Təşkilatın informasiya təhlükəsizliyi siyasəti. İnformasiya təhlükəsizliyi siyasəti və onun təşkili prinsipləri

Nüvədən kənar TSF proqramı təhlükəsizlik funksiyalarını həyata keçirmək üçün istifadə edilən etibarlı proqramlardan ibarətdir. Qeyd edək ki, bəzi hallarda PAM modulları da daxil olmaqla, paylaşılan kitabxanalar etibarlı proqramlar tərəfindən istifadə olunur. Bununla belə, paylaşılan kitabxananın özünün etibarlı obyekt kimi qəbul edildiyi heç bir nümunə yoxdur. Etibarlı əmrləri aşağıdakı kimi qruplaşdırmaq olar.

  • Sistemin işə salınması
  • İdentifikasiya və Doğrulama
  • Şəbəkə Proqramları
  • Toplu emal
  • Sistemin idarə edilməsi
  • İstifadəçi səviyyəsində audit
  • Kriptoqrafik dəstək
  • Virtual maşın dəstəyi

Nüvə icra komponentləri necə yerinə yetiriləcəyindən asılı olaraq üç komponent hissəyə bölünə bilər: əsas ləpə, nüvə mövzuları və nüvə modulları.

  • Əsas, istifadəçi sistem zənginə xidmət göstərmək və ya istisna hadisəsinə və ya kəsilməyə xidmət göstərmək kimi bir xidmət təmin etmək üçün işləyən kodu ehtiva edir. Ən çox tərtib edilmiş nüvə kodu bu kateqoriyaya aiddir.
  • Kernel ipləri. Disk keşlərinin təmizlənməsi və ya istifadə olunmamış səhifə bloklarının dəyişdirilməsi ilə yaddaşın boşaldılması kimi müəyyən rutin tapşırıqları yerinə yetirmək üçün nüvə daxili proseslər və ya mövzular yaradır. Mövzular adi proseslər kimi planlaşdırılıb, lakin onların imtiyazsız rejimdə konteksti yoxdur. Kernel mövzuları xüsusi nüvə C dili funksiyalarını yerinə yetirir. Kernel mövzuları nüvə məkanında yerləşir və yalnız imtiyazlı rejimdə işləyir.
  • Kernel modulu və cihaz drayverinin ləpə modulu lazım olduqda nüvəyə yüklənə və boşaltıla bilən kod parçalarıdır. Sistemin yenidən başlamasına ehtiyac olmadan nüvənin funksionallığını genişləndirirlər. Yükləndikdən sonra nüvə modulunun obyekt kodu digər nüvə koduna və verilənlərinə statik olaraq bağlı nüvə obyekt kodu ilə eyni şəkildə daxil ola bilər.
Qurğu drayveri nüvəyə sistemə qoşulmuş avadanlıqlara daxil olmağa imkan verən xüsusi növ nüvə moduludur. Bu cihazlar sabit disklər, monitorlar və ya şəbəkə interfeysləri ola bilər. Sürücü nüvənin qalan hissəsi ilə əsas tətbiqetmələrindən asılı olmayaraq, nüvəyə bütün cihazlarla universal şəkildə işləməyə imkan verən müəyyən edilmiş interfeys vasitəsilə əlaqə saxlayır.

Kernel müxtəlif funksionallığı təmin edən məntiqi alt sistemlərdən ibarətdir. Kernel yeganə icra edilə bilən proqram olsa da, onun təqdim etdiyi müxtəlif xidmətlər ayrıla və müxtəlif məntiqi komponentlərə birləşdirilə bilər. Bu komponentlər xüsusi funksiyaları təmin etmək üçün qarşılıqlı əlaqədə olurlar. Əsas aşağıdakı məntiqi alt sistemlərdən ibarətdir:

  • Fayl alt sistemi və I/O alt sistemi: Bu alt sistem fayl sistemi obyektləri ilə əlaqəli funksiyaları həyata keçirir. Həyata keçirilən funksiyalara prosesə fayl sistemi obyektlərini yaratmağa, saxlamağa, qarşılıqlı əlaqədə olmağa və silməyə imkan verən funksiyalar daxildir. Bu obyektlərə adi fayllar, kataloqlar, simvolik keçidlər, sərt keçidlər, müəyyən cihaz növlərinə xas fayllar, adlandırılmış borular və yuvalar daxildir.
  • Proses alt sistemi: Bu alt sistem prosesin idarə edilməsi və mövzunun idarə edilməsi ilə bağlı funksiyaları həyata keçirir. Həyata keçirilən funksiyalar prosesləri və mövzuları yaratmağa, planlaşdırmağa, icra etməyə və silməyə imkan verir.
  • Yaddaş alt sistemi: Bu alt sistem sistem yaddaş resurslarının idarə edilməsi ilə bağlı funksiyaları həyata keçirir. Həyata keçirilən funksiyalara virtual yaddaş yaradan və idarə edən funksiyalar, o cümlədən paging alqoritmlərinin və səhifə cədvəllərinin idarə edilməsi daxildir.
  • Şəbəkə alt sistemi: Bu alt sistem UNIX və İnternet domen soketlərini və şəbəkə paketlərini planlaşdırmaq üçün istifadə olunan alqoritmləri həyata keçirir.
  • IPC alt sistemi: Bu alt sistem IPC mexanizmləri ilə bağlı funksiyaları həyata keçirir. Həyata keçirilən funksiyalara proseslər arasında idarə olunan əlaqəni asanlaşdıran, paylaşılan resursla qarşılıqlı əlaqədə olarkən onlara verilənləri paylaşmağa və onların icrasını sinxronlaşdırmağa imkan verən funksiyalar daxildir.
  • Kernel modul alt sistemi: Bu alt sistem yüklənə bilən modulları dəstəkləmək üçün infrastrukturu həyata keçirir. Həyata keçirilən funksiyalara nüvə modullarının yüklənməsi, işə salınması və boşaldılması daxildir.
  • Linux Təhlükəsizlik Genişləndirmələri: Linux təhlükəsizlik genişləndirmələri Linux Təhlükəsizlik Modulu (LSM) çərçivəsi də daxil olmaqla, nüvədə təmin edilən müxtəlif təhlükəsizlik aspektlərini həyata keçirir. LSM çərçivəsi SELinux da daxil olmaqla müxtəlif təhlükəsizlik siyasətlərinin həyata keçirilməsinə imkan verən modullar üçün əsas kimi xidmət edir. SELinux mühüm məntiqi alt sistemdir. Bu alt sistem bütün subyektlər və obyektlər arasında giriş əldə etmək üçün məcburi girişə nəzarət funksiyalarını həyata keçirir.
  • Cihaz sürücüsü alt sistemi: Bu alt sistem ümumi, cihazdan asılı olmayan interfeys vasitəsilə müxtəlif aparat və proqram cihazlarına dəstək verir.
  • Audit alt sistemi: Bu alt sistem sistemdə təhlükəsizlik baxımından kritik hadisələrin qeydə alınması ilə bağlı funksiyaları həyata keçirir. Həyata keçirilən funksiyalara təhlükəsizlik baxımından kritik hadisələri qeyd etmək üçün hər bir sistem çağırışını tutan funksiyalar və audit məlumatlarının toplanması və qeydə alınmasını həyata keçirən funksiyalar daxildir.
  • KVM alt sistemi: Bu alt sistem virtual maşının həyat dövrünün saxlanmasını həyata keçirir. Yalnız kiçik yoxlamalar tələb edən təlimatlar üçün istifadə olunan təlimatın tamamlanmasını həyata keçirir. Hər hansı digər təlimatın tamamlanması üçün KVM QEMU istifadəçi sahəsi komponentini çağırır.
  • Kripto API: Bu alt sistem bütün nüvə komponentləri üçün nüvə daxili kriptoqrafik kitabxanasını təmin edir. Zəng edənlər üçün kriptoqrafik primitivləri təmin edir.

