3. Kompüter şəbəkələrində informasiya təhlükəsizliyinin təmin olunmasının texnoloji aspektləri.
4. Elektron imza.
5. Nəticə
6.Ədəbiyyat 1. İnformasiya təhlükəsizliyi. Elmi-texniki inqilab informasiya cəmiyyətinin yaranmasına səbəb olmuşdur. Bu cəmiyyətdə informasiya və biliklər ən mühüm resurs və başlıca əmtəədir. Vətəndaşların, cəmiyyətin və dövlətin həyatında informasiyanın, informasiya resurslarının və texnologiyalarının rolunun artması informasiya təhlükəsizliyi məsələlərini ön plana çıxarır. Müasir cəmiyyət tədricən öz informasiya infrastrukturunun vəziyyətindən asılı olur.
İnformasiyanın təhlükəsizliyinin təmin olunması probleminin vacibliyini və aktuallığını şərtləndirən səbəblərdən aşağıdakıları xüsusi vurğulamaq olar:
şəbəkə texnologiyalarının geniş yayılması və lokal şəbəkələrin qlobal şəbəkələr halında birləşməsi;
informasiya təhlükəsizliyinin pozulmasına praktik olaraq mane olmayan qlobal Internet şəbəkəsinin inkişafı;
minimal təhlükəsizlik tələblərinə belə cavab verməyən proqram vasitələrinin geniş yayılması.
İnformasiya təhlükəsizliyi dedikdə, informasiya və ona xidmət edən infrastrukturun sahibi və ya istifadəçilərinə ziyan vurmağa səbəb olan təbii və ya süni xarakterli, təsadüfi və ya qəsdli təsirlərdən informasiya və ona xidmət edən infrastrukturun mühafizəliliyi nəzərdə tutulur. İnformasiyanın mühafizəsi – informasiya təhlükəsizliyinin təmin olunmasına yönəlmiş tədbirlər kompleksidir.
Cəmiyyəti mühüm məlumat və biliklərlə təmin edən informasiya eyni zamanda cəmiyyətə müəyyən ziyanlarda vura bilər. Ona görə də, informasiyanın cəmiyyətdə rolunu bilmək üçün ona iki aspektdən yanaşmaq lazımdır.
Mənfi-neqativ informasiyanın yayılmasının qarşısının alınması.
İnformasiyanın özünün qorunması.
İnformasiya və informasiya texnologiyaları hər bir ölkənin milli
təhlükəsizliyinin təmin olunması üçün mühüm vasitədir. İnformasiyalaşdırma cəmiyyətdə müxtəlif neqativ halların yaranmasına səbəb oldu. Kompüter cinayətkarlığı – qeyri-qanuni informasiya mənbələrinə daxil olmaq, viruslar yaymaq, banklardan “elektron pul” oğurlamaq, parnoqrafiya, “elektron şpionluq” kimi mənfi halların sürətlə yayılmasına başladı.
Hal-hazırda düzgün, keyfiyyətli informasiyaları seçmək və yalan informasiyaların yayılmasının qarşısının alınması problemi yaranmışdır. Ona görə də, şəxsiyyətin, dövlətin təhlükəsizliyini qorumaq üçün daha mükəmməl qanunlar işlənib hazırlanmalıdır.
Təhlükəsizlik – şəxsiyyətin, cəmiyyətin, dövlətin daxili və xarici təhlükələrdən qorunması kimi başa düşülür.
Şəxsiyyətin təhlükəsizliyi – onun hüquq və azadlıqlarının qorunmasıdır.
Cəmiyyətin təhlükəsizliyi – onun maddi və mənəvi dəyərlərinin qorunmasıdır.
Dövlətin təhlükəsizliyi – onun konstitusion quruluşunun, suverenliyinin və ərazi bütövlüyünün qorunmasıdır.
Dövlət bu işləri, icra orqanları, məhkəmə qanunverici orqanları vasitəsi ilə hayata keçirir.
İnformasiya təhlükəsizliyi – informasiya mühitində neqativ informasiyalardan qorunmaqla inkişafın təmin olunmasıdır. İnformasiya təhlükəsizliyi dövlətin müdafiə, ekoloji, iqtisadi təhlükəsizlik kimi formaları ilə yanaşı durur. Ona görə də, informasiya həm hüquqi həm texniki tərəfdən müdafiə olunmalıdır.
İnformasiya təhlükəsizliyi – həmçinin televiziya, radio, çap, şəbəkə vasitəsi ilə cəmiyyət həyatında dövr edən neqativ informasiyalardan qorunmaqla da təmin olunmalıdır. Bunun üçün hüquqi qanun bazaları da yaradılmalıdır. Bu qanunlarda informasiyaların oğurlanması, itirilməsinin, dəyişdirilməsinin, qeyri-qanuni məhv edilməsinin, surətinin götürülməsinin qarşısının alınmasının təmin edilməsi maddələri əks olunmalıdır.
İnformasiyanın qorunması üçün müxtəlif üsullar mövcuddur. Müxtəlif xidməti qurumlar və bu informasiyaları tam məxvliyini müəyyənləşdirməklə onun təhlükəsizliyini təmin etməlidirlər.
Texniki tərəfdən informasiyanın qorunması EHM – lərin təhlükəsizliyinin qorunması, açarların (parolların) qoyulması, kriptoqrafik müdafiə vasitələri ilə həyata keçirilir. İnformasiya təhlükəsizliyi inkişaf etmiş dövlətlər tərəfindən yüksək səviyyədə həyata keçirilir. Bu isə onların informasiya müharibəsində, kommersiya məxviliklərində mühüm rol oynayır.
İnformasiya təhlükəsizliyi (en. Information Security, ru. Информационнаябезопасность) - informasiya və ona xidmət edən infrastrukturun sahibi və ya istifadəçilərinə ziyan vurmağa səbəb olan təbii və ya süni xarakterli, təsadüfi və ya qəsdli təsirlərdən informasiya və ona xidmət edən infrastrukturun mühafizəli olmasıdır.
İnformasiyanın təhlükəsizliyinin təmin olunması probleminin vacibliyini və aktuallığını şərtləndirən səbəblərdən aşağıdakıları xüsusi vurğulamaq olar:
* şəbəkə texnologiyalarının geniş yayılması və lokal şəbəkələrin qlobal şəbəkələr halında birləşməsi;
* informasiya təhlükəsizliyinin pozulmasına praktik olaraq mane olmayan qlobal İnternet şəbəkəsinin inkişafı;
* minimal təhlükəsizlik tələblərinə belə cavab verməyən proqram vasitələrinin geniş yayılması.
İnformasiyanın mühafizəsi – informasiya təhlükəsizliyinin təmin olunmasına yönəlmiş tədbirlər kompleksidir.
Təhlükə
Təhlükə dedikdə sistemə dağılma, verilənlərin üstünün açılması və ya dəyişdirilməsi, xidmətdən imtina formasında ziyan vurulmasına səbəb ola bilən istənilən hal, şərait, proses və hadisələr nəzərdə tutulur.
Təhlükələri müxtəlif siniflərə ayırmaq olar. Meydana çıxma səbəblərinə görə təhlükələri təbii və süni xarakterli təhlükələrə ayırırlar. Süni xarakterli təhlükələr də öz növbəsində bilməyərəkdən və qəsdən törədilən təhlükələrə bölünür. Təsir məqsədlərinə görə təhlükələrin üç əsas növü ayırd edilir:
* Konfidensiallıq informasiyanın subyektiv müəyyən olunan xassəsidir. Verilən informasiyaya müraciət icazəsi olan subyektlərin siyahısına məhdudiyyət qoyulmasının zəruriliyini göstərir. Konfidensiallığın pozulmasına yönələn təhlükələr məxfi və ya gizli informasiyanın üstünün açılmasına yönəlib. Belə təhlükələrin reallaşması halında informasiya ona müraciət icazəsi olmayan şəxslərə məlum olur.
* Bütövlük - informasiyanın təhrifsiz şəkildə mövcudolma xassəsidir. İnformasiyanın bütövlüyünün pozulmasına yönələn təhlükələr onun dəyişdirilməsinə və ya təhrifinə yönəlib ki, bunlar da onun keyfiyyətinin pozulmasına və tam məhvinə səbəb ola bilər. İnformasiyanın bütövlüyü bədniyyətli tərəfindən qəsdən və ya sistemi əhatə edən mühit tərəfindən obyektiv təsirlər nəticəsində pozula bilər.
* Əlyetənlik – yolverilən vaxt ərzində tələb olunan informasiya xidmətini almaq imkanıdır. Həmçinin əlyetənlik – daxil olan sorğulara xidmət üçün onlara müraciət zəruri olduqda uyğun xidmətlərin həmişə hazır olmasıdır. Əlyetənliyin pozulmasına yönələn təhlükələr elə şəraitin yaradılmasına yönəlib ki, bu zaman müəyyən qəsdli hərəkətlər ya sistemin iş qabiliyyətini aşağı salır, ya da sistemin müəyyən resurslarına girişi bağlayır.
