R. H. Kushatov axborot xavfsizligi va intellektual mulkka kirishni boshqarish

-Mavzu Axborot xavfsizligi va ruxsatsiz kirish (RK) bo‘yicha qo‘llanma hujjatlariga talab

Bu sahifa navigatsiya:

• 9.1. AXni taminlash bo‘yicha asosiy qoidalar

9-Mavzu Axborot xavfsizligi va ruxsatsiz kirish (RK) bo‘yicha qo‘llanma hujjatlariga talab 9.1. IBni ta'minlashning asosiy qoidalari 9.2. Kompyuter texnologiyalari vositalarini himoya qilish ko‘rsatkichlari 9.3. Avtomatlashtirilgan tizimlarni himoya qilish sinflari 9.1. AXni ta'minlash bo‘yicha asosiy qoidalar O‘zbekiston Prezidenti huzuridagi Davlat texnik komissiyasi (DTK) ma'lumotlarning buzilishidan himoya qilish bilan bog‘liq bir qator boshqaruv hujjatlarini e'lon qildi: 1. O‘zbekistonning davlat texnik komissiyasi. Yo‘riqnoma. Axborotga ruxsatsiz kirishdan himoya qilish. Terminlar va ta'riflar. M.: 1997-yil 2. O‘zbekiston davlat texnik komissiyasi. Yo‘riqnoma. Hisoblash uskunalari va avtomatlashtirilgan tizimlarni axborotga ruxsatsiz kirishdan himoya qilish tushunchasi. M.: 1997-yil 3. O‘zbekiston davlat texnik komissiyasi. Yo‘riqnoma. Avtomatlashtirilgan tizimlar. Axborotga ruxsatsiz kirishdan himoya qilish. Avtomatlashtirilgan tizimlarning tasnifi va axborotni muhofaza qilish talablari. M.: 1997-yil 4. O‘zbekiston davlat texnik komissiyasi. Yo‘riqnoma. Kompyuter texnologiyalari vositalari. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan himoya qilish ko‘rsatkichlari. M.: 1997-yil. 5. O‘zbekiston davlat texnik komissiyasi. Yo‘riqnoma. Davlatlararo ekranlar. Axborotga ruxsatsiz kirishdan himoya qilish. M.: 1997-yil. 6. O‘zbekistonning davlat texnik komissiyasi. Yo‘riqnoma. Axborotni avtomatlashtirilgan tizimlar va kompyuter texnologiyalari vositalariga ruxsatsiz kirishdan himoya qilishning dasturiy ta'minot va apparat vositalarini ishlab chiqish, ishlab chiqarish va ishlashni tashkil etish bo‘yicha vaqtinchalik pozitsiya. M.: 1997-yil. Kontseptsiya quyidagi asosiy pozitsiyalarni belgilaydi: Ruxsatsiz kirish ta'rifi Muhofazaning asosiy prinsiplari As model inspektori Rk ning asosiy ta'sirlari Rk dan himoya qilishning asosiy yo‘nalishlari Rk texnika muhofazalarining asosiy xususiyatlari At tariflari Muhofaza qilish uchun tashkilot Ushbu konsepsiya XTT va AT mijozlari, ishlab chiquvchilari va foydalanuvchilari uchun mo‘ljallangan bo‘lib, ular kerakli ma'lumotlarni muhofaza qilish, saqlash va uzatish uchun ishlatiladi. U quyidagi vazifalarni hal qilishga qaratilgan normativ-texnik va uslubiy hujjatlar bazasidan iborat: ✓ ma'lumot uchun RK dan XTT va AT himoya qilish uchun da'volarni qayta ishlash; ✓ himoyalangan XTT va AT ni yaratish, ✓ himoyalangan XTT va AC sertifikatlash. Konsepsiya mavjudlikni nazarda tutadi Axborotni RKdan himoya qilish muammosidagi ikkita nisbatan mustaqil yo‘nalish. Bu XTT bilan bog‘liq yo‘nalish va AT bilan bog‘liq yo‘nalish. Farqi shundaki, XTTlar ishlab chiqilib, bozorga elementlar sifatida yetkazib beriladi, ulardan eng funksional yo‘naltirilgan AT quriladi va shuning uchun qo‘llaniladigan vazifani hal qilmasdan, XTT ma'lumotlarga ega emas. Shu bilan birga, XTTni himoya qilish potentsial himoya, t. e. ASSda XTT dan foydalanishda qo‘shimcha ma'lumotni RKni oldini olish yoki sezilarli darajada murakkablashtiradigan xususiyat. ATni yaratishda foydalanuvchi ma'lumotlari sifatida foydalanuvchining XTT xususiyatlarini ishlab chiqishda foydalanuvchining avtoriteti, qoidabuzarning modeli, axborotni qayta ishlash texnologiyasi kabi ba'zi kamchiliklar mavjud. 1. RK ta'rifi RK XTT yoki AT tomonidan taqdim etilgan xodimlardan foydalangan holda, kirish cheklovlari qoidalarini buzadigan ma'lumotlarga kirish sifatida tavsiflanadi. Kunduzgi ish vositasi XTT yoki AT dasturiy ta'minot va texnik ko‘mak deganidir. 2. MUHOFAZANING ASOSIY PRINSIPLARI XTT va ATni muhofaza qilish RKni axborotdan himoya qilish bo‘yicha amaldagi qonunlar, standartlar va normativ-uslubiy hujjatlar qoidalari va talablariga asoslanadi. XTT himoyasi dasturiy ta'minot va apparat vositalari kompleksi tomonidan ta'minlanadi. AT himoyasi ularning tashkiliy o‘lchovlarini qo‘llab-quvvatlovchi dasturiy ta'minot va kompleks vositalari tomonidan ta'minlanadi. ATni muhofaza qilish barcha texnologik bosqichlarda va ishlashning barcha rejimlarida, shu jumladan ta'mirlash va tartibga solish ishlarini bajarishda ma'lumotlarni qayta ishlashni ta'minlashi kerak. Dasturiy ta'minotni muhofaza qilish AT-ning asosiy funksional xususiyatlarini (ishonchliligi, tezligi, AT-ning konfiguratsiyasini o‘zgartirish qobiliyati) sezilarli darajada yaxshilashi shart emas. Himoyalash bo‘yicha ishlarning noaniq qismi bu himoya vositalarining samaradorligini baholash bo‘lib, u metodikaga muvofiq amalga oshiriladi, bu baholanayotgan obyektning texnik xususiyatlarini, shu jumladan texnik xususiyatlarini barcha egallashlarini o‘rgatadi. AS himoyasi RK himoyasi samaradorligi ustidan nazoratni ta'minlashi kerak. (davriy yoki zarur darajada). 3. Avtomat tizimni (AT) Buzuvchi sifatida subyekt AT tarkibida AT va XTT xodimlari bilan ishlashga kirish huquqiga ega deb hisoblanadi. Qonunbuzarlar AT va XTT xodimlari tomonidan taqdim etilgan imkoniyatlar darajasiga qarab tasniflanadi. Ushbu imkoniyatlarning to‘rtta darajasi mavjud. Har bir keyingi daraja o‘zidan avvalgisining funksional imkoniyatlarini o‘z ichiga oladi. ✓ Birinchi daraja - bu ma'lumotni qayta ishlashda oldindan belgilangan funksiyalarni bajaradigan sobit to‘plamdan vazifani (dasturni) boshlashdir. ✓ Ikkinchi daraja - bu axborotni qayta ishlashning yangi funksiyalari bilan o‘z dasturlarini yaratish va ishga tushirish qobiliyatidir. ✓ Uchinchi daraja - AT funksiyasini boshqarish qobiliyati, tizimning asosiy dasturiy ta'minotiga va uning jihozlarining tarkibi va konfiguratsiyasiga javob. ✓ To‘rtinchi daraja - shaxsning barcha imkoniyatlari, ATning texnik vositalarini loyihalash, tatbiq etish va ta'mirlash, shu jumladan XTT tarkibiga yangi funksiyalarga ega bo‘lgan o‘z texnik vositalarini kiritish. Ma `lumot. Uning darajasida buzuvchi yuqori malakali mutaxassis bo‘lib, AC va, xususan, tizim va uni himoya qilish vositalari haqida hamma narsani biladi. 4. RK ning asosiy usullari RK ning asosiy xususiyatlari: • kirish obyektlariga to‘g‘rida to‘g‘ri kirish; • muhofazani chetlab o‘tishda obyektlarga kirishni amalga oshiradigan dasturiy va texnik vositalarni yaratish; • RKni amalga oshirishga imkon beradigan himoya vositalarini o‘zgartirish; • XTT yoki AT ning taklif qilingan tuzilishi va funksiyalarini buzadigan va RKga yo‘l qo‘yadigan XTT yoki AT dasturiy ta'minotini yoki texnik mexanizmlarini joriy etish. 5. RK dan himoya qilishning asosiy yo‘nalishlari XTT va AT xavfsizligi ta'minlanadi: • obyektlarga kirishni cheklash tizimi (KCHT); • SRD uchun mablag 'ajratish. KCHT ning asosiy funksiyalari: • kirish chegaralarini (KCH) amalga oshirish mavzular va ularning hozirgi kungacha bo‘lgan jarayonlari; • bosma nusxalarni yaratish qurilmalarida KCHT mavzularini va ularning jarayonlarini amalga oshirish; • subyekt manfaati uchun amalga oshiriladigan jarayon dasturini boshqa subyektlardan ajratish; • javob bermaydigan ommaviy axborot vositalarida ma'lumotlarni yozib olishning oldini olish maqsadida ma'lumotlar oqimini boshqarish; • Tarmoq prinsiplari asosida yaratilgan ma'lumotlar bazalari o‘rtasida AT va SWT uchun almashish qoidalarini amalga oshirish. KCHT uchun vositalarni taqdim etish quyidagi funksiyalarni bajaradi: • subyektlarni aniqlash va tanib olish (autentifikatsiya qilish) va subyekt tomonidan amalga oshiriladigan jarayon uchun subyektning majburiyligini qo‘llab-quvvatlash; • subyektning harakatlarini va uning jarayonini ro‘yxatdan o‘tkazish; • istisnolar va qo‘shimchalar uchun imkoniyatlar yaratish yangi mavzular va kirish obyektlari, shuningdek vakolatli subektlarning o‘zgarishi; • RK urinishlariga reaktsiya, masalan, signal berish, blokirovka qilish, RKdan keyin tiklash; • sinov; • foydalanuvchining himoyalangan ma'lumotlar bilan ishlashi tugagandan so‘ng magnit tashuvchida operativ xotirani va ish joylarini tozalash; • AT-dagi bosma va bosma shakllar va bosma nusxalarni hisobga olish; • KCHT kabi dasturiy ta'minot va axborot qismlari hamda uning vositalarining yaxlitligini nazorat qilish. KCHT bilan bog‘liq manbalar, shuningdek, uning resurslari, kirish vositalariga kiritilgan. RKni amalga oshirish usullari XTT va AT ning o‘ziga xos xususiyatlariga bog‘liq. Mumkin bo‘lgan variantlar: • dasturiy-texnik kompleksda lokalizatsiya qilingan tarqatilgan KCHT va KCHT (yadro himoyasi); • operatsion tizim, SBMS yoki dasturiy ta'minot ichidagi KCHT; • tarmoq aloqalarini amalga oshirishda yoki dasturlar darajasida KCHT; • kriptografik transformatsiyalardan yoki kirishni bilvosita boshqarish usullaridan foydalanish; • KCHT dasturiy ta'minoti va (yoki) texnik jihatdan amalga oshirilishi. 6. RK TEXNIKA MUHOFAZALARINING ASOSIY XUSUSIYATLARI • KCHni to‘liq qamrab olish darajasi KCHTda amalga oshiriladi (KCHTda keskin qarama-qarshi bo‘lmagan va'dalar mavjudligi, kirish obyektlariga kirish qoidalari va ularni ishonchli identifikatsiya qilish choralari bo‘yicha baholanadi, shuningdek intizom kamsitilgan; • KCHT uchun vositalarning tarkibi va sifati (subyektlarni aniqlash va tan olish vositalarini va ulardan foydalanish tartibini, subyektlarning harakatlarini to‘liq hisobga olish va uning jarayonini qo‘llab-quvvatlash vositalarini hisobga olish); • RK va obespeçïvayuşçïx ee Tools-ning ishlashi (usullari va prodecrovanïya RK bo‘yicha obenetsiya) va obespeçïvayuşçïx ee Tools (formalnaya va norasmiy tekshirish) RK va podstvaw podstvaw podstva, RK urinishlari, tarqatishni boshqarish, ishlash bosqichida sinov o‘tkazish imkoniyati). Baholangan AT yoki XTT hujjatlashtirilgan. Hujjatlarda himoya mexanizmlaridan foydalanish va himoya fondlarini boshqarish bo‘yicha foydalanuvchi ko‘rsatmasi mavjud 7. AT klassifikatsiyasi AT ning asosiy tasnifi obyektlar va himoya qilish sub'ektlarining quyidagi xususiyatlarini hamda ularning o‘zaro ta'sir vositalarini o‘z ichiga oladi: • axborot - ma'lumotlarning qiymatini, uning hajmini va maxfiylik darajasini (shtampini), shuningdek ma'lumotlarning buzilishi (yo‘qolishi) sababli AT ning noto‘g‘ri ishlashining mumkin bo‘lgan oqibatlarini aniqlash; • tashkiliy - foydalanuvchilar vakolatlarini aniqlash; • texnologik - axborotni qayta ishlash shartlarini aniqlash, masalan, ishlov berish usullari (avtonom, multiprogrammatik va boshqalar), muomalaga chiqish vaqti (tranzit, saqlash va boshqalar), AT turi (avtonom, tarmoq, tarmoq va boshqalar). 8. MUHOFAZA QILISH UCHUN TASHKILOT XTT va ATni RK-dan ma'lumotlarga qadar himoya qilish bo‘yicha ishlarni tashkil etish - axborot xavfsizligi bo‘yicha ishlarni umumiy tashkil etishning bir qismi. Xavfsizlikni muhofaza qilish XTT va AT tomonidan ishlab chiqilgan, mijoz tomonidan ishlab chiqilgan va Tuzuvchi bilan kelishilgan himoya talablariga asoslanadi. Talablar kerakli darajadagi XTT yoki AT himoya darajasi yoki tegishli talablar darajasi shaklida o‘rnatiladi. Himoyalashga qo‘yiladigan talablar Tuzuvchi tomonidan himoya vositalari kompleksi (KSZ) shaklida taqdim etiladi. AT uchun tashkiliy tadbirlar Buyurtmachi tomonidan amalga oshiriladi. KSZni rivojlantirish uchun javobgarlik XTT yoki AT bosh dizayneriga yuklangan. Himoyalash bo‘yicha texnik talablarning bajarilishini tekshirish imtihonlar jarayonida boshqa texnik talablar bilan bir xil tarzda amalga oshiriladi. Muvaffaqiyatli imtihonlarning natijalari bo‘yicha XTT yoki AT talablariga muvofiqligini tasdiqlovchi hujjat (sertifikat) beriladi va ularni himoya qilish sifatida ishlab chiquvchiga ulardan foydalanish va yoki tarqatish huquqini beradi. Himoyalash bo‘yicha tadbirlarni ishlab chiqish XTT va ATni ishlab chiqish bilan bir vaqtda amalga oshiriladi va XTT va ATni rivojlantirish uchun ajratilgan moliyaviy va moddiy-texnik vositalar hisobidan amalga oshiriladi. Ushbu hujjatlar nuqtayi nazaridan asosiy va ehtimol yagona vazifa xavfsizlik emas - bu ma'lumotlarga ruxsatsiz kirishdan (RK) himoya qilishdir. Nazorat qilish, yaxlitlikni ta'minlash va ishni qo‘llab-quvvatlash vositalariga kam e'tibor beriladi. (Ya'ni, asosiy e'tibor beriladi, ya'ni nima qilish kerak va qanday qilish kerak - ishlab chiquvchining vazifasi). Shunday qilib, ta'kidlanganidek, GTC yo‘riqnomalarida xavfsizlik mezonlarining ikki guruhi - kompyuter uskunalarini (XTT) RK dan himoya qilish ko‘rsatkichlari va avtomatlashtirilgan tizimlarni himoya qilish mezonlari (AT) mavjud. Birinchi guruh VS komponentlarini iste'molchiga alohida etkazib beriladigan himoya darajasini (faqat bitta turdagi nisbiy tahdid - RK) baholashga imkon beradi, ikkinchisi esa to‘liq xususiyatli axborotni qayta ishlash tizimlarida hisoblanadi. Ma'ruzaning keyingi savollarida ushbu savollar ko‘rib chiqiladi. Download 0.72 Mb. Do'stlaringiz bilan baham: