14
Axborot xavfsizligi testli buzish korporativ axborot tizimining himoyalanish darajasini
aniqlash nuqtai nazaridan samarali hisoblanmaydi. "Buzuvchi"ning asosiy maqsadi bir ikki
zaifliklarni topib, ularni tizimdan foydalanishda ishlatish. Agar "testli buzish"
muvaffaqiyatli
chiqsa, ushbu muayyan " buzish "ning mumkin bo‘lgan ssenariysi rivojini oldini olib, zaifliklarni
qidirishda davom etish kerak. "Testli buzish"ning muvaffaqiyatsizligini babbaravar testlanuvchi
tizimning himoyalanganligi va testlarning yetishmasligi kabi talqin qilish mumkin.
Eksperss-tekshirish
doirasida,
odatda,
ko‘p
vaqt
sarfini
talab
etmaydigan,
standartizatsiyalangan tekshirishlar asosida korporativ axborot tizimi xavfsizlik vositalarining
umumiy holati baholanadi. Ekspress-tekshirish odatda axborot resurslarining minimal
himoyalanish darajasini ta’minlovchi ustivor yunalishlarni aniqlash zaruriyati tug‘ilganda
o‘tkaziladi.
Tizimni attestatsiyalash tizimning axborot resurslarining himoyalanish talablariga
mosligini tekshirish maqsadida amalga oshiriladi. Bunda ham tashkiliy, ham texnik jihatdan
talablar to‘plami rasmiy tekshiriladi, xavfsizlik vositalarining amalga oshirilishining tuliqligi va
yetarliligi ko‘riladi.
Loyihagacha tekshirish auditning eng ko‘p mehnat talab qiladigan varianti hisoblanadi.
Bunday audit axborot resurslari ilovalarida korxona tashkiliy tuzilmasini va xodimlarning u yoki
bu ilovalardan foydalanish qoidalarini tahlil etishni kuzda tutadi. So‘ngra ilovalarning o‘zi
tahlillanadi. Undan keyin bir sathdan ikkinchi sathning foydalanishdagi
muayyan xizmatlar
hamda axborot almashishga zarur bo‘lgan xizmatlar taxlillanishi lozim. So‘ngra xavfsizlikning
o‘rnatilgan vositalarini tahlillash bilan tasavvur to‘ldiriladi.
Xavf-xatarlarni taxlillash yuqoridagi
bo‘limda batafsil ko‘rilgan.
Axborot xavfsizligi
buzilganda loyihagacha tekshirish, xavf-xatarlarni tahlillash bilan birgalikda axborot tizimidagi
mavjud xavf-xatarlarni rutbalashga va adekvat choralarni ishlab chiqishga imkon beradi.
Tizimni loyihalash.
Himoyani tashkil etish strategiyasi nuqtai nazaridan resursli va servisli
yondashish farqlanadi. Resursli yondashishda tizim resurslar to‘plami sifatida quriladi va axborot
xavfsizligi tizimining komponentlari bu resurslarga bog‘lanadi. Resursli yondashish amalga
oshirilganida axborotni himoyalash masalasi xizmatlar tuzilmasiga qo‘shimcha cheklashlarsiz
yechiladi. Bu esa bir jinsli bo‘lmagan tizim sharoitida mumkin emas. Servisli yondashishda tizim
foydalanuvchilarga taqdim etiluvchi xizmatlar to‘plami kabi talqin qilinadi. Hozirgi vaqtda
servisli yondashish
afzalroq hisoblanadi, chunki u tizimda amalga oshirilgan xizmatlarga
boglanadi va "ortiqcha" xizmatlarni rad etish hisobiga qator tahdidlarni istisno qilinishiga imkon
beradi. Bu esa tizimni yanada mantiqan asoslangan tizimga aylantiradi. Aynan servis yondashish
xavfsizlikning zamonaviy standartlari, xususan ISO/IEC 15408 asosida yotadi.
Axborot xavfsizligi tizimni qurishning ikkita asosiy ssenariysi mavjud: mahsulotli va
loyihali. Mahsulotli ssenariy (yondashish) doirasida avval himoya vositalari to‘plami tanlanadi,
ularning funksiyalari tahlillanadi, so‘ngra funksiyalar tahlili asosida axborot resurslaridan
foydalanish siyosati belgilanadi.
Loyihaga xarajatlar nuqtai nazaridan mahsulotli ssenariy eng arzon hisoblanadi. Undan
tashqari, yechimlarning tanqisligi sharoitida ko‘pincha mahsulotli yondashish yagona hisoblanadi
(masalan, kriptografik himoyada faqat shu yondashish qo‘llaniladi).
Loyihali ssenariyda avval xavfsizlik siyosati ishlab chiqiladi, uning asosida xavfsizlik siyosatini
amalga oshirishda zarur bo‘lgan
funksiyalar aniqlanadi, so‘ngra bu funksiyalar bajarilishini
ta’minlovchi himoya vositalari tanlanadi.
Loyihali ssenariy asosida qurilgan tizimlar yaxshiro q, optimizasiyalangan va
attestatsiyaning yuqori natijalarini beradi. Ushbu yondashish mahsulotli yondashishdan farqli
ravishda boshidan u yoki bu platforma bilan boglanmaganligi tufayli, katta geterogen tizimlarni
qurishda afzal hisoblanadi. Undan tashqari, uzoq muddatga mo‘ljallangan yechimlarni
ta’minlaydi, chunki xavfsizlik siyosatini uzgartirmasdan yechimlarni va ximoya vositalarini
almashtirishga imkon beradi.
Axborot xavfsizligi tizimi arxitekturasini tanlash nuqtai
nazaridan obyektli, tatbiqiy yoki
aralash yondashishdan foydalaniladi. Obyektli yondashish axborot xavfsizligini u yoki bu obyekt
15
(bo‘linma, filial, tashkilot) tuzilmasi asosida yaratadi. Obyektli yondashishning qo‘llanishi
tashkiliy choralarning bir jinsli to‘plamini madadlovchi xavfsizlik mexanizmlari uchun universal
yechimlar tuplamidan foydalanishni kuzda tutadi. Bunday yondashishga misol tariqasida tashki
axborot almashish, lokal tarmoq, telekommunikatsiya tizimlarining va hokazo himoyalangan
infratuzilmalarini qurishni ko‘rsatish mumkin. Obyektli yondashishning kamchiligi uning
universal mexanizmlarining, ayniqsa o‘zaro murakkab bog‘lanishli
katta sonli ilovalarga ega
bo‘lgan tashkilotlar uchun tugal emasligi.
Tatbiqiy yondashish xavfsizlik mexanizmini muayyan ilovaga bog‘lab yaratadi. Tatbiqiy
yondashishga misol tariqasida avtomatlashtirishning alohida masalasi (buxgalteriya, kadrlar va h.)
uchun qism tizimlarning himoyasini ko‘rsatish mumkin. Ushbu yondashishning kamchiligi -
ma’murlash va ishlatish xarajatlarini minimallashtirish maqsadida xavfsizlikning turli vositalarini
uyg‘unlashtirish zaruriyati.
Aralash yondashish yuqorida tavsiflangan ikkita yondashishni kombinatsiyalashni kuzda
tutadi. Bunday yondashish loyihalash bosqichida ko‘proq mehnat talab qilsada, axborot
xavfsizligi tizimini joriy etish va ishlatish narxi bo‘yicha afzalliklarni berishi mumkin.
Joriy etish.
Joriy etish bosqichi quyidagi ketma-ket o‘tkaziluvchi tadbirlarni o‘z ichiga
oladi:
-
himoya vositalarini o‘rnatish va konfiguratsiyalash;
-
xodimlarni himoya vositalari bilan ishlashga o‘rgatish;
-
dastlabki sinovni o‘tkazish;
-
tajribaviy ishlatishga topshirish.
Tajribaviy ishlatish, axborot xavfsizligi tizimini ishchi
rejimiga tushirishdan avval, uning
ishlashidagi mumkin bo‘lgan kamchiliklarni aniqlashga va yuqotishga imkon beradi. Agar
tajribaviy ishlatish jarayonida komponentlarning to‘gri ishlamasligi faktlari aniqlansa, himoya
vositalari sozlanishiga va ularning ishlash rejimlariga va h. tuzatishlar kiritiladi.
Tizimni attestatsiyalash.
Axborot xavfsizligi tizimini vakolatli idora tomonidan
attestatsiyalash uning funksional tuliqligini va korporativ axborot tizimi himoyasining talab
qilingan darajasi ta’minlanganligini tasdiqlashga imkon beradi. Tizimning attestatsiyasi xavfsizlik
auditining bir ko‘rinishi hisoblanadi va ishlatiluvchi choralar kompleksi va himoya vositalarining
xavfsizlik darajasi talablariga mosligini baholash maqsadida himoyalanuvchi korxonani
ishlatishning real sharoitlarida kompleks tekshirishni ko‘zda tutadi. Attestatsiya natijasida hisobot
hujjati tayyorlanadi va moslik attestati beriladi. Bu attestat konfidensial axborot bilan attestatda
ko‘rsatilgan vaqt mobaynida ishlash huquqini beradi.
Kuzatish.
Axborot xavfsizligi tizimining ishga layoqatligini va o‘z vazifalarini tekis
bajarilishini madadlash uchun xavfsizlik tizimining dasturiy va apparat ta’minotini texnik
madadlash va kuzatish bo‘yicha tadbirlar kompleksi ko‘zda tutilishi lozim. Axborot xavfsizligi
tizimini texnik madadlash va kuzatish xizmatchi xodimlarning bilimi va ko‘nikmalarini talab etadi
va himoyalanuvchi tizim egasi - tashkilot shtatidagi axborot xavfsizligiga javob beruvchi xodimlar
tomonidan yoki ixtisoslashtirilgan tashkilot xodimlari tomonidan amalga oshirilishi mumkin.
Ko‘rilgan metodologiya qoidalaridan foydalanish korporativ axborot tizimining umumiy rivoji
bilan birga rivojlantirilishi va modifikatsiyalanishi mumkin bo‘lgan axborot xavfsizligining
samarali va ishonchli tizimini qurishga imkon beradi.
Nazorat uchun savollar:
1. Boshqarishning funksional vazifalari haqida ma’lumot bering
2. Xavfsizlik vositalarini boshqarish arxitekturasi haqida ma;lumot bering
3. Axborot tizimlarining auditi haqida ma’lumot bering
4. Axborot tizimlarining monitoringi haqida ma’lumot bering
5. Xavf-xatarlarni tahlillash va boshqarish haqida ma’lumot bering
6. Axborot xavfsizligi tizimini qurish metodologiyasi haqida ma’lumot bering