Kernel əməliyyat sisteminin əsas hissəsidir. O, birbaşa avadanlıqla əlaqə saxlayır, resurs mübadiləsini həyata keçirir, tətbiqlərə ümumi xidmətlər təqdim edir və proqramların aparatdan asılı funksiyalara birbaşa çıxışının qarşısını alır. Kernel tərəfindən təmin edilən xidmətlərə aşağıdakılar daxildir:

1. Proseslərin icrasının idarə edilməsi, o cümlədən onların yaradılması, dayandırılması və ya dayandırılması əməliyyatları və proseslərarası məlumat mübadiləsi. Onlara daxildir:

  • CPU-da icra üçün proseslərin ekvivalent planlaşdırılması.
  • Vaxt mübadiləsi rejimindən istifadə edərək CPU-da proseslərin bölünməsi.
  • Prosesin CPU-da icrası.
  • Ayrılmış vaxt kvantının müddəti bitdikdən sonra nüvənin dayandırılması.
  • Kernel vaxtının başqa bir prosesə ayrılması.
  • Dayandırılmış prosesi yerinə yetirmək üçün nüvə vaxtının yenidən planlaşdırılması.
  • UID-lər, GID-lər, SELinux teqləri, xüsusiyyət identifikatorları kimi proses təhlükəsizliyi ilə əlaqəli metadataları idarə edin.
2. İcra prosesi üçün RAM-ın ayrılması. Bu əməliyyata daxildir:
  • Müəyyən şərtlər altında ünvan sahəsinin bir hissəsini bölüşmək üçün ləpə tərəfindən proseslərə verilən icazə; bununla belə, nüvə prosesin öz ünvan məkanını xarici müdaxilədən qoruyur.
  • Sistemdə boş yaddaş azdırsa, nüvə prosesi müvəqqəti olaraq ikinci səviyyəli yaddaşa və ya dəyişdirməyə yazaraq yaddaşı azad edir.
  • Kompilyator tərəfindən yaradılan ünvanlar və fiziki ünvanlar arasında xəritəçəkmə quran fiziki ünvan xəritələşdirilməsinə virtual ünvan yaratmaq üçün maşın avadanlığı ilə əlaqələndirilmiş qarşılıqlı əlaqə.
3. Virtual maşının həyat dövrünə texniki xidmət, o cümlədən:
  • Verilmiş virtual maşın üçün emulyasiya tətbiqi tərəfindən konfiqurasiya edilmiş resurslara məhdudiyyətlər qoyur.
  • İcra üçün virtual maşın proqram kodunun işə salınması.
  • Təlimatı tamamlayaraq və ya istifadəçi sahəsini təqlid etmək üçün təlimatın tamamlanmasını gecikdirməklə virtual maşınların bağlanmasını idarə edir.
4. Fayl sisteminə texniki qulluq. Bura daxildir:
  • İstifadəçi məlumatlarının səmərəli saxlanması və axtarışı üçün ikinci dərəcəli yaddaşın ayrılması.
  • İstifadəçi faylları üçün xarici yaddaşın ayrılması.
  • İstifadə edilməmiş məlumat saxlama yerini təkrar emal edin.
  • Fayl sistemi strukturunun təşkili (aydın strukturlaşdırma prinsiplərindən istifadə etməklə).
  • İstifadəçi fayllarının icazəsiz girişdən qorunması.
  • Terminallar, lent ötürücüləri, disk sürücüləri və şəbəkə cihazları kimi periferik cihazlara idarə olunan proses girişinin təşkili.
  • Subyektlər və obyektlər üçün məlumatlara qarşılıqlı girişin təşkili, DAC siyasəti və yüklənmiş LSM tərəfindən həyata keçirilən hər hansı digər siyasət əsasında idarə olunan girişin təmin edilməsi.
Linux ləpəsi tapşırıqların əvvəlcədən seçilməsi ilə planlaşdırmanı həyata keçirən bir OS nüvəsidir. Bu xüsusiyyətə malik olmayan ləpələrdə nüvə kodunun icrası tamamlanana qədər davam edir, yəni. planlayıcı, nüvədə olarkən tapşırığı yenidən planlaşdırmaq iqtidarında deyil. Bundan əlavə, ləpə kodunun əvvəlcədən planlaşdırılmadan birgə icrası planlaşdırılır və bu kodun icrası dayandırılana və istifadəçi sahəsinə qayıdana qədər və ya açıq şəkildə bloklanana qədər davam edir. Preemptive ləpələrdə, ləpə yenidən planlaşdırmaq üçün təhlükəsiz olduğu bir vəziyyətdə olduğu müddətcə istənilən nöqtədə tapşırığı qabaqlamaq mümkündür.

Bu mövzuda şəxsi təcrübəyə və şəbəkə materiallarına əsaslanaraq kommersiya strukturu üçün informasiya təhlükəsizliyi sahəsində normativ sənədlərin hazırlanmasına dair təlimat tərtib etməyə çalışacağam.

Burada suallara cavab tapa bilərsiniz:

  • informasiya təhlükəsizliyi siyasəti nə üçün lazımdır;
  • onu necə tərtib etmək;
  • necə istifadə etmək olar.

İnformasiya təhlükəsizliyi siyasətinə ehtiyac
Bu bölmədə informasiya təhlükəsizliyi siyasətinin və onu müşayiət edən sənədlərin dərsliklərin və standartların gözəl dilində deyil, şəxsi təcrübədən nümunələrdən istifadə etməklə həyata keçirilməsi zərurətindən bəhs edilir.
İnformasiya təhlükəsizliyi şöbəsinin məqsəd və vəzifələrini başa düşmək
İlk növbədə, siyasət şirkətin informasiya təhlükəsizliyinin məqsəd və vəzifələrini biznesə çatdırmaq üçün lazımdır. Müəssisələr başa düşməlidirlər ki, təhlükəsizlik təkcə məlumat sızmalarını araşdırmaq üçün bir vasitə deyil, həm də şirkətin risklərini minimuma endirməkdə və buna görə də şirkətin gəlirliliyini artırmaqda köməkçidir.
Siyasət tələbləri qoruyucu tədbirlərin həyata keçirilməsi üçün əsasdır
İnformasiya təhlükəsizliyi siyasəti şirkətdə qoruyucu tədbirlərin tətbiqini əsaslandırmaq üçün lazımdır. Siyasət şirkətin ən yüksək inzibati orqanı (baş direktor, direktorlar şurası və s.) tərəfindən təsdiq edilməlidir.

İstənilən qoruyucu tədbir riskin azaldılması və istifadəçi təcrübəsi arasında kompromisdir. Təhlükəsizlik mütəxəssisi müəyyən risklərin meydana çıxması səbəbindən prosesin hansısa şəkildə baş verməməsi lazım olduğunu dedikdə, ona həmişə ağlabatan sual verilir: “Bu necə olmalıdır?”. Təhlükəsizlik mütəxəssisi bu risklərin biznes üçün müəyyən dərəcədə qənaətbəxş olduğu bir proses modeli təklif etməlidir.

Üstəlik, istifadəçinin şirkətin informasiya sistemi ilə qarşılıqlı əlaqəsi ilə bağlı hər hansı qoruyucu tədbirlərin tətbiqi həmişə istifadəçinin mənfi reaksiyasına səbəb olur. Yenidən öyrənmək istəmirlər, onlar üçün hazırlanmış təlimatları oxuyurlar və s. Çox vaxt istifadəçilər ağlabatan suallar verirlər:

  • niyə mən həmişə istifadə etdiyim sadə üsulla yox, sizin icad etdiyiniz sxem üzrə işləməliyəm
  • bütün bunları kim icad etdi
Təcrübə göstərdi ki, istifadəçi risklərə əhəmiyyət vermir, siz ona hakerlər, cinayət məcəlləsi və s. haqqında uzun müddət və yorucu bir şəkildə izah edə bilərsiniz, bundan sinir hüceyrələrinin israfından başqa heç nə gəlməyəcək.
Əgər şirkətinizin informasiya təhlükəsizliyi siyasəti varsa, qısa və lakonik cavab verə bilərsiniz:
bu tədbir şirkətin ən yüksək inzibati orqanı tərəfindən təsdiq edilmiş şirkətin informasiya təhlükəsizliyi siyasətinin tələblərinə uyğun olaraq tətbiq edilmişdir.

Bir qayda olaraq, bundan sonra əksər istifadəçilərin enerjisi azalır. Qalanlardan şirkətin bu ən yüksək inzibati orqanına memorandum yazmağı xahiş etmək olar. Qalanların aradan qaldırıldığı yer budur. Çünki qeyd ora getsə belə, görülən tədbirlərin zəruriliyini rəhbərliyə hər zaman sübut edə bilərik. Çörəyimizi yeməyimiz əbəs deyil, elə deyilmi? Siyasət hazırlayarkən iki şeyi nəzərə almaq lazımdır.
  • İnformasiya təhlükəsizliyi siyasətinin hədəf auditoriyası mürəkkəb texniki ifadələri başa düşməyən, lakin siyasətin müddəaları ilə tanış olmalı olan son istifadəçilər və şirkətin top menecmentidir.
  • Qeyri-mümkün olanı sıxmağa çalışmaq lazım deyil, bacardığınız hər şeyi bu sənədə daxil edin! Yalnız informasiya təhlükəsizliyi məqsədləri, onlara nail olmaq üsulları və məsuliyyət olmalıdır! Xüsusi bilik tələb olunmasa, texniki təfərrüatlar yoxdur. Bütün bunlar təlimat və qaydalar üçün materiallardır.


Yekun sənəd aşağıdakı tələblərə cavab verməlidir:
  • qısalıq - böyük bir sənəd həcmi hər hansı bir istifadəçini qorxutacaq, heç kim sənədinizi oxumayacaq (və siz bir neçə dəfə "bu, tanış olduğunuz informasiya təhlükəsizliyi siyasətinin pozulmasıdır" ifadəsini işlədəcəksiniz)
  • sadə insan üçün əlçatanlıq - son istifadəçi siyasətdə NƏ yazıldığını başa düşməlidir (o, heç vaxt “giriş”, “giriş modeli”, “informasiya təhlükəsizliyi hadisəsi”, “informasiya infrastrukturu”, “texnogen” söz və ifadələrini oxumayacaq və ya xatırlamayacaq. ”, “antropogen”, “risk faktoru” və s.)
Buna necə nail olmaq olar?

Əslində hər şey çox sadədir: informasiya təhlükəsizliyi siyasəti birinci səviyyəli sənəd olmalıdır, o, genişləndirilməli və başqa sənədlərlə (qaydalar və təlimatlar) əlavə edilməlidir ki, bu da artıq konkret nəyisə təsvir edəcək.
Dövlətlə bənzətmə aparmaq olar: birinci səviyyəli sənəd konstitusiyadır, dövlətdə mövcud olan doktrinalar, konsepsiyalar, qanunlar və digər normativ aktlar isə yalnız onun müddəalarının həyata keçirilməsini tamamlayır və tənzimləyir. Təxmini diaqram şəkildə göstərilmişdir.

Sıyığı boşqabın üzərinə sürtməmək üçün internetdə tapıla bilən informasiya təhlükəsizliyi siyasətinə dair nümunələrə nəzər salaq.

Faydalı səhifə sayı* Şərtlərlə doludur Ümumi reytinq
Qazprombank ASC 11 Çox yüksək
“Damu” Sahibkarlığın İnkişafı Fondu ASC 14 Yüksək Düşüncəli oxumaq üçün mürəkkəb sənəd, adi insan onu oxumayacaq, oxusalar, başa düşməyəcək və xatırlamayacaqlar.
"KazMunayQaz" SC 3 Aşağı Anlaşılması asan sənəd, texniki terminlərlə yüklənməyib
"Akademik A. L. Mints adına Radiotexnika İnstitutu" ASC 42 Çox yüksək Düşüncəli oxumaq üçün mürəkkəb bir sənəd, orta adam onu ​​oxumayacaq - çoxlu səhifələr var

* Mündəricat, başlıq səhifəsi və konkret məlumat daşımayan digər səhifələrin sayını faydalı adlandırıram.

CV

İnformasiya təhlükəsizliyi siyasəti bir neçə səhifəyə sığmalı, adi insan üçün asan başa düşülməli, informasiya təhlükəsizliyinin məqsədlərini, onlara nail olmaq üsullarını və işçilərin vəzifələrini ümumi şəkildə təsvir etməlidir.
İnformasiya təhlükəsizliyi siyasətinin həyata keçirilməsi və istifadəsi
İnformasiya təhlükəsizliyi siyasətini təsdiq etdikdən sonra siz:
  • bütün mövcud işçiləri siyasətlə tanış etmək;
  • bütün yeni işçiləri siyasətlə tanış etmək (bunu necə etmək daha yaxşıdır, ayrıca müzakirə mövzusudur; yeni gələnlər üçün giriş kursumuz var, mən izahat verirəm);
  • riskləri müəyyən etmək və minimuma endirmək üçün mövcud biznes prosesləri təhlil etmək;
  • sonradan qatar arxasınca qaçmamaq üçün yeni iş proseslərinin yaradılmasında iştirak etmək;
  • siyasəti tamamlayan reqlamentləri, prosedurları, təlimatları və digər sənədləri (internetə çıxışın təmin edilməsi üçün təlimatlar, məhdud ərazilərə çıxışın təmin edilməsi üçün təlimatlar, şirkətin informasiya sistemləri ilə işləmək üçün təlimatlar və s.) hazırlamaq;
  • ən azı rübdə bir dəfə informasiya təhlükəsizliyi siyasətini və digər informasiya təhlükəsizliyi sənədlərini yeniləmək üçün onlara baxmaq.

Suallar və təkliflər üçün şərhlərdə və PM-də xoş gəlmisiniz.

Sual %username%

Siyasətə gəlincə, mənim sadə sözlərlə istədiklərimi müdirlər bəyənmir. Mənə deyirlər: “Məndən, səndən və özləri hər şeyi bilən və başa düşən daha 10 İT işçimizdən başqa, bundan heç nə başa düşməyən 2 yüz nəfərimiz var, onların yarısı təqaüdçüdür”.
Mən təsvirlərin orta qısalığı yolunu izlədim, məsələn, antivirusdan qorunma qaydaları və aşağıda bir şey yazıram ki, antivirusdan qorunma siyasəti var və s. Ancaq istifadəçinin siyasətə imza atdığını başa düşmürəm, amma yenə də bir sıra digər sənədləri oxumalıdır, görünür, siyasəti qısaldıb, amma deyəsən, eləməyib.

Burada prosesin təhlili yolunu tutacaqdım.
Deyək ki, antivirus müdafiəsi. Məntiqlə belə olmalıdır.

Viruslar bizim üçün hansı risklər yaradır? İnformasiyanın bütövlüyünün (zərərlənməsinin) pozulması, məlumatın mövcudluğunun (serverlərin və ya fərdi kompüterlərin işləməməsi) pozulması. Şəbəkə düzgün təşkil olunarsa, istifadəçinin sistemdə yerli administrator hüquqları olmamalıdır, yəni sistemə proqram təminatı (və buna görə də viruslar) quraşdırmaq hüququ olmamalıdır. Beləliklə, təqaüdçülər burada bizneslə məşğul olmadığından yıxılırlar.

Viruslarla əlaqəli riskləri kim azalda bilər? Domen administratoru hüquqlarına malik olan istifadəçilər. Domen administratoru həssas roldur, İT departamentlərinin işçilərinə verilir və s. Müvafiq olaraq, antiviruslar quraşdırmalıdırlar. Belə çıxır ki, onlar antivirus sisteminin fəaliyyətinə də cavabdehdirlər. Müvafiq olaraq, onlar antivirus mühafizəsinin təşkili ilə bağlı təlimatları imzalamalıdırlar. Əslində bu məsuliyyət təlimatlarda yazılmalıdır. Məsələn, təhlükəsizlik işçisi idarə edir, adminlər icra edir.

Sual %username%

Onda sual yaranır ki, Anti-Virus Zİ-nin virusların yaradılması və istifadəsi üçün məsuliyyət daşıyan təlimatlara nə daxil edilməməlidir (yaxud məqalə varmı və onu qeyd etmək olmaz)? Yoxsa onlardan virus və ya qəribə PC davranışı barədə Yardım Masası və ya İT işçilərinə məlumat vermələri tələb olunur?

Yenə də risklərin idarə edilməsi baxımından baxardım. Bu, belə desək, GOST 18044-2007-dən iyi gəlir.
Sizin vəziyyətinizdə "qəribə davranış" mütləq virus deyil. Bu, sistem əyləci və ya əyləc və s. ola bilər. Müvafiq olaraq, bu insident deyil, informasiya təhlükəsizliyi hadisəsidir. Yenə GOST-a görə, hər hansı bir şəxs hadisə barədə məlumat verə bilər, ancaq bunun bir hadisə olub-olmadığını yalnız təhlildən sonra başa düşmək olar.

Beləliklə, sizin bu sualınız artıq informasiya təhlükəsizliyi siyasəti ilə deyil, insidentlərin idarə olunması ilə nəticələnir. Siyasətiniz bunu ifadə etməlidir şirkətdə insidentlərin idarə edilməsi sistemi olmalıdır.

Yəni, gördüyünüz kimi, siyasətin inzibati icrası əsasən inzibatçıların və təhlükəsizlik işçilərinin üzərinə düşür. İstifadəçilər fərdi əşyalarla qalır.

Buna görə də, bəzi "Şirkətdə SVT-dən istifadə qaydası" tərtib etməlisiniz, burada istifadəçilərin məsuliyyətlərini göstərməlisiniz. Bu sənəd informasiya təhlükəsizliyi siyasəti ilə əlaqələndirilməlidir və belə desək, istifadəçi üçün izahat olmalıdır.

Bu sənəd istifadəçinin anormal kompüter fəaliyyəti barədə müvafiq orqanı xəbərdar etməli olduğunu göstərə bilər. Yaxşı, başqa hər şeyi oraya əlavə edə bilərsiniz.

Ümumilikdə istifadəçini iki sənədlə tanış etməlisiniz:

  • informasiya təhlükəsizliyi siyasəti (nəyin edildiyini və niyə edildiyini başa düşmək, gəmini silkələməmək, yeni idarəetmə sistemlərini təqdim edərkən söyüş söyməmək və s.)
  • bu "Şirkətdə SVT-dən istifadə proseduru" (belə ki, konkret hallarda nə edəcəyini dəqiq başa düşsün)

Müvafiq olaraq, yeni bir sistem tətbiq edərkən siz sadəcə olaraq “Prosedur”a bir şey əlavə edirsiniz və proseduru elektron poçtla (və ya varsa, EDMS vasitəsilə) göndərməklə bu barədə işçilərə məlumat verirsiniz.

Teqlər:

  • informasiya təhlükəsizliyi
  • risklərin idarə edilməsi
  • təhlükəsizlik siyasəti
Teqlər əlavə edin

Müasir dünyada “informasiya təhlükəsizliyi siyasəti” anlayışı həm geniş, həm də dar mənada şərh edilə bilər. Birinci, daha geniş mənaya gəldikdə, o, müəyyən bir təşkilat tərəfindən qəbul edilən, rəsmi sənədləşdirilmiş və müəssisənin təhlükəsizliyini təmin etməyə yönəlmiş mürəkkəb qərarlar sistemini ifadə edir. Dar mənada bu anlayış təhlükəsizlik tələblərini, görülən tədbirlər sistemini, işçilərin məsuliyyətini və nəzarət mexanizmini müəyyən edən yerli əhəmiyyətli sənəd deməkdir.

Hərtərəfli informasiya təhlükəsizliyi siyasəti istənilən şirkətin sabit fəaliyyətinin təminatıdır. Onun əhatəliliyi qorunma dərəcəsinin düşünülmüş və balanslı olması, eləcə də hər hansı pozuntu halında düzgün tədbirlər və nəzarət sisteminin işlənib hazırlanmasıdır.

Etibarlı informasiya təhlükəsizliyi sxeminin yaradılmasında bütün təşkilati üsullar mühüm rol oynayır, çünki məlumatdan qeyri-qanuni istifadə texniki problemlərin deyil, zərərli hərəkətlərin, kadrların səhlənkarlığının nəticəsidir. Yaxşı bir nəticə əldə etmək üçün sistemə bütün icazəsiz girişləri istisna edən təşkilati, hüquqi və texniki tədbirlərin hərtərəfli qarşılıqlı əlaqəsi lazımdır.

İnformasiya təhlükəsizliyi şirkətin düzgün işləməsinin və sabit inkişafının təminatıdır. Bununla belə, yüksək keyfiyyətli mühafizə sisteminin qurulması üçün əsas aşağıdakı suallara cavab olmalıdır:

    Məlumat sistemi nədir və hansı səviyyədə təhlükəsizlik mühafizəsi tələb olunacaq?

    İnformasiya sisteminin fəaliyyətini pozmaqla şirkətə ziyan vurmaq iqtidarında olan kimdir və alınan məlumatlardan kim istifadə edə bilər?

    Təşkilatın düzgün işləməsini pozmadan belə bir riski necə minimuma endirmək olar?

    Buna görə də, informasiya təhlükəsizliyi konsepsiyası şəxsən konkret müəssisə üçün və onun maraqlarına uyğun hazırlanmalıdır. Onun keyfiyyət xüsusiyyətlərində əsas rolu təşkilati tədbirlər oynayır, bunlara aşağıdakılar daxildir:

      Müəyyən edilmiş girişə nəzarət sisteminin təşkili. Bu, şirkətin ərazisinə icazəsiz şəxslərin gizli və icazəsiz daxil olmasının qarşısını almaq, habelə binada qalma və tərk etmə vaxtına nəzarət etmək üçün edilir.

      İşçilərlə işləmək. Onun mahiyyəti işçi heyəti ilə qarşılıqlı əlaqənin təşkili və kadrların işə götürülməsindən ibarətdir. Onlarla tanış olmaq, məlumatla işləmə qaydalarını hazırlamaq və öyrətmək də vacibdir ki, işçilər onun məxfilik həddini bilsinlər.

      İnformasiya təhlükəsizliyi siyasəti, həmçinin toplanması, toplanması və məxfiliyin artırılmasına yönəlmiş texniki vasitələrin strukturlaşdırılmış istifadəsini nəzərdə tutur.

      Məxfi məlumatlardan istifadə baxımından personalın monitorinqinə yönəlmiş işlərin aparılması və onun mühafizəsini təmin edən tədbirlərin işlənib hazırlanması.

    Belə siyasətin həyata keçirilməsi xərcləri onun itirilməsi nəticəsində yarana biləcək potensial zərərdən artıq olmamalıdır.

    İnformasiya təhlükəsizliyi siyasəti və onun effektivliyi əsasən şirkət tərəfindən ona təqdim olunan tələblərin sayından asılıdır ki, bu da risk dərəcəsini lazımi səviyyəyə endirməyə imkan verir.

Müəssisə üçün onun məlumatı mühüm resursdur. İnformasiya təhlükəsizliyi siyasəti informasiyanın təsadüfi və ya qəsdən əldə edilməsi, məhv edilməsi və s.-dən qorunması üçün zəruri tədbirləri müəyyən edir. Müəssisənin hər bir işçisi təhlükəsizlik siyasətinə əməl olunmasına görə məsuliyyət daşıyır. Təhlükəsizlik siyasətinin məqsədləri bunlardır:

  • İşçilərin öz vəzifələrini normal yerinə yetirmələri üçün şirkət resurslarına davamlı çıxışın həyata keçirilməsi
  • Kritik informasiya resurslarının təmin edilməsi
  • Məlumat bütövlüyünün qorunması
  • Müəssisədə informasiya təhlükəsizliyinin həyata keçirilməsi üçün işçilərin məsuliyyət dərəcəsinin və funksiyalarının təyin edilməsi
  • İstifadəçiləri məlumatla bağlı risklərlə tanış etmək üçün çalışın. müəssisə resursları

İnformasiya təhlükəsizliyi siyasətinə uyğunluğu təmin etmək üçün işçilər vaxtaşırı yoxlanılmalıdır. Siyasət qaydaları müəssisənin bütün resurslarına və məlumatlarına şamil edilir. Şirkət hesablama resurslarına, biznes məlumatlarına, lisenziyalı və yaradılmış proqram təminatına, poçt məzmununa və müxtəlif növ sənədlərə sahib olmaq hüququna malikdir.

Müəssisənin bütün informasiya aktivləri üçün müəyyən aktivlərin istifadəsinə görə məsuliyyət daşıyan müvafiq şəxslər olmalıdır.

İnformasiya sistemlərinə girişə nəzarət

Bütün vəzifələr yalnız müəssisədə istifadəyə icazə verilmiş kompüterlərdə yerinə yetirilməlidir. Portativ cihazlarınızın və yaddaş cihazlarınızın istifadəsi yalnız təsdiqlə mümkündür. Bütün məxfi məlumatlar sərt disk şifrələmə proqramı ilə təchiz edilmiş sərt disklərdə şifrələnmiş formada saxlanmalıdır. İnformasiya sisteminə işçilərin hüquqları vaxtaşırı yoxlanılmalıdır. İnformasiya resursuna səlahiyyətli girişi həyata keçirmək üçün sistemə daxil olmaq unikal istifadəçi adı və paroldan istifadə etməklə həyata keçirilməlidir. Parollar təmin edilməlidir. Həmçinin, fasilə zamanı və ya işçi iş yerində olmadıqda, işləyən maşını bloklamaq üçün ekran qoruyucu funksiyası işə salınmalıdır.

Üçüncü şəxslərin müəssisənin informasiya sisteminə daxil olması

Hər bir işçi üçüncü şəxslərə informasiya şəbəkəsi resurslarına çıxış imkanı verdiyi barədə informasiya təhlükəsizliyi xidmətinə məlumat verməlidir.

Uzaqdan giriş

Şəxsi portativ cihazlardan istifadə edən işçilər müəssisənin informasiya şəbəkəsinə uzaqdan giriş tələb edə bilərlər. Saytdan kənarda işləyən və uzaqdan girişi olan işçilərə korporativ şəbəkədən məlumatların surətini çıxarmaq qadağandır. Həmçinin, belə işçilərin müəssisəyə aid olmayan müxtəlif şəbəkələrə birdən çox əlaqəsi ola bilməz. Uzaqdan girişi olan kompüterlər olmalıdır.

İnternetə çıxış

Bu cür girişə şəxsi istifadə üçün deyil, yalnız biznes məqsədləri üçün icazə verilməlidir. Aşağıdakılar tövsiyələrdir:

  • Cəmiyyət üçün təhqiramiz hesab edilən və ya cinsi məzmunlu, təbliğat və s. ehtiva edən veb-resursa daxil olmaq qadağandır.
  • İşçilər şirkət məlumatlarını saxlamaq üçün internetdən istifadə etməməlidirlər
  • Dövlət provayderləri tərəfindən verilmiş hesabları olan işçilərə müəssisə avadanlıqlarından istifadə etmək qadağandır
  • İnternetdəki bütün fayllar viruslar üçün skan edilməlidir
  • Bütün qeyri-işçilər üçün İnternetə çıxış qadağandır

Avadanlığın qorunması

İşçilər həmçinin müəssisə məlumatlarının saxlandığı və ya emal edildiyi avadanlıq üçün fiziki təhlükəsizliyin həyata keçirilməsini nəzərə almalıdırlar. Aparat və proqram təminatının əl ilə konfiqurasiyası qadağandır, bunun üçün informasiya təhlükəsizliyi xidmətinin mütəxəssisləri mövcuddur;

Aparat

Məxfi məlumatlarla işləyən istifadəçilərin onlara və iş yerlərinə girişi fiziki olaraq məhdudlaşdırmaq üçün ayrıca otaq olmalıdır.

Müəssisədən müvəqqəti istifadə üçün (ezamiyyətdə) avadanlığı alan hər bir işçi ona baxmalı və onu nəzarətsiz qoymamalıdır. İtirilmə və ya digər fövqəladə hallar zamanı kompüterdəki məlumatlar əvvəlcədən şifrələnməlidir.

Medianı yazmadan və ya məhv etməzdən əvvəl məlumatların formatlanması cihazın təmizliyinə 100% zəmanət vermir. Həmçinin, işçinin məlumatların surətini çıxarmaq icazəsi olmadığı halda, masaüstü kompüterlərdəki məlumat portları bloklanmalıdır.

Proqram təminatı

Müəssisə kompüterlərində quraşdırılmış bütün proqram təminatı müəssisənin mülkiyyətidir və rəsmi tapşırıqlar üçün istifadə edilməlidir. İşçilərin informasiya təhlükəsizliyi xidməti ilə razılaşmadan başqa proqram təminatını şəxsən quraşdırması qadağandır. Bütün masaüstü kompüterlərdə minimum proqram təminatı olmalıdır:

  • Antivirus proqramı
  • Sərt disk şifrələmə proqramı
  • E-poçt şifrələmə proqramı

Şirkət işçiləri aşağıdakıları etməməlidir:

  • digər antivirus proqramlarını bloklayın və ya quraşdırın
  • təhlükəsizlik parametrlərini dəyişdirin

Elektron mesajlar (hətta silinmiş) hökumət tərəfindən istifadə edilə bilər. sübut kimi məhkəmədə səlahiyyətli orqanlar və ya biznes rəqibləri. Buna görə də, mesajların məzmunu biznes etikası sahəsində korporativ standartlara ciddi şəkildə uyğun olmalıdır.

İşçilər məxfi şirkət məlumatlarını şifrələmədən poçt vasitəsilə ötürə bilməzlər. İşçilərin ictimai poçt qutularından istifadəsinə də icazə verilmir. Sənəd axını üçün yalnız korporativ poçt qutularından istifadə edilməlidir. E-poçtu həyata keçirərkən həll olunmayan hərəkətlər aşağıdakılardır:

  • bütün müəssisə istifadəçilərinə qrup poçtu
  • şirkətin e-poçt resurslarından istifadə edərək şəxsi mesajların göndərilməsi
  • şirkətin poçt qutusuna bülletenlərə abunə
  • işə aid olmayan materialların göndərilməsi

Hadisələrin hesabatı, reaksiyası və hesabatı

Bütün işçilər hər hansı şübhəli təhlükəsizlik zəifliyi barədə məlumat verməlidirlər. Həmçinin, işçiyə məlum olan təhlükəsizlik sistemindəki zəifliklər açıqlanmamalıdır. Kompüterdə viruslara və ya digər dağıdıcı hərəkətlərə dair şübhələr varsa, işçi aşağıdakıları etməlidir:

  • informasiya təhlükəsizliyi işçilərinə məlumat vermək
  • yoluxmuş kompüteri yandırmayın və ondan istifadə etməyin
  • Kompüteri müəssisənin informasiya şəbəkəsinə qoşmayın

Texniki mühafizə üsulları ilə binalar

Bütün məxfi görüşlər/görüşlər yalnız ayrılmış otaqlarda keçirilməlidir. İştirakçılara informasiya təhlükəsizliyi xidmətinin razılığı olmadan səsyazma cihazlarını (Audio/video) və mobil telefonları binaya gətirmək qadağandır. Audio/video çəkiliş informasiya təhlükəsizliyi xidmətinin icazəsi ilə işçi tərəfindən aparıla bilər.

Bu mövzuda şəxsi təcrübəyə və şəbəkə materiallarına əsaslanaraq kommersiya strukturu üçün informasiya təhlükəsizliyi sahəsində normativ sənədlərin hazırlanmasına dair təlimat tərtib etməyə çalışacağam.

Burada suallara cavab tapa bilərsiniz:

  • informasiya təhlükəsizliyi siyasəti nə üçün lazımdır;
  • onu necə tərtib etmək;
  • necə istifadə etmək olar.

İnformasiya təhlükəsizliyi siyasətinə ehtiyac
Bu bölmədə informasiya təhlükəsizliyi siyasətinin və onu müşayiət edən sənədlərin dərsliklərin və standartların gözəl dilində deyil, şəxsi təcrübədən nümunələrdən istifadə etməklə həyata keçirilməsi zərurətindən bəhs edilir.
İnformasiya təhlükəsizliyi şöbəsinin məqsəd və vəzifələrini başa düşmək
İlk növbədə, siyasət şirkətin informasiya təhlükəsizliyinin məqsəd və vəzifələrini biznesə çatdırmaq üçün lazımdır. Müəssisələr başa düşməlidirlər ki, təhlükəsizlik təkcə məlumat sızmalarını araşdırmaq üçün bir vasitə deyil, həm də şirkətin risklərini minimuma endirməkdə və buna görə də şirkətin gəlirliliyini artırmaqda köməkçidir.
Siyasət tələbləri qoruyucu tədbirlərin həyata keçirilməsi üçün əsasdır
İnformasiya təhlükəsizliyi siyasəti şirkətdə qoruyucu tədbirlərin tətbiqini əsaslandırmaq üçün lazımdır. Siyasət şirkətin ən yüksək inzibati orqanı (baş direktor, direktorlar şurası və s.) tərəfindən təsdiq edilməlidir.

İstənilən qoruyucu tədbir riskin azaldılması və istifadəçi təcrübəsi arasında kompromisdir. Təhlükəsizlik mütəxəssisi müəyyən risklərin meydana çıxması səbəbindən prosesin hansısa şəkildə baş verməməsi lazım olduğunu dedikdə, ona həmişə ağlabatan sual verilir: “Bu necə olmalıdır?”. Təhlükəsizlik mütəxəssisi bu risklərin biznes üçün müəyyən dərəcədə qənaətbəxş olduğu bir proses modeli təklif etməlidir.

Üstəlik, istifadəçinin şirkətin informasiya sistemi ilə qarşılıqlı əlaqəsi ilə bağlı hər hansı qoruyucu tədbirlərin tətbiqi həmişə istifadəçinin mənfi reaksiyasına səbəb olur. Yenidən öyrənmək istəmirlər, onlar üçün hazırlanmış təlimatları oxuyurlar və s. Çox vaxt istifadəçilər ağlabatan suallar verirlər:

  • niyə mən həmişə istifadə etdiyim sadə üsulla yox, sizin icad etdiyiniz sxem üzrə işləməliyəm
  • bütün bunları kim icad etdi
Təcrübə göstərdi ki, istifadəçi risklərə əhəmiyyət vermir, siz ona hakerlər, cinayət məcəlləsi və s. haqqında uzun müddət və yorucu bir şəkildə izah edə bilərsiniz, bundan sinir hüceyrələrinin israfından başqa heç nə gəlməyəcək.
Əgər şirkətinizin informasiya təhlükəsizliyi siyasəti varsa, qısa və lakonik cavab verə bilərsiniz:
bu tədbir şirkətin ən yüksək inzibati orqanı tərəfindən təsdiq edilmiş şirkətin informasiya təhlükəsizliyi siyasətinin tələblərinə uyğun olaraq tətbiq edilmişdir.

Bir qayda olaraq, bundan sonra əksər istifadəçilərin enerjisi azalır. Qalanlardan şirkətin bu ən yüksək inzibati orqanına memorandum yazmağı xahiş etmək olar. Qalanların aradan qaldırıldığı yer budur. Çünki qeyd ora getsə belə, görülən tədbirlərin zəruriliyini rəhbərliyə hər zaman sübut edə bilərik. Çörəyimizi yeməyimiz əbəs deyil, elə deyilmi? Siyasət hazırlayarkən iki şeyi nəzərə almaq lazımdır.
  • İnformasiya təhlükəsizliyi siyasətinin hədəf auditoriyası mürəkkəb texniki ifadələri başa düşməyən, lakin siyasətin müddəaları ilə tanış olmalı olan son istifadəçilər və şirkətin top menecmentidir.
  • Qeyri-mümkün olanı sıxmağa çalışmaq lazım deyil, bacardığınız hər şeyi bu sənədə daxil edin! Yalnız informasiya təhlükəsizliyi məqsədləri, onlara nail olmaq üsulları və məsuliyyət olmalıdır! Xüsusi bilik tələb olunmasa, texniki təfərrüatlar yoxdur. Bütün bunlar təlimat və qaydalar üçün materiallardır.


Yekun sənəd aşağıdakı tələblərə cavab verməlidir:
  • qısalıq - böyük bir sənəd həcmi hər hansı bir istifadəçini qorxutacaq, heç kim sənədinizi oxumayacaq (və siz bir neçə dəfə "bu, tanış olduğunuz informasiya təhlükəsizliyi siyasətinin pozulmasıdır" ifadəsini işlədəcəksiniz)
  • sadə insan üçün əlçatanlıq - son istifadəçi siyasətdə NƏ yazıldığını başa düşməlidir (o, heç vaxt “giriş”, “giriş modeli”, “informasiya təhlükəsizliyi hadisəsi”, “informasiya infrastrukturu”, “texnogen” söz və ifadələrini oxumayacaq və ya xatırlamayacaq. ”, “antropogen”, “risk faktoru” və s.)
Buna necə nail olmaq olar?

Əslində hər şey çox sadədir: informasiya təhlükəsizliyi siyasəti birinci səviyyəli sənəd olmalıdır, o, genişləndirilməli və başqa sənədlərlə (qaydalar və təlimatlar) əlavə edilməlidir ki, bu da artıq konkret nəyisə təsvir edəcək.
Dövlətlə bənzətmə aparmaq olar: birinci səviyyəli sənəd konstitusiyadır, dövlətdə mövcud olan doktrinalar, konsepsiyalar, qanunlar və digər normativ aktlar isə yalnız onun müddəalarının həyata keçirilməsini tamamlayır və tənzimləyir. Təxmini diaqram şəkildə göstərilmişdir.

Sıyığı boşqabın üzərinə sürtməmək üçün internetdə tapıla bilən informasiya təhlükəsizliyi siyasətinə dair nümunələrə nəzər salaq.

Faydalı səhifə sayı* Şərtlərlə doludur Ümumi reytinq
Qazprombank ASC 11 Çox yüksək
“Damu” Sahibkarlığın İnkişafı Fondu ASC 14 Yüksək Düşüncəli oxumaq üçün mürəkkəb sənəd, adi insan onu oxumayacaq, oxusalar, başa düşməyəcək və xatırlamayacaqlar.
"KazMunayQaz" SC 3 Aşağı Anlaşılması asan sənəd, texniki terminlərlə yüklənməyib
"Akademik A. L. Mints adına Radiotexnika İnstitutu" ASC 42 Çox yüksək Düşüncəli oxumaq üçün mürəkkəb bir sənəd, orta adam onu ​​oxumayacaq - çoxlu səhifələr var

* Mündəricat, başlıq səhifəsi və konkret məlumat daşımayan digər səhifələrin sayını faydalı adlandırıram.

CV

İnformasiya təhlükəsizliyi siyasəti bir neçə səhifəyə sığmalı, adi insan üçün asan başa düşülməli, informasiya təhlükəsizliyinin məqsədlərini, onlara nail olmaq üsullarını və işçilərin vəzifələrini ümumi şəkildə təsvir etməlidir.
İnformasiya təhlükəsizliyi siyasətinin həyata keçirilməsi və istifadəsi
İnformasiya təhlükəsizliyi siyasətini təsdiq etdikdən sonra siz:
  • bütün mövcud işçiləri siyasətlə tanış etmək;
  • bütün yeni işçiləri siyasətlə tanış etmək (bunu necə etmək daha yaxşıdır, ayrıca müzakirə mövzusudur; yeni gələnlər üçün giriş kursumuz var, mən izahat verirəm);
  • riskləri müəyyən etmək və minimuma endirmək üçün mövcud biznes prosesləri təhlil etmək;
  • sonradan qatar arxasınca qaçmamaq üçün yeni iş proseslərinin yaradılmasında iştirak etmək;
  • siyasəti tamamlayan reqlamentləri, prosedurları, təlimatları və digər sənədləri (internetə çıxışın təmin edilməsi üçün təlimatlar, məhdud ərazilərə çıxışın təmin edilməsi üçün təlimatlar, şirkətin informasiya sistemləri ilə işləmək üçün təlimatlar və s.) hazırlamaq;
  • ən azı rübdə bir dəfə informasiya təhlükəsizliyi siyasətini və digər informasiya təhlükəsizliyi sənədlərini yeniləmək üçün onlara baxmaq.

Suallar və təkliflər üçün şərhlərdə və PM-də xoş gəlmisiniz.

Sual %username%

Siyasətə gəlincə, mənim sadə sözlərlə istədiklərimi müdirlər bəyənmir. Mənə deyirlər: “Məndən, səndən və özləri hər şeyi bilən və başa düşən daha 10 İT işçimizdən başqa, bundan heç nə başa düşməyən 2 yüz nəfərimiz var, onların yarısı təqaüdçüdür”.
Mən təsvirlərin orta qısalığı yolunu izlədim, məsələn, antivirusdan qorunma qaydaları və aşağıda bir şey yazıram ki, antivirusdan qorunma siyasəti var və s. Ancaq istifadəçinin siyasətə imza atdığını başa düşmürəm, amma yenə də bir sıra digər sənədləri oxumalıdır, görünür, siyasəti qısaldıb, amma deyəsən, eləməyib.

Burada prosesin təhlili yolunu tutacaqdım.
Deyək ki, antivirus müdafiəsi. Məntiqlə belə olmalıdır.

Viruslar bizim üçün hansı risklər yaradır? İnformasiyanın bütövlüyünün (zərərlənməsinin) pozulması, məlumatın mövcudluğunun (serverlərin və ya fərdi kompüterlərin işləməməsi) pozulması. Şəbəkə düzgün təşkil olunarsa, istifadəçinin sistemdə yerli administrator hüquqları olmamalıdır, yəni sistemə proqram təminatı (və buna görə də viruslar) quraşdırmaq hüququ olmamalıdır. Beləliklə, təqaüdçülər burada bizneslə məşğul olmadığından yıxılırlar.

Viruslarla əlaqəli riskləri kim azalda bilər? Domen administratoru hüquqlarına malik olan istifadəçilər. Domen administratoru həssas roldur, İT departamentlərinin işçilərinə verilir və s. Müvafiq olaraq, antiviruslar quraşdırmalıdırlar. Belə çıxır ki, onlar antivirus sisteminin fəaliyyətinə də cavabdehdirlər. Müvafiq olaraq, onlar antivirus mühafizəsinin təşkili ilə bağlı təlimatları imzalamalıdırlar. Əslində bu məsuliyyət təlimatlarda yazılmalıdır. Məsələn, təhlükəsizlik işçisi idarə edir, adminlər icra edir.

Sual %username%

Onda sual yaranır ki, Anti-Virus Zİ-nin virusların yaradılması və istifadəsi üçün məsuliyyət daşıyan təlimatlara nə daxil edilməməlidir (yaxud məqalə varmı və onu qeyd etmək olmaz)? Yoxsa onlardan virus və ya qəribə PC davranışı barədə Yardım Masası və ya İT işçilərinə məlumat vermələri tələb olunur?

Yenə də risklərin idarə edilməsi baxımından baxardım. Bu, belə desək, GOST 18044-2007-dən iyi gəlir.
Sizin vəziyyətinizdə "qəribə davranış" mütləq virus deyil. Bu, sistem əyləci və ya əyləc və s. ola bilər. Müvafiq olaraq, bu insident deyil, informasiya təhlükəsizliyi hadisəsidir. Yenə GOST-a görə, hər hansı bir şəxs hadisə barədə məlumat verə bilər, ancaq bunun bir hadisə olub-olmadığını yalnız təhlildən sonra başa düşmək olar.

Beləliklə, sizin bu sualınız artıq informasiya təhlükəsizliyi siyasəti ilə deyil, insidentlərin idarə olunması ilə nəticələnir. Siyasətiniz bunu ifadə etməlidir şirkətdə insidentlərin idarə edilməsi sistemi olmalıdır.

Yəni, gördüyünüz kimi, siyasətin inzibati icrası əsasən inzibatçıların və təhlükəsizlik işçilərinin üzərinə düşür. İstifadəçilər fərdi əşyalarla qalır.

Buna görə də, bəzi "Şirkətdə SVT-dən istifadə qaydası" tərtib etməlisiniz, burada istifadəçilərin məsuliyyətlərini göstərməlisiniz. Bu sənəd informasiya təhlükəsizliyi siyasəti ilə əlaqələndirilməlidir və belə desək, istifadəçi üçün izahat olmalıdır.

Bu sənəd istifadəçinin anormal kompüter fəaliyyəti barədə müvafiq orqanı xəbərdar etməli olduğunu göstərə bilər. Yaxşı, başqa hər şeyi oraya əlavə edə bilərsiniz.

Ümumilikdə istifadəçini iki sənədlə tanış etməlisiniz:

  • informasiya təhlükəsizliyi siyasəti (nəyin edildiyini və niyə edildiyini başa düşmək, gəmini silkələməmək, yeni idarəetmə sistemlərini təqdim edərkən söyüş söyməmək və s.)
  • bu "Şirkətdə SVT-dən istifadə proseduru" (belə ki, konkret hallarda nə edəcəyini dəqiq başa düşsün)

Müvafiq olaraq, yeni bir sistem tətbiq edərkən siz sadəcə olaraq “Prosedur”a bir şey əlavə edirsiniz və proseduru elektron poçtla (və ya varsa, EDMS vasitəsilə) göndərməklə bu barədə işçilərə məlumat verirsiniz.

Teqlər: Teqlər əlavə edin



ƏLAQƏLİ MƏQALƏLƏR