Internet nima uchun kerak va uning qanday foydalari bor?
Download 278.94 Kb.
|
axborot xavfsizlik
Maxfiylik[tahrir | manbasini tahrirlash]
Axborotning maxfiyligiga minimal zarur xabardorlik (inglizcha: need-to-know) tamoyiliga asoslanib, unga eng kam imtiyozlar bilan ruxsat berish orqali erishiladi. Boshqacha qilib aytganda, vakolatli shaxs faqat yuqorida aytib o‘tilgan shaxsiy daxlsizlikka qarshi jinoyatlar, masalan, shaxsni o‘g‘irlash, shaxsiy hayotning buzilishi kabi o‘z xizmat vazifalarini bajarishi uchun zarur bo‘lgan ma’lumotlarga ega bo‘lishi talab etiladi. Maxfiylikni ta’minlashning eng muhim chora-tadbirlaridan biri ma’lumotlarni qat’iy maxfiy yoki ommaviy, shuningdek, ichki foydalanish uchun mo‘ljallangan ma’lumotlarni tasniflash imkonini beradi. Axborotni shifrlash konfidensiallikni ta’minlash vositalaridan birining tipik namunasidir [56]. Yaxlitlik[tahrir | manbasini tahrirlash] Tashkilotda operatsiyalarni aniq amalga oshirish yoki to‘g‘ri qarorlarni qabul qilish faqat fayllar, ma’lumotlar bazalari yoki tizimlarda saqlanadigan yoki kompyuter tarmoqlari orqali uzatiladigan ishonchli ma’lumotlar asosidagina mumkin. Boshqacha qilib aytganda, ma’lumot dastlabki holatiga nisbatan qasddan, ruxsatsiz yoki tasodifiy o‘zgarishlardan, shuningdek saqlash, uzatish yoki qayta ishlash jarayonida har qanday buzilishlardan himoyalangan bo‘lishi lozim. Biroq, uning yaxlitligiga kompyuter viruslari va mantiqiy bombalar, dasturlash xatolari va zararli kod o‘zgarishlari, ma’lumotlarni soxtalashtirish, ruxsatsiz kirish, orqa eshiklar va boshqalar tahdid solmoqda. Qasddan qilingan harakatlarga qo‘shimcha ravishda, ko‘p hollarda nozik ma’lumotlarga ruxsatsiz o‘zgartirishlar texnik nosozliklar nazorat yoki professional tayyorgarlikning etishmasligi tufayli inson xatosidan kelib chiqadi. Masalan, yaxlitlikning buzilishi fayllarni tasodifiy o‘chirish, noto‘g‘ri qiymatlarni kiritish, sozlamalarni o‘zgartirish, oddiy foydalanuvchilar va tizim ma’murlari tomonidan noto‘g‘ri buyruqlarni bajarish kabi xatolarga olib keladi[56][57]. Axborotning yaxlitligini himoya qilish uchun axborot va uni qayta ishlash tizimlaridagi o‘zgarishlarni nazorat qilish va boshqarish bo‘yicha turli xil choralarni qo‘llash lozim. Bunday chora-tadbirlarning odatiy misoli faqat o‘z xizmat vazifalarini bajarish uchun bunday ruxsatga muhtoj bo‘lganlarni o‘zgartirish huquqiga ega bo‘lgan shaxslar doirasini cheklashdir. Shu bilan birga, hokimiyatlarning bo‘linishi tamoyiliga rioya qilish kerak. Unga ko‘ra ma’lumotlar yoki axborot tizimiga bir shaxs tomonidan o‘zgartirishlar kiritiladi, boshqa shaxs esa ularni tasdiqlaydi yoki rad etadi. Bundan tashqari, axborot tizimlarining hayotiy siklidagi har qanday o‘zgarishlar izchil bo‘lishi, axborot yaxlitligini ta’minlash uchun sinovdan o‘tkazilishi va tizimga faqat to‘g‘ri tuzilgan tranzaksiyalar orqali kiritilishi lozim. Dasturiy ta’minotni yangilash xavfsiz tarzda amalga oshirilishi kerak. O‘zgarishlarga olib keladigan har qanday harakatlar jurnalga yozilishi talab etiladi. „Rad etmaslik“ atamasi (inglizcha: Non-Repudiation, ba’zan birgalikda Nonrepudiation tarzida ishlatiladi) birinchi marta 1988–yilda „Ochiq tizimlar o‘zaro aloqasi xavfsizligi“ (ISO 7498-2) xalqaro