MÖVZU 1.
İNFORMASİYANIN TƏHLÜKƏSİZLİYİ PROBLEMLƏRİ
|
İnformasiya texnologiyalarının tətbiq edilməsi informasiyanın təhlükəsizliyi ilə bağlı suallara diqqətin yetirilməsini tələb edir. İnformasiya ehtiyatlarının dağıdılması, onun müvəqqəti olaraq əlçatan (və ya əlyetən) olması və ya qeyri-qanuni istifadə edilməsi şirkətə, hətta müəyyən şəxslərə də hiss olunacaq dərəcədə ziyan vura bilir. Bu baxımdan informasiya texnologiyalarının lazımı səviyyədə müdafiə olunmasının tətbiq edilməsi bəzən iqtisadi baxımdan əlverişli olmadığı üçün müəssisələrin kompüter şəbəkələrində təhlil edilən və saxlanılan verilənlərin məxfiliyinin itirilməsinə səbəb olur.
İnformasiya ehtiyatlarının təhlükəsizliyinin təmin edilməsi lokal və qlobal informasiya şəbəkələrində dövr edən informasiyanın hiss olunacaq dərəcədə effektivliyinin artmasına, tamlığının, həqiqiliyinin və məxfiliyinin təmin edilməsinə səbəb olur.
Oxucunun nəzərinə çatdırlır ki, mühafizə və müdafiə sözləri sinonim olduqları üçün müəlliflər hər iki sözdən dərs vəsaitində eyni səviyyədə istifadə etmişlər.
ƏSAS ANLAYIŞLAR
Xalq təsərrüfatının bütün sahələrinə yeni informasiya texnologiyaları aktiv şəkildə tətbiq edilir. Verilənlərin ötürülməsi üçün istifadə edilən lokal və qlobal şəbəkələr kompüter istifadəçilərinə informasiya mübadiləsini operativ şəkildə həyata keçirməyə yeni imkanlar yaradır. İnternetdən istifadə etməklə verilənlərin kanallar vasitəsilə ötürülməsi istənilən kompüter istifadəçisinin köməkçisinə çevrilmişdir. İnformasiyanın təhlil olunması proseslərinin avtomatlaşdırılması və bu sahədə istifadə olunan müxtəlif üsullar, həmçinin bu məqsədlə istifadə olunan mürəkkəb quruluşlu avadanlıqların yaradılması və inkişafı cəmiyyətin bu sahədən asılılığını artırmaqla yanaşı istifadə edilən informasiya texnologiyalarının lazımı səviyyədə təhlükəsizliyinin təmin edilməsini də günün aktual probleminə çevirmişdir.
İNFORMASİYA MÜDAFİƏSİNİN ƏSAS ANLAYIŞLARI VƏ İNFORMASİYANIN TƏHLÜKƏSİZLİYİ
İnformasiyanın təhlil edilməsinin, ötürülməsinin və toplanmasının müasir metodları yeni-yeni hədələrin (həmçinin onların növlərinin) yaranmasına imkan yaradır. Bütün bunlar sonuncu istifadəçiyə ünvanlanmış informasiyanın itmə imkanları, verilənlərin təhrif olunması və açıqlanması ilə birbaşa bağlıdır. Odur ki, kompüter sistemlərində və şəbəkələrində informasiya təhlükəsizliyinin təmin edilməsi informasiya texnologiyalarının inkişafı üçün əsas istiqamətlərindən biri sayılır.
Kompüter sistemlərinin və şəbəkələrinin informasiya təhlükəsizliyinin və informasiyanın müdafiə edilməsinin dövlət standartlarına uyğun olaraq hazırlanmış əsas anlayışlarını nəzərdən keçirək.
İnformasiyanın müdafiəsi – müdafiə edilən informasiyaya qabaqcadan düşünülməmiş və icazə verilməmiş təsirlərin edilməsinin, həmçinin onun harasa axmasının qabağının alınması üçün həyata keçirilən fəaliyyətdir.
