AXBOROT XAVFSIZLIGINI TA’MINLASHNING ME’YORIY — HUQUQIY ASOSINI YARATISH
04.04.2007
Rukn: Texnologiya.
Muallif: Oybek Juraev.

pic
Zamon taraqqiy etgan sari jamiyatda axborotga bo‘lgan talab va ehtiyoj ham ortib bormoqda, ayniqsa, axborot texnologiyalarining kun sayin rivojlanib borishi axborotlar hajmining ham ortib borishiga xizmat qilib kelmoqda. Bu kabi axborotlar ichida ma’lum ma’noda himoyani, mahfiylikni va sir saqlanishini talab etadiganlari ham bo‘ladi, negaki, bu toifadagi ma’lumotlarning oshkor bo‘lishi, o‘g‘irlanishi yoki yo‘q qilinishi kabi holatlar tashkilot uchun katta talofotlarni, moliyaviy yoki moddiy zararlarni olib kelishi mumkin. Bu kabi holatlarni oldini olish uchun esa qanday soha bo‘lmasin albatta, axborot xavfsizligini, uning himoyasi va muhofazasini amalga oshirishi lozim.

Buni fizik, dasturli-texnik, me’yoriy-huquqiy uslub bilan amalga oshirish mumkin. Tashkilot misolida olsak, butun bir tizimni tahlil qilgan holda, birinchi navbatda axborot muhofazasi bo‘yicha me’yoriy-huquqiy bazani yaratib olish muhim ahamiyatga ega deb o‘ylayman. Negaki, aynan, shu me’yoriy-huquqiy hujjatlar keyingi amalga oshiriladigan (fizik himoya, dasturli-texnik himoya) ishlar uchun ham reja, ham dastur, ham poydevor bo‘lib xizmat qiladi. Shuning uchun, tashkilotlarda zamon talablari asosida axborot xavfsizligini ta’minlash uchun shu soha bo‘yicha ishlab chiqilishi va qo‘llanillishi tavsiya etiladigan asosiy me’yoriy-huquqiy hujjatlar ro‘yxati va namunalarini qisqacha keltirib o‘tishni lozim topdik. Ushbu tavsiyalar xavfsizlik bo‘yicha Xalqaro ISO 17799 standartiga asoslangan holda tuzilgan. Bu xavfsizlik standarti kompleks xarakterga ega bulib, avvalo tashkilotlarda axborot xavfsizligini ta’minlashning me’yoriy huquqiy poydevorini yaratish uchun dasturul amal bo‘lib, bu o‘z navbatida axborot tizimlari xavfsizligini boshqarish vazifalarini yengillashtiradi.

«Tashkilotning xavfsizlik siyosati» hujjati

Bu hujjat tashkilotda axborot xavfsizligining maqsad va prinsiplarini aniqlash uchun mo‘ljallangan bulib, o‘z navbatida axborot xavfsizligi obyektlari ro‘yxati ko‘rsatib o‘tiladi. Bundan tashqari, tashkilotda axborot xavfsizligini ta’minlash uchun kerakli bo‘lgan ichki hujjatlar ro‘yxati ham keltirib o‘tiladi.

Hujjat turi — Nizom

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Axborot tizimlari yoki vositalari tarkibi o‘zgargan holda yoki bir yilda eng kamida bir martta ko‘rib chiqiladi va yangilanadi.

Hujjat tarkibi

Tashkilotda axborot xavfsizligining o‘rnini hamda uning tashkil etuvchilarini belgilash. Axborot xavfsizligi tushunchasini belgilash, tashkilotning axborot xavfsizligi obyektlarini sanab o‘tish. Xavfsizlik siyosatining, uni tashkil etishning, hamda tashkilot uchun alohida ahamiyatga ega standart va talablarga javob berishining qisqacha mazmuni ko‘rsatib o‘tiladi:

• xavfsizlik siyosatining mahalliy va xalqaro me’yorlarga zid emasligini;
• xavfsizlik masalalari bo‘yicha xodimlarni o‘qitish va malakasini oshirish bo‘yicha talablar;
• virus va boshqa zararkunanda dasturlarni aniqlash va yo‘qotish bo‘yicha talablar;
• axborot xavfsizligini va tashkilot faoliyatini uzluksiz ishlashini ta’minlash bo‘yicha talablar;
• xavfsizlik siyosatini buzganlik bo‘yicha javobgarlik;
• rahbarlarning lavozim majburiyatnomalariga qo‘shimchalar — axborot xavfsizligini ta’minlash bo‘yicha javobgarlik hamda yuzaga kelgan qoidabuzarlikni o‘z vaqtida ma’lum qilish bo‘yicha javobgarlik;
• mas’ul shaxslar tomonidan axborot xavfsizligi bo‘yicha javobgarlikning taqsimlanishi.

