Axborotni himoyalash bugungi kunda har bir korxonaning dolzarb masalasi hisoblanadi. Axborot xavfsizligi hodisalari tufayli keladigan zarar tashkilot taqdiriga sezilarli ta’sir ko‘rsatishi mumkin.

Axborot xavfsizligini ta’minlashning ko‘plab usullari va sohalari mavjud. Bugungi maqolamizda tashkilotlarda axborot xavfsizligini ta’minlashning asosiy hujjati sanalmish axborot xavfsizligi hujjati to‘g‘risida so‘z yuritiladi.

Ta’kidlaganimizdek, tashkilotda axborot xavfsizligini ta’minlashni samarali tashkil etish vositalaridan biri bu axborot xavfsizligi siyosatini joriy etishdir. Xo‘sh, axborot xavfsizligi siyosati nima, u qanday joriy etiladi va joriy qilishdan maqsad nimalardan iborat?

Axborot xavfsizligi siyosatining ko‘plab ta’riflari turli hujjatlarda keltirilgan, shulardan davlat organlari uchun mos keluvchi ta’rif shunday: axborot xavfsizligi siyosati – bu korxona yoki tashkilot xodimlari axborot resurslarini himoya qilish uchun kundalik amaliyotida amal qiladigan chora-tadbirlar, qoidalar va tamoyillar to‘plami.

1. Axborot xavfsizligi ishlab chiqish asoslari

Axborot xavfsizligi siyosati, birinchi navbatda, korxonada axborot xavfsizligini ta’minlashning maqsad va vazifalarini faoliyatga singdirish uchun zarurdir. Faoliyat yuritayotgan har bir xodim shuni tushunishi kerakki, xavfsizlik xodimi nafaqat ma’lumotlar chiqib ketishini tekshiruvchi, balki kompaniya xatarlarini minimallashtirish va shu sababli kompaniya rentabelligini oshirishda yordamlashuvchidir.

Yurtimizda elektron hukumatni qurish, davlat organlari faoliyatini raqamlashtirish bilan bog‘liq harakatlar jadal sur’atlarda amalga oshirilmoqda. Hukumatning tegishli qarorlari va axborot xavfsizligi sohasidagi standartlarga (O‘z DSt ISO/IEC 270XX) muvofiq har bir tashkilotda axborot xavfsizligi siyosatini ishlab chiqish va joriy qilinishi lozimligi yuzasidan talablar keltirilgan. Xususan, O‘z DSt ISO/IEC 27002 standartining 5-bobida Axborot xavfsizligi siyosatini ishlab chiqish bo‘yicha talablar belgilab qo‘yilgan.

O‘zbekiston Respublikasi hududida davlat va xo‘jalik boshqaruvi organlarida, shuningdek, mahalliy davlat hokimiyati organlarida (bundan buyon matnda tashkilotlar deb yuritiladi) axborot xavfsizligi siyosatini ishlab chiqish va amalga oshirishning asosiy tamoyillari va tartibini belgilovchi «O‘zbekiston Respublikasi hududida axborot xavfsizligi siyosatini ishlab chiqish bo‘yicha uslubiy qo‘llanmalar» ham 2013–2020 yilllarda O‘zbekiston Respublikasi Milliy axborot-kommunikatsiya tizimini rivojlantirishni muvofiqlashtirish bo‘yicha Respublika komissiyasining 2016-yil 23-fevraldagi 7-bayoni bilan tasdiqlangan.

Uslubiy qo‘llanma tashkilotda xavfsizlikni boshqarish bo‘yicha amaliy choralarni tanlash, shuningdek, tashkilotlar o‘rtasida ma’lumotlar almashishda ularning yaxlitligi, qulayligi va maxfiyligini ta’minlash uchun asosdir.

2. Axborot xavfsizligi siyosatini ishlab chiqish bosqichlari

Mavjud uslubiy qo‘llanmaga muvofiq axborot xavfsizligi siyosatini (keyinchalik matnda – Siyosat) ishlab chiqish uch bosqichda amalga oshiriladi.

Siyosatni ishlab chiqish uchun ishchi guruh tashkilot rahbarining buyrug‘i bilan tasdiqlanadi, unda quyidagi shaxslar bo‘lishi kerak:

- tashkilot rahbariyati vakili;

- axborot xavfsizligi masalalari bo‘yicha mas’ul,

- kadrlar bo‘limi boshlig‘i (HR xizmati);

- texnik bo‘linmalar vakillari (axborot xavfsizligi ma’muri, tarmoq ma’muri, ma’lumotlar bazasi ma’muri yoki boshqa vakolatli xodimlar).

Zaruriyatga qarab, tashkilotning boshqa xodimlarini, uchinchi tomon ixtisoslashtirilgan tashkilotlarini yoki mutaxassislarni jalb qilish mumkin.

Siyosatni ishlab chiqish tartibi quyidagi bosqichlarga bo‘linadi:

Birinchi bosqich. Dastlabki xavfsizlik auditi, shu jumladan, axborot xavfsizligi holatini dastlabki o‘rganish va inventarizatsiya qilish, tashkilot xavfsizligiga tahdidlarni aniqlash, himoya qilinishi lozim resurslarni aniqlash, risklarni aniqlash.

Audit jarayonida axborot xavfsizligining hozirgi holatini tahlil qiladi, mavjud zaifliklarni, faoliyatning eng muhim sohalari va tashkilotning xavfsizlikka tahdid jarayonlariga eng sezgir yo‘nalishlari aniqlanadi.

Audit tashkilotning axborot xavfsizligining tahdidlari va zaifliklarini aniqlashga, siyosatni ishlab chiqish uchun dastlabki ma’lumotlarni olishga, shuningdek, tashkilotni axborotlashtirish ob’yektlarini keyingi sertifikatlashga tayyorlashga imkon beradi.

Tashkilot auditi davomida quyidagilar amalga oshiriladi:

- tashkilotning O‘zbekiston Respublikasi qonunchiligi, O‘zbekiston Respublikasi Prezidenti va O‘zbekiston Respublikasi Vazirlar Mahkamasining farmon va qarorlari talablariga muvofiqligi o‘rganiladi va tahlil qilinadi, O‘zbekiston Respublikasining normativ-huquqiy hujjatlari toifalarga taqsimlanishi, shuningdek, tashkilotda axborot xavfsizligi masalalarini tartibga soluvchi normativ hujjatlarning ijrosi o‘rganiladi;

- tashkilotning kompyuterlari va serverlarini dastlabki tekshirish, ya’ni ishlatilgan operatsion tizimlarning sozlamalari, dastur va tizim dasturlari (dasturiy ta’minot), axborot xavfsizligi vositalari, shuningdek, axborot-kommunikatsiya texnologiyalariga kiritilgan boshqa qo‘shimcha qurilmalar va boshqalar tahlil qilinadi;

- axborot xavfsizligining tahdidlari va zaifliklari uchun tashkilot veb-sayti tahlil qilinadi;

- tashkilot hududi, perimetri va binolarining jismoniy himoya qilishni ta’minlash bo‘yicha amalga oshirilgan chora-tadbirlar tahlil qilinadi, ya’ni xavfsizlik tizimi, kirishni boshqarish vositalari, yong‘in xavfsizligi tizimlari va boshqalar;

- suhbat orqali tashkilot xodimlarining tashkilotda o‘rnatilgan axborot xavfsizligi qoidalari to‘g‘risida xabardorligi baholanadi;

- tashkilotning axborot va moddiy resurslarini turkumlash va inventarizatsiya qilish tahlili amalga oshiriladi.

Ikkinchi bosqich. Tashkilotning axborot xavfsizligi siyosati loyihasini ishlab chiqish. Siyosatni ishlab chiqishda quyidagi asosiy qoidalarga rioya qilish talab etiladi:

- siyosat amaldagi qonunchilikka va davlat standartlari talablariga to‘liq mos bo‘lishi lozim;

- siyosat matnida ikki tomonlama talqin qilishga imkon bermaydigan aniq va bir ma’noli jumlalar bo‘lishi lozim.

Umuman olganda, siyosat axborot tizimlari va axborot xavfsizligi vositalarini amalga oshirishda va ulardan foydalanishda, shuningdek, ma’lumot almashish va axborotni qayta ishlash operatsiyalarini bajarishda foydalanuvchilar, ma’murlar va boshqa mutaxassislarning talab qilinadigan xatti-harakatlari to‘g‘risida aniq tasavvur berishi kerak.

Siyosat – bu tashkilotning barcha manfaatdor tomonlariga cheklovlarsiz taqdim etilishi mumkin bo‘lgan ommaviy hujjat.

Uchinchi bosqich. Tashkilotning axborot xavfsizligi siyosatini muvofiqlashtirish va amalga oshirish.

Ishlab chiqilgan siyosat loyihasi tegishlicha O‘zbekiston Respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligiga va vakolatli organlarga tasdiqlash uchun yuboriladi hamda tasdiqlangandan so‘ng tashkilot rahbarining buyrug‘i bilan kuchga kiradi. Shu bilan birga, tasdiqlangan siyosatni to‘liq amalga oshirish uchun aniq sanalar va ijrochilar bilan siyosatni amalga oshirish bo‘yicha tarmoq harakatlar rejasi ishlab chiqilishi lozim.

Ushbu reja Xodimlarning lavozim tavsiflari, bo‘linmalar to‘g‘risidagi nizom, tashkilotning shartnomaviy (kontrakt) majburiyatlari axborot xavfsizligini ta’minlash uchun mas’uliyat va majburiyatlarni o‘z ichiga olishi kerak.

Tashkilotning barcha xodimlarini tasdiqlangan siyosat talablari va qoidalari bilan tanishtirish, shuningdek, axborot xavfsizligi masalalari bo‘yicha muntazam tushuntirish tadbirlarini o‘tkazish tartibini ta’minlash kerak.

Agar siyosat talablari tashkilotdan tashqariga chiqsa, axborot xavfsizligi talablari uchinchi tomon tashkilotlari bilan shartnoma majburiyatlariga kiritilishi kerak.

3. Axborot xavfsizligi siyosatini qayta ko‘rib chiqish

O‘z DSt ISO/IEC 27002 standartiga muvofiq tashkilotda axborot xavfsizligining siyosatini ishlab chiqish, qayta ko‘rib chiqish va baholash uchun javobgar mansabdor shaxslar tayinlangan bo‘lishi lozim.

Shuningdek, uslubiy qo‘llanmaga muvofiq siyosat yiliga kamida bir marta, shuningdek, quyidagi hollarda ko‘rib chiqilishi kerak:

- axborot xavfsizligiga oid yangi normativ-huquqiy hujjatlar va normativ-huquqiy hujjatlarni o‘zgartirish va tasdiqlashda;

- konfiguratsiyani o‘zgartirganda, axborot jarayonlari texnologiyasini o‘zgartirmaydigan dasturiy ta’minot va apparat, dasturiy ta’minot va apparatlarni qo‘shish yoki olib tashlanganda;

- ob’yekt ma’lumotlarini himoya qilishning texnik vositalari konfiguratsiyasi va sozlamalarini o‘zgartirganda;

- axborot xavfsizligi uchun mas’ul bo‘lgan mansabdor shaxslar – foydalanuvchi va texnik xodimlarning tarkibi va majburiyatlarini o‘zgartirganda.

Bundan tashqari, tashkilotning axborot xavfsizligi faoliyati qabul qilingan siyosatga muvofiqligini muntazam ravishda tekshirib turishi maqsadga muvofiq hisoblanadi.

Tashkilot tomonidan siyosat talablari va qoidalariga rioya qilinishi yuzasidan tashkilotning axborot infratuzilmasini ichki va tashqi auditini o‘tkazish orqali Siyosatning samaradorligini yangilash va baholash amalga oshiriladi.

Xulosa o‘rnida shuni aytish mumkinki, axborot xavfsizligi bugungi kunda respublikamizning raqamli iqtisodiyotini rivojlantirishning eng muhim elementi darajasiga ko‘tarilmoqda. Axborot xavfsizligi madaniyatini mamlakatning tijorat tashkilotlari va davlat tuzilmalari faoliyatining barcha sohalariga chuqur singdirmasdan bozor ishtirokchilarining elektron hamkorligini kengaytirish va yangi axborot texnologiyalaridan keng foydalanish mumkin emas. Tashkilotlarda axborot xavfsizligi madaniyatini oshirishning eng samarali vositasi bo‘lgan axborot xavfsizligi siyosati zamonaviy sharoitda muhim omil bo‘lib qolmoqda. Bundan tashqari, yurtimizda iqtisodiy faoliyat va davlat boshqaruvi jarayonlarining raqamlashtirilishi kuchayishi bilan axborot xavfsizligi siyosatining roli tobora oshib bormoqda.

Akbar XODJAYeV,

«Axborot texnologiyalari va axborot resurslarini rivojlantirish markazi» DUK axborot xavfsizligini ta’minlash bo‘limi boshlig‘i