S
ə
hif
ə56
etmək olar.
Vaxtı başa çatmış
Sertifikat
Məsləhət görülən yoxlama metodu yaddaşda
saxlanılan CRL tarixçəsindən istifadədir.
4.12
Sertifikata xidmətin başa çatması
İmza sahibi EH-SXM-in sertifikat xidmətlərindən istifadəni aşağıdakı
hallarda bitirə bilər:
Yeni Sertifikat almayaraq, verilmiş Sertifikatın qüvvəsinin başa
çatmasını gözləmək;
Yeni Sertifikat almayaraq, verilmiş Sertifikatın qüvvədə olması
müddəti bitməmiş onu ləğv etdirmək.
4.13
Açarın saxlamaq üçün başqasına verilməsi
İmza sahibi EH-SXM tərəfindən verilmiş smart kartı, onda olan Gizli açarı
və Gizli açar daşıyıcısından istifadə üçün giriş kodlarını başqasına
verməməlidir.
5
Vasitələrə, idarəetməyə və fəaliyyətə nəzarət
EH-SXM bu Qaydalarla müəyyənləşdirilən və İnformasiya təhlükəsizliyi
AZS 324-2008 (ISO/IEC 27002:2005) [5] Beynəlxalq Standartına əsaslanan
təhlükəsizlik tələblərinə riayət edir. Bu siyasətə uyğun EH-SXM-in müstəqil
audit tələbləri 8-ci bölmədə təsvir olunmuşdur. EH-SXM-in Təhlükəsizlik
təlimatındakı [] həssas təhlükəsizlik məlumatları yalnız EH-SXM ilə razılaşma
nəticəsində əldə edilə bilər. Bu tələblərin xülasəsi aşağıda verilmişdir:
5.1
Fiziki təhlükəsizlik nəzarəti
EH-SXM modifikasiyadan mühafizə olunmuş etibarlı sistem və
məhsullardan istifadə edir və onlar vasitəsilə həyata keçirilən proseslərdə
S
ə
hif
ə57
texniki və kriptoqrafik təhlükəsizlik təmin edilir. EH-SXM bu Qaydaların
təhlükəsizlik tələblərini dəstəkləyən Fiziki təhlükəsizlik qaydalarını [14]
həyata keçirir. Fiziki təhlükəsizlik qaydaları və proseduru həssas təhlükəsizlik
məlumatlarına malikdir və yalnız EH-SXM ilə razılaşma nəticəsində əldə edilə
bilər. Bu tələblər aşağıda qısaca təsvir olunub.
5.1.1
EH-SXM-in yerləşdiyi yer
EH-SXM fiziki olaraq mühafizə olunan mühitdə yerləşməli, informasiya
sistemlərindən, onlardakı məlumatlardan açıq və ya gizli yolla icazəsiz
istifadənin, ələ keçirilmənin, müdaxilənin aşkara çıxarılması və qarşısının
alınması üçün təhlükəsizlik tədbirləri görülməlidir.
5.1.2
Fiziki giriş
EH-SXM-ə və onun informasiya sistemlərinə fiziki giriş daimi nəzarət
altındadır.
5.1.3
Enerji və hava təchizatı
Dayanıqlı və davamlı fəaliyyəti təmin etmək üçün EH-SXM elektrik
enerjisi ilə fasiləsiz qidalandırma vasitələri və havanın istilik və rütubətinin
tənzimlənməsi üçün avadanlıqlarla təchiz edilmişdir.
5.1.4
Su sızması
EH-SXM su sızması nəticəsində fəaliyyətinə dəyə biləcək təsirləri
minimuma endirmək üçün müvafiq tədbirləri həyata keçirmişdir.
S
ə
hif
ə58
5.1.5
Yanğının qarşısının alınması və mühafizə
EH-SXM yanğının qarşısını almaq və onu söndürmək üçün müvafiq
tədbirləri görmüşdür.
5.1.6
İnformasiya daşıyıcıları
İnformasiya mənbələri və daşıyıcıları kimi istifadə edilən istehsal
proqram təminatı, verilənlər (məlumatlar), audit-loqlar və onların ehtiyat
nüsxələri, sənəd arxivləri EH-SXM-də təsadüfi zədələnmə (məsələn, su,
yanğın, elektromaqnit təsirindən) və icazəsiz fiziki müdaxilədən mühafizə
edilir.
5.1.7
Tullantıların məhv edilməsi
EH-SXM-də tullanılması nəzərdə tutulan kağız və elektron informasiya
daşıyıcıları, həmçinin qurğular onlarda olan məlumatların həssaslıq
səviyyəsinə uyğun və onların bərpa olunmasını istisna edən üsullarla məhv
edilir.
5.1.8
Kənar ehtiyat nüsxə
EH-SXM-in kritik sistem məlumatlarının, audit-loqların və digər həssas
məlumatların müntəzəm olaraq ehtiyat nüsxələri yaradılır, təhlükəsiz
saxlanılması və müvafiq hallarda istifadəsi təmin edilir.
5.2
Prosedurların idarə olunması
5.2.1
Məsul rollar
EH-SXM-in bütün fəaliyyəti EH-SXM-in Təşkilati təsvirində əks olunmuş
[13] rollarla bağlıdır. Məsul rollara aşağıdakıları yerinə yetirən rollar aiddir:
S
ə
hif
ə59
Təhlükəsizlik səlahiyyətlisi: təhlükəsizlik tədbirlərinin həyata
keçirilməsinə ümumi cavadehlik daşıyır. Həmçinin EH-SXM-in
özünün istifadə etdiyi Sertifikatların generasiyası, ləğvi və
qüvvəsinin dayandırılmasını təsdiq edir.
Sistem səlahiyyətlisi: EH-SXM-in informasiya sisteminin
gündəlik işinə cavabdehdir. Sistemin ehtiyat nüsxəsinin
yaradılmasını və bərpasını yerinə yetirmək səlahiyyəti vardır.
Sistem administratorları: Qeydiyyat, Sertifikatın yaradılması,
qurğu təchizatı və ləğvetmə üçün EH-SXM-in mötəbər
sistemlərinin ilkin quraşdırılması, konfiqurasiyası və saxlanması
üçün avtorizasiya olunub.
Sistem operatoru: EH-SXM informasiya bazasının, əməliyyat
sisteminin ehtiyat nüsxələrinə və bərpasına avtorizasiya
olunub;
Sistem
auditorları:
EH-SXM-in
mötəbər
sistemlərinin
arxivlərinə və audit-loquna baxmağa avtorizasiya olunub.
Burada qeyd olunan Məsul rolları tutanlar EH-SXM-in Məsul şəxsləri
kateqoriyasına aiddir və təşkilatda informasiya təhlükəsizliyi siyasətinin
tətbiq edilməsi və həyata keçirməsinə cavabdehdirlər.
5.2.2
Tapşırıqlar üzrə tələb olunan şəxslərin sayı
EH-SXM işləri yerinə yetirilmək üçün vəzifə bölgüsü və həssas
tapşırıqların müxtəlif Məsul şəxslər tərəfindən icrasını təmin etmək
məqsədilə ciddi nəzarət prosedurları tətbiq edir.
Aşağıdakı qurğulara və onların yerləşdiyi yerə ən azı iki Məsul şəxsin
birgə girişi tələb olunur:
HSM-lər, sistem kartları və fərdiləşdirilməmiş smart kartlara
məntiqi və ya fiziki giriş,
Məlumat arxivlərinə fiziki giriş;
Dostları ilə paylaş: |