cIM7TaC2UVXJynCQ3CTdoZBANk092eFKFDVhKypC

назоратини
тавсифловчи юқори сатҳли ҳужжат ёки ҳужжатлар
тўплами.

• Хавфсизлик

сиёсати

конфиденциалликни,

фойдаланувчанликни, яхлитликни ва актив қийматини
сақлайди.

• Хавфсизлик сиёсатисиз, ташкилотни бўлиши мумкин
жиноий иш, фойданинг йўқолиши ва ёмон ошкорлик каби
ҳолатларни олдини олиш имконсиз.

• Бироқ, у хавфсизлик сиёсати асос хавфсизлик
ҳужумларини назарда тутмайди.

Киберхавфсизлик асослари (CSF1316)

ва уни
ахборотни йўқолишидан ҳимоялаш учун;

Ташкилотнинг барча функцияларини хавфсиз тарзда амалга оширилиши учун;
Ташқи ахборот таҳдидларига компаниянинг дучор бўлишини камайтириш учун;

Хавфсизлик сиёсати тармоқда қандай қоидалар фойдаланиши кераклиги, конфиденциал
ахборот қандай сақланиши ва ташкилот маълумотларини ошкор бўлиши ва мажбуриятларни
камайтириш учун қандан шифрлаш алгоритмлари кераклиги аниқлаш орқали қонуний ҳимояни
таъминлайди;

Хавфсизлик сиёсатлари таҳдидларни содир бўлишидан олдин башоратлаш ва заифликларни
аниқлаш орқали хавфсизлик бузилишлари ҳолати эҳтимолини камайтиради;

Захира нусхалаш ва қайта тиклаш амалларини жорий қилиш орқали ташкилот маълумотларини
йўқолиши ва чиқиб кетиши хавфини минималлаштиради.

Киберхавфсизлик асослари (CSF1316)

мониторингланиши ва
назоратланиши

Тармоқни юқори унумдорлиги

Муаммоларга тезкор жавоб бериш ва ҳаракатсиз вақтнинг камлиги
Бошқарувдаги стресс даражасини камайиши
Харажатларни камайиши

Киберхавфсизлик асослари (CSF1316)

қонунларни ўрнатади.

Норматив ҳужжатлар ходимларни қонунларга риоя
қилишини кафолатлайди.

Норматив
ҳужжатлар

Сиёсатлар ёрдамида, ташкилот ўз тармоқ хавфсизлиги учун
қонуний ва ички тармоқ талабларини ишлаб чиқади.

Сиёсатлар
Стандартлар

Стандартлар сиёсатни амалга ошириш
усулларини тавсифлайди.

Инструкциялар ташкилот сиёсати ва стандартларини
амалга ошириш стратегиясини аниқлайди.

Инструкциялар
Муолажалар

Муоалажалар ташкилот сиёсатларини бажариш
жараёнини амалга оширувчи кетма-кет
босқичлар тўпламидир.

Умумий қоидалар танловга кўра
маслаҳатлар билан таъминловчи нарса.

Умумий қоидалар

Киберхавфсизлик асослари (CSF1316)

ва
инструкцияларга мос
бўлиши

Муложавий бардошли
бўлиши

Киберхавфсизлик асослари (CSF1316)

учун талабларни

характерлайди. Хавфсизлик талабларининг 4 тури мавжуд:

• Интизом хавфсизлиги талаблари
• Қўриқлаш хавфсизлиги талаблари
• Муолажавий хавфсизлик талаблари
• Кафолат хавфсизлиги талаблари

Сиёсат тавсифи

• Мазкур қисмда асосий эътибор хавфсизлик тартибига, қўриқлаш, муолажалар,

амалларнинг боғлиқлиги ва ҳужжатлаштиришга қаратилади.

Амалнинг хавфсизлик тушунчаси

• Уш бу тушунчалар хавфсизлик сиёсатининг ролларини, жавобгарликлари ва

функцияларини аниқлайди.

Элементлар жойлашувининг архитектураси

• Уш бу сиёсат дастурдаги ҳар бир тизим учун компьютер тизимлари архитектурасини

жойлашувини таъминлайди.

Киберхавфсизлик асослари (CSF1316)

чиқиши керак
бўлган асосий маълумотларни тақдим этади;
• мақсад – сиёсати нима учун тузилганлигин батафсил тушунтириш;
• ҳаракат соҳаси кимни ва нимани қамраб олиш ҳақидага ахборотни ўз
ичига олади;
• қоидалар ва жавобгарликлар ходимлар ва бошқарув учун аниқланади;
• мақсадли аудитория бу - сиёсат ишлаб чиқилаётган фойдаланувчилар ва
мижозлардир;
• сиёсатлар бу – хавфсизлик сиёсатининг ҳар бир аспекти учун баёндир;
• санксиялар ва бузилишлар мижозлар ва фойдаланувчилар риоя қилиши
керак бўлган рухсат бериш/ рад этиш жараёнини белгилайди;
• контакт маълумотлари сиёсат санкциялари ва/ ёки бузилишлари йуз
берганда ким билан боғлиниш кераклиги ҳақидаги ахборот;
• версия рақами сиёсатдаги барча ўзгаришлар ва янгиланишлар тўғри
кузатилишини таъминлайди;
• глоссари сиёсатда фойдаланилган турли термин ва қисқартмаларни
маъносини ўз ичига олади.

Киберхавфсизлик асослари (CSF1316)

бўлади.

Сиёсат баёни бу – ташкилот сиёсатини чуқур таркибини белгилайдиган тузилма.
Сиёсат баёнотлари ходимларга профилактика чораларини тушунишга ёрдам беради.

Идеал хавфсизлик сиёсати баёнотига мисол: “маълумотлардан фойдаланиш жоиз фаолият
талабига асосланади ва субъектлар расмий тасдиқ жараёнидан ўтиши керак”.

Юқоридаги сиёсат баёнотида ходимлар маълумотлардан фақат раҳбарият тасдиқлагандан сўнг
фойдаланишлари аниқ кўрсатилган. Агар бирор ходим хавфсизлик баёнотига риоя қилмас,
ташкилот зарур чораларни кўришга ҳақли деган хулосага келиш мумкин.

Киберхавфсизлик асослари (CSF1316)

олдин ўз
активлари учун рискларни
баҳолаши шарт.

2. Стандарт умумий
қоидалар: ташкилот ўз
хавфсизлик сиёсатини
ишлаб чиқишдан олдин
умумий қоидаларни
ўрнатилиш шарт.

киритилиши: янги
хавфсизлик сиёсатини
ишлаб чиқиш ёки

мавжудига қўшимча
киритиш жараёнида
бошқарувчи бўлиши шарт.

4. Жазолар: маълум
ташкилотларда қатъий
сиёсатлар мавжуд. Агар
ходимлар ушбу
сиёсатларга амал қилмаса,
уларга қарши бир қанча
чоралар қўлланилади.

6. Ходимлар томонидан
қабул қилиниши:

5. Якуний ишланма:
бошқарув тўлиқ сиёсат
ҳужжатларини тасдиқлаши
билан улар ташкилотдаги
барчага тарқатилади.

такшилот томонидан
хавфсизлик сиёсати
ходимларга қабул

қилиниши талаб этилади.

7. Сиёсатини жорий
қилиш: ташкилотда
сиёсатни амалга ошириш
учун қўшимча жорий
қилиш воситалари

9. Кўриш ва янгилаш:
ташкилот ўз фаолиятини
узоқ вақтдан бери амалга
ошираётган бўлса ҳам,
хавфсизлик сиёсатини
қайтадан кўриб чиқиши
талаб этилади.

8. Ходимларни ўргатиш:
ходимларга ташкилот
хавфсизлик сиёсати
давомли равишда

ўргатилиши шарт.

бўлиши мумкин.

Киберхавфсизлик асослари (CSF1316)

бирор ўқув дастурига мос келадими?

Хавфсизлик сиёсати ташкилот мақсадлари билан мос келадими?
Сиёсат яхшироқ амалиёт учун умумий қоидалар бўладими ёки у стандартга асосланиши керакми?
Ушбу сиёсат назорати остида нечта киши? Улар кимлар?

Ҳар бир ходим камида нимани билиши керак?

Ҳақиқатдан ҳам ушбу сиёсатда ёзилган барча тавсилотлар керакми ёки у АТ ходими учун махсус ёзилганми?
Сиёсатни қандай қилиб семантик ташкил қилиш мумкин?

Ходимлар сиёсатдан нимани тушунишлари керак?

Киберхавфсизлик асослари (CSF1316)

талаб қилмайдиган хавфсизлик сиёсатини ишлаб чиқиш
Сиёсатлар, стандартлар ва тавсияларни ажратиш

Ташкилотни асосий мақсаларини тақдим қилиш

Сиёсатни тушунарли эканлигига ишонч ҳосил қилиш
Ташкилот сиёсати хавфсизликка оид трейнингнинг бир қисми бўлиши
Кутилаётган асосий рискларни аниқлаш

Киберхавфсизлик асослари (CSF1316)

тегишли раҳбарияти томонидан қўллаб-қувватланиши
ва расмий равишда компаниянинг сиёсати сифатида сифатида қабул қилинишини
таъминлаш.

• Ҳар бир сиёсатни кўриб чиқиш ва ташкилот ичида қандай қўлланилиши ҳақида ўйлаш.
• Сиёсатга мувофиқ бўлган мос воситаларнинг мавжудлигига ишонч ҳосил қилиш.
• Тармоқни ёки сиёсатни ихтиёрий алмаштириш кераклиги ҳақида режани яратиш.

• Сиёсатни мададлаш учун муолажаларни ўрнатиш учун ташкилотдаги бирор бўлим
(масалан, АТ, АХ ва ҳак) билан ишлаш.

• Ташкилотни хавфсизлик бўйича асос ўқув трейнинг курслари билан таъминлаш.

• Хавфисзлик сиёсатини сиёсат юритиладиган ахборот активларидан фойдаланиш ҳуқуқига
эга бўлган барча ходимлар учун тақдим этиш.

• Ахборот хавфсизлик ходими хавфсизлик сиёсатини бошқариш ва амалга ошириш учун
жавобгар бўлиши.

• Хавфсизлик сиёсатини мос бошқариш учун ташкилотни зарур бўлган технология ва
воситалар билан таъминланганлигига ишонч ҳосил қилиш.

• Такшилотга ташриф буюрувчилар учун тармоқдан фойдаланиш имконияти берилган
тақдирда, уни мақбул сиёсат асосида амалга оширинг.

Киберхавфсизлик асослари (CSF1316)

ташкилотларни улар учун хавфсиз муҳитга ғоялар, мақсад ва усулларни таклиф қилиш орқали
қўллаб – қувватлайди. У хавфсизлик дастурларини ишлаб чиқиш, амалга ошириш ва бошқариш учун
усулларни белгилайди. Ушбу сиёсатлар шунингдек, таклиф этилган ва талаб қилинган ахборот
хавфсизлиги тузилмаси талабларини кафолатлайди.

Муаммога қаратилган хавфсизлик сиёсатлари (Issue-Specific Security Policies,
ISSP)

• Бу сиёсатлар ташкилотдаги айнан бир хавфсизлик муаммосига қаратилган бўлади. Ушбу хавфсизлик
сиёсатларининг қамрови ва қўлланилиш соҳаси муаммо тури ва унда фойдаланилган усулларга
боғлиқ бўлади. Унда профилаклик чоралар, масалан, фойдаланувчиларни кириш ҳуқуқини
авторизациялаш учун зарар бўлган технологиялар кўрсатилган.

Тизимга қаратилган хавфсизлик сиёсатлари (System-Specific Security Policies,
SSSP)

• SSP ни амалга ошириш ташкилотдаги бирор тизимнинг умумий хавфсизлигини мақсад қилади.
Ташкилотлар тизимни қўллаб-қууватлаш мақсадида муолажалар ва стандартларни ўз ичига олган бу
турдаги сиёсатларни ишлаб чиқадилан ва бошқарадилар. Ташкилот томонидан фойдаланилган
технологиялар шунингдек тизимга қаратилган сиёсатларни ўз ичига олади. Бу сиёсат технологияни
амалга ошириш ва созлаш ва фойдаланувчиларни ҳаракатларини ҳисобга олади.

Киберхавфсизлик асослари (CSF1316)

ҳеч қандай чекловлар қўймайди. Масалан,
номунтазам Интернет сиёсати билан Интернетдан фойдаланишга чекловлар қўймайди.
Фойдаланувчи исталган сайтга кириши, исталган дастурни юклаб олиш ва узоқ жойдан
компьютер ёки тармоққа кириши мумкин.

Рухсат беришга асосланган сиёсат (Permissive Policy)

• Бу сиёсатга кўра фақат маълум хавфли хизматлар/ ҳужумлар ёки ҳаракатлар блокланади.
Масалан, рухсат беришга асосланган Интернет сиёсатида бир қанча машҳур ва зарарли
хизматлар/ ҳужумлардан ташқари Интернет трафигининг асосий қисми очиқ бўлади.

Параноид сиёсати (Paranoid Policy)

• Параноид сиёсатга кўра ҳамма нарса тақиқланади. Тизим ёки тармоқдан фойдаланувчи
ташкилот компьютерларида қатъий чекловлар мавжуд бўлади. Бунда Интернетга умуман
уланмаган ёки қатъий чекловлар билан уланган бўлиши мумкин.

Эҳтиёткорлик сиёсати (Prudent Policy)

• Эҳтиёткорлик сиёсати барча хизматлар блокировка қилинганидан сўнг боўланади.
Администатор хавфсиз ва зарур хизматларга индивидуал равишда рухсат беради. Бу максимал
хавфсизликни таъминлайди ва тизим/ тармоқ фаолияти каби барча нарсаларни қайд қилади.

Киберхавфсизлик асослари (CSF1316)

ўз аккаунтларида мавжуд
бўлган маълумотларни ҳимоя қилиш мажбурияти
кўрсатилган.

• Фойдаланувчи тармоқдаги ёки Интернетдаги компьютерга
киришда сиёсат чекловларини қабул қилиши керак.

• Эҳтиёткорлик сиёсати принциплар, тақиқлар, кўриб
чиқиш ва жазо чораларини ўз ичига олади ва
фойдаланувчини шахсий сабабларга кўра корпоратив
ресурслардан фойдаланишини тақиқлайди.

Киберхавфсизлик асослари (CSF1316)

олганда, ташкилотлар ўзларининг янги
ходимларига ахборот ресурларидан фойдаланишга рухсат
беришдан олдин мақбул фойдаланиш сиёсати бўйича
танишганлиги учун имзо олишади.
• Мақбул фойдаланиш сиёсати фойдаланувчиларни АТ
инфратузилмасида нималарни бажариш керак ва
нималарни бажармаслик кераклиги ҳақидаги асосий
жихатларни ўз ичига олади.
• Мақбул фойдаланиш сиёсати тўғри амалга оширилганига
ишонч ҳосил қилиш учун, администратор доимий
равишда хавфсизлик аудитини олиб бориши керак.

Киберхавфсизлик асослари (CSF1316)

диний мавзуларда
музокаралар олиб борилишини тақиқлайди.

• Мақбул фойдаланиш сиёсатларининг аксариятида
сиёсатни бузганлик учун жазолар тайинланади.

• Бундай жазолар фойдаланувчи аккаунтини вақтинча ёпиб
қўйишдан тортиб қонуний ҳаракатлар каби кескин
чораларни ўз ичига олади.

Киберхавфсизлик асослари (CSF1316)