Mövzu 1: İnformatika fənni, predmeti və onun tərkib hissəLƏRI

 157
- Proqram-texniki tədbirlər.
Təəssüflə qeyd etmək lazımdır ki, qanunvericilik bazası praktikanın
tələblərindən geri qalır.
İnzibati səviyydə qəbul edilən tədbirlərin əsas məqsədi, informsiya
təhlükəsizliyi sahəsində işlər proqramını formalaşdırmaq və onun yerinə yetirilməsini
zəruri resurslar ayırmaqla və işlərin vəziyyətinə nəzarət etməklə yerinə yetirilməsini
təmin etməkdir. İşlər proqramının əsasını təşkilatın öz informasiya aktivlərinin
müdafiəsinə yanaşmasını əks etdirən təhlükəsizlik siyasətidir.
İnformasiya təhlükəsizliyi siyasətinin yaradlması. Təhlükəsizlik siyasəti –
təşkilatda məxfi verilənlərin və informasiya proseslərinin müdafiəsi üzrə pekspektiv
tədbirlər kompleksidir. Təhlükəsizlik siyasətinin tərkibinə şəxsi heyətin, menecerlərin
və texniki xidmətin ünvanına tələblər əks olunur. İnformasiya təhlükəsizliyi siyasəti-
nin işlənməsinin əsas istiqamətləri aşağıdakılardır:
- Hansı verilənlərin və hansı ciddiliklə qorunması zəruri olduğunu müəyyən etmək;
- İnformasiya aspektində təşkilata kimin hansı ziyanı vura bilməsini müəyyən
etmək;
- Risklərin hesablanması və onların qəbulediləcək səviyyəyə qədər azaldılması
sxemini müəyyən etmək.
Təşkilatda informasiya təhlükəsizliyi sahəsində cari vəziyyəti qiymətləndirmək
üçün iki sistem mövcuddur. Onları obrazlı olaraq “yuxarıdan aşağıya araşdırma” və
“aşağıdan yuxarıya araşdırma” adlandırırlar. Birinci metod olduqca sadədir, daha az
kapital qoyuluşu tələb edir və az da imkanlara malikdir. İnformasiya təhlükəsizliyi
xidməti bütün məlum hücum növləri haqda məlumata əsaslanaraq, real bədniyyətli
tərəfindən belə hücumun mümkün olmasını yoxlamaq məqsədi ilə onları praktikada
tətbiq etməyə cəhd edir.
“Yuxarıdan aşağı” metodu mahiyyətcə informasiyanın mövcud saxlama və emal
sxeminin ətraflı analizidir. Bu metodun ilk mərhələsi, müdafiəsi zəruri olan
informasiya obyektinin və axınlarının müəyyən olunmasıdır. Sonra informasiya
təhlükəsizliyi sisteminin cari vəziyyətinin öyrənilməsi gəlir. Hansı klassik müdafiə
metodlarının hansı həcmdə və hansı səviyyədə realizə olunduğu müəyyən edilir.
Üçüncü mərhələ bütün informasiya obyektlərinin məxfilik, tamlıq və icazə
(buraxılış) tələblərinə uyğun olaraq siniflərə təsnifatı aparılır.
Sonrakı mərhələ hər bir konkret informasiya obyektinə hücumun təşkilata hansı
ciddilikdə ziyan vurması aydınlaşdırılır. Bu mərhələ “risklərin hesablanması” adlanır.
İlkin yaxınlaşmada risk “hücumdan mümkün ziyan”-ın “belə ziyanın ehtimalı”-na
hasili kimi hesablana bilər. Riskin hesablanmasının bir çox sxemləri mövcuddur.

 158
Qeyd etmək zəruridir ki, hücumun vurduğu ziyanın həcmini, informasiyanın
sahibi və ya onunla işləyən şəxsi heyyət qiymətləndirməlidir. Hücumun baş vermə
ehtimalının qiymətləndirilməsini isə təşkilatın texniki əməkdaşlarına həvalə etmək
məqsədəuyğundur.
Sonrakı mərhələdə təşkilatın risklər cədvəli tərtib olunur.
Risk cədvəlinin analizi mərhələsində riskin yolverilən maksimal qiyməti
(məsələn, 7) verilir. Cədvəlin hər bir sətrinin riskin bu qiymətini aşması yoxlanılır.
Əgər belə aşma varsa, bu sətir – təhlükəsizlik siyasətinin işlənməsinin ən birinci
məqsədlərindən biridir. Sonra ikiyə vurulmuş qiymətin (bizim misalda2*7=14)
inteqral risklə (“Yekun” xanası) müqayisəsi aparılır. Əgər inteqral risk yol verilən
qiyməti aşırsa, deməli təhlükəsizlik sistemində kiçik xətalar çoxluğu seçmək olar ki,
nəticədə təşkilata səmərəli işləməyə mane olarlar. Bu halda inteqral riskə ən çox pay
verən sətrlər seçilir və onların azaldılması və ya tam aradan qaldırılmasına cəhd
olunur. Ən məsul mərhələdə həm ayrı–ayrı risklərin, həm də inteqral riskin lazımi
səviyyəsini təmin edən informasiya təhlükəsiliyi siyasəti işlənilir. Onun işlənməsi
zamanı təhlükəsizlik siyasətinin realizə olunması yoluna çıxa bilən obyektiv
problemləri nəzərə almaq lazımdır. Belə problemlərə ölkənin və beynəlxalq birliklərin
qanunları, korporasiyaların daxili tələbləri, cəmiyyətin etik normaları ola bilər.
Realizə olunması planlaşdırılın bütün texniki və inzibati tədbirlərin təsvirindən
sonra, bu proqramın iqtisadi dəyəri hesablanır. Təhlükəsizlik proqramına maliyyə
qoyuluşu qəbuledilməz olduqda və ya hücumlardan potensial ziyanla müqayisədə
sadəcə iqtisadi cəhətdən sərfəli olmadığı halda risk cədvəlinin analizi mərhələsinə
qayıdıb riskin maksimal yol verilən qiymətini bir və ya bir neçə vahid artırmaq
lazımdır.
Təhlükəsizlik siyasətinin işlənməsi təşkilatın rəhbərliyi tərəfindən təsdiq
olunma və ətraflı sənədləşdirmə ilə başa çatdırılır. Bundan sonra planda göstərilən
bütün komponentlərin fəal realizasiyası gəlməlidir. Risklər cədvəlinin yenidən
hesablanması və deməli nəticədə, təşkilatın təhlükəsizlik siyasətinin modifikasiya
olunması çox vaxt iki ildə bir də həyata keçirilir.
Təşkilati tədbirlər
Təşkilati tədbirlər mühiti və informasiyanın müdafiəsinin səmərəli vasitələ-
rindən biri olmaqla yanaşı sonra qurulacaq bütün müdafiə sistemlərinin fundamentini
təşkil edir.
Təşkiləti tədbirlər aşağıdakı mövzuları əhatə edir:
-Şəxsi heyətin idarəolunması;
-Fiziki müdafiə;

 159
-Sistemin iş qabiliyyətinin saxlanması;
-Təhlükəsizlik rejiminin pozulmasına reaksiya;
-Bərpa işlərinin planlaşdırılması.
Əsas proqram – texniki tədbirlər
Proqram – texniki tədbirlər informasiya müdafiəsinin axırıncı ən vacib hüdu-
dudur. Xatırladaq ki, ziyanın əsas hissəsini leqal istifadəçilər vururlar ki, onlara qarşı
əvvəldə qeyd olunan tədbirlər həlledici effekt verə bilməzlər. Əsas düşmən xidməti
vəzifələrini yerinə yetirərkən səriştəsizlik və səhlənkarlıqdır ki, bunlara yalnız
proqram – texniki vasitələr qarşı dura bilər. Biz aşağıdakı əsas təhlükəsizlik servis-
lərini nəzərdən keçirəcəyik:
-İdentifikasiya və autentifikasiya;
-İcazələrin idarəolunması;
-Protokollaşdırma və audit;
-Kriptoqrafiya;
-Ekranlaşdırma

Yüklə 1,09 Mb.

Dostları ilə paylaş: