4-Ma’ruza: Mavzu: Kiberxavfsizlik maqsadlari


Download 16.01 Kb.
Sana26.08.2023
Hajmi16.01 Kb.
#1670396
Bog'liq
4-Ma’ruza Mavzu Kiberxavfsizlik maqsadlari-fayllar.org


4-Ma’ruza: Mavzu: Kiberxavfsizlik maqsadlari

4-Ma’ruza:
Mavzu: Kiberxavfsizlik maqsadlari
Reja:
  1. Kiberxavfsizlik o’lchovlari


  2. Xavfsizlikni boshqaruvining maqsadlari


  3. Zaifliklarni hisoblash


Kiberxavfsizlik texnologiyasining murakkabligi va kibertahdidlar tobora kuchayib borayotganligini hisobga olsak, siyosatchilar so'nggi tahdidga qanday munosabatda bo'lish kerakligi haqidagi bosh qotirishi tabiiy. Kiberxavfsizlik bo'yicha qurollanish poygasi ko'pincha juda kam muqobil variantlarni taklif qiladi. Kiberxavfsizlik texnologiyasi joriy etilgandan so'ng, uning qo'llanilishi ba'zi nazorat qiluvchi organlar tomonidan standart deb qabul qilinadi va bu tashkilotlarni qarshi choralarga yaqinlashishiga olib keladi. Masalan, agar tartibga solinadigan tashkilot tarmoqlararo ekrandan foydalanmagan holda kiberxavfsizlik usulini qo'llashga qaror qilsa, ular nazoratchi auditorlari tomonidan batafsil tekshiriladi. Kiberxavfsizlikka tashkiliy yondashuvni qayta ko'rib chiqishdan ko'ra, so'nggi xavfsizlik vositalari va texnologiyalarini kuzatishni davom ettirish osonroq ko'rinadi.

E'tibor bering, bu kiberxavfsizlik siyosatining maqsadlari kiberxavfsizlik bo'yicha tashkiliy maqsadlarga mos kelmagan va hozir ham mos kelmaydi. Shunga qaramay, ushbu mavzuda biz kiberxavfsizlik siyosati maqsadlariga erishilganligini aniqlash uchun qo'llaniladigan usullarni ham ko'rib chiqamiz. Biz kuzatamizki, xavfsizlik maqsadlarini qo'yganlar ko'pincha xato qiladilar. Biz xulosa qilamizki, hozirgi kiberxavfsizlik ko'rsatkichlari xavfsizlikni umuman o'lchamaydi. Bo'lim kiberxavfsizlik maqsadlari qanday belgilanishi va kiberxavfsizlik maqsadiga erishish qanday o'lchanishi mumkinligini ko'rsatadigan uchta misol bilan yakunlanadi.
Kiberxavfsizlik ko'rsatkichlari
Kiberxavfsizlik-bu to'g'ridan-to'g'ri o'lchash ob'ekti emas. Shunday qilib, kiberxavfsizlik o'lchovlari bilan shug'ullanadiganlar boshqa narsalarni o'lchaydilar va ulardan xavfsizlik maqsadlariga erishish to'g'risida xulosa chiqaradilar.
Kiberxavfsizlikda jinoyatchi, tahdid, ekspluatatsiya va zaiflik atamalari savdo shartlari bo'lib, ularning ma'nosi aniq va o'zaro bog'liqdir. 4.1-rasmning tizim dasturida tasvirlanganidek, jinoyatchi shaxs yoki guruhdir. Tahdid - bu jinoyatchi tomonidan sodir etilishi mumkin yoki yo’q bo'lgan potentsial harakat. Ekspluatatsiya hujumni o'z ichiga olgan texnik tafsilotlarni bildiradi. Zaiflik - bu ekspluatatsiyaning muvaffaqiyatli bo'lishiga imkon beradigan tizimning o'ziga xos xususiyati. Shunday qilib, 4.1-rasmdagi tizim dasturining asosiy tayanchi: "Xavfsizlik, tizimning zaifliklaridan foydalanadigan, qiymatga salbiy ta'sir ko'rsatadigan zarar yetkazadigan tahdidlarni amalga oshiradigan kiberjinoyatchilarni to'xtatadi".
Kompyuter tizimlari paydo bo'lganidan beri, kompyuter xavfsizligi uchun tahdidlar, xakerlar, kiberjinoyatchilar xavf solib kelmoqda . Tizim zaifligining har bir turi xavfsizlik hamjamiyatini xabardor qilish bosqichiga etib borgan sari, bozorga xavfsizlikka qarshi chora-tadbirlarning tegishli texnologiyalari to'plami keldi va ular tobora ortib borayotgan eng yaxshi amaliyot tavsiyalariga qo'shildi.

4.1 -rasm. Xavfsizlik tizimining asosiy dasturi.


Xavfsizlik maqsadlariga qarshi chora-tadbirlar texnologiyasi orqali erishiladi, degan fikrga kelish tizim dizaynining bir qismi sifatida tahdidlarni bartaraf etish hisobiga sodir bo'ldi.

4.2-Rasm. Kiberxavfsizlik ko’rsatkichlari


4.2-rasmdagi grafikdagi tahlilga ko’ra marketing, biznes, moliya sohasidagi xavfsizlikka ega emasligi, marketing, moliya bilan solishtirganda, tavakkalchilik darajasi yuqori bo'lishi bilan izohlanishi mumkin. Bu mavzuda ko'rib chiqilgan tahdid, qarshi choralar siklidan ko'rinib turibdiki, kiberxavfsizlik bo'yicha mutaxassislar xavfni kamaytirmoqchi bo'lgan biznes sohalarini to'liq xavfsizlik texnologiyalari mavjud bo'lguncha to'ldirishadi. Bu reaktiv yondashuv, tahdidlar aslida nima ekanligini va shuning uchun korxona xavfsizligining umumiy maqsadlari qanday bo'lishini baholashga oz vaqt qoldiradi. Bundan tashqari, ba'zi so'rovlar shuni ko'rsatadiki, vaziyat yaxshilanishi mumkin, kiberxavfsizlik bo'yicha amaliyotchilar tarixan o'zlari himoya qilayotgan biznes manfaatdor tomonlaridan unchalik kam qatnashmagan. Biznes foydalanuvchilari elektron pochta orqali maxfiy materiallarni xaridorlarga va shaxsiy kompyuterlariga yuborishgan, garchi bu harakatlar xavfsizlik siyosati bilan taqiqlangan bo'lsa ham. Bugungi kunga kelib kiberxavfsizlik faoliyati nazorat va qarshi choralarni qo'llashga e'tiborni qaratuvchi yondashuv bilan ajralib turardi. Bu tashqi tahdidlarga operatsion cheklovlar bilan javob berish orqali muammolarni hal qilish usulidir.
Agar xavfsizlik maqsadlari bir xil ko'rinishda bo'lsa, xavfsizlik strategiyasini rejalashtirish ham xuddi shunday tekshiruvdan o'tadi. Masalan, "intellektual mulkni himoya qilish" maqsadi intellektual mulkning tegishli ta'rifiga ega bo'lib, maqsadga erishish uchun uning himoyasini nazorat qilish imkonini beradi. Bunday monitoring rejaning to'g'ri bajarilganligini tekshirishni ham, rejaning xavfsizlik maqsadlariga erishganligini tekshirishni ham o'z ichiga oladi. Agar bunday tekshirish yoki tekshiruv o'tkazilmasa, tuzatish choralari ko'riladi.
Xavfsizlikni boshqarish maqsadlari
Ko'pgina rahbarlar "Xavfsiz bo'lishni xohlayman" dan boshqa aniq xavfsizlik maqsadiga ega emaslar. Bunday hollarda, maqsad elementi ham borki, bu so'zsiz aytiladi, chunki to'liq so'z odatda shunday bo'ladi: "Men o'z tashkilotimga minimal yoki hech qanday ta'sir qilmasdan xavfsiz bo'lishni xohlayman". Ular bu ko'rsatmani xavfsizlik bo'yicha mutaxassislarga, xuddi balansni boshqarishni buxgalteriya hisobiga topshirganidek, "raqamlar aniq bo'lishini xohlayman", deb aytadilar. Ikki kasb o'rtasidagi qonuniy va tartibga soluvchi parallelliklarni chetga surib, delegatsiya-bu topshiriqning qiyinchiliklarini tushunadigan va topshirilgan vazifalarning manfaatdor tomonlari bo'lgan barcha biznes manfaatdor tomonlari bilan yaqindan ishlay oladigan professionalga ishonish bilan tengdir.
Kiberxavfsizlik kasbi birinchi sanoat yoki milliy xavfsizlik standartlari paydo bo'lganidan yarim asr oldin, xalqaro xavfsizlik standartlari paydo bo'lganidan ancha past. Bundan tashqari kiberxavfsizlik bo'yicha juda ko'p raqobatbardosh standartlar mavjudki, ularni kataloglashtirish va taqqoslash uchun kompaniya tashkil etilgan. Mahsulot elektron jadval yoki boshqa tuzilgan ma'lumotlar formatida keladi. U xavfsizlik ma'lumotlarini boshqarish tizimiga import qilinadigan bo'lib, xavfsizlik menejeriga hammasini o'qimasdan turib bir nechta standartlarga muvofiqligini ko'rsatishga imkon beradi.
Tartibga solishga asoslangan xavfsizlik dasturlari xavfsizlik uchun tashkiliy maqsadlarga erishish uchun emas, balki xavfsizlik menejmenti standartlariga muvofiqligini namoyish etish uchun mo'ljallangan. Shunday qilib, standartlarning o'zi tashkilot chegaralarini kesib o'tadigan xavfsizlik ko'rsatkichlari taksonomiyasiga aylandi. Amaliyotchilarga o'z o'lchovlarini xavfsizlikni boshqarish standartlari talablariga muvofiq tartibga solishni maslahat berishadi, unga ko'ra ular tekshirilishi mumkin. Hatto xavfsizlik ko'rsatkichlarini yaratish uchun xavfsizlikni boshqarish standartlaridan foydalanishning xalqaro standarti ham mavjud (ISO/ IEC 2009b).
Xavfsizlikni boshqarishga bunday yondashuvning kamchiliklari shundan iboratki, standartlarga muvofiqlik tafsilotlari korxona xavfsizligini ta'minlash maqsadlarini aks ettirish uchun ishlab chiqilgan ko'rsatkichlar kartasidan farqli o'laroq, oldindan o'rnatilgan ko'rsatkichlar kartasi bilan taqqoslanadigan izolyatsiya qilingan texnologik konfiguratsiyalar sifatida qaraladi. Ushbu standartlarning hech biri tahdidlarning oldini olishda xavfsizlikni to'g'ridan-to'g'ri o'lchashning umumiy qabul qilingan usulini o'z ichiga olmaydi. Ular, odatda, menejment xavfsizlikka olib kelishi kerak bo'lgan faoliyatni tashkil etishda sinchkovlik bilan tekshirilganligini ta'minlash uchun ishlatiladi, bu tadbirlarning samaradorligini o'lchash uchun emas.
Masalan, ish joyini o'zgartirgan shaxslar, eski va yangi firmalardagi xavfsizlikni lokal va masofadan turib, muhim ma'lumotlar va ma'lumotlarga kirishda qiyinchilik darajasiga qarab o'lchaydilar. Masalan, ular ofisdagi mijozlar ma'lumotlariga kirish uchun uyda ish stolidan foydalanishlari kerak bo'lgan parollar sonini aniqlashlari va ularni autentifikatsiya qilish omillaridan ko'proq foydalanishga majburlaydigan firma xavfsizroq ekanligi to'g'risida qaror qabul qilishlari mumkin. 4.3-rasmda tizim xavfsizligining qatlamli-mudofaa tasviri ko'rsatilgan. Bunday qatlamlar ko'pincha chuqur mudofaa deb ataladi. Bu atama kiberxavfsizlik arxitekturani bildiradi, u yerda xavfsizlik nazorati qatlamli ortiqcha bo'ladi va tizimning bir qismidagi zaiflik boshqasi tomonidan qoplanadi. Boshqacha aytganda, hech kim bitta nuqsonni ko'rsatmasligi kerak, chunki kiruvchi uchun kamida ikkita boshqaruv bo’lishi kerak.
4.3-rasm diagrammaning markaziy pastki qismida tasvirlanganidek, u bir nechta xavfsizlik "qatlamlari" ga ega. Diagrammaning yuqori qismida "Masofaviy kirish" foydalanuvchisi korxona tomonidan nazorat qilinadigan yoki bo'lmasligi mumkin bo'lgan ish stantsiyasini autentifikatsiya qilish uchun zarur deb tasvirlangan. Keyin foydalanuvchi Internet orqali korporativ tarmoqda autentifikatsiya qilinadi. Tarmoqqa kirish nuqtasidan masofali foydalanuvchi to'g'ridan-to'g'ri ichki tarmoqdagi boshqa qatlamlarga autentifikatsiya qilishi mumkin. Shu sababli masofadan kirish odatda yuqori darajadagi xavfsizlikni talab qiladi, chunki ichki tarmoqqa kirgandan so'ng, platformaga kirish uchun turli xil variantlar mavjud.

4.3 –rasm. Qatlamli himoya


Veb-ilovada, qatlamlarning mavjudligi, aslida, chuqur himoyani anglatmaydi. Buning sababi shundaki, Internetga kira oladigan bunday ilovalarga odatda bitta urinish bilan kirish mumkin. Veb-ilovalar yo'li shuni ko'rsatadiki, Internet foydalanuvchilari odatda korxona tomonidan nazorat qilinmaydigan o'z ish stantsiyalarida autentifikatsiya qilishadi. Foydalanuvchi tarmoqqa autentifikatsiyasiz kirishi mumkin, chunki xavfsizlik devori Internetdagi har kimga veb-serverda dasturning kirish ekraniga to'g'ridan to'g'ri kirishga ruxsat beradi. Bundan tashqari, serverning operatsion tizimida autentifikatsiya qilishning hojati yo'q. Ilovaga kirgandan so'ng, ma'lumotlar autentifikatsiyasi qatlami foydalanuvchiga taqdim etilmaydi; dastur avtomatik ravishda unga foydalanuvchi nomidan ulanadi. Bu qulayliklar rasmda masofaviy foydalanuvchi o'tishi uchun autentifikatsiya qilinishi kerak bo'lgan qatlamlar orqali ko'prik sifatida tasvirlangan, lekin dastur foydalanuvchisi bunday emas. Demak, mudofaa atamasini bu ishga chuqur qo'llash noto'g'ri bo'lar edi.
Xavfsizlik o'lchovlari bo'yicha ko'plab adabiyotlarda maqsad bu qatlamlarning to'g'ri konfiguratsiyasi deb hisoblanadi. Biroq, bu taxminga qaramay, xavfsizlik ko'rsatkichlari uchun standart taksonomiya yo'q. Bunday tasniflashda qo'llaniladigan tamoyillar turli tadqiqotchilar tomonidan o'rganilgan va bu tadqiqotlar har xil natijalarga olib kelgan. Xavfsizlik o'lchovlari taksonomiyasi harakatlari bo'yicha so'rov bir necha yil oldin tuzilgan va amaliyotchilar nuqtai nazaridan bu sohani aniq tasvirlab bergan. Xavfsizlik o'lchovlari adabiyotining umumiy mavzusi xavfsizlik o'lchovlari taksonomiyalarining xavfsizligi uchun to'g'ridan-to'g'ri ta'riflangan biznes maqsadlariga emas, balki texnik konfiguratsiya va operatsion jarayonni xavfsizlikni boshqarish nuqtai nazaridan ko'rib chiqishga moyilligi edi. Hatto menejmentga qo'shimcha ravishda boshqaruvni o'z ichiga olgan taksonomiyalar ham boshqaruvni isbotlovchi xavfsizlikni boshqarish vazifalariga e'tibor qaratishga moyildirlar va bu ko'rsatkichlarni menejment toifasining bir qismi deb hisoblash mumkin. 4.4-rasmda ko'rsatilgandek, xavfsizlik bo'yicha biznes darajasidagi talablarni hisobga olish uchun xavfsizlik ko'rsatkichlarini ko'tarish tavsiya etiladi.

4.4 -rasm Xavfsizlikni boshqarish ko'rsatkichlari


Biroq, bu yondashuv bilan bog'liq muammo bor. Bu shuni anglatadiki, hozirda xavfsizlikni boshqarishning yagona tashkiliy tuzilmasi atrofida konvergentsiya yo'q, shuning uchun tegishli darajadagi biznes darajasidagi xavfsizlik o'lchovlari taksonomiyasi bo'lishi mumkin emas. Buning o'rniga, xavfsizlik jarayonining standartlari to'g'risida katta kelishuvga erishildi (ISO/IEC 2005; ISO/IEC 2005; ISACA 2007; ISF 2007; Ross, Katzke va boshq. 2007).
Hatto standartlar hamjamiyatida xavfsizlikni qanday o'lchash mumkinligi haqida bahslar bor. Masalan, Milliy Standartlar va texnologiyalar Instituti (NIST) xavfsizlik o'lchovlarini yaratish standartlarini belgilaydi (Chew, Swanson va boshq. 2008), lekin ayni paytda joriy tizimlar xavfsizlik choralari etarli emasligini kuzatgan hisobot bilan ham qayd etilgan. xavfsizlik o'lchovlari bo'yicha tadqiqotlar o'tkazishga chaqirdi. Ushbu hisobot xavfsizlikni ba'zi standartlarga muvofiq boshqarish va samarali xavfsizlikni ta'minlash o'rtasidagi farqni tan oladi. Bu to'g'rilik va samaradorlik farqi "tizim to'g'ri qurilgan" va "to'g'ri tizim qurilgan" so'zlari o'rtasidagi farqni ko'rsatadigan tekshirish va tekshirish o'rtasidagi muhandislik farqiga o'xshaydi. Birinchisi, dizayn talablariga muvofiqligini, ikkinchisi dizaynning kerakli funktsiyaga erishish qobiliyatini bildiradi. NIST hisoboti, shuningdek, xavfsizlik samaradorligini etakchi, bir vaqtning o'zida va kechiktirilgan ko'rsatkichlariga xavfsizlik ko'rsatkichlarini tasniflashni taklif qildi. Yetakchi ko'rsatkichga misol sifatida joylashtirilayotgan tizim xavfsizligiga ijobiy baho berish mumkin. Bir vaqtning o'zida indikatorlar - bu xavfsizlik hozirda to'g'ri sozlangan yoki sozlanmaganligini ko'rsatadigan texnik maqsadli ko'rsatkichlar. Kechiktirilgan indikatorlar xavfsizlik talablarining etarli darajada aniqlanmaganligi yoki belgilangan konfiguratsiyalarni saqlay olmasliklari natijasida o'tgan xavfsizlik hodisalarini aniqlashdir. Agar maqsad tizim xavfsizligining hozirgi holatini bilish bo'lsa, bir vaqtning o'zida ko'rsatkichlar yaxshiroq ko'rsatkichlarni beradi. Biroq, hozirda xavfsizlik deb tan olingan tizim atributi yo'qligi sababli, bir vaqtning o'zida xavfsizlik metrikasi nimaga o'xshashligi to'g'risida kelishuv yo'q. Ya'ni, har qanday tashkilot o'z tizimlari "to'g'ri", ya'ni ularning talablariga muvofiq qurilganmi yoki yo'qmi, baholashi mumkin. Ammo hech bir tashkilot kiberxavfsizlik borasida muqaddas pog'onaga etib bormadi, ya'ni "to'g'ri" xavfsizlik qurilganini bilish kerak.
Xavfsizlik ko'rsatkichlari bo'yicha tavsiyalar ko'pincha ierarxik o'lchovlar tuzilmasini taklif qiladi, bu erda biznes -jarayonlar xavfsizligi ko'rsatkichlari tepada, keyingi bosqich esa axborot xavfsizligi menejmenti, biznes tavakkalchiliklarini boshqarish va texnologiya mahsulotlari va xizmatlari kabi qo'llab-quvvatlash jarayonlari ko'rsatkichlarini o'z ichiga oladi. Yuqoridagi rasmda ko'rsatilgandek, qo'llab-quvvatlovchi jarayonlar xavfsizlikni maqsadli dekompozitsiya qilish yo'li bilan aniqroq o'lchovli choraklarga bo'linishi mumkin, ehtimol, faqat barglar darajasidagi chora-tadbirlar bo'lmaguncha, ya'ni ierarxiyani daraxt sifatida ko'rib chiqish va o'qish. filialning eng past darajasi. Barglar darajasidagi har bir o'lchov tengdoshlari bilan birlashtirilib, ularning ustidagi metrikani ierarxiyada aniqlaydi. Bu raqam xavfsizlik xizmati metrikasi bilan birlashtirilib, xavfsizlik texnologiyasi umumiy ko'rsatkichini beradi.
Nazorat savollari:
  1. Kiberxavfsizlik ko'rsatkichlari tushunchasi


  2. Xavfsizlikni boshqarish maqsadlari nimadan iborat?


  3. Xavfsizlikda qatlamli himoyani tushintiring.


  4. Qatlamli himoyani sxemasini qanday ko’rinishda?




http://fayllar.org
Download 16.01 Kb.

Do'stlaringiz bilan baham:




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling