Axborot xavfsizligi tizimining dasturiy va texnik vositalari

Fan va innovatsiyalar


Axborot xavfsizligi tizimining dasturiy va texnik vositalari


Download 219.19 Kb.
bet4/7
Sana04.04.2023
Hajmi219.19 Kb.
#1326212
1   2   3   4   5   6   7
Bog'liq
А.Джураев Iqtisodiyot 22-22

Axborot xavfsizligi tizimining dasturiy va texnik vositalari


Quyi darajadagi axborot xavfsizligi siyosati mehnat qoidalari, ma’muriy qo‘llanmalar, shaxsiy axborot xavfsizligi xizmatlaridan foydalanish bo‘yicha ko‘rsatmalarni o‘z ichiga oladi.
Adabiyotlarda axborot xavfsizligi vositalarining quyidagi tasnifi taklif qilingan[61]:

  • Ruxsatsiz kirishdan himoya qilish vositalari:

    • Avtorizatsiya vositalari;

    • Majburiy kirishni boshqarish[62];

    • Tanlangan kirishni boshqarish;

    • Rol asosida kirishni boshqarish;

    • Jurnallar (shuningdek, Audit deb hamataladi).

  • Axborot oqimlarini tahlil qilish va modellashtirish tizimlari (CASE-tizimlari).

  • Tarmoq monitoringi tizimlari:

    • Intrusionlarni aniqlash va oldini olish tizimlari (IDS/IPS).

    • Maxfiy ma’lumotlar oqismining oldini olish tizimlari (DLP-tizimlari).

  • Protokol analizatorlari.

  • Antivirus vositalari.

  • Tarmoqli ekranlar.

  • Kriptografik vositalar:

    • Shifrlash;

    • Raqamli imzo.

  • Zaxira tizimlari.

  • Uzluksiz quvvat tizimlari:

  • Autentifikatsiya tizimlari:

    • Parol;

    • Kirish kaliti (jismoniy yoki elektron);

    • Sertifikat;

    • Biometrik.

  • Ishlarni buzish va jihozlarni o‘g‘irlashning oldini olish vositalari.

  • Binolarga kirishni nazorat qilish vositalari.

  • Himoya tizimlarini tahlil qilish uchun vositalar:

    • Antivirus.

Korxonaning axborot xavfsizligi


Korxona axborot xavfsizligi – bu uning maxfiyligi, yaxlitligi, haqiqiyligi va mavjudligini ta’minlaydigan korporativ ma’lumotlar xavfsizligi holati. Korxona axborot xavfsizligi tizimlarining vazifalari har xil:

  • ommaviy axborot vositalarida ma’lumotlarning xavfsiz saqlanishini ta’minlash;

  • aloqa kanallari orqali uzatiladigan ma’lumotlarni himoya qilish;

  • zaxira nusxalari, falokatlarni tiklash va boshqalar.

Korxonaning axborot xavfsizligini ta’minlash faqat himoyaga tizimli va kompleks yondashuv orqali amalga oshiriladi va UPS ma’lumotlar xavfsizligiga ta’sir qiluvchi va yil davomida amalga oshiriladigan barcha muhim voqealar va shartlarning doimiy to‘liq monitoringini o‘z ichiga oladi .
Korxonaning axborot xavfsizligiga korporativ ma’lumotlarni himoya qilishga qaratilgan tashkiliy va texnik chora-tadbirlarning butun majmuasi orqali erishiladi. Tashkiliy chora-tadbirlarga har xil turdagi axborotlar, AT xizmatlari, xavfsizlik vositalari va boshqalar bilan ishlash bo‘yicha hujjatlashtirilgan tartib va qoidalar kiradi. Texnik chora-tadbirlarga apparat va dasturiy ta’minotdan foydalanishni nazorat qilish, oqish monitoringi, virusga qarshi himoya, xavfsizlik devori, elektromagnit nurlanishdan himoya qilish va boshqalar kiradi.
Axborot xavfsizligini ta’minlash doimiy jarayon bo‘lib, besh asosiy bosqichni o‘z ichiga oladi:

  1. xarajatlar smetasi;

  2. xavfsizlik siyosatini ishlab chiqish;

  3. siyosatni amalga oshirish;

  4. mutaxassislarni malakali tayyorlash;

  5. audit.

Axborot xavfsizligini ta’minlash jarayoni mulkni baholashdan, tashkilotning axborot aktivlarini, ushbu ma’lumotlarga tahdid soluvchi omillarni va uning zaifligini, tashkilot uchun umumiy xavfning ahamiyatini aniqlashdan boshlanadi. Mulkga qarab, ushbu aktivlarni himoya qilish dasturi tuziladi. Xavf aniqlangan va miqdori ochiqlangandan so‘ng ushbu xavfni kamaytirishning iqtisodiy jihatdan samarali qarshi choralari tanlanishi mumkin.
Axborot xavfsizligini baholashning maqsadlari:

  • axborot aktivlarining qiymatini aniqlash;

  • ushbu aktivlarning maxfiyligi, yaxlitligi, mavjudligi va/yoki identifikatsiya qilinishiga tahdidlarni aniqlash;

  • tashkilotning amaliy faoliyatidagi mavjud nnuqsonlarni aniqlash;

  • tashkilotning axborot aktivlari bilan bog‘liq risklarini aniqlash;

  • mavjud ish amaliyotida xavflar hajmini maqbul darajada kamaytiradigan o‘zgarishlarni taklif qilish;

  • xavfsizlik loyihasini yaratish uchun asos yaratish.

Baholashning beshta asosiy turi:

  • Tizim darajasida zaifliklarni baholash. Kompyuter tizimlari ma’lum zaifliklar va oddiy muvofiqlik siyosatlari uchun tekshiriladi.

  • Tarmoq darajasida baholash. Mavjud kompyuter tarmog‘i va axborot infratuzilmasi baholanadi, xavf zonalari aniqlanadi.

  • Tashkilot ichidagi xavflarni umumiy baholash. Uning axborot aktivlariga tahdidlarni aniqlash uchun butun tashkilot tahlil qilinadi.

  • Audit. Tashkilotning mavjud siyosati va ushbu siyosatga muvofiqligi tekshiriladi.

  • Penetratsiya testi. Tashkilotning simulyatsiya qilingan kirishga javob berish qobiliyati o‘rganiladi.

Baholash jarayonida quyidagi hujjatlar tekshirilishi lozim:

  • Xavfsizlik siyosati;

  • axborot siyosati;

  • zaxira siyosati va protseduralari;

  • ishchining ma’lumotnomasi yoki ko‘rsatmalari;

  • ishchilarni yollash va ishdan bo‘shatish tartibi;

  • dasturiy ta’minotni ishlab chiqish metodologiyasi;

  • dasturiy ta’minotni o‘zgartirish metodologiyasi;

  • telekommunikatsiya siyosati;

  • tarmoq diagrammalari.

Yuqoridagi siyosat va protseduralar amalga oshirilgandan so‘ng, har birining tegishliligi, qonuniyligi, to‘liqligi va dolzarbligi tekshiriladi, chunki siyosat va protseduralar hujjatda belgilangan maqsadga muvofiq bo‘lishi kerak.
Baholashdan so‘ng kutilayotgan xavfsizlik holati va zarur ishlar ro‘yxatini belgilaydigan siyosat va tartiblarni ishlab chiqish lozim. Chunki, hech qanday siyosat bo‘lmasa, tashkilot samarali UPS dasturini ishlab chiqadigan va amalga oshiradigan reja ham bo‘lmaydi.
Axborot xafsizligini ta’minlashda quyidagi siyosat va tartiblarni ishlab chiqish lozim:

  • Axborot siyosati. Maxfiy ma’lumotlarni va ularni qayta ishlash, saqlash, uzatish va yo‘q qilish usullarini oshkor qiladi.

  • Xavfsizlik siyosati. Turli xil kompyuter tizimlari uchun texnik boshqaruvni belgilaydi.

  • Foydalanish siyosati. Kompyuter tizimlaridan foydalanish bo‘yicha kompaniya siyosatini ta’minlaydi.

  • Zaxira siyosati. Kompyuter tizimlarining zaxira nusxasini yaratish uchun talablarni belgilaydi.

  • Hisobni boshqarish tartib-qoidalari. Foydalanuvchilar qo‘shilgan yoki o‘chirilganda bajarilishi kerak bo‘lgan amallarni belgilaydi.

  • Favqulodda vaziyatlar rejasi. Tabiiy ofatlar yoki inson tomonidan sodir etilgan hodisalardan keyin kompaniya jihozlarini tiklash bo‘yicha harakatlarni ta’minlaydi.

Xavfsizlik siyosatini amalga oshirish texnik vositalar va to‘g‘ridan-to‘g‘ri nazorat qilish vositalarini amalga oshirishdan, shuningdek, xavfsizlik xodimlarini tanlashdan iborat. Xavfsizlik bo‘limi doirasidan tashqarida tizimlar konfiguratsiyasiga o‘zgartirishlar kiritish talab qilinishi mumkin, shuning uchun tizim va tarmoq ma’murlari xavfsizlik dasturini amalga oshirish ishlarida ishtirok etishlari kerak.
Har qanday yangi xavfsizlik tizimlaridan foydalanganda malakali xodimlar mavjud bo‘lishi kerak. Tashkilot o‘z xodimlarining ishtirokisiz maxfiy ma’lumotlarning himoyasini ta’minlay olmaydi. Vakolatli kasbiy qayta tayyorlash bu xodimlarni zarur ma’lumotlar bilan ta’minlash mexanizmi hisoblanadi.
Xodimlar xavfsizlik masalalari nima uchun juda muhim ekanligini bilishlari va maxfiy ma’lumotlarni aniqlash va himoya qilish uchun o‘qitilishi kerak.
Audit axborot xavfsizligini joriy etish jarayonining oxirgi bosqichidir. U tashkilot ichidagi axborot xavfsizligi holatini, tegishli siyosat va tartiblarni yaratishni, texnik nazoratni faollashtirishni va xodimlarni tayyorlashni belgilaydi

Download 219.19 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling