Təhlükəsizliyin təşkil olunma siyasəti dedikdə informasiyanın müdafiəsinə yönəldilmiş və onunla birlikdə resursların assosiasiya olunmasının idarəetmə qərarlarının sənədləşdirilməsinin toplumu başa düşülür. Təhlükəsizlik siyasəti vasitələrdən ibarətdir və onların köməyilə kompüter informasiya sisteminin təşkil olunması fəaliyyəti həyata keçirilir. Ümumiyyətlə, təhlükəsizlik siyasəti kompüter mühitində istifadə edilir və təşkilatın spesifik tələbatını əks etdirir.
Adətən kompüter informasiya sistemləri (KİS) dedikdə müxtəlif xüsusiyyətli mürəkkəb kompleks başa düşülür və ya aparat və proqram təminatının arabir öz aralarında lazımi səviyyədə işləmələrinin uyuşa bilməməsi qəbul edilir. Bura kompüterlər, əməliyyat sistemləri, şəbəkə vasitələri, verilənlər bazalarını idarəetmə sistemləri, müxtəlif əlavələr aiddir. Bütün bu komponentlər (təşkiledicilər) özünəməxsus müdafiə vasitələrinə malikdir və bunların bir-biri ilə razılaşdırılması mütləqdir. Bu baxımdan da korporativ sistemlərin təhlükəsizliyinin təmin olunması təhlükəsizlik siyasətinin effektiv həyata keçirilməsində mühüm rol oynayır.
Təhlükəsizlik siyasətinin əsas anlayışları
Təhlükəsizlik siyasəti rəhbərliyin faydalı saydığı və seçdiyi informasiya təhlükəsizliyi sahəsində idarəetmə strategiyasını, resursların miqdarını və onlara yanaşmanın ölçüsünü müəyyən edir.
Təhlükəsizlik siyasəti müəssisənin informasiya sistemi üçün real sayılan cəsarətin (və ya cürətin) təhlil edilməsinə əsaslanaraq qurulur. Belə olan halda cürət təhlil edilir, müdafiə strategiyası müəyyən olunur, informasiya təhlükəsizliyini təmin edən proqram tərtib edilir - bütün bunlar təhlükəsizlik siyasətidir. Tərtib olunan proqrama uyğun olaraq resurslar ayrılır, bu resurslara məsul şəxslər seçilir, proqramın yerinə yetirilmə ardıcıllığı müəyyən edilir və s.
Müəssisənin təhlükəsizlik siyasəti müxtəsər struktura malik olmaqla yanaşı yüksək səviyyəli siyasəti dəstəkləməlidir. Yüksək səviyyəli siyasət daim nəzərdən keçirilməli və müəssisənin cari tələblərini ödəməklə yanaşı bu tələblərin ödənilməsinə təminat da verməlidir. Siyasət sənədi elə tərtib edilməlidir ki, konkret texnologiyadan asılı olmasın və bu sənədin tez-tez dəyişilməsinə ehtiyac duyulmasın.
Təhlükəsizlik siyasəti ilə tanış olmaq üçün bəzi müəssisənin hipotetiklik (fərziyyəyə əsaslanma) lokal şəbəkəsini nümunə kimi araşdıraq.
Təhlükəsizlik siyasəti adətən sənəd formasında tərtib olunur, bura problemin izahı, tətbiq olunma sahələri, müəssisənin tutduğu mövqe, rəhbərlikdə vəzifələrin bölüşdürülməsi və s. bölmələr daxil edilir.
Problemin izahı
Lokal şəbəkə çərçivəsində dövr edən informasiya kritik vacib sayılmalıdır. Lokal şəbəkə istifadəçiyə imkan verir ki, təhlükəsizliyi artıran hədələri proqramlardan və verilənlərdən müştərək istifadə etməklə minimuma endirsin. Odur ki, şəbəkəyə qoşulan hər bir kompüter istifadəçisi daha güclü müdafiəyə ehtiyac duyur. Bütün bunlar sənəd formasında informasiya təhlükəsizliyinin müəssisə daxilində yüksək səviyyədə həyata keçirilməsinə köməkçidir.
İstifadə sahələri
Müəssisənin lokal şəbəkəsinə daxil olan bütün aparat, proqram və informasiya resursları cari siyasətin istifadə sahəsi hesab edilir. Siyasət şəbəkədə çalışan işçilərə, istifadəçilərə, subpodratçılara, tədarükçülərə və digərlərinə yönəldilmişdir.
Müəssisənin mövqeyi
Əsas məqsəd verilənlərin tamlığının, əlçatanlığının və konfidensiallığının, həmçinin aktuallığının və dolğunluğunun təmin edilməsidir. Məqsədə aşağıdakıları aid edirlər:
- Normativ sənədlərə uyğun olaraq təhlükəsizlik səviyyəsinin təmin edilməsi;
- Müdafiə tədbirlərinin seçilməsində məqsədəuyğun iqtisadiyyata əməl edilməsi (müdafiə xərcləri informasiya təhlükəsizliyinin pozulmasından yaranan zərəri keçməməlidir);
- Lokal şəbəkənin hər bir funksional sahəsində təhlükəsizliyin təmin edilməsi;
- İnformasiya və resurslardan istifadə edən istifadəçinin bütün fəaliyyətinin təhtəlhesabı (hesabat verməli olması) təmin olunmalı;
- Qeyd olunan informasiyanın təhlilinin təmin edilməsi;
- Təhlükəsizlik rejiminin düşünülmüş formada dəstəklənməsi üçün istifadəçiyə kifayət qədər informasiyanın təqdim olunması;
- Qəzadan sonra bərpa planının işlənib hazırlanması və şəbəkənin fasiləsiz iş rejiminin təmin edilməsi məqsədi ilə funksional sahələrdə kritik vəziyyətlərin nəzərə alınması;
- Təhlükəsizliyin uyğun qanunlarına və ümumtəşkilat siyasətinə əməl olunması.
Vəzifələrin və rolların bölünməsi
Öndə qeyd edilmiş məqsədin həyata keçirilməsi sözsüz ki, vəzifə sahiblərinin və şəbəkə istifadəçilərinin öhdəsinə düşür.
Bölmə rəhbərləri təhlükəsizlik siyasətinin vəziyyəti barədə məlumatları istifadəçiyə çatdırmaqla yanaşı onların bir-biri ilə əlaqə yaratmalarına da cavabdehlik daşıyırlar. Lokal şəbəkə administratorları şəbəkənin fasiləsiz işləməsini təmin etməklə bərabər təhlükəsizlik siyasətinin həyata keçirilməsi üçün lazım olan texniki tədbirlərin realizə edilməsinə cavabdehdirlər. Administratorların borcudur:
- Lokal şəbəkə avadanlıqlarının müdafiəsini təmin etsinlər və digər şəbəkələr ilə interfeys yaratsınlar;
- Operativ və effektiv şəkildə baş verənlərə, yavaş-yavaş azalan hədələrə reaksiya versinlər və servis administratorlarını müdafiənin pozulması barədə məlumatlandırsınlar;
- Şübhəli halları müəyyən etsinlər və gündəlik informasiyanı qeyd etməklə yanaşı fayl serverində baş verənləri təhlil etsinlər;
- Öz vəzifələrindən sui-istifadə etməsinlər;
- Zərərli proqram təminatından lokal şəbəkəni qorusunlar və zərərli kodu müəyyənləşdirməklə onu ləğv etsinlər;
- Fayl serverində saxlamaq şərti ilə informasiyanın surətini həmişə əldə etsinlər;
- Şəbəkədə aparat-proqram dəyişikliklərini həmişə izləsinlər;
- Şəbəkə resurslarına əlçatanlıq üçün identifikasiya və autentifikasiya prosedurlarının yerinə yetirilməsinə təminat versinlər və istifadəçini qeydiyyat formasını doldurmaq üçün parol ilə təmin etsinlər;
- Lokal şəbəkənin etibarlı işləməsini həmişə yoxlasınlar və digər istifadəçilərin məlumatları əldə etmələrinə imkan verməsinlər.
Servis administratorları konkret serverlərə cavabdehdirlər. Onlar təhlükəsizlik siyasətini rəhbər tutmaqla müdafiənin təşkil edilməsinə məsuliyyət daşıyırlar. Onlar borcludur:
- Xidmət edilən obyektlərə istifadəçilərin daxil olmasını idarə etməyə;
- Operativ və effektiv şəkildə baş verənlərə, yavaş-yavaş azalan hədələrə reaksiya verməyə, hədələrin qarşısının alınmasına kömək etməyə, qayda pozucularını müəyyən etməklə onları cəzalandırmağa;
- Serverlərdə təhlil olunan informasiyanın surətini həmişə əldə etməyə;
- Qeydiyyatdan keçdikdən sonra istifadəşiyə parol verməklə yanaşı serverə daxil olma adını verməyə;
- Serverə aid olan informasiyanı gündəlik yoxlamağa və servisə ziyanverici proqram təminatının daxil olmasına
maneçilik göstərməyə;
- Servisin etibarlı müdafiə edilməsini mütəmadi yoxlamağa və qeyri-qanuni istifadəçilərə servisdən istifadəyə üstünlük verməməli.
İstifadəçilər təhlükəsizlik siyasətinə uyğun olaraq lokal şəbəkə ilə işləyir, təhlükəsizlik aspektinin ayrı-ayrı hissələrinə cavabdeh olan, əmrlər verən şəxslərin verdiyi əmrlərə tabe olur, rəhbərliyi şübhəli vəziyyətlər haqqında daim məlumatlandırırlar. İstifadəçilər aşağıdakıları yerinə yetirməlidirlər:
- Qanunları bilməli və onları yerinə yetirməli, cari təşkilatda qəbul edilmiş təhlükəsizlik siyasətini qəbul etməli, konfidensiallığı təmin etmək üçün müdafiə mexanizmindən tutarlı səviyyədə istifadə etməli və istifadə etdikləri informasiyanın tamlığına məsuliyyət daşımalıdırlar;
- Faylların müdafiə mexanizmindən istifadə etməli və fayllardan lazımi şəkildə istifadə etməlidirlər;
- Keyfiyyətli paroldan bəhrələnməli, parolu tez-tez dəyişməli, parolu kağıza yazmamalı, digər şəxslərə parolu deməməlidirlər;
- Təhlükəsizliyin pozulması halları baş verdikdə, həmçinin digər şübhəli vəziyyət hiss etdikdə rəhbərliyi məlumatlandırmalıdırlar;
- Əgər lokal şəbəkə və ya servisdə zəiflik hiss olunarsa, ondan istifadə etməməli, özünə məxsus olmayan fayllardan istifadə etməməli və nəhayət, işlədiyi zaman ərzində başqalarının işləməsinə maneçilik etməməlidirlər;
- Başqasının adından istifadə etməklə iş görməməli, informasiyanın autentifikasiya və korrekt identifikasiya olması barədə məlumat verməlidirlər;
- Lazımlı informasiyanın ehtiyat üçün surətini almalı, həmişə informasiyanı sərt diskdə saxlamalıdırlar;
- Ziyanverici proqram təminatının iş prinsipini bilməli, onun sistemə daxil olma yollarını araşdırmalı, yayılmasına imkan verməməli, ziyanverici kod sistemə daxil olduqda təcili xəbardarlıq etməli, ziyanverici kodu tapmağa və ləğv etməyə çalışmalıdırlar;
- Fövqaladə hallarda özlərini necə aparmağı bacarmalı, baş vermiş qəzanı aradan götürməyi bacarmalıdırlar.
===Sanksiya(bir müqavilə və ya qanunun yerinə yetirilməsini təmin edən şərt)=== Təhlükəsizlik siyasətinin pozulması lokal şəbəkəyə və onda dövr edən informasiyaya bağışlanmaz təsir edir. Odur ki, təhlükəsizliyin işçi personal tərəfindən pozulması operativ şəkildə rəhbərlik tərəfindən baxılmalıdır, lazım olan tədbirlər görülməli, əgər tələb olunarsa, işçi tutuğu vəzifədən azad edilməlidir.
Əlavə informasiya
Müəyyən qrup istifadəçi üçün əlavə sənədlərlə tanış olmağa ehtiyac yaranır. Bu sənədlərə təhlükəsizlik prosedurlarına və siyasətinə aid sənədlər, həmçinin rəhbərlik tərəfindən verilmiş xüsusi əmrlər və göstərişlər aiddir. Belə sənədlərin yaradılmasına əsasən böyük müəssisələrdə ehtiyac duyulur. Kiçik ölçülü müəssisələrdə müəyyən təhlükəsizlik siyasətini dəstəkləyən sənədlərin hazırlanmasına tələb yaranır. Bu baxımdan belə sənədlər qısa şəkildə tərtib edilir və həcmi bir-iki səhifədən artıq olmur.
İnformasiya təhlükəsizliyinin təmin edilməsində idarə etmə tədbirləri
İdarəetmə səviyyəsində həyata keçirilən tədbirlərin əsas məqsədi informasiya təhlükəsizliyi sahəsində görülən işlərin proqramının formalaşması və onların yerinə yetirilməsi üçün lazım olan resursların ayrılması, həmçinin görülən işlərin vəziyyətinə nəzarətin həyata keçirilməsidir. Proqramın əsasını çoxsəviyyəli təhlükəsizlik siyasətı təşkil edir. Təhlükəsizlik siyasəti informasiya aktivlərinin və resursların müdafiə edilməsinin təşkilinə kompleks yanaşmanı əks etdirir.
Təcrübə nöqteyi-nəzərindən təhlükəsizlik siyasətini üç səviyyəyə bölmək olar:
Yuxarı səviyyə
Təhlükəsizlik siyasətinin bu səviyyəsi müəssisəyə aid olan məsələlərin tam şəkildə həll edilməsinə toxunur. Məsələnin bu şəkildə həll edilməsi ümumi xarakter daşıyır və bu qərarlar qayda-qanuna görə müəssisənin rəhbərliyindən asılıdır. Qərarlar özlərinə aşağıdakı elementləri aid edirlər:
- Müəssisənin informasiya təhlükəsizliyi sahəsində müəyyən məqsədə çatması üçün görəcəyi işlərin formalaşdırılması, bu məqsəd naminə ümumi istiqamətin müəyyənləşdirilməsi;
- İnformasiya təhlükəsizliyinin təmin edilməsi proqramına kompleks yanaşma və ya proqramın formalaşdırılması, proqramın yerinə yetirilməsində (inkişaf baxımından) məsul şəxslərin müəyyən edilməsi;
- Qanunların və qaydaların yerinə yetirilməsi üçün material bazasının yaradılması;
- İdarəedicilik qərarlarının həlli baxımından proqram təminatının yerinə yetirilmə məsələsinin dürüst ifadə edilməsi.
Yuxarı səviyyənin təhlükəsizlik siyasəti informasiya təhlükəsizıliyi siyasətinin tamlığını, əlçatanlığını və konfidensiallığını dürüst ifadə edir. Əgər müəssisə kritik (tənqidi yanaşılmış) vacib verilənlərin dəstəklənməsinə cavabdehlik daşıyırsa, birinci planda həmin verilənlərin tamlığı dayanır. Satış ilə məşğul olan təşkilat üçün göstərilən xidmətin qiyməti və xidmət barədə informasiyanın aktuallığı vacibdir. Bununla yanaşı satış təşkilatını maraqlandıran məsələlərdən biri potensial alıcıların maksimal sayıdır. Qayda-qanun ilə işləyən təşkilat birinci növbədə informasiyanın konfidensiallığı barədə düşünməlidir, daha döğrusu qeyriqanuni əlçatanlığın müdafiə edilməsinə çalışmalıdır.
Yuxarı səviyyənin təhlükəsizlik siyasəti öz təsir dairəsini dəqiq müəyyənləşdirməlidir. Yuxarı səviyyəyə ancaq müəssisənin bütün kompüter sistemi deyil, həm də əməkdaşların evdə istifadə etdikləri kompüterlərin də qoşulması mümkündür. Bunun üçün yuxarı səviyyə siyasəti onların istifadə edilməsinin bəzi aspektlərini nizama salmalıdır. Bəzən elə bir vəziyyət yaranır ki, yuxarı səviyyənin təhlükəsizlik siyasəti dairəsinə ancaq daha mühüm sistemlər qoşulurlar.
Yuxarı səviyyənin təhlükəsizlik siyasətində təhlükəsizlik proqramlarını işləyib hazırlayan məsul şəxslərin vəzifələri müəyyən edilməlidir, çünki bu şəxslər həmin proqramı həyata keçirirlər.
Yuxarı səviyyənin təhlükəsizlik siyasəti qanunaitaətli və intizama riayət edən üç aspekt ilə əlaqəlidir. Birincisi, müəssisə mövcud qanuna əməl etməlidir. İkincisi, təhlükəsizlik proqramını işləyib hazırlayan məsul şəxsin fəaliyyəti nəzarətdə saxlanılmalıdır. Üçüncüsü, müəssisədə təltif etmə (və ya cəzalandırma) üsulundan istifadə etməklə personalın lazımi səviyyədə tapşırığı yerinə yetirmə intizamına riayət etməsi təmin edilməlidir.
Orta səviyyə
Bu səviyyədə müəssisə tərəfindən istismar olunan müxtəlif sistemlər üçün əsas sayılan təhlükəsizlik siyasəti informasiya təhlükəsizliyi ilə bağlı ayrı-ayrı aspektləri müəyyən edir. Orta səviyyənin təhlükəsizlik siyasəti informasiya təhlükəsizliyinin hər bir aspekt üçün aşağıdakı momentləri müəyyən etməməlidir
- Aspektin izahı – müəssisənin mövqeyi bəzən kifayət qədər ümumi şəkildə formalaşır, çünki müəssisə cari aspektdə bu məqsədlərin yerinə yetirilməsində maraqlıdır;
- Tətbiq sahələri – təhlükəsizlik siyasətinin harada, nə vaxt, necə, kimə və nəyə münasibətdə tətbiq ediməsinin təsnifləşdirilməsini yerinə yetirmək;
- Vəzifələr və rollar – tərib olunmuş sənəd təhlükəsizlik siyasətinin həyata keçirilməsinə cavabdeh olan məsul şəxs haqqında informasiya daşımalıdır;
- Qadağa – təhlükəsizlik siyasəti qadağan olunmuş fəaliyyət haqqında ümumi formada izahata malik olmaqla yanaşı onu pozan haqqında cəzalari da
göstərməlidir;
- Əlaqə nöqtəsi – müəyyən hadisələr baş verdikdə hara müraciət olunması aydınlaşdırılmalı, göstərilən yardım və əlavə informasiya izah edilməlidir. Adətən “əlaqə nöqtəsi” kimi məsul şəxs cavabdehdir.
Aşağı səviyyə
Bu səviyyə təhlükəsizlik siyasəti konkret servisə əsaslanır. Səviyyə özündə iki aspekti birləşdirir – məqsəd və ona çatmaq üçün qanunları. Odur ki, onları realizasiya ilə bağlı suallardan ayırmaq çətindir. Öndə araşdırılan səviyyələrdən fəqli olaraq aşağı səviyyəli siyasət təfsilatı ilə baxılmalıdır, yəni səviyyə aşağıdakı suallara cavab verməldir:
- Servis tərəfindən dəstəklənən obyektlərə daxil olmağa kimin hüquqi vardır;
- Hansı şəraitdə verilənləri modifikasiya etmək (şəkilini dəyişmək) və oxumaq olar;
- Uzaqdan servisə daxil olma necə təşkil olunmuşdur.
- Aşağı səviyyənin təhlükəsizlik siyasəti tamlıq, əlçatanlıq və konfidensiallıq baxımından irəli gəlir və bu siyasət onların yerinə yetirilməsinə maneçilik etməməlidir. Ümumi halda servis bunlar arasında əlaqə yaratmalı və onlarsız fəaliyyət göstərməməlidir.
Məqsəddən aydın olur ki, təhlükəsizlik qanunlarına kim və hansı şəaitdə əməl etməlidir. Qanunlar nə qədər diqqətlə hissə-hissə araşdırılarsa, bir o qədər də onların proqram-texniki baxımından yerinə yetirilməsini dəstəkləmək mümkündür. Adətən formal da olsa, obyektlərə əlçatanlıq qanunları təqdim olunur.
Müəssisənin təhlükəsizlik siyasətinin strukturu
Əksər təşkilatlar üçün təhlükəsizlik siyasəti sözün əsl mənasında vacibdir. Siyasət müəssisənin təhlükəsizliyə münasibətini müəyyən edir və özünəməxsus aktivlərin və resursların qorunmasının təşkilinə imkan yaradır. Təhlükəsizlik siyasəti ilə bağlı təhlükəsizlik vasitələrin və prosedurların müəyyən edilməsi, onların yerinə yetirdikləri rollar və müəssisədə işləyən əməkdaşların məsuliyyəti (təhlükəsizliyə əməl etmə baxımından) müəyyən edilir.
Adətən müəssisədə təhlükəsizlik siyasəti aşağıdakıları yerinə yetirməlidir:
- Baza təhlükəsizlik siyasətini;
- Xüsusiləşdirlmiş təhlükəsizlik siyasətini;
- Təhlükəsizlik prosedurlarını.
Müəssisənin təhlükəsizlik siyasətinin müddəaları aşağıdakı sənədlərdə əks olunur:
- Təhlükəsizlik siyasətinin xülasəsi – təhlükəsizlik siyasətinin məqsədini və strukturunu açıqlayır, kimin nəyə cavab verməsini müəyyənləşdirir, edilmiş dəyişikləri vaxt çərçivəsində müəyyən edir. Müəssisənin miqyasından asılı olaraq təhlükəsizlik siyasəti az və ya çox bölmələrdən ibarət ola bilər;
- Təhlükəsizlik baza siyasətinin izahı – qadağa qoyulmuş və icazə verilmiş fəaliyyətin müəyyən edilməsi, həmçinin təhlükəsizlik arxitekturasının həyata keçirilmə çərçivəsində idarəetmə vasitələrinin varlığı;
- Təhlükəsizliyin arxitekturası baxımından rəhbərlik – şəbəkənin təşkil edilməsində istifadə olunan təhlükəsizlik mexanizmi arxitekturasının tərkib hissəsinin həyata
keçirilməsinin izahı.
Qeyd etmək lazımdır ki, təhlükəsizlik siyasətinin əsas komponenti baza təhlükəsizlik siyasəti hesab edilir.
Təhlükəsizliyin baza siyasəti
Təhlükəsizliyin baza siyasəti müəssisənin informasiyanı necə təhlil etməsini, informasiyaya kimin əlçatan olmasını, buna necə nail olmağı müəyyənləşdirir.
Get-gedə azalan təhlikəsizliyin baza siyasəti təhlükəsizlik sisteminin yaradılması üçün yararlı olan işlərin bütünlükdə deyil, daim və ardıcıl yerinə yetirilməsinə imkan verir. Baza siyasəti təhlükəsizlik siyasəti ilə istənilən vaxt bütünlükdə tanış olmağa və müəssisədə təhlükəsizliyin cari vəziyyətini araşdırmağa şərait yaradır.
Təhlükəsizlik siyasətinin tərkibi və strukturu şirkətin məqsədindən və həcmindən asılıdır. Adətən müəssisənin baza siyasətini müəssisəyə xüsusi hazırlığı olan siyasətçilər dəstəsini dəvət etməklə və təhlükəsizlik tədbirlərini həyata keçirməklə yerinə yetirirlər.
Xüsusiləşdirilmiş təhlükəsizlik siyasəti
Hal-hazırda onlarla xüsusiləşdirilmiş siyasət mövcuddur və onlardan istər kiçik ölçülü, istərsə də böyük ölçülü müəssisələr istifadə edə bilərlər. Bəzi siyasətlər hər bir müəssisə tərəfindən istifadə edilə bilər, bəziləri isə müəyyən xüsusiyyətə malik müəssisələr üçün nəzərdə tutulmuşdur.
Xüsusiləşdirlmiş təhlükəsizlik siyasətinin xüsusiyyətlərini nəzərə almaqla təhlükəsizliyi iki qrupu bölmək olar:
- Müəyyən sayda istifadəçinin marağına toxunan siyasət;
- Konkret texnika sahəsi ilə bağlı olan siyasət.
Müəyyən sayda istifadəçinin maraqlarına toxunan xüsusiləşdirilmiş siyasətə aşağıdakılar aiddir:
- Əlçatanlıq siyasətindən istifadə edilməsi;
- Uzaqda yerləşmiş şəbəkə ehtiyatlarına əlçatanlıq siyasəti;
- İnformasiyanın müdafiə siyasəti;
- Parolun müdafiə siyasəti və s.
Konkret texniki sahə ilə bağlı olan xüsusiləşdırılmış siyasətə daxildir:
- Şəbəkələrarası ekranların quruluşunun siyasəti;
- Kriptoaçarların şifrələnməsi və idarəedilməsi siyasəti;
- Virtual müdafiə olunan VPN şəbəkə təhlükəsizliyi siyasəti;
- Naqilsiz şəbəkə ilə təchiz edilmişlərin siyasəti və başqaları.
Xüsusiləşdirilmiş siyasətlərdən bəzilərini aydınlaşdıraq. Əlçatanlıq ilə istifadə olunan siyasət. Siyasətin məqsədi kompüter avadanlıqlarından və şirkətlərin servislərindən təhlükəsiz istifadə edilməsi üçün standart normaların müəyyən edilməsi, həmçinin əməkdaşların onlara məxsus informasiyanı qoruması və korporativ resursların təhlükəsizliyini təmin etməsidir. Kompüter avadanlıqlarından və servislərdən düzgün istifadə etmədikdə şirkət müəyyən risklər (virusların hücumu, şəbəkə sisteminin və servisin etibardan düşməsi və s.) ilə qarşılaşır.
Şirkətin əməkdaşları, məsləhətçilər, müvəqqəti işə qəbul edilmiş qulluqçular və şirkətin digər işçiləri, həmçinin başqa müəssisələrin əməkdaşları əlçatanlıq siyasətindən istifadə edirlər. Əlçatanlıq siyasəti sonuncu istifadəçi üçün nəzərdə tutulmuşdur və ona hansı hərəkəti edib-etməməsinə göstəriş verir.
İstifadənin əlçatanlıq siyasəti aşağıdakıları müəyyən edir:
- İstifadəçinin istənilən informasiyanı onun kompüterində saxlandıqdan sonra müdafiə etməsi üçün məsuliyyət daşıması;
- İstifadəçiyə adi olmayan faylların, amma onlardan istifadə etməsinə icazəsi olduğu üçün oxumasına, surətinin almasına səlahiyyətinin olması;
- Veb-əlçatanlıq və elektron poçtdan istifadəyə icazə imkanının verilməsi.
Təhsil və dövlət müəssisələri üçün əlçatanlıq siyasəti sadəcə olaraq məcburidir.
Əlçatanlıq siyasəti üçün xüsusi format yoxdur. Əlçatanlıq siyasəti yüksək ixtisaslı peşəkarlar tərəfindən servisə uyğun işlənib hazırlanmışdır.
Uzaqlaşdırılmış əlçatanlıq siyasəti. Siyasətin məqsədi şirkətin şəbəkəsi ilə istənilən host arasında təhlükəsiz əlaqənin standart normalara uyğun yaradılmasıdır. Standart normalar şirkətin gördüyü işlər zamanı ona vurulacaq ziyanı minimuma endirmək üçündür. Ziyana şirkətin intellektual mülkiyyəti, şirkətin imicinin təhrif olunması, şirkətin daxilində baş verə biləcək çəkişmələr və s. aiddir.
Siyasət bütün əməkdaşlara, mal göndərənə (tədarükçüyə), şirkətin agentlərinə, şirkətdə istifadə olunan kompüterlərə və ya işçi stansiyalara aiddir.
Uzaqlaşdırılmış əlçatanlıq siyasəti aşağıdakıları yerinə yetirməlidir:
- Daxili şəbəkə ilə uzaqlaşdırılmış şəbəkənin birləşmə üsulunu müəyyən etməklə yanaşı qeyd etmək;
- Əhəmiyyətli olan iri şirkətdə şəbəkənin necə paylanmasını təyin etmək;
- Daxili resurslara əlçatanlıq üsulunun imkan daxilində paylanmasını təmin etmək.
Uzaqlaşdırılmış əlçatanlıq siyasəti müəyyən etməlidir:
- Uzaqlaşdırılmış obyekt üçün hansı üsul icazə verilir;
- Uzaqlaşdırımış obyektin qəbul edəcəyi verilənlərin məhdudlaşdırılması;
- Kim uzaqlaşdırılmış obyektə malik ola bilər.
Müdafiə olunan obyekt ciddi şəkildə nəzarətdə saxlanılmalıdır. Nəzərə almaq lazımdır ki, yoxlamadan keçmiş insanlar informasiyaya malik ola bilərlər. Şirkətin əməkdaşları özlərinə məxsus logini və parolu heç kimə verə bilməzlər (hətta ailə üzvlərinə də). Uzaqlaşdırılmış obyektin idarə edilməsi sadə olmalı və istifadə zamanı səhv yaranmamalıdır.
Əlçatanlığa nəzarəti birdəfəlik parol ilə yerinə yetirmək məsləhətdir. Bununla yanaşı istifadə edilən bütün avadanlıqlara müasir antivirus proqramı yüklənməlidir. Bu tələbat şirkətin fərdi kompüterlərinə də aiddir. Şirkətin istənilən əməkdaşı hazırkı siyasəti pozduqda rəhbərlik tərəfindən cəzalandırılmalıdır (işdən azad edilə də bilər).
Təhlükəsizlik prosedurları
Təhlükəsizlik proseduru təhlükəsizlik siyasətinə lazımlı və əsas əlavə kimi hesab edilir. Təhlükəsizlik siyasəti nəyin müdafiə edilməsini və müdafiə qanunlarından hansıların əsas olmasını müəyyən edir. Təhlükəsizlik prosedurları resursları (siyasəti yerinə yetirən mexanizmi, daha doğrusu təhlükəsizlik siyasətini necə həyata keçirməyi) necə müdafiə etməyi müəyyən edir.
Əslində təhlükəsizlik prosedurları operativ məsələləri addım ba addım necə həll etmək üçün təlimatdır. Prosedurun bir həssəsi siyasəti real fəaliyyətə çevirmək üçün alətdir. Məsələn, parolların formalaşdırılması siyasəti parolların qurulması qanunlarıdır, bura parolu necə müdafi etmək, onu tez-tez necə dəyişmək və s. aiddir. Parolların idarə edilməsi proseduru yeni parolun yaranmasını izah edir, bununla yanaşı kritik vəziyyətdə parolu dəyişən zaman ona təminat da verir.
Təhlükəsizlik ilə bağlı olan bir çox prosedurlar istənilən bölmədə standart vəsaitlər olmalıdır. Məsələn, ehtiyat üçün surəti alınmış material və sistemdən kanar onun müdafiə olunmaqla yaddaşda saxlanılması, loginin və istifadəçi parolunun arxivləşdirilməsi, istifadəçi işdən azad olduqda ona məxsus parolun ləğv edilməsi və s. halları nümunə kimi göstərmək olar.
Aşağıda hər bir təşkilat üçün əsas sayılan təhlükəsizlik prosedurları verilmişdir.
Baş vermiş hadisələrə reaksiya verən prosedurlar bir çox müəssisələr üçün əsas təhlükəsizlik vasitələri sayılır. Müəssisə onun şəbəkəsinə kənardan müdaxilə edildikdə və ya bədbəxt hadisə baş verdikdə ciddi ziyana düşmüş olur.
Belə prosedurları bəzən hadisələrin təhlili proseduru və ya baş vermiş hadisəyə reaksiya verən prosedur adlandırırlar. Təcrübə göstərir ki, baş vermiş qayda-qanun pozuntularına cavab vermək mümkün deyil, amma bəzi pozuntular vardır ki, onlar baş verməmiş qarşısını almaq vacibdir. Məsələn, şəbəkə portlarının skanerə edilməsi, “xidmətdən imtina” hücumunun vaxtında yoluna qoyulması, hostun nüfuzdan salınması, qeyri-qanuni əlçatanlıqla mübarizə və s. nümunə göstərilə bilər.
Prosedur aşağıdakıları müəyyən edir:
- Reaksiya vermə komandası üzvlərinin vəzifələri;
- Hansı informasiyanı qeyd etmək və izləmək;
- Normadan kənarlaşan tədqiqatların təhlili və qəflətən edilən hücumların araşdırılması;
- Kimi və nə vaxt xəbərdar etmək;
- Kim informasiyanı kənara yaya bilər və bunun üçün nə etməlidir;
- Yerinə yetiriləcək təhlillərə kim rəhbərlik etməlidir və burada kimlərin iştirakı vacibdir.
Reaksiya vermə komandasına şirkətin vəzifəli şəxsləri, marketinq meneceri (mətbuat ilə əlaqə qurmaq üçün), sistem və şəbəkə inzibatçıları və qanun keşiyində dayanan orqanların nümayəndələri daxil olmalıdır. Prosedur bunların hansı ardıcıllıqla çağırılmasını müəyyən etməlidir.
Xarici görünüşü idarəetmə prosedurları adətən ya korporativ səviyyədə, ya da ki, bölmələr səviyyəsində müəyyən edilir. Prosedura müəssisədə sənədləşmə prosesində və bütün səviyyələrdə qəbul edilmiş konfiqurasiyanın (xarici görünüşün) dəyişməsinə ehtiyac duyulduqda həyata keçirilir. Prinsipcə yaradılmış mərkəzi qrup xarici görünüşün dəyişməsi ilə bağlı sualları nəzərdən keçirməli və lazım olan qərarı qəbul etməldir.
Xarici görünüşü idarəetmə proseduru aşağıdakıları müəyyən edir:
- Proqram və aparat təminatının konfiqurasiyasının dəyişməsinə kim cavabdehdir;
- Yeni proqram və aparat təminatını kim testdən keçirməli və instalizasiya etməlidir;
- Proqram və aparat təminatının sənədləşdirilməsində dəyişiklik necə yerinə yetirilməlidir;
- Proqram və aparat təminatının dəyişdirilməsi barədə kim məlumatlı olmalıdır.
Xarici görünüşü idarəetmə proseduru vacibdir, çünki edilmiş dəyişikliklər auditin imkanlarını müəyyən edir; istifadə edilən sistemin sənədləşdirilməsinə imkan verir; edilmiş dəyişikliyin elə şəkildə yerinə yetirilməsinə şərait yaradır ki, dəyişiklik digərlərinə maneçilik törətməsin
wikipedia, oxu, kitab, kitabxana, axtar, tap, meqaleler, kitablar, oyrenmek, wiki, bilgi, tarix, tarixi, endir, indir, yukle, izlə, izle, mobil, telefon ucun, azeri, azəri, azerbaycanca, azərbaycanca, sayt, yüklə, pulsuz, pulsuz yüklə, haqqında, haqqinda, məlumat, melumat, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, şəkil, muisiqi, mahnı, kino, film, kitab, oyun, oyunlar, android, ios, apple, samsung, iphone, pc, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, web, computer, komputer
Tehlukesizliyin teskil olunma siyaseti dedikde informasiyanin mudafiesine yoneldilmis ve onunla birlikde resurslarin assosiasiya olunmasinin idareetme qerarlarinin senedlesdirilmesinin toplumu basa dusulur Tehlukesizlik siyaseti vasitelerden ibaretdir ve onlarin komeyile komputer informasiya sisteminin teskil olunmasi fealiyyeti heyata kecirilir Umumiyyetle tehlukesizlik siyaseti komputer muhitinde istifade edilir ve teskilatin spesifik telebatini eks etdirir Adeten komputer informasiya sistemleri KIS dedikde muxtelif xususiyyetli murekkeb kompleks basa dusulur ve ya aparat ve proqram teminatinin arabir oz aralarinda lazimi seviyyede islemelerinin uyusa bilmemesi qebul edilir Bura komputerler emeliyyat sistemleri sebeke vasiteleri verilenler bazalarini idareetme sistemleri muxtelif elaveler aiddir Butun bu komponentler teskilediciler ozunemexsus mudafie vasitelerine malikdir ve bunlarin bir biri ile razilasdirilmasi mutleqdir Bu baximdan da korporativ sistemlerin tehlukesizliyinin temin olunmasi tehlukesizlik siyasetinin effektiv heyata kecirilmesinde muhum rol oynayir Tehlukesizlik siyasetinin esas anlayislariTehlukesizlik siyaseti rehberliyin faydali saydigi ve secdiyi informasiya tehlukesizliyi sahesinde idareetme strategiyasini resurslarin miqdarini ve onlara yanasmanin olcusunu mueyyen edir Tehlukesizlik siyaseti muessisenin informasiya sistemi ucun real sayilan cesaretin ve ya curetin tehlil edilmesine esaslanaraq qurulur Bele olan halda curet tehlil edilir mudafie strategiyasi mueyyen olunur informasiya tehlukesizliyini temin eden proqram tertib edilir butun bunlar tehlukesizlik siyasetidir Tertib olunan proqrama uygun olaraq resurslar ayrilir bu resurslara mesul sexsler secilir proqramin yerine yetirilme ardicilligi mueyyen edilir ve s Muessisenin tehlukesizlik siyaseti muxteser struktura malik olmaqla yanasi yuksek seviyyeli siyaseti desteklemelidir Yuksek seviyyeli siyaset daim nezerden kecirilmeli ve muessisenin cari teleblerini odemekle yanasi bu teleblerin odenilmesine teminat da vermelidir Siyaset senedi ele tertib edilmelidir ki konkret texnologiyadan asili olmasin ve bu senedin tez tez deyisilmesine ehtiyac duyulmasin Tehlukesizlik siyaseti ile tanis olmaq ucun bezi muessisenin hipotetiklik ferziyyeye esaslanma lokal sebekesini numune kimi arasdiraq Tehlukesizlik siyaseti adeten sened formasinda tertib olunur bura problemin izahi tetbiq olunma saheleri muessisenin tutdugu movqe rehberlikde vezifelerin bolusdurulmesi ve s bolmeler daxil edilir Problemin izahi Lokal sebeke cercivesinde dovr eden informasiya kritik vacib sayilmalidir Lokal sebeke istifadeciye imkan verir ki tehlukesizliyi artiran hedeleri proqramlardan ve verilenlerden musterek istifade etmekle minimuma endirsin Odur ki sebekeye qosulan her bir komputer istifadecisi daha guclu mudafieye ehtiyac duyur Butun bunlar sened formasinda informasiya tehlukesizliyinin muessise daxilinde yuksek seviyyede heyata kecirilmesine komekcidir Istifade saheleri Muessisenin lokal sebekesine daxil olan butun aparat proqram ve informasiya resurslari cari siyasetin istifade sahesi hesab edilir Siyaset sebekede calisan iscilere istifadecilere subpodratcilara tedarukculere ve digerlerine yoneldilmisdir Muessisenin movqeyi Esas meqsed verilenlerin tamliginin elcatanliginin ve konfidensialliginin hemcinin aktualliginin ve dolgunlugunun temin edilmesidir Meqsede asagidakilari aid edirler Normativ senedlere uygun olaraq tehlukesizlik seviyyesinin temin edilmesi Mudafie tedbirlerinin secilmesinde meqsedeuygun iqtisadiyyata emel edilmesi mudafie xercleri informasiya tehlukesizliyinin pozulmasindan yaranan zereri kecmemelidir Lokal sebekenin her bir funksional sahesinde tehlukesizliyin temin edilmesi Informasiya ve resurslardan istifade eden istifadecinin butun fealiyyetinin tehtelhesabi hesabat vermeli olmasi temin olunmali Qeyd olunan informasiyanin tehlilinin temin edilmesi Tehlukesizlik rejiminin dusunulmus formada desteklenmesi ucun istifadeciye kifayet qeder informasiyanin teqdim olunmasi Qezadan sonra berpa planinin islenib hazirlanmasi ve sebekenin fasilesiz is rejiminin temin edilmesi meqsedi ile funksional sahelerde kritik veziyyetlerin nezere alinmasi Tehlukesizliyin uygun qanunlarina ve umumteskilat siyasetine emel olunmasi Vezifelerin ve rollarin bolunmesi Onde qeyd edilmis meqsedin heyata kecirilmesi sozsuz ki vezife sahiblerinin ve sebeke istifadecilerinin ohdesine dusur Bolme rehberleri tehlukesizlik siyasetinin veziyyeti barede melumatlari istifadeciye catdirmaqla yanasi onlarin bir biri ile elaqe yaratmalarina da cavabdehlik dasiyirlar Lokal sebeke administratorlari sebekenin fasilesiz islemesini temin etmekle beraber tehlukesizlik siyasetinin heyata kecirilmesi ucun lazim olan texniki tedbirlerin realize edilmesine cavabdehdirler Administratorlarin borcudur Lokal sebeke avadanliqlarinin mudafiesini temin etsinler ve diger sebekeler ile interfeys yaratsinlar Operativ ve effektiv sekilde bas verenlere yavas yavas azalan hedelere reaksiya versinler ve servis administratorlarini mudafienin pozulmasi barede melumatlandirsinlar Subheli hallari mueyyen etsinler ve gundelik informasiyani qeyd etmekle yanasi fayl serverinde bas verenleri tehlil etsinler Oz vezifelerinden sui istifade etmesinler Zererli proqram teminatindan lokal sebekeni qorusunlar ve zererli kodu mueyyenlesdirmekle onu legv etsinler Fayl serverinde saxlamaq serti ile informasiyanin suretini hemise elde etsinler Sebekede aparat proqram deyisikliklerini hemise izlesinler Sebeke resurslarina elcatanliq ucun identifikasiya ve autentifikasiya prosedurlarinin yerine yetirilmesine teminat versinler ve istifadecini qeydiyyat formasini doldurmaq ucun parol ile temin etsinler Lokal sebekenin etibarli islemesini hemise yoxlasinlar ve diger istifadecilerin melumatlari elde etmelerine imkan vermesinler Servis administratorlari konkret serverlere cavabdehdirler Onlar tehlukesizlik siyasetini rehber tutmaqla mudafienin teskil edilmesine mesuliyyet dasiyirlar Onlar borcludur Xidmet edilen obyektlere istifadecilerin daxil olmasini idare etmeye Operativ ve effektiv sekilde bas verenlere yavas yavas azalan hedelere reaksiya vermeye hedelerin qarsisinin alinmasina komek etmeye qayda pozucularini mueyyen etmekle onlari cezalandirmaga Serverlerde tehlil olunan informasiyanin suretini hemise elde etmeye Qeydiyyatdan kecdikden sonra istifadesiye parol vermekle yanasi servere daxil olma adini vermeye Servere aid olan informasiyani gundelik yoxlamaga ve servise ziyanverici proqram teminatinin daxil olmasina manecilik gostermeye Servisin etibarli mudafie edilmesini mutemadi yoxlamaga ve qeyri qanuni istifadecilere servisden istifadeye ustunluk vermemeli Istifadeciler tehlukesizlik siyasetine uygun olaraq lokal sebeke ile isleyir tehlukesizlik aspektinin ayri ayri hisselerine cavabdeh olan emrler veren sexslerin verdiyi emrlere tabe olur rehberliyi subheli veziyyetler haqqinda daim melumatlandirirlar Istifadeciler asagidakilari yerine yetirmelidirler Qanunlari bilmeli ve onlari yerine yetirmeli cari teskilatda qebul edilmis tehlukesizlik siyasetini qebul etmeli konfidensialligi temin etmek ucun mudafie mexanizminden tutarli seviyyede istifade etmeli ve istifade etdikleri informasiyanin tamligina mesuliyyet dasimalidirlar Fayllarin mudafie mexanizminden istifade etmeli ve fayllardan lazimi sekilde istifade etmelidirler Keyfiyyetli paroldan behrelenmeli parolu tez tez deyismeli parolu kagiza yazmamali diger sexslere parolu dememelidirler Tehlukesizliyin pozulmasi hallari bas verdikde hemcinin diger subheli veziyyet hiss etdikde rehberliyi melumatlandirmalidirlar Eger lokal sebeke ve ya servisde zeiflik hiss olunarsa ondan istifade etmemeli ozune mexsus olmayan fayllardan istifade etmemeli ve nehayet islediyi zaman erzinde basqalarinin islemesine manecilik etmemelidirler Basqasinin adindan istifade etmekle is gormemeli informasiyanin autentifikasiya ve korrekt identifikasiya olmasi barede melumat vermelidirler Lazimli informasiyanin ehtiyat ucun suretini almali hemise informasiyani sert diskde saxlamalidirlar Ziyanverici proqram teminatinin is prinsipini bilmeli onun sisteme daxil olma yollarini arasdirmali yayilmasina imkan vermemeli ziyanverici kod sisteme daxil olduqda tecili xebardarliq etmeli ziyanverici kodu tapmaga ve legv etmeye calismalidirlar Fovqalade hallarda ozlerini nece aparmagi bacarmali bas vermis qezani aradan goturmeyi bacarmalidirlar Sanksiya bir muqavile ve ya qanunun yerine yetirilmesini temin eden sert Tehlukesizlik siyasetinin pozulmasi lokal sebekeye ve onda dovr eden informasiyaya bagislanmaz tesir edir Odur ki tehlukesizliyin isci personal terefinden pozulmasi operativ sekilde rehberlik terefinden baxilmalidir lazim olan tedbirler gorulmeli eger teleb olunarsa isci tutugu vezifeden azad edilmelidir Elave informasiya Mueyyen qrup istifadeci ucun elave senedlerle tanis olmaga ehtiyac yaranir Bu senedlere tehlukesizlik prosedurlarina ve siyasetine aid senedler hemcinin rehberlik terefinden verilmis xususi emrler ve gosterisler aiddir Bele senedlerin yaradilmasina esasen boyuk muessiselerde ehtiyac duyulur Kicik olculu muessiselerde mueyyen tehlukesizlik siyasetini destekleyen senedlerin hazirlanmasina teleb yaranir Bu baximdan bele senedler qisa sekilde tertib edilir ve hecmi bir iki sehifeden artiq olmur Informasiya tehlukesizliyinin temin edilmesinde idare etme tedbirleriIdareetme seviyyesinde heyata kecirilen tedbirlerin esas meqsedi informasiya tehlukesizliyi sahesinde gorulen islerin proqraminin formalasmasi ve onlarin yerine yetirilmesi ucun lazim olan resurslarin ayrilmasi hemcinin gorulen islerin veziyyetine nezaretin heyata kecirilmesidir Proqramin esasini coxseviyyeli tehlukesizlik siyaseti teskil edir Tehlukesizlik siyaseti informasiya aktivlerinin ve resurslarin mudafie edilmesinin teskiline kompleks yanasmani eks etdirir Tecrube noqteyi nezerinden tehlukesizlik siyasetini uc seviyyeye bolmek olar Yuxari seviyye Tehlukesizlik siyasetinin bu seviyyesi muessiseye aid olan meselelerin tam sekilde hell edilmesine toxunur Meselenin bu sekilde hell edilmesi umumi xarakter dasiyir ve bu qerarlar qayda qanuna gore muessisenin rehberliyinden asilidir Qerarlar ozlerine asagidaki elementleri aid edirler Muessisenin informasiya tehlukesizliyi sahesinde mueyyen meqsede catmasi ucun goreceyi islerin formalasdirilmasi bu meqsed namine umumi istiqametin mueyyenlesdirilmesi Informasiya tehlukesizliyinin temin edilmesi proqramina kompleks yanasma ve ya proqramin formalasdirilmasi proqramin yerine yetirilmesinde inkisaf baximindan mesul sexslerin mueyyen edilmesi Qanunlarin ve qaydalarin yerine yetirilmesi ucun material bazasinin yaradilmasi Idareedicilik qerarlarinin helli baximindan proqram teminatinin yerine yetirilme meselesinin durust ifade edilmesi Yuxari seviyyenin tehlukesizlik siyaseti informasiya tehlukesiziliyi siyasetinin tamligini elcatanligini ve konfidensialligini durust ifade edir Eger muessise kritik tenqidi yanasilmis vacib verilenlerin desteklenmesine cavabdehlik dasiyirsa birinci planda hemin verilenlerin tamligi dayanir Satis ile mesgul olan teskilat ucun gosterilen xidmetin qiymeti ve xidmet barede informasiyanin aktualligi vacibdir Bununla yanasi satis teskilatini maraqlandiran meselelerden biri potensial alicilarin maksimal sayidir Qayda qanun ile isleyen teskilat birinci novbede informasiyanin konfidensialligi barede dusunmelidir daha dogrusu qeyriqanuni elcatanligin mudafie edilmesine calismalidir Yuxari seviyyenin tehlukesizlik siyaseti oz tesir dairesini deqiq mueyyenlesdirmelidir Yuxari seviyyeye ancaq muessisenin butun komputer sistemi deyil hem de emekdaslarin evde istifade etdikleri komputerlerin de qosulmasi mumkundur Bunun ucun yuxari seviyye siyaseti onlarin istifade edilmesinin bezi aspektlerini nizama salmalidir Bezen ele bir veziyyet yaranir ki yuxari seviyyenin tehlukesizlik siyaseti dairesine ancaq daha muhum sistemler qosulurlar Yuxari seviyyenin tehlukesizlik siyasetinde tehlukesizlik proqramlarini isleyib hazirlayan mesul sexslerin vezifeleri mueyyen edilmelidir cunki bu sexsler hemin proqrami heyata kecirirler Yuxari seviyyenin tehlukesizlik siyaseti qanunaitaetli ve intizama riayet eden uc aspekt ile elaqelidir Birincisi muessise movcud qanuna emel etmelidir Ikincisi tehlukesizlik proqramini isleyib hazirlayan mesul sexsin fealiyyeti nezaretde saxlanilmalidir Ucuncusu muessisede teltif etme ve ya cezalandirma usulundan istifade etmekle personalin lazimi seviyyede tapsirigi yerine yetirme intizamina riayet etmesi temin edilmelidir Orta seviyye Bu seviyyede muessise terefinden istismar olunan muxtelif sistemler ucun esas sayilan tehlukesizlik siyaseti informasiya tehlukesizliyi ile bagli ayri ayri aspektleri mueyyen edir Orta seviyyenin tehlukesizlik siyaseti informasiya tehlukesizliyinin her bir aspekt ucun asagidaki momentleri mueyyen etmemelidir Aspektin izahi muessisenin movqeyi bezen kifayet qeder umumi sekilde formalasir cunki muessise cari aspektde bu meqsedlerin yerine yetirilmesinde maraqlidir Tetbiq saheleri tehlukesizlik siyasetinin harada ne vaxt nece kime ve neye munasibetde tetbiq edimesinin tesniflesdirilmesini yerine yetirmek Vezifeler ve rollar terib olunmus sened tehlukesizlik siyasetinin heyata kecirilmesine cavabdeh olan mesul sexs haqqinda informasiya dasimalidir Qadaga tehlukesizlik siyaseti qadagan olunmus fealiyyet haqqinda umumi formada izahata malik olmaqla yanasi onu pozan haqqinda cezalari da gostermelidir Elaqe noqtesi mueyyen hadiseler bas verdikde hara muraciet olunmasi aydinlasdirilmali gosterilen yardim ve elave informasiya izah edilmelidir Adeten elaqe noqtesi kimi mesul sexs cavabdehdir Asagi seviyye Bu seviyye tehlukesizlik siyaseti konkret servise esaslanir Seviyye ozunde iki aspekti birlesdirir meqsed ve ona catmaq ucun qanunlari Odur ki onlari realizasiya ile bagli suallardan ayirmaq cetindir Onde arasdirilan seviyyelerden feqli olaraq asagi seviyyeli siyaset tefsilati ile baxilmalidir yeni seviyye asagidaki suallara cavab vermeldir Servis terefinden desteklenen obyektlere daxil olmaga kimin huquqi vardir Hansi seraitde verilenleri modifikasiya etmek sekilini deyismek ve oxumaq olar Uzaqdan servise daxil olma nece teskil olunmusdur Asagi seviyyenin tehlukesizlik siyaseti tamliq elcatanliq ve konfidensialliq baximindan ireli gelir ve bu siyaset onlarin yerine yetirilmesine manecilik etmemelidir Umumi halda servis bunlar arasinda elaqe yaratmali ve onlarsiz fealiyyet gostermemelidir Meqsedden aydin olur ki tehlukesizlik qanunlarina kim ve hansi seaitde emel etmelidir Qanunlar ne qeder diqqetle hisse hisse arasdirilarsa bir o qeder de onlarin proqram texniki baximindan yerine yetirilmesini desteklemek mumkundur Adeten formal da olsa obyektlere elcatanliq qanunlari teqdim olunur Muessisenin tehlukesizlik siyasetinin strukturuEkser teskilatlar ucun tehlukesizlik siyaseti sozun esl menasinda vacibdir Siyaset muessisenin tehlukesizliye munasibetini mueyyen edir ve ozunemexsus aktivlerin ve resurslarin qorunmasinin teskiline imkan yaradir Tehlukesizlik siyaseti ile bagli tehlukesizlik vasitelerin ve prosedurlarin mueyyen edilmesi onlarin yerine yetirdikleri rollar ve muessisede isleyen emekdaslarin mesuliyyeti tehlukesizliye emel etme baximindan mueyyen edilir Adeten muessisede tehlukesizlik siyaseti asagidakilari yerine yetirmelidir Baza tehlukesizlik siyasetini Xususilesdirlmis tehlukesizlik siyasetini Tehlukesizlik prosedurlarini Muessisenin tehlukesizlik siyasetinin muddealari asagidaki senedlerde eks olunur Tehlukesizlik siyasetinin xulasesi tehlukesizlik siyasetinin meqsedini ve strukturunu aciqlayir kimin neye cavab vermesini mueyyenlesdirir edilmis deyisikleri vaxt cercivesinde mueyyen edir Muessisenin miqyasindan asili olaraq tehlukesizlik siyaseti az ve ya cox bolmelerden ibaret ola biler Tehlukesizlik baza siyasetinin izahi qadaga qoyulmus ve icaze verilmis fealiyyetin mueyyen edilmesi hemcinin tehlukesizlik arxitekturasinin heyata kecirilme cercivesinde idareetme vasitelerinin varligi Tehlukesizliyin arxitekturasi baximindan rehberlik sebekenin teskil edilmesinde istifade olunan tehlukesizlik mexanizmi arxitekturasinin terkib hissesinin heyata kecirilmesinin izahi Qeyd etmek lazimdir ki tehlukesizlik siyasetinin esas komponenti baza tehlukesizlik siyaseti hesab edilir Tehlukesizliyin baza siyasetiTehlukesizliyin baza siyaseti muessisenin informasiyani nece tehlil etmesini informasiyaya kimin elcatan olmasini buna nece nail olmagi mueyyenlesdirir Get gede azalan tehlikesizliyin baza siyaseti tehlukesizlik sisteminin yaradilmasi ucun yararli olan islerin butunlukde deyil daim ve ardicil yerine yetirilmesine imkan verir Baza siyaseti tehlukesizlik siyaseti ile istenilen vaxt butunlukde tanis olmaga ve muessisede tehlukesizliyin cari veziyyetini arasdirmaga serait yaradir Tehlukesizlik siyasetinin terkibi ve strukturu sirketin meqsedinden ve hecminden asilidir Adeten muessisenin baza siyasetini muessiseye xususi hazirligi olan siyasetciler destesini devet etmekle ve tehlukesizlik tedbirlerini heyata kecirmekle yerine yetirirler Xususilesdirilmis tehlukesizlik siyasetiHal hazirda onlarla xususilesdirilmis siyaset movcuddur ve onlardan ister kicik olculu isterse de boyuk olculu muessiseler istifade ede bilerler Bezi siyasetler her bir muessise terefinden istifade edile biler bezileri ise mueyyen xususiyyete malik muessiseler ucun nezerde tutulmusdur Xususilesdirlmis tehlukesizlik siyasetinin xususiyyetlerini nezere almaqla tehlukesizliyi iki qrupu bolmek olar Mueyyen sayda istifadecinin maragina toxunan siyaset Konkret texnika sahesi ile bagli olan siyaset Mueyyen sayda istifadecinin maraqlarina toxunan xususilesdirilmis siyasete asagidakilar aiddir Elcatanliq siyasetinden istifade edilmesi Uzaqda yerlesmis sebeke ehtiyatlarina elcatanliq siyaseti Informasiyanin mudafie siyaseti Parolun mudafie siyaseti ve s Konkret texniki sahe ile bagli olan xususilesdirilmis siyasete daxildir Sebekelerarasi ekranlarin qurulusunun siyaseti Kriptoacarlarin sifrelenmesi ve idareedilmesi siyaseti Virtual mudafie olunan VPN sebeke tehlukesizliyi siyaseti Naqilsiz sebeke ile techiz edilmislerin siyaseti ve basqalari Xususilesdirilmis siyasetlerden bezilerini aydinlasdiraq Elcatanliq ile istifade olunan siyaset Siyasetin meqsedi komputer avadanliqlarindan ve sirketlerin servislerinden tehlukesiz istifade edilmesi ucun standart normalarin mueyyen edilmesi hemcinin emekdaslarin onlara mexsus informasiyani qorumasi ve korporativ resurslarin tehlukesizliyini temin etmesidir Komputer avadanliqlarindan ve servislerden duzgun istifade etmedikde sirket mueyyen riskler viruslarin hucumu sebeke sisteminin ve servisin etibardan dusmesi ve s ile qarsilasir Sirketin emekdaslari meslehetciler muveqqeti ise qebul edilmis qulluqcular ve sirketin diger iscileri hemcinin basqa muessiselerin emekdaslari elcatanliq siyasetinden istifade edirler Elcatanliq siyaseti sonuncu istifadeci ucun nezerde tutulmusdur ve ona hansi hereketi edib etmemesine gosteris verir Istifadenin elcatanliq siyaseti asagidakilari mueyyen edir Istifadecinin istenilen informasiyani onun komputerinde saxlandiqdan sonra mudafie etmesi ucun mesuliyyet dasimasi Istifadeciye adi olmayan fayllarin amma onlardan istifade etmesine icazesi oldugu ucun oxumasina suretinin almasina selahiyyetinin olmasi Veb elcatanliq ve elektron poctdan istifadeye icaze imkaninin verilmesi Tehsil ve dovlet muessiseleri ucun elcatanliq siyaseti sadece olaraq mecburidir Elcatanliq siyaseti ucun xususi format yoxdur Elcatanliq siyaseti yuksek ixtisasli pesekarlar terefinden servise uygun islenib hazirlanmisdir Uzaqlasdirilmis elcatanliq siyaseti Siyasetin meqsedi sirketin sebekesi ile istenilen host arasinda tehlukesiz elaqenin standart normalara uygun yaradilmasidir Standart normalar sirketin gorduyu isler zamani ona vurulacaq ziyani minimuma endirmek ucundur Ziyana sirketin intellektual mulkiyyeti sirketin imicinin tehrif olunmasi sirketin daxilinde bas vere bilecek cekismeler ve s aiddir Siyaset butun emekdaslara mal gonderene tedarukcuye sirketin agentlerine sirketde istifade olunan komputerlere ve ya isci stansiyalara aiddir Uzaqlasdirilmis elcatanliq siyaseti asagidakilari yerine yetirmelidir Daxili sebeke ile uzaqlasdirilmis sebekenin birlesme usulunu mueyyen etmekle yanasi qeyd etmek Ehemiyyetli olan iri sirketde sebekenin nece paylanmasini teyin etmek Daxili resurslara elcatanliq usulunun imkan daxilinde paylanmasini temin etmek Uzaqlasdirilmis elcatanliq siyaseti mueyyen etmelidir Uzaqlasdirilmis obyekt ucun hansi usul icaze verilir Uzaqlasdirimis obyektin qebul edeceyi verilenlerin mehdudlasdirilmasi Kim uzaqlasdirilmis obyekte malik ola biler Mudafie olunan obyekt ciddi sekilde nezaretde saxlanilmalidir Nezere almaq lazimdir ki yoxlamadan kecmis insanlar informasiyaya malik ola bilerler Sirketin emekdaslari ozlerine mexsus logini ve parolu hec kime vere bilmezler hetta aile uzvlerine de Uzaqlasdirilmis obyektin idare edilmesi sade olmali ve istifade zamani sehv yaranmamalidir Elcatanliga nezareti birdefelik parol ile yerine yetirmek meslehetdir Bununla yanasi istifade edilen butun avadanliqlara muasir antivirus proqrami yuklenmelidir Bu telebat sirketin ferdi komputerlerine de aiddir Sirketin istenilen emekdasi hazirki siyaseti pozduqda rehberlik terefinden cezalandirilmalidir isden azad edile de biler Tehlukesizlik prosedurlariTehlukesizlik proseduru tehlukesizlik siyasetine lazimli ve esas elave kimi hesab edilir Tehlukesizlik siyaseti neyin mudafie edilmesini ve mudafie qanunlarindan hansilarin esas olmasini mueyyen edir Tehlukesizlik prosedurlari resurslari siyaseti yerine yetiren mexanizmi daha dogrusu tehlukesizlik siyasetini nece heyata kecirmeyi nece mudafie etmeyi mueyyen edir Eslinde tehlukesizlik prosedurlari operativ meseleleri addim ba addim nece hell etmek ucun telimatdir Prosedurun bir hessesi siyaseti real fealiyyete cevirmek ucun aletdir Meselen parollarin formalasdirilmasi siyaseti parollarin qurulmasi qanunlaridir bura parolu nece mudafi etmek onu tez tez nece deyismek ve s aiddir Parollarin idare edilmesi proseduru yeni parolun yaranmasini izah edir bununla yanasi kritik veziyyetde parolu deyisen zaman ona teminat da verir Tehlukesizlik ile bagli olan bir cox prosedurlar istenilen bolmede standart vesaitler olmalidir Meselen ehtiyat ucun sureti alinmis material ve sistemden kanar onun mudafie olunmaqla yaddasda saxlanilmasi loginin ve istifadeci parolunun arxivlesdirilmesi istifadeci isden azad olduqda ona mexsus parolun legv edilmesi ve s hallari numune kimi gostermek olar Asagida her bir teskilat ucun esas sayilan tehlukesizlik prosedurlari verilmisdir Bas vermis hadiselere reaksiya veren prosedurlar bir cox muessiseler ucun esas tehlukesizlik vasiteleri sayilir Muessise onun sebekesine kenardan mudaxile edildikde ve ya bedbext hadise bas verdikde ciddi ziyana dusmus olur Bele prosedurlari bezen hadiselerin tehlili proseduru ve ya bas vermis hadiseye reaksiya veren prosedur adlandirirlar Tecrube gosterir ki bas vermis qayda qanun pozuntularina cavab vermek mumkun deyil amma bezi pozuntular vardir ki onlar bas vermemis qarsisini almaq vacibdir Meselen sebeke portlarinin skanere edilmesi xidmetden imtina hucumunun vaxtinda yoluna qoyulmasi hostun nufuzdan salinmasi qeyri qanuni elcatanliqla mubarize ve s numune gosterile biler Prosedur asagidakilari mueyyen edir Reaksiya verme komandasi uzvlerinin vezifeleri Hansi informasiyani qeyd etmek ve izlemek Normadan kenarlasan tedqiqatlarin tehlili ve qefleten edilen hucumlarin arasdirilmasi Kimi ve ne vaxt xeberdar etmek Kim informasiyani kenara yaya biler ve bunun ucun ne etmelidir Yerine yetirilecek tehlillere kim rehberlik etmelidir ve burada kimlerin istiraki vacibdir Reaksiya verme komandasina sirketin vezifeli sexsleri marketinq meneceri metbuat ile elaqe qurmaq ucun sistem ve sebeke inzibatcilari ve qanun kesiyinde dayanan orqanlarin numayendeleri daxil olmalidir Prosedur bunlarin hansi ardicilliqla cagirilmasini mueyyen etmelidir Xarici gorunusu idareetme prosedurlari adeten ya korporativ seviyyede ya da ki bolmeler seviyyesinde mueyyen edilir Prosedura muessisede senedlesme prosesinde ve butun seviyyelerde qebul edilmis konfiqurasiyanin xarici gorunusun deyismesine ehtiyac duyulduqda heyata kecirilir Prinsipce yaradilmis merkezi qrup xarici gorunusun deyismesi ile bagli suallari nezerden kecirmeli ve lazim olan qerari qebul etmeldir Xarici gorunusu idareetme proseduru asagidakilari mueyyen edir Proqram ve aparat teminatinin konfiqurasiyasinin deyismesine kim cavabdehdir Yeni proqram ve aparat teminatini kim testden kecirmeli ve instalizasiya etmelidir Proqram ve aparat teminatinin senedlesdirilmesinde deyisiklik nece yerine yetirilmelidir Proqram ve aparat teminatinin deyisdirilmesi barede kim melumatli olmalidir Xarici gorunusu idareetme proseduru vacibdir cunki edilmis deyisiklikler auditin imkanlarini mueyyen edir istifade edilen sistemin senedlesdirilmesine imkan verir edilmis deyisikliyin ele sekilde yerine yetirilmesine serait yaradir ki deyisiklik digerlerine manecilik toretmesin