İnformasiya təhlükəsizliyi siyasəti

Siyasət – təşkilatın fəaliyyətinin müəyyən aspektlərini idarə etmək üçün təsbit edilmiş qaydalar məcmusudur. Siyasət biznesin məqsədlərinin, hüquqi tələblərin və ya təşkilatın korporativ normalarının təmin edilməsi üçün nə etmək lazım olduğunu müəyyən edir.

İnformasiya təhlükəsizliyi siyasәtinin işlənməsi müәssisәnin informasiya təhlükəsizliyi sisteminin tәşkil edilmәsindә ilk tәlәblәrdәn biridir. İnformasiya təhlükəsizliyi siyasətinin məqsədi rəhbərliyin informasiya təhlükəsizliyi üzrə idarəçiliyini və dəstəyini biznesin tələblərinə, müvafiq qanunlara və normativlərə uyğun olaraq təmin etməkdir.

ISO 27001 standartına görə informasiya təhlükəsizliyi siyasəti daha ümumi sənədin - informasiya təhlükəsizliyinin idarə edilməsi siyasətinin altçoxluğudur. Bu siyasətlər bir sənəddə də əks oluna bilərlər.

Sənədləşdirilmiş informasiya təhlükəsizliyi siyasəti rəhbərliyin münasibətini bəyan etməli və informasiya təhlükəsizliyinin idarə edilməsinə yanaşmanı müəyyən etməli, informasiya təhlükəsizliyi anlayışını, onun əsas məqsədlərini və təsir dairəsini müəyyən etməli, qiymətləndirmənin strukturu və risklərin idarə edilməsi daxil olmaqla nəzarətin məqsədlərini və mexanizmlərini müəyyən etmək üçün əsas müddəaları daxil etməlidir.

İnformasiya təhlükəsizliyi siyasəti üzrə sənəd rəhbərlik tərəfindən təsdiq olunmalı, nəşr edilməli və bütün işçilərə və müvafiq xarici tərəflərə çatdırılmalıdır.

İnformasiya təhlükəsizliyi siyasəti müəyyən resursların (məsələn, vacib kompyuter sistemlərinin və verilənlərin) mühafizəsinə məqsədləri, məsuliyyəti və ümumi tələbləri təsvir edir, lakin özlüyündə təşkilatın tələblərinin yerinə yetirilməsini təmin etməyə qabil deyil. İnformasiya təhlükəsizliyi siyasəti təhlükəsizlik mexanizmləri və prosedurlar (reqlamentlər) kompleksinin köməyi ilə realizə olunmalıdır.

Təşkilat təhlükəsizlik mexanizmləri kimi ən müxtəlif instrumental vasitələr (şəbəkələrarası ekranlar, antivirus sistemləri, video-nəzarət sistemləri və s.) seçə bilər, lakin onlar gözlənilən nəticəyə yalnız düzgün konfiqurasiya olunduqda və dəstəkləndikdə zəmanət verirlər. Prosedurlar mahiyyətcə təhlükəsizlik mexanizmlərinin düzgün fəaliyyəti məqsədilə sistemin administratorlarının və istifadəçilərinin yerinə yetirdikləri addımlardır. Prosedurlar hansı mexanizmlərin istifadə olunmasından asılıdır və təhlükəsizlik siyasəti ilə verilmiş tələblərin necə təmin ediləcəyini müəyyən edirlər.

İnformasiya təhlükəsizliyi siyasətinə daxil olan sənədləri müəyyən iyerarxiya şəklində təsvir etmək olar:

1-ci sәviyyә: ümumi informasiya təhlükəsizliyi siyasəti - rəhbərliyin münasibəti bəyan edilir və informasiya təhlükəsizliyinin idarə edilməsinə yanaşma müəyyən edilir, informasiya təhlükəsizliyi anlayışı, onun əsas məqsədləri və təsir dairəsi müəyyən edilir, qiymətləndirmənin strukturu və risklərin idarə edilməsi daxil olmaqla nəzarətin məqsədləri və mexanizmləri müəyyən etmək üçün əsas müddəalar ehtiva olunur.

2-ci sәviyyә: xüsusi informasiya təhlükəsizliyi siyasətləri (məsələn, antivirus siyasəti, parol siyasəti, İnternetdən istifadə siyasəti və s.);

3-cü sәviyyә: prosedurlar (reqlamentlәr) – istismar üzrә tәlimatlar;

4-cü sәviyyә: vәzifә tәlimatları (bu sənədlərdə qısaca göstərmək olar ki, “...ххх... administratorunun vəzifələrinin yerinə yetirilməsi №....-li reqlamentin əsasında həyata keçirilir.”

Müəssisədə istifadə edilən sistem və vasitələrdən asılı olaraq informasiya təhlükəsizliyi siyasətinin tərkibinə aşağıdakı bölmələr daxil ola bilər:

  • informasiya risklərinin idarə edilməsi siyasəti;
  • parollardan istifadə siyasəti;
  • giriş hüquqlarının verilməsi siyasəti;
  • antivirus təhlükəsizliyi siyasəti;
  • informasiya resurslarının auditi siyasəti;
  • İnternetdən istifadə siyasəti;
  • elektron poçtdan istifadə siyasəti;
  • informasiya təhlükəsizliyi insidentlərinə cavabvermə siyasəti;
  • informasiya təhlükəsizliyinin monitorinqi siyasəti;
  • məsafədən giriş siyasəti;
  • fiziki təhlükəsizlik siyasəti;
  • informasiyanın kriptoqrafik mühafizəsi siyasəti; >
  • şəxsi heyətin təhlükəsizliyi siyasəti;
  • sistemdə dəyişiklik edilməsi siyasəti;
  • şəbəkə təhlükəsizliyi siyasəti;
  • korporativ informasiya sistemi resurslarına naqilsiz müraciət siyasəti;
  • ehtiyat surətçıxarma siyasəti;
  • informasiyanın üçüncü şəxslərə və təşkilatlara verilməsi siyasəti;
  • resursların təkrar istifadəsi və məhv edilməsi siyasəti;
  • kompyuterlərin təşkilatdan kənarda istifadəsi siyasəti.
 Əlaqə:
 Telefon: (994 12) 5104253
 E-poçt: info at sciencecert dot az
2013 © AMEA İnformasiya Texnologiyaları İnstitutu
Saytdakı məlumatlardan istifadə edərkən www.sciencecert.az saytına istinad zəruridir.