Ko'pgina kompaniyalar axborot texnologiyalaridan foydalanishni nazorat qilish

uchun yuqori boshqaruv lavozimini - Bosh Axborot Direktorini (CIO) yaratdilar.
Majburiyatlarga ta'minlash kiradi
umumiy korporativ axborot texnologiyalari sa'y-harakatlarini muvofiqlashtirish.
Markazsizlashtirishning asosiy afzalligi shundaki, u o'z biznes bo'linmalari
rahbarlariga bevosita bo'ysunadigan idoraviy IS guruhlarini o'z ichiga oladi. Bu
a'zolar birliklarning o'ziga xos ehtiyojlari bilan tanish va uning tashvishlariga javob
berishadi. Axborot xizmati bo'linmalari a'zolari turli xil ko'nikmalarga ega. Ushbu
odamlarning aksariyati o'zlarining texnologik tajribasini ular xizmat qiladigan
korporativ biznes yo'nalishlarini tushunish bilan birlashtiradi
Trend: Autsorsing va dasturiy ta'minot paketlarini sotib olish rolining ortishi
bilan ko'pchilik firmalarning IS bo'linmalari vaqt o'tishi bilan kichrayishi
kutilmoqda, ammo uning mutaxassislari ham texnologiya, ham biznes
jarayonlarida kengaytirilgan tajribani taklif qilishlari kerak.
Axborot tizimlari bo'yicha mutaxassislar
IS mutaxassislarining ikkita asosiy kasbi mavjud: tahlilchilar va dasturchilar.
1. Tahlilchilarning majburiyatlariga quyidagilar kiradi:
a. Foydalanuvchilarning axborot talablarini tahlil qilish, tizim prototiplarini ishlab
chiqish va ko'pincha talablar spetsifikatsiyasi asosida axborot tizimlarini
loyihalash.
b. Biznes muammolari va imkoniyatlarini axborot tizimlariga aylantirishda asosiy
rol o'ynang
c. Foydalanuvchilar va boshqa IS mutaxassislari o'rtasida aloqani ta'minlash
d. Axborot tizimlarini aniqlash, ishlab chiqish va ulardan foydalanish bilan bog'liq
turli vazifalarni bajara oladigan muammoni hal qiluvchi. Bir tomondan oxirgi
foydalanuvchilar, ikkinchi tomondan texnik mutaxassislar yoki dasturchilar bilan
samarali muloqot qilish uchun ular biznes bilimlarini texnologiya potentsialini
chuqur tushunish bilan birlashtirishi kerak.
e. Katta tahlilchilar tizimni ishlab chiqishda loyiha menejeri sifatida ishlaydi
2. Dasturchilarning majburiyatlariga quyidagilar kiradi:

a. Tahlilchining spetsifikatsiyalarini amalga oshiring. Tizim dizayneri tizim nima

qilishi kerakligi haqidagi ushbu spetsifikatsiyalarni kerakli tizim komponentlari
uchun yuqori darajadagi spetsifikatsiyalarga tarjima qiladi.
b. Dizayner tomonidan ishlab chiqilgan dizayn spetsifikatsiyalaridan foydalangan
holda tahlilchilar tomonidan belgilangan talablarga javob beradigan dasturlarni
ishlab chiqish va sinovdan o'tkazish
c. Dasturlarni saqlang. Ushbu ilovalar dasturchilari tizim dasturiy ta'minotini
saqlaydigan va katta texnik tajribaga ega bo'lgan tizim dasturchilari tomonidan
qo'llab-quvvatlanadi.
Ko'pgina tashkilotlar yuqori boshqaruv lavozimini yaratdilar - axborot xizmatlari
uchun mas'ul bo'lgan Bosh Axborot Direktori (CIO). CIO quyidagi majburiyatlarga
ega:
1. Butun korporativ AT sa'y-harakatlarini muvofiqlashtiradi va AT rejalari va
amalga oshirishni kompaniyaning biznes rejalari bilan bog'lash uchun asosiy
mas'uliyatni o'z zimmasiga oladi.
2. Yuqori korporativ boshqaruv e'tiborini axborot texnologiyalarining firma
biznesiga qo'shishi mumkin bo'lgan hissasiga qaratish.
14.2 Axborot tizimlari operatsiyalarini boshqarish
AT operatsion xodimlarining maqsadi axborot tizimlarining uzluksiz ishlashini
ta'minlashdan iborat: tranzaktsiyalarni maqbul javob vaqti bilan qayta ishlash,
hisobotlarni o'z vaqtida yetkazib berish, ma'lumotlar markazlari va
telekommunikatsiya tarmoqlarining ishonchli va samarali ishlashini ta'minlash.
IS operatsiyalarida xavfsizlik, maxfiylik va maxfiylikka tahdidlar [14.4-rasm]
Tashkilot o'z axborot tizimlariga mumkin bo'lgan tahdidlarning mohiyatini
aniqlashi va ularning xavfsizligini ta'minlash (va bundan tashqari, tizimlarda
saqlanadigan ma'lumotlarning maxfiyligi va maxfiyligini ta'minlash) uchun nazorat
deb ataladigan chora-tadbirlar majmuini belgilashi kerak. ). Keyin audit jarayoni
bilan nazoratni doimiy ravishda nazorat qilish kerak.
Axborot tizimining xavfsizligi - bu uning resurslari va faoliyatining
yaxlitligi va xavfsizligi.

Maxfiylik - bu shaxsning o'zi haqidagi ma'lum ma'lumotlarni oshkor

qilmasdan saqlash huquqidir. Har tomonlama xavfsizlik choralari axborot
tizimlarida ular to'g'risida saqlangan ma'lumotlarga nisbatan shaxslarning shaxsiy
daxlsizligining zaruriy shartidir.
Maxfiylik - bu ma'lumotlarga berilgan maqom, ulardan foydalanish va
tarqatishni cheklaydi. Shunday qilib, biz maxfiylik siyosatimizni amalga oshirish
uchun ma'lum ma'lumotlarni maxfiy saqlashimiz mumkin.
Axborot tizimlari xavfsizligi va unga tahdidlar
Axborot tizimlarining xavfsizligi ushbu tizimlarga tahdidlarning oldini olish
yoki har qanday zarar oqibatlarini aniqlash va tuzatish bo'yicha ko'rilgan choralar
bilan ta'minlanadi. Axborot tizimining xavfsizligi korporativ aktivlarni himoya
qilishga yoki hech bo'lmaganda ularning yo'qolishini cheklashga qaratilgan.
Xavfsizlik choralari vakolatli shaxslarning ma'lumotlarga kirishini cheklaydi;
tegishli xavfsizlik ta'minlanmagan holda ma'lumotlar yozuvlarining maxfiyligi
yoki maxfiyligi bo'lishi mumkin emas.
Xavfsizlik tahdidlari to'rtta asosiy manbaga ega, ular orasida:
1. Inson xatosi
2. Kompyuterni suiiste'mol qilish yoki jinoyat
3. Tabiiy va siyosiy ofatlar
4. Uskuna yoki dasturiy ta'minotdagi nosozliklar
Kompyuter jinoyati va suiiste'mol
Kompyuter jinoyati kompyuterdan asosiy vosita sifatida foydalaniladigan
har qanday noqonuniy harakat sifatida belgilanadi. Kompyuterni suiiste'mol qilish
- bu kompyuterdan axloqsiz foydalanish
Kompyuter jinoyati yoki suiiste'mollik bilan bog'liq xavfsizlik tahdidlariga
quyidagilar kiradi:

1. O‘ziga taqlid qilish: O‘zini boshqa shaxs sifatida ko‘rsatish orqali tizimga kirish.

Tizim tomonidan qo'llaniladigan identifikatsiya va autentifikatsiya boshqaruvlarini
yengib, taqlid qiluvchi qonuniy foydalanuvchining imtiyozlaridan foydalanadi.
2. Troyan oti usuli: Ruxsat etilmagan harakatlarga olib keladigan ko'rsatmalar
to'plamini vakolatli dastur ichida yashirish.
3. Mantiqiy bomba: Ruxsatsiz ko'rsatmalar, ko'pincha troyan oti texnikasi bilan
kiritiladi, ular ma'lum bir voqea sodir bo'lgunga qadar (yoki ma'lum bir vaqt
kelguncha harakatsiz qoladi, chunki ko'rsatmalar kompyuterning ichki soatini
tekshirishda davom etishi mumkin), bu vaqtda ular ruxsat etilmagan harakat
4. Kompyuter viruslari Zararli harakatlarni amalga oshirishga va o'z nusxalarini
tizimdagi boshqa dasturlarga va Ainfected@ kompyuteriga joylashtirilgan
disketlarga joylashtirishga qodir bo'lgan kod segmentlari. Ushbu replikatsiya
tufayli virus asta-sekin Ahealthy@ dasturlari va tizimlariga zarar etkazadi.
Viruslarning yaqin qarindoshlari qurtlardir: telekommunikatsiya tarmoqlari orqali
o'zlarining nusxalarini yaratadigan va uzatadigan mustaqil dasturlar. Kompyuter
viruslari shaxsiy kompyuterlar uchun keng tarqalgan tahdidga aylandi.
5. Xizmatni rad etish tizimni qonuniy foydalanuvchilar tomonidan yaroqsiz holga
keltirish.
6. Dial Diddling: Ko'pincha ma'lumotlar bazasi tarkibini o'zgartirish uchun
kiritishdan oldin yoki kiritish vaqtida ma'lumotlarni o'zgartirish.
7. Salami texnikasi: Tizim tomonidan yuritiladigan ko'p sonli hisoblardan kichik
miqdordagi pulni yo'naltirish. Bu kichik miqdorlar e'tiborga olinmaydi.
8. Spoofing: taqlid qilinayotgan tizimga tegishli bo'lgan resurslarga ruxsatsiz kirish
uchun kompyuter tizimini tarmoq orqali boshqa tizim sifatida niqoblash uchun
sozlash.
9. Superzapping: Ruxsatsiz harakatlarni amalga oshirish uchun muntazam tizim
boshqaruvlarini chetlab o'tadigan tizim dasturidan foydalanish.
10. Scavenging: Ish kompyuterda bajarilgandan so'ng qoldiqlarni qidirish orqali
ma'lumotlarga ruxsatsiz kirish. Texnikalar chiqindi qutilari yoki chiqindi qutilarini
chop etish uchun qidirishdan tortib, kompyuter xotirasi tarkibini skanerlashgacha
bo'ladi.

11. Ma'lumotlarning oqishi: tizimda saqlangan ma'lumotlarni olishning V

usullarining xilma-xilligi. Ma'lumotlar murakkab usullar bilan zararsiz hisobotga
kodlanishi mumkin, masalan, har bir satrdagi belgilar soni.
12. Tinglash: Ma'lumot olish uchun kompyuter telekommunikatsiya liniyalariga
teginish.
Ro'yxatda keltirilgan usullarning ba'zilari to'g'ridan-to'g'ri moliyaviy resurslarni
olish uchun, boshqalari sanoat josusligi uchun, boshqalari esa shunchaki
buzg'unchi maqsadlarda ishlatilishi mumkin.
Ehtimol, bugungi kunda eng muhim tan olinmagan tahdid portativ
kompyuterlarning o'g'irlanishi bo'lib, ularning xotiralarida kirish kodlari va
ma'lumotlar mavjud. Bundan tashqari, dasturiy ta'minot, mahsulotni ishlab chiqish
ma'lumotlari, mijozlar ma'lumotlari yoki ichki korporativ hujjatlar kabi intellektual
mulkning o'g'irlanishi tufayli yo'qotishlar hisobga olinadi.
Kompyuter viruslari
Kompyuter viruslari oxirgi foydalanuvchi hisoblashlari uchun eng ko'p
uchraydigan tahdidlar va kompyuter tahdidining eng mashhur shaklidir.
Kompyuter virusi - bu dastur kodining bir qismi bo'lib, u o'zining nusxalarini
boshqa dasturlarga biriktiradi va shu bilan o'zini takrorlaydi.
Kompyuter viruslarining xususiyatlari:
1. Hujum qilingan dastur to'g'ri ishlashi mumkin, biroq ma'lum bir nuqtada virusni
yozuvchi tajovuzkor tomonidan mo'ljallangan zararli yoki halokatli harakatni
amalga oshiradi.
2. Kompyuter virusi umumiy disk vositalariga ega ko'p foydalanuvchili tizimga
hujum qilishi mumkin bo'lsa-da, viruslar shaxsiy kompyuter muhitida tez tarqalishi
bilan mashhur. Bunday muhitda ular virusli disketalar yoki Internet yoki boshqa
tarmoqlardan yuklab olingan dasturlar orqali ko'payadi.
3. Viruslarning aksariyati hiyla-nayrang bo'lib, infektsiyadan keyin ularning
mavjudligi aniq emas. Ayni paytda ular boshqa dasturlarni yuqtirishadi.
4. Viruslarning ikkita asosiy turi boot infectors va program infectors.
a. Yuklash infektorlari disket yoki qattiq diskning birinchi sektori tarkibini
almashtiradi. Bu shaxsiy kompyuterlarda eng ko'p uchraydigan viruslardir.

b. Dastur infektsiyalari o'zlarini qattiq diskda saqlangan bajariladigan fayllarga

nusxalashadi.
Viruslardan himoya qilish quyidagi choralarni talab qiladi:
1. Tizimga kiritilgan har qanday dastur uchun faqat original ishlab
chiqaruvchilarning disketalari yoki ishonchli internet saytlaridan foydalanish
kerak. Pirat dasturlar ham viruslar tarqalishiga olib kelishi mumkin.
2. Tijoriy Aantiviral@ dasturi tizimni skanerlash uchun muntazam ravishda
ishlatilishi kerak. Bundan tashqari, bunday dasturiy ta'minotning so'nggi
versiyalaridan foydalanish kerak, chunki har bir yangi virus shtammlari
tajovuzkorlar tomonidan tarqaladi.
3. Internetdan yuklab olingan fayllarni viruslardan himoya qilish uchun brauzerlar
bilan ishlay oladigan yordamchi dasturlardan foydalanish kerak.
4. Agar virus aniqlansa, fayllarni muntazam ravishda zaxiralash ularni qayta
tiklashga yordam beradi
5. Virus hujumi uchun favqulodda vaziyat rejasi zarur
Axborot tizimlarini himoya qilishda xavflarni baholash [14.7-rasm]
Taqsimlangan tizim muhitida, tashkilotning deyarli har bir xodimi tizimlarga
kirish huquqiga ega bo'lgan holda, xavfsizlik tahdidlari juda jiddiy tashvish
tug'diradi. Internetga bir nechta ulanishlar butun dunyo bo'ylab aralashuvchilar
uchun maydonni ochadi.
Zaifliklarni baholash usullariga quyidagilar kiradi:
1. Xavflarni baholash tartibi: xavfsizlik ta'siridan kelib chiqadigan yo'qotishlar
ehtimoli va bu yo'qotishlar hajmini uslubiy baholash. Xavf xavfsizlik ta'siri tufayli
yo'qolishi mumkin bo'lgan miqdor va bunday yo'qotishning yuzaga kelish ehtimoli
mahsuloti sifatida aniqlanadi. Ushbu ehtimollik o'tmishdagi bunday hodisalarning
chastotasi bilan baholanishi mumkin
2. Stsenariy tahlili: tizimning zaifligini aniqlash uchun tizimga taqlid qilingan
hujumlarni o'z ichiga olgan tizimni boshqarish usuli
14.4 Axborot tizimlarini boshqarish: Umumiy boshqaruv vositalari
Axborot tizimlarini boshqarishning roli

Axborot tizimlarining xavfsiz ishlashini ta'minlash va shu tariqa ushbu

tizimlarda saqlanadigan aktivlar va ma'lumotlarni himoya qilish va ilovalar o'z
maqsadlariga samarali tarzda erishishini ta'minlash uchun tashkilot bir qator
siyosatlar, protseduralar va texnologik choralarni ishlab chiqishi kerak. nazorat
qiladi.
IS boshqaruvlari quyidagilar uchun ishlab chiqilishi mumkin:
1. Xato yoki hujum kuchga kirishining oldini olish
2. Qoidabuzarlikni aniqlang
3. Istisno vaziyatni aniqlash va tuzatish.
Axborot tizimlarini boshqarish quyidagilarga bo'linadi:
1. Umumiy nazorat - tashkilotning butun AX faoliyatiga taalluqli boshqaruv
vositalari
2. Ilova boshqaruvlari - berilgan ilovaga xos bo'lgan boshqaruv elementlari (ish
haqi)
Umumiy boshqaruv turlari [14.3-jadval]
Umumiy boshqaruv tashkilotning barcha tizimlarini yoki uning bo'linmalaridan
birini qamrab oladi.
Ma'muriy nazorat
Ma'muriy nazorat butun nazorat tizimini tashkil etilishini, rahbariyat
tomonidan doimiy ravishda qo'llab-quvvatlanishini va tegishli tartib-qoidalar,
jumladan, auditorlik tekshiruvlari bilan amalga oshirilishini ta'minlashga
qaratilgan.
Ma'muriy nazoratga quyidagilar kiradi:
1. Nashr etilgan boshqaruv siyosat
2. Rasmiy protseduralar
3. Xodimlarni saralash
4. Xodimlar ustidan doimiy nazorat
5. Vazifalarni ajratish