Əsas anlayişlar
İnformasiya təhlükəsizliyinin təsnifatı bir neçə kriteriya əsasında yerinə yetirilə bilər
Yüklə 52,08 Kb.
|
|
İnformasiya təhlükəsizliyinin təsnifatı bir neçə kriteriya əsasında yerinə yetirilə bilər:
1.İnformasiya təhlükəsizliyinin aspekti baxımından: təhlükənin konfidensiallığı, tamlığı və əlçatanlığı. Bura təhlükənin aufentifikasiyasını və apellyasiya verilməsini də əlavə etmək olar. 2.Avtomatlaşdırılmış informasiya sistemlərinin təşkiledicilərinə təhlükənin vurduğu ziyan baxımından: verilənlər, proqram təminatı, infrastrukturun dəstəklənməsi. 3.Təhlükənin mənbəyinin yerləşməsi baxımından: araşdırılan avtomatlaşdırılmış informasiya sisteminin daxilində və ya xaricində yerləşənlər. İnsayderlər tərəfindən həyata keçirilən təhlükələr daha qorxuludur. 4.Əmələgəlmə təbiəti baxımından: təbii (obyektiv) və sünii (subyektiv). Təbii təhlükələr - insandan asili olmayaraq AİS-nə və onun elementlərinə obyektiv fiziki proseslərin və təbii fəlakətlərin baş verməsi nəticəsində təsir göstərən təhlükələrdir. Süni təhlükələr – insanın fəaliyyəti nəticəsində baş vermiş təhlükələrdir. Belə təhlükələrə düşünülməmiş, məqsədsiz və təsadüfi təhlükələri, AİS-nin layihələndirilməsində baş vermiş səhvləri, proqram təminatında nəzərə alınmayan səhvləri, iş prosesi zamanı işçi personal tərəfindən buraxılmış səhvləri və nəhayət, bədəməlli şəxslərin məqsədyönlü həyata keçirdiyi təhlükələri və buna bənzərləri aid etmək olar. Müxtəlif ədəbiyyatlarda verilmiş təhlükələrin (insan tərəfindən törənilmiş - qərəzsiz, bilmərəkdən, diqqətsizlikdən və ya səhlənkarlıqdan, pislik fikrində olmadan) siyahısını nəzərdən keçirək: 1. Bilməyərəkdən edilmiş hərəkətlər nətəcəsində sistemin hissələrlə və ya tam şəkildə işləməkdən imtina etməsinə, aparat hissəsinin dağıdılmasına, proqram təminatının zədələnməsinə, informasiya resurslarının xarab olmasına səbəb olur. Bu syahıya avadanlığın düşünülməmiş şəkildə dağıdılmasını, mühim informasiyanı özündə saxlayan faylların korlanmasını, istifadə olunan proqramların sistemdən kənarlaşdırılmasını və sairəni də əlavə etmək mümkündür; 2. Qurğuların və proqramın işləmə rejiminin dəyişdirilməsi və ya qanunsuz olaraq avadanlığın şəbəkədən ayrılması; 3. İnformasiya daşıyıcılarına düşünülmədən xətərin yetirilməsi; 4. Səriştəsizlik (və ya təcrübəsizlik) üzündən sistemin işləmə qabiliyyətini korlayan proqramın işə salınması və ya informasiya daşıyıcılarının formatlanmasının həyata keçirilməsi, lazım olan verilənlərin ləğv edilməsi və s; 5. İş yerində istifadə olunan kompüterlərin resurslarından istifadə edərək qeyri-leqal və ədəbsiz proqramlardan istifadə edilməsinin və tətbiq edilməsinin (oyun, öyrədici, texnoloji və başqaları) məhdudlaşdırılması. Bunlar istifadə olunan kompüterlərin əlavə yüklənməsinə, operativ yaddaşın səmərəsiz istifadə edilməsinə, xarici yaddaş qurğusunun mənasız proqramlarla yüklənməsinə və s. gətirib çıxarır; 6. İstifadə olunan kompüterin viruslara yoluxmasına imkanın verilməsi; 7. Ehtiyatsız hərəkət nəticəsində konfidensial olan informasiyaların hamıya yayılması və bu tip informasiyaların hamı üçün əlçatan olması; 8. İstifadə olunan parolların, şifrələnmiş açarların, identifikasiya kartoçkalarının və başqalarının hamıya bildirilməsi nəticəsində informasiya atributlarının ötürülməsi, məxfiliyinin itirilməsi və istənilən şəxsin bu barədə məlumatlı olması; 9. Sistemin işləmə qabiliyyətinə və istifadə olunan informasiyaya təhlükə yaradan amillərin (məsələn, sistemin arxitekturasının layihələndirilməsi, verilənlərin texnologiya əsasında təhlili, tətbiqi proqramların yaradılması və s.) araşdırılması; 10. Sistem işləyərkən təşkilatı məhdudiyyətlərə qoyulmuş qanunlar əsasında əhəmiyyətin verilməməsi; 11. Müdafiə vasitələrindən yan keçməklə sistemə daxil olmaq (məsələn, sazlanmış əməliyyat sistemini xarici informasiya daşıyıcılarından istifadə etməklə sistemə yükləmək); 12. Təhlükəsizlik xidməti işçiləri tərəfindən müdafiə sisteminin qeyriqanuni şəbəkədən açılması, təcrübəsiz istifadə olunması, sazlanması və s. qarşısının alınması; 13. Abonentin (qurğunun) yanlış ünvanına verilənlərin göndərilməsi; 14. Düzgün olmayan informasiyanın daxil edilməsi; 15. Bilmərəkdən rabitə kanalına zədə vurulması. Düşünülmüş şəkildə işin pozulmasının əsas yolları, sistemin işdən çıxarılması, sistemə daxil olma və icazəsiz informasiyadan istifadə etmə və s. aşağıdakı hallarda baş verir: 1. Sistemin fiziki dağıdılması (partlayış və yanğınlar törətməklə və s.) və ya kompüter sisteminin əsas təşkiledicilərinin sıradan çıxarılması (qurğular, əhəmiyyətli informasiya daşıyıcıları, əməkdaşlardan bəziləri və s.); 2. Hesablama sisteminin funksiya yerinə yetirməsini təmin edən altsistemlərin siradan çıxarılması və ya şəbəkədən ayrılması (elektrik qidalanması, soyuducu qurğular və hava dəyişmə qurğuları, rabitə xətləri və s.); 3. Sistemin işdən çıxarılmasına təsir edən faktorlar (qurğuların və proqramların iş rejiminin dəyişdirilməsi, əməkdaşların qəsdən işləməməsini və ya işlərini pozmaq yolu ilə işə mane olmaq, işçiləri nümayişə çağırmaq, sistemin işləməsinə maneçilik edəcək aktiv radiomaniənin yaradılmasına şərait yaratmaq və s.); 4. Təhlükəsizliyə cavabdehlik daşıyan əməkdaşlardan, həmçinin inzabati işçilər arasından könüllüləri seçmək; 5. Müəyyən işləri görmək üçün məsuliyyət daşıyan, müvəkkil seçilmiş istifadəçilərə hədə-qorxu gəlməklə və ya pulla ələ almaqla bəzi əməliyyatları yerinə yetirməyə cəlb etmək; 6. Xəlvəti qulaq asmaq üçün yararlı olan qurğulardan, uzaq məsafədən şəkil çəkməyə imkan verən fotoaparatlardan, video çəkilişlərdən və s. istifadə etmək; 7.Rabitə xəttində elektromaqnit, akustik və digər şüa buraxan qurğulardan, həmçinin aktiv şüalanma yaradan koməkçi texniki qurğulardan, informasiyanın təhlil olunmasında bilavasutə iştirak etməyən qurğulardan (telefon xəttindən, qida mənbəyindən, istilik sistemindən və buna bənzərlərdən) istifadə etmək; 8. Rabitə kanalı vasitəsilə ötürülən məlumatların əldə olunması, onların təhlili, avtorizasiya edilmiş istifadəçilərin sistemə daxil olmasının imitasiya edilməsinin təşkili; 9. İnformasiya daşıyıcılarının oğurlanması; 10. İnformasiya daşıyıcılarına yazılmış qiymətli informasiyanın icazəsiz surətinin alınması; 11. İstehsal tullantılarının (möhürü qopardılmış sənədlərin, əlyazmalarının, hesabdan silinmiş informasiya daşıyıcılarının və s.) oğurlanması; 12. Operativ yaddaşda və xarici yaddaş qurğusunda saxlanılmış informasiyanın oxunması; 13. Əməliyyat sistemindən istifadə etməklə operativ yaddaşın müəyyən sahələrində qalmış informasiyanın oxunması, həmçinin asinxron rejimdə əməliyyat sisteminin çatışmazlıqlarından istifadə etməklə informasiyanın oxunması; 14. Parolların və digər məhdud istifadəyə malik rekvizitlərin qeyri-qanuni alınması (məsələn, istifadəçinin səhlənkarlığından istifadə etməklə, sistemin interfeysini imitasiya etməklə, sistemin interfeysini seçim etməklə, cəsus yönümlü işçiləri ələ almaqla və s.) və şirkətdə onlardan heç bir işçinin şübhələnməməsi üçün özlərini maskalaması 15. Unikal fiziki xarakteristikaları olan istifadəçi terminallarından icazəsiz istifadə edilməsi (məsələn, şəbəkədəki işçi stansiyanın nömrəsindən, fiziki ünvandan, rabitə sistemindəki ünvandan, kodlama aparat bloklarından və s.); 16. Kriptoqrafiyadan istifadə etməklə şifrələnmiş informasiyanın açıqlanması; 17. Rabitə xəttinə qeyri-qanuni qoşulmaqla informasiyanı təhlil etməklə lazım olan “sətirlərarası” məlumatlardan bəhrələnmək və bu məqsədlə bu sahənin sahibinin adından istifadə etmək; 18. Şəbəkədən qanuni istifadə edən işçiyə mane olmaq üçün qeyri-qanuni yolla onu şəbəkədən fiziki şəkildə ayırmaqla lazım olan informasiyanı əldə etdikdən sonra həmin informasiyanı mənasız, yalanlardan ibarət olan informasiya ilə əvəz etmək. Aparılmış tədqiqatlar göstərir ki, pisniyyətli işçilər öz əməllərini şirkət daxilində həyata keçirmək üçün öndə göztərilmiş yollardan ya birini seçir, ya da ki, onun üçün əlverişli olanlardan (bir neçəsindən) istifadə edirlər. Yüklə 52,08 Kb. Dostları ilə paylaş:
|