Müdafiə obyektləri – qarşıya qoyulmuş məqsədə uyğun olaraq informasiya, informasiya daşıyıcıları və ya informasiya prosesinə münasibətdə lazım olan informasiyanın müdafiə olunmasının təmin edilməsidır.
İnformasiyanın mühafizə edilməsinin məqsədi – bu informasiyanın arzu edilən müdafiəsidir. İnformasiyanın müdafiə edilməsində məqsəd xüsusiyyətçiyə, sahibkara və istifadəçiyə informasiyanın mümkün qədər axması, icazə verilməmiş və qərəzsiz təsirlərin nətəcəsində vurula biləcək ziyanın qarşısının alınmasıdır.
İnformasiyanın müdafiə effektivliyi – qoyulmuş məqsədlərə müvafiq olaraq informasiyanın müdafiəsi zamanı alınmış nəticələrin uyğunluq dərəcəsidir.
İnformasiyanın axmalardan müdafiəsi – müdafiə olunan informasiyaya nəzarətsizliyin nəticəsində onun yayılmasının qarşısının alınması üçün yerinə yetirilən tədbirlər, həmçinin qeyri-qanuni əlyetənlikdən informasiyanın müdafiə olunması ilə yanaşı onun pisniyyətli şəxslər tərəfindən əldə edilməsinin müdafiə edilməsidir.
İnformasiyanın yayılmalardan müdafiə olunması –informasiyanı əldə edəcək istifadəçilərin sayına nəzarətin yerinə yetirilməsinin mümkünsüzlüyünü nəzərə almaqla informasiyaya qeyri-qanuni əlyetənliyin qarşısının alınması məqsədi ilə informasiyanın mühafizə edilməsidir.
Qeyri-qanuni əlyetənlikdən informasiyanın müdafiə olunması – qoyulmuş qanunları pozmaqla və tərəfdaş (və ya informasiya sahibi ilə) ilə razılığa gəlməklə müdafiə olunan informasiyaya əlyetənlik etməyə cəhd göstərən bədəməlli şəxslərdən informasiyanın müdafiə olunmasıdır. İnformasiyaya qeyri-qanuni əlyetənlik etmək istəyənlər kimi dövlət və onun idarələrində işləyən müəyyən vəzifəli və ya aşağı vəzifəli personallar, hüquqi şəxslər, bir qrup fiziki şəxslər, ictimai təşkilatlar, fərdi insanlar çıxış edə bilərlər.
İnformasiyanın müdafiə sistemləri – informasiyanın müdafiə olunması üçün normativ sənədlərdən, müəyyən qanunlardan, uyğun təşkilatı tədbirlərdən və buna bənzərlərdən istifadə etməklə, həmçinin texniki tədbirləri həyata keçirən təşkilatlar və ya icraçılar, həmçinin informasiya ilə əlaqəli olan obyektləri müdafiə edənlər çıxış edə bilərlər.
İnformasiya təhlükəsizliyi dedikdə kənar şəxsin (və ya şəxslərin, pisniyyətli insanların və buna bənzərlərin) informasiya ilə qeyri-qanuni tanış olmasından müdafiənin həyata keçirilməsi, həmçinin informasiya resurslarının işləməsinə maneçilik edəcək tədbirlərin qərəzli olaraq yerinə yetirilməsinin qarşısının alınması ilə bağlı lazımı səviyyədə tədbirlərin yerinə yetirilməsi başa düşülür. Belə təsirlərin təbiəti müxtəlif ola bilər. Bütün bunlar, yəni pisniyyətli insanın informasiya sisteminə daxil olması (soxulması), həmçinin işçinin səhvi, təbiət hadisələri (zəlzələ, tufan, yanğın və s.) informasiyanın tutarlı səviyyədə müdafiə edilməsini tələb edir.
Müasir avtomatlaşdırılmış sistemlərdə informasiyanın təhlil edilməsi dedikdə bir-biri ilə əlaqəsi olan və verilənlərin mübadiləsini həyata keçirən çoxlu sayda müstəqillik dərəcəsinə malik təşkiledicilərdən ibarət mürəkkəb sistem başa düşülür. Araşdırmalar göstərmişdir ki, sistemin hər bir təşkiledicisi xarici təsirlərə məruz qalmaqla yanaşı işdən çıxa da (xarab da ola) bilər.
Avtomatlaşdırılmış sistemin təşkiledicilərini aşağıdakı qruplara bölmək mümkündür:
Aparat vasitələri – kompüterlər və onların tərkib hissələri (prosessorlar, monitorlar, terminallar, periferiya qurğuları, disk sürücüləri, printerlər, kontrollerlər, kabellər, rabitə xətləri və buna bənzərlər);
Proqram təminatı – qazanılmış proqramlar, başlanğıc, obyektiv, yükləmə modulları; Əməliyyat sistemi və sistem proqramları (kompilyatorlar, tərtib edicilər və başqaları), utilitlər, diaqnostik proqramlar və s.;
Verilənlər – maqnit daşıyıcılarında, çap şəkilində, arxivlərdə, sistem jurnallarında və s. daimi və müvəqqəti saxlananlar;
Personal – istifadəçilər və xidmət göstərən personallar.
Avtomatlaşdırılmış sistemlərdə informasiya təhlükəsizliyinin təmin edilməsi əsas məsələlərdən biridir. İnformasiya, obyektlər və subyektlər abstrakt anlam olduğu üçün onlar kompüter mühitində fiziki formada təqdim olunurlar:
İnformasiyanı təqdim etmək üçün - kompüter sistemində informasiya daşıyıcıları kimi istifadə olunan xarici qurğular (terminallar, çap qurğuları, müxtəlif informasiya yığıcıları, rabitə xətləri və kanalları), operativ yaddaş, fayllar, yaddaşlara yazılan informasiyalar və i.a.;
Sistemin obyektləri – informasiyanı ötürən və ya qəbul edən, saxlancda saxlayan, sistemin passiv təşkilediciləri. İstifadəçinin obyektə əlyetənliyi obyektdə olan informasiyaya onun əlyetənliyini ifadə edir;
Sistemin subyektləri – informasiyanın obyektdən subyektdə axmasına və ya sistemin vəziyyətinin dəyişməsinə səbəb olan sistemin aktiv təşkilediciləri. Subyekt kimi istifadəçi, aktiv proqramlar və proseslər çıxış edə bilər.
Kompüter sistemlərinin informasiya təhlükəsizliyi konfidensiallığın, tamlığın və gerçəkliyin (etibarlılığın, mötəbərliyin, səhihliyin), həmçinin informasiya təşkiledicilərinə və sistemin resurslarına əlyetənliyin və tamlığın təmin edilməsi ilə əldə edilir. İnformasiyanın öndə sadalanan baza xüsusiyyətləri onların dərindən öyrənilməsini zəruri edir.
Verilənlərin konfidensiallığı – təqdim edilən verilənlərin müdafiə edilmə dərəcəsini müəyyən edir. Konfidensial verilənlərə istifadəçinin şəxsiyyəti ilə bağlı informasiyanı, apardığı qeydiyyatları, parolunu, adını, kredit kartının verilənlərini, istifadəçinin apardığı tədqiqatlarla bağlı verilənləri, istifadəçinin müəssisə daxilində istifadə etdiyi şəxsi sənədləri, mühasibatla bağlı məlumatları aid etmək olar. Konfidensial informasiya ancaq sistemi keçmişdə yoxlamağa (avtorizasiya edən) icazəsi olmuş, sonralar isə sistemə daxil olmağa icazəsi olan subyektə (istifadəçilərə, proseslərə, proqramlara) məlum olmalıdır. Digər subyektlər üçün isə informasiya məlum olmamalıdır.
Qorunan informasiyanın (mühafizə obyektləri nəzərdə tutulur) müdafiə olunmasının mühümlüyü müdafiə olunan informasiyanın kateqoriyalanması adlanır.
İnformasiyanın tamlığı dedikdə informasiyanın saxlanılması və ötürülməsi prosesi zamanı öz strukturunu saxlaması başa düşülür. İnformasiyanın tamlığı o zaman təmin edilir ki, təsadüfi və ya düşünülmüş təhriflər (və ya dağılmalar) baş vermədiyi halda sistemdə olan verilənlər semantik baxımdan başlanğıc sənədlərdən fərqlənməsinlər. Verilənlərin tamlığı informasiyanın müdafiə edilməsində ən mürəkkəb məsələ hesab olunur.
İnformasiyanın etibarlılığı – informasiyanın subyektə aid olduğunu ciddi şəkildə ifadə edən xüsusiyyətdir. Subyekt kimi informasiya qəbul edilən mənbə götürülür.
İnformasiyanın hüquqi əhəmiyyəti – informasiya daşıyıcısı kimi istifadə edilən sənəd hüquqi gücə malikdir.
Verilənlərə əlyetənlik. İstifadəçinin verilənlərdən istifadə etməsi o zaman həyata keçirilir ki, istifadəçinin verilənlərə əlyetənlik imkanı olsun.
İnformasiyaya əlyetənlik – texniki vasitələrdən istifadə etməklə subyektin informasiya ilə tanış olma imkanın olmasıdır.
İnformasiyaya subyektin əlyetənliyi – informasiya proseslərinə iştirakçının hüquqi münasibətidir.
İnformasiyaya əlyetənliyin operativliyi – bu informasiyanın və ya bəzi informasiya resurslarının sonuncu istifadəçi üçün onun operativ tələblərinə uyğun əlyetənlik qabiliyyətidir.
İnformasiya xüsusiyyətçisi – qanunauyğun aktlara uyğun informasiyanın istifadəsi, onun haqqında sərəncamların verilməsi, səlahiyyət sahibi kimi ondan tam həcmdə istifadə olunması və s. həyata keçirən subyekt nəzərədə tutulur.
İnformasiyanın sahibi – qanunun tələblərinə uyğun informasiyadan istifadə edən və onun realizə edilməsinə səlahiyyəti olan subyekt hesab edilir.
İnformasiya istifadəçisi (istehlakçısı) – müəyyən olunmuş qanunlara və əlyetənlik qaydalarına uyğun olaraq informasiyanı onun xüsusiyyətçisindən, sahibindən və ya ortağından alan, informasiyadan istifadə edən subyekt nəzərdə tutulur.
İnformasiyaya əlyetənlik hüququ – informasiya xüsusiyyətçisi və ya sahibi tərəfindən müəyyən edilmiş, həmçinin qanuni hazırlanmış hüququ sənədlərdən istifadə etməklə informasiyaya əlyetənlik imkanı verən sənədlər toplumudur.
İnformasiyaya əlyetənlik qanunları – informasiyaya və onun daşıyıcılarına əlyetənlik şərtlərini nizama salan qayda-qanun toplumudur.
İnformasiyaya iki yanaşma mövcuddur: icazə verilmiş və icazə verilməmiş əlyetənlik.
İnformasiyaya icazə verilmiş əlyetənlik - məhdudiyyət qoyulmuş əlyetənlik qaydalarını pozmadan informasiyaya əlyetənliyin həyata keçirilməsidir. İnformasiyanın bu şəkildə istifadə edilməsi reqlamentə tabe olmaqla sistemin təçkiledicilərindən istifadə etməyə imkan verir.
İnformasiyaya icazə verilməmiş əlyetənlik – məhdudlaşdırılmış əlyetənliyin təyin edilmiş qanunlarının pozulmasıdır. İnformasiyaya qeyri-qanuni daxil olma imkanı olan şəxs (və ya proses) informasiyaya əlyetənlik qanunlarını pozmuş hesab olunur. İnformasiyaya qeyri-qanuni daxil olmaqla kompüterlərə müdaxilə edilməsi pozulmaların yayılmış növüdür.
Kompüter sistemlərinə qeyri-qanuni yolla daxil olmaların qarşısının alınmasına məsuliyyət daşıyan müdafiə administratorudur.
İnformasiyaya əlyetənlik dedikdə kompüter sistemlərinin resurslarına və ya təşkiledicilərinə əlyetənlik də nəzərdə tutulur, yəni sistemin subyektinin bu resurslardan və ya təşkiledicilərdən qanuni istifadə etməsinə imkan yaradılır. Resurslara və ya təşkiledicilərə nümunə kimi printerləri, serverləri, işçi stansiyaları, istifadəçinin verilənlərini və s. göstərmək olar.
Sistemin təşkiledicilərinin və ya resurslarının tamlığı – bu müəyyən funksiyanı yerinə yetirən sistemin təsadüfi və ya düşünülmüş təhriflərdən və ya dağıdıcı təsirlərdən resurslarının və ya təşkiledicilərinin semantik yanaşma baxımından dəyişməz olduğunu göstərən xüsusiyyətdir.
İnformasiyaya və sistemin resurslarına əlyetənlik mühüm anlamlar ilə əlaqəlidir. Bu anlamlara identifikasiya, autentifikasiya və avtorizasiya aiddir. Sistemin (şəbəkənin) hər bir subyekti onu identifikasiya edən müəyyən informasiya ilə (ədəd, simvollar sətri) əlaqəlidir. Bu informasiya sistemin (şəbəkənin) subyektinin identifikatoru, qeyd olunmuş identifikatora malik olan subyekt isə qanuni (leqal) subyekt adlanır.
Subyektin identifikatoru dedikdə subyektin onun identifikatoruna uyğun tanınması prosesi başa düşülür. İdentifikasiya subyektin sistemə (şəbəkəyə) daxil olması zamanı həyata keçirilir. Subyekt ilə sistemin qarşılıqlı əlaqəsini müəyyənləşdirən növbəti addım subyektin autentifikasiyasıdır.
Subyektin autentifikasiyası dedikdə subyektin həqiqiliyinin verilmiş identifikator ilə yoxlanılması prosesi başa düşülür. Autentifikasiya prosesi subyektin həqiqətəndə özünü təqdim edənin olduğunu müəyyənləşdirməyə imkan verir.
Subyektin identifikasiya və autentifikasiya prosesindən sonra onun avtorizasiya prosesi yerinə yetirilir.
Subyektin avtorizasiyası dedikdə identifikasiya və autentifikasiya proseslərini müvəffəqiyyətlə yerinə yetirmiş qanuni subyektin təqdim edilmə proseduru başa düşülür.
Avtomatlaşdırılmış sistemin təhlükəsizliyinə hədələr dedikdə sistemin təhlükəsizliyinə birbaşa və ya bilavasitə ziyan vura biləcək mümkün təsirlər toplusu başa düşülür. Təhlükəsizliyə vurulan ziyan dedikdə sistemdə (şəbəkədə) təhlil edilən və istifadə edilən informasiyanın müdafiə olunma vəziyyətinin pozulması başa düşülür. Təhlükəsizliyə vurulan ziyan ilə kompüter sisteminin (şəbəkəsinin) zəif parametrlərə malik olması arasında sıx əlaqə vardır.
Kompüter sisteminin zəifliyi – bu sistemin uğursuz xüsusiyyətidir və onun zəifliyi nəticəsində iş prosesində hədələrin realizə edilməsinə imkan yaranır.
Kompüter sisteminə hücumlar – bu pisniyyətli insanın sistemin zəifliyini araşdırmaqla ondan istifadə etməsidir. Başqa sözlə hücum təhlükəsizlik hədələrinin həyata keçirilməsidir.
Təhlükəsizlik hücumlarına qarşı yerinə yetirilən tədbirlər kompüter sistemlərinin və şəbəkələrinin müdafiə vasitələrindən istifadə etməklə müdafiə olunmasıdır.
Müdafiə olunan sistem dedikdə təhlükəsizlik hədələrinə qarşı effektiv və müvəffəqiyyətlə dayanan müdafiə sistemləri toplusu başa düşülür.
İnformasiyanın müdafiə üsulları – informasiyanın müdafiə edilməsi üçün müəyyən edilmiş qanunlar, qaydalar və prinsiplər toplusudur.
İnformasiyanın müdafiə vasitələri dedikdə informasiyanın mühafizə olunması üçün nəzərdə tutulmuş texniki və proqram vasitələri, materiallar başa düşülür.
Müdafiə vasitələri kompleksi – sistemin (şəbəkənin) informasiya təhlükəsizliyini dəstəkləyən və təhlükəsizliyin əldə edilməsinə imkan verən proqram və texniki vasitələr toplusudur. Müdafiə vasitələri kompleksi müəssisədə təhlükəsizlik siyasətinə uyğun olaraq yaradılır.
İnformasiyanın müdafiəsi üçün istifadə olunan texnika dedikdə informasiyanın müdafiə olunmasını təmin etmək üçün müəyyən olunmuş informasiyanın müdafiə vasitələri, informasiyanın effektiv müdafiə olunmasına nəzarət edən vasitələr, idarəetmə sistemləri və vasitələri toplusu başa düşülür.
Korporativ şəbəkə paylanan avtomatlaşdırılmış sistemlərə aiddir, informasiyanin təhlilini həyat keçirir. Avtomatlaşdırılmış sistemlərin təhlükəsizliyinin təmini müəssisəyə qeyri-qanuni yolla daxil olmaq istəyənlərə qarşı dayanmasına imkan yaradır. Bununla yanaşı təhlükəsizliyin təminatı sistemin təşkiledicilərinin modifikasiya edilməsinə, oğurlanmasına, təşkiledicilərin xarab edilməklə işdən çıxarılmasına və dağıdılmasına, aparat vasitələrinin, proqram təminatının, verilənlərin və s. bədəməlli şəxs tərəfindən korlanmasına imkan vermir.
Təhlükəsizlik siyasəti – bu kompüter sistemlərinin çoxlu sayda mövcud hədələrdən müdafiə edilməsi üçün yararlı olan normalar, qanunlar və praktiki tövsiyyələr toplusudur.
Ə D Ə B İ Y Y A T
1.Əlizadə M.N. və başqaları “Kompüter sistemləri və şəbəkələrinin informasiya təhlükəsizliyi” Dərslik, MSV NƏŞR, 2017-cı il, 608 səh.
2.Əlizadə M.N. v. başqaları “İnformasiya təhlükəsizıliyi” Dərs vəsaiti, MSV NƏŞR, 2018-cı il, 392 səh.
3.Əlizadə M.N. və başqaları “Mühəndis sistemlərinin informasiya təhlükəsizıliyi ( Laborator praktikumu və seminar dərslərin aparılması üçün)” Dərs vəsaiti, MSV NƏŞR, 2018-cı il, 604 səh.
4.Əlizadə M.N. və başqaları “İnformasiyanın qorunması və kriptoqrafiya” (Magistr səviyyəsində təhsil alanlar üçün) Dərs vəsaiti, “İqtisad Universiteti” nəşrfiyyatı, 2019-cı il, 492 səh.
5.ƏlizadəM.N. və başqaları “İnformasiyanın qorunması (qısa kurs)” Dərs vəsaiti, MSV NƏŞR, 2019-cu il, 224 səh.
6.Əlizadə M.N., Hacızadə S.M. “İnformasiyanın qorunması və kriptologiya (Magistr səviyyəsində təhsil alanlar üçün)”, Dərs vəsaiti, MSV NƏŞR, 2020-ci il, 520 səh.
Dostları ilə paylaş: |