Ахборот технологиялари асрида ахборотнинг муҳимлигини инобатга олсак, уни ҳимоялаш бугунги кунда ҳар бир ташкилотнинг долзарб вазифаси ҳисобланади. Ахборот хавфсизлиги ҳодисалари туфайли келадиган зарар ташкилот тақдирига сезиларли таъсир кўрсатиши мумкин.
Ахборот хавфсизлигини таъминлашнинг кўплаб усуллари ва соҳалари мавжуд. Бугунги мақоламизда ташкилотда ахборот хавфсизлигини таъминлашнинг асосий ҳужжати саналмиш ахборот хавфсизлиги ҳужжати тўғрисида сўз юритилади.
Таъкидлаганимиздек, ташкилотда ахборот хавфсизлигини таъминлашнинг самарали ташкил этиш воситаларидан бири бу ахборот хавфсизлиги сиёсатини жорий этишдир. Хўш ахборот хавфсизлиги сиёсати нима, у қандай жорий этилади ва жорий қилишдан мақсад нималардан иборат?
Ахборот хавфсизлиги сиёсатининг кўплаб таърифлари турли хужжатларда келтирилган, шулардан давлат органлари учун мос келувчи таърифни қуйида келтириб ўтамиз:
Ахборот хавфсизлиги сиёсати — бу ташкилот ёки ташкилот ходимлари ахборот ресурсларини ҳимоя қилиш учун кундалик амалиётида амал қиладиган чора-тадбирлар, қоидалар ва тамойиллар тўплами.
1. Ахборот хавфсизлигини ишлаб чиқиш асослари
Ахборот хавфсизлиги сиёсати биринчи навбатда, ташкилотда ахборот хавфсизлигини таъминлашнинг мақсад ва вазифаларини фаолиятга сингдириш учун зарурдир. Фаолият юритаётган ҳар бир ходим шуни тушуниши керакки, хавфсизлик ходими нафақат маълумотлар чиқиб кетишини текширувчи ходим, балки компания хатарларини минималлаштириш ва шу сабабли компания рентабеллигини оширишда ёрдамлашувчидир.
Юртимизда электрон ҳукуматни қуриш, давлат органлари фаолиятини рақамлаштириш билан боғлиқ ҳаракатлар жадал суратлар билан амалга оширилмоқда. Ҳукуматнинг тегишли қарорлари ва ахборот хавфсизлиги соҳасидаги стандартларга (O‘z DSt ISO/IEC 270ХХ) мувофиқлик билан ҳар бир ташкилотда ахборот хавфсизлиги сиёсатини ишлаб чиқиш ва жорий қилиниши лозимлиги юзасидан талаблар келтирилган.
Хусусан, O‘z DSt ISO/IEC 27002 стандартининг 5 — бобида Ахборот хавфсизлиги сиёсатини ишлаб чиқиш бўйича талаблар белгилаб қўйилган.
Ўзбекистон Республикаси ҳудудида давлат ва хўжалик бошқаруви органларида, шунингдек маҳаллий давлат ҳокимияти органларида (бундан буён матнда ташкилотлар деб юритилади) ахборот хавфсизлиги сиёсатини ишлаб чиқиш ва амалга оширишнинг асосий тамойиллари ва тартибини белгиловчи — “Ўзбекистон Республикаси ҳудудида ахборот хавфсизлиги сиёсатини ишлаб чиқиш бўйича услубий қўлланмалар” ҳам 2013-2020 йиллларда Ўзбекистон Республикаси Миллий ахборот-коммуникация тизимини ривожлантиришни мувофиқлаштириш бўйича Республика комиссиясининг 2016 йил 23 февралдаги 7 баёнини билан тасдиқланган.
Услубий қўлланма ташкилотда хавфсизликни бошқариш бўйича амалий чораларни танлаш, шунингдек, ташкилотлар ўртасида маълумотлар алмашишда уларнинг яхлитлиги, қулайлиги ва махфийлигини таъминлаш учун асосдир.
2. Ахборот хавфсизлиги сиёсатини ишлаб чиқиш босқичлари
Мавжуд услубий қўлланмага мувофиқ ахборот хавфсизлиги сиёсатини (кейинчалик матнда — Сиёсат) ишлаб чиқиш 3 босқичда амалга оширилади.
Сиёсатни ишлаб чиқиш учун ишчи гуруҳ ташкилот раҳбарининг буйруғи билан тасдиқланади, унда қуйидаги шахслар бўлиши керак:
— ташкилот раҳбариятининг вакили;
— ахборот хавфсизлиги масалалари бўйича масъул,
— кадрлар бўлими бошлиғи (HR хизмати);
— техник бўлинмалар вакиллари (ахборот хавфсизлиги маъмури, тармоқ маъмури, маълумотлар базаси маъмури ёки бошқа ваколатли ходимлар).
Заруриятга қараб, ташкилотнинг бошқа ходимларини, учинчи томон ихтисослаштирилган ташкилотларини ёки мутахассисларни жалб қилиш мумкин.
Сиёсатни ишлаб чиқиш тартиби қуйидаги босқичларга бўлинади:
Биринчи босқич
Дастлабки хавфсизлик аудити, шу жумладан ахборот хавфсизлиги ҳолатини дастлабки ўрганиш ва инвентаризация қилиш, ташкилот хавфсизлигига таҳдидларни аниқлаш, ҳимоя қилиниши лозим ресурсларни аниқлаш, рискларни аниқлаш.
Аудит жараёнида ахборот хавфсизлигининг ҳозирги ҳолатини таҳлил қилади, мавжуд заифликларни, фаолиятнинг энг муҳим соҳалари ва ташкилотнинг хавфсизликка таҳдид жараёнларига энг сезгир йўналишларини аниқланади.
Аудит ташкилотнинг ахборот хавфсизлигининг таҳдидлари ва заифликларини аниқлашга, сиёсатни ишлаб чиқиш учун дастлабки маълумотларни олишга, шунингдек, ташкилотни ахборотлаштириш объектларини кейинги сертификатлашга тайёрлашга имкон беради.
Ташкилот аудити давомида қуйидагилар амалга оширилади:
— ташкилотнинг Ўзбекистон Республикаси қонунчилиги, Ўзбекистон Республикаси Президенти ва Ўзбекистон Республикаси Вазирлар Маҳкамасининг фармон ва қарорлари талабларига мувофиқлиги ўрганилади ва таҳлил қилинади, Ўзбекистон Республикасининг норматив-ҳуқуқий ҳужжатлари тоифаларга тақсимланиши, шунингдек, ташкилотда ахборот хавфсизлиги масалаларини тартибга солувчи норматив ҳужжатларнинг ижроси ўрганилади;
— ташкилотнинг компьютерлари ва серверларини дастлабки текшириш, яъни ишлатилган операцион тизимларнинг созламалари, дастур ва тизим дастурлари (дастурий таъминот), ахборот хавфсизлиги воситалари, шунингдек ахборот-коммуникация технологияларига киритилган бошқа қўшимча қурилмалар ва бошқалар таҳлил қилинади;
— ахборот хавфсизлигининг таҳдидлари ва заифликлари учун ташкилот веб-сайти таҳлил қилинади;
— ташкилот ҳудуди, периметри ва биноларининг жисмоний ҳимоя қилишни таъминлаш бўйича амалга оширилган чора-тадбирлар таҳлил қилинади, яъни хавфсизлик тизими, киришни бошқариш воситалари, ёнғин хавфсизлиги тизимлари ва бошқалар;
— суҳбат орқали ташкилот ходимларининг ташкилотда ўрнатилган ахборот хавфсизлиги қоидалари тўғрисида хабардорлиги баҳоланади;
— ташкилотнинг ахборот ва моддий ресурсларини туркумлаш ва инвентаризация қилиш таҳлили амалга оширилади.
Иккинчи босқич
Ташкилотнинг ахборот хавфсизлиги сиёсати лойиҳасини ишлаб чиқиш.
Сиёсатни ишлаб чиқишда қуйидаги асосий қоидаларга риоя қилиш талаб этилади:
— сиёсат амалдаги қонунчиликка ва давлат стандартлари талабларига тўлиқ мос бўлиши лозим;
— сиёсат матнида икки томонлама талқин қилишга имкон бермайдиган аниқ ва бир маъноли жумлалар бўлиши лозим.
Умуман олганда, сиёсат ахборот тизимлари ва ахборот хавфсизлиги воситаларини амалга оширишда ва улардан фойдаланишда, шунингдек маълумот алмашиш ва ахборотни қайта ишлаш операцияларини бажаришда фойдаланувчилар, маъмурлар ва бошқа мутахассисларнинг талаб қилинадиган хатти-ҳаракатлари тўғрисида аниқ тасаввур бериши керак.
Сиёсат — бу ташкилотнинг барча манфаатдор томонларига чекловларсиз тақдим этилиши мумкин бўлган оммавий ҳужжат.
Учинчи босқич
Ташкилотнинг ахборот хавфсизлиги сиёсатини мувофиқлаштириш ва амалга ошириш.
Ишлаб чиқилган сиёсат лойиҳаси тегишлича Ўзбекистон Республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлигига ва ваколатли органларга тасдиқлаш учун юборилади ҳамда тасдиқлангандан сўнг ташкилот раҳбарининг буйруғи билан кучга киради. Шу билан бирга, тасдиқланган сиёсатни тўлиқ амалга ошириш учун аниқ саналар ва ижрочилар билан сиёсатни амалга ошириш бўйича тармоқ ҳаракатлар режаси ишлаб чиқилиши лозим.
Ушбу режа Ходимларнинг лавозим тавсифлари, бўлинмалар тўғрисидаги Низом, ташкилотнинг шартномавий (контракт) мажбуриятлари ахборот хавфсизлигини таъминлаш учун масъулият ва мажбуриятларни ўз ичига олиши керак.
Ташкилотнинг барча ходимларини тасдиқланган сиёсат талаблари ва қоидалари билан таништириш, шунингдек ахборот хавфсизлиги масалалари бўйича мунтазам тушунтириш тадбирларини ўтказиш тартибини таъминлаш керак.
Агар сиёсат талаблари ташкилотдан ташқарига чиқса, ахборот хавфсизлиги талаблари учинчи томон ташкилотлари билан шартнома мажбуриятларига киритилиши керак.
3. Ахборот хавфсизлиги сиёсатини қайта кўриб чиқиш
O‘z DSt ISO/IEC 27002 стандартиги мувофиқ ташкилотда ахборот хавфсизлигининг сиёсатини ишлаб чиқиш, қайта кўриб чиқиш ва баҳолаш учун жавобгар мансабдор шахслар тайинланган бўлиши лозим.
Шунингдек, услубий қўлланмага мувофиқ сиёсат йилига камида бир марта, шунингдек қуйидаги ҳолларда кўриб чиқилиши керак:
— ахборот хавфсизлигига оид янги норматив-ҳуқуқий ҳужжатлар ва норматив-ҳуқуқий ҳужжатларни ўзгартириш ва тасдиқлашда;
— конфигурацияни ўзгартирганда, ахборот жараёнлари технологиясини ўзгартирмайдиган дастурий таъминот ва аппарат, дастурий таъминот ва аппаратларни қўшиш ёки олиб ташланганда;
— объект маълумотларини ҳимоя қилишнинг техник воситаларининг конфигурацияси ва созламаларини ўзгартирганда;
–ахборот хавфсизлиги учун масъул бўлган мансабдор шахслар, фойдаланувчи ва техник ходимларнинг таркиби ва мажбуриятларини ўзгартирганда.
Бундан ташқари, ташкилотнинг ахборот хавфсизлиги фаолияти қабул қилинган сиёсатга мувофиқлигини мунтазам равишда текшириб туриши мақсадга мувофиқ ҳисобланади.
Ташкилот томонидан сиёсат талаблари ва қоидаларига риоя қилиниши юзасидан ташкилотнинг ахборот инфратузилмасини ички ва ташқи аудитини ўтказиш орқали Сиёсатнинг самарадорлигини янгилаш ва баҳолаш амалга оширилади.
Хулоса ўрнида шуни айтиш мумкинки, Ахборот хавфсизлиги бугунги кунда Республикамизнинг рақамли иқтисодиётини ривожлантиришнинг энг муҳим элементи даражасига кўтарилмоқда. Ахборот хавфсизлиги маданиятини мамлакатнинг тижорат ташкилотлари ва давлат тузилмалари фаолиятининг барча соҳаларига чуқур сингдирмасдан бозор иштирокчиларининг электрон ҳамкорлигини кенгайтириш ва янги ахборот технологияларидан кенг фойдаланиш мумкин эмас. Ташкилотларда ахборот хавфсизлиги маданиятини оширишнинг энг самарали воситаси бўлган ахборот хавфсизлиги сиёсати замонавий шароитда муҳим омил бўлиб қолмоқда. Бундан ташқари, юртимизда иқтисодий фаолият ва давлат бошқаруви жараёнларининг «рақамлаштирилиши» кучайиши билан ахборот хавфсизлиги сиёсатининг роли тобора ошиб бормоқда.