Ə D Ə B İ Y Y A T
1.Əlizadə M.N. və başqaları “Kompüter sistemləri və şəbəkələrinin informasiya təhlükəsizliyi” Dərslik, MSV NƏŞR, 2017-cı il, 608 səh.
2.Əlizadə M.N. v. başqaları “İnformasiya təhlükəsizıliyi” Dərs vəsaiti, MSV NƏŞR, 2018-cı il, 392 səh.
3.Əlizadə M.N. və başqaları “Mühəndis sistemlərinin informasiya təhlükəsizıliyi ( Laborator praktikumu və seminar dərslərin aparılması üçün)” Dərs vəsaiti, MSV NƏŞR, 2018-cı il, 604 səh.
4.Əlizadə M.N. və başqaları “İnformasiyanın qorunması və kriptoqrafiya” (Magistr səviyyəsində təhsil alanlar üçün) Dərs vəsaiti, “İqtisad Universiteti” nəşrfiyyatı, 2019-cı il, 492 səh.
5.ƏlizadəM.N. və başqaları “İnformasiyanın qorunması (qısa kurs)” Dərs vəsaiti, MSV NƏŞR, 2019-cu il, 224 səh.
6.Əlizadə M.N., Hacızadə S.M. “İnformasiyanın qorunması və kriptologiya (Magistr səviyyəsində təhsil alanlar üçün)”, Dərs vəsaiti, MSV NƏŞR, 2020-ci il, 520 səh.
MÖVZU 3.
İNFORMASİYA TƏHLÜKƏSİZLİYİ STANDARTLARI
|
İnformasiya təhlükəsizliyi problemləri ilə o vaxt məşğıl olunmağa başlanıldı ki, kompüter istifadəçisi üçün qiymətli olan verilənləri təhlil etməkdən ötrü təhlükəsizlik bir alətə çevrildi. Kompüter şəbəkələrinin inkişafı və elektron xidmətlərə müraciətlərin artması nəticəsində informasiya təhlükəsizliyi mühitində yaranan problemlər ciddi şəkildə kəskinləşdi. Yaranmış problemlərin həll edilməsi həm ixtiraçılar üçün, həm də ki, informasiya texnologiyaları istifadəçiləri üçün aktuallığa cevrildi.
İNFORMASİYA TƏHLÜKƏSİZLİYİ NƏDİR?
Mühafizə normaları dedikdə, icra üçün nəzərdə tutulan məcburi sənədlər toplusu başa düşülür. Bu sənədlərdə mövcud təhlükəsizlik səviyyəsinin qiymətləndirilməsinə yanaşmalarla yanaşı bütövlükdə sistemlərin qorunması üçün müəyyən qaydalar da müəyyən edilir.
İnformasiya təhlükəsizliyi standartları, həmçinin müəyyən funksiyaların həyata keçirilməsi bu istiqamətlərə yönəldilmişdir:
Məlumatların mühfizəsi sahəsində tətbiq olunan müəyyən terminologiyaların və anlayışların işlənməsi;
Mühafizə səviyyəsini ölçmək üçün lazım olan formalaşmış şkala;
Məhsulların razılaşdırılmış formada qiymətləndirilməsinin aparılması;
Təhlükəsizlik üçün tətbiq olunan məhsulların uyğunluğunun əhəmiyyətli dərəcədə artması;
Davamlı vəziyyətin müəyyən edilməsi üzrə ən yaxşı təcrübələr haqqında məlumatların toplanması;
Bu sahəyə maraqlı olan şəxslərin qruplarına, məsələn, təhlükəsizlik istehsalçılarına, bu sahə ilə məşğul olan ekspertlərə, direktorlara, inzibatçılara və informasiya sistemlərinin hər hansı digər istifadəçilərinə ən yaxşı təcrübələr haqqında məlumatların verilməsi;
Ayrı-ayrı standartların məcburi yerinə yetirilməsinə yönəlmiş tələblərin müəyyən edilməsi, onlara hüquqi qüvvənin verilməsi.
İNFORMASİYA TƏHLÜKƏSİZLİYİ STANDARTLARININ
YARADILMASI ÜÇÜN ŞƏRTLƏR
İnformasiya təhlükəsizliyi üzrə auditin aparılması əsasən informasiya təhlükəsizliyinin beynəlxalq standartlarında qeyd olunan çoxsaylı tövsiyələrin istifadəsinə əsaslanır.
Auditin aparılmasının nəticələrindən biri son zamanlar tez-tez araşdırılan informasiya təhlükəsizliyinin müəyyən beynəlxalq standarta uyğunluğunu təsdiq edən sertifikatdır. Belə sertifikatın olması təşkilata müştərilər və tərəfdaşlar tərəfindən böyük etibar edilməsi şəraitində rəqabət üstünlükləri əldə etməyə imkan verir.
Standartlardan istifadə aşağıdakı beş məsələnin həllinə imkan yaradır.
Birincisi, kompüter sistemlərinin informasiya təhlükəsizliyinin təmin edilməsi məqsədləri ciddi şəkildə müəyyən edilir. İkincisi, informasiya təhlükəsizliyinin effektiv idarəetmə sistemi yaradılır. Üçüncüsü, informasiya təhlükəsizliyinin bəyan edilmiş məqsədlərə uyğunluğunun qiymətləndirilməsi üçün təkcə keyfiyyətli deyil, həm də kəmiyyət göstəricilərinin detallaşdırılmış məcmusunun hesablanması təmin edilir. Dördüncüsü, informasiya təhlükəsizliyinin təmin edilməsi və onun cari vəziyyətinin qiymətləndirilməsi üçün mövcud alətin (proqram vasitələrinin) tətbiqi üçün şərait yaradılır. Beşincisi, əsaslandırılmış ölçmələr sistemi və informasiya sistemləri tərtibatçılarının təmin edilməsi tədbirləri ilə təhlükəsizliyin idarə edilməsi metodikasından istifadə etmək imkanı yaranır.
Keçən əsrin 80-ci illərin əvvəllərindən başlayaraq informasiya təhlükəsizliyi sahəsində onlarla beynəlxalq və milli standart yaradıldı, bu standartlar da müəyyən dərəcədə bir-birini tamamlayır. Aşağıda onların yaradılmasının xronologiyası üzrə ən məşhur standartlar nəzərdən keçiriləcəkdir:
"Narıncı Kitab" kompüter sistemlərinin etibarlılığının qiymətləndirilməsi meyarı (ABŞ);
Avropa ölkələrinin harmonik meyarları;
800 X tövsiyəsi;
BSI Alman standartı;
BS 7799 Britaniya standartı;
Beynəlxalq ISO 17799 standartı;
Beynəlxalq ISO 15408 "Ümumi meyarlar" standartı;
COBIT standartı.
Standartlar iki növə bölünür:
1.İnformasiya sistemlərinin və müdafiə vasitələrinin təhlükəsizlik tələblərinə uyğun təsnifata yönəlmiş qiymətləndirmə standartları;
2.Müdafiə vasitələrinin həyata keçirilməsinin müxtəlif aspektlərini tənzimləyən texniki spesifikasiyalar.
Qeyd etmək vacibdir ki, bu növ normativ sənədlər arasında “kar” divar yoxdur. Qiymətləndirmə standartları informasiya təhlükəsizliyi nöqteyi-nəzərindən vacib olan meyarlıq spesifikasiyaları rolunu oynayaraq informasiya sistemlərinin aspektlərini müəyyən edir. Digər texniki spesifikasiyalar müəyyən edilmiş meyarlığın informasiya təhlükəsizliyini necə qurmağı müəyyənləşdirir.
BEYNƏLXALQ TƏHLÜKƏSİZLİK STANDARTLARI
Beynəlxalq sabitlik (dayanıqlıq) standartları məlumatların mühafizəsini təmin edən sistemlərin tətbiqinə yönəlmiş təcrübə və tövsiyələrin məcmusudur.
Beynəlxalq nümunələrdən biri olan BS 7799 standartı məlumatların informasiya mühafizəsi məqsədinin formalaşdırılmasına yönəlmişdir. Bu sertifikata əsasən, təhlükəsizliyin məqsədi şirkətin fasiləsiz işini təmin etmək, eləcə də sabitliyə qarşı müəyyən edilmiş tələblər pozulduqda, əldə edilmiş zərərin qarşısını almaq və ya minimuma endirmək bacarığıdır.
Əsas beynəlxalq nümunələrdən biri olan ISO 27002 standartı informasiya dayanıqlığı üzrə praktik məsləhətlərin hərtərəfli siyahısını özündə ehtiva edir. Bu məsləhətlər əmək fəaliyyətinin yerinə yetirilməsi zamanı belə texnologiyaların dayanıqlıq sistemlərinin yaradılması, həyata keçirilməsi və sonrakı dövrlərdə onlara xidmətin göstərilməsinə məsul olan əməkdaşlar üçün nəzərədə tutulur.
ISO 27001 BEYNƏLXALQ İNFORMASİYA TƏHLÜKƏSİZLİYİ STANDARTI
Beynəlxalq sertifikatlar tərəfindən təqdim edilən kompleks dedikdə, texnoloji müdafiə vasitələrinin sistem və avadanlıqlarının tətbiqinə yönəldilmiş müəyyən təcrübə və tövsiyələrin məcmusu nəzərdə tutulur.
2013-cü ildə ISO 27001 beynəlxalq sertifikatı tərəfindən müəyyən edilmiş qaydalar nəzərə alınsa, nəzərdən keçirilən texnologiyaların təhlükəsizliyinin müəyyən əlamətlərlə təqdim edilməsı müəyyən edilmiş olar.
ISO beynəlxalq standartına aid olan verilənlər standartın vahid sisteminin dörd bölməyə ayrılmasına imkan verir. ISO 27001 standartı keyfiyyət menecmentinə qoyulan əsas tələbləri müəyyən edən ISO 9001 standartına əsaslanır. Bir neçə qonşu ölkələrin Standartlaşdırma normalarına əsaslanaraq demək olar ki, bu tələblərə istehlakçıların tələbinə cavab verən məhsullar təqdim etmək qabiliyyətini nümayiş etdirmək istəyən hər bir təşkilat tərəfindən riayət olunmalıdır.
BEYNƏLXALQ TƏHLÜKƏSİZLİK STANDARTI ISO 17799
ISO 17799 (Code of Practice for İnformation Security Management) 2000-ci ildə beynəlxalq təşkilat tərəfindən yaradılmışdır. Onun tələblərinə uyğun olaraq, effektiv hesab edilən dayanıqlıq strukturunun yaradılması zamanı təhlükəsizliyin idarə edilməsinə yönəlmiş kompleks yanaşmaya xüsusi diqqət yetirilməlidir. Məhz bu səbəbdən informasiya üçün müəyyən tələblərin təmin edilməsinə yönələn tədbirlər idarəetmə elementi kimi nəzərdən keçirilir:
İnformasiyanın məxfiliyi;
İnformasiyanın etibarlılığı;
İnformasiyaya əlyetənlik;
Təqdim edilən informasiyanın tamlığı.
ISO 17799 beynəlxalq standartı İngilis BS 7799 standartının beynəlxalq versiyasına tam oxşardır. ISO 17799 informasiya təhlükəsizliyinin idarə edilməsi üzrə praktiki qaydaları dəstəkləyir, inzibati, prosedur və fiziki mühafizə tədbirləri də daxil olmaqla, təşkilat səviyyəli təhlükəsizlik mexanizmlərinin qiymətləndirilməsi üçün meyarlar kimi istifadə edilə bilir.
Avtomatlaşdırılmış sistemlərin təhlükəsizliyinin auditi proseduruna sadalanan əsas nəzarət vasitələrinin olub-olmamasının yoxlanması, onların həyata keçirilməsinin tamlığının və düzgünlüyünün qiymətləndirilməsi, həmçinin bu mühitdə mövcud olan risklərə onların adekvatlığının təhlili də daxildir. Avtomatlaşdırılmış sistemlərin təhlükəsizlik auditi üzrə işlərin tərkib hissəsi risklərin təhlili və idarə olunmasıdır.
ISO 17799 beynəlxalq standartı dünyanın bütün ölkələrində geniş istifadə olunan və ən çox təkmilləşmiş standartdır. Standarta aşağıdakılar daxildir:
Gode of Practice for İnformation Security Management (İnformasiyanın təhlükəsizliyinin idarə edilməsi üzrə praktik tövsiyələr) 2000-ci ildə qəbul edilmişdir. ISO 17799 və Britaniya BS 7799 standartları əsasında hazırlanmışdır;
ISO 17799, idarəetmə, prosedur və fiziki mühafizə tədbirləri də daxil olmaqla, təşkilati səviyyədə təhlükəsizlik mexanizmlərini qiymətləndirmək üçün meyarlar kimi istifadə edilən standartı.
Beynəlxalq təhlükəsizlik standartında praktiki qaydalar aşağıdakı 10 hissəyə bölünür:
1.Təhlükəsizlik siyasəti;
2.Mühafizə təşkilatı;
3.Resursların təsnifatı və onlara nəzarət;
4.Personalın təhlükəsizliyi;
5.Fiziki təhlükəsizlik;
6.Kompüter sistemləri və kompüter şəbəkələrinin idarə edilməsi;
7.Əlyetənliyin idarə edilməsi;
8.İnformasiya sistemlərinin işlənib hazırlanması və müşayiət olunması;
9.Təşkilatın fasiləsiz işinin planlaşdırılması;
10.Təhlükəsizlik siyasəti tələblərinin yerinə yetirilməsinə nəzarət.
ISO 17799-da təklif olunan on nəzarət vasitəsi (bunlar əsasən açar kimi ifadə olunur) xüsusi əhəmiyyət kəsb edir. Bu kontekstdə nəzarət vasitələri altında təşkilatın informasiya təhlükəsizliyinin idarə edilmə mexanizmləri başa düşülür.
Bəzi nəzarət vasitələrindən istifadə edərkən, məsələn, verilənlərin şifrələməsi zamanı, təhlükəsizlik mütəxəssislərinin məsləhətləri və risklərin qiymətləndirilməsi tələb oluna bilər. Bu əsasən onunla əlaqəlidir ki, onların lazım olub-olmadığı və onlara necə əməl olunmağı müəyyənləşdirilsin, onların həyata keçirilməsi təşkil olunsun. Xüsusilə qiymətli resursların daha yüksək səviyyədə qorunmasını təmin etmək və ya xüsusilə ciddi təhlükəsizlik hədələrinə qarşı mübarizə aparmaq üçün bir sıra hallarda ISO 17799 çərçivəsindən kənara çıxan daha güclü nəzarət vasitələri tələb oluna bilər.
Aşağıda sadalanan əsas nəzarət vasitəsi ya icbari tələblərdir (məsələn, qüvvədə olan qanunvericiliyin tələbləri), ya da informasiya təhlükəsizliyinin əsas struktur elementləri hesab olunur (məsələn, təhlükəsizlik qaydalarının öyrədilməsi). Bu nəzarət vasitələri bütün təşkilatların və avtomatlaşdırılmış sistemlərin fəaliyyətində aktualdır və informasiya təhlükəsizliyinin idarə edilməsi sisteminin əsasını təşkil edir.
Əsas nəzarət vasitələri aşağıdakılardır:
İnformasiya təhlükəsizliyi siyasəti haqqında sənəd;
İnformasiya təhlükəsizliyinin təmin edilməsi üzrə vəzifələrin bölgüsü;
İnformasiya təhlükəsizliyi rejiminin saxlanılması üçün personalın təlimləndirilməsi və hazırlanması;
Mühafizənin pozulması halları baş verdikdə xəbərdarlığın olunması;
Viruslardan mühafizə vasitələri;
Təşkilatın fasiləsiz işinin planlaşdırılması;
Müəlliflik hüququ haqqında qanunla qorunan proqram təminatının surətinin alınmasına nəzarət;
Təşkilatın sənədlərin qorunması;
Verilənlərin mühafizəsi;
Təhlükəsizlik siyasətinə uyğun nəzarətin yerinə yetirilməsi.
İnformasiya sisteminin təhlükəsizlik auditi proseduruna sadalanan əsas nəzarət vasitələrinin olub-olmamasının yoxlanması, onların həyata keçirilməsinin tamlığının və düzgünlüyünün qiymətləndirilməsi, həmçinin bu mühitdə mövcud olan risklərə onların adekvatlığının təhlili daxildir. İnformasiya sisteminin təhlükəsizlik auditi üzrə işlərin tərkib hissəsi də risklərin təhlili və idarə olunmasıdır.
İNFORMASİYA TƏHLÜKƏSİZLİYİ STANDARTLARININ MİLLİ SİSTEMİ
Milli standartlaşdırma sistemi milli sertifikatların və Ümumrusiya təsnifatçılarının məcmusudur. Bu struktura yalnız sertifikatların özləri deyil, həm də onların hazırlanması və sonrakı mərhələlərdə tətbiq qaydaları daxildir.
Rusiya Federasiyasında Milli Sertifikat ölkədən və ya mənşəyindən asılı olmayaraq könüllülük əsasında tətbiq oluna bilər. Bu zaman milli sistemin yalnız uyğunluq qaydaları olduğu halda tətbiq edilmə qaydası da mövcuddur.
QOST R ISO 17799 informasiya təhlükəsizliyinin təmin edilməsinə yönələn bütün nümunələri məxfiliyin qorunmasına yönələn standartlar müəyyən edir. Belə texnologiyalarla işləmək yalnız informasiyanın bütövlüyünü, əlçatanlığını və təhlükəsizliyini təmin edə bilən əməkdaşlar üçün yol verilə biləndir.
QOST R ISO 27001 standartı ayrıca götürülmüş informasiya texnologiyasının təhlükəsizliyini təmin etmək üçün hər hansı bir üsula malik olmalı olan əlamətlərin hərtərəfli siyahısını dəstəkləyən əsas standartdır.
Beynəlxalq ISO standartına əsaslanmaqla müvafiq texnologiyalar sahəsində tərtib olunmuş QOST 15408 saylı informasiya təhlükəsizliyi standartının yerli nümunələri müstəqil qiymətləndirmənin aparılması nəticəsində əldə olunan nəticələrin müqayisəsinin təmin edilməsinə yönəldilib. Rusiya Federasiyasının QOST ISO-nun bu sahədə müəyyən texnologiyalara və onların təhlükəsizliyinin təmin edilməsi zamanı bu cür texnologiyaların qiymətləndirilməsində istifadə olunan etimad tədbirlərinə qarşı irəli sürülə biləcək tələblərin vahid siyahısını müəyyənləşdirməklə təmin edilir.
Rusiya Federasiyasında texnologiya məhsulları bir neçə növdə həyata keçirilə bilər:
Avadanlıq təminatı baxımından;
Proqram təminatı baxımından;
Proqram-aparat təminatı baxımından.
Bu sahədə təminatın qiymətləndirilməsinin aparılması prosesində əldə edilən nəticələr Rusiya Federasiyasının Rusiya ISO-ya uyğunluğunu müəyyənləşdirməyə imkan verir. Digər tərəfdən istifadə olunan belə texnologiyaların onlar üçün müəyyən edilmiş Dövlət təhlükəsizlik tələblərinə cavab verib-verməməyi də aydınlaşdırılır.
Bir qayda olaraq, informasiya təhlükəsizliyi standartlarının Rusiya sertifikatları Rusiya Federasiyasında istifadə olunur və aşağıda verilənlərin təmin edilməsinə imkan verir:
Texnologiya məhsullarının hazırlanmasında rəhbər kimi;
Məhsulların texnoloji təhlükəsizliyində təlimatçı kimi;
Satın alınan texnologiya məhsullarının qiymətləndirilməsində keyfiyyətçi kimi.
"KOMPÜTER SİSTEMLƏRİNİN ETİBARLILIĞININ QİYMƏTLƏNDİRİLMƏSİ MEYARLARI" STANDARTI (“NARINCI KİTAB”)
Tarixən çox geniş yayılmış və bir çox ölkələrdə İnformasiya Təhlükəsizliyinin Standartlaşdırma bazasına böyük təsir göstərən ilk qiymətləndirmə standartı ABŞ Müdafiə Nazirliyinin (DOD) "Etibarlı kompüter sistemlərinin qiymətləndirilməsi meyarları" standartı olub. Sənəd tam şəkildə "Depertment of Defense Trusted Computer System Evaluation Criteria" adlandırılmışdır.
Ən çox üz qabığının rənginə görə adlandırılan bu əsər - "Narıncı Kitab" ilk dəfə 1983-cü ilin avqustunda dərc edilmişdir. Nəzəzə almaq lazımdır ki, “Narıncı kitab”da söhbət təhlükəsizliklərdən deyil, etibarlı sistemlərdən, yəni müəyyən dərəcədə etibar edilə bilən sistemlərdən gedir.
"Narıncı kitab” təhlükəsiz sistem anlayışını izah edir, müvafiq vasitələrlə informasiya əldə edən, onu idarə edən, oxumaq, yazmaq, yaratmaq və informasiyanı silmək hüququ olan, və nəhayət bu sahədə fəaliyyət göstərən səlahiyyətli şəxslər və ya proseslərin varlığını şərh edir. Aydın məsələdır ki, tamamilə təhlükəsiz sistemlər yoxdur, belə yanaşma abstrak olardı. Sadəcə olaraq sistemə olan inamı qiymətləndirmək məntiqinə əsaslanmaq kifayətdir.
"Narıncı kitab"da etibarlı sistem, daha doğrusu "giriş hüquqlarını pozmadan bir qrup istifadəçi tərəfindən məxfiliyin müxtəlif dərəcədə təmin olunmasını və işləməsini təmin etmək üçün kifayət qədər aparat və proqram vasitələrindən istifadə edən sistem" kimi müəyyən edilir.
Qeyd etmək lazımdır ki, baxılan meyarlarda təhlükəsizlik və etimad yalnız məlumatların əldə olunmasının idarə edilməsi baxımından qiymətləndirilir. Bu da informasiyanın məxfiliyinin və tamlığının təmin edilməsi vasitələrindən biri hesab edilir. Bu baxımdan "Narıncı kitab"da əlçatanlıq ilə bağlı məsələlərə toxunulmur.
“Narinci kitab” aşağıdakı məqsədlər üçün nəzərdə tutulmuşdur:
Qiymətli informasiyanın təhlili zamanı istifadə üçün zəmanətli mühafizənin tələblərinə cavab verən (ilk növbədə məlumatların açıqlanmasından mühafizə nəzərdə tutulur) mövcud sistemləri bazara çıxarmaq üçün istehsalçılara yeni və planlaşdırılmış məhsullarını hansı təhlükəsizlik vasitələri ilə təchiz etməyi müəyyən edən standart təqdim edilməsi;
Xidməti və digər dəyərli məlumatların təhlili üçün nəzərdə tutulmuş, hərbi təşkilatlar tərəfindən qəbul edilən verilənlərin təhlil edilməsindən ötrü avtomatlaşdırılmış sistemin (ESOD) təhlükəsizliyinin qiymətləndirilməsi və ABŞ-ın Müdafiə Nazirliyi (DOD) tərəfindən müəyyən araşdırmaların təmin edilməsi;
Təhlükəsiz sistemlərin seçilməsinə dair tələblərin tədqiqi üçün bazanın yaradılması.
“Narinci kitab”da qiymətləndirmənin iki növü nəzərdən keçirilir:
Texnikanın işlədiyi mühitin nəzərə alınmaması;
Xüsusi mühitin (prosedur Attestasiya adlanır) həyata keçirilməsi.
“Narincı kitab” ilə ilə əlaqəli ABŞ-ın Müdafiə Nazirliyi bütün sənədlərində informasiyanın təhlükəsizliyinin təmin edilməsi ifadəsinin bir anlayışı qəbul edilmişdir. Bu anlayış aksioma kimi qəbul edilir və aşağıdakı kimi formalaşdırılır:
Təhlükəsizlik = əlyetənliyə nəzarət.
Qiymətləndirmə meyarlarının köməyi ilə qəbul edilən sistemlərin sinifləri mühafizə olunan hesablama sistemləri üçün zəmanət kimi müəyyən edilir. Onlar kompüterin təhlükəsizliyinin təmin edilməsi baxımından tələblərin artması üçün təqdim olunur. Bura daxildir:
1. (D) sinifi: Minimum mühafizə;
2. (C1) sinifi: Əlyetənliyin məhdudlaşdırılmasına əsaslanan mühafizə (DAC);
3. (C2) sinifi: Əlyetənliyə nəzarətə əsaslanmaqla yerinə yetirilən mühafizə;
4. (B1) sinifi: Hesablama texnikası vasitələrinin nəzarəti altında olan obyektlərin və subyektlərin mandat mühafizəsi;
5. (B2) sinifi: Strukturlaşdırılmış mühafizə;
6. (VZ) sinifi: Təhlükəsizlik domenləri;
7. ( A1)sinifi: Təsdiq edilmiş layihə.
C səviyyəsindən A səviyyəsinə keçid zamanı sistemin etibarlılığına çox sərt tələblər irəli sürülür. C və B səviyyələri siniflərə (C1, C2, B1, B2, VZ) bölünür və nəzərə alınır ki, siniflər arasında etibarlılıq tədricən artır. Beləliklə, istifadəçi müdafiə məsələləri ilə məşğul olarkən praktiki olaraq altı təhlükəsizlik sinifindən - C1, C2, B1, B2, VZ, A1 istifadə etməli olur.
Etimad dərəcəsi iki əsas meyar üzrə qiymətləndirilir.
1.Təhlükəsizlik siyasəti - təşkilatın informasiyanı necə idarə və müdafiə etdiyini, həmçinin yaydığını müəyyən edən bir sıra qanunlar, qaydalar və davranışlar toplusudur. Bu toplu istifadəçinin konkret verilənlər toplusu ilə hansı hallarda əməliyyat edə biləcəyini müəyyənləşdirir. Sistemə inam nə qədər yüksək olarsa, təhlükəsizlik siyasəti bir o qədər də ciddi və çoxcəhətli olmalıdır. Siyasətdən asılı olaraq təhlükəsizliyin təmin edilməsi üçün konkret mexanizmləri seçmək lazımdır. Təhlükəsizlik siyasəti mühafizənin fəal aspektidir, mümkün təhdidlərin təhlili və qarşıdurma tədbirlərinin seçilməsinə daxildir və onları əhatə edir.
2.Etbarlılıq səviyyəsi – informasiya sisteminin həyata keçirilməsinə və arxitekturasına göstərilən etimad tədbiridir. Təhlükəsizlik etibarlılığı həm test nəticələrinin təhlilindən, həm də ümumi niyyətin (formal və ya qeyri-formal) yoxlanılmasından və sistemin bütövlükdə və onun ayrı-ayrı təşkiledicilərinin həyata keçirilməsindən qaynaqlana bilər. Etibarlılıq səviyyəsi təhlükəsizlik siyasətinin həyata keçirilməsinə cavabdeh olan mexanizmlərin nə dərəcədə düzgün olduğunu göstərir. Bu müdafiənin passiv aspektidir.
Təhlükəsizliyin təmin edilməsində əsas vasitə hesabatlılıq (protokollaşdırma) mexanizmini müəyyən edir. Etibarlı sistem təhlükəsizlik ilə bağlı bütün hadisələri qeyd etməlidir. Protokolların aparılması auditlə, yəni qeydiyyatla əlaqəli informasiyaların təhlili ilə tamamlanmalıdır. Etibarlı hesablama bazasının konsepsiyası təhlükəsizliyin etibarlılığını qiymətləndirən mərkəzdir. Etibarlı hesablama bazası təhlükəsizlik siyasətinin həyata keçirilməsinə cavabdeh olan informasiya sistemlərinin (aparat və proqram təminatı daxil olmaqla) müdafiə mexanizmlərinin məcmusudur. Hesablama bazasının keyfiyyəti yalnız onun həyata keçirilməsi və sistem inzibatçısının daxil olduğu ilkin verilənlərin düzgünlüyü ilə müəyyən edilir.
Hesablama bazasından kənarda nəzərdən keçirilən təşkiledicilər etibarlı olmaya bilər, lakin bu, bütövlükdə sistemin təhlükəsizliyinə təsir göstərməməlidir. Nəticədə, informasiya sistemlərinin təhlükəsizlik etibarlılığını qiymətləndirmək üçün standartı hazırlayan müəlliflər yalnız onun hesablama bazasını nəzərdən keçirməyi məsləhət görürlər.
Etibarlı hesablama bazasının əsas məqsədi müraciətlərin monitor funksiyalarını yerinə yetirməkdir, yəni obyektlər (passiv şəxslər) üzərində müəyyən əməliyyatların subyektlər (istifadəçilər) tərəfindən yerinə yetirilməsinin mümkünlüyünə nəzarət etməkdir. Monitor, istifadəçinin icazə verdiyi tədbirlər dəsti ilə onun proqramlara və ya verilənlərə hər bir müraciətinin uyğunluğunu yoxlayır.
Müraciətlər monitoru üç keyfiyyətə malik olmalıdır:
Təcrid olunma. Monitorun işini izləmək imkanının yaranması haqqında xəbərdarlıq etmək.
Tamlıq. Monitor hər bir müraciətdə çağırılmalıdır, ondan yan keçmək üsulları olmamalıdır.
Təsdiqləmə. Monitör kompakt olmalıdır ki, testin tamlığına əmin olmaqla onun təhlil edilməsi və sınaqdan keçirilməsi yerinə yetirilsin.
Müraciətlər monitorunun həyata keçirilməsi təhlükəsizlik nüvəsi adlanır. Təhlükəsizlik nüvəsi bütün qoruyucu mexanizmlərin qurulmasının əsasıdır. Monitor müraciətlərinin yuxarıda göstərilən xüsusiyyətləri ilə yanaşı, nüvə öz dəyişməzliyini təmin etməlidir.
Etibarlı hesablama bazasının sərhədini təhlükəsizlik perimetri adlandırırlar. Artıq qeyd edildiyi kimi, təhlükəsizlik perimetri xaricində olan təşkiledicilərə, ümumiyyətlə, etibar edilə bilməz. Paylanmış sistemlərin inkişafı ilə əlaqədar olaraq qeyd etmək lazımdır ki, "təhlükəsizlik perimetri" anlayışı daha çox müəyyən bir təşkilatın mülkiyyət sərhədini nəzərə alaraq başqa bir məna verir. Daha doğrusu, mülklərin içərisində olanlar etibarlı, xaricində olanlar isə etibarsız sayılır.
"Narıncı kitab"da qeyd edilir ki, təhlükəsizlik siyasətinə aşağıdakı elementlər mütləq daxil etməlidir:
İdarə edilməyə özbaşına əlyetənlik;
Təhlükəsizlik obyektlərin yenidən istifadə edilməsi;
Təhlükəsizlik işarələri;
İdarə edilməyə məcburi əlyetənlik.
İxtiyari girişin idarə edilməsi dedikdə obyektə məhdud əlyetənlik üsulu başa düşülür. Bu zaman subyektin kimliyi və onun hansı qrupa daxil olması mütləq nəzərə alınmalıdır. İdarəetmənin özbaşınalığı ondan ibarətdir ki, bəzi şəxs (adətən obyektin sahibi) öz mülahizəsinə əsasən digər subyektlərə obyektə giriş hüququnu təqdim edər və ya onlardan seçim edərək obyektə girməsinə imkan yaradar.
Obyektlərin təkrar istifadəsi təhlükəsizliyi - "Zibil" qutusundan gizli məlumatların təsadüfi və ya qəsdən çıxarılmasından qorunmaq üçün əlyetənliyin idarə edilməsi üçün mühüm əlavədir. Təkrar istifadə təhlükəsizliyi operativ yaddaş sahələri üçün (xüsusilə də ekran görüntüləri, şifrələnmiş parol və s. olan buferlər üçün), disk blokları və bütövlükdə maqnit daşıyıcıları üçün təmin edilməlidir.
Məcburi əlyetənliyin idarə edilməsini həyata keçirmək üçün subyektləri obyektlərlə təhlükəsizlik nişanları əlaqələndirir. Subyektin nişanı onun etibarlılığını, obyektin nişanı isə onun daxilindəki informasiyanın məxfilik dərəcəsini əks etdirir.
"Narıncı kitab"a görə, təhlükəsizlik nişanları iki hissədən: gizlilik səviyyəsindən və kateqoriya siyahısından ibarətdir. Gizlilik səviyyəsi nizama salınmış çoxluğu, kateqoriya siyahıları isə nizamsızlığı əmələ gətirir. Sonuncunun məqsədi verilənlərin aid olduğu konkret sahəni təsvir etməkdir.
Məcburi (və ya mandat) əlyetənliyin idarə edilməsi subyektin və obyektin təhlükəsizlik nişanlarının müqayisəsinə əsaslanır.
Obyektin məxfilik səviyyəsi obyektin vəziyyətindən aşağı deyilsə və obyektin təhlükəsizlik nişanında sadalanan bütün kateqoriyalar subyekt nişanında mövcuddursa, onda subyekt obyektdən informasiyasını oxuya bilər. Bu vəziyyətdə, subyektin nişanının obyektin nişanına üstünlük verdiyini söyləyirlər. Beləliklə, aydın olur ki, qaydaya əsasən o informasiyaları oxumaq mümkündür ki, onlara əlyrtənliyə icazə verilmişdir.
Obyektin təhlükəsizlik nişanının subyekt nişanı üzərində hökm sürdüyü təqdirdə subyekt obyektə məlumat yaza bilər. "Məxfi" subyekt verilənləri gizli fayllara daxil edə bidiyi halda, gizli olmayanları gizli fayllara yaza bilməz.
Əlyetənliyin idarə edilməsinin təsvir edilmiş üsulu məcburi üsul adlanır, çünki o subyektlərin, həmçinin sistem administratorlarınında iradəsindən asılı deyildir. Obyektlərin və subyektlərin təhlükəsizlik nişanları müəyyən edildikdən sonra əlyetənlik hüquqları müəyyənləşdirilir.
Əgər təhlükəsizlik siyasəti dar, yəni əlyetənliyin məhdudlaşdırılması qaydaları kimi başa düşülərsə, onda hesabatın verilmə mexanizmi bu siyasətin əlavəsi sayılmalıdır. Hesabatın verilməsində məqsəd sistemdə kimin işlədiyini və nə etdiyini bilməkdır.
Hesabatın verilmə vasitələri üç kateqoriyaya bölünür:
Autentifikasiya və identifikasiya;
Yoxlanılmış yolun təqdim olunması;
Qeydiyyatdan keçmiş informasiyanın təhlili.
İdentifikasiyanın adi üsulu - sistemə daxil olarkən istifadəçi adını daxil etməlidir. İstifadəçi həqiqiliyinin standart vasitələrlə yoxlanılması (autentifikasiya) üçün paroldan istifadə edilir.
Yoxlanılmış yol istifadəçini informasiya sisteminin digər, potensial təhlükəli təşkiledicilərini yan keçməklə (atlamaqla) etibarlı hesablama bazası ilə birbaşa əlaqə yaratmasına imkan verir. Yoxlanılmış yolun istifadəçiyə təqdim edilməsində məqsədi istifadəçiyə xidmət edən sistemin həqiqiliyinə əmin olmasına imkanı yaratmaqdır.
Qeydiyyatdan keçmiş informasiyanın təhlili (Audit) sistemin təhlükəsizliyinə hər hansı bir şəkildə təsir edən və ya sistemin təhlükəsizliyinə toxuna bilən hərəkətlər (hadisələr) ilə məşğul olur.
Əgər bütün hadisələr qeydə alınarsa, onda qeydiyyatdan keçmiş informasiya sürətlə artacaq, onun effektiv təhlili isə mümkün olmayacaqdır. "Narıncı kitab” həm istifadəçilərə münasibətdə (yalnız şübhəli şəxslərə diqqətlə nəzarət etməklə), həm də hadisələrə münasibətdə protokollaşdırma vasitələrinin mövcudluğunu nəzərdə tutur.
Mühafizənin passiv aspektlərini əsas götürməklə, "Narıncı kitab"da iki növ zəmanətin - əməliyyat və texnoloji təminatin nəzərdən keçirilməsinə baxılır.
Əməliyyat təminatı sistemin arxitektur və realizə aspektlərini, texnoloji təminat isə sistemin qurulma və müşayiət etmə üsullarını əks etdirir.
Əməliyyat təminatı aşağıdakı maddələrin yoxlanmasını ehtiva edir:
Sistemin arxitekturasını;
Sistemin bütövlüyünü;
Məxfi informasiya ötürmə kanallarının yoxlanılmasını;
Etibarlı idarəetməni;
Kəsilmələrdən sonra etibarlı bərpanı.
Əməliyyat təminatı sistemin arxitekturasının və onun həyata keçirilməsinin həqiqətən seçilmiş təhlükəsizlik siyasətini həyata keçirdiyinə əmin olmaq üçün bir üsuldur.
Texnoloji təminat sistemin bütün həyat dövrünü, yəni layihələndirmə təbiətini, realizə olunmasını, testdən keçməsini, satışını və müşayiət edilməsini əhatə edir. Qeyd olunan bütün tədbirlər informasiya sızması və qeyri-leqal "əlfəcinlər"in aradan qaldırılması üçün sərt standartlara uyğun şəkildə həyata keçirilməlidir.
Sənədlərin tərtibatı sistemin etibarlılığına təminat verilməsi üçün zəruri şərtdir və eyni zamanda təhlükəsizlik siyasətinin həyata keçirilmə vasitəsidir. Sənədləşdirmə olmadan, insanlar hansı siyasəti təqib edəcəyini və bunun üçün nə edəcəyini bilməyəcəklər.
"Narıncı kitab"a əsasən, etibarlı sistemin sənədləşdirilməsi paketinə aşağıdakı cildlər daxil edilməlidir:
Təhlükəsizlik vasitələrinə uyğun olaraq istifadəçinin təlimatlandırılması;
Təhlükəsizlik vasitələrinə uyğun olaraq administratorun təlimatlandırılması;
Test sənədləri.
Arxitekturanın şərhi.
Cari təşkilatın təhlükəsizlik siyasətini yazılı şəkildə şərh etmək üçün sözsüz ki, praktikada daha bir kitaba da ehtiyac vardır.
Təhlükəsizlik vasitələrinə uyğun istifadəçi təlimatı adi, xoşa gəlməyən insanlar üçün nəzərdə tutulmuşdur. Təlimat təhlükəsizlik mexanizmləri və onlardan istifadə üsulları haqqında məlumatlardan ibarətdir. Bu baxımdan rəhbərlik ən azı aşağıdakı suallara cavab verməlidir:
Sistemə necə daxil olmalı? Adınızı və parolu necə daxil etmək mümkündür? Parolu necə dəyişmək olar? Bunları tez-tez etməyə ehtiyac varmı? Yeni parolu necə seçmək olar?
Faylları və digər informasiyaları necə qorumalı? Fayla əlyetənliyə verilmiş icazəni necə müəyyən etmək olar? Hansı səbəblərdən bunları etmək lazımdır?
Təhlükəsizlik qaydalarını pozmadan informasiyanı necə idxal və ixrac etmək olar?
Sistem məhdudiyyətləri ilə necə qarşılaşmaq olar? Bu məhdudiyyətlər nə üçün lazımdır? Hansı iş üslubu məhdudiyyəti asan edəcək?
Təhlükəsizlik vasitələri administratoru üçün rəhbərlik sistem administratoru, həmçinin təhlükəsizlik adminstratoru üçün nəzərdə tutulmuşdur. Rəhbərlik sistemin ilkin konfiqurasiya məsələlərini işıqlandırılır, administratorun cari vəzifələrini sadalayır, təhlükəsizlik və əməliyyat effektivliyi arasındakı əlaqələri təhlil edilir.
Administratorun rəhbərliyinə aşağıdakıları daxil etmək olar:
Əsas qoruyucu mexanizmlər hansılardır?
Autentifikasiya və identifikasiya vasitələrini necə idarə etmək olar? Bununla yanaşı yeni istifadəçilər əldə etməklə köhnələri necə kanarlaşdırmaq mümkündür?
Sistem informasiyasını necə müdafiə etmək olar? Sistemin zəif nöqtələrini necə aşkarlamaq olar? İdarəetməyə ixtiyarı əlyetənliyi necə tənzimləmək etmək olar?
Protokol və audit vasitələrini necə idarə etmək olar? Qeydiyyatdan keçmiş hadisələri necə seçmək olar? Nəticələri necə təhlil etmək olar?
İdarəetməyə məcburi əlyetənliyi necə tənzimləmək mümkündür? Hansı məxfilik səviyyəsini və kateqoriyaları seçmək düzgündür? Təhlükəsizlik nişanını necə təyin etmək və dəyişdirmək olar?
Yenidən qurulmuş etibarlı hesablama bazasını generasiya etməklə necə yaratmaq olar?
İmtinalardan və kəsilmələrdən sonra sistemi necə bərpa etmək olar? Sistemi təhlükəsiz necə işə salmaq olar? Ehtiyat üçün lazım olan surətalmanı necə təşkil etmək olar?
Sistem administratorunun və operatorun vəzifələrini necə bölmək olar?
Test sənədləri testlərin təsvirlərini və nəticələrini ehtiva edir. İdeyaya görə, test sənədləri sadə, əksər hallarda isə olduqca genişdir. Bundan əlavə test sənədlərində test mühitinə tətbiq olunan şərtlərlə yanaşı test planı və şərtləri də olmalıdır.
Arxitekturanın şəhri özündə ən azı etibarlı hesablama bazası haqqında məlumata malik olmalıdır. Ümumiyyətlə, bu təsvir formal olmalı, təhlükəsizlik siyasəti ilə bu siyasətin sonuncunun tələbləri arasında uyğunluğu avtomatik tənzimlənməli, arxitektura şərhinin həcmi başlanğıc testlərin həcmi ilə mütənasib olmalıdır.
Qeyd etmək lazımdır ki, bu sahədə istifadə olunan ədəbiyyatlarda təhlükəsizliyi siniflərə bölürlər. Baxılan standartda etibarlılıq dərəcəsi üzrə informasiya sistemlərinin sıralanmasına yanaşmalar müəyyən edilmişdir. "Narıncı kitab"da təhlükəsizliyin (etibarlılığın) dörd səviyyəsi - D, C, B və A nəzərdən keçirilir.
Sertifikatlaşdırma proseduru aparılan zaman sistemin müəyyən sinfə aid edilməsi üçün onun təhlükəsizlik siyasəti və zəmanətliliyi müəyyən tələblərə cavab verməlidir. Hər bir növbəti sinfə keçərkən tələblər ancaq əlavə olunduğundan, keçid zamanı öndə verilən şərhlərə uyğun olaraq bu sinifə xas olan yeniliklər də həmin sinifə əlavə olunmalıdır. Hər bir təhlükəsizlik sinfi təhlükəsizlik siyasətinin elementlərini və təhlükəsizlik tələblərini nəzərə alaraq bir sıra tələbləri əhatə edir. Məsələn, C1 sinifi üçün tələblər aşağıdakıları nəzərə alır:
Təhlükəsizlik siyasətini nəzərə almaqla:
Etibarlı hesablama bazası adlandırılmış istifadəçilərin adlandırılmış obyektlərə əlyetənliyi idarə edilməlidir. İdarəetmə mexanizmi (sahibin/qrupun/başqalarının hüquqları, əlyetənliyin idarə edilmə siyahıları) istifadəçilərə fərdi və/və ya qruplar arasında faylların bölünməsini təsnifləşdirməyə imkan verməlidir;
İstifadəçilər etibarlı hesablama bazası tərəfindən idarə olunan hər hansı digər hərəkətləri yerinə yetirməzdən əvvəl özlərini müəyyən etməlidirlər. Autentifikasiya üçün hər hansı bir təhlükəsizlik mexanizmi, məsələn, parol istifadə olunmalıdır. Autentifikasiya informasiyası icazəsiz əlyetənlikdən mühafizə olunmalıdır.
Təminat nəzərə alınmaqla:
Etibarlı hesablama bazası xarici təsirlərdən (xüsusilə əmrlərin və/və ya verilənlərin dəyişdirilməsindən) və işin gedişini izləmək cəhdlərindən qorunmaq üçün özünün yerinə yetirilmə sahəsini dəstəkləməlidir. Baza tərəfindən idarə olunan resurslar sistemin bütün subyektləri və obyektlərinin müəyyən altçoxluğunu təşkil edə bilər;
Etibarlı hesablama bazasının aparat və mikroproqram təşkiledicilərinin vaxtaşırı düzgün işləməsini yoxlamağa imkan verən aparat və/və ya proqram vasitələri mövcud olmalıdır;
Mühafizə mexanizmləri onların sistemli sənədləşdirmə davranışlarına uyğun olmaq üçün sınaqdan keçirilməlidir. Test, qeyri-səlahiyyətli istifadəçinin etibarlı hesablama bazasının qorunması üçün vasitələrdən istifadə etmək və ya məhv etmək üçün məlum üsulların olmadığını təsdiq etməlidir;
Sənədlərin ayrı-ayrı hissələri (fəsil, cild) etibarlı hesablama bazasının təmin etdiyi qoruyucu mexanizmləri təsvir etməli, onların qarşılıqlı əlaqəsini və istifadəsi üçün tövsiyələri dəstəkləməlidir;
Rəhbərliyə sistem inzibatçısının təhlükəsizlik mexanizmləri vasitəsilə idarə etdiyi funksiyalar və güzəştlər barədə məlumatlar daxil edilməlidir;
Sistem inkişaf etdiricisi test planını, testlərin idarə edilməsi prosedurlarını və test nəticələrini dəstəkləyən ekspert məsləhətinə aid sənəd təqdim etməlidir;
İstehsalçı tərəfindən istifadə olunan təhlükəsizlik yanaşması və etibarlı hesablama bazasının həyata keçirilməsində bu yanaşmanın tətbiqi təsvir edilməlidir. Baza bir neçə moduldan ibarət olduqda, aralarında olan interfeys təsvir edilməlidir.
Beləliklə, eyni qaydada kompüter sistemlərinin etibarlılığını müəyyən qədər qiymətləndirməsini müəyyən edən hər bir sinif üçün tələblər sənədləşdirilməlidir.
Nəzərə almaq lazımdır ki, öndə yazılmış yanaşmalar ayri-ayrı proqram-texniki komplekslərin qiymətləndirilməsinə yönəldilmişdir, odur ki, 1987-ci ildə ABŞ Milli Kompüter Təhlükəsizliyi Mərkəzi əlavə olaraq şəbəkə konfiqurasiyalarını şərh etmək üçün yararlı olan "Narıncı Kitab"ı dərc etdi.
Dostları ilə paylaş: |