Azərbaycan Dövlət İqtisad Universiteti (unec) “Rəqəmsal texnologiyalar və Tİ” kafedrasının dosenti tex e. n. Əlizadə M. N
TƏHLÜKƏSİZLİK HƏDƏLƏRİNƏ QARŞI TƏDBİRLƏR
Yüklə 23 Kb.
|
| TƏHLÜKƏSİZLİK HƏDƏLƏRİNƏ QARŞI TƏDBİRLƏR
Kompüter təhlikəsizliyinin təmin olunmasına görə yerinə yetirilən tədbirlər aşağıdakı kimi bölünür: qanunvericiliyə (hüquqi) uyğun, inzibati (təşkilatı), proqram-texniki və prosedur. Qanunvericiliyə uyğun müdafiə tədbirlərinə aiddir: fəaliyyət göstərən normativ-hüquqi aktlar, informasiya ilə rəftarın qaydaya (reqlamentə) salınması, informasiyanın təhlil və istifadə edilməsi üçün təhkim olunmuş iştirakçıların hüquqlarının qorunması və göstərilən tədbirlərin yerinə yetirilməsinə maneçilik edənlərin və qoyulmuş qaydaların (əsasəndə beynəlxalq) pozulmasına cəhd edənlərin məsuliyyətə cəlb edilməsi. Bu standartların içərisində ən çox seçiləni “Narıncı kitab”dır. Bununla yanaşı X.800 və “Common Criteria for IT Security Evaluation” (İnformasiya texnologiyaları təhlükəsizliyinin qiymətləndirilməsinin ümumi kriteriləri) standartlarından da istifadə olunur. “Narıncı kitab” ən böyük baza standartıdır. Standartda əsas anlayışlar, təhlükəsizlik servisi, informasiya sistemlərinin təsnifat üsulları və informasiya sistemlərinə təhlükəsizlik baxımından tələblər irəli sürülür. X.800 təqdimatı əsasən şəbəkə konfiqurasiyasının müdafiə edilməsi suallarını özündə əks etdirir. Standart təhlükəsizliyin servislər toplusunun və istifadə mexanizminin inkişafı mərhələlərini təqdim edir. “İnformasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsinin ümumi kriteriləri” özündə 11 sinif, 66 ailə və 135 funksional təşkiledicini birləşdirir. Siniflər aşağıdakı adları əks etdirirlər: Birinci qrup təhlükəsizliyin elementar servisini müəyyən edir: 1.FAU – audit, təhlükəsizlik (servisə edilən tələblər, protokollaşdırma və audit); 2.FIA – identifikasiya və autentifikasiya; 3.FRU – resurslardan istifadə (imtinaya etibarlılığın təmin olunması); İkinci qrup elementar bazaya əsaslanaraq servisin törəməsini müəyyən edir: 4.FCO – rabitə (göndərənin - qəbul edənin kommunikasiya təhlükəsizliyi); 5.FPR – qeyri-məcburi; 6.FDR – istifadəçiyə aid verilənlərin mühafizəsi; 7.FPT – qiymətləndirmə obyektinin təhlükəsizlik funksiyasının mühafizəsi; Üçüncü qrup qiymətləndirmə obyektinin infrastrukturunu müəyyən edir: 8.FCS – kriptoqrafik dəstək (kriptoaçarların və kripto-əməliyyatların idarə edilməsinə xidmət edir); 9.FMT – təhlükəsizliyi idarə edir; 10.FTA - qiymətləndirmə obyektinə daxil ola bilir (istifadəçinin iş seansını idarə edir); 11.FTP – etibarlı marşrut/kanal; Bunlardan başqa “İnformasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsinin ümumi kriteriləri” özündə müasir texnologiyalardan istifadə etməklə hansı formada təhlükəsizliyin əldə olunması haqqında məlumatı əks etdirir. Bununla yanaşı “Ümumi kriterilər” müdafiə sistemini sertifikatlaşdırmağa da imkan verir. 2006-cı ilin payızında Rusiyada milli standart qəbul olundu, standart beynəlxalq ISO 17799 standartını dəstəkləyirdi.
İnzibati müdafiə tədbirlərinə aşağıdakılar aiddir: 1.Sistem personalının hazırlığı və seçilməsi; 2.Buraxılış rejiminin və mühafizənin təşkili; 3.İnformasiya daşıyıcılarından istifadə edilməsi və lazımsız sənədlərin ləğv olunması, onların saxlanılması, hesaba alınmasının təşkili; 4.Daxilolmanı aradan götürməklə rekvizitlərin paylanması (parolun, şifrəli açarın və s.); Müdafiənin həyata keçirilməsində əsas rolu inzibati tədbirlər oynayır, bura informasiya təhlükəsizliyi sahəsində görülən işlərin proqramlarının formalaşdırılması və bu işlərin yerinə yetirilməsinin təmin edilməsidir. Formalaşdırılmış proqramların əsasını təhlükəsizliyin təmin olunma siyasəti təşkil edir. Siyasətə idarəetmə prinsiplərinin toplumu, qanunlar, təhlükəsizlik sahəsində həyata keçirilən praktiki tədbirlərin prosedurları və s. daxildir. Bunları rəhbər tutmaqla təşkilat öz fəaliyyətini tutarlı səviyyədə yerinə yetirir. Təhlükəsizlik siyasəti özündə aşağıdakıları müəyyənləşdirir: Hansı verilənləri və onları hansı dərəcədə müdafiə etmək; İnformasiya aspektində təşkilata kim və necə ziyan vurur; Hansı həddə kimi təhlükəsizliyin azaldılması mümkündür; Təhlükəsizliyin azaldılmasında hansı üsullardan istifadə olunur və azaldılma riski nə qədərdir. Praktiki baxımdan təhlükəsizliyi üç səviyyədə həyata keçirmək mümkündür: Yuxarı; Orta; Aşağı. Yuxarı səviyyəyə rəhbərlik tərəfindən ümumi xarakterli qəraralar aiddir. Orta səviyyəyə təşkilatda istifadə edilən (istismar edilən) müxtəlif sistemlərin informasiya təhlükəsizliyinə aid olan suallar aiddir. Aşağı səviyyəyə konkret servislər və onların detalları (hissələri) aiddir. Bir çox hallarda aşağı səviyyədə təhlükəsizlik siyasətinə nail olmaq üçün bütün servislər öz səviyyərində realizə edilirlər. Prosedur səviyyəsində həyata keçirilən tədbirlər avtomatlaşdırılmış informasiya sistemlərinin işlədiyi bütün dövr ərzində yerinə yetirilən ayrı-ayrı tədbirlər məcmusu kimi götürülə bilər. Bu tip tədbirlər texniki avadanlıqlara deyil, insanlara yönəldilmişdir və aşağıdakı hissələrə bölünürlər: Personalın idarə edilməsi; Fiziki müdafiə; İş qabiliyyətinin saxlanılması; Təhlükəsizlik rejiminin pozulmasına reaksiyanın verilməsi; Planlaşdırılmış işlərin bərpa edilməsi. Mühafizənin proqram-texniki təminatı xüsusi aparat vasitələrinin istifadə olunmasına və avtomatlaşdırılmış informasiya sistemlərinin tərkibinə daxil olan proqram təminatına əsaslanır. Mühafizənin proqram-texniki təminatı müdafiə funksiyasını: şifrələməni, autentifikasiyanı, resurslara daxil olma məhdudiyyətini, məlumatların qeydiyyatını, virusların axtarılmasını və ləğv olunmasını və başqalarını yerinə yetirir. Yüklə 23 Kb. Dostları ilə paylaş:
|