Режа: Ахборот тизимларининг хавфсизлигига қўйиладиган талаблар ва хавфсизлик талабларини таҳлил қилиш ва спецификациялаш


Download 36.58 Kb.
bet4/6
Sana28.12.2022
Hajmi36.58 Kb.
#1012865
1   2   3   4   5   6
Bog'liq
6-маъруза

Тизим файлларининг хавфсизлиги
Мақсад: тизим файлларининг хавфсизлигини таъминлаш.
Тизим файллари ва дастурларнинг бошланғич кодларидан фойдаланишни бошқариш керак, ахборот тизимларини лойиҳалаштириш ва уларни техник кузатишни хавфсиз усулда бажариш керак. Тестдан ўтказишда берк маълумотларнинг ошкор этилишига йўл қўймаслик учун эҳтиёткорликка риоя қилиш керак.
Саноатга оид эксплуатацияга дастурий таъминотни жорий этиш жараёнини бошқариш тартибини жорий этиш керак.
Саноатга оид эксплуатациядаги мавжуд тизимларнинг шикастланишини минимумга келтириш учун қуйидаги тавсияларни кўриб чиқиш мақсадга мувофиқ бўлади:
а) дастурларнинг ишчи кутубхоналарини янгилашни фақат тайинланган мутахассис - мажбуриятлари раҳбарият томонидан тегишли равишда авторизация қилинган кутубхоначи бажариши керак (12.4.3);
b) саноатда эксплуатация қилинадиган тизимлар фақат бажарилиши мумкин бўлган дастурий кодларга эга бўлиши керак ва ишлаб чиқиш кодига ёки компиляторларга эга бўлмаслиги керак;
с) иловалар ва операцион тизимларнинг дастурий таъминотларини фақат ҳар томонлама муваффақиятли синовлардан сўнг саноатга оид эксплуатацияга жорий этиш керак; ушбу синовларга амалийлиги, хавфсизлиги, бошқа тизимларга таъсири ва эксплуатация қилиниши осонлигини текшириш учун тестларни киритиш керак, уларни алоҳида тизимларда (10.1.4) бажариш керак; дастурлар кутубхоналарининг барча тегишли бошланғич матнларини янгилаш керак;
d) барча жорий этилган дастурий таъминотларни, шунингдек, тизим ҳужжатларини бошқаришни таъминлаш учун конфигурацияларни бошқариш тизимидан фойдаланиш керак;
e) ўзгаришларни жорий этишдан олдин бошланғич ҳолатга қайтиш стратегиясининг мавжудлиги таъминланиши керак;
f) саноатга оид эксплуатацияда бўлган дастурлар кутубхоналарининг барча янгиланишлари аудит журналида рўйхатга олиниши зарур;
g) кутилмаган вазиятлар юзага келган ҳолларда тизимни тиклаш учун дастурий таъминотнинг олдинги версиялари сақланиши зарур;
h) дастурий таъминотнинг эски версияларини архивлаштириш ва барча талаб қилинган ахборот ва параметрлар, процедуралар, конфигурациянинг тафсилотлари ва ёрдамчи дастурий таъминот билан бирга сақлаш керак.
Саноатга оид эксплуатацияда ишлатиладиган дастурий таъминот ишлаб чиқувчи томонидан белгиланган даражада сақлаб турилиши зарур. Маълум бир вақт ўтганидан сўнг, дастурий таъминотни ишлаб чиқувчилар дастурий таъминотнинг эски версияларини сақламай қўядилар. Ташкилот қўллаб-қувватланмайдиган дастурий таъминотга боғлиқ хавфларни кўриб чиқиши керак.
Кейинги версияга ўтишда унинг хавфсизлигини эътиборга олиш керак: хавфсизликнинг янги функцияларини қўшиш ёки ушбу версияда хавфсизликни таъминлшга тегишли муаммоларнинг мавжудлиги. Агар дастурий ямоқлар хавфсизлик таҳдидларини йўқотиш ёки камайтириши мумкин бўлса, улардан фойдаланиш мақсадга мувофиқ бўлади (12.6.1).
Жисмоний ёки мантиқий фойдаланиш етказиб берувчилар (ишлаб чиқувчилар)га, заруратга кўра, раҳбарларнинг рухсати бўлгандагина, фақат дастурий таъминотни сақлаб туриш учун тақдим этилади. Бунда етказиб берувчи (ишлаб чиқувчи)нинг хатти-ҳаракатлари назорат қилиниши керак.
Ташкилот дастурий таъминотининг хавфсизлиги ташкилот хавфсизлигидаги заифликларни активлаштиришга қодир рухсатсиз ўзгаришларнинг мустасно қилиш учун кузатиб борилиши ва бошқарилиши керак бўлган, ташқаридан етказиб бериладиган дастурий таъминотга ва модулларга боғлиқ бўлиши мумкин.
Операцион тизимлар фақат талабга кўра модернизация қилиниши керак, масалан, агар операцион тизимнинг кундалик версияси бизнес талабларига бошқа жавоб бермаса. Модернизация қилиш фақатгина операцион тизимнинг янги версиясидан фойдаланиш мумкин бўлганлиги учун жоиз бўлмаслиги керак. Операцион тизимларнинг янги версиялари амалдаги тизимларга қараганда камроқ хавфсизроқ, камроқ барқарорроқ ва камроқ тушунарлироқ бўлиши мумкин.
Тест маълумотларини синчиклаб танлаш ва муҳофаза қилиш, шунингдек, уларни бошқариш керак.
Саноатда ишлатиладиган ва шахсий маълумотларга эга бўлган маълумотлар базасидан фойдаланишдан қочиш керак. Агар шахсий ёки бошқа конфиденциал ахборотдан тестдан ўтказиш мақсадлари учун фойдаланилса, талаб этилса, барча конфиденциал элементлар ва унинг ичидагилар фойдаланишдан олдин йўқ қилиниши ёки билиб бўлмайдиган даражада ўзгартирилиши керак. Тестдан ўтказишда операцион тизим маълумотларини муҳофаза қилиш учун қуйидаги тавсияларни бажариш керак:
а) ишчи амалий тизимларда қўлланадиган фойдаланишни бошқариш процедураларини тестдан ўтказиладиган амалий тизимлар учун ҳам қўллаш керак;
b) ишчи ахборотдан тестдан ўтказадиган амалий тизимга ҳар гал нусха кўчирилганда ушбу амалларни авторизация қилиш назарда тутилиши керак;
c) тестдан ўтказиш тугатилганидан сўнг, ишчи ахборотни тестдан ўтказадиган амалий тизимдан дарҳол йўқ қилиш керак;
d) ишчи ахборотдан нусха кўчириш ва ундан фойдаланишни аудит журналида рўйхатга олиш керак.
Тизимни тестдан ўтказиш ва қабул қилиш синовлари, одатда, эксплуатацион маълумотларга максимал яқинлашган тест маълумотларининг катта ҳажмидан фойдаланишни талаб қилади.
Дастурларнинг дастлабки кодларидан фойдаланишни бошқариш. Бошқариш воситаси
Дастурларнинг дастлабки кодларидан фойдаланиш чекланган бўлиши керак.
Рухсатсиз функционал имкониятлар ва атайлаб қилинмаган ўзгаришларни киритишнинг олдини олиш учун дастурларнинг дастлабки кодларидан ва улар билан боғлиқ ҳужжатлардан (лойиҳалар, спецификациялар, текширувлар режалари ва тасдиқлашлар режалари каби) фойдаланишни қатъийлик билан бошқариш керак. Дастурларнинг дастлабки кодлари учун бунга бундай кодларнинг бошқарилувчи марказий тўплагичи ёрдамида эришиш мумкин, кўпинча дастурларнинг дастлабки кодлари кутубхоналарида. Компьютер дастурларининг шикастланиш эҳтимолини камайтириш учун дастурларнинг дастлабки кодлари кутубхоналаридан фойдаланишни бошқариш бўйича тавсияларни (11) кўриб чиқиш керак:
а) дастурларнинг дастлабки кодлари кутубхоналарини иложи борича саноатда экплуатацияда бўлган бизнес-иловалардан алоҳида сақлаш керак;
b) дастурларнинг дастлабки кодлари ва дастлабки кодлар кутубхоналарини белгиланган тартибга мувофиқ бошқариш керак;
c) хизмат кўрсатувчи ходимлар дастурларнинг дастлабки кодлари кутубхоналаридан чекланмаган фойдаланишга эга бўлмасликлари керак;
d) дастурлар дастлабки кодларининг кутубхоналарини ва ассоциацияланган элементларни янгилаш, шунингдек, дастурчиларга дастурларнинг дастлабки кодларини бериш фақат тегишли рухсат олинганидан сўнг амалга оширилиши керак;
е) дастур листингларини хавфсиз жойда сақлаш керак (10.7.4);
f) дастурларнинг дастлабки матнлари кутубхоналаридан барча фойдаланишлар учун аудит журналини юритиш керак;
g) рухсатсиз ўзгартириш киритишнинг олдини олиш мақсадида дастурлар дастлабки матнлари кутубхоналарини сақлаш ва улардан нусха кўчиришни қатъий назорат остида ўтказиш керак (12.5.1).
Дастурларнинг дастлабки кодлари - бу ижро этиладиган кодларни яратиш учун компиляция қилинадиган (ва компановка қилинадиган) дастурчилар томонидан ёзилган кодлар. Бази бир дастурлаш тиллари дастлабки ва ижро этиладиган кодларни расман ажрата олмайдилар, чунки ижро этиладиган кодлар улар чақирилган пайтда яратилади.
ISO 10007 ва ISO/IEC 12207 стандартлари конфигурацияларни бошқариш ва дастурий таъминотнинг ҳаётий цикли жараёнлари тўғрисидаги ахборотни тақдимэтади.

Download 36.58 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling