MÖvzu informasiyanin təHLÜKƏSİZLİYİ problemləRİ
Yüklə 18,48 Mb.
|
- Bu səhifədəki naviqasiya:
- Üçüncüsü
- Müqavilə və ilkin icazə sənədlərinin imzalanması
- COBIT standartının tətbiqi ilə informasiyanın toplanması
- İlkin verilənlərin təhlili
- Tövsiyələrin hazırlanması
- Nəticələrin texniki qrupu
- Tövsiyələrin yerinə yetirilməsinə nəzarət
- Alınması və işə salınması
- RUSİYA INFORMASİYA TEXNOLOGİYALARININ TƏHLÜKƏSİZLİK STANDARTLARI
- İkinci səviyyə
- Avropa təhlükəsizlik standartı - ISO 15408
- ABŞ TƏHLÜKƏSİZLİK STANDARTLARI FIPS 140-2 "Kriptoqrafik modulları üçün təhlükəsizlik tələbləri"
|
COBIT STANDARTI Hazırda informasiya təhlükəsizliyinin auditi məsələləri ilə müxtəlif auditor şirkətləri, təşkilatlar, firmalar məşğul olur və onların bir çoxu dövlət və qeyri-dövlət assosiasiyalarının tərkibinə daxildir. İnformasiya sistemlərinin auditi ilə məşğul olan ən məşhur beynəlxalq təşkilat ISACA (Information Systems Audit and Control Association-İnforma-siya sistemlərinə nəzarət və audit assosiasiyası) şirkətidir ki, onun təşəbbüsü ilə informasiya texnologiyalarının Beynəlxalq Bankın tələblərinə uyğun idarə edilməsi konsepsiyası işlənib hazırlanmışdır. Bu konsepsiya əsasında informasiya texnologiyasının elementləri təsvir olunur, idarəetmənin təşkili və informasiya təhlükəsizliyi rejiminin təmin edilməsi üzrə tövsiyələr verilir. Konsepsiya COBIT 3rd Edition (Control Objectives for Information and Related Technology - İnformasiya texnologiyasının nəzarət obyektləri) adlı sənəddə təsvir edilmişdir. Sənəd dörd hissədən ibarətdir: I hissə - konsepsiyanın qısa təsviri (Executive Summary); II hissə - müəyyənliklər və əsas anlayışlar (Framework). Bu hissədə müəyyənliklər və əsas anlayışlarla yanaşı, onlara qarşı tələblər də formalaşdırılmışdır; III hissə - idarəetmə prosesləri və mümkün olan alətlər toplusu təsnifləşdirilmişdir (Control Objectives); IV hissə - Kompüter informasiya sistemləri auditinin icrası üçün tövsiyələr verilmişdir (Audit Guidelines). Bu sənədin üçüncü hissəsi müəyyən mənada BS 7799 beynəlxalq standartına bənzəyir. Təxminən eyni şəkildə informasiya təhlükəsizliyinin idarə edilməsi üçün praktiki tövsiyələr ətraflı verilmişdir, lakin idarəetmə sistemlərinin modelləri müqayisə edilən standartlarda bir-birindən çox fərqlidirlər. COBIT standartının 1996-cı ildə çap olunan ilk nəşrində standartın açıq sənədlər paketi olduğu qeyd edilir. COBIT informasiya texnologiyasının universal idarəetmə modelini təsvir edir. COBIT standartının əsas ideyası qısaca bu şəkildə ifadə olunur: İnformasiya sisteminin bütün resursları şirkəti lazımi və etibarlı informasiya ilə təmin etmək üçün təbii qruplaşdırılmış proseslərin toplusu ilə idarə olunmalıdır. COBIT modelində biznes prosesində istifadə olunan informasiya mənbəyi olan informasiya texnologiyaları resursları mövcuddur. İnformasiya texnologiyası biznes prosesinin tələblərini təmin etməlidir. Bu tələblər aşağıdakı kimi qruplaşdırılıb: Birincisi, texnologiyanın keyfiyyətinə dair tələblər informasiya təhlilinin keyfiyyət və dəyər göstəricilərini, onun alıcıya çatdırılmasının xüsusiyyətlərini təşkil edir. Keyfiyyət göstəriciləri ümumiləşdirilmiş şəkildə bütövlük və mövcudluq anlayışlarına daxil olan mümkün mənfi aspektləri ətraflı təsvir edir. Bundan əlavə, qrupa informasiyanın təhlilinin subyektiv aspektlərinə aid göstəricilər də daxil edilir (məsələn, üslub, interfeyslərin rahatlığı). Məlumatların alıcıya çatdırılmasının xüsusiyyətləri ümumiləşdirilmiş şəkildə əlyetənlik göstəricilərinə və qismən – məxfilik və bütövlüyə daxil olan göstəricilərdir. Nəzərdən keçirilən göstəricilər sistemi risklərin idarə edilməsi və informasiya texnologiyasının səmərəliliyinin qiymətləndirilməsi üçün istifadə olunur. İkincisi, texnologiyaya inam - kompüter informasiya sisteminin qəbul olunmuş standartlara və tələblərə uyğunluğunu, sistemdə təhlil edilən informasiyanın doğruluğunu, onun təsirliliyini təsvir edən göstəricilər qrupudur. Üçüncüsü, informasiya təhlükəsizliyi göstəriciləri – sistemdə təhlil edilən informasiyanın məxfiliyi, bütövlüyü və əlyetənliyidir. COBIT STANDARTININ STRUKTURU COBIT standartında auditin aparılması üçün aşağıdakı mərhələlər ayrılmışdır: Müqavilə və ilkin icazə sənədlərinin imzalanması. Bu mərhələdə sifarişçi və auditor şirkəti tərəfindən məsul şəxslər müəyyən edilir, auditin hansı çərçivə daxilində aparılması müəyyən edilir, informasiya sisteminin nəzarət olunan elementləri göstərilir, zəruri sənədlər tərtib edilir və razılaşdırılır. Bütün informasiya sisteminin ilkin auditinin nəticələrinə əsasən audit tərəfindən şübhəli təşkiledicilərin əsaslı yoxlanılması yerinə yetirilir. COBIT standartının tətbiqi ilə informasiyanın toplanması tədqiq olunan sistemin nəzarət obyektlərinin tərkibini tənzimləyir. Nəzarət obyektlərinin təsvirinin detallaşdırılma dərəcəsi ilkin icazə sənədlərinin hazırlanması mərhələsində müəyyən edilir. Bu zaman ilkin məlumatların alınması və tədqiqat məqsədləri üçün onların əhəmiyyəti barədə müvəqqəti, dəyər və digər xərclər arasında optimal nisbətə nail olmağa çalışırlar. İlkin məlumatların təqdim edilmə diapazonu HƏ/YOX tipli binar (ikili) cavablardan ətraflı hesabatlara kimi dəyişir. İnformasiyaya qoyulan əsas tələb onun faydalılığıdır - yəni informasiya anlaşılan, münasib (işə aid) və düzgün (etibarlı) olmalıdır. İlkin verilənlərin təhlili yalnız etibarlı mənbədən alınan verilənləri nəzərə alınmaqla həyata keçirilir. Təhlilin aparılması üçün tələblər ilkin verilənlərin toplanması mərhələsində müəyyən edilir. COBIT standartı standartda təsvir edilən verilənlərin təhlili metodologiyasını tətbiq etməyi tövsiyə edir, lakin zəruri hallarda ISACA-nın digər assosiasiya üzvlərinin ixtiralarının icazə verilmişlərindən istifadəyə icazə verilir. Təhlil mərhələsində çatışmayan ilkin verilənlərin əldə edilməsi üçün verilənlərin toplanması mərhələsinə yenidən qayıtmaq olar. Tövsiyələrin hazırlanması. Aparılmış təhlil nəticəsində əldə edilmiş tövsiyələr sifarişçi ilə əvvəlcədən razılaşdırıldıqdan sonra mütləq tətbiq etmə riskləri nəzərə alınmaqla yerinə yetirilmə və aktuallıq üçün yoxlanılmalıdır. COBIT standartı informasiya sistemlərinin cari vəziyyəti, dəyişikliklərin edilməsi üçün texniki tapşırıq, aparılmış audit barədə hesabatla tövsiyələrin tərtib edilməsini məsləhət bilir. Auditin nəticələrini üç şərti qrupa bölmək olar: təşkilati, texniki və metodoloji. Adı çəkilən qrupların hər biri informasiya sisteminin təşkilati, texniki və ya metodoloji təminatının yaxşılaşdırılmasına yönəlmişdir. Təşkilat qrupuna informasiya sisteminə strateji planlaşdırmanın, ümumi idarəetmənin və investisiyaların qiymətləndirilməsi, şirkətin rəqabət qabiliyyətinin artırılmasına kömək edən tövsiyələr, informasiya sisteminə xidmət xərclərinin azaldılması, informasiya sisteminin həll olunan biznes vəzifələrinə uyğunluğunun yoxlanılmasının nəticələri, informasiya sisteminin istismarının dəyərinin azaldılması, risklərin idarə edilməsi, informasiya sistemləri çərçivəsində yerinə yetirilən layihələr və s. daxildir. Nəticələrin texniki qrupu informasiya sistemlərinin problemlərini daha yaxşı başa düşməyə və onların minimal xərclərlə həlli yollarını işləyib hazırlamağa, texnoloji həlləri qiymətləndirməyə, yeni texnologiyaların tam potensialını reallaşdırmağa, təhlükəsizlik məsələlərini sistemli şəkildə həll etməyə, informasiya sistemlərinin müasirləşdirilməsinin peşəkar proqnozunu və zəruriliyini həyata keçirməyə, informasiya sisteminin fəaliyyətinin səmərəliliyini yüksəltməyə, informasiya sistemlərinə xidmət səviyyəsini müəyyən etməyə imkan verir. Metodoloji nəticələr strateji planlaşdırmaya və proqnozlaşdırmaya, sənəd dövriyyəsinin optimallaşdırılmasına, əmək intizamının artırılmasına, informasiya sistemlərinin inzibatçılarının və istifadəçilərinin təliminə, şirkətin informasiya sisteminin cari vəziyyəti haqqında vaxtında və obyektiv informasiyanın əldə edilməsinə sınaqdan keçirilmiş yanaşmaları təqdim etməyə imkan verir. Tövsiyələrin yerinə yetirilməsinə nəzarət auditor şirkətinin sifarişçi tərəfindən tövsiyənin yerinə yetirilməsini daimi izləməsini nəzərdə tutur. Hesabat aktlarının imzalanması növbəti yoxlamaların keçirilmə plan-qrafiki, informasiya sistemlərinin uzunmüddətli və qısamüddətli inkişaf planları, fövqəladə hallarda informasiya sisteminin bərpası planı, mühafizənin pozulması zamanı fəaliyyət qaydası, təhlükəsizlik siyasətinin konsepsiyası kimi əlavə sənədlərin hazırlanması ilə həyata keçirilir. Auditin daimi aparılması sistemin iş qabiliyyətinə zəmanət verir, bu baxımdan növbəti yoxlamaların keçirilməsi üçün plan-qrafikin yaradılması peşəkar auditin aparılması şərtlərindən biri hesab olunur. COBIT modelində fəaliyyətdə olan istənilən informasiya texnologiyası həyat dövrünün aşağıdakı mərhələlərindən keçir: İşin planlaşdırılması və təşkili. Bu mərhələdə biznesin əsas məqsədlərinə çatmaq üçün informasiya texnologiyalarının inkişaf strategiyası və taktikası müəyyən edilir, sonra isə icra məsələləri həll olunur: sistemin arxitekturasının qurulması, texnoloji və təşkilati məsələlərin həlli, maliyyələşmənin təmin edilməsi və s. Bütün bu mərhələ üçün 11 əsas vəzifə ayrılır. Alınması və işə salınması. Bu mərhələdə seçilmiş həllər sənədləşdirilməli və planlaşdırılmalıdır. Bu mərhələdə həll olunan 6 əsas vəzifə ayrılır. Təchizat və dəstək. İnformasiya texnologiyasının istismarını təmin etmək üçün bu mərhələnin 13 əsas vəzifəsi ayrılmışdır. Monitorinq. İrəli sürülmüş tələblərin parametrlərinə uyğun informasiya texnologiyaları proseslərini müşahidə etmək və onların uyğunluğuna nəzarət etmək lazımdır. Bu mərhələdə həll olunan 4 əsas vəzifə ayrılır. COBIT standartında informasiya təhlilinin yuxarı səviyyəsinin 34 vəzifəsi ayrılır. İnformasiyanın ənənəvi xüsusiyyətləri – məxfilik, bütövlük və əlyetənlik ilə yanaşı, modeldə əlavə olaraq daha 4 xüsusiyyət – təsir, səmərəlilik, formal tələblərə uyğunluq və etibarlılıq istifadə olunur. Bu xüsusiyyətlər müstəqil deyil, çünki ilk üçü bir-birilə qismən bağlıdır. Lakin onların istifadəsi nəticələrin interpretasiya rahatlığı baxımı ilə əlaqəlidir. COBIT standartının tətbiqi həm təşkilatın informasiya sistemlərində auditin keçirilməsi, həm də informasiya sistemlərinin ilkin layihələndirilməsi üçün istifadə edilir. COBIT standartının fərqləndirici xüsusiyyətlərinə aşağıdakılar daxildir: 1.Geniş əhatə dairəsi; 2.Çarpaz audit; 3.Uyğunlaşdırılmış, artırılmış standart. COBIT-in digər oxşar standartlardan əsas üstünlükləri ondan ibarətdir ki, standart aparat-proqram təminatı istehsalçılarının hər hansı bir ixtirasından istifadə etməyə və əldə edilmiş verilənləri təhlil etməyə, ümumi yanaşmaları və öz strukturunu dəyişmədən təhlil etməyə imkan verir. Bununla yanaşı auditin aparılma komandası yaradılır, sifarişçi tərəfindən məsul şəxslər müəyyən edilir, lazımi sənədlər yaradılır və razılaşdırılır. Bundan sonra COBIT standartının tətbiqi ilə informasiya sistemlərinin cari vəziyyəti haqqında məlumat toplanılır, onun nəzarət obyektləri həm ikili formada (HƏ/YOX), həm də ətraflı hesabat formasında informasiya sistemlərinin fəaliyyətinin bütün çalarları barədə məlumat alır. Məlumatın dəqiqliyi ilkin icazə sənədlərinin hazırlanması mərhələsində müəyyən edilir. İnformasiyanın əldə edilməsi, onun əhəmiyyəti və aktuallığı üzrə məsrəflər (müvəqqəti, dəyər və s.) arasında müəyyən optimizm mövcuddur. Təhlilin aparılması - informaiya sistemlərində auditin keçirilməsinin ən məsuliyyətli hissəsidir. Yanlış, köhnəlmiş verilənlərin təhlil zamanı istifadə edilməsi yolverilməzdir, buna görə də verilənlərin dəqiqləşdirilməsi, informasiyanın əsaslı şəkildə toplanması vacibdir. Təhlilin aparılmasına dair tələblər informasiyanın toplanması mərhələsində müəyyən edilir. İnformasiyanın təhlili metodikası COBIT standartında mövcuddur, informasiya çatışmadıqda başqa şirkətlərin icazə verilmiş ISACA araşdırmalarından istifadəsi qadağandır. Aparılan təhlilin nəticələri sifarişçi ilə əvvəlcədən razılaşdırıldıqdan sonra (tətbiqetmə riskləri nəzərə alınmaqla) yerinə yetirilmə və aktuallıq üçün yoxlanılmalı olan tövsiyələrin hazırlanması üçün bazadır. Tövsiyələrin yerinə yetirilməsinə nəzarət - məsləhət şirkəti nümayəndələrinin tövsiyələrin yerinə yetirilməsinin fasiləsiz izlənilməsini tələb edən mühüm mərhələdir. Əlavə sənədlərin işlənib hazırlanması mərhələsində sənədlərin yaradılması, informasiya sistemlərinin uğursuzluqlarına səbəb ola biləcək çatışmazlıqların olması (və ya olmaması) istiqamətində işlər görülür. Məsələn, informasiya sistemlərinin təhlükəsizliyinin təmin edilməsi məsələlərinə ayrıca dərindən baxılmalıdır. Auditin daimi həyata keçirilməsi informasiya sistemlərinin fəaliyyətinin sabitliyinə zəmanət verir, ona görə də sonrakı yoxlamaların keçirilməsi üçün plan-qrafikin yaradılması peşəkar auditin nəticələrindən biri hesab edilir. RUSİYA INFORMASİYA TEXNOLOGİYALARININ TƏHLÜKƏSİZLİK STANDARTLARI Rusiyada mövcud olan informasiya texnologiyalarının təhlükəsizliyi üzrə müxtəlif standartlar arasında açıq sistemlərin qarşılıqlı əlaqələrinin qorunmasını tənzimləyən bir sıra sənədlər qeyd olunmalıdır. Bunlara vəsaitlərin və sistemlərin normativ sənədlərini, hesablama texnikası vəsitələrinin və avtomatlaşdırılmış sistemlərin mühafizə olunmasının qiymətləndirilmə meyarlarını əlavə etmək olar. Əvvəllər yaradılmış bir çox xarici standartlar kimi, sənədlərin sonuncu qrupu da əsasən Dövlət sirrinin mühafizəsinə yönəldilmişdir. 1992-ci ildən başlayaraq Rusiya Federasiyası Prezidenti yanında Dövlət Komissiyası informasiyaya icazəsiz əlyetənlikdən mühafizə probleminə həsr olunmuş bir sıra sənədlər hazırlamışdır. Bu, hesablama texnikası vasitələri və avtomatlaşdırılmış sistemlər ilə bağlı olan istiqamətdir. İki istiqamət arasındakı fərq hesablama texnikası vasitələrinin yalnız bundan sonra funksional yönümlü avtomatlaşdırılmış sistemlərin quraşdırıldığı elementlər kimi hazırlanıb bazara çıxarılmasından irəli gəlir və buna görə də, tətbiqi məsələləri həll etmədən hesablama texnikası vasitələrində istifadəçi informasiyasına ehtiyac duyulmur. İstifadəçi informasiyasından başqa, avtomatlaşdırılmış sistemlərin yaradılması zamanı hesablama texnikası vasitələrinin hazırlanmasında istifadəçilərin səlahiyyətləri, pozucunun modeli, informasiyanın işlənmə texnologiyası kimi mövcud olmayan funksiyalar meydana çıxır. Onların arasında, əsasən, hesablama texnikası vasitələri və ya avtomatlaşdırılmış sistemlər tərəfindən verilən ştat vəsitələrindən istifadə etməklə əlyetənliyin məhdudlaşdırılmasının müəyyən edilmiş qaydalarının pozulmasına gətirib çıxaranlar ayrılır. Ştat vasitələri dedikdə, hesablama texnikası vasitələri və ya avtomatlaşdırılmış sistemlərin proqram, mikroproqram və texniki təminatlarının məcmusu başa düşülür. Konsepsiyada qeyri-qanunu əlyetənlikdən istifadə etməklə informasiyanın qorunmasının aşağıdakı əsas prinsipləri hazırlanır:
Hesablama texnikası vasitələrinin qorunması proqram-texniki vasitələr kompleksi ilə təmin edilir; Avtomatlaşdırılmış sistemlərin qorunması proqram-texniki vasitələr kompleksi və onları dəstəkləyən təşkilati tədbirlər tərəfindən təmin edilir; Avtomatlaşdırılmış sistemlərin qorunması informasiyanın təhlilinin bütün texnoloji mərhələlərində və bütün əməliyyat rejimlərində, o cümlədən təmir və reqlament işlərinin aparılmasında təmin edilməlidir; Proqram-texniki müdafiə vasitələri avtomatlaşdırılmış sistemlərin əsas funksional xüsusiyyətlərini (etibarlılıq, sürətlilik, avtomatlaşdırılmış sistemlərin konfiqurasiyasının dəyişdirilmə imkanı) əhəmiyyətli dərəcədə pisləşdirməməlidir; Müdafiə işlərinin ayrılmaz hissəsi texniki həllər və mühafizə vasitələrinin əməli surətdə həyata keçirilməsi də daxil olmaqla, qiymətləndirilən obyektin texniki xüsusiyyətlərinin bütün məcmusunu nəzərə alan metodika üzrə həyata keçirilən mühafizə vasitələrinin səmərəliliyinin qiymətləndirilməsidir; Avtomatlaşdırılmış sistemlərin qorunması qeyri-qanunu əlyetənlikdən mühafizə vasitələrinin effektivliyinin monitorinqini nəzərdə tutmalıdır. Bu nəzarət ya dövri, ya da istifadəçi tərəfindən tələb olunduqda və ya nəzarət orqanları tərəfindən başlanıla bilər. Konsepsiya fiziki cəhətdən qorunan mühitə, kənar şəxslərin qeyri-mümkün hesab olunduğu mühitə yönəldilir, buna görə də pozucu avtomatlaşdırılmış sistemlərin və hesablama texnikası vasitələrinin ştat vasitələri ilə işləməyə əlyetənliyi olan subyekt kimi müəyyən edilir. Pozucular avtomatlaşdırılmış sistemlərin və hesablama texnikası vasitələrinin ştat vasitələri ilə onlara verilən imkanlar səviyyəsinə görə təsnifləşdirilir. Bu imkanlar dörd səviyyəyə ayrılır. Təsnifat ierarxikdir, hər növbəti səviyyə özünə özündən əvvəlki funksional imkanları da daxil edir. Birinci səviyyə informasiyanın işlənməsi üzrə əvvəlcədən nəzərdə tutulmuş funksiyaları həyata keçirən, fiksə olunmuş topludan olan tapşırıqların (proqramların) avtomatlaşdırılmış sistemlərlə dialoqun aparılması imkanlarının ən aşağı səviyyəsini müəyyən edir. İkinci səviyyə informasiyanın təhlili üzrə yeni funksiyalarla öz proqramlarını yaratmaq və başlamaq imkanı ilə müəyyən edilir. Üçüncü səviyyə avtomatlaşdırılmış sistemlərin fəaliyyətini, yəni sistemin baza proqram təminatına və onun avadanlığının tərkibinə və konfiqurasiyasına təsirin idarə olunması imkanı ilə müəyyən edilir. Dördüncü səviyyə avtomatlaşdırılmış sistemlərin texniki vasitələrinin layihələndirilməsini, satışını və təmirini həyata keçirən şəxslərin öz texniki vasitələri toplusunun tərkibinə informasiyanın təhlili üzrə yeni funksiyaların daxil edilməsini və ona qədər olan bütün imkanlar ilə müəyyən edilir. Pisniyyətli insan öz səviyyəsində ali ixtisas üzrə mütəxəssis hesab olunur, avtomatlaşdırılmış sistemlər, xüsusilə də sistem və onun mühafizə vasitələri haqqında məlumatlıdır. Pisniyyətli insan tərəfindən informasiyanın qeyri-qanunu əlyetənlikdən qorunmasının əsas vasitəsi kimi konsepsiyada subyektlərin əlyetənlik obyektlər ilə qeyri-qanunu əlyetəliyinin məhdudlaşdırılması sistemi nəzərdən keçirilir. Obyektlərə qeyri-qanunu əlyetənliyin əsas funksiyaları aşağıdakılardır:
Subyektlərin və onların verilənlər prosesinə əlyetənliyinin məhdudlaşdırılması qanununlarının realizə edilməsi; Təkrar surətlər yaradan vasitələrə və onlarda yerinə yetirilən proseslərə əlyetənliyinin məhdudlaşdırılması qanunlarının realizə edilməsi; Subyektin mənafeyi naminə yerinə yetirilən proseslərdə istifadə olunan proqramların digər subyektlərdən təcrid edilməsi; Uyğun olmayan qrif daşıyıcılarına verilənlərin qeyd edilməsinin qarşısını almaq üçün verilənlər axınının idarə edilməsi; Şəbəkə prinsipləri əsasında qurulan avtomatlaşdırılmış sistemlərin və hesablama texnikası vasitələrinin subyektləri arasında verilənlər mübadiləsi qaydalarının həyata keçirilməsi. Bundan əlavə, konsepsiya əlyetənliyin məhdudlaşdırılması sistemi üçün aşağıdakı funksiyaları yerinə yetirən təminat vasitələrinin mövcudluğunu nəzərdə tutur: Subyektin həyata keçirilən prosesə rəhbərliyini təmin etməklə yanaşı subyektlərin identifikasiyası və tanınması (autentifikasiyası); Subyektin fəaliyyətinin və onun prosesinin qeydiyyatı; Yeni subyektlərə və əlyetən obyektlərə istisna imkanlarının verilməsi, həmçinin subyektlərin səlahiyyətlərinin dəyişdirilməsi; Qeyri-qanunu əlyetənlik bərpa olunduqdan sonra qeyri-qanunu əlyetənlik cəhdlərinə reaksiyanın verilməsi (məsələn, siqnal sistemlərindən istifadə, qıfıllama və s.); Test sınaqlarının keçirilməsi; İstifadəçinin müdafiə olunan verilənlərlə işləməsi başa çatdıqdan sonra maqnit daşıyıcılarının, həmçinin operativ yaddaşın və iş sahələrinin təmizlənməsi; Avtomatlaşdırılmış sistemlərdən alınmış informasiyaların qeydiyyatı; Əlyetənliyin məhdudlaşdırılması sistemlərində, həmçinin sistemlərə məxsus olan vəsitələrin proqram və informasiya hissəsinin bütövlüyünə nəzarət. Konsepsiyada təklif olunan əlyetənliyin məhdudlaşdırılması və təminat vasitələrinin funksiyaları əslində "Narıncı Kitab"ın oxşar müddəalarına yaxındır. Bu, tamamilə təbiidir, çünki ilkin və bir-birinə yaxın verilənlər fiziki cəhətdən təhlükəsiz mühit şəraitində informasiyaya icazəsiz əlyetənlikdən mühafizə olunurlar. Qeyri-qanunu əlyetənlikdən mühafizənin texniki vasitələri konsepsiyaya əsasən aşağıdakı əsas parametrlər üzrə qiymətləndirilməlidir: Əlyetənliyin məhdudlaşdırılması qanunlarının və əlyetənliyin məhdudlaşdırılması sisteminin əhatə tamlığı dərəcəsi və onun keyfiyyəti; Əlyetənliyin məhdudlaşdırılması sistemi üçün fondların tərkibi və keyfiyyəti; Əlyetənliyin məhdudlaşdırılması sisteminin düzgün işləməsinə və onun təmin olunmasına zəmanət; İnformasiya bazalarının beynəlxalq standartları hansı məqsədlə hazırlanıb? İnformasiya bazalarının əsas beynəlxalq standartları hansılardır? "Narıncı Kitab" standartında etibarlılıq dərəcəsini hansı meyarlar müəyyənləşdirir? "Narıncı kitab"da təhlükəsizlik siniflərinin təyinatlarının və növlərinin müəyyənləşdirilməsi; Avropa ölkələrinin harmonik meyarlarında informasiya bazalarının tərkib hissələri necə müəyyən edilir? Almaniyanın BSI standartının təşkilediciləri hansılardır; BS 7799 Britaniya standartından nə üçün tez-tez istifadə olunur? ISO 15408 və ISO 17799 beynəlxalq standartlarının tətbiqi arasındakı fərq nədir? COBIT standartını istifadə edərkən informasiya bazası auditinin əsas mərhələləri hansılardır? İnformasiya texnologiyalarının təhlükəsizliyini qiymətləndirərkən Rusiyada hazırlanmış hansı standartlardan istifadə olunur? Avtomatlaşdırılmış sistemlərin təhlükəsizliyinin qiymətləndirilməsi (Dövlət Komissiyasının tövsiyəsi ilə) necə aparılır? AVROPA STANDARTI İnformasiya təhlükəsizliyinin müdafiəsi üçün çoxlu sayda standartlar işlənib hazırlanmışdır. Dərs vəsaitində bunlardan bəziləri nəzərdən keçırılır. Avropa təhlükəsizlik standartı - ISO 15408 Proqram-texniki səviyyəli təhlükəsizlik mexanizmlərinin qiymətləndirilməsi üçün müəyyən qədər tam meyarlar 1999-cu ildə qəbul edilmiş ISO 15408 (Common Criteria for İnformation Technology Security Evaluation-İnformasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsinin ümumi meyarları) beynəlxalq standartında təqdim olunur. İnformasiya texnologiyaları təhlükəsizliyinin qiymətləndirilməsinin ümumi meyarları təhlükəsizliyin funksional tələblərini (security functional requirements) və təhlükəsizlik funksiyalarının (security assurance requirements) yerinə yetirilməsinin adekvatlığını müəyyən edir. "Ümumi meyarlar"ın tətbiq edilməsi proqram-texniki səviyyəli təhlükəsizlik mexanizmləri ilə məhdudlaşdırılsa da, onlarda təşkilati səviyyəli təhlükəsizlik mexanizmləri və fiziki mühafizə tələbləri müəyyən edilir, bu da təsvir edilən təhlükəsizlik funksiyaları ilə bilavasitə bağlıdır. ABŞ TƏHLÜKƏSİZLİK STANDARTLARI FIPS 140-2 "Kriptoqrafik modulları üçün təhlükəsizlik tələbləri" ABŞ-ın Federal standartında FIPS 140-2 "Kriptoqrafik modullar üçün təhlükəsizlik tələbləri" kriptoqrafik modulda təsdiq edilmiş təhlükəsizlik funksiyalarını (kriptoqrafik alqoritmlər, kriptoqrafik açarların generasiyası və paylanması, o cümlədən autentifikasiya) həyata keçirən aparat və/və ya proqram təşkiledicilərinin (o cümlədən tikilmiş) dəsti başa düşülür. FIPS 140-2 standartında gizli olmayan, məhdud əlyetənlik informasiyasının mühafizəsi üçün nəzərdə tutulmuş kriptoqrafik modullar nəzərdən keçirilir. Söhbət təşkilatların əsasını təşkil edən, maraq doğuran sənaye məhsullarından gedir. Belə modulun olması müəyyən qədər inkişaf etmiş informasiya sisteminin təhlükəsizliyinin təmin edilməsi üçün zəruri şərtidir. Digər tərəfədən modul, onun üçün nəzərdə tutulmuş rolu yerinə yetirməkdən ötrü özünün həm özünəməxsus vəsitələrini, həm də ətraf mühit vasitələrinin köməyilə (məsələn, əməliyyat sisteminə) mühafizə olunmağa ehtiyac duyur.
ABŞ-ın informasiya təhlükəsizliyi standartlarına 1970-ci illərdə hazırlanmış DES şifrələmə alqoritmi daxildir. DES şifrələmə alqoritmi DEA alqoritmi bazasında hazırlanmışdır. Verilənlərin şifrələməsi alqoritmi DEA-nın (data encryption algorithm) ilkin ideyaları IBM tərəfindən hələ 1960-cı illərdə təklif edilmişdi (İdeya 1940-cı illərdə Klod Elvud Şennon tərəfindən irəli sürülmüşdür). Əvvəlcə şifrələmə üsulu Lucifer (Horst Feystel tərəfindən ixtira olunmuşdur) adlandırıldı. Sonralar, 1976-cı ildə şifrələmə alqoritminə DEA adı verildi. Lucifer, ilk blok şifrələmə alqoritmi idi, onda 128 bit və 128 bit açarlardan istifadə olunurdu. Əslində DES alqoritmi DEA şifrələmə alqoritminin prototipi hesab olunur.
Yüklə 18,48 Mb. Dostları ilə paylaş:
|