Təhlükəsizlik siyasəti
Təhlükəsizliyin təşkil olunma siyasəti dedikdə informasiyanın müdafiəsinə yönəldilmiş və onunla birlikdə resursların assosiasiya olunmasının idarəetmə qərarlarının sənədləşdirilməsinin toplumu başa düşülür. Təhlükəsizlik siyasəti vasitələrdən ibarətdir və onların köməyilə kompüter informasiya sisteminin təşkil olunması fəaliyyəti həyata keçirilir. Ümumiyyətlə, təhlükəsizlik siyasəti kompüter mühitində istifadə edilir və təşkilatın spesifik tələbatını əks etdirir.
Adətən kompüter informasiya sistemləri (KİS) dedikdə müxtəlif xüsusiyyətli mürəkkəb kompleks başa düşülür və ya aparat və proqram təminatının arabir öz aralarında lazımi səviyyədə işləmələrinin uyuşa bilməməsi qəbul edilir. Bura kompüterlər, əməliyyat sistemləri, şəbəkə vasitələri, verilənlər bazalarını idarəetmə sistemləri, müxtəlif əlavələr aiddir. Bütün bu komponentlər (təşkiledicilər) özünəməxsus müdafiə vasitələrinə malikdir və bunların bir-biri ilə razılaşdırılması mütləqdir. Bu baxımdan da korporativ sistemlərin təhlükəsizliyinin təmin olunması təhlükəsizlik siyasətinin effektiv həyata keçirilməsində mühüm rol oynayır.
Təhlükəsizlik siyasətinin əsas anlayışları
[redaktə | mənbəni redaktə et]Təhlükəsizlik siyasəti rəhbərliyin faydalı saydığı və seçdiyi informasiya təhlükəsizliyi sahəsində idarəetmə strategiyasını, resursların miqdarını və onlara yanaşmanın ölçüsünü müəyyən edir.
Təhlükəsizlik siyasəti müəssisənin informasiya sistemi üçün real sayılan cəsarətin (və ya cürətin) təhlil edilməsinə əsaslanaraq qurulur. Belə olan halda cürət təhlil edilir, müdafiə strategiyası müəyyən olunur, informasiya təhlükəsizliyini təmin edən proqram tərtib edilir - bütün bunlar təhlükəsizlik siyasətidir. Tərtib olunan proqrama uyğun olaraq resurslar ayrılır, bu resurslara məsul şəxslər seçilir, proqramın yerinə yetirilmə ardıcıllığı müəyyən edilir və s.
Müəssisənin təhlükəsizlik siyasəti müxtəsər struktura malik olmaqla yanaşı yüksək səviyyəli siyasəti dəstəkləməlidir. Yüksək səviyyəli siyasət daim nəzərdən keçirilməli və müəssisənin cari tələblərini ödəməklə yanaşı bu tələblərin ödənilməsinə təminat da verməlidir. Siyasət sənədi elə tərtib edilməlidir ki, konkret texnologiyadan asılı olmasın və bu sənədin tez-tez dəyişilməsinə ehtiyac duyulmasın.
Təhlükəsizlik siyasəti ilə tanış olmaq üçün bəzi müəssisənin hipotetiklik (fərziyyəyə əsaslanma) lokal şəbəkəsini nümunə kimi araşdıraq.
Təhlükəsizlik siyasəti adətən sənəd formasında tərtib olunur, bura problemin izahı, tətbiq olunma sahələri, müəssisənin tutduğu mövqe, rəhbərlikdə vəzifələrin bölüşdürülməsi və s. bölmələr daxil edilir.
Problemin izahı
[redaktə | mənbəni redaktə et]Lokal şəbəkə çərçivəsində dövr edən informasiya kritik vacib sayılmalıdır. Lokal şəbəkə istifadəçiyə imkan verir ki, təhlükəsizliyi artıran hədələri proqramlardan və verilənlərdən müştərək istifadə etməklə minimuma endirsin. Odur ki, şəbəkəyə qoşulan hər bir kompüter istifadəçisi daha güclü müdafiəyə ehtiyac duyur. Bütün bunlar sənəd formasında informasiya təhlükəsizliyinin müəssisə daxilində yüksək səviyyədə həyata keçirilməsinə köməkçidir.
İstifadə sahələri
[redaktə | mənbəni redaktə et]Müəssisənin lokal şəbəkəsinə daxil olan bütün aparat, proqram və informasiya resursları cari siyasətin istifadə sahəsi hesab edilir. Siyasət şəbəkədə çalışan işçilərə, istifadəçilərə, subpodratçılara, tədarükçülərə və digərlərinə yönəldilmişdir.
Müəssisənin mövqeyi
[redaktə | mənbəni redaktə et]Əsas məqsəd verilənlərin tamlığının, əlçatanlığının və konfidensiallığının, həmçinin aktuallığının və dolğunluğunun təmin edilməsidir. Məqsədə aşağıdakıları aid edirlər:
- Normativ sənədlərə uyğun olaraq təhlükəsizlik səviyyəsinin təmin edilməsi;
- Müdafiə tədbirlərinin seçilməsində məqsədəuyğun iqtisadiyyata əməl edilməsi (müdafiə xərcləri informasiya təhlükəsizliyinin pozulmasından yaranan zərəri keçməməlidir);
- Lokal şəbəkənin hər bir funksional sahəsində təhlükəsizliyin təmin edilməsi;
- İnformasiya və resurslardan istifadə edən istifadəçinin bütün fəaliyyətinin təhtəlhesabı (hesabat verməli olması) təmin olunmalı;
- Qeyd olunan informasiyanın təhlilinin təmin edilməsi;
- Təhlükəsizlik rejiminin düşünülmüş formada dəstəklənməsi üçün istifadəçiyə kifayət qədər informasiyanın təqdim olunması;
- Qəzadan sonra bərpa planının işlənib hazırlanması və şəbəkənin fasiləsiz iş rejiminin təmin edilməsi məqsədi ilə funksional sahələrdə kritik vəziyyətlərin nəzərə alınması;
- Təhlükəsizliyin uyğun qanunlarına və ümumtəşkilat siyasətinə əməl olunması.
Vəzifələrin və rolların bölünməsi
[redaktə | mənbəni redaktə et]Öndə qeyd edilmiş məqsədin həyata keçirilməsi sözsüz ki, vəzifə sahiblərinin və şəbəkə istifadəçilərinin öhdəsinə düşür.
Bölmə rəhbərləri təhlükəsizlik siyasətinin vəziyyəti barədə məlumatları istifadəçiyə çatdırmaqla yanaşı onların bir-biri ilə əlaqə yaratmalarına da cavabdehlik daşıyırlar. Lokal şəbəkə administratorları şəbəkənin fasiləsiz işləməsini təmin etməklə bərabər təhlükəsizlik siyasətinin həyata keçirilməsi üçün lazım olan texniki tədbirlərin realizə edilməsinə cavabdehdirlər. Administratorların borcudur:
- Lokal şəbəkə avadanlıqlarının müdafiəsini təmin etsinlər və digər şəbəkələr ilə interfeys yaratsınlar;
- Operativ və effektiv şəkildə baş verənlərə, yavaş-yavaş azalan hədələrə reaksiya versinlər və servis administratorlarını müdafiənin pozulması barədə məlumatlandırsınlar;
- Şübhəli halları müəyyən etsinlər və gündəlik informasiyanı qeyd etməklə yanaşı fayl serverində baş verənləri təhlil etsinlər;
- Öz vəzifələrindən sui-istifadə etməsinlər;
- Zərərli proqram təminatından lokal şəbəkəni qorusunlar və zərərli kodu müəyyənləşdirməklə onu ləğv etsinlər;
- Fayl serverində saxlamaq şərti ilə informasiyanın surətini həmişə əldə etsinlər;
- Şəbəkədə aparat-proqram dəyişikliklərini həmişə izləsinlər;
- Şəbəkə resurslarına əlçatanlıq üçün identifikasiya və autentifikasiya prosedurlarının yerinə yetirilməsinə təminat versinlər və istifadəçini qeydiyyat formasını doldurmaq üçün parol ilə təmin etsinlər;
- Lokal şəbəkənin etibarlı işləməsini həmişə yoxlasınlar və digər istifadəçilərin məlumatları əldə etmələrinə imkan verməsinlər.
Servis administratorları konkret serverlərə cavabdehdirlər. Onlar təhlükəsizlik siyasətini rəhbər tutmaqla müdafiənin təşkil edilməsinə məsuliyyət daşıyırlar. Onlar borcludur:
- Xidmət edilən obyektlərə istifadəçilərin daxil olmasını idarə etməyə;
- Operativ və effektiv şəkildə baş verənlərə, yavaş-yavaş azalan hədələrə reaksiya verməyə, hədələrin qarşısının alınmasına kömək etməyə, qayda pozucularını müəyyən etməklə onları cəzalandırmağa;
- Serverlərdə təhlil olunan informasiyanın surətini həmişə əldə etməyə;
- Qeydiyyatdan keçdikdən sonra istifadəşiyə parol verməklə yanaşı serverə daxil olma adını verməyə;
- Serverə aid olan informasiyanı gündəlik yoxlamağa və servisə ziyanverici proqram təminatının daxil olmasına
maneçilik göstərməyə;
- Servisin etibarlı müdafiə edilməsini mütəmadi yoxlamağa və qeyri-qanuni istifadəçilərə servisdən istifadəyə üstünlük verməməli.
İstifadəçilər təhlükəsizlik siyasətinə uyğun olaraq lokal şəbəkə ilə işləyir, təhlükəsizlik aspektinin ayrı-ayrı hissələrinə cavabdeh olan, əmrlər verən şəxslərin verdiyi əmrlərə tabe olur, rəhbərliyi şübhəli vəziyyətlər haqqında daim məlumatlandırırlar. İstifadəçilər aşağıdakıları yerinə yetirməlidirlər:
- Qanunları bilməli və onları yerinə yetirməli, cari təşkilatda qəbul edilmiş təhlükəsizlik siyasətini qəbul etməli, konfidensiallığı təmin etmək üçün müdafiə mexanizmindən tutarlı səviyyədə istifadə etməli və istifadə etdikləri informasiyanın tamlığına məsuliyyət daşımalıdırlar;
- Faylların müdafiə mexanizmindən istifadə etməli və fayllardan lazımi şəkildə istifadə etməlidirlər;
- Keyfiyyətli paroldan bəhrələnməli, parolu tez-tez dəyişməli, parolu kağıza yazmamalı, digər şəxslərə parolu deməməlidirlər;
- Təhlükəsizliyin pozulması halları baş verdikdə, həmçinin digər şübhəli vəziyyət hiss etdikdə rəhbərliyi məlumatlandırmalıdırlar;
- Əgər lokal şəbəkə və ya servisdə zəiflik hiss olunarsa, ondan istifadə etməməli, özünə məxsus olmayan fayllardan istifadə etməməli və nəhayət, işlədiyi zaman ərzində başqalarının işləməsinə maneçilik etməməlidirlər;
- Başqasının adından istifadə etməklə iş görməməli, informasiyanın autentifikasiya və korrekt identifikasiya olması barədə məlumat verməlidirlər;
- Lazımlı informasiyanın ehtiyat üçün surətini almalı, həmişə informasiyanı sərt diskdə saxlamalıdırlar;
- Ziyanverici proqram təminatının iş prinsipini bilməli, onun sistemə daxil olma yollarını araşdırmalı, yayılmasına imkan verməməli, ziyanverici kod sistemə daxil olduqda təcili xəbardarlıq etməli, ziyanverici kodu tapmağa və ləğv etməyə çalışmalıdırlar;
- Fövqaladə hallarda özlərini necə aparmağı bacarmalı, baş vermiş qəzanı aradan götürməyi bacarmalıdırlar.
===Sanksiya(bir müqavilə və ya qanunun yerinə yetirilməsini təmin edən şərt)=== Təhlükəsizlik siyasətinin pozulması lokal şəbəkəyə və onda dövr edən informasiyaya bağışlanmaz təsir edir. Odur ki, təhlükəsizliyin işçi personal tərəfindən pozulması operativ şəkildə rəhbərlik tərəfindən baxılmalıdır, lazım olan tədbirlər görülməli, əgər tələb olunarsa, işçi tutuğu vəzifədən azad edilməlidir.
Əlavə informasiya
[redaktə | mənbəni redaktə et]Müəyyən qrup istifadəçi üçün əlavə sənədlərlə tanış olmağa ehtiyac yaranır. Bu sənədlərə təhlükəsizlik prosedurlarına və siyasətinə aid sənədlər, həmçinin rəhbərlik tərəfindən verilmiş xüsusi əmrlər və göstərişlər aiddir. Belə sənədlərin yaradılmasına əsasən böyük müəssisələrdə ehtiyac duyulur. Kiçik ölçülü müəssisələrdə müəyyən təhlükəsizlik siyasətini dəstəkləyən sənədlərin hazırlanmasına tələb yaranır. Bu baxımdan belə sənədlər qısa şəkildə tərtib edilir və həcmi bir-iki səhifədən artıq olmur.
İnformasiya təhlükəsizliyinin təmin edilməsində idarə etmə tədbirləri
[redaktə | mənbəni redaktə et]İdarəetmə səviyyəsində həyata keçirilən tədbirlərin əsas məqsədi informasiya təhlükəsizliyi sahəsində görülən işlərin proqramının formalaşması və onların yerinə yetirilməsi üçün lazım olan resursların ayrılması, həmçinin görülən işlərin vəziyyətinə nəzarətin həyata keçirilməsidir. Proqramın əsasını çoxsəviyyəli təhlükəsizlik siyasətı təşkil edir. Təhlükəsizlik siyasəti informasiya aktivlərinin və resursların müdafiə edilməsinin təşkilinə kompleks yanaşmanı əks etdirir.
Təcrübə nöqteyi-nəzərindən təhlükəsizlik siyasətini üç səviyyəyə bölmək olar:
Yuxarı səviyyə
[redaktə | mənbəni redaktə et]Təhlükəsizlik siyasətinin bu səviyyəsi müəssisəyə aid olan məsələlərin tam şəkildə həll edilməsinə toxunur. Məsələnin bu şəkildə həll edilməsi ümumi xarakter daşıyır və bu qərarlar qayda-qanuna görə müəssisənin rəhbərliyindən asılıdır. Qərarlar özlərinə aşağıdakı elementləri aid edirlər:
- Müəssisənin informasiya təhlükəsizliyi sahəsində müəyyən məqsədə çatması üçün görəcəyi işlərin formalaşdırılması, bu məqsəd naminə ümumi istiqamətin müəyyənləşdirilməsi;
- İnformasiya təhlükəsizliyinin təmin edilməsi proqramına kompleks yanaşma və ya proqramın formalaşdırılması, proqramın yerinə yetirilməsində (inkişaf baxımından) məsul şəxslərin müəyyən edilməsi;
- Qanunların və qaydaların yerinə yetirilməsi üçün material bazasının yaradılması;
- İdarəedicilik qərarlarının həlli baxımından proqram təminatının yerinə yetirilmə məsələsinin dürüst ifadə edilməsi.
Yuxarı səviyyənin təhlükəsizlik siyasəti informasiya təhlükəsizıliyi siyasətinin tamlığını, əlçatanlığını və konfidensiallığını dürüst ifadə edir. Əgər müəssisə kritik (tənqidi yanaşılmış) vacib verilənlərin dəstəklənməsinə cavabdehlik daşıyırsa, birinci planda həmin verilənlərin tamlığı dayanır. Satış ilə məşğul olan təşkilat üçün göstərilən xidmətin qiyməti və xidmət barədə informasiyanın aktuallığı vacibdir. Bununla yanaşı satış təşkilatını maraqlandıran məsələlərdən biri potensial alıcıların maksimal sayıdır. Qayda-qanun ilə işləyən təşkilat birinci növbədə informasiyanın konfidensiallığı barədə düşünməlidir, daha döğrusu qeyriqanuni əlçatanlığın müdafiə edilməsinə çalışmalıdır.
Yuxarı səviyyənin təhlükəsizlik siyasəti öz təsir dairəsini dəqiq müəyyənləşdirməlidir. Yuxarı səviyyəyə ancaq müəssisənin bütün kompüter sistemi deyil, həm də əməkdaşların evdə istifadə etdikləri kompüterlərin də qoşulması mümkündür. Bunun üçün yuxarı səviyyə siyasəti onların istifadə edilməsinin bəzi aspektlərini nizama salmalıdır. Bəzən elə bir vəziyyət yaranır ki, yuxarı səviyyənin təhlükəsizlik siyasəti dairəsinə ancaq daha mühüm sistemlər qoşulurlar.
Yuxarı səviyyənin təhlükəsizlik siyasətində təhlükəsizlik proqramlarını işləyib hazırlayan məsul şəxslərin vəzifələri müəyyən edilməlidir, çünki bu şəxslər həmin proqramı həyata keçirirlər.
Yuxarı səviyyənin təhlükəsizlik siyasəti qanunaitaətli və intizama riayət edən üç aspekt ilə əlaqəlidir. Birincisi, müəssisə mövcud qanuna əməl etməlidir. İkincisi, təhlükəsizlik proqramını işləyib hazırlayan məsul şəxsin fəaliyyəti nəzarətdə saxlanılmalıdır. Üçüncüsü, müəssisədə təltif etmə (və ya cəzalandırma) üsulundan istifadə etməklə personalın lazımi səviyyədə tapşırığı yerinə yetirmə intizamına riayət etməsi təmin edilməlidir.
Orta səviyyə
[redaktə | mənbəni redaktə et]Bu səviyyədə müəssisə tərəfindən istismar olunan müxtəlif sistemlər üçün əsas sayılan təhlükəsizlik siyasəti informasiya təhlükəsizliyi ilə bağlı ayrı-ayrı aspektləri müəyyən edir. Orta səviyyənin təhlükəsizlik siyasəti informasiya təhlükəsizliyinin hər bir aspekt üçün aşağıdakı momentləri müəyyən etməməlidir
- Aspektin izahı – müəssisənin mövqeyi bəzən kifayət qədər ümumi şəkildə formalaşır, çünki müəssisə cari aspektdə bu məqsədlərin yerinə yetirilməsində maraqlıdır;
- Tətbiq sahələri – təhlükəsizlik siyasətinin harada, nə vaxt, necə, kimə və nəyə münasibətdə tətbiq ediməsinin təsnifləşdirilməsini yerinə yetirmək;
- Vəzifələr və rollar – tərib olunmuş sənəd təhlükəsizlik siyasətinin həyata keçirilməsinə cavabdeh olan məsul şəxs haqqında informasiya daşımalıdır;
- Qadağa – təhlükəsizlik siyasəti qadağan olunmuş fəaliyyət haqqında ümumi formada izahata malik olmaqla yanaşı onu pozan haqqında cəzalari da
göstərməlidir;
- Əlaqə nöqtəsi – müəyyən hadisələr baş verdikdə hara müraciət olunması aydınlaşdırılmalı, göstərilən yardım və əlavə informasiya izah edilməlidir. Adətən “əlaqə nöqtəsi” kimi məsul şəxs cavabdehdir.
Aşağı səviyyə
[redaktə | mənbəni redaktə et]Bu səviyyə təhlükəsizlik siyasəti konkret servisə əsaslanır. Səviyyə özündə iki aspekti birləşdirir – məqsəd və ona çatmaq üçün qanunları. Odur ki, onları realizasiya ilə bağlı suallardan ayırmaq çətindir. Öndə araşdırılan səviyyələrdən fəqli olaraq aşağı səviyyəli siyasət təfsilatı ilə baxılmalıdır, yəni səviyyə aşağıdakı suallara cavab verməldir:
- Servis tərəfindən dəstəklənən obyektlərə daxil olmağa kimin hüquqi vardır;
- Hansı şəraitdə verilənləri modifikasiya etmək (şəkilini dəyişmək) və oxumaq olar;
- Uzaqdan servisə daxil olma necə təşkil olunmuşdur.
- Aşağı səviyyənin təhlükəsizlik siyasəti tamlıq, əlçatanlıq və konfidensiallıq baxımından irəli gəlir və bu siyasət onların yerinə yetirilməsinə maneçilik etməməlidir. Ümumi halda servis bunlar arasında əlaqə yaratmalı və onlarsız fəaliyyət göstərməməlidir.
Məqsəddən aydın olur ki, təhlükəsizlik qanunlarına kim və hansı şəaitdə əməl etməlidir. Qanunlar nə qədər diqqətlə hissə-hissə araşdırılarsa, bir o qədər də onların proqram-texniki baxımından yerinə yetirilməsini dəstəkləmək mümkündür. Adətən formal da olsa, obyektlərə əlçatanlıq qanunları təqdim olunur.
Müəssisənin təhlükəsizlik siyasətinin strukturu
[redaktə | mənbəni redaktə et]Əksər təşkilatlar üçün təhlükəsizlik siyasəti sözün əsl mənasında vacibdir. Siyasət müəssisənin təhlükəsizliyə münasibətini müəyyən edir və özünəməxsus aktivlərin və resursların qorunmasının təşkilinə imkan yaradır. Təhlükəsizlik siyasəti ilə bağlı təhlükəsizlik vasitələrin və prosedurların müəyyən edilməsi, onların yerinə yetirdikləri rollar və müəssisədə işləyən əməkdaşların məsuliyyəti (təhlükəsizliyə əməl etmə baxımından) müəyyən edilir.
Adətən müəssisədə təhlükəsizlik siyasəti aşağıdakıları yerinə yetirməlidir:
- Baza təhlükəsizlik siyasətini;
- Xüsusiləşdirlmiş təhlükəsizlik siyasətini;
- Təhlükəsizlik prosedurlarını.
Müəssisənin təhlükəsizlik siyasətinin müddəaları aşağıdakı sənədlərdə əks olunur:
- Təhlükəsizlik siyasətinin xülasəsi – təhlükəsizlik siyasətinin məqsədini və strukturunu açıqlayır, kimin nəyə cavab verməsini müəyyənləşdirir, edilmiş dəyişikləri vaxt çərçivəsində müəyyən edir. Müəssisənin miqyasından asılı olaraq təhlükəsizlik siyasəti az və ya çox bölmələrdən ibarət ola bilər;
- Təhlükəsizlik baza siyasətinin izahı – qadağa qoyulmuş və icazə verilmiş fəaliyyətin müəyyən edilməsi, həmçinin təhlükəsizlik arxitekturasının həyata keçirilmə çərçivəsində idarəetmə vasitələrinin varlığı;
- Təhlükəsizliyin arxitekturası baxımından rəhbərlik – şəbəkənin təşkil edilməsində istifadə olunan təhlükəsizlik mexanizmi arxitekturasının tərkib hissəsinin həyata
keçirilməsinin izahı.
Qeyd etmək lazımdır ki, təhlükəsizlik siyasətinin əsas komponenti baza təhlükəsizlik siyasəti hesab edilir.
Təhlükəsizliyin baza siyasəti
[redaktə | mənbəni redaktə et]Təhlükəsizliyin baza siyasəti müəssisənin informasiyanı necə təhlil etməsini, informasiyaya kimin əlçatan olmasını, buna necə nail olmağı müəyyənləşdirir.
Get-gedə azalan təhlikəsizliyin baza siyasəti təhlükəsizlik sisteminin yaradılması üçün yararlı olan işlərin bütünlükdə deyil, daim və ardıcıl yerinə yetirilməsinə imkan verir. Baza siyasəti təhlükəsizlik siyasəti ilə istənilən vaxt bütünlükdə tanış olmağa və müəssisədə təhlükəsizliyin cari vəziyyətini araşdırmağa şərait yaradır.
Təhlükəsizlik siyasətinin tərkibi və strukturu şirkətin məqsədindən və həcmindən asılıdır. Adətən müəssisənin baza siyasətini müəssisəyə xüsusi hazırlığı olan siyasətçilər dəstəsini dəvət etməklə və təhlükəsizlik tədbirlərini həyata keçirməklə yerinə yetirirlər.
Xüsusiləşdirilmiş təhlükəsizlik siyasəti
[redaktə | mənbəni redaktə et]Hal-hazırda onlarla xüsusiləşdirilmiş siyasət mövcuddur və onlardan istər kiçik ölçülü, istərsə də böyük ölçülü müəssisələr istifadə edə bilərlər. Bəzi siyasətlər hər bir müəssisə tərəfindən istifadə edilə bilər, bəziləri isə müəyyən xüsusiyyətə malik müəssisələr üçün nəzərdə tutulmuşdur.
Xüsusiləşdirlmiş təhlükəsizlik siyasətinin xüsusiyyətlərini nəzərə almaqla təhlükəsizliyi iki qrupu bölmək olar:
- Müəyyən sayda istifadəçinin marağına toxunan siyasət;
- Konkret texnika sahəsi ilə bağlı olan siyasət.
Müəyyən sayda istifadəçinin maraqlarına toxunan xüsusiləşdirilmiş siyasətə aşağıdakılar aiddir:
- Əlçatanlıq siyasətindən istifadə edilməsi;
- Uzaqda yerləşmiş şəbəkə ehtiyatlarına əlçatanlıq siyasəti;
- İnformasiyanın müdafiə siyasəti;
- Parolun müdafiə siyasəti və s.
Konkret texniki sahə ilə bağlı olan xüsusiləşdırılmış siyasətə daxildir:
- Şəbəkələrarası ekranların quruluşunun siyasəti;
- Kriptoaçarların şifrələnməsi və idarəedilməsi siyasəti;
- Virtual müdafiə olunan VPN şəbəkə təhlükəsizliyi siyasəti;
- Naqilsiz şəbəkə ilə təchiz edilmişlərin siyasəti və başqaları.
Xüsusiləşdirilmiş siyasətlərdən bəzilərini aydınlaşdıraq. Əlçatanlıq ilə istifadə olunan siyasət. Siyasətin məqsədi kompüter avadanlıqlarından və şirkətlərin servislərindən təhlükəsiz istifadə edilməsi üçün standart normaların müəyyən edilməsi, həmçinin əməkdaşların onlara məxsus informasiyanı qoruması və korporativ resursların təhlükəsizliyini təmin etməsidir. Kompüter avadanlıqlarından və servislərdən düzgün istifadə etmədikdə şirkət müəyyən risklər (virusların hücumu, şəbəkə sisteminin və servisin etibardan düşməsi və s.) ilə qarşılaşır.
Şirkətin əməkdaşları, məsləhətçilər, müvəqqəti işə qəbul edilmiş qulluqçular və şirkətin digər işçiləri, həmçinin başqa müəssisələrin əməkdaşları əlçatanlıq siyasətindən istifadə edirlər. Əlçatanlıq siyasəti sonuncu istifadəçi üçün nəzərdə tutulmuşdur və ona hansı hərəkəti edib-etməməsinə göstəriş verir.
İstifadənin əlçatanlıq siyasəti aşağıdakıları müəyyən edir:
- İstifadəçinin istənilən informasiyanı onun kompüterində saxlandıqdan sonra müdafiə etməsi üçün məsuliyyət daşıması;
- İstifadəçiyə adi olmayan faylların, amma onlardan istifadə etməsinə icazəsi olduğu üçün oxumasına, surətinin almasına səlahiyyətinin olması;
- Veb-əlçatanlıq və elektron poçtdan istifadəyə icazə imkanının verilməsi.
Təhsil və dövlət müəssisələri üçün əlçatanlıq siyasəti sadəcə olaraq məcburidir.
Əlçatanlıq siyasəti üçün xüsusi format yoxdur. Əlçatanlıq siyasəti yüksək ixtisaslı peşəkarlar tərəfindən servisə uyğun işlənib hazırlanmışdır.
Uzaqlaşdırılmış əlçatanlıq siyasəti. Siyasətin məqsədi şirkətin şəbəkəsi ilə istənilən host arasında təhlükəsiz əlaqənin standart normalara uyğun yaradılmasıdır. Standart normalar şirkətin gördüyü işlər zamanı ona vurulacaq ziyanı minimuma endirmək üçündür. Ziyana şirkətin intellektual mülkiyyəti, şirkətin imicinin təhrif olunması, şirkətin daxilində baş verə biləcək çəkişmələr və s. aiddir.
Siyasət bütün əməkdaşlara, mal göndərənə (tədarükçüyə), şirkətin agentlərinə, şirkətdə istifadə olunan kompüterlərə və ya işçi stansiyalara aiddir.
Uzaqlaşdırılmış əlçatanlıq siyasəti aşağıdakıları yerinə yetirməlidir:
- Daxili şəbəkə ilə uzaqlaşdırılmış şəbəkənin birləşmə üsulunu müəyyən etməklə yanaşı qeyd etmək;
- Əhəmiyyətli olan iri şirkətdə şəbəkənin necə paylanmasını təyin etmək;
- Daxili resurslara əlçatanlıq üsulunun imkan daxilində paylanmasını təmin etmək.
Uzaqlaşdırılmış əlçatanlıq siyasəti müəyyən etməlidir:
- Uzaqlaşdırılmış obyekt üçün hansı üsul icazə verilir;
- Uzaqlaşdırımış obyektin qəbul edəcəyi verilənlərin məhdudlaşdırılması;
- Kim uzaqlaşdırılmış obyektə malik ola bilər.
Müdafiə olunan obyekt ciddi şəkildə nəzarətdə saxlanılmalıdır. Nəzərə almaq lazımdır ki, yoxlamadan keçmiş insanlar informasiyaya malik ola bilərlər. Şirkətin əməkdaşları özlərinə məxsus logini və parolu heç kimə verə bilməzlər (hətta ailə üzvlərinə də). Uzaqlaşdırılmış obyektin idarə edilməsi sadə olmalı və istifadə zamanı səhv yaranmamalıdır.
Əlçatanlığa nəzarəti birdəfəlik parol ilə yerinə yetirmək məsləhətdir. Bununla yanaşı istifadə edilən bütün avadanlıqlara müasir antivirus proqramı yüklənməlidir. Bu tələbat şirkətin fərdi kompüterlərinə də aiddir. Şirkətin istənilən əməkdaşı hazırkı siyasəti pozduqda rəhbərlik tərəfindən cəzalandırılmalıdır (işdən azad edilə də bilər).
Təhlükəsizlik prosedurları
[redaktə | mənbəni redaktə et]Təhlükəsizlik proseduru təhlükəsizlik siyasətinə lazımlı və əsas əlavə kimi hesab edilir. Təhlükəsizlik siyasəti nəyin müdafiə edilməsini və müdafiə qanunlarından hansıların əsas olmasını müəyyən edir. Təhlükəsizlik prosedurları resursları (siyasəti yerinə yetirən mexanizmi, daha doğrusu təhlükəsizlik siyasətini necə həyata keçirməyi) necə müdafiə etməyi müəyyən edir.
