshqaruv tizimlarini joriy qilishda qasam ichmasligi va h.k.)
  • ushbu "Kompaniyada CBTdan foydalanish tartibi" (muayyan vaziyatlarda aniq nima qilish kerakligini tushunishi uchun)

Shunga ko'ra, tanishtirishda yangi tizim, siz shunchaki "Buyurtma" ga biror narsa qo'shasiz va buyurtmani elektron pochta orqali (yoki agar mavjud bo'lsa, EDMS orqali) yuborish orqali xodimlarni bu haqda xabardor qilasiz.

Teglar: teglar qo'shish

Sizga maqola yoqdimi? Do'stlar bilan baham ko'rish uchun:
Sizni ham qiziqtirishi mumkin