Texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al xorazmiy nomidagi
Download 244.7 Kb. Pdf ko'rish
|
Aziz Mustaqil ish
- Bu sahifa navigatsiya:
- Tarmoqni ajratish
- „Air gap“ izolyatsiyasi yoki „parallel tarmoq“
Veb-sayt
xavfsizligini skanerlash[tahrir | manbasini tahrirlash] Veb-sayt zaifliklarini skanerlash veb-saytni tekshiradi, zararli dasturlarni aniqlaydi, eskirgan dasturiy taʼminotni koʻrsatishi va saytning buzilishi xavfini kamaytirish uchun maʼlum xavfsizlik muammolari haqida xabar berishi mumkin. Tarmoqni ajratish[tahrir | manbasini tahrirlash] Tarmoqni kichikroq tarmoqlar toʻplami sifatida tuzish va ular orasidagi trafik oqimini qonuniy ekanligi maʼlum boʻlganiga cheklash, yuqumli zararli dasturlarning kengroq tarmoq boʻylab oʻzini koʻpaytirish qobiliyatiga toʻsqinlik qilishi mumkin. Software Defined Networking bunday boshqaruv vositalarini amalga oshirish usullarini taqdim etadi. „Air gap“ izolyatsiyasi yoki „parallel tarmoq“[tahrir | manbasini tahrirlash] Oxirgi chora sifatida kompyuterlar zararli dasturlardan himoyalanishi mumkin va zararlangan kompyuterlarning ishonchli maʼlumotlarni tarqatish xavfi „havo boʻshligʻi“ (yaʼni ularni boshqa barcha tarmoqlardan butunlay uzib qoʻyish) va kirish va kirish ustidan yaxshilangan boshqaruvni qoʻllash orqali sezilarli darajada kamayishi mumkin. dasturiy taʼminot va maʼlumotlarning tashqi dunyodan chiqishi. Biroq, zararli dasturiy taʼminot baʼzi holatlarda havo boʻshligʻini kesib oʻtishi mumkin, chunki havo boʻshligʻi boʻlgan tarmoqqa dasturiy taʼminotni kiritish zarurati tufayli va ulardagi aktivlarning mavjudligi yoki yaxlitligiga zarar etkazishi mumkin. Stuxnet maqsadli muhitga USB drayv orqali kiritilgan zararli dasturlarga misol boʻlib, maʼlumotlarni oʻchirishga hojat qoldirmasdan atrof-muhitda qoʻllab-quvvatlanadigan jarayonlarga zarar etkazadi. AirHopper[51], BitWhisper[52], GSMem[53], va Fansmitter[54] tadqiqotchilar tomonidan taqdim etilgan texnikalar boʻlib, ular himoyalanmagan kompyuterlarda elektromagnit, termal va akustik emissiyalar yordamida maʼlumotlarni chiqarishi mumkin. Himoyalashni baholashda analitik ishlarning farqlari O„zbekiston kompaniyalari Avtomatlashtirish xizmati (CIO) va Axborot xavfsizligi (CISO) direktorlarining ko„pchiligiga, ehtimol: "Kompaniyalarning axborot aktivlarini himoya qilish darajasini qanday baholash va korporativ axborotni rivojlantirish istiqbollarini aniqlash kerak?" Keling, ushbu dolzarb savolga javob topishga harakat qilaylik. Zamonaviy axborot texnologiyalarining rivojlanish sur'ati O„zbekiston faoliyat ko„rsatadigan hujjatlarni tartibga soluvchi tavsiya etilgan va me'yoriy- huquqiy bazani ishlab chiqish tezligini sezilarli darajada tezlashtiradi. Shu sababli, kompaniyaning axborot aktivlarini himoya qilish darajasini baholash bo„yicha savolni hal qilish, albatta, tanlov mezonlari va himoya ko„rsatkichlari muammosi bilan, shuningdek korporativ axborotni himoya qilish tizimining samaradorligi bilan bog„liq. Xatarlarni boshqarish, korporativ axborotni muhofaza qilish tizimlarini loyihalash va qo„llab-quvvatlashning zamonaviy usullari kompaniyaning uzoq muddatli strategik rivojlanishi uchun bir qator vazifalarni hal qilishga imkon berishi kerak. Avvalo, kompaniyaning axborot xavfsizligini huquqiy, tashkiliy, boshqaruv, texnologik va texnik darajalaridagi xatarlarni aniqlashni talab qiladigan hozirgi darajadagi axborot xavfsizligini miqdoriy baholang. Ikkinchisi - kompaniyaning axborot aktivlarini tegishli darajada himoya qilish darajasiga erishish uchun korporativ xavfsizlik tizimini takomillashtirish bo„yicha kompleks rejani ishlab chiqish va amalga oshirish. Buning uchun kerak: - xatarlarni tahlil qilish texnologiyasi asosida xavfsizlikni ta'minlashga moliyaviy investitsiyalarni hisoblashni asoslash va hisoblash, xavfsizlikni ta'minlash xarajatlarini yuzaga kelishi mumkin bo„lgan zarar va uni tiklash ehtimoli bilan taqqoslash; - zaif manbalarga hujum qilishdan oldin eng xavfli zaifliklarni birinchi blokirovkasini aniqlash va amalga oshirish; - kompaniyaning axborot xavfsizligini ta'minlash bo„yicha bo„linmalar va shaxslarning o„zaro aloqalari uchun funksional munosabatlarni va javobgarlik zonasini aniqlash, zarur tashkiliy va tartibli hujjatlar to„plamini yaratish; - axborot texnologiyalari rivojlanishining hozirgi darajasi va tendensiyalarini hisobga olgan holda zarur bo„lgan himoya komplekslarini amalga oshirish bo„yicha tashkilot xizmatlari, loyiha nazorat organlari bilan kelishish va kelishish; - tashkilot ishining o„zgaruvchan sharoitlariga, tashkiliy va tartibli hujjatlarning muntazam ishlab chiqilishiga, texnologik jarayonlarning modifikatsiyasiga va modernizatsiyalashga muvofiq birlashtirilgan himoya kompleksini qo„llab-quvvatlash. Nomlangan vazifani hal qilish turli darajadagi pozitsiyalar oldida yangi keng imkoniyatlarni ochib beradi. Bu yuqori darajadagi menejerlarga kompaniyaning axborot xavfsizligining hozirgi darajasini obyektiv va mustaqil ravishda baholashda, xavfsizlik bo„yicha yagona konseptsiyaning shakllanishini ta'minlashda, ehtiyojni hisoblashda, kelishishda va asoslashda yordam beradi. Qabul qilingan baholashlar asosida bo„limlar va xizmatlarning rahbarlari zarur tashkiliy choralarni (axborot xavfsizligi xizmati tarkibi va tuzilishi, tijorat sirlari to„g„risidagi pozitsiya, rasmiy ko„rsatmalar to„plami va lavozim ta'riflari) ishlab chiqishlari va asoslashlari mumkin. O„rta darajadagi menejerlar axborotni muhofaza qilish vositalarini tanlashi, shuningdek o„z ishlarida axborot xavfsizligining miqdoriy ko„rsatkichlarini, xavfsizlikni baholash va xavfsizlikni boshqarish usullarini moslashtirishlari va ishlatishlari mumkin. Axborot xavfsizligi sohasida tahliliy ishlar quyidagi yo„nalishlarda olib borilishi mumkin: 1) "Kompaniyalar va axborot xavfsizligining quyi tizimlari axborot tizimlarini (AT) huquqiy, uslubiy, tashkiliy-boshqaruv, texnologik va texnik darajalarda kompleks tahlil qilish. Xatarlarni tahlil qilish"; 2) "AT-kompaniyani uslubiy, tashkiliy va boshqaruv, texnologik, umumiy texnik va dasturiy ta'minot va qo„llab-quvvatlash bo„yicha kompleks tavsiyalar ishlab chiqish"; 3) "AT-kompaniyaning tashkiliy va texnologik tahlili"; 4) "Qarorlar va loyihalarni ekspertizadan o„tkazish"; 77 5) "Hujjatlar aylanishini tahlil qilish va tashkiliy hujjatlarning standart to„plamlarini yetkazib berish bo„yicha ishlar"; 6) "Himoya rejasining amaliy bajarilishini qo„llab-quvvatlovchi ishlar"; 7) "Mutaxassislarning malakasini oshirish va qayta tayyorlash". Keling, ularning har birini qisqacha ko„rib chiqamiz. Axborot xavfsizligi holatini tadqiq qilish va baholash AT va kompaniyaning axborot xavfsizligi quyi tizimlari ularni O„zbekiston Prezidenti Davlat texnika qo„mitasi hujjatlarini tartibga soluvchi hujjatlarning standart talablariga O„zbekiston Prezidenti talablariga muvofiqligini baholashni ta'minlaydi. Birinchi yo„nalishga, shuningdek, xatarlarni tahlil qilish, instrumental tadqiqotlar (kompyuter tarmog„i infratuzilmasi elementlari va zaifliklarning mavjudligi to„g„risida korporativ axborot tizimlarini o„rganish, Internet tadqiqotlari) asosida olib boriladigan ishlar kiradi. Ushbu murakkab ish, shuningdek, o„z navbatida ajralib turadigan va mustaqil yo„nalish sifatida hujjat aylanmasini tahlil qilishni o„z ichiga oladi. Tavsiyalarga axborot xavfsizligining umumiy xavfsizligi masalalari (axborot xavfsizligi kontseptsiyasini ishlab chiqish, korporativ siyosatni ishlab chiqish, tashkiliy, boshqaruv, texnologik, huquqiy, huquqiy himoya) kiradi. Shuningdek, tavsiya yanada aniqroq bo„lishi va bitta kompaniyaning faoliyatiga taalluqli bo„lishi mumkin (axborotni reja bilan muhofaza qilish, tahlil qilish va yaratish bo„yicha qo„shimcha ishlar uslubiy, tashkiliy, boshqaruv, texnologik, normativ. Qarorlar va loyihalarni to„g„ri ekspertizadan o„tkazish butun axborot xavfsizligi tizimining ishlashini ta'minlashda muhim rol o„ynaydi va ekspert-hujjat usuli bilan axborot xavfsizligini ta'minlash talablariga javob berishi kerak. Kichik tizim loyihalarini ekspertizadan o„tkazish - ekspert-hujjat usuli bilan xavfsizlik talablari. Hujjatlar aylanishini tahlil qilish va tashkiliy hujjatlarning standart to„plamlarini yetkazib berish bo„yicha ishlar, qoida tariqasida, ikkita yo„nalishni o„z ichiga oladi: ✓ "maxfiylik" toifasidagi kompaniyalarning hujjat aylanmasini axborot xavfsizligi konseptsiyasi talablariga, tijorat sirlari to„g„risidagi pozitsiyaga javoban kompaniyaning ichki ma'lumotlarini maxfiyligini ta'minlashga javoban tahlil qilish; ✓ tashkiliy-huquqiy darajada AX kompaniyasining korporativ siyosati tavsiyalariga muvofiq standart tashkiliy va me'yoriy hujjatlar to„plamini yetkazib berish. Axborot xavfsizligi rejasining amaliy bajarilishini ta'minlovchi ishlar, xususan, quyidagilar: ✓ korporativ tarmoqni har tomonlama tahliliy o„rganish natijalari asosida kompaniyada o„rnatilgan AXni himoya qilish vositalarini modernizatsiya qilish bo„yicha texnik loyihani ishlab chiqish; ✓ kompaniyalarni attestatsiyadan o„tkazishga tayyorlash (O„zbekiston Prezidentining talablari bo„yicha Davlat Texnik Komissiyasining talablariga muvofiq, shuningdek buyurtmachini axborotlashtirish obyektlarini attestatsiyadan o„tkazish uchun, shuningdek Xalqaro xavfsizlik standartlari, Xalqaro munosabatlar xalqaro standartlari talablariga javoban) ✓ xavfsizlik siyosati qismi sifatida cheklangan ma'lumotlar kengaytirilgan ro„yxatini ishlab chiqish; ✓ tashkiliy-boshqaruv va huquqiy darajada AX kompaniyasining korporativ siyosatining tavsiyalariga muvofiq tashkiliy-me'yoriy hujjatlar to„plamini ishlab chiqish; ✓ AX kompaniyasining korporativ siyosatining tashkiliy-huquqiy darajadagi tavsiyalariga muvofiq standart tashkiliy va me'yoriy hujjatlar to„plamini yetkazib berish. Kompaniyaning axborot xavfsizligi darajasi ko„p jihatdan mutaxassislarning malakasiga bog„liq. Kadrlar malakasini oshirish va ularni qayta tayyorlash uchun axborot xavfsizligi texnologiyalari, axborot xavfsizligi texnologiyalaridan foydalanish bo„yicha treninglar o„tkazish, xodimlarni iqtisodiy xavfsizlik asoslariga o„rgatish tavsiya etiladi. Bu muhim rol o„ynaydi va kompaniyaning axborot xavfsizligini har yili qayta baholash. Tashkiliy xavfsizlik siyosatini shakllantirish Axborot xavfsizligi tizimiga yechimlar taklif qilishdan oldin xavfsizlik siyosatini ishlab chiqish zarur. Tashkiliy xavfsizlik siyosati foydalanuvchilarga kirish huquqini taqdim etish va ulardan foydalanish tartibini, shuningdek xavfsizlik masalalarida foydalanuvchilarning xattiharakatlari uchun javobgarligini talablarini tavsiflaydi. Axborot xavfsizligi tizimi (IBS) xavfsizlik siyosati siyosatini amalga oshirishni ishonchli qo„llab- quvvatlasa, aksincha, samarali bo„ladi. Tashkiliy xavfsizlik siyosatini qurish bosqichlari - bu qiymatning tuzilishini avtomatlashtirish obyektini tavsiflash va xatarlarni tahlil qilish va ushbu avtomatizatsiya obyektining resurslariga kirishning ushbu turidan foydalanishning har qanday jarayoni uchun qoidalarni belgilashga hissa qo„shadi. Tashkiliy xavfsizlik siyosati buyurtmachi tomonidan kelishilgan va tasdiqlangan alohida hujjat shaklida rasmiylashtiriladi. Avvalo, maqsadni belgilovchi omillarni yoki mezonlarni egallash orqali ifoda etilgan obyektni qurish tizimining umumiy maqsadini batafsil tavsiflash kerak. Omillar kombinatsiyasi tizimga qo„yiladigan talablarni aniqlash uchun asos bo„lib xizmat qiladi (muqobil tanlov). Xavfsizlik omillari, o„z navbatida, huquqiy, texnologik, texnik va tashkiliy jihatdan bo„linishi mumkin. Kafolatni muhofaza qilish bo„yicha talablar SIB obyektining xavfsizlik xususiyatlarini baholash orqali ifodalanadi. Xavfsizlik funktsiyasining kuchini baholash alohida himoya mexanizmi darajasida amalga oshiriladi va uning natijalari aniqlangan tahdidga qarshi xavfsizlik funktsiyasining nisbiy qobiliyatini aniqlashga imkon beradi. Hujumning ma'lum potentsialidan oshib, himoya funksiyasining kuchi, masalan, "asosiy", "o„rta", "yuqori" toifalari bilan belgilanadi. Ta'sir salohiyati hujumchini rag„batlantirish imkoniyatlari, manbalari va motivlarini o„rganish orqali aniqlanadi. Axborot xavfsizligi tizimiga qo„yiladigan talablar ro„yxati, eskiz loyihasi, himoya rejasi (bundan keyin - texnik hujjatlar, TD) obyektning axborot xavfsizligi uchun talablar to„plamini o„z ichiga oladi, ular so„rov tarkibiga murojaat qilishi mumkin, deyiladi bayonotda. Umuman olganda, televizorni rivojlantirish quyidagilarni o„z ichiga oladi: -himoya funksiyalarini aniqlashtirish; -SIB qurilishining me'moriy tamoyillarini tanlash; -SIBning mantiqiy tuzilishini ishlab chiqish (interfeyslarning batafsil tavsifi); -SIB xavfsizligini ta'minlash funksiyalari talablariga aniqlik kiritish; -tuzilgan talablarga muvofiq testlar usullari va dasturlarini ishlab chiqish. Erishilgan muhofazani baholash bosqichida axborot muhiti xavfsizligi kafolati choralarini baholash amalga oshiriladi. Kafolat o„lchovi tavsiya etilgan faoliyatni amalga oshirgandan so„ng obyektning axborot muhitiga ishonib topshirilishi mumkin bo„lgan baholashga asoslanadi. Ushbu uslubning asosiy qoidalari kafolat darajasi xavfsizlikni baholash samaradorligidan kelib chiqadi deb taxmin qiladi. Baholarning o„sishi quyidagilarni nazarda tutadi: - baholash jarayonida ishtirok etadigan ob'ektning axborot muhiti elementlarining muhim soni; - xavfsizlik tizimlarini loyihalashda loyiha turlarini kengaytirish va ishlash tafsilotlarini tavsiflash; - aniqligi aniq bo„lmagan zaifliklarni aniqlashga yoki ularning mavjud bo„lish ehtimolini kamaytirishga qaratilgan ko„plab qidiruv vositalari va usullarini qo„llashda qo„llaniladigan qat'iylik. Xulosa. Umuman aytganda, yuqorida keltirilgan metodologiya kompaniyaning axborot aktivlarini himoya qilishning hozirgi darajasini baholash yoki yuqori baholash, shuningdek, axborot xavfsizligini ta'minlash bo„yicha tavsiyalar ishlab chiqish imkonini beradi. Xususan, korporativ tarmoq barqarorligini oshirish orqali kompaniyaning potentsial yo„qotishlarini kamaytirish, kompaniya xavfsizligi kontseptsiyasi va siyosatini ishlab chiqish. Shuningdek, ko„rib chiqilgan metodologiya kompaniyaning maxfiy ma'lumotlarini himoya qilish, ochiq aloqa kanallari orqali uzatiladigan, kompaniya ma'lumotlarini qasddan buzilishdan (buzilishdan), ruxsatsiz nusxalashdan, ruxsatsiz kirishdan himoya qilish rejalarini taklif qilish imkonini beradi. Download 244.7 Kb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling