IBM-in Texniki Dəstək Xidmətləri üçün Məlumat Təhlükəsizliyinə və Məxfiliyinə dair Prinsipləri

Başlıqlar

Texniki Dəstək Xidmətləri üçün Məlumat Təhlükəsizliyinə və Məxfiliyinə dair hazırkı Prinsiplər IBM

tərəfindən Texniki Dəstək Xidmətləri (TD Xidmətləri və yaxud TDX) göstərməklə Müşərilərin Məlumatlarını emal və mühafizə etməklə məhdudlaşır. Burada IBM –in öz daxili məlumat emalı vasitələrində Müştəri

tərəfindən təqdim edilən, əməliyyat sənədlərində müəyyən edilmiş və yaxud IBM -in təmin etdiyi satış sonrası texniki dəstək prosesində onun tərəfindən digər yolla toplanmış Müştəriyə məxsus xxxx məlumatlara (birlikdə - “Müştəri Məlumatları”) münasibətdə istifadə etdiyi ümumi prinsiplər, proseslər, nəzarət vasitələri və alətlər toplusu təsvir edilmişdir.

1.1 Hüquqi normalara əməl edilməsi

IBM təhlükəsizlik pozuntuları üzrə bildirişlərə dair tətbiq edilənlər də daxil olmaqla, onun TD Xidmətlərinə dair tətbiq edilən bütün qanunlara və qaydalara əməl edəcəkdir. IBM Müştəri tərəfindən ona problemin müəyyənləşdirilməsinə yardım məqsədilə göndərilən məlumatların istənilən müvafiq qanunun və ya qaydanın təsiri altına düşüb-düşməməsini müəyyənləşdirmir. Bütün Təhlükəsizliyin Pozulması Halları aşağıda verilmiş Təhlükəsizliyin Pozulması Hallarının Emalı Prosesi sənədinin təsiri altına düşür.

1.2 Texniki Dəstək Xidmətləri üçün Məlumat Təhlükəsizliyinə və Məxfiliyinə dair Prinsiplərin (MTMP) yenilənməsi

IBM sənədləşdirilmiş dəyişikliklərin idarəedilməsi prosesi vasitəsilə bu TD Xidmətlərinin təsir dairəsinə əlavə, dəyişiklik və ya düzəliş etdikdə, yeni şərtlər daxil edə, yaxud həmin dəyişikliklərə müvafiq olaraq, MTMP-ni yeniləyə bilər. Müştəri TD Xidmətlərini yenilədikdə və yaxud yenisini satın aldıqda, Müştərinin həmin TD Xidmətlərinə abunəsinə münasibətdə həmin vaxt aktual xxxx MTMP tətbiq ediləcəkdir.

1.3 Müştəri məlumatları

Müştəri məlumatlarının xarakteristikası

Müştəri Məlumatları Müştəri tərəfindən yaradılan və TD Xidmətlərinə dair müqavilənin qəbul edilməsinin bir hissəsi olaraq əldə edilməsi, saxlanılması və yaxud idarə edilməsi üçün IBM-ə verilən resursdur.

Müştəri Məlumatları IBM -ə məsələn: (1) Müştərilərin IBM-in məhsula dəstək təkliflərindən istifadə etməsi,

(2) Müştərinin Texniki Dəstək Xidmətlərinə dair problemlərin satış sonrası müəyyənləşdirilməsində istifadə etmək üçün strukturlaşdırılmış və ya strukturlaşdırılmamış məlumatlar göndərməsi (məsələn,

yaddaş damplarında xxxx məlumatlar kimi ayarlama məlumatları) və (3) Müştərilərin Müştəri Məlumatını ehtiva edən cihaz və ya onun hissələrini təkmilləşdirmə, əvəzləşdirmə, yaxud təmir məqsədləri ilə xxxx qaytarması kimi bir neçə yolla daxil ola bilər.

Müştəri məlumatlarından istifadə

Müştəri Məlumatları yalnız Müştərinin TD Xidmətləri ilə təmin olunması, o cümlədən həmin TD Xidmətlərinin göstərilməsilə əlaqədar icra edilən tədbirlər üçün istifadə ediləcəkdir. IBM Müştərinin razılığı olmadan istənilən digər kommersiya məqsədləri üçün Müştəri Məlumatlarından istifadə etməyəcək və yaxud Müştəri Məlumatlarından informasiya götürməyəcəkdir.

Müştəri məlumatlarının açıqlanması

TD Dəstək üçün IBM satış sonrası TD Xidmətlərində vaxtaşırı olaraq öz törəmə təşkilatlarından və işgüzar tərəfdaşlarından emaledicinin podratçısı qismində istifadə edir və zəruri olduğu təqdirdə Müştəri Məlumatlarını bu podratçılarla paylaşacaqdır. Əks halda, Müştərinin göstəriş verdiyi və yaxud qanunla açıqlanması tələb olunan hallar istisna olmaqla, IBM Müştəri Məlumatını IBM-dən, öz törəmə

təşkilatlarından və yaxud işgüzar tərəfdaşlarından kənara açıqlamayacaqdır.

Müştəri məlumatlarının emalı

Avropa Birliyinin Məlumat Mühafizəsinə dair Ümumi Qaydaları (“MMÜQ”) nəzarətçi və emaledici arasında və emaledici ilə emaledicinin podratçısı arasında razılaşmaların bağlanmasını tələb edir ki, beləliklə emal prosesi emaledicinin Texniki və Təşkilati Tədbirlərinə (“TTTlər”) müvafiq olaraq həyata keçirilmiş və məlumat subyektlərinin hüquqları MMÜQ-ə müvafiq olaraq qorunmuş olur. IBM 2018-ci ilin 25 may

tarixindən etibarən bütün Müştərilərinə münasibətdə MMÜQ Müddəalarına əməl etmək öhdəliyini üzərinə götürür.

1.4 Avropa Birliyinin Məlumatların Mühafizəsinə dair Ümumi Qaydaları barədə Müddəalar

a. MMÜQ-ün emalediciyə dair müddəaları IBM tərəfindən Müştərinin adından Müştəri Məlumatının MMÜQ çərçivəsində emalı prosesinə tətbiq edilir.

b. MMÜQ-ün emalediciyə dair müddəalarının məqsədləri üçün Müştəri və IBM razılaşır ki, Müştəri – Müştəri Məlumatının nəzarətçisi, IBM isə bu məlumatların emaledicisidir; Müştəri –Müştəri Məlumatlarına münasibətdə emaledici kimi çıxış etdikdə, IBM bu zaman emaledicinin podratçısı qismində çıxış edir.

c. IBM-in Müştəri Məlumatlarının nəzarətçisi olduğu yerdə MMÜQ-ün emalediciyə dair müddəaları tətbiq edilmir.

d. MMÜQ-ün emalediciyə dair müddəaları IBM və Müştəri arasında bağlanmış istənilən digər

razılaşmalarda IBM-in məlumat mühafizəsinə dair Müştəri qarşısında üzərinə götürdüyü öhdəlikləri məhdudlaşdırmır və ya azaltmır.

2. Məlumat emalının təhlükəsizliyi prinsipləri

IBM Müştəri məlumatlarının təhlükəsizliyinə yüksək üstünlük verir. Obyektlərin, insanların və məlumatların təhlükəsizliyinə dair bütün məsələlər təşkilatın rəhbər tutduğu biznesə nəzarət mexanizmlərinə daxil edilmişdir. Bu bölmədə IBM-in təhlükəsizlik siyasətində və prosedurlarında ifadə olunan bəzi əsas

təhlükəsizlik prinsipləri təsvir olunur.

IBM uzun müddətdir ki, aparat və proqram konfiqurasiyaları, eləcə də biznes proseslərinin və təcrübəsinin işlənib hazırlanması və tətbiqi vasitəsilə təhlükəsizliyə diqqət yetirir. Təhlükəli hallar təşkilat daxilində və ya onun xaricində yarana bilər və bu səbəbdən də IBM-in təhlükəsizlik prosedurları və təcrübəsi texnoloji, insan və təbii mənbələr daxil olmaqla, məlumat təhlükəsizliyinə qarşı geniş spektrli potensial riskləri nəzərə alır.

IBM-in İnformasiya Texnologiyaları (İT) təhlükəsizliyi üzrə daxili Korporativ Təlimatı bir neçə onilliklər əvvəl hazırlanmış və bir xxx dəyişikliklərə məruz qalmışdır. Bu risklərin təhlili, fiziki təhlükəsizlik, giriş icazəsinin idarə olunması, fövqaladə hallara qarşı tədbirlər planı, tədqiqatlar, informasiya mühafizəsi,

təhsil və s. üçün müşahidə və nəzarət strukturunu təmin edir. Bu, Müştəri Məlumatları daxil olmaqla, İT

təhlükəsizliyinə dair rəhbər prinsipləri və tələbləri sənədləşdirir. Adı çəkilən Korporativ Təlimatda (və digər yerlərdə) təsbit edilən bəzi tələblər hazırkı MTMP-də cəmlənmişdir.

2.1 Bölünmə

Bölünmə insanların davranışları ilə bağlı riskləri idarə etməyə kömək edən bir üsul və həqiqətən öz vəzifə öhdəliklərini yerinə yetirmək istəyən işçilər üçün məlumatlara istər fiziki, istərsə də məntiqi cəhətdən girişi məhdudlaşdıran bir hərəkətdir. IBM məlumat emalı mərkəzlərinə girişi, məsələn, vəzifə öhdəliklərini yerinə yetirmək üçün bu girişə işgüzar ehtiyacı xxxx işçilər üçün istər fiziki, istərsə də məntiqi cəhətdən məhdudlaşdırır. IBM iş funksiyalarının giriş tələb etdiyi səlahiyyətli işçilər üçün proqramlara və verilənlər bazalarına məntiqi girişi məhdudlaşdırır.

2.2 Minimum səlahiyyətlər

Minimum Səlahiyyətlər Prinsipi qeyd edir ki, giriş icazəsi xxxx işçilər öz vəzifə funksiyalarını icra etmək üçün minimal giriş səlahiyyətinə malik olmalıdır. Bu Prinsip məlumata, eləcə də məlumatı emal edən sistemlərə və proqramlara həm fiziki, həm məntiqi cəhətdən girişə münasibətdə tətbiq edilir. Məlumatı

Oxumaq, Yaratmaq, Yeniləmək və Silmək imkanı Minimum Səlahiyyətlər prinsipinə müvafiq olaraq girişə nəzarət mexanizmləridir.

2.3 Öhdəliklərin Bölüşdürülməsi

Öhdəliklərin Bölüşdürülməsi (“ÖB”) tutulmadan və yaxud vaxtında aşkarlanmadan hər hansı bir şəxsdə şirkətin aktivlərindən sui-istifadə etmək və yaxud onları çıxarmaq üçün hər-hansı vəzifənin və ya giriş səlahiyyətinin olmasına imkan verməməklə öhdəliklərin toqquşmasını aradan qaldıran əsas daxili nəzarət alətidir. TD Xidmətləri proseslərin layihələşdirilməsi, sistemə nəzarət mexanizmləri və təşkilati struktur vasitəsilə ÖB konsepsiyalarını IBM-in Korporativ Təlimatına uyğun olaraq tətbiq edir. (Bu nəzarət mexanizminin tətbiqi üçün Üçüncü Bölmədə verilmiş “Məlumat Daşıyıcısı və onun fiziki zərərsizləşdirilməsi” mövzusuna nəzər yetirin).

2.4 Çoxsəviyyəli dərin Mühafizə

Çoxsəviyyəli dərin Mühafizə bir neçə təhlükəsizlik səviyyəsinin yaradılmasına əsaslanır, misal üçün, Çoxsəviyyəli dərin Mühafizə xxxxxx eyniləşdirici vasitəsilə girişi, bundan sonra verilənlər mərkəzinə

eyniləşdirici vasitəsilə girişi, daha sonra isə verilənlər mərkəzi daxilində girişə müxtəlif nəzarət nöqtələrini tələb edir.

Məntiqi Çoxsəviyyəli dərin Mühafizə, misal üçün, bu sənəddə aşağıda daha ətraflı olaraq təsvir olunduğu kimi, fayervollar mühafizəsinin bir neçə səviyyəsindən ibarətdir.

2.5 Quraşdırılmış məxfilik alqoritmi

Quraşdırılmış məxfilik alqoritmi o deməkdir ki, mühafizə prinsipləri Xidmətlərin göstərilməsinin

başlanğıcından emal prosesinin strukturuna daxil edilmişdir və hər bir təklifin qüvvədə olduğu müddətdə nəzərə alınırlar.

Müştəri Məlumatının anlayışında qeyd edildiyi kimi, IBM -in işçi heyəti tərəfindən satış sonrası TDX -nin təmin edilməsinə kömək məqsədilə IBM Müştəridən strukturlaşdırılmış və ya strukturlaşdırılmamış məlumatlar (məsələn, yaddaş dampları, skrinşotlar) ala bilər. Bu strukturlaşdırılmamış məlumatların məzmunu ötürülmə zamanı istər Müştəriyə, istərsə də IBM-ə bəlli olmaya bilər və bu səbəbdən də bizim fərdi məlumatların standart təsnifatında müəyyən edilmiş hər hansı məlumat elementini daxil edə bilər.

IBM icazə verilmiş məqsədlər üçün Müştəri Məlumatlarının emalını məhdudlaşdırmaq üçün TTT tətbiq edəcəkdir. Yalnız IBM -in icazə verilmiş məqsədlərə xxxxx xxxx təsdiqlənmiş tapşırıqların yerinə yetirilməsi üçün girişə ehtiyacı xxxx səlahiyyətli əməkdaşlar və səlahiyyətli emaledici podratçılar Müştəri Məlumatlarına giriş hüququ əldə edə bilər.

2.6 İT Risklərinin İdarə Edilməsi

Risklərin qiymətləndirilməsi və risklərin idarə edilməsi məlumat təhlükəsizliyinin təməl əsaslarını təşkil edir. IBM-in daxili biznesə nəzarət vasitələri üzrə işçi heyəti biznesə nəzarət sisteminə əməl olunması məqsədilə proramları və prosedurları mütəmadi olaraq yoxlayır.

IBM, həmçinin IBM-in İnformasiya Texnologiyaları üzrə Baş Direktorunun (“İTBD”) başçılıq etdiyi İT Risklərinin İdarəetmə Komitəsinə malikdir. Komitənin üzvləri təhlükəsizlik üzrə mütəxəssislər, rəhbər şəxslər və rəhbərliyin təsdiqinə göndərilən daxili İT standartları yaradan şəxslərdir. Bu komitə İT risklərini potensial təhlükələrin geniş spektri üzrə davamlı olaraq təhlil edir. Bu komitənin nəticələri IBM-in İT riskləri sahəsində vəziyyətinin təkmilləşdirilməsi üçün istifadə olunur.

3. Fiziki təhlükəsizlik

3.1 Obyektlər və Girişə Nəzarət

Fiziki təhlükəsizlik Müştəri Məlumatlarının qorunmasının əsas aspektidir. IBM sistem aktivlərinə və

infrastruktur komponentlərinə girişi məhdudlaşdırmaq üçün girişə nəzarət mexanizmlərindən istifadə edir. Açarlar, şifrəli kilidlər, girişə elektron nəzarət sistemləri, qorunan giriş məntəqələri və, bəzi hallarda, biometrik nəzarət mexanizmləri birlikdə IBM-in istifadə edə biləcəyi girişə fiziki nəzarət vasitələrinə nümunədir. Girişə Nəzarət (“GN”) Sahəsi IBM-ə məxsus olmayan obyektdə yerləşdiyi hallarda,

təhlükəsizliyə dair tələblər ətraflı şəkildə müqavilə ilə təsbit olunur və bu cür obyektin sahibi həmin tələblərə riayət etməyə dair razılaşır.

GN-lər obyektlərin, məzmunun və insanların eyniləşdirilməsi və qorunması üçün İTBD tərəfindən müəyyən edilmiş meyarlar toplusuna uyğun olaraq təsnif edilir. GN-lərə giriş qeydə alınır və qeyd jurnalları IT təhlükəsizliyi üzrə tövsiyələrə uyğun olaraq ya avtomatik texniki alətlərin köməyilə, ya da manual qaydada nəzərdən keçirilir. Sənədlər, o cümlədən təhlükəsizliyin yoxlanılmasına dair təsdiqedici sənəd IBM-in dünya üzrə sənəd idarəetmə siyasətlərinə uyğun olaraq qorunub saxlanılmalıdır.

Hər bir GN-in aşağıdakı təhlükəsizlik siyasətinə cavabdeh xxxx eyniləşdirilmiş sahibi vardır. GN-lərin məğul olduqları vaxt belə kilidlənməsi tələb olunur. Müvafiq sahə üçün səciyyəvi xxxx təhlükəsizlik prosedurları sənədləşdirilməli və sınaqdan keçirilməlidir. İşçilərə yalnız biznes cəhətdən əsaslandırılmış hallarda GN-lərə fiziki giriş icazəsi verilir. Şəxsin vəzifə funksiyalarından asılı olaraq, giriş hüququ obyektin yalnız bir hissəsinə verilə bilər.

3.2 Məlumat Daşıyıcısı və onun fiziki zərərsizləşdirilməsi

Serverin ehtiyat nüsxələrinə, məlumatların saxlanılması, yaxud qəzadan sonrakı bərpası üçün istifadə olunan məlumat daşıyıcısı icazəsiz istifadəyə, oğurluğa və zərər vurulmasına qarşı fiziki cəhətdən qorunmalıdır. Şifrələnməmiş məlumatları ehtiva edən elektron daşıyıcını ötürmək üçün yalnız təsdiq edilmiş daşıyıcılardan istifadə olunur.

Müştəri Məlumatını emal edən Server Məlumat Daşıyıcısı Saxlayıcıları IBM-in Təhlükəsizliyin

Pozulması Hallarının Emalı Prosesi (TPHEP) sənədinə müvafiq olaraq və onu istifadə edərək məlumat daşıyıcılarının dəqiq inventarizasiyasının aparılmasına və istənilən uyğunsuzluqların məruzə edilməsinə

görə məsuliyyət daşıyır. Təhlükəsizliyin təminatı üzrə öhdəliklərin bölüşdürülməsi prinsipinə uyğun olaraq, məlumat daşıyıcısının idarə edilməsində iştirak etməyən ən azı bir nəfər inventarizasiyanı yerinə yetirməlidir (Məlumat Daşıyıcısı Saxlayıcısı iştirak edə bilər, xxxxx inventarizasiyanın aparılmasına görə onun təkbaşına məsuliyyət daşımasına icazə verilmir).

Daxilində Müştəri Məlumatları xxxx, təkmilləşdirilməsi, mübadiləsi, yaxud təmir edilməsi üçün xxxx qaytarılmış avadanlıq və onun hissələri IBM-ə göndərilmədən əvvəl məlumatların bərpasını qeyri- mümkün edən təhlükəsiz qaydada Müştərilər tərəfindən silinməlidir. Müştəri bu işi hər hansı bir səbəbdən yerinə yetirə bilmədikdə, IBM ödənişli əsasla məlumatların təhlükəsiz qaydada silinməsi və yaxud məlumat daşıyıcısının saxlanılması xidmətlərini təklif edir.

4. Məntiqi təhlükəsizlik

Məntiqi təhlükəsizlik əsasən texniki tədbirlərdən ibarətdir. Bir neçə ümumi məntiqi təhlükəszilik tədbirləri şəbəkə infrastrukturuna, serverlərə və iş stansiyalarına dair tətbiq edilir. Bu tədbirlər girişə nəzarət vasitələrini (daha ətraflı məlumatı aşağıda ayrıca verilmiş bölmələrdən əldə etmək olar) və

təsdiqlənməmiş kodun yayılması və yaxud daxil edilməsi (məsələn, viruslar və digər zərərverici proqramlar) problemini həll etmək üçün texniki tədbirləri əhatə edir. Yeniləmələr, mümkün olduqları hər yerdə avtomatik olaraq (məsələn, iş stansiyaları üçün antivirus proqramlarının yenilənməsi), yaxud mütəmadi olaraq öncədən müəyyən edilmiş, prioritetləşdirilmiş cədvəl üzrə yerinə yetirilir. Məntiqi

təhlükəsizliyin nümunələri aşağıdakılardır:

● Zəifliklərin mütəmadi skan edilməsi və müdaxilələrə qarşı sınaqların keçirilməsi.

● Düzəlişlərin (patch) idarəedilməsi sistemlərin təsnifat sxeminə və düzəlişin agırlıq dərəcəsinə, bəzən isə hətta əməliyyat sisteminin növünə və yaxud buraxılışına əsaslanaraq vaxtı-vaxtında yerinə yetirilməlidir.

● “Xidmət göstərilməsindən imtina” tipli hücumların qarşısının alınması üçün (əsasən şəbəkə infrastrukturuna və serverlərə tətbiq olunan) texniki nəzarət vasitələri.

● Cihazın gücü buna imkan verdikdə, yoxlama üçün və “şübhəli fəaliyyət”ə nəzarət alətləri vasitəsilə girilə bilən fəaliyyət jurnalı qeydlərinin yaradılması və qeydə alınması (şəbəkə infrastrukturu və serverlər). Saxlanmalı xxxx jurnal qeydlərinin müddəti IBM-in saxlama üzrə tələbləri təsnifatlaşdıran və təfsilatı ilə ifadə edən Dünya üzrə Qeydlərin İdarə edilməsi (DQİ) tərəfindən müəyyənləşdirilir. Yoxlanılmalı xxxx şübhəli hərəkətlər siyahısı XXXX tərəfindən aparılır.

● VPN Müştəri daxil olmaqla, IBM-in daxili sistemlərinə məntiqi fayervollardan kənar uzaqdan idarə olunan giriş üçün xüsusi təhlükəsizlik tədbirlərinə əməl olunması tələbi. Bütün bu cür girişlər şifrələnmişdir. (İş stansiyalarına və mobil qurğulara tətbiq olunur);

● Cihazların nəzarət və audit məqsədləri üçün istifadə olunan verilənlər bazasında kataloqlaşdırılması tələbi.

● Statik IP ünvanlardan istifadə etmək tələbi (serverlər və ümumilikdə iş stansiyaları üçün bəzi

təsdiqlənmiş və sənədləşdirilmiş hallar istisna olmaqla, DHCP/DDNS serverlərinə adətən icazə verilmir). Bütün statik IP ünvanlar mühafizə edilən məlumat bazasında qeyd olunurlar;

● IBM tələb edir ki, məqbul istifadə siyasəti istifadəçilər üçün asanlıqla əldə edilə bilən olsun və şərtlərin dəyişdiyi hər vaxt orada saxlanıla və yaxud emal edilə bilən məlumatlara dair şərtləri oxuyub anladığını təsdiqləməsini sorğu etməklə təqdim olunsun.

● Əməliyyat sistemi görüntülərini (iş stansiyaları və yaxud serverlər) yaratmaq üçün İTBD-nin xüsusi təlimatlarından istifadə etmək tələbi; və

● Daha geniş müstəqil audit prosesinin bir hissəsi olaraq təhlükəsizliyə dair yoxlamadan keçmə tələbi.

Qanunun yol verdiyi yerdə, Təhlükəsizliyin Texniki Sınağı (TTS) adi testlər zamanı təsbit olunmayan potensial təsirləri müəyyən etmək üçün bacarıqlarını, vasitələrini və metodlarını istifadə etməyə icazə verilmiş yüksək dərəcədə ixtisaslaşmış bacarıqlı mütəxəssislər qrupu tərəfindən həyata keçirilir. Bunu

bəzən qanuni sınaq və yaxud etik hakerlik adlandırırlar. IBM-də proseslərin icmalı üzrə sənədlər də daxil olmaqla, TTS yerinə yetirən şəxslərə yardım etmək üçün resurslar yaradılmışdır.

4.1 Serverlər, Aralıq PT və Proqramlar üçün Texniki Şərtlər

IBM hər bir əməliyyat sisteminə, aralıq PT məhsuluna və açılmış proqramlara səciyyəvi xxxx

təhlükəsizliyə dair ətraflı texniki şərtləri dəstəkləyir. Satış sonrası texniki dəstəyi təmin etmək məqsədilə istifadə olunan bütün işçi serverlər, aralıq proqram təminatı və proqram kodu İTBD-nin müəyyən etdiyi spesifikasiyaları qarşılayacaq və ya onları üstələyəcəkdir.

4.2 Rollara Əsaslanan Giriş

IBM-in daxili təhlükəsizlik xidmətlərində sistemdə xxxx məlumat növünə, istifadəçinin bilməli olduğu məlumatlara, hüquqi və/və yaxud müqavilə öhdəliklərinə əsaslanan təhlükəsizliyə dair tələbləri təsvir edən girişə nəzarət siyasəti vardır. Giriş sorğusunun təsdiqlənməsi, nəzərdən keçirilməsi və ləğv edilməsi formal olaraq bu mülahizələrin nəzərə alınması ilə müəyyənləşdirilir. IBM giriş hüququna və eyniləşdirmə məlumatlarının idarə edilməsinə dair bütün vacib halların nəzarət jurnalını aparır.

4.3 Şifrə və Eyniləşdirmə Siyasəti

IBM-in işçi sistemləri giriş üçün eyniləşdirmə tələb edirlər. Buna şəbəkə qurğuları, serverlər, iş stansiyaları və bəzi proqram növləri daxildir. Bəzi sistemlər istifadəçi Eyniləşdiricisi və şifrə, yaxud rəqəmsal

şəhadətnamə, digərləri isə çoxamilli eyniləşdirmə (şifrə üstəgəl biometrik skanlama, yaxud şifrə üstəgəl təhlükəsizlik açarı breloku kimi “bir sizin bildiyiniz, bir də olduğunuz və ya malik olduğunuz bir şey”) tələb edirlər. Çoxamilli eyniləşdirmə ictimai şəbəkə üzərindən girilə bilən istənilən system və yaxud system səlahiyyəti verilmiş istənilən imtiyazlı istifadəçi üçün tələb olunur.

Şifrə qaydaları tətbiq olunur. Şifrələr müəyyən bir uzunluğa malik olmalı və müvafiq hərflər, açar sözlər, rəqəmlər və digər xüsusi simvollardan ibarət olmalıdır. Bundan əlavə, müəyyən bir sıra yanlış cəhdlərdən sonra girişə qadağa kimi şifrənin səhv yığılması cəhdlərinə dair qüvvədə xxxx qaydalar vardır.

Avtomatlaşdırılmış alətlər (mümkün olduqca) şifrənin dəyişdirilməsini və şifrəyə dair qaydaları istifadəçilərə xatırladır.

Müddətli olmayan şifrələrin istifadəsinə, xxx məhdud istisnalar xaricində (məsələn, noutbukun sərt diskinin şifrələri istisna təşkil edir, xxxxx bu şifrələr yalnız drayver çıxarıldığı və yenidən “xarici” nəzarətçiyə qoşulduğu zaman çalışmağa başlayırlar), adətən yol verilmir. Eyniləşdirmə üçün istifadə olunan rəqəmsal sertifikatlar IBM-in İTBD tərəfindən təsdiqlənmış sertifikasiya mərkəzindən verilmiş olmalıdırlar.

4.4 Şəbəkə təhlükəsizliyi

Şəbəkə təhlükəsizliyi həm fiziki, həm də məntiqi təhlükəsizlik tədbirlərini əhatə edir. Məntiqi təhlükəsizlik baxımından IBM öz İT infrastrukturunu təhlükəsizlik zonaları arasında yolverilən axını idarə edən fayervollar və routerlər kimi axına nəzarət qurğuları ilə təhlükəsizlik zonalarına bölür. Bu IBM-ə Çoxsəviyyəli dərin Mühafizənin aşağıda təsvir edilmiş təhlükəsizlik prinsiplərinə xxxxx xxxx arxitekturanı açmağa imkanı verir.

GN-lər daxilində şəbəkə infrastrukturu qurğularının fiziki yerləşməsinə münasibətdə fiziki təhlükəsizlik məhdudiyyətləri vardır. İnternet kimi etibarsız bir şəbəkəyə qoşulan hər hansı system yüksək dərəcədə məhdudlaşdırılır. IBM-də bu yüksək dərəcədə məhdudlaşdırılmış sistemlərdən istənilən digər işçi

sisteminə qoşulmalara ciddi şəkildə nəzarət olunur. Fayervollar şəbəkə arxitekturasının bir neçə səviyyəsində verilmişdir. Tələb olunan fayervollara dair qaydalar toplusu dəstəklənməkdədir.

Təsdiqlənməmiş kodun yayılmasının və ya daxil edilməsinin məhdudlaşdırılması üçün texniki nəzarət vasitələri (məsələn viruslar və digər zərərverici proqramlar) imkan olduğu halda istənilən infrastruktur cihazı üçün tələb olunurlar. Routerlər, kommutatorlar, simli və simsiz giriş nöqtələri serverlər və iş

stansiyalarında olduğu kimi, girişə nəzarət vasitələrinə malikdirlər. Müdafiəsiz simsiz giriş nöqtələrindən istifadəyə icazə verilmir (qonaq qismində İnternetə təhlükəsiz olmayan giriş halları istisna olmaqla).

Səlahiyyət verilmiş işçi heyətinin girişi vəzifə öhdəliklərinin giriş tələb etdiyi işçilərlə məhdudlaşır. Ümumi istifadəçilərin şəbəkə infrastruktur qurğularına daxil olmalarına icazə verilmir.

4.5 Serverin təhlükəsizliyi

Məntiqi və fiziki nəzarət işlək server sistemlərinə dair tətbiq olunur. Server sistemləri üçün serverdən

istifadə təsnifatına əsaslanan bir xxx texniki nəzarət vasitələri tələb olunur. IBM-in İTBD hipervizora dair təhlüksəzilik qaydaları toplusunu və ƏS server vasitəsilə təhlükəsizlik parametrləri üçün ətraflı texniki spesifikasiyaları dəstəkləməkdədir.

Serverə giriş ehtiyac yarandıqda yerinə yetirilir. Digər yerlərdə olduğu kimi, server avtorizasiyası qaydaları biznes ehtiyaclarına əsasən ən minimal səviyyədə səlahiyyətlərin verilməsini nəzərdə tutan minimal səlahiyyətlər prinsipinə tabedir. Xüsusi olaraq, işçi serverlərində ümumi istifadəçilərə “super istifadəçi”

imtiyazları və ya bərabər imtiyazlar verilmir.

Server inzibatçıları və yaxud inzibati giriş hüququ xxxx digər şəxslər ümumi istifadəçilərdən daha xxx təhlükəsizlik tələblərinə tabe olmalıdırlar.

4.6 Verilənlər Bazasının təhlükəsizliyi

IBM-in İTBD-si verilənlər bazasının aralıq proqram təminatı üçün təhlükəsizlik parametrləri üzrə ətraflı texniki spesifikasiyaları dəstəkləyir. Ümumilikdə serverlər kimi, verilənlər bazası da fiziki və məntiqi nəzarətə dair tələblərə malikdir. Onlarda saxlanılan məlumatların məxfilik dərəcəsindən asılı olaraq, verilənlər bazası bir neçə girişə nəzarət mexanizmi ilə qorunmalıdır. Yüksək imtiyazlı digər istifadəçilər kimi, verilənlər bazası inzibatçıları da ümumi istifadəçilərdən daha xxx təhlükəsizlik tələblərinə tabe olmalıdırlar.

4.7 İş Stansiyalarının və Portativ Cihazların Təhlükəsizliyi

IBM əməkdaşları Müştəri Məlumatlarına daxil olmaq üçün istifadə edilə biləcək iş stansiyaları ilə bağlı müəyyən qaydalara riayət etməlidirlər. İş stansiyalarının:

● İTBD tərəfindən müəyyən edilmiş aktual Antivirus mühafizəsi olmalıdır (xüsusi anti-virus proqramı tələb olunur). Viruslar skan edilməli və avtomatik olaraq cədvəlləşdirilməlidir;

● Sistemə giriş şifrəsinin mühafizə rejimi aktiv olmalıdır;

● 30 dəqiqə və ya daha az (bəzi hallarda 15 dəqiqə) müddətə quraşdırılmış klaviatura/ekran kilidi olmalıdır;

● Məxfi informasiyanı ehtiva edə bilən hər hansı Lotus Notes məlumatlar bazası üçün şifrələmə parametrindən istifadə etməlidir;

● Əgər qurğu sərt disk şifrəsini dəstəkləyirsə, xxxxxx xxx şifrələnməsindən istifadə edilmədikdə sərt disk şifrəsi aktiv olmalıdır.

● Təhlükəsizlik düzəlişləri ilə avtomatik olaraq yenilənmiş vəziyyətdə saxlanmalıdır;

● Tərkibində təsdiqlənməmiş və ya uyğun olmayan proqram təminatı və ya məlumatlar olmamalıdır;

● Yalnız əvvəlcədən təsdiqlənmiş, ilkin açıq koda xxxxx xxxx proqram təminatından istifadə edilməlidir. Təsdiqlənmə prosesi yalnız sınaqdan keçirilmiş və təhlükəsiz proqram təminatından istifadə edildiyindən və IBM-in tətbiq edilən istifadə şərtlərinə əməl etdiyindən əmin olmaq üçün nəzərdə

tutulmuşdur;

● Təhlükəsizlik tələblərinə uyğunluğu yoxlaya bilən və IBM-in son istifadəçi qurğularını idarə etməsinə yardım edən xüsusi monitorinq proqramları quraşdırılmalıdır (məsələn, Tivoli End Point Manager);

● İBM intraşəbəkəsinə məsafədən giriş imkanı üçün İTBD tərəfindən təsdiq edilmiş, xüsusi Virtual özəl şəbəkəyə (VPN) malik olmalıdır. Bu cür giriş imkanı XXXX tərəfindən müəyyənləşdirilmiş dərəcədə şifrələnir;

● IBM tərəfindən təsdiq edilmiş müştəri fayervolu quraşdırılmalı və işlək vəziyyətdə olmalıdır.

● İTBD tərəfindən təsdiq edilmədikdə, İnternetdə eyni dərəcəli qurğular arasında fayl mübadiləsi proqramlarından istifadə edilməməlidir;

● İcazəsiz və ya təsdiq olunmamış girişin heç bir formasından istifadə edilməməlidir;

● Qeydiyyatdan keçirilmiş MAC ünvanına malik olmalı; və

● Proqram təminatının daxili paylanma sistemindən (ISSI, IBM Standard Software Installer) IBM-in tələb olunan proqram təminatının təsdiqlənmiş versiyalarını əldə etməlidir.

IBM şirkəti IBM-in biznes məqsədləri üçün istifadə edilmiş və ya qismən istifadə edilmiş istənilən şəxsi aktivləri (məsələn, noutbukları və ya mobil telefonları)

müsadirə etmək hüququnu özündə saxlayır. Bu cür müsadirə, məsələn, tədqiqata kömək üçün icra edilə bilər.

4.8 Tətbiqetmələrin təhlükəsizliyi

Tətbiqetmə inzibatçıları, daha yüksək səlahiyyətlərə malik olduqlarına görə, adi istifadəçilərə nisbətən onlara əlavə təhlükəsizlik tələbləri tətbiq edilir. Sənaye tətbiqetmələri üçün əməliyyat sisteminə analoji, xxxxx ondan fərqli xxxx autentifikasiya və avtorizasiya tələb edilir.

4.9 Müdaxilələrin qarşısının alınması, aşkarlanması və zəifliklərin skan edilməsi

Müdaxilələrin qarşısının alınması tələb olunur. Zərərli proqramlardan mühafizə vasitələri bir neçə səviyyədə (şəbəkə memarlığında, serverdə və iş stansiyasında bir neçə səviyyədə) tələb olunur. Fayervollar şəbəkə infrastrukturu daxilində, habelə serverlər və iş stansiyaları üçün təyin edilir.

Şübhəli fəaliyyətin müəyyənləşdirilməsi tələb olunur. Şübhəli hərəkətlərin aşkar edilməsi üçün bir xxx fəaliyyətlər və giriş imkanlarına nəzarət edilir və qeydə alınır. Daha yüksək səlahiyyətlərə xxxxx xxxx

istifadəçilərə daha yüksək səviyyədə nəzarət edilir. Təhlükəsizlik jurnalının zəruri hadisələrinin siyahısı XXXX tərəfindən daima işlək vəziyyətdə saxlanılır.

Zəifliklərin skan edilməsi skan ediləcək sistemin növünə aid xxxx cədvələ uyğun olaraq aparılır. Zəifliklərinin olduğu aşkarlanmış internet sistemləri təyin edilmiş müddətlər ərzində düzəliş edilə bilmədikdə servisdən kənarlaşdırılır.

Sistem inzibatçıları və təhlükəsizlik mütəxəssisləri təsdiq edilmiş skan alətlərini daxili Təhlükəsizlik,

aktivlərin idarə edilməsi və risk menecmenti (“SARM”) internet səhifəsindən yükləyə bilərlər. Tələb olunan zəifliklərin skan profilləri də burada saxlanılır.

5. Təhlükəsiz mühəndislik

IBM Təhlükəsiz Mühəndislik Çərçivəsi (Secure Engineering Framework) kommersiya baxımından ağlabatan səyləri təhlil edir və layihəçilər qrupunu layihə müddəti ərzində təhlükəsizliyə diqqət yetirməyə yönəldir.

Təhlükəsiz mühəndislik təcrübəsinə aşağıdakılar daxildir: layihə planlanması, təhlükəsizlik məsələləri üzrə maariflənmə, risklərin qiymətləndirilməsi və təhlükələrin modelləşdirilməsi, təhlükəsizlik tələbləri, təhlükəsizlik şifrələnmələri, ilkin kodun skan edilməsi və təhlükəsizliyin dinamik sınaqları, təhlükəsizlik sənədləri və məhsulun təhlükəsizliyi üzrə hadisələrə reaksiya vermə prosesi. Bu metodlar məhsulun

təhlükəsizliyini artırmaq, IBM-in əqli mülkiyyətini mühafizə etmək və IBM məhsullarının zəmanət şərtlərini dəstəkləmək üçün nəzərdə tutulmuşdur. IBM məhsullarının təhlükəsizliyi barədə daha ətraflı məlumat üçün, daxil olun: xxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxx-xxxxxxxxxxx/ xxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxx- engineering/process.html.

6. Təhlükəsizliyin pozulması hallarının emalı prosesi

IBM, təhlükəsizliyin pozulması hallarına dair hesabatların və onların qarşısının alınmasının vahid

sistemini dəstəkləyir, bu sistemdə İT-təhlükəsizliyi və (1) şəxsi məlumatların, müştərinin məlumatlarının, IBM-in məxfi, texniki və ya xxxx məlumatlarının və ya (2) istehsal qurğusunun, yaxud (3) şübhəli İT fəaliyyətinin, ya da (4) sistemə ehtimal edilən müdaxilə barədə bildirişin açıqlanması ilə əlaqədar hadisələr barədə hesabat bir telefon nömrəsinə və ya veb əlaqə mərkəzinə bildirilir.

Bu hesabatdan sonra xüsusi təlim keçmiş və təchiz edilmiş mütəxəssislərdən ibarət xxxx və 24x7x365 rejimində fəaliyyət göstərən komanda cavab fəaliyyətinə başlayır, proqram təminatının biznes komandaları və mövzu üzrə digər ekspertlərlə birlikdə çalışaraq hadisəyə sonadək nəzarət edir.

Konkret məsələlərlə əlaqədar xxxx hadisələr üzrə mütəxəssislər hər bir biznes sahəsi üzrə təyin edilmişdir, buna görə də hadisə baş verdikdə, təhlükəsizlik hadisələrinə korporativ hesabat tələblərinə xxxxx xxxx cəld reaksiya verilməsini təmin etmək üçün Təhlükəsizlik hadisəsinin emalı prosesindən (“TPHEP”) də istifadə edilir.

IBM MMÜQ üzrə hesabat tələblərinə əməl edir və həm nəzarətçi, həm də emaledici qismində hərəkət edərək məlumatlara müdaxilə barədə 72 saat ərzində məlumat verəcəkdir. Bu hesabat tələblərinə aşağıdakılar daxildir:

● Müştəri məlumatlarına qanunsuz müdaxilənin xarakterinin təsviri, o cümlədən mümkün olduğu hallarda, müdaxiləyə aidiyyəti xxxx məlumatların kateqoriyaları və təxmini sayı və müdaxiləyə aidiyyəti xxxx şəxsi məlumatların kateqoriyaları və təxmini sayı;

● Məlumatların mühafizəsi üzrə işçinin adı və əlaqə məlumatları və ya əlavə məlumat əldə etməyin mümkün olduğu digər əlaqə nöqtəsi;

● Müştəri məlumatlarına müdaxilənin ehtimal edilən nəticələri; və

● Müştəri məlumatlarına müdaxilənin aradan qaldırılması üçün nəzarətçi tərəfindən həyata keçirilən və ya həyata keçirilməsi planlaşdırılan tədbirlər, zərurət olduqda, müdaxilənin arzuolunmaz

nəticələrinin minimuma endirilməsi üçün tədbirlər.

7. Məlumatların təhlükəsizliyi ilə əlaqədar işəgötürmə təcrübəsi

Müştəri məlumatlarının mühafizəsi texniki vasitələrdən və yuxarıda daha əvvəl təsvir edilmiş vasitələrdən, həmçinin məlumatları idarə edən işçi qüvvəsindən asılıdır. İşəgötürmə təcrübəsi bütün işçilərin və podratçıların təlimatlara uyğun olmasının və qüvvədə xxxx qanunvericiliyə müvafiq olaraq, onların işlə əlaqədar xxxx fəaliyyətlərinə nəzarət edilməsinin təmin olunması üçün nəzərdə tutulmuşdur.

7.1 İşəgötürmə və Ayırma siyasətləri

Qanunla icazə verildiyi hallarda, işəgötürmədən əvvəlki yoxlamalara bioqrafik məlumatların yoxlanması, bəyan edilmiş təhsil statusunun yoxlanması, hökumət tərəfindən verilmiş fotoşəkilli şəxsiyyət vəsiqəsinin yoxlanması və işə qəbul ilə əlaqədar bəyan edilmiş digər məlumatların yoxlanması daxildir. Ayırma siyasətləri şəbəkəyə giriş imkanından məhrum etməni tələb edir (hədəf 24 saatdan az). İşçilərin ayrılması IBM mülkiyyətinin, o cümlədən iş stansiyalarının, noutbukların, IBM-ə məxsus informasiya

daşıyıcılarının və istənilən kommunikasiya avadanlığının xxxx qaytarmasını tələb edir. İşçilərin ayrılması onların məlumatların məxfiliyinə dair daimi öhdəliklərini xatırladır.

7.2 Təlim və Mədəniyyət

Yeni işçilərə təlim keçilir, bu təlimə İT aktivlərindən düzgün istifadə və məxfi məlumatların mühafizəsi aiddir. Rəqəmsal təhlükələr və təhlükəsizlik üzrə İTBD tərəfindən müəyyənləşdirilmiş illik təlim bütün işçilər üçün keçirilməlidir.

7.3 Siyasətə əməl olunması

IBM şirkəti işçilərin davranış qaydalarını, o cümlədən Xidməti-işgüzar etikanın əsas müddəalarını (XİE) dəstəkləyir. Onlar IBM şirkətinin baş hüquq məsləhətçisi tərəfindən idarə edilir. XİE tələb edir ki, IBM əməkdaşları öz fəaliyyətlərini yüksək etik standartlardan istifadə etməklə və məlumatların təhlükəsizliyi və məxfiliyi siyasətlərinə əməl etməklə həyata keçirsinlər. Qanunsuz və ya qeyri-etik davranış və ya hətta bu cür davranışın əlamətləri olduqda işçilər bu barədə məlumat verməlidirlər.

İşçilər işə götürüldükləri zaman və bundan sonra hər növbəti il XİE müddəalarını oxumalı və onlara əməl edəcəklərinə razılıq bildirməlidirlər. XİE əməl edilməsi əmək fəaliyyətinin şərtlərindən biridir. IBM XİE-ni bu ünvanda hamı üçün açıq etmişdir: xxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxxxxxx/xxxxxxxx-xxxxxxx- guidelines.wss .

7.4 Məxfi desək

Müştəri məlumatlarının mühafizə edilməsi üçün işçilər problemləri hər zaman rəhbər işçilərin diqqətinə çatdıra bilərlər. IBM istənilən potensial problemi aşkara çıxarmaq və onun barəsində məlumat vermək üçün bu azadlığı təmin edən proqramlar işləyib hazırlamışdır.

8. Korporativ Nəzarət Mexanizmləri, Korporativ Təlimatlar, İTBD Standartları

IBM Tredvey Komissiyasının sponsor təşkilatları Komitəsinin (“COSO”) əsas prinsiplərindən və qarşılıqlı əlaqədar xxxx beş komponentindən istifadə edir: idarəetmə vasitələri, xxxxxx qiymətləndirilməsi, idarəedici təsir, informasiya və kommunikasiya, monitorinq.

Siyasətlər və oxşar metodlar korporativ direktivlər formasında təyin edilirlər, bu direktivlər IBM-in öz siyasətlərini, göstərişlərini və təlimatlarını sənədləşdirməsi və IBM-in rəhbər şəxslərinə və işçilərinə effektiv şəkildə ötürülməsinin əsas metodudur. İT təhlükəsizlik siyasətləri öz səlahiyyətlərini konkret KV- lərdən və biznesin idarə edilməsi üzrə digər nüfuzlu mənbələrdən əldə edir və yuxarıda göstərildiyi kimi, IBM biznesinin ayrılmaz hissəsini təşkil edirlər.

9. Audit

Müştəri məlumatlarının təhlükəsizliyi hansı nəzarət alətlərinin yerinə yetirilməsindən və yoxlanmasından asılıdır. Yoxlamanın həyata keçirilmə üsullarından biri işi həyata keçirən bölmədən asılı olmayan auditdir. IBM biznes idarəetmə tədbirlərinə, o cümlədən İT-nəzarət vasitələrinə əməl edilməsini müntəzəm olaraq yoxlayır (təhlükəsizlik standartlarına və siyasətlərinə əməl edilməsinin yoxlanması). Biznesin idarə olunması və Daxili Audit funksiyaları IBM-in maliyyə direktoruna hesabat verirlər, o da öz növbəsində Direktorlar Şurasının Audit Komitəsinə tabedir.

10. Biznesin fasiləsizliyi

IBM biznesi üçün xxxxx xxxx bütün funksiyalar qəzadan sonrakı bərpa (“QB”) planlarına malikdirlər. Bu rəsmi planlar sənədləşdirilir və (ən azı) hər il yenidən nəzərdən keçirilir. Texniki dəstək problemləri barəsində məlumat verilməsi və onların həlli üzrə Müştəri məlumatlarından xxxxx xxxx xidmətlər mühüm əhəmiyyət kəsb edir və QB planlarına malikdir.

11. Böhran vəziyyətində İdarəetmə

IBM, IBM-in potensial böhran vəziyyəti meydana çıxdıqda onun aradan qaldırmasına imkan verən Qəza Planlanması Proqramı çərçivəsində Böhran vəziyyətində İdarəetmə prosesini dəstəkləyir. Bu proses IBM işçi heyətinin olduğu sahələrinin/ yerlərinin Qəza Planı tərtib etməsini tələb edir. Aktual və ya potensial böhran vəziyyəti yarandıqda Böhran vəziyyətində İdarəetmə prosesi dərhal aktivləşir.

12. Xidmət və Dəstək

Problemin həllində yardım etmək məqsədi ilə Müştəriyə müəyyən məlumatları IBM-ə təqdim etməsi (və ya könüllü olaraq göndərməsi) təklif edilə bilər. Problemli məlumatların IBM-ə göndərilməsi üçün Müştəriyə

İstifadəçi Məlumatlarının Geniş Arxivi ("ECuRep") adlandırılan təhlükəsiz onlayn proqramdan istifadə etmək təklif edilə bilər. ECuRep proqramı və onun şərtləri burada təsvir olunmuşdur: xxxx://xxx.xxx.xxx/xx/xxxxxxx/xxxxxx

13. Satın alınan şirkətlər

IBM, Müştəri məlumatlarının artıq mövcud xxxx və IBM-dən fərqli təhlükəsizlik siyasətlərinə və prosedurlarına xxxxx xxxx digər şirkətləri satın ala bilər. Satın alınmış şirkətlər satın alındıqdan sonra müəyyən inteqrasiya və ya keçid müddəti ərzində IBM-in eyni təhlükəsizlik siyasətlərinə əməl etməlidirlər. IBM şirkətində tətbiq edilən eyni fiziki, məntiqi və biznes idarəetmə alətləri əldə edilmiş şirkətə inteqrasiya dövrünün sonunadək tətbiq ediləcəkdir. İnteqrasiya dövrü üçün tələb olunan müddətin uzunluğu satın alınmış şirkətin mövcud infrastrukturunun mürəkkəbliyindən asılıdır.

Document Metadata

Table of Contents

IBM-in Texniki Dəstək Xidmətləri üçün Məlumat Təhlükəsizliyinə və Məxfiliyinə dair Prinsipləri

Document Metadata