Mühazirə-11 İnformasiya təhlükəsizliyi standartları

İnformasiya təhlükəsizliyi standartlarında əsas məsələ informasiya texnologiyaları məhsullarının təsnif edilməsində ekspertlər, istehsalçılar və istehlakçılar arasında qarşılıqlı əlaqənin yaradılmasinin əsasini qoymaqdir. Hər bir qrupun informasiya təhlükəsizliyi probleminə öz maraqları və özünəməxsus baxışları vardır.

İstehlakçılar onların ehtiyaclarına cavab verən və onların problemlərini həll edən məhsulu əsaslı şəkildə seçmək üçün müəyyən metodikaya maraqlıdırlar. Bunun üçün onlara təhlükəsizliyi qiymətləndirən qiymət şkalasının varlığı vacibdir. İstehlakçı öz tələblərini istehsalçının qarşısında formalaşdırmaq üçün müəyyən alətə də möhtacdır. Bu zaman istehlakçını sonuncu məhsulun hansı üsullarla hazırlanması və ya gələcəkdə hansı uğurlar qazanacağı deyil, ancaq onun hansı xüsusiyyətləri və xarakteristikaları əks etdirəcəyi maraqlandırır. Əfsuslar olsun ki, bir çox istehlakçılar başa düşmürlər ki, təhlükəsizlik tələbləri ilə funksional tələblər mütləq şəkildə birbirinə ziddir (iş şəraitinin əlverişli olması, sürətlə fəaliyyət göstərməsi və i.a.), bu ziddiyyət onlar arasındakı uyğunluğun birliyinə məhdudiyyət qoyur, geniş yayılmış və müdafiə olunmayan tətbiqi proqram vasitələrindən imtina etməyə məcbur edir.

İstehsalçılar öz məhsullarının müqayisə edilməsi üçün standartlara, onların xüsusyyətlərini obyektiv qiymətləndirmək üçün sertifikatlaşdırma prosedurları mexanizminə, təhlükəsizliyin təmin edilməsi üçün müəyyən standartlar toplumuna ehtiyac düyürlar. Bunlardan istifadə edən istehsalçılar sifarişçinin konkret məhsula fantaziyasını məhdudlaşdırır, onu bu topluma aid olan tələbləri seçməyə məcbur edir. İstehsalçı baxımından təhlükəsizlik tələbləri maksimal konkret olmaqla yanaşı, bu və ya digər vəsaitələrin, mexanizmlərin, alqoritmlərin və i.a. tətbiqinin nizama salınmasına da zəruri olmalıdır. Bunlardan əlavə, tələblər informasiyanın mövcud olan təhlil olunma paradiqmasına (sözlərin hallara salınması və ya dəyişməsi formalarını göstərən cədvəl), hesablama sistemlərinin arxitekturasına və informasiya məhsullarının yaradılma texnologiyasına əks olmamalıdır. Belə yanaşmanı hakim mövqe tutan kimi (əsas yer tutan, üstünlük təşkil edən) saymaq düzgün deyil, çünki belə yanaşma istifadəçinin ehtiyacını nəzərə almasada, onun tələblərini mövcud sistemlərin və texnologiyaların istifadəsi baxımından müdafiə edilməsinə cəhd göstərir.

Beləliklə, informasiyanın təhlükəsizliyi standartı qarşısında sadə məsələ durmur. Standart üç baxış nöqtəsini nəzərə almaqla bütün tərəflərin effektiv münasibət mexanizmini yaratmalıdır, çünki tərəflərdən birinin tələblərinin məhdudlaşdırılması onlar qarşısında qoyulmuş ümumi məsələnin həll edilməsinə, yəni informasiya təhlilini müdafiə etmə sisteminin yaradılmasına imkan verməyəcəkdir.

Son illərdə müxtəlif ölkələrdə standartların yeni nəsli yaranmışdır. Onlar şirkətlərin informasiya təhlükəsizliyi ilə bağlı sualların praktiki olaraq həll edilməsinə həsr edilmişdir. Bu sənədlərə nümunə kimi informasiya təhlükəsizliyinin idarə edilməsinə aid beynəlxalq satandartları (ISO 15408, ISO 17799 və başqaları) göstərmək olar. İstehsalçılara bu sənədlərdəki əsas məsələləri təhlil etmək, onların qoyduğu tələbləri və kriteriləri araşdırmaq, onların praktikada istifadəsinin effektivliyini müəyyən etmək və s. tutarlı səviyyədə öyrənmək məsləhətdir.

Beynəlxalq ISO/IEC 17799:2002 (BS 7799:2000) standartı “İnformasiya təhlükəsizliyi - İnformasiya texnologiyalarının idarə edilməsi” (“Information technology – Information security management”) informasiyanın müdafiə edilməsi sahəsində tanınmış məşhur standartdır. Standart İngiltərə standartı BS 7799-1:1995 “İnformasiya təhlükəsizliyinin idarə edilməsinə praktiki tövsiyyə” (“Information security management – Part 1:Code of practice for information security management”) standartının birinci hissəsini əsas tutaraq yardılmışdır və kompüter informasiya sistemlərinin informasiya təhlükəsizliyi standartlarının yeni nəsilinə aiddir.