Təhlükələrin əlamətləri
Təhlükələr digər əlamətlərinə görə də təsnif oluna bilər:
* Baş vermə ehtimalına görə (çox ehtimallı, ehtimallı, az ehtimallı);
* Meydana çıxma səbəblərinə görə (təbii fəlakətlər, qəsdli hərəkətlər);
* Vurulmuş ziyanın xarakterinə görə (maddi, mənəvi);
* Təsir xarakterinə görə (aktiv, passiv);
* Obyektə münasibətinə görə (daxili, xarici).
Daxili və xarici təhlükələrin nisbətini təqribi olaraq belə xarakterizə etmək olar. Təhlükələrin 80%-i təşkilatın öz işçiləri tərəfindən onların bilavasitə və ya dolayısı yolla iştirakı ilə baş verir. Təhlükələrin 20%-i kənardan icra olunur.
İnformasiya təhlükəsizliyinin təminatının metod və sistemləri
1. İnformasiya təhlükəsizliyi (İT) anlayışı. Azərbaycan Respublikasının milli təhlükəsizlik sistemində İT. İT-nin əsas anlayışları. İT nəzəriyyəsinin ümumi metodoloci prinsipləri. İT-yə olan təhlükələrin analizi. İT-nin təmin edilməsinin metod və vasitələri. İnformasiyanın məxfililiyinin, tamlılığının və əlçatanlılığının pozulması: səbəbləri, növləri, itki kanalları və İnformasiyanın təhrifi.
2. İnformasiya təhlükəsizliyinin hüquqi təminatı. İT-nin hüquqi bazasının əsasını təşkil edən Azərbaycan Respublikasının qanunları. İT standartları. "Narıncı kitab", Ümumi Meyarlar. İT-nin inzibati təminatı. Təhlükəsizlik siyasəti (TS). TS-nin işlənməsi üzrə standartlar. TS-nin modelləri. İnformasiya təhlükəsizliyinin təşkilati təminatı. İnformasiya təhlükəsizliyinin proqram-apparat təminatı. İnformasiya sistemlərinin mühafizəlilik sinifləri və meyarları. Mühafizə olunan sistemlərin qiymətləndirilməsi standartları.
3. İdentifikasiya və autentifikasiya. Müraciətə nəzarətin əsas anlayışları. Müraciətə nəzarətin formal modelləri: Bella-Lapadula, Xarrison-Ruzze-Ulman, Biba. Müraciətə nəzarət vasitələri. Rollar əsasında müraciətə nəzarət. Protokollaşdırma və audit. Ekranlaşdırma.
4. İnformasiyanın mühafizəsinin kriptoqrafik metodları. Kriptoqrafiyanın əsas anlayışları. Tarixi şifrlər. Kriptoqrafik mühafizə sistemlərinin nəzəri, praktiki və zamana görə davamlılığı. Psevdotəsadüfi ardıcıllıqların alınması metodları. Müasir axın və blok şifrləmə alqoritmləri. Asimmetrik şifrləmə sistemləri, açıq açar, elektron imza. Tamlığa nəzarət. Açarların qenerasiyası və paylanması məsələləri. Kriptoqrafik mühafizənin etibarlılığının əsaslandırılması metodologiyası.
5. İnformasiyanın texniki kəşfiyyatdan mühafizəsi. İnformasiya sisteminin fəaliyyəti haqqında informasiyanın sızmasının əsas fiziki kanalları. İnformasiya sisteminin texniki kəşfiyyat üçün zəif olan qovşaq və blokları. Kənar siqnalları müasir tutma vasitələrinin texniki parametrləri. Mühəndis-texniki kəşfiyyatdan mühafizə metodları və vasitələri. Mühəndis-texniki mühafizənin keyfiyyətinin qiymətləndirilməsi metodikası.
6. Dağıdıcı proqram təsiri. Kompyuter virusları xüsusi sinif dağıdıcı proqram təsirləri kimi. Virusların təsnifatı. Virusların aşkar olunması və onlardan mühafizə metodlarv. Təcrid edilmiş proqram mühiti. Proqram məhsullarına dəyişiklik edilməsindən mühafizə və onların tamlığına nəzarət, tədqiq edilmədən mühafizə.
7. İnformasiya sistemlərinin proqram realizasiyasının mühafizə alqoritmlərinin analizi metodikası. Proqram məhsullarının mühafizəsi alqoritmlərinin bərpa edilməsi metodları. Tipik proqram məhsullarının kriptoqrafik mühafizə səviyyəsinin qiymətləndirilməsi. Açarların yaradılmasının və paylanmasının xüsusiyyətlərinin analizi. Kriptoqrafik əlfəcinlərin qoyulması imkanlarının analizi. Şəbəkə kompyuterinin uzaq məsafədən şəbəkə üzrə hücumlərdan mühafizəliliyinin ekspres analizi.
8. Şəbəkə resurslarının təhlükəsizliyi: identifikasiya və autentifikasiya vasitələri, resursların bölünməsi metodları və müraciətin məhdudlaşdırılması texnologiyası. Təhlükəsizliyin təmin olunması texnologiyaları, əsas protokollar, tətbiqi proqramların fəaliyyəti, işlənməsi və müşaiyət olunması, müxtəlif platformalarda realizəsinin xüsusiyyətləri, INTERNET şəbəkəsinin standartları. İnkişaf perspektivləri. Təhlükəsizliyin təmin olunmasının və paylanmış resursların idarə edilməsinin əsas mexanizmləri.
9. Müraciətə nəzarətin və ƏS-in resurslarının mühafizəsinin təşkili.
10. Verilənlər bazasının (VB) təhlükəsizliyinin təmin olunması vasitələri: VBİS və baza ƏS-in qarşılıqlı əlaqəsi, VB-nin ehtiyat surətlərin yaradılması və bərpası vasitələri, VB sistemlərinə uzaqdan müraciət texnologiyaları, paylanmış VB sistemlərində nüsxələmə sinxronlaşdırma. VB-nin təhlükəsizlik administratorunun məsələləri və vasitələri.
Siyasət – təşkilatın fəaliyyətinin müəyyən aspektlərini idarə etmək üçün təsbit edilmiş qaydalar məcmusudur. Siyasət biznesin məqsədlərinin, hüquqi tələblərin və ya təşkilatın korporativ normalarının təmin edilməsi üçün nə etmək lazım olduğunu müəyyən edir.
İnformasiya təhlükəsizliyi siyasәtinin işlənməsi müәssisәnin informasiya təhlükəsizliyi sisteminin tәşkil edilmәsindә ilk tәlәblәrdәn biridir. İnformasiya təhlükəsizliyi siyasətinin məqsədi rəhbərliyin informasiya təhlükəsizliyi üzrə idarəçiliyini və dəstəyini biznesin tələblərinə, müvafiq qanunlara və normativlərə uyğun olaraq təmin etməkdir.
ISO 27001 standartına görə informasiya təhlükəsizliyi siyasəti daha ümumi sənədin - informasiya təhlükəsizliyinin idarə edilməsi siyasətinin altçoxluğudur. Bu siyasətlər bir sənəddə də əks oluna bilərlər.Sənədləşdirilmiş informasiya təhlükəsizliyi siyasəti rəhbərliyin münasibətini bəyan etməli və informasiya təhlükəsizliyinin idarə edilməsinə yanaşmanı müəyyən etməli, informasiya təhlükəsizliyi anlayışını, onun əsas məqsədlərini və təsir dairəsini müəyyən etməli, qiymətləndirmənin strukturu və risklərin idarə edilməsi daxil olmaqla nəzarətin məqsədlərini və mexanizmlərini müəyyən etmək üçün əsas müddəaları daxil etməlidir.İnformasiya təhlükəsizliyi siyasəti üzrə sənəd rəhbərlik tərəfindən təsdiq olunmalı, nəşr edilməli və bütün işçilərə və müvafiq xarici tərəflərə çatdırılmalıdır.
İnformasiya təhlükəsizliyi siyasəti müəyyən resursların (məsələn, vacib kompyuter sistemlərinin və verilənlərin) mühafizəsinə məqsədləri, məsuliyyəti və ümumi tələbləri təsvir edir, lakin özlüyündə təşkilatın tələblərinin yerinə yetirilməsini təmin etməyə qabil deyil. İnformasiya təhlükəsizliyi siyasəti təhlükəsizlik mexanizmləri vəprosedurlar (reqlamentlər) kompleksinin köməyi ilə realizə olunmalıdır.