Tizimni va undagi o‘zgarishlarni boshqarish

Axborot xavfsizligi siyosati bilan birgalikda axborot xavfsizligiga aloqador boshqa hujjatlarning to‘liq ro‘yxati. «Axborot xavfsizligini ta’minlash bo‘yicha javobgarlikni taqsimlash» hujjati. Tashkilotda axborot xavfsizligi resurslarini va bu resurslardan foydalanish vakolatiga ega shaxslarni javobgarligini belgilash uchun mo‘ljallangan.

Hujjat turi — Farmoyish

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Axborot xavfsizligi siyosati, texnologik qismlar hamda axborot resurslari tarkibi o‘zgargan taqdirda qayta ko‘rib chiqiladi va yangilanadi.

Hujjat tarkibi

Har bir tizimdagi axborot xavfsizligiga dahldor resurslarni belgilash.
Har bir resurs (yoki jarayon) uchun tegishli javobgar rahbar xodimlarni tayinlash. Mas’uliyatni taqsimlash va belgilash hujjatlashtirilishi lozim. Har bir resurs uchun alohida foydalanish vakolatlari belgilanishi va hujjatlashtirilishi lozim.

«Yangi axborot tizimini tatbiq etish» hujjati

Tashkilotda yangi axborot tizimini tatbiq etish jarayonlarini beligilab o‘tish uchun mo‘ljallangan.

Hujjat turi — Yo‘riqnoma

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Tashkilotda yangi axborot texnologiyalari tatbiq etilayotgan taqdirda hamda axborot xavfsizligi siyosati o‘zgargan taqdirda qayta ko‘rib chiqiladi va yangilanadi.

Hujjat tarkibi

Resurslarni boshqarish. Yangi tizimning mavjud foydalanuvchilarni boshqarish tizimiga mosliligini ta’minlash. Tatbiq etilayotgan barcha komponentlarni mavjud tizim qismlari bilan mosliligini tekshirish.

«Resurslarni inventarizatsiylash» hujjati

Inventarizatsiyalashga moyil rusurslarni toifalashni aniqlash uchun mo‘ljallangan.

Hujjat turi — Yo‘riqnoma.

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Inventarizatsiya o‘tkazishdan oldin, bir yilda bir martta ko‘rib chiqiladi va yangilanadi.

Hujjat tarkibi

Axborot resurslari. Ma’lumotlar va fayllar ombori, tizimga dahldor hujjatlar, foydalanuvchi hujjatlari, o‘quv materiallari, foydalanish bo‘yicha yo‘riqnomalar, tashkilot faoliyatining uzluksizligini ta’minlovchi rejalar, kamchiliklarni bartaraf etish bo‘yicha tadbirlar, axborot va ma’lumotlar arxivi.

Dasturli ta’minotlar

Ilovalar, operasion tizimlar va sistemali dasturiy ta’minotlar, dasturlash vositalari.
Fizik resurslar. Hisoblash texnikalari (prosessor, monitorlar va boshqalar), kommunikatsiya qurilmalari (modem, marshrutizatorlar, telefon qurilmalari, fakslar), magnit tashuvchilar (vinchestrlar, disket, disklar) va boshqa texnik qurilmalar.

Hisoblash va kommunikatsiya va yordamchi xizmatlar.

Issiqlik tizimi, yoritish tizimlari va hokazo. Tashkilotdagi barcha yo‘riqnomaviy, me’yoriy-huquqiy hujjatlarni inventarizatsiylash.

«Resurslarni tasniflash» hujjati

Xavfsizlik nuqtai nazaridan resurslarni tasniflash uchun mo‘ljallangan.
Hujjat turi — Yo‘riqnoma

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Bir yilda eng kamida bir martta ko‘rib chiqiladi va yangilanadi.

Hujjat tarkibi

Barcha resurslar muhimlik darajasi bilan tasniflanishi lozim:
• ko‘paytirish;
• saqlash;
• pochta, faks, elektron pochta orqali uzatish, qabul qilish;
• ovozli uzatish, qabul qilish, jumladan, mobil aloqa va ovozli pochtalar ham; yo‘q qilish.

«Resurslarni taqsimlash» hujjati

Maqsadli yo‘naltirilgan va foydalanilishga mo‘ljallangan resurslarni taqsimlanishini belgilaydi.

Hujjat turi- Farmoyish.

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Axborot tizimlari tarkibida o‘zgarishlar amalga oshirilganda qayta ko‘rib chiqilishi va yangilanishi mumkin.

Hujjat tarkibi

Foydalanish maqsadi bo‘yicha resurslarni taqsimlash:
• taqsimlash bo‘yicha perspektivani ishlab chiqish;
• testdan o‘tkazish (karantin);
• bevosita amalga oshiriladigan biznes operatsiylar (operasion muhit);
• yangi dasturiy ta’minotlarni, vositalarni operasion tizimga tatbiq etish qoidalari;
• ishlab chiqish, tizim utilitalari, tahrirlagichlar kabilar belgilab o‘tilishi;
• xodimlar bilan ishlashda axborot xavfsizligi.

«Xodimlarni tanlash va ular bilan ishlashda axborot xavfsizligi» hujjati

Tashkilotda xodimlarni tanlashda va ular bilan ishlashda axborot xavfsizligini ta’minlash chora-tadbirlarini aniqlash uchun mo‘ljallangan.
Hujjat turi — Yo‘riqnoma

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Zaruriyatdan kelib chiqqan holda, qayta ko‘rib chiqiladi va yangilanadi.

Hujjat tarkibi

• Xodimni ishga qabul qilishda tekshirish:
• Tavsifnomalarni tekshirish;
• Rezyumedagi ma’lumotlarni tekshirish;
• Ma’lumoti va ilmiy darajalarini tekshirish;
• Shaxsiy ma’lumotlarini tekshirish;

Tashkilotdagi axborot xavfsizligi rejimiga rioya qilinishi va amal qilinishiga kelishuv.
Xodim bilan mehnat kelishuvining shartlari

Lavozim majburiyatlarining yozma formulirovkasi. Axborot xavfsizligini ta’minlash bo‘yicha vazifalarni barcha xodimlarning lavozim majburiyatlariga kiritish. Tashkilot resurslariga (jumladan, axborot resurslariga) kirish va foydalanish vakolatlarining yozma formulirovkasi. Maxfiylikni ta’minlashga, sir saqlashga kelishuv. Maxsus kelishuvlar (tizim ma’lumotlarini, telefondagi so‘zlashuvlarni, faksalar monitoringi).

«Axborot xavfsizligi sohasida qoidabuzarliklar hamda turli nosozliklar, hatoliklar sodir bo‘lgan taqdirda kuriladigan choralar» hujjati

Axborot xavfsizligi sohasida qoidabuzarliklar sodir bo‘lgan taqdirda, axborot tizimlarida nosozliklar, hatoliklar yuzaga kelganda kuriladigan va amalga oshiriladigan chora-tadbirlar tartibini belgilaydi.

Hujjat turi — Yo‘riqnoma

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Yuzaga kelgan qoidabuzarlik, hatolik va nosozliklardan so‘ng hamda zaruriyatdan kelib chiqqan holda, qayta ko‘rib chiqilishi va yangilanishi mumkin.

Hujjat tarkibi

Qoidabuzarliklar bo‘yicha hisobotlar. Xavfsizlik tizimidagi kamchiliklar bo‘yicha hisobotlar. Kompyuter tizimlarida yuzaga kelgan nosozliklar va hatoliklar bo‘yicha hisobotlar. Shu jumladan, nostandart va noma’lum vaziyatlar yuzaga kelgan holda amalga oshirilishi lozim bo‘lgan chora-tadbirlar. Bundan tashqari, ko‘riladigan choralar, jazolar (intizomiy, ma’muriy vaziyatdan kelib chiqqan holda (hatto jinoiy).

Axborot xavfsizligi sohasi bo‘yicha xodimlar malakasini doimiy ravishda oshirib borish.

Fizik xavfsizlik

«Mol — mulk, boyliklar va qurilmalar xavfsizligi» — hujjati
Tashkilotning mol-mulki, boyliklari va qurilmalarining dahlsizligiga fizik tahdid soluvchi omillardan himoyalash qoidalarini aniqlashdan iborat.
Hujjat turi — Yo‘riqnoma

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Zaruriyatdan kelib chiqqan holda qayta ko‘rib chiqilishi va yangilanishi mumkin.

Hujjat tarkibi

Mol-mulk, boyliklar va qurilmalarning joylashuvi, ulardan foydalanish huquqini belgilangan talablar asosida chegaralash. Muhim ahamiyat kasb etadigan ma’lumotlarni qayta ishlovchi va saqlovchi qurilmalarning xavfsizligi va dahlsizligini ta’minlash. O‘z xizmat vazifasini o‘tab bo‘lgan qurilma va tizimlarni xavfsiz yo‘q qilish choralari. Maxsus himoyani talab etadigan obyektlarni himoyalash choralari.

Quyidagi tahdidlardan himoyalash choralarini belgilash:
• o‘g‘irlanish;
• noqonuniy foydalanish, dahl etilishi, ko‘paytirilishi va boshqalar;
• yo‘q qilinishi;
• yong‘in;
• portlash;
• vibratsiya;
• kimyoviy moddalar;
• elektromagnit va akustik ta’sirlar va yo‘naltirishlar;
• turli tabiiy ofatlar;
• qurilmalar oldida noo‘rin harakatlar qilish (chekish, ovqatlanish, ichimliklar ichish va hokazo).
• qo‘shni obyektlarning ta’sir etishi mumkin bo‘lgan omillar va boshqa turdagi omillar.

Maqsad — tashkilot mol-mulki, boyliklari, qimmatliklari va qurilmalarini turli tahdidlardan himoya qilish, ulardan noto‘g‘ri va noqonuniy foydalanilishidan himoya qilish, ularning yetarli darajadagi dahlsizligini va butligini ta’minlash, tashkilotga zarar keltiruvchi omillardan himoyalanish.

«Ishchi o‘rin xavfsizligi» hujjati

Ishchi o‘rindan ma’lumotlarning chiqib ketishining oldini olish va xodim uchun ishchi o‘rnini to‘g‘ri tashkil etishni belgilaydi.

Hujjat turi — Yo‘riqnoma.

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Zaruriyatdan kelib chiqqan holda, qayta ko‘rib chiqilishi va yangilanishi mumkin.

Hujjat tarkibi:

• Hujjatlarni saqlash.
• Turli vositalardagi ma’lumotlarning to‘g‘ri saqlanishini ta’minlash.
• Texnika xavfsizligini ta’minlash.
• Tegishli shart-sharoitlar.
• Ko‘paytiruvchi va bosmaga chiqaruvchi vositlardan foydalanish.

Protsesslarni va kommunikatsiyalarni boshqarish. Xizmat yo‘riqnomalari va majburiyatlar.
«Axborot xavfsizligi bo‘yicha lavozim majburiyatnomalar» hujjati.
Axborot xavfsizligi bo‘yicha xodimlarning lavozim majburiyatlariga kiritiladigan vakolatlar, huquqlar va majburiyatlarni belgilash.

Hujjat turi — Yo‘riqnoma

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘lim tomonidan ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Zaruriyatdan kelib chiqqan holda, qayta ko‘rib chiqilishi va yangilanishi mumkin.

Hujjat tarkibi

Lavozim majburiyatlariga kiritilishi lozim bo‘lgan omillar:
• ma’lumotlarni qayta ishlash va ulardan foydalanish tartibi;
• boshqa tizimlar bilan o‘zaro munosabatlari;
• foydalanish chegarasi va vakolatlari;
• ko‘zda tutilmagan holatlarda ko‘riladigan chora-tadbirlar tartibi;
• xodimlarning xizmati bo‘yicha o‘zaro munosabatlari;
• axborotni qayta ishlashda va konfidensialligini ta’minlash bo‘yicha qo‘shimcha va maxsus yo‘riqnomalar.

«Zararkunanda dasturlardan himoyalanish (viruslar, troyanlar, SPAM)» hujjati.
Axborot tizimlarini zarakunanda dasturlardan himoyalanish qoidalari va usullarini aniqlash uchun mo‘ljallangan.

Hujjat turi — Yo‘riqnoma

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘limi hamda axbrotlashtirish va axborot texnologiyalari bilan shug‘ullanuvchi bo‘limi bilan birgalikda ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Axborot resurslari tarkibi va ish faoliyatida axborot tizimlarida kamchiliklar aniqlangan taqdirda qayta ko‘rib chiqiladi va yangilanadi.
Hujjat tarkibi.

Faqatgina litsensiyaga ega antivirus dasturlaridan foydalanishni ta’kidlash va tasdiqlanmagan dasturlardan foydalanishni taqiqlash.

Dasturiy vositalarni olish va tatbiq etish tartibi.

• qo‘llaniladigan antivirus dasturi.
• dasturiy vositalarning butligi.
• kiruvchi chiquvchi ma’lumotlarni antivirus dasturi tekshiruvidan o‘tkazish.
• virus atakalaridan so‘ng tizimni qayta tiklash qoidalari.
• barcha axborotlarning monitoringi.

«Ichki resurslarni boshqarish. Ma’lumotlarning zahira nusxasi» hujjati
Tashkilotda ichki resurslarni boshqarish va ma’lumotlarning zahira nusxalarini olinishi tartibini belgilaydi.

Hujjat turi — Yo‘riqnoma

Tashkilotning xavfsizlik masalalari bilan shug‘ullanuvchi bo‘limi hamda axbrotlashtirish va axborot texnologiyalari bilan shug‘ullanuvchi bo‘limi bilan birgalikda ishlab chiqiladi. Tashkilot rahbari tomonidan tasdiqlanadi. Axborot resurslari tarkibi va ish faoliyatida axborot tizimlarida kamchiliklar aniqlangan taqdirda qayta ko‘rib chiqiladi va yangilanadi.
Hujjat tarkibi:

• ichki resurslarni boshqarilishi va monitoringi.
• zahira nusxalarning saqlanishi.
• axborot tizimlari va saqlovchi vositalarning ishonchliligini tekshirish.
• tizimni qayta tiklash tartibi.
• tizimni qayta tiklash bo‘yicha xodimlar treningi va boshqalar.

Bulardan tashqari, tashkilotning veb-sahifasi, lokal yoki global tarmog‘i mavjud bo‘lgan taqdirda, veb-sahifaga ma’lumotlarni kiritish tartibini, veb-sahifaga, lokal-global tarmoqqa bo‘ladigan turli xujumlardan himoyalanish va tizimda to‘laqonli axborot xavfsizligini ta’minlash bo‘yicha yo‘riqnoma, lokal -global tarmoqqa kirish va foydalanish uchun ruxsat berish tartibi, lokal va global tarmoqlar xavfsizligini ta’minlash hamda uning doimiy monitoringi bo‘yicha yo‘riqnoma kabi me’yoriy hujjatlarning ishlab chiqishlishi ham tavsiya etiladi. Yana shuni ta’kidlash kerakki, tashkilotlarda axborot xavfsizligi sohasi bo‘yicha ishlab chiqilishi lozim bo‘lgan hujjat namunalarining asosiylari keltirilgan bo‘lib, faqatgina ushbu keltirib o‘tgan hujjatlar ro‘yxati bilangina chegaralinib qolinmasligini ta’kidlab o‘tmoqchimiz. Balki, tashkilotning ichki xususiyatlaridan kelib chiqqan, uning faoliyat turiga qarab va boshqa omillarga asoslangan hamda mahalliy qonunchilik va me’yoriy hujjatlarga asoslangan va zid kelmagan holda, bu kabi hujjatlar to‘ldirilishi, qo‘shimchalar qo‘shilishi, yangi me’yoriy hujjatlar bilan boyitilishi mumkin.

O‘ylaymizki, bu nafaqat axborot xavfsizligi bo‘yicha rahbar va mutaxassislar uchun, balki tashkilot rahbarlari uchun ham tashkilot faoliyatini to‘g‘ri tashkil etish va tashkilotda yetarli darajada axborot xavfsizligini ta’minlashda ozgina bo‘lsada yordam berishiga, kichik bo‘lsa ham uslubiy qo‘llanma vazifasini o‘tashida dastyor bo‘lishiga umid qilib qolamiz.

Orphus system
O'zbеkistonda AKT yangiliklaridan birinchilar qatorida xabardor bo'lish uchun Telegramda infoCOM.UZ kanaliga obuna bo'ling.
Telegramga qo`shmoq
WhatsAppga qo`shmoq
Odnoklassnikiga yubormoq
VKontakteda bo`lishmoq