standartida paydo bo‘lgan. Odatda anglo-sakson qonunining ikki asosiy talqinga ega bo‘lgan ,,rad etish” atamasiga qarama-qarshi ma’noda tushuniladi. Bunda masalan, qog‘oz hujjatdagi imzo soxta bo‘lsa yoki asl imzo noqonuniy (firibgarlik yo‘li bilan) ravishda olingan bo‘lsa, qonuniy asosdagi bitim bo‘yicha majburiyatlarni bajarishni rad etish tushunchasi taraflarning asosiy huquqini anglatadi [59]. Shu bilan birga, imzoning haqiqiyligini isbotlash yuki unga tayangan tomon zimmasiga tushadi [60]. Boshqa bir talqin – majburiyatlardan nohaq voz kechish. Kompyuter xavfsizligi nuqtai nazaridan, bu, masalan, tomonlardan birining elektron xabarni jo‘natish, qabul qilish, mualliflik qilish yoki mazmunini rad etishi bo‘lishi mumkin. Axborot xavfsizligi kontekstida „rad etmaslik“ deyilganda ma’lumotlarning yaxlitligi va asl kelib chiqishini tasdiqlash tushuniladi, soxtalashtirish ehtimoli bundan mustasno. Uchinchi shaxslar tomonidan istalgan vaqtda tasdiqlanishi yoki identifikatsiya natijasida uni yuqori darajadagi ishonchlilik bilan haqiqiy deb hisoblash mumkin va uni rad etib bo‘lmaydi. „Axborot xavfsizligi“ tushunchasining qamrovi (tadbiq etilishi) Axborot xavfsizligi tavsifiga tizimli yondashish axborot xavfsizligining quyidagi tarkibiy qismlarini ajratib ko‘rsatishni taklif qiladi. Ishning oxirgi bosqichidan ko‘rinib turibdiki, ATga texnik xizmat ko‘rsatish tizimini joriy etish jarayoni uzluksiz va siklik ravishda (har bir qayta ko‘rib chiqilgandan so‘ng) birinchi bosqichga qaytadi va qolganlarini ketma-ket takrorlaydi. Axborotni muhofaza qilish va doimiy yangilanib turadigan axborot tizimining yangi talablariga javob berish vazifalarini samarali bajarish uchun ATga texnik xizmat ko‘rsatish tizimi shunday sozlanadi. Tashkiliy, texnik va dasturiy chora-tadbirlar hamda usullar[tahrir | manbasini tahrirlash] Muayyan axborot tizimining axborotni himoya qilish texnologiyasini tavsiflash uchun odatda axborot xavfsizligi siyosati yoki ko‘rib chiqilayotgan axborot tizimining xavfsizlik siyosati yaratiladi. Tashkiliy xavfsizlik siyosati (inglizcha: Organizational security policy) – tashkilot faoliyatida axborot xavfsizligi sohasidagi hujjatlashtirilgan qoidalar, tartiblar, amaliyotlar yoki ko‘rsatmalar to‘plami. Axborot va telekommunikatsiya texnologiyalari xavfsizligi siyosati (inglizcha: ІСТ security policy) – tashkilot va uning axborot va telekommunikatsiya texnologiyalari ichida aktivlarni, shu jumladan muhim ma’lumotlarni boshqarish, himoya qilish va tarqatish usullarini belgilaydigan qoidalar, ko‘rsatmalar, o‘rnatilgan amaliyotlar. Axborot xavfsizligi siyosatini shakllantirishda axborot tizimini himoya qilishning quyidagi yo‘nalishlarini alohida ko‘rib chiqish tavsiya etiladi [61]: Axborot tizimi ob’ektlarini himoya qilish; Jarayonlar, protseduralar va axborotni qayta ishlash dasturlarini himoya qilish; Aloqa kanallari (akustik, infraqizil, simli, radiokanallar va boshqalar)ni himoya qilish, shu jumladan mahalliy tarmoqlarda axborotni himoya qilish; Yon elektromagnit nurlanishni bostirish; Himoya tizimini boshqarish. Shu bilan birga, yuqoridagi sohalarning har biri uchun axborotni himoya qilish vositalarini yaratishda axborot xavfsizligi siyosati quyidagi bosqichlarni tavsiflashi talab etiladi: Himoya qilinadigan axborot va texnik resurslarni belgilash; Potensial tahdidlarning to‘liq to‘plami va ma’lumotlarning sizib chiqish kanallarini aniqlash; Turli xil tahdidlar va sizib chiqish kanallari mavjud bo‘lganda ma’lumotlarning zaiflik darajasi va xavflarini baholashni o‘tkazish; Himoya tizimiga qo‘yiladigan talablarni aniqlash; Axborot xavfsizligi vositalari va ularning xususiyatlarini tanlashni amalga oshirish; Tanlangan himoya choralari, usullari va vositalarini amalga oshirish va ulardan foydalanishni tashkil etish; Butunlikni nazorat qilish va himoya qilish tizimini boshqarishni amalga oshirish. Axborot xavfsizligi siyosati axborot tizimiga qo‘yiladigan hujjatlashtirilgan talablar shaklida tuziladi. Hujjatlar, odatda, himoya jarayonining tavsifi (tafsiloti) darajalariga ko‘ra darajalarga bo‘linadi. Axborot xavfsizligi siyosatining yuqori darajadagi hujjatlari tashkilotning axborot xavfsizligi sohasidagi faoliyatiga nisbatan pozitsiyasini, ushbu sohadagi davlat, xalqaro talablar va standartlarga rioya qilish istagini aks ettiradi. Bunday hujjatlar „AT kontseptsiyasi“, „AT boshqaruvi reglamenti“, „AT siyosati“, „AT texnik standarti“ va boshqa tashqi va ichki foydalanish deb nomlanishi mumkin. GOST R ISO/IEC 17799-2005ga muvofiq, axborot xavfsizligi siyosatining yuqori darajasida quyidagi hujjatlar tuzilishi kerak: „AT xavfsizligi kontseptsiyasi“, „Axborot tizimi resurslaridan maqbul foydalanish qoidalari“, „Biznesning uzluksizlik rejasi“. O‘rta darajaga axborot xavfsizligining ayrim jihatlari bilan bog‘liq hujjatlar kiradi. Bu axborot xavfsizligi vositalarini yaratish va ulardan foydalanish, shuningdek, axborot xavfsizligining ma’lum bir sohasida tashkilotning axborot va biznes jarayonlarini tashkil etish talablaridir. Bunga misol qilib ma’lumotlar xavfsizligi, aloqa xavfsizligi, kriptografik himoya vositalaridan foydalanish, kontentni filtrlash va boshqalarni keltirish mumkin. Bunday hujjatlar odatda tashkilotning ichki texnik va tashkiliy siyosati (standartlari) shaklida nashr etiladi. O‘rta darajadagi axborot xavfsizligi siyosatining barcha hujjatlari maxfiy hisoblanadi. Quyi darajadagi axborot xavfsizligi siyosati mehnat qoidalari, ma’muriy qo‘llanmalar, shaxsiy axborot xavfsizligi xizmatlaridan foydalanish bo‘yicha ko‘rsatmalarni o‘z ichiga oladi. Axborot xavfsizligi tizimining dasturiy va texnik vositalari Korxonaning axborot xavfsizligi Korxona axborot xavfsizligi – bu uning maxfiyligi, yaxlitligi, haqiqiyligi va mavjudligini ta’minlaydigan korporativ ma’lumotlar xavfsizligi holati. Korxona axborot xavfsizligi tizimlarining vazifalari har xil: ommaviy axborot vositalarida ma’lumotlarning xavfsiz saqlanishini ta’minlash; aloqa kanallari orqali uzatiladigan ma’lumotlarni himoya qilish; zaxira nusxalari, falokatlarni tiklash va boshqalar. Korxonaning axborot xavfsizligini ta’minlash faqat himoyaga tizimli va kompleks yondashuv orqali amalga oshiriladi va UPS ma’lumotlar xavfsizligiga ta’sir qiluvchi va yil davomida amalga oshiriladigan barcha muhim voqealar va shartlarning doimiy to‘liq monitoringini o‘z ichiga oladi [64]. Korxonaning axborot xavfsizligiga korporativ ma’lumotlarni himoya qilishga qaratilgan tashkiliy va texnik chora-tadbirlarning butun majmuasi orqali erishiladi. Tashkiliy chora-tadbirlarga har xil turdagi axborotlar, AT xizmatlari, xavfsizlik vositalari va boshqalar bilan ishlash bo‘yicha hujjatlashtirilgan tartib va qoidalar kiradi. Texnik chora-tadbirlarga apparat va dasturiy ta’minotdan foydalanishni nazorat qilish, oqish monitoringi, virusga qarshi himoya, xavfsizlik devori, elektromagnit nurlanishdan himoya qilish va boshqalar kiradi [65]. Axborot xavfsizligini ta’minlash doimiy jarayon bo‘lib, besh asosiy bosqichni o‘z ichiga oladi: xarajatlar smetasi; xavfsizlik siyosatini ishlab chiqish; siyosatni amalga oshirish; mutaxassislarni malakali tayyorlash; audit.Axborot xavfsizligini ta’minlash jarayoni mulkni baholashdan, tashkilotning axborot aktivlarini, ushbu ma’lumotlarga tahdid soluvchi omillarni va uning zaifligini, tashkilot uchun umumiy xavfning ahamiyatini aniqlashdan boshlanadi. Mulkga qarab, ushbu aktivlarni himoya qilish dasturi tuziladi. Xavf aniqlangan va miqdori ochiqlangandan so‘ng ushbu xavfni kamaytirishning iqtisodiy jihatdan samarali qarshi choralari tanlanishi mumkin. Axborot xavfsizligini baholashning maqsadlari: axborot aktivlarining qiymatini aniqlash; ushbu aktivlarning maxfiyligi, yaxlitligi, mavjudligi va/yoki identifikatsiya qilinishiga tahdidlarni aniqlash; tashkilotning amaliy faoliyatidagi mavjud nnuqsonlarni aniqlash; tashkilotning axborot aktivlari bilan bog‘liq risklarini aniqlash; mavjud ish amaliyotida xavflar hajmini maqbul darajada kamaytiradigan o‘zgarishlarni taklif qilish; xavfsizlik loyihasini yaratish uchun asos yaratish. Baholashning beshta asosiy turi: Tizim darajasida zaifliklarni baholash. Kompyuter tizimlari ma’lum zaifliklar va oddiy muvofiqlik siyosatlari uchun tekshiriladi. Tarmoq darajasida baholash. Mavjud kompyuter tarmog‘i va axborot infratuzilmasi baholanadi, xavf zonalari aniqlanadi. Tashkilot ichidagi xavflarni umumiy baholash. Uning axborot aktivlariga tahdidlarni aniqlash uchun butun tashkilot tahlil qilinadi. Audit. Tashkilotning mavjud siyosati va ushbu siyosatga muvofiqligi tekshiriladi. Penetratsiya testi. Tashkilotning simulyatsiya qilingan kirishga javob berish qobiliyati o‘rganiladi. Baholash jarayonida quyidagi hujjatlar tekshirilishi lozim: Xavfsizlik siyosati; axborot siyosati; zaxira siyosati va protseduralari; ishchining ma’lumotnomasi yoki ko‘rsatmalari; ishchilarni yollash va ishdan bo‘shatish tartibi; dasturiy ta’minotni ishlab chiqish metodologiyasi; dasturiy ta’minotni o‘zgartirish metodologiyasi; telekommunikatsiya siyosati; tarmoq diagrammalari. Yuqoridagi siyosat va protseduralar amalga oshirilgandan so‘ng, har birining tegishliligi, qonuniyligi, to‘liqligi va dolzarbligi tekshiriladi, chunki siyosat va protseduralar hujjatda belgilangan maqsadga muvofiq bo‘lishi kerak. Baholashdan so‘ng kutilayotgan xavfsizlik holati va zarur ishlar ro‘yxatini belgilaydigan siyosat va tartiblarni ishlab chiqish lozim. Chunki, hech qanday siyosat bo‘lmasa, tashkilot samarali UPS dasturini ishlab chiqadigan va amalga oshiradigan reja ham bo‘lmaydi. Axborot xafsizligini ta’minlashda quyidagi siyosat va tartiblarni ishlab chiqish lozim: Download 278.94 Kb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling