I bob. Ma’LUMOT SAQLOVCHILAR TURLARI VA UNDA SAQLANUVCHI Ma’lumotlar xavfsizligini ta’minlash asoslari 4
Axborot va ma’lumotlar xavfsizligini ta’minlash tizimlari
Download 382.25 Kb.
|
I bob. Ma’LUMOT SAQLOVCHILAR TURLARI VA UNDA SAQLANUVCHI Ma’lumo
Axborot va ma’lumotlar xavfsizligini ta’minlash tizimlari.Kibernetika asoschisi Norbert Viner ma'lumot o'ziga xos xususiyatlarga ega va uni energiyaga ham, materiyaga ham bog'lab bo'lmaydi, deb hisoblagan. Axborotning hodisa sifatidagi alohida maqomi ko'plab ta'riflarni keltirib chiqardi. Axborot xavfsizligi kontseptsiyasini ishlab chiqish uchun axborot deganda turli usullarda, shu jumladan kompyuter tarmoqlarida va boshqa axborot tizimlarida to'plash, saqlash, qayta ishlash (tahrirlash, o'zgartirish), foydalanish va uzatish uchun mavjud bo'lgan ma'lumotlar tushuniladi. Bunday ma'lumotlar yuqori qiymatga ega va uchinchi shaxslar tomonidan tajovuz ob'ektiga aylanishi mumkin. Axborot xavfsizligi tizimlarini yaratish zamirida axborotni tahdidlardan himoya qilish istagi yotadi. Axborot xavfsizligi strategiyasini ishlab chiqishdan oldin kontseptsiyaning o'ziga xos asosiy ta'rifini qabul qilish kerak, bu esa ma'lum usullar va himoya usullaridan foydalanishga imkon beradi. Sanoat mutaxassislari axborot xavfsizligi deganda axborot, uning tashuvchilari va infratuzilmasi xavfsizligining barqaror holati tushuniladi, bu axborot bilan bog'liq jarayonlarning tabiiy va sun'iy xarakterdagi qasddan yoki qasddan bo'lmagan ta'sirlardan yaxlitligi va barqarorligini ta'minlaydi. Ta'sirlar axborot munosabatlari sub'ektlariga zarar etkazishi mumkin bo'lgan IS tahdidlari sifatida tasniflanadi. Shunday qilib, axborotni muhofaza qilish deganda axborot xavfsizligiga real yoki sezilayotgan tahdidlarning oldini olishga, shuningdek hodisalar oqibatlarini bartaraf etishga qaratilgan huquqiy, ma’muriy, tashkiliy va texnik chora-tadbirlar majmui tushuniladi. Axborotni himoya qilish jarayonining uzluksizligi axborot aylanishining barcha bosqichlarida: axborotni yig'ish, saqlash, qayta ishlash, foydalanish va uzatish jarayonida tahdidlarga qarshi kurashni kafolatlashi kerak. Axborot xavfsizligi bu tushunchada u tizim ishlashining xususiyatlaridan biriga aylanadi. Vaqtning har bir daqiqasida tizim o'lchanadigan darajadagi xavfsizlikka ega bo'lishi kerak va tizim xavfsizligini ta'minlash tizimning ishlash muddati davomida barcha vaqt oralig'ida amalga oshiriladigan uzluksiz jarayon bo'lishi kerak. Axborot xavfsizligi nazariyasida axborot xavfsizligi sub'ektlari deganda axborotning egalari va foydalanuvchilari tushuniladi va nafaqat doimiy foydalanuvchilar (xodimlar), balki alohida hollarda ma'lumotlar bazasiga kiruvchi foydalanuvchilar, masalan, ma'lumot so'rab murojaat qiluvchi davlat organlari. Bir qator hollarda, masalan, bank axborot xavfsizligi standartlarida aktsiyadorlar axborot egalari sifatida tasniflanadi - yuridik shaxslar ma'lum ma'lumotlarga tegishli. Qo'llab-quvvatlovchi infratuzilma, axborot xavfsizligi asoslari nuqtai nazaridan, kompyuterlar, tarmoqlar, telekommunikatsiya uskunalari, binolar, hayotni ta'minlash tizimlari va xodimlarni o'z ichiga oladi. Xavfsizlikni tahlil qilishda tizimlarning barcha elementlarini o'rganish, ko'pchilik ichki tahdidlarning tashuvchisi sifatida xodimlarga alohida e'tibor berish kerak. Axborot xavfsizligini boshqarish va zararni baholash uchun maqbullik tavsifi qo'llaniladi, shuning uchun zarar maqbul yoki qabul qilinishi mumkin emas deb aniqlanadi. Har bir kompaniya uchun pul shaklida yoki, masalan, obro'ga yo'l qo'yiladigan zarar ko'rinishida etkazilgan zararning maqbulligi uchun o'z mezonlarini belgilash foydalidir. Davlat muassasalarida boshqa xususiyatlar, masalan, boshqaruv jarayoniga ta'sir qilish yoki fuqarolarning hayoti va sog'lig'iga etkazilgan zarar darajasini aks ettirish kabi xususiyatlar qabul qilinishi mumkin. Axborotning muhimligi, ahamiyati va qiymati mezonlari jarayon davomida o'zgarishi mumkin hayot sikli Shuning uchun ma'lumotlar majmuasi o'z vaqtida qayta ko'rib chiqilishi kerak. Tor ma'noda axborot tahdidi - bu axborotning chiqib ketishi, o'g'irlanishi, yo’q qilinishi, oshkor etilishi yoki tarqalishiga olib kelishi mumkin bo'lgan himoya ob'ektiga ta'sir qilishning ob'ektiv imkoniyati. Kengroq maʼnoda axborot xavfsizligiga tahdidlar maqsadi davlat, tashkilot va shaxsga zarar yetkazish boʻlgan yoʻnaltirilgan axborot taʼsirini oʻz ichiga oladi. Bunday tahdidlarga, masalan, tuhmat, qasddan noto'g'ri ma'lumot berish va nomaqbul reklama kiradi. Axborot xavfsizligining texnik vositalarining keng doirasi quyidagilarni o'z ichiga oladi: Jismoniy himoya vositalari. Bu mexanik, elektr, elektron mexanizmlar bo'lib, ular axborot tizimlaridan mustaqil ravishda ishlaydi va ularga kirish uchun to'siqlar yaratadi. Qulflar, shu jumladan elektronlar, ekranlar, panjurlar tizimlar bilan beqarorlashtiruvchi omillarning aloqasi uchun to'siqlar yaratish uchun mo'ljallangan. Guruh xavfsizlik tizimlari bilan to'ldiriladi, masalan, videokameralar, videoregistratorlar, ma'lumot olishning texnik vositalari joylashgan hududda harakat yoki elektromagnit nurlanish darajasining oshib ketishini aniqlaydigan sensorlar, o'rnatilgan qurilmalar. Dasturiy ta'minot axborot xavfsizligi bilan bog'liq aniq va murakkab muammolarni hal qilish uchun mo'ljallangan oddiy va tizimli, murakkab dasturlardir. Kompleks yechimlarga ham misol qilib keltirish mumkin: birinchisi sizib chiqishining oldini olishga, axborotni qayta formatlashga va axborot oqimlarini qayta yo‘naltirishga xizmat qiladi, ikkinchisi axborot xavfsizligi sohasidagi hodisalardan himoya qiladi. Dasturiy ta'minot apparat qurilmalarining quvvatini talab qiladi va o'rnatish vaqtida qo'shimcha zaxiralarni ta'minlash kerak. 30 kun davomida bepul sinovdan o'tishi mumkin. Tizimni o'rnatishdan oldin SearchInform muhandislari mijozning kompaniyasida texnik audit o'tkazadilar. TO maxsus vositalar axborot xavfsizligi diskdagi ma'lumotlarni shifrlaydigan va tashqi aloqa kanallari orqali qayta yo'naltiriladigan turli kriptografik algoritmlarni o'z ichiga oladi. Axborotni o'zgartirish korporativ axborot tizimlarida ishlaydigan dasturiy va apparat usullari yordamida amalga oshirilishi mumkin. Axborot xavfsizligini kafolatlaydigan barcha vositalar ma'lumotlarning qiymatini dastlabki baholash va uni xavfsizlikni ta'minlash uchun sarflangan resurslar qiymati bilan solishtirgandan so'ng, birgalikda qo'llanilishi kerak. Shu sababli, mablag'lardan foydalanish bo'yicha takliflar tizimlarni ishlab chiqish bosqichida shakllantirilishi kerak va tasdiqlash byudjetlarni tasdiqlash uchun mas'ul bo'lgan boshqaruv darajasida amalga oshirilishi kerak. Xavfsizlikni ta'minlash uchun barcha zamonaviy ishlanmalarni, dasturiy ta'minot va apparat vositalarini himoya qilish vositalarini, tahdidlarni kuzatib borish, ruxsatsiz kirishdan himoya qilish tizimlariga o'z vaqtida o'zgartirishlar kiritish zarur. Faqat tahdidlarga javob berishning etarliligi va tezkorligi erishishga yordam beradi yuqori daraja kompaniya ishida maxfiylik. Normativ vositalar Jahon amaliyotida tartibga solish vositalarini ishlab chiqishda ular ISni himoya qilish standartlariga amal qiladi, asosiysi ISO / IEC 27000. Standart ikkita tashkilot tomonidan yaratilgan: ISO - standartlashtirish bo'yicha xalqaro komissiya, ishlab chiqarish va boshqaruv jarayonlari sifatini sertifikatlash bo'yicha xalqaro miqyosda tan olingan aksariyat metodologiyalarni ishlab chiqadi va tasdiqlaydi; IEC - Xalqaro energetika komissiyasi, u standartga axborot xavfsizligi tizimlari, uni ta'minlash vositalari va usullari haqidagi tushunchasini kiritdi. ISO / IEC 27000-2016 ning joriy versiyasi axborot xavfsizligini ta'minlash uchun zarur bo'lgan tayyor standartlar va tasdiqlangan usullarni taklif etadi. Usullar mualliflarining fikricha, axborot xavfsizligining asosi ishlab chiqishdan keyingi nazoratgacha bo‘lgan barcha bosqichlarni izchil va izchil amalga oshirishda yotadi. Axborot xavfsizligi standartlariga muvofiqligini tasdiqlovchi sertifikat olish uchun barcha tavsiya etilgan texnikani to'liq amalga oshirish kerak. Agar sertifikat olishning hojati bo'lmasa, ko'proq dastlabki versiyalari standart, ISO / IEC 27000-2002 dan boshlab yoki maslahat xarakteriga ega bo'lgan Rossiya GOSTlari. Standartni o'rganish natijalariga ko'ra, axborot xavfsizligiga taalluqli ikkita hujjat ishlab chiqilmoqda. Asosiy, ammo kamroq rasmiy - bu korxonaning axborot xavfsizligi tushunchasi bo'lib, u tashkilotning axborot tizimlari uchun axborot xavfsizligi tizimini joriy etish choralari va usullarini belgilaydi. Kompaniyaning barcha xodimlari rioya qilishi kerak bo'lgan ikkinchi hujjat - bu direktorlar kengashi yoki ijroiya organi darajasida tasdiqlangan axborot xavfsizligi to'g'risidagi nizom. Kompaniya darajasidagi lavozimga qo'shimcha ravishda, tijorat sirini tashkil etuvchi ma'lumotlar ro'yxati, mehnat shartnomalariga ilovalar, maxfiy ma'lumotlarni oshkor qilish uchun javobgarlikni ta'minlaydigan boshqa standartlar va usullar ishlab chiqilishi kerak. Ichki qoidalar va qoidalar amalga oshirish mexanizmlari va javobgarlik choralarini o'z ichiga olishi kerak. Ko'pincha choralar intizomiy xarakterga ega bo'lib, qoidabuzar tijorat siri rejimining buzilishidan keyin ishdan bo'shatishgacha bo'lgan jiddiy sanktsiyalar bilan ta'minlanishiga tayyor bo'lishi kerak Himoya qilinishi kerak bo'lgan asosiy ob'ektlar: Download 382.25 Kb. Do'stlaringiz bilan baham: 
|