15 -ma'ruza. Xavfsizlikni amaliy boshqarish reja
Axborot xavfsizligi tizimini qurish bosqichlari
Yüklə 175,32 Kb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- Nazorat uchun savollar
|
Axborot xavfsizligi tizimini qurish bosqichlari
. Axborot xavfsizligi tizimini qurish bosqichlarning quyidagi standartlashtirilgan ketma-ketligida amalga oshiriladi: xavfsizlik auditi; xavf-xatarlarni tahlillash, tizimni loyihalash, joriy etish, attestatsiyalash va kuzatish (9-rasm). Hozirda "xavfsizlik auditi" tushunchasi yetarlicha keng talqin etiladi. Auditning quyidagi ko‘rinishlari farqlanadi: - axborot xavfsizligini testli buzish; - ekspress-tekshirish; - tizimni attestatsiyalash; - loyihagacha tekshirish. 9-rasm. Axborot xavfsizligi tizimini qurish bosqichlari. Xavfsizlik auditi 14 Axborot xavfsizligi testli buzish korporativ axborot tizimining himoyalanish darajasini aniqlash nuqtai nazaridan samarali hisoblanmaydi. "Buzuvchi"ning asosiy maqsadi bir ikki zaifliklarni topib, ularni tizimdan foydalanishda ishlatish. Agar "testli buzish" muvaffaqiyatli chiqsa, ushbu muayyan " buzish "ning mumkin bo‘lgan ssenariysi rivojini oldini olib, zaifliklarni qidirishda davom etish kerak. "Testli buzish"ning muvaffaqiyatsizligini babbaravar testlanuvchi tizimning himoyalanganligi va testlarning yetishmasligi kabi talqin qilish mumkin. Eksperss-tekshirish doirasida, odatda, ko‘p vaqt sarfini talab etmaydigan, standartizatsiyalangan tekshirishlar asosida korporativ axborot tizimi xavfsizlik vositalarining umumiy holati baholanadi. Ekspress-tekshirish odatda axborot resurslarining minimal himoyalanish darajasini ta’minlovchi ustivor yunalishlarni aniqlash zaruriyati tug‘ilganda o‘tkaziladi. Tizimni attestatsiyalash tizimning axborot resurslarining himoyalanish talablariga mosligini tekshirish maqsadida amalga oshiriladi. Bunda ham tashkiliy, ham texnik jihatdan talablar to‘plami rasmiy tekshiriladi, xavfsizlik vositalarining amalga oshirilishining tuliqligi va yetarliligi ko‘riladi. Loyihagacha tekshirish auditning eng ko‘p mehnat talab qiladigan varianti hisoblanadi. Bunday audit axborot resurslari ilovalarida korxona tashkiliy tuzilmasini va xodimlarning u yoki bu ilovalardan foydalanish qoidalarini tahlil etishni kuzda tutadi. So‘ngra ilovalarning o‘zi tahlillanadi. Undan keyin bir sathdan ikkinchi sathning foydalanishdagi muayyan xizmatlar hamda axborot almashishga zarur bo‘lgan xizmatlar taxlillanishi lozim. So‘ngra xavfsizlikning o‘rnatilgan vositalarini tahlillash bilan tasavvur to‘ldiriladi. Xavf-xatarlarni taxlillash yuqoridagi bo‘limda batafsil ko‘rilgan. Axborot xavfsizligi buzilganda loyihagacha tekshirish, xavf-xatarlarni tahlillash bilan birgalikda axborot tizimidagi mavjud xavf-xatarlarni rutbalashga va adekvat choralarni ishlab chiqishga imkon beradi. Tizimni loyihalash. Himoyani tashkil etish strategiyasi nuqtai nazaridan resursli va servisli yondashish farqlanadi. Resursli yondashishda tizim resurslar to‘plami sifatida quriladi va axborot xavfsizligi tizimining komponentlari bu resurslarga bog‘lanadi. Resursli yondashish amalga oshirilganida axborotni himoyalash masalasi xizmatlar tuzilmasiga qo‘shimcha cheklashlarsiz yechiladi. Bu esa bir jinsli bo‘lmagan tizim sharoitida mumkin emas. Servisli yondashishda tizim foydalanuvchilarga taqdim etiluvchi xizmatlar to‘plami kabi talqin qilinadi. Hozirgi vaqtda servisli yondashish afzalroq hisoblanadi, chunki u tizimda amalga oshirilgan xizmatlarga boglanadi va "ortiqcha" xizmatlarni rad etish hisobiga qator tahdidlarni istisno qilinishiga imkon beradi. Bu esa tizimni yanada mantiqan asoslangan tizimga aylantiradi. Aynan servis yondashish xavfsizlikning zamonaviy standartlari, xususan ISO/IEC 15408 asosida yotadi. Axborot xavfsizligi tizimni qurishning ikkita asosiy ssenariysi mavjud: mahsulotli va loyihali. Mahsulotli ssenariy (yondashish) doirasida avval himoya vositalari to‘plami tanlanadi, ularning funksiyalari tahlillanadi, so‘ngra funksiyalar tahlili asosida axborot resurslaridan foydalanish siyosati belgilanadi. Loyihaga xarajatlar nuqtai nazaridan mahsulotli ssenariy eng arzon hisoblanadi. Undan tashqari, yechimlarning tanqisligi sharoitida ko‘pincha mahsulotli yondashish yagona hisoblanadi (masalan, kriptografik himoyada faqat shu yondashish qo‘llaniladi). Loyihali ssenariyda avval xavfsizlik siyosati ishlab chiqiladi, uning asosida xavfsizlik siyosatini amalga oshirishda zarur bo‘lgan funksiyalar aniqlanadi, so‘ngra bu funksiyalar bajarilishini ta’minlovchi himoya vositalari tanlanadi. Loyihali ssenariy asosida qurilgan tizimlar yaxshiro q, optimizasiyalangan va attestatsiyaning yuqori natijalarini beradi. Ushbu yondashish mahsulotli yondashishdan farqli ravishda boshidan u yoki bu platforma bilan boglanmaganligi tufayli, katta geterogen tizimlarni qurishda afzal hisoblanadi. Undan tashqari, uzoq muddatga mo‘ljallangan yechimlarni ta’minlaydi, chunki xavfsizlik siyosatini uzgartirmasdan yechimlarni va ximoya vositalarini almashtirishga imkon beradi. Axborot xavfsizligi tizimi arxitekturasini tanlash nuqtai nazaridan obyektli, tatbiqiy yoki aralash yondashishdan foydalaniladi. Obyektli yondashish axborot xavfsizligini u yoki bu obyekt 15 (bo‘linma, filial, tashkilot) tuzilmasi asosida yaratadi. Obyektli yondashishning qo‘llanishi tashkiliy choralarning bir jinsli to‘plamini madadlovchi xavfsizlik mexanizmlari uchun universal yechimlar tuplamidan foydalanishni kuzda tutadi. Bunday yondashishga misol tariqasida tashki axborot almashish, lokal tarmoq, telekommunikatsiya tizimlarining va hokazo himoyalangan infratuzilmalarini qurishni ko‘rsatish mumkin. Obyektli yondashishning kamchiligi uning universal mexanizmlarining, ayniqsa o‘zaro murakkab bog‘lanishli katta sonli ilovalarga ega bo‘lgan tashkilotlar uchun tugal emasligi. Tatbiqiy yondashish xavfsizlik mexanizmini muayyan ilovaga bog‘lab yaratadi. Tatbiqiy yondashishga misol tariqasida avtomatlashtirishning alohida masalasi (buxgalteriya, kadrlar va h.) uchun qism tizimlarning himoyasini ko‘rsatish mumkin. Ushbu yondashishning kamchiligi - ma’murlash va ishlatish xarajatlarini minimallashtirish maqsadida xavfsizlikning turli vositalarini uyg‘unlashtirish zaruriyati. Aralash yondashish yuqorida tavsiflangan ikkita yondashishni kombinatsiyalashni kuzda tutadi. Bunday yondashish loyihalash bosqichida ko‘proq mehnat talab qilsada, axborot xavfsizligi tizimini joriy etish va ishlatish narxi bo‘yicha afzalliklarni berishi mumkin. Joriy etish. Joriy etish bosqichi quyidagi ketma-ket o‘tkaziluvchi tadbirlarni o‘z ichiga oladi: - himoya vositalarini o‘rnatish va konfiguratsiyalash; - xodimlarni himoya vositalari bilan ishlashga o‘rgatish; - dastlabki sinovni o‘tkazish; - tajribaviy ishlatishga topshirish. Tajribaviy ishlatish, axborot xavfsizligi tizimini ishchi rejimiga tushirishdan avval, uning ishlashidagi mumkin bo‘lgan kamchiliklarni aniqlashga va yuqotishga imkon beradi. Agar tajribaviy ishlatish jarayonida komponentlarning to‘gri ishlamasligi faktlari aniqlansa, himoya vositalari sozlanishiga va ularning ishlash rejimlariga va h. tuzatishlar kiritiladi. Tizimni attestatsiyalash. Axborot xavfsizligi tizimini vakolatli idora tomonidan attestatsiyalash uning funksional tuliqligini va korporativ axborot tizimi himoyasining talab qilingan darajasi ta’minlanganligini tasdiqlashga imkon beradi. Tizimning attestatsiyasi xavfsizlik auditining bir ko‘rinishi hisoblanadi va ishlatiluvchi choralar kompleksi va himoya vositalarining xavfsizlik darajasi talablariga mosligini baholash maqsadida himoyalanuvchi korxonani ishlatishning real sharoitlarida kompleks tekshirishni ko‘zda tutadi. Attestatsiya natijasida hisobot hujjati tayyorlanadi va moslik attestati beriladi. Bu attestat konfidensial axborot bilan attestatda ko‘rsatilgan vaqt mobaynida ishlash huquqini beradi. Kuzatish. Axborot xavfsizligi tizimining ishga layoqatligini va o‘z vazifalarini tekis bajarilishini madadlash uchun xavfsizlik tizimining dasturiy va apparat ta’minotini texnik madadlash va kuzatish bo‘yicha tadbirlar kompleksi ko‘zda tutilishi lozim. Axborot xavfsizligi tizimini texnik madadlash va kuzatish xizmatchi xodimlarning bilimi va ko‘nikmalarini talab etadi va himoyalanuvchi tizim egasi - tashkilot shtatidagi axborot xavfsizligiga javob beruvchi xodimlar tomonidan yoki ixtisoslashtirilgan tashkilot xodimlari tomonidan amalga oshirilishi mumkin. Ko‘rilgan metodologiya qoidalaridan foydalanish korporativ axborot tizimining umumiy rivoji bilan birga rivojlantirilishi va modifikatsiyalanishi mumkin bo‘lgan axborot xavfsizligining samarali va ishonchli tizimini qurishga imkon beradi. Nazorat uchun savollar: 1. Boshqarishning funksional vazifalari haqida ma’lumot bering 2. Xavfsizlik vositalarini boshqarish arxitekturasi haqida ma;lumot bering 3. Axborot tizimlarining auditi haqida ma’lumot bering 4. Axborot tizimlarining monitoringi haqida ma’lumot bering 5. Xavf-xatarlarni tahlillash va boshqarish haqida ma’lumot bering 6. Axborot xavfsizligi tizimini qurish metodologiyasi haqida ma’lumot bering Yüklə 175,32 Kb. Dostları ilə paylaş:
|