MÖvzu informasiyanin təHLÜKƏSİZLİYİ problemləRİ


AVROPA ÖLKƏLƏRİNİN HARMONİK MEYARLARI



Yüklə 18,48 Mb.
səhifə4/39
tarix18.05.2020
ölçüsü18,48 Mb.
#31216
1   2   3   4   5   6   7   8   9   ...   39
4. İnformasiyanın qorunması və kriptologiyası


AVROPA ÖLKƏLƏRİNİN HARMONİK MEYARLARI
İnteqrasiya yolu ilə Avropa Ölkələri İnformasiya Texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi üzrə razılaşdırılmış meyarları (İnformation Technology Security Evaluation Criteria, ITSEC) 1991–ci ilin iyun ayında dörd ölkənin - Fransa, Almaniya, Niderland və Böyük Britaniyanın müvafiq orqanları adından dərc etdilər. Razılaşdırılmış meyarlardan istifadənin faydası hamı üçün – həm istehsalçılar, həm istehlakçılar üçün, həm də sertifikatlaşdırma orqanlarının özləri üçün şübhəsizdır.

Avropa meyarlarına informasiya təhlükəsizliyinin aşağıdakı əsas təşkilediciləri daxildir:



  • Konfidensiallıq, informasiyanın qeyri-qanunu (icazəsiz) əlyetənlikdən müdafiə edilməsi;

  • Tamlıq, informasiyanın qeyri-qanunu (icazəsiz) yolla dəyişdirilməsinin mühafizə edilməsi;

  • Əlyetənlik, informasiya və informasiya resurslarının qeyri-qanunu (icazəsiz) əlyetənlikdən müdafiə edilməsi.

Meyarlarda sistemlər və məhsullar arasında fərq göstərilir. Sistem - kifayət qədər müəyyən məqsədlərlə tikilmiş və məlum dairədə fəaliyyət göstərən konkret aparat-proqram quruluşudur. Məhsul - aparat-proqram "paketi”dir, istifadəçi onu mülahizəsinə uyğun alıb sistemə daxil edə bilər.

Beləliklə, informasiya təhlükəsizliyi nöqteyi-nəzərindən sistem və məhsul arasında əsas fərq ondan ibarətdir ki, sistemin müəyyən edilən və istənilən qədər ətraflı öyrənilən konkret mühiti var, məhsul isə müxtəlif şərtlərdə istifadəyə hesablanmalıdır. Sistemin təhlükəsizliyinə təhdidlər tamamilə konkret və real xarakter daşıyır. Məhsula təhdidlər barədə yalnız ehtimallar yaratmaq mümkündür. İxtiraçı məhsulun fəaliyyətinə uyğun olan şərtləri xüsusiləşdirə bilər, alıcının işi isə bu şərtlərin yerinə yetirilməsini təmin etməkdir.

Praktiki mülahizələrə əsasən məhsulların və sistemlərin qiymətləndirilməsi meyarlarının birliyini təmin etmək vacibdir. Bu baxımdan, sistemlər və məhsullar üçün vahid bir termin – qiymətləndirmə obyekti tətbiq olunur. Müvafiq yerlərdə düzəlişlər edilir, onlardan yalnız sistemlərə aid olanları, ya da ki, yalnız məhsullara aid olanları müəyyənləşdirilir.

Hər bir sistem və/və ya məhsul konfidensiallığı, tamlığı və əlyetənliyi üçün özünəməxsus tələbləri təqdim edir. Bu tələbləri yerinə yetirmək üçün, müəyyən servislər toplusu təqdim edilməlidir. Servislər toplusuna autentifikasiya və identifikasiya, əlyetənliyin idarə edilməsi və ya kəsilmələrdən sonra baş vermişlərin bərpası aiddir.

Təhlükəsizlik xidmətləri birbaşa konkret mexanizmlər vasitəsilə həyata keçirilir.

Qiymətləndirmə obyektinin etibarlı olduğunu etiraf etmək üçün təhlükəsizlik xüsusiyyətləri və mexanizmlərinin müəyyən dərəcədə özünə inam tələb olunur. Təklif olunan standartda etibarlılıq dərəcəsi zəmanət adlanır. Qiymətləndirmənin aparılmasının dəqiqliyindən asılı olaraq, zəmanət daha az və ya çox ola bilər.



Zəmanət iki aspektə - təhlükəsizlik vasitələrinin effektivliyinə və düzgünlüyünə toxunur. Effektivliyin yoxlanması zamanı qiymətləndirmə obyekti üçün formalaşdırılan məqsədlər və mövcud təhlükəsizlik funksiyaları arasında uyğunluq təhlil edilir. Daha dəqiq desək, funksiyaların adekvatlığı, funksiyaların qarşılıqlı uzlaşması, onların istifadəsinin sadəliyi, eləcə də məlum zəif müdafiə yerlərinin istismarının mümkün nəticələri nəzərdən keçirilir. Qeyd etmək lazımdır ki, effektivlik anlayışına birbaşa hücumlara qarşı müdafiə mexanizmlərinin qabiliyyəti (mexanizmin gücü) daxildir.

Gücün üç bölgüsü - baza, orta və yüksək müəyyənləşdirilir.

Bunlar aşağıdakı kimi müəyyən olunur:


  • Baza – ayrı-ayrı təsadüfi hücumlara qarşı dayanmaq qabiliyyətidir;

  • Orta – pisniyyətli insanların hücumlarına qarşı məhdud resurslarla və imkanlarla müqavimət göstərmə qabiliyyətidir;

  • Yüksək – mexanizmə yalnız yüksək peşəkarlığı olan pisniyyət insan qalıb gələ bilər. Bu zaman o, obyektin praktiki imkanlarından kanarda olan resurslardan istifadə edə bilər.

Meyarlarda təhlükəsizlik funksiyaları və mexanizmlərinin həyata keçirilməsinin düzgünlüyünü başa düşən termindən – dürüstlükdən istifadə olunur. Dürüstlüyün yeddi mümkün səviyyəsinə (E0 – dan E6-a qədər) müraciət olunur (E0 səviyyəsi zəmanətin olmaması deməkdir). Dürüstlük yoxlanarkən obyektin bütün həyat dövrü– (layihələndirmədən istismara qədər) təhlil edilir.

Sistemin ümumi qiymətləndirilməsi təhlükəsizlik mexanizmlərinin minimal gücündən və dürüstlüyün təminat səviyyəsindən asılıdır. Nəzəri baxımdan bu iki aspekt müstəqildir, amma praktikada təhlükəsizlik mexanizmlərinin hətta orta gücə malik olmadığı halda, "yüksək dərəcə"nin reallaşmasının düzgünlüyünü yoxlamağa heç bir ehtiyac yoxdur.

Avropa meyarlarında informasiya təhlükəsizliyinə aid olan vəsait detallaşmanın üç səviyyəsində nəzərdən keçirilir. Ən mücərrəd görünüş yalnız təhlükəsizlik məqsədlərinə aiddir. Birinci səviyyədə təhlükəsizlik xüsusiyyətlərinin nə üçün lazım olduğu sualına cavab verilir. İkinci səviyyə təhlükəsizlik xüsusiyyətlərinin təsnifatından ibarətdir. Burada hansı funksionallığın əslində təmin edilməsi müəyyən edilir. Nəhayət, üçüncü səviyyədə təhlükəsizlik mexanizmləri haqqında məlumat verilir. Beləliklə, təhlil olunan sistemin rəsmən elan olunmuş funksionallığı göstərilir.

Təhlükəsizlik xüsusiyyətlərinin təsnifatı - qiymətləndirmə obyektinin təsvirinin ən vacib hissəsidir. Meyarlar aşağıdakı başlıqlarla bu spesifikasiyalarda (bir şeyin spesifik xüsusiyyətlərinin müəyyən edilməsi, bir şeyin dəqiqləşdirilmiş təsnifi) bölmələr ayırmağı məsləhət görür:


  • Autentifikasiya və identifikasiya;

  • Əlyetənliyin idarə edilməsi;

  • İnformasiyanın dəqiqliyi;

  • Xidmətin etibarlılığı;

  • Verilənlərin mübadiləsi.

İdentifikasiya və autentifikasiya dedikdə, yalnız istifadəçi həqiqiliyinin dar mənada yoxlanması deyil, həm də yeni istifadəçilərin qeydiyyatı və köhnələrin silinməsi üçün xüsusiyyətlər, həmçinin, bütövlüyə nəzarət vasitələri də daxil olmaqla autentifikasiya məlumatlarının generasiyası, dəyişdirilməsi və yoxlanılması başa düşülür. Eyni zamanda bura təkrar autentifikasiya cəhdlərinin sayını məhdudlaşdırmaq üçün funksiyalar da daxildir.

Əlyetənliyin idarə edilməsi vasitələri Avropa meyarlarında kifayət qədər geniş şərh olunur. Bu bölməyə digər funksiyalardan başqa, bu obyektlərin bütövlüyünün qorunması məqsədilə birgə istifadə olunan obyektlərə əlyetənliyin müvəqqəti məhdudlaşdırılmasını təmin edən funksiyalar – məlumat bazalarının idarə edilmə sistemləri üçün səciyyəvi olan tədbirlər də daxildir. Bu bölmədə əlyetənlik hüquqlarının yayılmasının idarə edilməsi, informasiyanın məntiqi nəticəsi və birləşdirilməsi vasitəsilə informasiyanın əldə edilməsinə nəzarət etmək üçün funksiyalar da daxil edilir.

Meyarlarda dəqiqlik dedikdə verilənlərin müxtəlif hissələri arasında müəyyən uyğunluğun saxlanılması (əlaqələrin dəqiqliyi) və proseslər arasında ötürülmə zamanı verilənlərin dəyişməzliyinin təmin edilməsi (kommunikasiyaların dəqiqliyi) başa düşülür. Dəqiqlik məlumatların bütövlüyünün bir aspekti kimi çıxış edir.

Xidmətin etibarlılığının funksiyaları, zaman keçdikcə kritik tədbirlərin lazım olduqda (daha əvvəl və ya daha sonra) yerinə yetirilməsini təmin etməlidir və qeyri-tənqidi hərəkətlər kritik hala gətirilə bilməz. Bundan əlavə, səlahiyyətli istifadəçilərin tələb olunan resursları düşünülmüş müddətdə alacağına zəmanət olmalıdır. Bu, boşluqları minimuma endirmək üçün lazım olan səhvləri aşkar etmək və neytrallaşdırmaq üçün funksiyaları, eləcə də xarici hadisələrə reaksiya müddətini təmin etməyə imkan verən planlaşdırma xüsusiyyətləri müəyyən edilməlidir.



Verilənlərin mübadiləsi sahəsinə kommunikasiya təhlükəsizliyini (rabitə kanalları vasitəsilə ötürülən verilənlərin təhlükəsizliyini) təmin edən funksiyalar daxildir.
BSI ALMAN STANDARTI
1998-ci ildə Almaniyada "Baza səviyyəsində informasiya texnologiyalarının mühafizəsi üzrə təlimat" nəşr olundu. Təlimat HTML formatında, 4 Mbayt həcmində hipermətndən ibarətdir. Sonralar təlimat Alman BSI standartı şəklində hazırlandı. Standartın əsasında informasiya təhlükəsizliyinin idarə edilməsinin ümumi metodologiyası və təşkilediciləri durur. Bura daxildir:

  • İnformasiya təhlükəsizliyinin idarə edilməsinin ümumi üsulu (İnformasiya təhlükəsizliyi sahəsində menecmentin təşkili, rəhbərlikdən istifadənin metodologiyası);

  • Müasir informasiya texnologiyalarının təşkiledicilərinin təsviri;

  • Əsas təşkiledicilər (İnformasiya təhlükəsizliyinin təşkilati səviyyəsi, prosedur səviyyəsi, verilənlərin müdafiəsinin təşkili, fövqəladə hallarda hərəkətlərin planlaşdırılması);

  • İnfrastruktur (binalar, otaqlar, kabel şəbəkələri, uzaq məsafədən əlyetənliyin təşkili);

  • Müxtəlif növ müştəri xidmətləri (MS-DOS, Windows, UNIX, mobil xidmətlər və digərləri);

  • Müxtəlif növ şəbəkələr ("nöqtə-nöqtə" əlaqələri, Novell NetWare şəbəkəsi, UNIX və Windows əməliyyat sistemləri ilə işləyən şəbəkələr, müxtəlif növ şəbəkələr);

  • Verilənlərin ötürülmə sistemlərinin elementləri (e-poçt, modemlər, şəbəkələrarası ekranlar və s.);

  • Telekommunikasiyalar (fakslar, avtocavab vericiləri, ISDN bazasında inteqrasiya edilmiş sistemlər, digər telekommunikasiya sistemləri);

  • Standart proqram təminatı;

    • Verilənlər bazası;

  • İnformasiya təhlükəsizliyi rejiminin təşkilinin əsas təşkiledicilərinin təsviri (məlumatların mühafizəsinin təşkilati və texniki səviyyəsi, fövqəladə hallarda hərəkətlərin planlaşdırılması, biznesin davamlılığının dəstəklənməsi);

  • İnformasiyalaşdırma obyektlərinin (binalar, otaqlar, kabel şəbəkələri, nəzarət olunan zonalar) xüsusiyyətləri;

  • İnformasiya təhlükəsizliyi rejiminin təşkiledicilərinin təşkil olunmasının əsas xüsusiyyətləri (verilənlərin müdafiəsinin təşkilatı və texniki səviyyəsinin təşkil edilməsi, fövqəladə hallarda hərəkətlərin planlaşdırılması, biznesin fasiləsiz işləməsinin təmin edilməsi);

  • İnformatizasiyalaşdırılmış obyektlərin xarakteristikaları (binalar, otaqlar, kabel şəbəkəsi, nəzarətdə olan zonalar);

  • Şirkətlərin əsas informasiya aktivlərinin xarakteristikası (o cümlədən, aparat və proqram təminatı, məsələn, MS-DOS, Windows və UNIX əməliyyat sistemlərinin rəhbərliyi altında işləyən işçi stansiyalar və serverlər);

  • Müxtəlif şəbəkə texnologiyaları, məsələn, Novell NetWare şəbəkəsi, UNIX və Windows əməliyyat sistemlərindən istifadə etməklə işləyən kompüter şəbəkələrinin xarakteristikaları;

  • Cisco Systems firması kimi aparıcı istehsalçıların aktiv və passiv telekommunikasiya avadanlıqlarının xarakteristikası;

  • Təhlükəsizlik hədələrinin və nəzarət tədbirlərinin ətraflı kataloqu (hər bir kataloqda 600-dən çox maddə vardır).

BSI standartında bütün növ hədələr aşağıdakı siniflərə bölünür:

  • Fors-major baş verdikdə;

  • Təşkilati tədbirlərin həyata keçirilməsində çatışmazlıqlar olduqda;

  • İnsan səhvi üzündən;

  • Texniki nasazlıq baş verdikdə;

  • Qəsdən hərəkətlər edildikdə.

Baş vermiş hadisələrə qarşı yerinə yetirilən əks-tədbirlər aşağıdakı kimi təsnif edilir:

  • İnfrastrukturun təkmilləşdirilməsi;

  • İnzibati şəkildə həyata keçirilən əks tədbirlər;

  • Prosedur əks tədbirləri;

  • Proqram-texniki əks tədbirləri;

  • Kommunikasiyalar arasında əlaqələrin azaldılması;

  • Fövqəladə hallar baş verdikdə yerinə yetirilən fəaliyyətin planlaşdırılması.

Bütün təşkiledicilər aşağıdakı plana uyğun olaraq nəzərdən keçirilir və təsvir olunur:

  • Ümumi təsvir;

  • Təhlükəsizlik hədələrinin mümkün ssenariləri (təhlükəsizlik hədələri kataloqundan bu təşkilediciyə tətbiq olunan hədələr siyahıya alınır);

  • Mümkün əks tədbirlər (təhlükəsizlik hədələri kataloqundan bu təşkilediciyə tətbiq olunan hədələr siyahıya alınır).


BS 7799 BRİTANİYA STANDARTI
Britaniya Standartlar İnstitutu (BSI) Shell, Milli Vestminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica və s. kimi kommersiya təşkilatlarının iştirakı ilə, 1995-ci ildə şirkətin fəaliyyət sahəsindən asılı olmayaraq, təşkilatın informasiya təhlükəsizliyinin idarə edilməsinin BS 7799 milli standartı kimi qəbul edilmiş informasiya təhlükəsizliyi standartını işləyib hazırlamışdır.

Bu standarta uyğun olaraq istənilən təhlükəsizlik xidməti, informasiya texnologiyaları - şöbə, şirkət rəhbərliyi ümumi reqlamentə uyğun işləməyə başlamalıdır. Söhbət kağız sənəd dövriyyəsinin və ya elektron verilənlərin qorunmasından getmir. Hal-hazırda, BS 7799 Britaniya standartını dünyanın 27 ölkəsi, o cümlədən Britaniya Birliyi ölkələri, eləcə də İsveç və Hollandiya kimi ölkələr də dəstəkləyir. 2000-ci ildə Britaniya BS 7799-un bazasında beynəlxalq ISO standartları İnstitutu ISO/IEC 17799 beynəlxalq təhlükəsizlik menecment standartını işləyib hazırlamış və istifadəyə buraxmışdır. Buna görə də bu gün demək olar ki, BS 7799 və ISO 17799 dünyada tanınmış və beynəlxalq ISO standart statusuna malik eyni standartlardır. Bununla yanaşı, bu günə qədər bir sıra ölkələrdə istifadə olunan BS 7799 standartının ilkin məzmununu qeyd etmək lazımdır. Standart iki hissədən ibarətdir:



1-ci hissədə - Praktiki tövsiyələrdə (1995-ci il) informasiya təhlükəsizliyinin aşağıdakı aspektləri müəyyən edilir və nəzərdən keçirilir:

  • Təhlükəsizlik siyasəti;

  • Mühafizənin təşkili;

  • İnformasiya resurslarının təsnifatı və idarə edilməsi;

    • Heyətin idarə edilməsi;

    • Fiziki təhlükəsizlik;

  • Kompüter sistemləri və şəbəkələrinin idarə edilməsi;

  • Sistemlərə əlyetənliyin idarə edilməsi;

  • Sistemlərin hazırlanması və müşayiət edilməsi;

  • Təşkilatın fasiləsiz işinin planlaşdırılması;

  • İnformasiya təhlükəsizliyi tələblərinə uyğun sisteminin yoxlanılması.

2-ci hissədə - Sistemin təsnifatında (1998-ci il) informasiya sisteminin sertifikatlaşdırılması baxımından həmin aspektlər standartın tələblərinə uyğun olaraq nəzərdən keçirilir. Bu hissədə korporativ informasiya təhlükəsizliyinin idarə edilməsi sistemlərinin bu standartın birinci hissəsinin tələblərinə uyğunluğunu yoxlamaq baxımından mümkün funksional xüsusiyyətlərini müəyyən edir. Bu standartın müddəalarına uyğun olaraq, korporativ informasiya sistemlərinin auditi proseduru da reqlamentləşdirilir.

İnformasiya təhlükəsizliyinin idarə edilməsi üçün əlavə tövsiyələr Britaniya Standartlar İnstitutunun rəhbərliyini – British Standards Institution (BSI) http://www.bsigiobal.com/ ehtiva edir.

1995-2003 illərdə nəşr edilmiş növbəti tövsiyyələrə aşağıdakı seriyalar daxil edilmişdir:


  • İnformasiya təhlükəsizliyinin idarə edilməsi probleminə giriş - İnformation security managment: an ıntroduction;

  • BS 7799 standart tələblərinin sertifikatlaşdırma imkanları - Preparing for BS 7799 sertification;

  • Risklərin qiymətləndirilməsi və idarə olunması üçün BS 7799 təlimatı - Guide to BS 7799 risk assessment and risk management;

  • BS 7799 standart tələblərinə audit üçün hazırsınızmı? - Are you ready for BS 7799 audit?

  • Standart tələblərə uyğun auditin aparılması üçün təlimat - BS 7799 Guide to BS 7799 auditing;

  • İnformasiya texnologiyalarının təhlükəsizliyinin idarə edilməsi üzrə praktiki tövsiyələr – G of practice for IT management.

Bu gün şirkət və təşkilatların informasiya təhlükəsizliyinin idarə edilməsinin ümumi məsələləri, həmçinin BS 7799 standartının tələblərinə uyğun olaraq təhlükəsizlik auditinin inkişafı ilə Joint Technical Committee ISO/IEC JTC 1 ilə birlikdə Beynəlxalq Komitəsi Britaniya Standartlar İnstitutu - British Standards İnstitutu (BSI) məşğul olur – (www.bsi-global.com). Bu işdə xüsusilə UKAS xidməti (United Kingdom Accredited Service) fərqlənir. Xidmət BS ISO/IEC 7799:2000 (BS 7799-1:2000) standartına uyğun olaraq informasiya təhlükəsizliyinin auditi hüququ üzrə təşkilatların akkreditasiyasını həyata keçirir. Bu orqanlar tərəfindən verilən sertifikatlar bir çox ölkələrdə tanınır.

Qeyd edək ki, şirkətin ISO 9001 və ISO 9002 standartı BS ISO/IEC 7799:2000 (BS 7799-1:2000) sertifikatlaşdırılması zamanı informasiya təhlükəsizliyi sisteminin sertifikatlaşdırılmasını həm ilkin, həm də nəzarət yoxlamaları zamanı ISO 9001 və ya 9002 standartlarına uyğun sertifikatlaşdırılması ilə birləşdirməyə icazə verir. Bunun üçün BS ISO/IEC 7799:2000 (BS 7799-1:2000) standartı üzrə qeydiyyatdan keçmiş auditorun birgə sertifikatlaşdırılmasında iştirak etmək şərti yerinə yetirilməlidir. Bu zaman birgə testləşdirmə planlarında informasiya təhlükəsizliyi sisteminin yoxlanılması prosedurları dəqiq göstərilməli, sertifikatlaşdırıcı orqanlar isə informasiya təhlükəsizliyinin yoxlanılmasının dəqiqliyinə zəmanət verməlidirlər.


BEYNƏLXALQ ISO 15408 STANDARTI – "ÜMUMİ MEYARLAR”
Beynəlxalq ISO/MEK standartı 15408-99 (tarixən verilmiş adı – "Ümumi meyarlar") informasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi meyarlarının işlənib hazırlanması və praktiki istifadəsi üzrə müxtəlif dövlətlərin təcrübəsinin ümumiləşdirilməsinin nəticəsidir. "Ümumi meyarlar"ın əsasını təşkil edən əsas sənədlər və onların arasındakı əlaqələr aşağıdakı şəkildə təqdim olunur.

İnformasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi üçün normativ bazanın inkişafının təhlili "Ümumi meyarlar"ın yaradılmasına gətirib çıxaran sübutların mühakiməsinə imkan verir. İnformasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsinin ümumi meyarları (bundan sonra "Ümumi meyarlar") təhlükəsizliyin funksional tələblərini (security functional requirements) və təhlükəsizlik funksiyalarının (security assurance requirements) yerinə yetirilməsinin adekvatlığını müəyyən edir.


İnformasiya sistemlərinin təhlükəsizliyinin təhlili üzrə işlər apararkən, "Ümumi meyarlar" informasiya sistemlərinin təhlükəsizlik səviyyəsini bu funksiyaların həyata keçirilməsinin təhlükəsizliyi və etibarlılığı baxımından həyata keçirilən funksiyaların tamlığını nəzərə almaqla qiymətləndirməyə imkan verən əsas meyarlar kimi istifadə edilməsi düzgündür.

"Ümumi meyarlar"ın tətbiq edilməsi proqram-texniki səviyyəli təhlükəsizlik mexanizmləri ilə məhdudlaşdırılsa da, onlarda təşkilati səviyyəli təhlükəsizlik mexanizmlərinə və fiziki müdafiə tələblərinə dair müəyyən tələblər aydınlaşdırılır ki, bu da təsvir edilən təhlükəsizlik funksiyaları ilə bilavasitə bağlıdır.

Bu standartın yaradılması aşağıdakı əsas məqsədləri həyata keçirmişdir:


  • İnformasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi sahəsində milli standartların unifikasiyasını;

  • İnformasiya texnologiyaları təhlükəsizliyinin qiymətləndirilməsinə etibar səviyyəsinin artırılmasını;

  • Sertifikatların qarşılıqlı tanınması əsasında informasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi üzrə xərclərin azaldılmasını.

Yeni meyarlar qlobal informasiya texnologiyaları bazarında təhlükəsizliyin standartlaşdırılmış qiymətləndirilməsinin nəticələrinin qarşılıqlı tanınmasını təmin etmək üçün nəzərdə tutulmuşdur.

"Ümumi meyarlar"ın birinci hissəsi ümumi anlayışlar, konsepsiyalar, informasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi üçün model və metodikanın təsvirini dəstəkləməklə yanaşı məhfum aparatı və predmet sahəsinin formalaşması prinsipləri müəyyən edir.

Müdafiə vasitələrinin funksionallığına dair tələblər "Ümumi meyarlar"ın ikinci hissəsində verilir və təhlükəsizlik sisteminin tamlığının qiymətləndirilməsi üçün təhlükəsizliyin təhlili zamanı birbaşa istifadə edilir.

"Ümumi meyarlar"ın üçüncü hissəsi, təhlükəsizlik funksiyalarının həyata keçirilməsinin adekvatlığı üçün digər tələblərlə yanaşı, AVA (Agricultural Vulnerability Assessment) adlı mühafizə mexanizmlərinin təhlili üçün tələblər sinifini də dəstəkləyir. Tələblər sinfi əlaqələrin qarşısını almaq, aşkar etmək və aradan qaldırmaq üçün istifadə ediləcək aşağıdakı üsulları müəyyən edir:



  • Kanar kanallara informasiya sızmasının mövcudluğu;

  • Konfiqurasiyada olan səhvlər və ya sistemdən yanlış istifadə edilməsi sistemin təhlükəli vəziyyətə keçməsinə gətirib çıxarır;

  • Müvafiq təhlükəsizlik funksiyalarını həyata keçirən təhlükəsizlik mexanizmlərinin qeyri-kafi etibarlılığı (davamlılığı);

  • İstifadəçilərin mövcud mühafizə mexanizmlərindən yan keçməklə informasiyaya qeyri-qanunu əlyetənliyinə imkan verən, informasiyanın müdafiəsi vasitələrindəki zəif yerlərin ("dəliklərin") mövcudluğu.

Təhlükəsizlik auditi üzrə işlər aparılarkən bu tələblər informasiya sistemlərinin zəif yerlərini təhlil etmək üçün təlimatlar və meyarlar kimi istifadə edilə bilər.

"Ümumi meyarlar"ın əsas fərqləndirici xüsusiyyətləri aşağıdakılardır:

  • İnformasiya texnologiyaları təhlükəsizliyinin tələblərinin formalaşdırılması və qiymətləndirilməsi üçün müəyyən metodologiyanın və sistemin mövcudluğu. Sistemlilik terminologiya və abstraksiya səviyyələrindən tələblərin təqdim edilməsi və informasiya texnologiyaları məhsullarının həyat dövrünün bütün mərhələlərində təhlükəsizliyin qiymətləndirilməsində istifadə edilməklə sona qədər izlənilir;

  • “Ümumi meyarlar”ın tələblərinə uyğun olaraq informasiya texnologiyalarının təhlükəsizlik tələbləri bu gün tam şəkildə xarakterizə olunur;

  • Təhlükəsizlik tələblərinin funksional tələblərə və təhlükəsizlik etibarlılığına aydın şəkildə ayrılması. Funksional tələblər təhlükəsizlik xidmətlərinə (identifikasiya, autentifikasiya, əlyetənliyin idarə edilməsi, audit və s.), etibar tələbləri isə informasiya texnologiyalarının məmulatlarının işlənib hazırlanması, sınaqdan keçirilməsi, zəif yerlərin təhlili, istismarın sənədləşdirilməsi, çatdırılması, müşayiət olunması, yəni həyat dövrünün bütün mərhələlərinə aiddir;

  • İnformasiya texnologiyaları məhsullarının təhlükəsizliyinə əminliyin müxtəlif səviyyələrinin formalaşdırılması üçün istifadə oluna bilən təhlükəsizlik şkalası (təhlükəsizliyi qiymətləndirən səviyyələrin) ölçüsünə daxil olan ümumi meyarlar;

  • “Sinif – ailə – təşkiledici – element" ierarxiyası üzrə tələblərin sistemləşdirilməsi və təsnifatı onların istifadəsinin rahatlığını təmin edən unikal tələblərin identifikatorlarıdır;

  • Ailə və siniflərdə tələblərin təşkilediciləri, eləcə də tələb paketləri tamlıq və sərtlik dərəcəsi ilə sıralanır və qruplaşdırılır;

  • İnformasiya texnologiyaları məhsullarının müxtəlif növləri üçün təhlükəsizlik tələblərinin formalaşmasına yanaşmada çeviklik və onların tətbiqi şərtləri standartlaşdırılmış qurumlarda (müdafiə profilləri və təhlükəsizlik üzrə tapşırıqlar) müəyyən edilmiş formada zəruri tələblər toplusunun məqsədyönlü formalaşması ilə təmin olunur;

  • “Ümumi meyarlar” tələblər məcmusunun sonrakı inkişafı üçün aşkarlığa malikdir.

“Ümumi meyarlar”ın tətbiqində tələblərin, universallığın və çevikliyin detallaşdırılmasının sistemləşdirilməsi, tamlığı və imkanlarına görə hal-hazırda mövcud olan standartlardan ən mükəmməli hesab edilə bilər. Bu çox vacibdir, çünki quruluş xüsusiyyətlərinə görə onun inkişafı üçün demək olar ki, qeyri-məhdud imkanları mövcuddur. “Ümumi meyarlar” funksional standart deyil, informasiya texnologiyalarının təhlükəsizlik tələblərinin metodologiyasıdır, qiymətləndirilməsidir və kataloqudur. Bu baxımdan “Ümumi meyarlar” araşdırılır, dəqiqləşdirilir və inkişaf edir.

Müəyyən mənada funksional standartların rolunu təhlükəsizlik profilləri yerinə yetirir. Profillər, “Ümumi meyarlar”ın tələblər kataloqu və tövsiyyələri nəzərə alınmaqla formalaşır. Bununla yanaşı profillərə xüsusi məmulatın və ya informasiya texnologiyları məmulatları tipinin təhlükəsizliyinin təmin edilməsi üçün lazım olan hər hansı digər tələblər də daxil edə bilər.


Yüklə 18,48 Mb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   ...   39




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin