Axborot xavfsizligi xavflarni boshqarishga kirish fanidan
Axborot xavfsizligini boshqarish tizimlari va hujjatlarga qo’yilan talablar
Download 72.34 Kb.
|
Axborot xavfsizligi xavflarni boshqarishga kirish fanidan 5-must-fayllar.org
Axborot xavfsizligini boshqarish tizimlari va hujjatlarga qo’yilan talablar
Firmada axborot xizmatlarini boshqarish [14.1a / 14.1b-rasm] Korporativ Axborot Xizmatlari (IS) bo'limi tashkilotda kompyuterga asoslangan axborot xizmatlarini taqdim etish yoki etkazib berishni muvofiqlashtirish uchun mas'ul bo'lgan bo'limdir. Bu xizmatlarga quyidagilar kiradi: 1. Tashkiliy axborot tizimlarini ishlab chiqish, saqlash va saqlash 2. Dasturiy ta'minot va texnik vositalarni olish va moslashtirishga ko'maklashish. 3. Ushbu xizmatlarning barchasini o'zi taqdim etishdan ko'ra ko'plab xizmatlarni etkazib berishni muvofiqlashtiradi. Firmalar o'zlarining Axborot xizmatlari funktsiyalarini juda xilma-xil yo'llar bilan tashkil qiladilar, bu o'z biznesining tabiatini, umumiy tuzilishi va biznes strategiyasini, tarixini va biznes bo'linmalariga axborot xizmatlarini taqdim etishni xohlashlarini aks ettiradi. IS bo'limlarining aksariyati markazlashtirilganligicha qolmoqda. Funktsional tuzilma ko'rsatilgan an'anaviy tashkilot sxemasi 14.1a- rasmda ko'rsatilgan. 14.1b-rasmda markazlashtirilgan IS birligining zamonaviyroq tuzilishi ko'rsatilgan. Ushbu tuzilma firmaning biznes bo'linmalariga maxsus konsalting va oxirgi foydalanuvchiga yo'naltirilgan xizmatlar bilan xizmat ko'rsatish uchun ancha mos keladi. Markazlashtirilgan AT bo'limlari ko'pgina firmalarda o'z o'rnini firmaning biznes bo'linmalariga markazlashtirilmagan AT funktsiyasiga bo'shatib bermoqda [14.2-rasm]. Markazlashtirilmagan tuzilmada: 1. Korporativ AT bo'limi korporativ axborot tizimi infratuzilmasi - telekommunikatsiya tarmog'i va korporativ ma'lumotlar bazalarini boshqarish uchun asosiy javobgardir. 2. Korporativ axborot tizimlari standartlarini ishlab chiqish va saqlash 3. Autsorsing kelishuvlari bo'yicha firma uchun axborot xizmatlarini amalga oshiradigan tizim integratorlarini nazorat qilish 4. Miqdor chegirmalari va korporativ miqyosning boshqa afzalliklarini ta'minlash uchun sotuvchilar bilan o'zaro hamkorlik qilish. Ko'pgina kompaniyalar axborot texnologiyalaridan foydalanishni nazorat qilish uchun yuqori boshqaruv lavozimini - Bosh Axborot Direktorini (CIO) yaratdilar. Majburiyatlarga ta'minlash kiradi umumiy korporativ axborot texnologiyalari sa'y-harakatlarini muvofiqlashtirish. Markazsizlashtirishning asosiy afzalligi shundaki, u o'z biznes bo'linmalari rahbarlariga bevosita bo'ysunadigan idoraviy IS guruhlarini o'z ichiga oladi. Bu a'zolar birliklarning o'ziga xos ehtiyojlari bilan tanish va uning tashvishlariga javob berishadi. Axborot xizmati bo'linmalari a'zolari turli xil ko'nikmalarga ega. Ushbu odamlarning aksariyati o'zlarining texnologik tajribasini ular xizmat qiladigan korporativ biznes yo'nalishlarini tushunish bilan birlashtiradi Trend: Autsorsing va dasturiy ta'minot paketlarini sotib olish rolining ortishi bilan ko'pchilik firmalarning IS bo'linmalari vaqt o'tishi bilan kichrayishi kutilmoqda, ammo uning mutaxassislari ham texnologiya, ham biznes jarayonlarida kengaytirilgan tajribani taklif qilishlari kerak. Axborot tizimlari bo'yicha mutaxassislar IS mutaxassislarining ikkita asosiy kasbi mavjud: tahlilchilar va dasturchilar. 1. Tahlilchilarning majburiyatlariga quyidagilar kiradi: a. Foydalanuvchilarning axborot talablarini tahlil qilish, tizim prototiplarini ishlab chiqish va ko'pincha talablar spetsifikatsiyasi asosida axborot tizimlarini loyihalash. b. Biznes muammolari va imkoniyatlarini axborot tizimlariga aylantirishda asosiy rol o'ynang c. Foydalanuvchilar va boshqa IS mutaxassislari o'rtasida aloqani ta'minlash d. Axborot tizimlarini aniqlash, ishlab chiqish va ulardan foydalanish bilan bog'liq turli vazifalarni bajara oladigan muammoni hal qiluvchi. Bir tomondan oxirgi foydalanuvchilar, ikkinchi tomondan texnik mutaxassislar yoki dasturchilar bilan samarali muloqot qilish uchun ular biznes bilimlarini texnologiya potentsialini chuqur tushunish bilan birlashtirishi kerak. e. Katta tahlilchilar tizimni ishlab chiqishda loyiha menejeri sifatida ishlaydi 2. Dasturchilarning majburiyatlariga quyidagilar kiradi: a. Tahlilchining spetsifikatsiyalarini amalga oshiring. Tizim dizayneri tizim nima qilishi kerakligi haqidagi ushbu spetsifikatsiyalarni kerakli tizim komponentlari uchun yuqori darajadagi spetsifikatsiyalarga tarjima qiladi. b. Dizayner tomonidan ishlab chiqilgan dizayn spetsifikatsiyalaridan foydalangan holda tahlilchilar tomonidan belgilangan talablarga javob beradigan dasturlarni ishlab chiqish va sinovdan o'tkazish c. Dasturlarni saqlang. Ushbu ilovalar dasturchilari tizim dasturiy ta'minotini saqlaydigan va katta texnik tajribaga ega bo'lgan tizim dasturchilari tomonidan qo'llab-quvvatlanadi. Ko'pgina tashkilotlar yuqori boshqaruv lavozimini yaratdilar - axborot xizmatlari uchun mas'ul bo'lgan Bosh Axborot Direktori (CIO). CIO quyidagi majburiyatlarga ega: 1. Butun korporativ AT sa'y-harakatlarini muvofiqlashtiradi va AT rejalari va amalga oshirishni kompaniyaning biznes rejalari bilan bog'lash uchun asosiy mas'uliyatni o'z zimmasiga oladi. 2. Yuqori korporativ boshqaruv e'tiborini axborot texnologiyalarining firma biznesiga qo'shishi mumkin bo'lgan hissasiga qaratish. 14.2 Axborot tizimlari operatsiyalarini boshqarish AT operatsion xodimlarining maqsadi axborot tizimlarining uzluksiz ishlashini ta'minlashdan iborat: tranzaktsiyalarni maqbul javob vaqti bilan qayta ishlash, hisobotlarni o'z vaqtida yetkazib berish, ma'lumotlar markazlari va telekommunikatsiya tarmoqlarining ishonchli va samarali ishlashini ta'minlash. IS operatsiyalarida xavfsizlik, maxfiylik va maxfiylikka tahdidlar [14.4-rasm] Tashkilot o'z axborot tizimlariga mumkin bo'lgan tahdidlarning mohiyatini aniqlashi va ularning xavfsizligini ta'minlash (va bundan tashqari, tizimlarda saqlanadigan ma'lumotlarning maxfiyligi va maxfiyligini ta'minlash) uchun nazorat deb ataladigan chora-tadbirlar majmuini belgilashi kerak. ). Keyin audit jarayoni bilan nazoratni doimiy ravishda nazorat qilish kerak. Axborot tizimining xavfsizligi - bu uning resurslari va faoliyatining yaxlitligi va xavfsizligi. Maxfiylik - bu shaxsning o'zi haqidagi ma'lum ma'lumotlarni oshkor qilmasdan saqlash huquqidir. Har tomonlama xavfsizlik choralari axborot tizimlarida ular to'g'risida saqlangan ma'lumotlarga nisbatan shaxslarning shaxsiy daxlsizligining zaruriy shartidir. Maxfiylik - bu ma'lumotlarga berilgan maqom, ulardan foydalanish va tarqatishni cheklaydi. Shunday qilib, biz maxfiylik siyosatimizni amalga oshirish uchun ma'lum ma'lumotlarni maxfiy saqlashimiz mumkin. Axborot tizimlari xavfsizligi va unga tahdidlar Axborot tizimlarining xavfsizligi ushbu tizimlarga tahdidlarning oldini olish yoki har qanday zarar oqibatlarini aniqlash va tuzatish bo'yicha ko'rilgan choralar bilan ta'minlanadi. Axborot tizimining xavfsizligi korporativ aktivlarni himoya qilishga yoki hech bo'lmaganda ularning yo'qolishini cheklashga qaratilgan. Xavfsizlik choralari vakolatli shaxslarning ma'lumotlarga kirishini cheklaydi; tegishli xavfsizlik ta'minlanmagan holda ma'lumotlar yozuvlarining maxfiyligi yoki maxfiyligi bo'lishi mumkin emas. Xavfsizlik tahdidlari to'rtta asosiy manbaga ega, ular orasida: 1. Inson xatosi 2. Kompyuterni suiiste'mol qilish yoki jinoyat 3. Tabiiy va siyosiy ofatlar 4. Uskuna yoki dasturiy ta'minotdagi nosozliklar Kompyuter jinoyati va suiiste'mol Kompyuter jinoyati kompyuterdan asosiy vosita sifatida foydalaniladigan har qanday noqonuniy harakat sifatida belgilanadi. Kompyuterni suiiste'mol qilish - bu kompyuterdan axloqsiz foydalanish Kompyuter jinoyati yoki suiiste'mollik bilan bog'liq xavfsizlik tahdidlariga quyidagilar kiradi: 1. O‘ziga taqlid qilish: O‘zini boshqa shaxs sifatida ko‘rsatish orqali tizimga kirish. Tizim tomonidan qo'llaniladigan identifikatsiya va autentifikatsiya boshqaruvlarini yengib, taqlid qiluvchi qonuniy foydalanuvchining imtiyozlaridan foydalanadi. 2. Troyan oti usuli: Ruxsat etilmagan harakatlarga olib keladigan ko'rsatmalar to'plamini vakolatli dastur ichida yashirish. 3. Mantiqiy bomba: Ruxsatsiz ko'rsatmalar, ko'pincha troyan oti texnikasi bilan kiritiladi, ular ma'lum bir voqea sodir bo'lgunga qadar (yoki ma'lum bir vaqt kelguncha harakatsiz qoladi, chunki ko'rsatmalar kompyuterning ichki soatini tekshirishda davom etishi mumkin), bu vaqtda ular ruxsat etilmagan harakat 4. Kompyuter viruslari Zararli harakatlarni amalga oshirishga va o'z nusxalarini tizimdagi boshqa dasturlarga va Ainfected@ kompyuteriga joylashtirilgan disketlarga joylashtirishga qodir bo'lgan kod segmentlari. Ushbu replikatsiya tufayli virus asta-sekin Ahealthy@ dasturlari va tizimlariga zarar etkazadi. Viruslarning yaqin qarindoshlari qurtlardir: telekommunikatsiya tarmoqlari orqali o'zlarining nusxalarini yaratadigan va uzatadigan mustaqil dasturlar. Kompyuter viruslari shaxsiy kompyuterlar uchun keng tarqalgan tahdidga aylandi. 5. Xizmatni rad etish tizimni qonuniy foydalanuvchilar tomonidan yaroqsiz holga keltirish. 6. Dial Diddling: Ko'pincha ma'lumotlar bazasi tarkibini o'zgartirish uchun kiritishdan oldin yoki kiritish vaqtida ma'lumotlarni o'zgartirish. 7. Salami texnikasi: Tizim tomonidan yuritiladigan ko'p sonli hisoblardan kichik miqdordagi pulni yo'naltirish. Bu kichik miqdorlar e'tiborga olinmaydi. 8. Spoofing: taqlid qilinayotgan tizimga tegishli bo'lgan resurslarga ruxsatsiz kirish uchun kompyuter tizimini tarmoq orqali boshqa tizim sifatida niqoblash uchun sozlash. 9. Superzapping: Ruxsatsiz harakatlarni amalga oshirish uchun muntazam tizim boshqaruvlarini chetlab o'tadigan tizim dasturidan foydalanish. 10. Scavenging: Ish kompyuterda bajarilgandan so'ng qoldiqlarni qidirish orqali ma'lumotlarga ruxsatsiz kirish. Texnikalar chiqindi qutilari yoki chiqindi qutilarini chop etish uchun qidirishdan tortib, kompyuter xotirasi tarkibini skanerlashgacha bo'ladi. 11. Ma'lumotlarning oqishi: tizimda saqlangan ma'lumotlarni olishning V usullarining xilma-xilligi. Ma'lumotlar murakkab usullar bilan zararsiz hisobotga kodlanishi mumkin, masalan, har bir satrdagi belgilar soni. 12. Tinglash: Ma'lumot olish uchun kompyuter telekommunikatsiya liniyalariga teginish. Ro'yxatda keltirilgan usullarning ba'zilari to'g'ridan-to'g'ri moliyaviy resurslarni olish uchun, boshqalari sanoat josusligi uchun, boshqalari esa shunchaki buzg'unchi maqsadlarda ishlatilishi mumkin. Ehtimol, bugungi kunda eng muhim tan olinmagan tahdid portativ kompyuterlarning o'g'irlanishi bo'lib, ularning xotiralarida kirish kodlari va ma'lumotlar mavjud. Bundan tashqari, dasturiy ta'minot, mahsulotni ishlab chiqish ma'lumotlari, mijozlar ma'lumotlari yoki ichki korporativ hujjatlar kabi intellektual mulkning o'g'irlanishi tufayli yo'qotishlar hisobga olinadi. Kompyuter viruslari Kompyuter viruslari oxirgi foydalanuvchi hisoblashlari uchun eng ko'p uchraydigan tahdidlar va kompyuter tahdidining eng mashhur shaklidir. Kompyuter virusi - bu dastur kodining bir qismi bo'lib, u o'zining nusxalarini boshqa dasturlarga biriktiradi va shu bilan o'zini takrorlaydi. Kompyuter viruslarining xususiyatlari: 1. Hujum qilingan dastur to'g'ri ishlashi mumkin, biroq ma'lum bir nuqtada virusni yozuvchi tajovuzkor tomonidan mo'ljallangan zararli yoki halokatli harakatni amalga oshiradi. 2. Kompyuter virusi umumiy disk vositalariga ega ko'p foydalanuvchili tizimga hujum qilishi mumkin bo'lsa-da, viruslar shaxsiy kompyuter muhitida tez tarqalishi bilan mashhur. Bunday muhitda ular virusli disketalar yoki Internet yoki boshqa tarmoqlardan yuklab olingan dasturlar orqali ko'payadi. 3. Viruslarning aksariyati hiyla-nayrang bo'lib, infektsiyadan keyin ularning mavjudligi aniq emas. Ayni paytda ular boshqa dasturlarni yuqtirishadi. 4. Viruslarning ikkita asosiy turi boot infectors va program infectors. a. Yuklash infektorlari disket yoki qattiq diskning birinchi sektori tarkibini almashtiradi. Bu shaxsiy kompyuterlarda eng ko'p uchraydigan viruslardir. b. Dastur infektsiyalari o'zlarini qattiq diskda saqlangan bajariladigan fayllarga nusxalashadi. Viruslardan himoya qilish quyidagi choralarni talab qiladi: 1. Tizimga kiritilgan har qanday dastur uchun faqat original ishlab chiqaruvchilarning disketalari yoki ishonchli internet saytlaridan foydalanish kerak. Pirat dasturlar ham viruslar tarqalishiga olib kelishi mumkin. 2. Tijoriy Aantiviral@ dasturi tizimni skanerlash uchun muntazam ravishda ishlatilishi kerak. Bundan tashqari, bunday dasturiy ta'minotning so'nggi versiyalaridan foydalanish kerak, chunki har bir yangi virus shtammlari tajovuzkorlar tomonidan tarqaladi. 3. Internetdan yuklab olingan fayllarni viruslardan himoya qilish uchun brauzerlar bilan ishlay oladigan yordamchi dasturlardan foydalanish kerak. 4. Agar virus aniqlansa, fayllarni muntazam ravishda zaxiralash ularni qayta tiklashga yordam beradi 5. Virus hujumi uchun favqulodda vaziyat rejasi zarur Axborot tizimlarini himoya qilishda xavflarni baholash [14.7-rasm] Taqsimlangan tizim muhitida, tashkilotning deyarli har bir xodimi tizimlarga kirish huquqiga ega bo'lgan holda, xavfsizlik tahdidlari juda jiddiy tashvish tug'diradi. Internetga bir nechta ulanishlar butun dunyo bo'ylab aralashuvchilar uchun maydonni ochadi. Zaifliklarni baholash usullariga quyidagilar kiradi: 1. Xavflarni baholash tartibi: xavfsizlik ta'siridan kelib chiqadigan yo'qotishlar ehtimoli va bu yo'qotishlar hajmini uslubiy baholash. Xavf xavfsizlik ta'siri tufayli yo'qolishi mumkin bo'lgan miqdor va bunday yo'qotishning yuzaga kelish ehtimoli mahsuloti sifatida aniqlanadi. Ushbu ehtimollik o'tmishdagi bunday hodisalarning chastotasi bilan baholanishi mumkin 2. Stsenariy tahlili: tizimning zaifligini aniqlash uchun tizimga taqlid qilingan hujumlarni o'z ichiga olgan tizimni boshqarish usuli 14.4 Axborot tizimlarini boshqarish: Umumiy boshqaruv vositalari Axborot tizimlarini boshqarishning roli Axborot tizimlarining xavfsiz ishlashini ta'minlash va shu tariqa ushbu tizimlarda saqlanadigan aktivlar va ma'lumotlarni himoya qilish va ilovalar o'z maqsadlariga samarali tarzda erishishini ta'minlash uchun tashkilot bir qator siyosatlar, protseduralar va texnologik choralarni ishlab chiqishi kerak. nazorat qiladi. IS boshqaruvlari quyidagilar uchun ishlab chiqilishi mumkin: 1. Xato yoki hujum kuchga kirishining oldini olish 2. Qoidabuzarlikni aniqlang 3. Istisno vaziyatni aniqlash va tuzatish. Axborot tizimlarini boshqarish quyidagilarga bo'linadi: 1. Umumiy nazorat - tashkilotning butun AX faoliyatiga taalluqli boshqaruv vositalari 2. Ilova boshqaruvlari - berilgan ilovaga xos bo'lgan boshqaruv elementlari (ish haqi) Umumiy boshqaruv turlari [14.3-jadval] Umumiy boshqaruv tashkilotning barcha tizimlarini yoki uning bo'linmalaridan birini qamrab oladi. Ma'muriy nazorat Ma'muriy nazorat butun nazorat tizimini tashkil etilishini, rahbariyat tomonidan doimiy ravishda qo'llab-quvvatlanishini va tegishli tartib-qoidalar, jumladan, auditorlik tekshiruvlari bilan amalga oshirilishini ta'minlashga qaratilgan. Ma'muriy nazoratga quyidagilar kiradi: 1. Nashr etilgan boshqaruv siyosat 2. Rasmiy protseduralar 3. Xodimlarni saralash 4. Xodimlar ustidan doimiy nazorat 5. Vazifalarni ajratish Download 72.34 Kb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling