AVROPA ÖLKƏLƏRİNİN HARMONİK MEYARLARI

Avropa meyarlarına informasiya təhlükəsizliyinin aşağıdakı əsas təşkilediciləri daxildir:

• 
  Konfidensiallıq, informasiyanın qeyri-qanunu (icazəsiz) əlyetənlikdən müdafiə edilməsi;
  
• 
  Tamlıq, informasiyanın qeyri-qanunu (icazəsiz) yolla dəyişdirilməsinin mühafizə edilməsi;
  
• 
  Əlyetənlik, informasiya və informasiya resurslarının qeyri-qanunu (icazəsiz) əlyetənlikdən müdafiə edilməsi.
  

Beləliklə, informasiya təhlükəsizliyi nöqteyi-nəzərindən sistem və məhsul arasında əsas fərq ondan ibarətdir ki, sistemin müəyyən edilən və istənilən qədər ətraflı öyrənilən konkret mühiti var, məhsul isə müxtəlif şərtlərdə istifadəyə hesablanmalıdır. Sistemin təhlükəsizliyinə təhdidlər tamamilə konkret və real xarakter daşıyır. Məhsula təhdidlər barədə yalnız ehtimallar yaratmaq mümkündür. İxtiraçı məhsulun fəaliyyətinə uyğun olan şərtləri xüsusiləşdirə bilər, alıcının işi isə bu şərtlərin yerinə yetirilməsini təmin etməkdir.

Praktiki mülahizələrə əsasən məhsulların və sistemlərin qiymətləndirilməsi meyarlarının birliyini təmin etmək vacibdir. Bu baxımdan, sistemlər və məhsullar üçün vahid bir termin – qiymətləndirmə obyekti tətbiq olunur. Müvafiq yerlərdə düzəlişlər edilir, onlardan yalnız sistemlərə aid olanları, ya da ki, yalnız məhsullara aid olanları müəyyənləşdirilir.

Hər bir sistem və/və ya məhsul konfidensiallığı, tamlığı və əlyetənliyi üçün özünəməxsus tələbləri təqdim edir. Bu tələbləri yerinə yetirmək üçün, müəyyən servislər toplusu təqdim edilməlidir. Servislər toplusuna autentifikasiya və identifikasiya, əlyetənliyin idarə edilməsi və ya kəsilmələrdən sonra baş vermişlərin bərpası aiddir.

Təhlükəsizlik xidmətləri birbaşa konkret mexanizmlər vasitəsilə həyata keçirilir.

Qiymətləndirmə obyektinin etibarlı olduğunu etiraf etmək üçün təhlükəsizlik xüsusiyyətləri və mexanizmlərinin müəyyən dərəcədə özünə inam tələb olunur. Təklif olunan standartda etibarlılıq dərəcəsi zəmanət adlanır. Qiymətləndirmənin aparılmasının dəqiqliyindən asılı olaraq, zəmanət daha az və ya çox ola bilər.

Gücün üç bölgüsü - baza, orta və yüksək müəyyənləşdirilir.

Bunlar aşağıdakı kimi müəyyən olunur:

• 
  Baza – ayrı-ayrı təsadüfi hücumlara qarşı dayanmaq qabiliyyətidir;
  
• 
  Orta – pisniyyətli insanların hücumlarına qarşı məhdud resurslarla və imkanlarla müqavimət göstərmə qabiliyyətidir;
  
• 
  Yüksək – mexanizmə yalnız yüksək peşəkarlığı olan pisniyyət insan qalıb gələ bilər. Bu zaman o, obyektin praktiki imkanlarından kanarda olan resurslardan istifadə edə bilər.
  

Sistemin ümumi qiymətləndirilməsi təhlükəsizlik mexanizmlərinin minimal gücündən və dürüstlüyün təminat səviyyəsindən asılıdır. Nəzəri baxımdan bu iki aspekt müstəqildir, amma praktikada təhlükəsizlik mexanizmlərinin hətta orta gücə malik olmadığı halda, "yüksək dərəcə"nin reallaşmasının düzgünlüyünü yoxlamağa heç bir ehtiyac yoxdur.

Avropa meyarlarında informasiya təhlükəsizliyinə aid olan vəsait detallaşmanın üç səviyyəsində nəzərdən keçirilir. Ən mücərrəd görünüş yalnız təhlükəsizlik məqsədlərinə aiddir. Birinci səviyyədə təhlükəsizlik xüsusiyyətlərinin nə üçün lazım olduğu sualına cavab verilir. İkinci səviyyə təhlükəsizlik xüsusiyyətlərinin təsnifatından ibarətdir. Burada hansı funksionallığın əslində təmin edilməsi müəyyən edilir. Nəhayət, üçüncü səviyyədə təhlükəsizlik mexanizmləri haqqında məlumat verilir. Beləliklə, təhlil olunan sistemin rəsmən elan olunmuş funksionallığı göstərilir.

Təhlükəsizlik xüsusiyyətlərinin təsnifatı - qiymətləndirmə obyektinin təsvirinin ən vacib hissəsidir. Meyarlar aşağıdakı başlıqlarla bu spesifikasiyalarda (bir şeyin spesifik xüsusiyyətlərinin müəyyən edilməsi, bir şeyin dəqiqləşdirilmiş təsnifi) bölmələr ayırmağı məsləhət görür:

• 
  Autentifikasiya və identifikasiya;
  
• 
  Əlyetənliyin idarə edilməsi;
  
• 
  İnformasiyanın dəqiqliyi;
  
• 
  Xidmətin etibarlılığı;
  
• 
  Verilənlərin mübadiləsi.
  

Xidmətin etibarlılığının funksiyaları, zaman keçdikcə kritik tədbirlərin lazım olduqda (daha əvvəl və ya daha sonra) yerinə yetirilməsini təmin etməlidir və qeyri-tənqidi hərəkətlər kritik hala gətirilə bilməz. Bundan əlavə, səlahiyyətli istifadəçilərin tələb olunan resursları düşünülmüş müddətdə alacağına zəmanət olmalıdır. Bu, boşluqları minimuma endirmək üçün lazım olan səhvləri aşkar etmək və neytrallaşdırmaq üçün funksiyaları, eləcə də xarici hadisələrə reaksiya müddətini təmin etməyə imkan verən planlaşdırma xüsusiyyətləri müəyyən edilməlidir.

• 
  İnformasiya təhlükəsizliyinin idarə edilməsinin ümumi üsulu (İnformasiya təhlükəsizliyi sahəsində menecmentin təşkili, rəhbərlikdən istifadənin metodologiyası);
  
• 
  Müasir informasiya texnologiyalarının təşkiledicilərinin təsviri;
  
• 
  Əsas təşkiledicilər (İnformasiya təhlükəsizliyinin təşkilati səviyyəsi, prosedur səviyyəsi, verilənlərin müdafiəsinin təşkili, fövqəladə hallarda hərəkətlərin planlaşdırılması);
  
• 
  İnfrastruktur (binalar, otaqlar, kabel şəbəkələri, uzaq məsafədən əlyetənliyin təşkili);
  
• 
  Müxtəlif növ müştəri xidmətləri (MS-DOS, Windows, UNIX, mobil xidmətlər və digərləri);
  
• 
  Müxtəlif növ şəbəkələr ("nöqtə-nöqtə" əlaqələri, Novell NetWare şəbəkəsi, UNIX və Windows əməliyyat sistemləri ilə işləyən şəbəkələr, müxtəlif növ şəbəkələr);
  
• 
  Verilənlərin ötürülmə sistemlərinin elementləri (e-poçt, modemlər, şəbəkələrarası ekranlar və s.);
  
• 
  Telekommunikasiyalar (fakslar, avtocavab vericiləri, ISDN bazasında inteqrasiya edilmiş sistemlər, digər telekommunikasiya sistemləri);
  
• 
  Standart proqram təminatı;
  
  • 
    Verilənlər bazası;
    
• 
  İnformasiya təhlükəsizliyi rejiminin təşkilinin əsas təşkiledicilərinin təsviri (məlumatların mühafizəsinin təşkilati və texniki səviyyəsi, fövqəladə hallarda hərəkətlərin planlaşdırılması, biznesin davamlılığının dəstəklənməsi);
  
• 
  İnformasiyalaşdırma obyektlərinin (binalar, otaqlar, kabel şəbəkələri, nəzarət olunan zonalar) xüsusiyyətləri;
  
• 
  İnformasiya təhlükəsizliyi rejiminin təşkiledicilərinin təşkil olunmasının əsas xüsusiyyətləri (verilənlərin müdafiəsinin təşkilatı və texniki səviyyəsinin təşkil edilməsi, fövqəladə hallarda hərəkətlərin planlaşdırılması, biznesin fasiləsiz işləməsinin təmin edilməsi);
  
• 
  İnformatizasiyalaşdırılmış obyektlərin xarakteristikaları (binalar, otaqlar, kabel şəbəkəsi, nəzarətdə olan zonalar);
  
• 
  Şirkətlərin əsas informasiya aktivlərinin xarakteristikası (o cümlədən, aparat və proqram təminatı, məsələn, MS-DOS, Windows və UNIX əməliyyat sistemlərinin rəhbərliyi altında işləyən işçi stansiyalar və serverlər);
  
• 
  Müxtəlif şəbəkə texnologiyaları, məsələn, Novell NetWare şəbəkəsi, UNIX və Windows əməliyyat sistemlərindən istifadə etməklə işləyən kompüter şəbəkələrinin xarakteristikaları;
  
• 
  Cisco Systems firması kimi aparıcı istehsalçıların aktiv və passiv telekommunikasiya avadanlıqlarının xarakteristikası;
  
• 
  Təhlükəsizlik hədələrinin və nəzarət tədbirlərinin ətraflı kataloqu (hər bir kataloqda 600-dən çox maddə vardır).
  

• 
  Fors-major baş verdikdə;
  
• 
  Təşkilati tədbirlərin həyata keçirilməsində çatışmazlıqlar olduqda;
  
• 
  İnsan səhvi üzündən;
  
• 
  Texniki nasazlıq baş verdikdə;
  
• 
  Qəsdən hərəkətlər edildikdə.
  

• 
  İnfrastrukturun təkmilləşdirilməsi;
  
• 
  İnzibati şəkildə həyata keçirilən əks tədbirlər;
  
• 
  Prosedur əks tədbirləri;
  
• 
  Proqram-texniki əks tədbirləri;
  
• 
  Kommunikasiyalar arasında əlaqələrin azaldılması;
  
• 
  Fövqəladə hallar baş verdikdə yerinə yetirilən fəaliyyətin planlaşdırılması.
  

• 
  Ümumi təsvir;
  
• 
  Təhlükəsizlik hədələrinin mümkün ssenariləri (təhlükəsizlik hədələri kataloqundan bu təşkilediciyə tətbiq olunan hədələr siyahıya alınır);
  
• 
  Mümkün əks tədbirlər (təhlükəsizlik hədələri kataloqundan bu təşkilediciyə tətbiq olunan hədələr siyahıya alınır).
  

Bu standarta uyğun olaraq istənilən təhlükəsizlik xidməti, informasiya texnologiyaları - şöbə, şirkət rəhbərliyi ümumi reqlamentə uyğun işləməyə başlamalıdır. Söhbət kağız sənəd dövriyyəsinin və ya elektron verilənlərin qorunmasından getmir. Hal-hazırda, BS 7799 Britaniya standartını dünyanın 27 ölkəsi, o cümlədən Britaniya Birliyi ölkələri, eləcə də İsveç və Hollandiya kimi ölkələr də dəstəkləyir. 2000-ci ildə Britaniya BS 7799-un bazasında beynəlxalq ISO standartları İnstitutu ISO/IEC 17799 beynəlxalq təhlükəsizlik menecment standartını işləyib hazırlamış və istifadəyə buraxmışdır. Buna görə də bu gün demək olar ki, BS 7799 və ISO 17799 dünyada tanınmış və beynəlxalq ISO standart statusuna malik eyni standartlardır. Bununla yanaşı, bu günə qədər bir sıra ölkələrdə istifadə olunan BS 7799 standartının ilkin məzmununu qeyd etmək lazımdır. Standart iki hissədən ibarətdir:

• 
  Təhlükəsizlik siyasəti;
  

• 
  Mühafizənin təşkili;
  
• 
  İnformasiya resurslarının təsnifatı və idarə edilməsi;
  
  • 
    Heyətin idarə edilməsi;
    
  • 
    Fiziki təhlükəsizlik;
    
• 
  Kompüter sistemləri və şəbəkələrinin idarə edilməsi;
  
• 
  Sistemlərə əlyetənliyin idarə edilməsi;
  
• 
  Sistemlərin hazırlanması və müşayiət edilməsi;
  
• 
  Təşkilatın fasiləsiz işinin planlaşdırılması;
  
• 
  İnformasiya təhlükəsizliyi tələblərinə uyğun sisteminin yoxlanılması.
  

İnformasiya təhlükəsizliyinin idarə edilməsi üçün əlavə tövsiyələr Britaniya Standartlar İnstitutunun rəhbərliyini – British Standards Institution (BSI) http://www.bsigiobal.com/ ehtiva edir.

1995-2003 illərdə nəşr edilmiş növbəti tövsiyyələrə aşağıdakı seriyalar daxil edilmişdir:

• 
  İnformasiya təhlükəsizliyinin idarə edilməsi probleminə giriş - İnformation security managment: an ıntroduction;
  
• 
  BS 7799 standart tələblərinin sertifikatlaşdırma imkanları - Preparing for BS 7799 sertification;
  
• 
  Risklərin qiymətləndirilməsi və idarə olunması üçün BS 7799 təlimatı - Guide to BS 7799 risk assessment and risk management;
  
• 
  BS 7799 standart tələblərinə audit üçün hazırsınızmı? - Are you ready for BS 7799 audit?
  
• 
  Standart tələblərə uyğun auditin aparılması üçün təlimat - BS 7799 Guide to BS 7799 auditing;
  
• 
  İnformasiya texnologiyalarının təhlükəsizliyinin idarə edilməsi üzrə praktiki tövsiyələr – G of practice for IT management.
  

Qeyd edək ki, şirkətin ISO 9001 və ISO 9002 standartı BS ISO/IEC 7799:2000 (BS 7799-1:2000) sertifikatlaşdırılması zamanı informasiya təhlükəsizliyi sisteminin sertifikatlaşdırılmasını həm ilkin, həm də nəzarət yoxlamaları zamanı ISO 9001 və ya 9002 standartlarına uyğun sertifikatlaşdırılması ilə birləşdirməyə icazə verir. Bunun üçün BS ISO/IEC 7799:2000 (BS 7799-1:2000) standartı üzrə qeydiyyatdan keçmiş auditorun birgə sertifikatlaşdırılmasında iştirak etmək şərti yerinə yetirilməlidir. Bu zaman birgə testləşdirmə planlarında informasiya təhlükəsizliyi sisteminin yoxlanılması prosedurları dəqiq göstərilməli, sertifikatlaşdırıcı orqanlar isə informasiya təhlükəsizliyinin yoxlanılmasının dəqiqliyinə zəmanət verməlidirlər.

İnformasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi üçün normativ bazanın inkişafının təhlili "Ümumi meyarlar"ın yaradılmasına gətirib çıxaran sübutların mühakiməsinə imkan verir. İnformasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsinin ümumi meyarları (bundan sonra "Ümumi meyarlar") təhlükəsizliyin funksional tələblərini (security functional requirements) və təhlükəsizlik funksiyalarının (security assurance requirements) yerinə yetirilməsinin adekvatlığını müəyyən edir.

"Ümumi meyarlar"ın tətbiq edilməsi proqram-texniki səviyyəli təhlükəsizlik mexanizmləri ilə məhdudlaşdırılsa da, onlarda təşkilati səviyyəli təhlükəsizlik mexanizmlərinə və fiziki müdafiə tələblərinə dair müəyyən tələblər aydınlaşdırılır ki, bu da təsvir edilən təhlükəsizlik funksiyaları ilə bilavasitə bağlıdır.

Bu standartın yaradılması aşağıdakı əsas məqsədləri həyata keçirmişdir:

• 
  İnformasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi sahəsində milli standartların unifikasiyasını;
  
• 
  İnformasiya texnologiyaları təhlükəsizliyinin qiymətləndirilməsinə etibar səviyyəsinin artırılmasını;
  
• 
  Sertifikatların qarşılıqlı tanınması əsasında informasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi üzrə xərclərin azaldılmasını.
  

"Ümumi meyarlar"ın birinci hissəsi ümumi anlayışlar, konsepsiyalar, informasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi üçün model və metodikanın təsvirini dəstəkləməklə yanaşı məhfum aparatı və predmet sahəsinin formalaşması prinsipləri müəyyən edir.

Müdafiə vasitələrinin funksionallığına dair tələblər "Ümumi meyarlar"ın ikinci hissəsində verilir və təhlükəsizlik sisteminin tamlığının qiymətləndirilməsi üçün təhlükəsizliyin təhlili zamanı birbaşa istifadə edilir.

"Ümumi meyarlar"ın üçüncü hissəsi, təhlükəsizlik funksiyalarının həyata keçirilməsinin adekvatlığı üçün digər tələblərlə yanaşı, AVA (Agricultural Vulnerability Assessment) adlı mühafizə mexanizmlərinin təhlili üçün tələblər sinifini də dəstəkləyir. Tələblər sinfi əlaqələrin qarşısını almaq, aşkar etmək və aradan qaldırmaq üçün istifadə ediləcək aşağıdakı üsulları müəyyən edir:

• 
  Kanar kanallara informasiya sızmasının mövcudluğu;
  
• 
  Konfiqurasiyada olan səhvlər və ya sistemdən yanlış istifadə edilməsi sistemin təhlükəli vəziyyətə keçməsinə gətirib çıxarır;
  
• 
  Müvafiq təhlükəsizlik funksiyalarını həyata keçirən təhlükəsizlik mexanizmlərinin qeyri-kafi etibarlılığı (davamlılığı);
  
• 
  İstifadəçilərin mövcud mühafizə mexanizmlərindən yan keçməklə informasiyaya qeyri-qanunu əlyetənliyinə imkan verən, informasiyanın müdafiəsi vasitələrindəki zəif yerlərin ("dəliklərin") mövcudluğu.
  

• 
  İnformasiya texnologiyaları təhlükəsizliyinin tələblərinin formalaşdırılması və qiymətləndirilməsi üçün müəyyən metodologiyanın və sistemin mövcudluğu. Sistemlilik terminologiya və abstraksiya səviyyələrindən tələblərin təqdim edilməsi və informasiya texnologiyaları məhsullarının həyat dövrünün bütün mərhələlərində təhlükəsizliyin qiymətləndirilməsində istifadə edilməklə sona qədər izlənilir;
  
• 
  “Ümumi meyarlar”ın tələblərinə uyğun olaraq informasiya texnologiyalarının təhlükəsizlik tələbləri bu gün tam şəkildə xarakterizə olunur;
  
• 
  Təhlükəsizlik tələblərinin funksional tələblərə və təhlükəsizlik etibarlılığına aydın şəkildə ayrılması. Funksional tələblər təhlükəsizlik xidmətlərinə (identifikasiya, autentifikasiya, əlyetənliyin idarə edilməsi, audit və s.), etibar tələbləri isə informasiya texnologiyalarının məmulatlarının işlənib hazırlanması, sınaqdan keçirilməsi, zəif yerlərin təhlili, istismarın sənədləşdirilməsi, çatdırılması, müşayiət olunması, yəni həyat dövrünün bütün mərhələlərinə aiddir;
  
• 
  İnformasiya texnologiyaları məhsullarının təhlükəsizliyinə əminliyin müxtəlif səviyyələrinin formalaşdırılması üçün istifadə oluna bilən təhlükəsizlik şkalası (təhlükəsizliyi qiymətləndirən səviyyələrin) ölçüsünə daxil olan ümumi meyarlar;
  
• 
  “Sinif – ailə – təşkiledici – element" ierarxiyası üzrə tələblərin sistemləşdirilməsi və təsnifatı onların istifadəsinin rahatlığını təmin edən unikal tələblərin identifikatorlarıdır;
  
• 
  Ailə və siniflərdə tələblərin təşkilediciləri, eləcə də tələb paketləri tamlıq və sərtlik dərəcəsi ilə sıralanır və qruplaşdırılır;
  
• 
  İnformasiya texnologiyaları məhsullarının müxtəlif növləri üçün təhlükəsizlik tələblərinin formalaşmasına yanaşmada çeviklik və onların tətbiqi şərtləri standartlaşdırılmış qurumlarda (müdafiə profilləri və təhlükəsizlik üzrə tapşırıqlar) müəyyən edilmiş formada zəruri tələblər toplusunun məqsədyönlü formalaşması ilə təmin olunur;
  
• 
  “Ümumi meyarlar” tələblər məcmusunun sonrakı inkişafı üçün aşkarlığa malikdir.
  

Müəyyən mənada funksional standartların rolunu təhlükəsizlik profilləri yerinə yetirir. Profillər, “Ümumi meyarlar”ın tələblər kataloqu və tövsiyyələri nəzərə alınmaqla formalaşır. Bununla yanaşı profillərə xüsusi məmulatın və ya informasiya texnologiyları məmulatları tipinin təhlükəsizliyinin təmin edilməsi üçün lazım olan hər hansı digər tələblər də daxil edə bilər.