İnformasiya təhlükəsizliyinin təmin edilməsi tədbirləri (II hissə)

posted in: Xəbər | 0

İnformasiya təhlükəsizliyinin təmin edilməsi tədbirləri (II hissə)

I hissəyə nəzər yetirin

informasiya təhlükəsizliyinin təmin edilməsi,

Konfidensial məlumatlar adətən aşağıdakı kimi təsnif edilir:

  • Qanunvericilik normaları əsasında qorunmalı olan fərdi məlumatlar;
  • İstehsal və maliyyə məlumatlarını ehtiva edən proqramlar, məsələn, 1C: Müəssisə;
  • Şirkətin maraqları üçün yaradılmış və ya dəyişdirilmiş proqram məhsulları;
  • Sənəd dövriyyəsi bazası;
  • E-poçt və daxili yazışmaların arxivi;
  • İstehsalat məlumatları, strateji xarakterli sənədlər;
  • Elmi məlumat, elmi tədqiqat təcrübi konstruktor işləri (ETTKİ) məlumatları;
  • Şirkət rəhbərliyinin göstərişi ilə hazırlanmış maliyyə məlumatları və təhlillər.

Mühasibat uçotu məlumatları və qanunvericilik tələbləri ilə əlaqədar açıqlanan digər məlumatlar adətən məxfi məlumatlar kimi təsnif edilmir.

İnformasiya təhlükəsizliyini təmin etmək üçün tədbirlər:

Təhlükəsizliyin təmin edilməsi qanunla nəzərdə tutulmuş və ya mütəxəssislər tərəfindən təklif olunan bütün kompleks tədbirlərin eyni vaxtda tətbiqinə əsaslanmalıdır.

Texniki və təşkilati tədbirlər təşkilatın və informasiya sisteminin imkanları ilə uyğunlaşdırılmalıdır.

İnformasiyanın qorunması məsələsinin qarşısında duran şirkətlərin əksəriyyəti üçün tövsiyə edilən tədbirlər sistemi onun təhlükəsizliyinin əsas əlamətlərinə riayət olunmasını təmin etmək məqsədi daşıyır:

  • Məlumatlara əlçatanlıq. Bu anlayış səlahiyyətli subyektin istənilən vaxt tələb olunan məlumatları almaq imkanını, müştərilərin isə mütəmadi olaraq informasiya xidmətlərini əldə etməsini nəzərdə tutur;
  • Məlumatların bütövlüyü. Bu, onun dəyişməzliyi, məlumatların dəyişdirilməsi və ya məhv edilməsinə, onların yerləşdiyi sistemin pozulmasına yönəlmiş hər hansı kənar, icazəsiz müdaxilələrin olmaması deməkdir;
  • Avtorizə olunmamış subyektlər üçün məlumatların məxfiliyi və ya mütləq əlçatmazlığı;
  • Fəaliyyətə və ya məlumatlara sahiblik hüququnun rədd edilməməsi və ya rədd edilməsinin mümkün olmaması.

Təşkilati tədbirlər

İnformasiya təhlükəsizliyinin təmin edilməsi üzrə təşkilati tədbirlərə ilk növbədə müddəaların, qaydaların və qarşılıqlı fəaliyyət proseslərinin hazırlanması daxildir.

Bəzi daxili qaydaların qəbulu qanunun tələbləri ilə tənzimlənir, bunlara, məsələn, hər bir fərdi məlumatlar operatoru tərəfindən hazırlanmalı və veb saytında yerləşdirilməli olan fərdi məlumatların emalı ilə bağlı müddəa daxildir.

Təşkilati xarakterli məlumatların qorunması üzrə tədbirlər müddəaların hazırlanması ilə məhdudlaşmır. Bundan əlavə, aşağıdakıları həyata keçirmək lazımdır:

  • Biznes-proseslərin sənədləşdirilməsi və optimallaşdırlması;
  • Əməkdaşların dərəcələrinin və onların kommersiya sirri olan məlumatlara çıxış səviyyələrinin müəyyən edilməsi;
  • Bölmələrin yaradılması və ya informasiya təhlükəsizliyinin təmin edilməsinə cavabdeh şəxslərin təyin edilməsi, bəzən təhlükəsizlik tələblərinə uyğun olaraq müəssisənin strukturunun dəyişdirilməsi;
  • Kadrların məlumatlandırılması və ya yenidən hazırlanması;
  • Kritik vəziyyətlərdə sistemlə işləmək üçün kadrların hazırlanmasının sınaqdan keçirilməsi üçün tədbirlərin təşkili;
  • Lisenziyaların alınması, məsələn, dövlət sirri ilə işləmək üçün;
  • mühafizə siniflərinin sonrakı sertifikatlaşdırılması ilə binaların və avadanlıqların texniki mühafizəsinin təmin edilməsi, onların qanunvericilik tələblərinə uyğunluğunun müəyyən edilməsi;
  • Məxfi məlumatların ötürüldüyü tədarük zənciri üçün təhlükəsizlik sisteminin yaradılması, qarşı tərəflərlə müqavilələrdə kommersiya sirrinin qorunması və onun açıqlanmasına görə məsuliyyət tədbirlərinə dair bəndlərin daxil edilməsi;
  • Əməkdaşlar üçün keçid sisteminin quraşdırılması, onlara elektron identifikasiya vasitələrinin verilməsi;
  • Şəxsi məlumatların mühafizəsi üzrə qanunvericiliyin bütün tələblərinin yerinə yetirilməsi;
  • Məxfi kimi təsnif edilə bilən məlumatları təşkilatdan tələb etdikdə dövlət orqanları ilə qarşılıqlı əlaqə sisteminin inkişafı.

informasiya təhlükəsizliyi

Texniki tədbirlər

İnformasiya təhlükəsizliyini təmin edən texniki vasitələr və tədbirlərə təkcə proqram məhsulları, məsələn, DLP sistemləri deyil, həm də şirkətin sərəncamında olan digər alətlər daxildir.

Texniki nöqteyi-nəzərdən məlumatın mühafizəsi tədbirləri, məxfi məlumatlara müdaxilələrə qarşı müdafiə qurmağa imkan verən müəssisə informasiya sisteminin qurulması modelinə əsaslanmalıdır.

Belə bir sistemin qurulması prinsiplərinə aşağıdakılar daxildir:

  • Arxitekturanın sadəliyi, komponentlərin sadələşdirilməsi, şəbəkələrarası qarşılıqlı münasibət kanallarının və protokolların sayının azaldılması. Sistem yalnız o elementləri ehtiva etməlidir ki, bunlarsız onun həyata keçirilməsi mümkün olmayacaq;
  • Artıq bir neçə dəfə başqa müəssisələr tərəfindən sınaqdan keçirilmiş, müsbət və mənfi cəhətləri aşkar olan yalnız testdən keçirilmiş proqram həllərinin tətbiqi;
  • Mövcud lisenziyalı proqram məhsullarının öz gücü hesabına və ya kənardan cəlb edilən icraçılar tərəfindən minimal dəyişiklikləri;
  • Yalnız lisenziyalı proqram təminatından istifadə etmək, mümkün olduqda, bu, kompüter proqramlarının və məlumat bazalarının dövlət reyestrinə daxil edilməlidir;
  • Sistemin qurulması üçün etibarlı və uzunömürlü, gözlənilmədən sıradan çıxa bilməyən və sistemin işləkliyini poza bilməyən, yalnız orijinal komponentlərdən istifadə olunması. Onların hamısı bir-biri ilə uyğun olmalıdır;
  • İdarəetmə qabiliyyəti, həm sistemin özünün, həm də istifadə olunan proqram məhsullarının idarə edilməsinin asanlığı, üçüncü tərəfin texniki dəstəyindən minimal istifadə;
  • Məxfi məlumatları ehtiva edən fayllar, sanksiyalaşdırılmamış giriş halları ilə həyata keçirilən istənilən istifadəçi hərəkətlərinin protokollaşdırılması və sənədləşdirilməsi;
  • Eşalonlaşdırılmş müdafiə sistemi. Məlumatların hər bir potensial sızma kanalı, informasiyanı oğurlamağa potensial cəhd edən şəxsin işini çətinləşdirən bir neçə səddən ibarət müdafiə sisteminə malık olmalıdır.

İnformasiya təhlükəsizliyinin təmin edilməsinin bu prinsiplərini həyata keçirərkən məlumatın mühafizəsinin əlavə texniki vasitələrindən istifadə məsələləri nəzərdən keçirilir, bunlara aşağıdakılar daxildir:

  • Rabitə kanalları vasitəsilə ötürülən işçi stansiyalarında və serverlərdə şifrələnməni təmin edən kriptoqrafik mühafizə vasitələri;
  • Antivirus müdafiə vasitələri;
  • İnformasiya sızmasının bütün potensial kanallarının bağlanmasını və gedən trafikin tutulmasını təmin edən SIEM sistemləri və DLP sistemləri.

İnformasiya təhlükəsizliyinin təmin edilməsi üzrə tədbirlər ağlabatan olmalıdır, biznes-proseslər ehtimal edir ki, resursların müdafiəsinə onların dəyəri ilə müqayisə edilən vəsait xərclənməməlidir.

Biznes və ya personalın həddindən artıq yüklənməsi məqsədəuyğun deyildir.


Print Friendly, PDF & Email