Əslində təhlükəsizlik prosedurları operativ məsələləri addım ba addım necə həll etmək üçün təlimatdır. Prosedurun bir həssəsi siyasəti real fəaliyyətə çevirmək üçün alətdir. Məs��lən, parolların formalaşdırılması siyasəti parolların qurulması qanunlarıdır, bura parolu necə müdafi etmək, onu tez-tez necə dəyişmək və s. aiddir. Parolların idarə edilməsi proseduru yeni parolun yaranmasını izah edir, bununla yanaşı kritik vəziyyətdə parolu dəyişən zaman ona təminat da verir.
Təhlükəsizlik ilə bağlı olan bir çox prosedurlar istənilən bölmədə standart vəsaitlər olmalıdır. Məsələn, ehtiyat üçün surəti alınmış material və sistemdən kanar onun müdafiə olunmaqla yaddaşda saxlanılması, loginin və istifadəçi parolunun arxivləşdirilməsi, istifadəçi işdən azad olduqda ona məxsus parolun ləğv edilməsi və s. halları nümunə kimi göstərmək olar.
Aşağıda hər bir təşkilat üçün əsas sayılan təhlükəsizlik prosedurları verilmişdir.
Baş vermiş hadisələrə reaksiya verən prosedurlar bir çox müəssisələr üçün əsas təhlükəsizlik vasitələri sayılır. Müəssisə onun şəbəkəsinə kənardan müdaxilə edildikdə və ya bədbəxt hadisə baş verdikdə ciddi ziyana düşmüş olur.
Belə prosedurları bəzən hadisələrin təhlili proseduru və ya baş vermiş hadisəyə reaksiya verən prosedur adlandırırlar. Təcrübə göstərir ki, baş vermiş qayda-qanun pozuntularına cavab vermək mümkün deyil, amma bəzi pozuntular vardır ki, onlar baş verməmiş qarşısını almaq vacibdir. Məsələn, şəbəkə portlarının skanerə edilməsi, “xidmətdən imtina” hücumunun vaxtında yoluna qoyulması, hostun nüfuzdan salınması, qeyri-qanuni əlçatanlıqla mübarizə və s. nümunə göstərilə bilər.
Prosedur aşağıdakıları müəyyən edir:
- Reaksiya vermə komandası üzvlərinin vəzifələri;
- Hansı informasiyanı qeyd etmək və izləmək;
- Normadan kənarlaşan tədqiqatların təhlili və qəflətən edilən hücumların araşdırılması;
- Kimi və nə vaxt xəbərdar etmək;
- Kim informasiyanı kənara yaya bilər və bunun üçün nə etməlidir;
- Yerinə yetiriləcək təhlillərə kim rəhbərlik etməlidir və burada kimlərin iştirakı vacibdir.
Reaksiya vermə komandasına şirkətin vəzifəli şəxsləri, marketinq meneceri (mətbuat ilə əlaqə qurmaq üçün), sistem və şəbəkə inzibatçıları və qanun keşiyində dayanan orqanların nümayəndələri daxil olmalıdır. Prosedur bunların hansı ardıcıllıqla çağırılmasını müəyyən etməlidir.
Xarici görünüşü idarəetmə prosedurları adətən ya korporativ səviyyədə, ya da ki, bölmələr səviyyəsində müəyyən edilir. Prosedura müəssisədə sənədləşmə prosesində və bütün səviyyələrdə qəbul edilmiş konfiqurasiyanın (xarici görünüşün) dəyişməsinə ehtiyac duyulduqda həyata keçirilir. Prinsipcə yaradılmış mərkəzi qrup xarici görünüşün dəyişməsi ilə bağlı sualları nəzərdən keçirməli və lazım olan qərarı qəbul etməldir.
Xarici görünüşü idarəetmə proseduru aşağıdakıları müəyyən edir:
- Proqram və aparat təminatının konfiqurasiyasının dəyişməsinə kim cavabdehdir;
- Yeni proqram və aparat təminatını kim testdən keçirməli və instalizasiya etməlidir;
- Proqram və aparat təminatının sənədləşdirilməsində dəyişiklik necə yerinə yetirilməlidir;
- Proqram və aparat təminatının dəyişdirilməsi barədə kim məlumatlı olmalıdır.
Xarici görünüşü idarəetmə proseduru vacibdir, çünki edilmiş dəyişikliklər auditin imkanlarını müəyyən edir; istifadə edilən sistemin sənədləşdirilməsinə imkan verir; edilmiş dəyişikliyin elə şəkildə yerinə yetirilməsinə şərait yaradır ki, dəyişiklik digərlərinə maneçilik törətməsin