AT xavfsizligi siyosati har qanday tashkilot muvaffaqiyatida hal qiluvchi ahamiyatga ega. Ular barcha protseduralarning asosi bo'lib, biznesning asosiy missiyasi va xavfsizlikka bo'lgan sadoqatiga mos kelishi kerak. Ular kompaniya ichidagi qanday ma'lumotlar uchun qanday xodimlar javobgarligini belgilaydilar. AT xavfsizligi siyosati tashkilotlarning xavfsizlik hodisalariga tayyorgarligi va javobini shakllantiradi.
Axborot xavfsizligi tashkilotning barcha a'zolari tomonidan tan olingan va amal qiladigan yaxshi hujjatlashtirilgan siyosatlarga tayanadi.
SANS instituti ma'lumotlariga ko'ra, tashkilotning xavfsizlik siyosati muhim biznes ma'lumotlari va tizimlarini ichki va tashqi tahdidlardan himoya qilish standartini belgilaydi. Ushbu siyosat va tartiblarning yillik Xavfsizlik xavfini baholash bilan bog'liq holda yangilanishi muhim ahamiyatga ega .
Keng qamrovli xavfsizlik siyosatiga ega bo'lish kompaniya uchun bir qator afzalliklarni beradi. Siyosatlar tashkilotning umumiy xavfsizlik holatini yaxshilashga yordam beradi. Kompaniya bilan bog'liq xavfsizlik hodisalari kamroq va xodimlar ushbu hodisalarga javob berish siyosatiga murojaat qilishlari mumkin. Keng qamrovli AT xavfsizligi siyosatiga ega bo'lish kompaniyalarni auditga tayyorlashga yordam beradi, bu esa qoidalarga to'g'ri rioya qilishni ta'minlaydi. Bundan tashqari, u foydalanuvchilar va tashkilot ichidagi manfaatdor tomonlar uchun javobgarlikni oshiradi, bu kompaniya uchun ham yuridik, ham biznes jihatlari bo'yicha foydali bo'lishi mumkin.
AT xavfsizligi siyosati, agar ular alohida hujjatda ko'rsatilmagan bo'lsa, har doim maqsad, ko'lam, siyosat va protseduralarni o'z ichiga olishi kerak. Ular foydalanuvchi va IT xodimlarining xatti-harakatlari qoidalarini belgilashlari, shu bilan birga ularga rioya qilmaslik oqibatlarini aniqlashlari kerak. AT xavfsizligi siyosati tashkilot ichidagi asosiy xavflarni aniqlashi va ushbu xavflarni qanday kamaytirish bo'yicha ko'rsatmalar berishi kerak . Siyosatlar tashkilotning qimmatli aktivlari va eng katta xavf-xatarlari asosida moslashtirilgan bo'lishi kerak.
Eng muhim siyosatlar tashkilot axborot tizimlarining barcha foydalanuvchilariga taalluqlidir. Ushbu siyosatlar tizimlar va ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini himoya qiladi. Siyosatlarni o'zgartirish, qisqartirish yoki boshqalar bilan birlashtirish mumkin bo'lsa-da, barcha tashkilotlarda quyidagi siyosatlar qo'llanilishi kerak.
Qabul qilinadigan foydalanish siyosati (AUP) kompyuter uskunalaridan maqbul foydalanishni belgilaydi. Oddiy faoliyat jarayonida kompaniya, mijozlar va mijozlar manfaatlariga xizmat qilishda biznes maqsadlarida foydalaniladi. AUP axborot tizimlaridan noto'g'ri foydalanishni va u olib kelishi mumkin bo'lgan xavfni belgilaydi. Noto'g'ri xatti-harakatlar tarmoq tizimini buzishi va huquqiy oqibatlarga olib kelishi mumkin. Nomaqbul foydalanish misoli, xodim o'z ishini bajarishdan tashqari boshqa sabablarga ko'ra kompaniya kompyuteri orqali ma'lumotlarga kirishi mumkin. AUP umumiy foydalanish, xususiy yoki maxfiy ma'lumotlar bilan ishlashda tegishli xatti-harakatlar va nomaqbul foydalanishni o'z ichiga oladi.
Xavfsizlik bo'yicha xabardorlik va o'qitish siyosati
Xavfsizlik bo'yicha treninglar barcha ishchi kuchi a'zolariga o'tkazilishi kerak, shunda ular kompaniya ma'lumotlarini tegishli tarzda himoya qilgan holda o'z vazifalarini to'g'ri bajarishlari mumkin. Xodimlar o'qishni tugatgandan so'ng, maxfiylik to'g'risidagi shartnomani imzolashlari va yakunlanganligini tasdiqlovchi hujjatlarni taqdim etishlari kerak. Menejment foydalanuvchilarni tashkilotning xavfsizlik siyosati bo'yicha o'rgatish uchun treningni ishlab chiqishi kerak.
Hodisalarga javob berish siyosati
Voqealarga javob berish siyosati tashkilotning biznes uzluksizligi rejasining bir qismidir. Unda axborot xavfsizligi hodisasiga tashkilotning munosabati ko‘rsatilgan. Voqealarga javob berish siyosati Favqulodda vaziyatlarni tiklash rejasidan alohida hujjatlashtirilishi kerak , chunki u ma'lumotlarning buzilishi yoki boshqa xavfsizlik hodisasidan keyingi protseduralarga qaratilgan.
Siyosat hodisaga javob berish guruhi, siyosatni sinovdan o'tkazish uchun mas'ul bo'lgan xodimlar, har bir guruh a'zosining roli va buzilgan ma'lumotlarni aniqlash va tiklash uchun ishlatiladigan harakatlar, vositalar va resurslar haqida ma'lumotni o'z ichiga olishi kerak. Voqealarga javob berish bosqichlari:
Tayyorgarlik
Identifikatsiya
Saqlash
Yo'q qilish
Qayta tiklash
Masofaviy kirish har qanday xostdan kompaniya tarmog'iga ulanishni o'z ichiga oladi. Masofaviy kirish siyosati resurslardan ruxsatsiz foydalanish natijasida yuzaga kelishi mumkin bo'lgan zararni minimallashtirish uchun ishlab chiqilgan. Ushbu siyosat barcha xodimlarga qaratilgan bo'lishi va elektron pochta xabarlarini yuborish yoki qabul qilish qoidalarini va intranet resurslarini o'z ichiga olishi kerak. Siyosat VPN-ga kirish va diskni shifrlash talablarini ham o'z ichiga olishi kerak.
Masofaviy kirishga qo'yiladigan talablar saytga kirish talablariga o'xshash bo'lishi kerak
Sotuvchini boshqarish siyosati
Sotuvchini boshqarish siyosati sotuvchining muvofiqligi va axborot xavfsizligi qobiliyatlarini tasdiqlaydi. Siyosat sotuvchilarni sotib olish jarayonini va kompaniyaning barcha sotuvchilarini qanday boshqarishni ko'rib chiqishi kerak. Tashkilot biznes hamkorining kompaniya nomidan maxfiy ma'lumotlarni yaratish, olish, saqlash yoki uzatish qobiliyatini baholashi kerak. Kompaniya uchinchi tomon sotuvchisi unga berilgan ma'lumotni tegishli tarzda himoya qilishiga ishonishi kerak. Tashkilot o'z sotuvchilari ro'yxatini xavflar, sotuvchilar bilan aloqalar va ma'lumotlar buzilgan taqdirda huquqiy oqibatlarga asoslangan holda yuritishi juda muhimdir. Yana bir zaruriy qadam, muvaffaqiyatsizlikka uchragan taqdirda har bir sotuvchi uchun ichki javob rejalarini yaratishdir.
Tarmoq xavfsizligi siyosati
To'liq tarmoq xavfsizligi siyosati davriy asosda axborot tizimini va tarmoq faoliyatini tekshirishni o'tkazishning muayyan tartibiga rioya qilish orqali kompaniya tizimlaridagi ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini ta'minlaydi. Siyosat tizimlarning tegishli apparat, dasturiy ta'minot yoki protsessual audit mexanizmlariga ega bo'lishini ta'minlaydi. Audit hodisalari tizimga muvaffaqiyatsiz urinishlar, ma'lumotlarni ishga tushirish yoki o'chirish va imtiyozli hisoblardan foydalanishni o'z ichiga oladi. Boshqa ro'yxatga olish elementlariga xavfsizlik devorlaridagi anomaliyalar, marshrutizatorlar va kalitlar ustidagi faollik va tarmoqdan qo'shilgan yoki o'chirilgan qurilmalar kiradi. Tashkilotlar faoliyatning sanasi, vaqti va kelib chiqishi kabi tafsilotlarni qayd etishlari kerak.