İnformasiya mühafizəsinin təmin edilməsi məsələsinin həlli üçün üç əsas tərkib hissədən ibarət olan böyük tədbirlər kompleksi həyata keçirilməlidir



Yüklə 0,52 Mb.
tarix31.10.2018
ölçüsü0,52 Mb.
#77593





İnformasiya mühafizəsinin təmin edilməsi məsələsinin həlli üçün üç əsas tərkib hissədən ibarət olan böyük tədbirlər kompleksi həyata keçirilməlidir:

  • İnformasiya mühafizəsinin təmin edilməsi məsələsinin həlli üçün üç əsas tərkib hissədən ibarət olan böyük tədbirlər kompleksi həyata keçirilməlidir:

  • informasiya təhlükəsizliyi konsepsiyası;

  • informasiya təhlükəsizliyi strategiyası;

  • informasiya təhlükəsizliyi siyasəti.



İnformasiya təhlükəsizliyi konsepsiyası – informasiya mühafizəsi probleminə və onun həll edilməsi yollarına müasir texnologiyalar və tendensiyalar nəzərə alınmaqla rəsmi qəbul edilmiş yanaşmalar sistemidir. Burada milli və korporativ maraqlar, informasiya təhlükəsizliyinin təmin edilməsi üsulları və saxlanması prinsipləri müəyyən edilir, eləcə də onların reallaşdırılması məsələləri formalaşdırılır. Konsepsiyanın işlənib hazırlanması üç mərhələdə həyata keçirilir.

  • İnformasiya təhlükəsizliyi konsepsiyası – informasiya mühafizəsi probleminə və onun həll edilməsi yollarına müasir texnologiyalar və tendensiyalar nəzərə alınmaqla rəsmi qəbul edilmiş yanaşmalar sistemidir. Burada milli və korporativ maraqlar, informasiya təhlükəsizliyinin təmin edilməsi üsulları və saxlanması prinsipləri müəyyən edilir, eləcə də onların reallaşdırılması məsələləri formalaşdırılır. Konsepsiyanın işlənib hazırlanması üç mərhələdə həyata keçirilir.



Konsepsiyanın hazırlanması prosesinin birinci mərhələsində qorunması tələb olunan bütün informasiya resursları, o cümlədən proseslər, proqramlar, məlumatlar massivi, fayllar və s. təsnif edilir, onların əhəmiyyətlilik dərəcələri müəyyən olunur. Başqa sözlə, qoruma vasitələrinin tətbiqinə qoyulan tələblərin səviyyəsinə uyğun olaraq qruplara bölünür.

  • Konsepsiyanın hazırlanması prosesinin birinci mərhələsində qorunması tələb olunan bütün informasiya resursları, o cümlədən proseslər, proqramlar, məlumatlar massivi, fayllar və s. təsnif edilir, onların əhəmiyyətlilik dərəcələri müəyyən olunur. Başqa sözlə, qoruma vasitələrinin tətbiqinə qoyulan tələblərin səviyyəsinə uyğun olaraq qruplara bölünür.

  • İkinci mərhələdə, qorunan informasiya resurslarına münasibətdə baş verə biləcək potensial cinayətkar hərəkətlər araşdırılır. İqtisadi casusluq, terrorçuluq, sabotaj, oğurluq və s. kimi daha geniş yayılmış real təhlükələrin səviyyəsi müəyyən edir, qorunan əsas informasiya resurslarına qarşı daha çox ehtimal olunan ziyankar hərəkətlər təhlil olunur.

  • Üçüncü mərhələdə informasiya təhlükəsizliyi üzrə mövcud vəziyyət, daxili səciyyəvi şərait, eləcə də informasiya resurslarının qorunması üçün tətbiq olunan üsul və vasitələr araşdırılır.



İnformasiya təhlükəsizliyinin təmin edilməsi üzrə tədbirlər kompleksinin ikinci hissəsini təqdim olunan konsepsiya əsasında işlənib hazırlanmış informasiya təhlükəsizliyi strategiyası təşkil edir.

  • İnformasiya təhlükəsizliyinin təmin edilməsi üzrə tədbirlər kompleksinin ikinci hissəsini təqdim olunan konsepsiya əsasında işlənib hazırlanmış informasiya təhlükəsizliyi strategiyası təşkil edir.

  • İnformasiya təhlükəsizliyi strategiyası – informasiyanın etibarlı qorunması sisteminin qurulmasının məqsədini, kriterilərini, prinsiplərini və proseduralarını müəyyən edir. Strategiyada etibarlı qorunmaya zəmanət vermək üçün informasiya resurslarının qorunma dərəcəsi, təhlükələrin sistemə daxil ola biləcəyi zəif yerlər, "qoruyucu divarların", brandmauerlərin, proxy-serverlərin qurulması yerləri və s. əks olunmaqla yanaşı onların tətbiqi üsulları və proseduraları da dəqiq göstərilir.



Strategiya işlənib hazırlandıqdan sonra informasiya təhlükəsizliyinin təmin edilməsi üçün əsas tədbirlərdən biri olan informasiya təhlükəsizliyi siyasəti formalaşdırılır.

  • Strategiya işlənib hazırlandıqdan sonra informasiya təhlükəsizliyinin təmin edilməsi üçün əsas tədbirlərdən biri olan informasiya təhlükəsizliyi siyasəti formalaşdırılır.

  • İnformasiya təhlükəsizliyi siyasəti – qorunması tələb olunan informasiya resurslarının təhlükəsiz idarə olunması (emalı, saxlanması, ötürülməsi), qorunması və paylanması məsələlərini nizamlayan normalar, qaydalar, praktiki üsullar və tədbirlər toplusudur. İnformasiya təhlükəsizliyi siyasəti informasiya resurslarının hansı təhlükələrdən, necə və hansı səviyyədə qorunmasını, bu resurslardan istifadə etmək hüququ olan istifadəçilər dairəsini, onların hüquq və səlahiyyətlərinin hüdudlarını, resurslara icazəli və icazəsiz giriş hüquqlarını və mexanizmlərini müəyyən edir.



Təhlükəsizlik siyasətinin əsasını identifikasiya, autentifikasiya, uçot, qeydiyyat, nəzarət jurnalının aparılması, etibarlılıq, diqqətlilik və s. təşkil etməlidir. Təhlükəsizlik siyasətində aşağıdakı tədbirlər öz əksini mütləq tapmalıdır:

  • Təhlükəsizlik siyasətinin əsasını identifikasiya, autentifikasiya, uçot, qeydiyyat, nəzarət jurnalının aparılması, etibarlılıq, diqqətlilik və s. təşkil etməlidir. Təhlükəsizlik siyasətində aşağıdakı tədbirlər öz əksini mütləq tapmalıdır:

  • icazəsi olmayan şəxslərin, o cümlədən istifadəçilərin informasiya resurslarına (həmçinin, bu resursların saxlandığı yerə) girişinin qadağan edilməsi;

  • istifadəçilərin statusunun, hüquq və səlahiyyətlərinin yoxlanması üçün parol və ya digər mexanizmlərin istifadəsi;

  • şəbəkəyə daxil olan istifadəçinin oradakı bütün hərəkətlərinin, sistemdə baş verən təhlükəsizliyin pozulması hallarının və yerlərinin, eləcə də sistemə icazəsiz giriş cəhdlərinin qeydiyyatının aparılması;

  • qəsdən törədilməyən təsadüfi pozuntulardan qorunmanın təmin edilməsi,

  • pozuntuların qabaqlanması, sistem və informasiya resurslarının bir qovşaqda konsentrasiyasının (mərkəzləşməsinin) və ya bir istifadəçinin əlində toplanmasının qarşısının alınması

  • telekommunikasiya vasitələrinin və rabitə xətlərinin etibarlı qorunması və s.



Müasir dövrdə telekomminikasiya sistemləri və kompüter şəbəkələri istifadə olunan təşkilatlarda informasiya təhlükəsizliyi probleminin həlli səviyyələri müxtəlifdir və bu baxımdan bu təşkilatları 4 kateqoriyaya (səviyyəyə) ayırmaq olar.

  • Müasir dövrdə telekomminikasiya sistemləri və kompüter şəbəkələri istifadə olunan təşkilatlarda informasiya təhlükəsizliyi probleminin həlli səviyyələri müxtəlifdir və bu baxımdan bu təşkilatları 4 kateqoriyaya (səviyyəyə) ayırmaq olar.

  • Birinci kateqoriyaya (səviyyə 0) aid edilən təşkilatlarda informasiya təhlükəsizliyi məsələsinə xüsusi diqqət verilmir və heç kəs bu məsələ ilə məşğul olmur. Belə təşkilatlarda informasiya təhlükəsizliyi yalnız əməliyyat sistemlərinin, verilənlər bazalarının idarə olunması sistemlərinin və əlavə proqramların daxili imkanları hesabına həyata keçirilir.

  • İkinci kateqoriya (səviyyə 1) təşkilatlarda informasiya təhlükəsizliyinə texniki problem kimi baxılır və informasiya təhlükəsizliyinin təmin edilməsi sisteminin yaradılması üçün vahid proqram, eləcə də konsepsiya, strategiya və ya siyasət mövcud olmur. Bu halda əvvəlki səviyyədə baxılan vasitələrdən əlavə ehtiyat surətin saxlanması vasitələri, antivirus proqramları, şəbəkələrarası ekran, VPN şəbəkələrin təşkili mexanizmləri reallaşdırılır.



Üçüncü kateqoriyaya (səviyyə 2) daxil olan təşkilatlarda informasiya təhlükəsizliyi məsələsinə təşkilati və texniki tədbirlər kompleksi kimi baxılır, problemin vacibliyi başa düşülür və informasiya təhlükəsizliyinin təmin edilməsi sisteminin inkişaf proqramı mövcud olur. Burada birinci səviyyədəki vasitələrlə yanaşı güclü audentifikasiya, poçt məlumatlarının və Web-kontentin təhlili, təhlükəsizliyin pozulmasının aşkar edilməsi, qorunma səviyyəsinin təhlili vasitələri, açıq açar sistemi, təşkilati tədbirlər (giriş-çıxışa nəzarət, risklərin təhlili, informasiya təhlükəsizliyi siyasəti, əsasnamələr, proseduralar, reqlamentlər və s.) reallaşdırılır.

  • Üçüncü kateqoriyaya (səviyyə 2) daxil olan təşkilatlarda informasiya təhlükəsizliyi məsələsinə təşkilati və texniki tədbirlər kompleksi kimi baxılır, problemin vacibliyi başa düşülür və informasiya təhlükəsizliyinin təmin edilməsi sisteminin inkişaf proqramı mövcud olur. Burada birinci səviyyədəki vasitələrlə yanaşı güclü audentifikasiya, poçt məlumatlarının və Web-kontentin təhlili, təhlükəsizliyin pozulmasının aşkar edilməsi, qorunma səviyyəsinin təhlili vasitələri, açıq açar sistemi, təşkilati tədbirlər (giriş-çıxışa nəzarət, risklərin təhlili, informasiya təhlükəsizliyi siyasəti, əsasnamələr, proseduralar, reqlamentlər və s.) reallaşdırılır.

  • Dördüncü kateqoriya (səviyyə 3) təşkilatlarda korporativ informasiya təhlükəsizliyi mədəniyyəti formalaşır, informasiya təhlükəsizliyinin idarə edilməsi sistemi reallaşdırılır, təhlükəsizlik məsələləri üzrə xüsusi struktur bölməsi və təhlükəsizliyin pozulması hallarına reaksiya qrupu fəaliyyət göstərir.



Təhlükəsizlik siyasəti – qiymətli informasiyanın idarə olunması, qorunması və paylanması (ötürülməsi və ünvana çatdırılması) məsələlərini nizamlayan normalar, qaydalar, praktiki üsullar və tədbirlər toplusudur. Təhlükəsizlik siyasəti informasiya resurslarının hansı təhlükələrdən, necə və hansı səviyyədə qorunması, onlardan istifadə etmək hüququ olan istifadəçilər dairəsini, istifadəçilərin hüquq və səlahiyyətlərini, resurslara icazəli və icazəsiz giriş qaydalarını və mexanizmlərini müəyyən edir.

  • Təhlükəsizlik siyasəti – qiymətli informasiyanın idarə olunması, qorunması və paylanması (ötürülməsi və ünvana çatdırılması) məsələlərini nizamlayan normalar, qaydalar, praktiki üsullar və tədbirlər toplusudur. Təhlükəsizlik siyasəti informasiya resurslarının hansı təhlükələrdən, necə və hansı səviyyədə qorunması, onlardan istifadə etmək hüququ olan istifadəçilər dairəsini, istifadəçilərin hüquq və səlahiyyətlərini, resurslara icazəli və icazəsiz giriş qaydalarını və mexanizmlərini müəyyən edir.

  • Yaxşı təhlükəsizlik siyasəti informasiyanın qorunmasının müxtəlif mümkün yolları arasından daha optimal variantın seçilməsi yolu ilə əldə olunur. Təhlükəsizlik siyasəti qiymətli informasiya resurslarının sahibləri tərəfindən bu resursların qorunması alternativləri arasından daha münasib variantın seçilməsinə imkan verməlidir. Belə qərar, yəni təhlükəsizlik siyasəti qəbul edildikdən sonra onun əsasında qoruma mühiti və mexanizmləri, yəni təhlükəsizlik siyasətinin tələblərinin yerinə yetirilməsinin təmin edilməsi sistemi qurulur.



İMS yaradılarkən bir neçə növ təhlükəsizlik siyasəti istifadə olunur:

  • İMS yaradılarkən bir neçə növ təhlükəsizlik siyasəti istifadə olunur:

  • məhdudlaşdırma siyasəti (Discretionary Polisy ,DP);

  • çoxsəviyyəli siyasət (Multilevel Security , MLS);

  • tamlığın təmin olunması siyasəti (Biba Polisy).

  • Reallaşdırılması baxımından daha sadə və əlverişli olan məhdudlaşdırma siyasətinə ətraflı baxaq.

  • Fərz edək ki, O={o1,o2,…,on} – qorunan obyektlər çoxluğu, S={s1,s2,…,sm} – telekommunikasiya sisteminin və kompüter şəbəkəsinin aktiv elementləri olan subyektlər çoxluğu, U={u1,u2,…,ul} – telekommunikasiya sisteminin və kompüter şəbəkəsinin istifadəçiləri çoxluğudur.



İMS yaradılarkən bir neçə növ təhlükəsizlik siyasəti istifadə olunur:

  • İMS yaradılarkən bir neçə növ təhlükəsizlik siyasəti istifadə olunur:

  • məhdudlaşdırma siyasəti (Discretionary Polisy ,DP);

  • çoxsəviyyəli siyasət (Multilevel Security , MLS);

  • tamlığın təmin olunması siyasəti (Biba Polisy).



Fərz edək ki, O={o1,o2,…,on} – qorunan obyektlər çoxluğu, S={s1,s2,…,sm} – telekommunikasiya sisteminin və kompüter şəbəkəsinin aktiv elementləri olan subyektlər çoxluğu, U={u1,u2,…,ul} – telekommunikasiya sisteminin və kompüter şəbəkəsinin istifadəçiləri çoxluğudur.

  • Fərz edək ki, O={o1,o2,…,on} – qorunan obyektlər çoxluğu, S={s1,s2,…,sm} – telekommunikasiya sisteminin və kompüter şəbəkəsinin aktiv elementləri olan subyektlər çoxluğu, U={u1,u2,…,ul} – telekommunikasiya sisteminin və kompüter şəbəkəsinin istifadəçiləri çoxluğudur.

  • Sistemdə olan obyektlərin hər birinin subyektlərin mülkiyyəti olmasını (başqa sözlə subyektlərin müvafiq obyektlərin sahibi olması) faktı aşağıdakı inikas şəklində göstərilir: .



Yüklə 0,52 Mb.

Dostları ilə paylaş:




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©www.genderi.org 2024
rəhbərliyinə müraciət

    Ana səhifə