15 -ma'ruza. Xavfsizlikni amaliy boshqarish reja


Axborot xavfsizligi tizimini qurish bosqichlari



Yüklə 175,32 Kb.
Pdf görüntüsü
səhifə10/10
tarix07.01.2024
ölçüsü175,32 Kb.
#207326
1   2   3   4   5   6   7   8   9   10
15 MA\'RUZA

Axborot xavfsizligi tizimini qurish bosqichlari
. Axborot xavfsizligi tizimini qurish 
bosqichlarning quyidagi standartlashtirilgan ketma-ketligida amalga oshiriladi: xavfsizlik auditi; 
xavf-xatarlarni tahlillash, tizimni loyihalash, joriy etish, attestatsiyalash va kuzatish (9-rasm). 
Hozirda "xavfsizlik auditi" tushunchasi yetarlicha keng talqin etiladi. Auditning quyidagi 
ko‘rinishlari farqlanadi: 
- axborot xavfsizligini testli buzish; 
-
ekspress-tekshirish; 
-
tizimni attestatsiyalash; 
-
loyihagacha tekshirish. 
9-rasm. Axborot xavfsizligi tizimini qurish bosqichlari. Xavfsizlik auditi 


14 
Axborot xavfsizligi testli buzish korporativ axborot tizimining himoyalanish darajasini 
aniqlash nuqtai nazaridan samarali hisoblanmaydi. "Buzuvchi"ning asosiy maqsadi bir ikki 
zaifliklarni topib, ularni tizimdan foydalanishda ishlatish. Agar "testli buzish" muvaffaqiyatli 
chiqsa, ushbu muayyan " buzish "ning mumkin bo‘lgan ssenariysi rivojini oldini olib, zaifliklarni 
qidirishda davom etish kerak. "Testli buzish"ning muvaffaqiyatsizligini babbaravar testlanuvchi 
tizimning himoyalanganligi va testlarning yetishmasligi kabi talqin qilish mumkin. 
Eksperss-tekshirish 
doirasida, 
odatda, 
ko‘p 
vaqt 
sarfini 
talab 
etmaydigan, 
standartizatsiyalangan tekshirishlar asosida korporativ axborot tizimi xavfsizlik vositalarining 
umumiy holati baholanadi. Ekspress-tekshirish odatda axborot resurslarining minimal 
himoyalanish darajasini ta’minlovchi ustivor yunalishlarni aniqlash zaruriyati tug‘ilganda 
o‘tkaziladi. 
Tizimni attestatsiyalash tizimning axborot resurslarining himoyalanish talablariga 
mosligini tekshirish maqsadida amalga oshiriladi. Bunda ham tashkiliy, ham texnik jihatdan 
talablar to‘plami rasmiy tekshiriladi, xavfsizlik vositalarining amalga oshirilishining tuliqligi va 
yetarliligi ko‘riladi. 
Loyihagacha tekshirish auditning eng ko‘p mehnat talab qiladigan varianti hisoblanadi. 
Bunday audit axborot resurslari ilovalarida korxona tashkiliy tuzilmasini va xodimlarning u yoki 
bu ilovalardan foydalanish qoidalarini tahlil etishni kuzda tutadi. So‘ngra ilovalarning o‘zi 
tahlillanadi. Undan keyin bir sathdan ikkinchi sathning foydalanishdagi muayyan xizmatlar 
hamda axborot almashishga zarur bo‘lgan xizmatlar taxlillanishi lozim. So‘ngra xavfsizlikning 
o‘rnatilgan vositalarini tahlillash bilan tasavvur to‘ldiriladi. 
Xavf-xatarlarni taxlillash yuqoridagi 
bo‘limda batafsil ko‘rilgan. Axborot xavfsizligi 
buzilganda loyihagacha tekshirish, xavf-xatarlarni tahlillash bilan birgalikda axborot tizimidagi 
mavjud xavf-xatarlarni rutbalashga va adekvat choralarni ishlab chiqishga imkon beradi. 
Tizimni loyihalash. 
Himoyani tashkil etish strategiyasi nuqtai nazaridan resursli va servisli 
yondashish farqlanadi. Resursli yondashishda tizim resurslar to‘plami sifatida quriladi va axborot 
xavfsizligi tizimining komponentlari bu resurslarga bog‘lanadi. Resursli yondashish amalga 
oshirilganida axborotni himoyalash masalasi xizmatlar tuzilmasiga qo‘shimcha cheklashlarsiz 
yechiladi. Bu esa bir jinsli bo‘lmagan tizim sharoitida mumkin emas. Servisli yondashishda tizim 
foydalanuvchilarga taqdim etiluvchi xizmatlar to‘plami kabi talqin qilinadi. Hozirgi vaqtda 
servisli yondashish afzalroq hisoblanadi, chunki u tizimda amalga oshirilgan xizmatlarga 
boglanadi va "ortiqcha" xizmatlarni rad etish hisobiga qator tahdidlarni istisno qilinishiga imkon 
beradi. Bu esa tizimni yanada mantiqan asoslangan tizimga aylantiradi. Aynan servis yondashish 
xavfsizlikning zamonaviy standartlari, xususan ISO/IEC 15408 asosida yotadi. 
Axborot xavfsizligi tizimni qurishning ikkita asosiy ssenariysi mavjud: mahsulotli va 
loyihali. Mahsulotli ssenariy (yondashish) doirasida avval himoya vositalari to‘plami tanlanadi, 
ularning funksiyalari tahlillanadi, so‘ngra funksiyalar tahlili asosida axborot resurslaridan 
foydalanish siyosati belgilanadi. 
Loyihaga xarajatlar nuqtai nazaridan mahsulotli ssenariy eng arzon hisoblanadi. Undan 
tashqari, yechimlarning tanqisligi sharoitida ko‘pincha mahsulotli yondashish yagona hisoblanadi 
(masalan, kriptografik himoyada faqat shu yondashish qo‘llaniladi). 
Loyihali ssenariyda avval xavfsizlik siyosati ishlab chiqiladi, uning asosida xavfsizlik siyosatini 
amalga oshirishda zarur bo‘lgan funksiyalar aniqlanadi, so‘ngra bu funksiyalar bajarilishini 
ta’minlovchi himoya vositalari tanlanadi. 
Loyihali ssenariy asosida qurilgan tizimlar yaxshiro q, optimizasiyalangan va 
attestatsiyaning yuqori natijalarini beradi. Ushbu yondashish mahsulotli yondashishdan farqli 
ravishda boshidan u yoki bu platforma bilan boglanmaganligi tufayli, katta geterogen tizimlarni 
qurishda afzal hisoblanadi. Undan tashqari, uzoq muddatga mo‘ljallangan yechimlarni 
ta’minlaydi, chunki xavfsizlik siyosatini uzgartirmasdan yechimlarni va ximoya vositalarini 
almashtirishga imkon beradi. 
Axborot xavfsizligi tizimi arxitekturasini tanlash nuqtai nazaridan obyektli, tatbiqiy yoki 
aralash yondashishdan foydalaniladi. Obyektli yondashish axborot xavfsizligini u yoki bu obyekt 


15 
(bo‘linma, filial, tashkilot) tuzilmasi asosida yaratadi. Obyektli yondashishning qo‘llanishi 
tashkiliy choralarning bir jinsli to‘plamini madadlovchi xavfsizlik mexanizmlari uchun universal 
yechimlar tuplamidan foydalanishni kuzda tutadi. Bunday yondashishga misol tariqasida tashki 
axborot almashish, lokal tarmoq, telekommunikatsiya tizimlarining va hokazo himoyalangan 
infratuzilmalarini qurishni ko‘rsatish mumkin. Obyektli yondashishning kamchiligi uning 
universal mexanizmlarining, ayniqsa o‘zaro murakkab bog‘lanishli katta sonli ilovalarga ega 
bo‘lgan tashkilotlar uchun tugal emasligi. 
Tatbiqiy yondashish xavfsizlik mexanizmini muayyan ilovaga bog‘lab yaratadi. Tatbiqiy 
yondashishga misol tariqasida avtomatlashtirishning alohida masalasi (buxgalteriya, kadrlar va h.) 
uchun qism tizimlarning himoyasini ko‘rsatish mumkin. Ushbu yondashishning kamchiligi - 
ma’murlash va ishlatish xarajatlarini minimallashtirish maqsadida xavfsizlikning turli vositalarini 
uyg‘unlashtirish zaruriyati. 
Aralash yondashish yuqorida tavsiflangan ikkita yondashishni kombinatsiyalashni kuzda 
tutadi. Bunday yondashish loyihalash bosqichida ko‘proq mehnat talab qilsada, axborot 
xavfsizligi tizimini joriy etish va ishlatish narxi bo‘yicha afzalliklarni berishi mumkin. 
Joriy etish. 
Joriy etish bosqichi quyidagi ketma-ket o‘tkaziluvchi tadbirlarni o‘z ichiga 
oladi: 
-
himoya vositalarini o‘rnatish va konfiguratsiyalash; 
-
xodimlarni himoya vositalari bilan ishlashga o‘rgatish; 
-
dastlabki sinovni o‘tkazish; 
-
tajribaviy ishlatishga topshirish. 
Tajribaviy ishlatish, axborot xavfsizligi tizimini ishchi rejimiga tushirishdan avval, uning 
ishlashidagi mumkin bo‘lgan kamchiliklarni aniqlashga va yuqotishga imkon beradi. Agar 
tajribaviy ishlatish jarayonida komponentlarning to‘gri ishlamasligi faktlari aniqlansa, himoya 
vositalari sozlanishiga va ularning ishlash rejimlariga va h. tuzatishlar kiritiladi. 
Tizimni attestatsiyalash. 
Axborot xavfsizligi tizimini vakolatli idora tomonidan 
attestatsiyalash uning funksional tuliqligini va korporativ axborot tizimi himoyasining talab 
qilingan darajasi ta’minlanganligini tasdiqlashga imkon beradi. Tizimning attestatsiyasi xavfsizlik 
auditining bir ko‘rinishi hisoblanadi va ishlatiluvchi choralar kompleksi va himoya vositalarining 
xavfsizlik darajasi talablariga mosligini baholash maqsadida himoyalanuvchi korxonani 
ishlatishning real sharoitlarida kompleks tekshirishni ko‘zda tutadi. Attestatsiya natijasida hisobot 
hujjati tayyorlanadi va moslik attestati beriladi. Bu attestat konfidensial axborot bilan attestatda 
ko‘rsatilgan vaqt mobaynida ishlash huquqini beradi. 
Kuzatish. 
Axborot xavfsizligi tizimining ishga layoqatligini va o‘z vazifalarini tekis 
bajarilishini madadlash uchun xavfsizlik tizimining dasturiy va apparat ta’minotini texnik 
madadlash va kuzatish bo‘yicha tadbirlar kompleksi ko‘zda tutilishi lozim. Axborot xavfsizligi 
tizimini texnik madadlash va kuzatish xizmatchi xodimlarning bilimi va ko‘nikmalarini talab etadi 
va himoyalanuvchi tizim egasi - tashkilot shtatidagi axborot xavfsizligiga javob beruvchi xodimlar 
tomonidan yoki ixtisoslashtirilgan tashkilot xodimlari tomonidan amalga oshirilishi mumkin. 
Ko‘rilgan metodologiya qoidalaridan foydalanish korporativ axborot tizimining umumiy rivoji 
bilan birga rivojlantirilishi va modifikatsiyalanishi mumkin bo‘lgan axborot xavfsizligining 
samarali va ishonchli tizimini qurishga imkon beradi. 
Nazorat uchun savollar: 
1. Boshqarishning funksional vazifalari haqida ma’lumot bering 
2. Xavfsizlik vositalarini boshqarish arxitekturasi haqida ma;lumot bering 
3. Axborot tizimlarining auditi haqida ma’lumot bering 
4. Axborot tizimlarining monitoringi haqida ma’lumot bering 
5. Xavf-xatarlarni tahlillash va boshqarish haqida ma’lumot bering 
6. Axborot xavfsizligi tizimini qurish metodologiyasi haqida ma’lumot bering 

Yüklə 175,32 Kb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   10




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin