S
ə
hif
ə60
EH-SXM-in mərkəzi, həssas və kritik sistemlərinə, onların
ehtiyat nüsxələrinə məntiqi giriş.
5.2.3
Hər rol üçün identifikasiya və autentifikasiya
Şəxslərin mühafizə olunan yerlərə, kritik sistemlərə girişi smart kart
vasitəsilə həyata keçirilir. Smart kartlar təhlükəsizlik sisteminə əvvəlcədən
tanıdılır, istifadə zamanı ilkin olaraq şəxsin autentifikasiyası həyata keçirilir
və müsbət olan halda əməliyyata icazə verilir.
5.2.4
Vəzifə bölgüsü tələb olunan rollar
Vəzifələrə uyğun rolların bölgüsü aşağıdakılara əsaslanır:
aparıcı rollara əməliyyat məsələləri və ya təşkilati işlər tapşırıla
bilməz;
qərarverici və məsləhətçi rollara (xüsusən daxili və xarici audit)
əməliyyat məsələləri və ya təşkilati işlər tapşırıla bilməz;
inzibati rollara əməliyyat məsələləri tapşırıla bilməz.
Həssas məsuliyyətlərin bölgüsü zamanı aşağıdakılar qadağandır:
EH-SXM-in yerləşdiyi yerə giriş hüququ verən şəxslər inzibati
vəzifə tuta bilməzlər;
İstehsal sistemi və şəbəkənin inzibatçılığı müxtəlif şəxslər
vasitəsilə həyata keçirilir;
Sertifikat Ərizəçilərini identifikasiya və autentifikasiya edən
şəxslər onlara Sertifikat verə bilməz;
5.3
Kadrların idarə olunması
Məsul şəxs olmağa namizədlərin identifikasiyası onların şəxsən iştirakı
ilə şəxsiyyət vəsiqəsi əsasında aparılır. Vəzifəyə uyğunluq bu Qaydaların
5.3.1-ci bəndində təsvir olunmuş yoxlamanın nəticəsində müəyyənləşdirilir.
Namizəd Məsul şəxs təyin edildikdən sonra vəzifələrinin icrasına başlamadan
S
ə
hif
ə61
ona qurğularla işləmək və onların yerləşdiyi yerə daxil olmaq üçün
səlahiyyətləri müəyyənləşdirilməlidir.
5.3.1
Kadrlara aid tələblər
EH-SXM fəaliyyətinin təmini üçün bilikli, təcrübəli və səriştəli, həmçinin
öhdəliklərini yerinə yetirmək bacarığına malik işçi heyətə malik olmalıdır.
Vəzifəyə namizədlər bilik, təcrübə və səriştəsini təsdiq edən müvafiq
sənədləri təqdim etməlidir. Namizədlər ən azı təhlükəsizlik texnologiyası,
kriptoqrafiya, elektron imzanın idarə edilmə infrastrukturu, təhlükəsizliyin
qiymətləndirilməsi üzrə texniki normalar, informasiya sistemləri üzrə
təcrübəyə malik olmalıdır. Namizədin vəzifəyə uyğun olub-olmamasını
müəyyənləşdirmək üçün qabaqcadan yoxlama aparılır.
5.3.2
Kadrların yoxlanması proseduru
Namizədin vəzifəyə uyğunluğu onun müvafiq qanunvericilik, etik
davranış qaydaları, fəaliyyət tələbləri, üzərinə götürdüyü öhdəliklərə əsasən
müəyyənləşdirilir.
Məsul rollarda xidmət edən əməkdaşların fəaliyyətinin bu Qaydaların
tələblərinə uyğunluğu EH-SXM tərəfindən vaxtaşırı yoxlanılacaqdır.
5.3.3
Təlim tələbləri
EH-SXM-in işçi heyətinə vəzifələrinin icrasına başlamadan əvvəl
aşağıdakı sahələrdə təlim keçirilməlidir:
Fəaliyyət və təhlükəsizlik prinsipləri;
İnformasiya sisteminin proqram təminatından istifadə
qaydaları;
Vəzifə təlimatları;
Qəza hallarında işin bərpası və davamlığı proseduru.
S
ə
hif
ə62
5.3.4
Hazırlıq üzrə təkrar təlimlər
Bu Qaydaların 5.3.3-cü bəndinə uyğun təlimlər mütəmadi olaraq, lakin
ildə bir dəfədən az olmayaraq keçirilə bilər.
5.3.5
İşlərin yerdəyişməsi tezliyi və ardıcıllığı
Tətbiq edilmir.
5.3.6
İcazəsiz hərəkətlərə görə cəzalar
EH-SXM işçi heyətinin intizam təlimatını (EH-SXM-in Təhlükəsizlik
siyasətinin tərkib hissəsi kimi) hazırlayır, həyata keçirir və icrasına nəzarət
edir. İntizam pozuntusu üzrə tədbirlərə (işdən çıxarma da daxil olmaqla)
icazəsiz hərəkətlərin ciddiliyi və baş vermə tezliyinə uyğun olan müxtəlif
cəzalar aiddir.
5.3.7
Podratçılar üzrə tələblər
EH-SXM zərurət yarandıqda aşağıdakı şərtləri nəzərə almaqla Məsul
şəxslər kimi müstəqil podratçı və ya məsləhətçilər cəlb edə bilər:
Məsul şəxs rollarını yerinə yetirəcək işçinin olmaması;
Podratçı və ya məsləhətçiyə öz işçisi kimi tam etibar etməsi.
Başqa hallarda, müstəqil podratçı və məsləhətçilərin EH-SXM-in
mühafizə olunan vasitələrinə daxil olması Məsul şəxslər tərəfindən müşayiət
və ya nəzarət olunmalıdır.
S
ə
hif
ə63
5.3.8
İşçi heyətə verilən sənədlər
EH-SXM işçi heyətə (Məsul şəxslər də daxil olmaqla) vəzifələrini
bacarıqla və lazımi səviyyədə yerinə yetirmək üçün tələb olunan zəruri
təlimlər keçməli və onları müvafiq sənədlərlə təmin etməlidir.
5.4
Audit-loqların aparılma proseduru
Jurnala daxil edilən bütün qeydlər aşağıdakı elementlərə malik
olmalıdır:
Qeydin tarixi və zamanı;
Qeydin seriya və sıra nömrəsi (avtomatik jurnal qeydləri üçün);
Qeydin növü;
Qeydin mənbəyi (məs: terminal, port, məkanı, istehlakçı və s.);
Qeyd aparanın identifikatoru.
5.4.1
Qeydə alınan hadisələrin növləri
5.4.1.1
Qeydiyyat məlumatı
Aşağıdakılar da daxil olmaqla bütün qeydiyyat məlumatları (bu
Qaydaların 4.2.1-ci bəndində təsvir olunub) qeydə alınır:
Qeydiyyat üçün Ərizəçinin təqdim etdiyi sənədlərin növü;
Unikal identifikasiya məlumatı;
İmzalanmış Müqavilə də daxil olmaqla Ərizənin və
identifikasiya sənədlərinin nüsxələrinin ehtiyat saxlama yeri;
İmzan sahibinin Ərizəsindəki hər hansı spesifik seçimlər
(məsələn, Sertifikatın yayımlanmasına razılıq);
Ərizəni qəbul edən qurumun identifikasiyası;
Qəbul edən SXM və ya təqdim edən Qeydiyyat Mərkəzinin adı.
Dostları ilə paylaş: |