İnformasiya təhlükəsizliyi
İnformasiya təhlükəsizliyinin yuxarıda verilən tərifindən çıxış edərək, informasiya təhlükəsizliyinə təhdidləri, bu təhdidlərin mənbəyini, onların realizə üsullarını və məqsədlərini, həmçinin təhlükəsizliyi pozan digər hal və hərəkətləri müəyyən etmək qanunauyğundur. Bu zaman təbii olaraq, ziyan vurmağa səbəb qeyri – qanuni hərəkətlərdən informasiyanın müdafiəsi tədbirlərini də nəzərdən keçirmək lazımdır.
Praktika göstərir ki, çoxlu sayda olan belə mənbə, obyekt və hərəkətlərin analizi üçün modelləşdirmə metodlarından istifadə etmək məqsədəuyğundur. İlkin yaxınlaşmada informasiya təhlükəsizliyinin konseptual modelinin aşağıdakı komponentlərini təklif etmək olar:
-
Təhdidlərin obyekti;
-
Təhdidlər;
-
Təhdidlərin mənbəyi bədniyyətli tərəfindən təhdidin məqsədləri;
-
İnformasiya mənbələri;
-
Məxfi informasiyanın qeyri – qanuni əldə etmə üsulları;
-
İnformasiyanın müdafiəsi üsulları;
-
İnformasiyanın müdafiəsi vasitələri.
İnformasiya təhlükəsizliyinə təhdidlər
Təhdid – sistemə dağılma, verilənlərin üstünün açılması və ya dəyişdirilməsi, xidmətdən imtina formasında ziyan vurulmasına səbəb ola bilən istənilən hal və hadisələrdir.
Təsir məqsədinə görə təhlükəsizliyə təhdidlərin üç əsas tipi ayırd edilir:
-
İnformasiyanın məxfiliyinin pozulmasına yönələn təhdidlər;
-
İnformasiyanın tamlığının pozulmasına yönələn təhdidlər;
-
Sistemin iş qabiliyyətinin (xidmətdən imtina) pozulmasına yönələn təhdidlər.
Məxfiliyinin pozulmasına təhdidlər məxfi və ya gizli informasiyanın üstünün açılmasına yönəlib. Belə təhdədlərin reallaşması halında informasiya ona icazəsi olmayan şəxslərə məlum olur.Kompüter sistemində saxlanan və ya rabitə kanalı ilə ötürülən informasiyanın tamlığının pozulmasına təhdidlər onun dəyişdirilməsinə və ya təhrifinə yönəlib ki, bunlar da onun keyfiyyətinin pozulmasına və tam məhvinə səbəb ola bilər. İnformasiyanın tamlığı bədniyyətli tərəfindən qəsdən və ya sistemi əhatə edən mühit tərəfindən obyektiv təsirlər nəticəsində pozula bilər. Bu təhdid informasiyanın ötürülməsi sistemləri – kompüter şəbəkələri və telekommunikasiya sistemləri üçün xüsusilə aktualdır.
İş qabiliyyətinin (xidmətdən imtina) pozulması təhdidləri elə situasiyaların yaranmasına yönəlib ki, bu zaman müəyyən qəsdli hərəkətlər ya sistemin iş qabiliyyətini aşağı salır, ya da sistemin müəyyən resurslarına girişi bağlayır.
Bundan savayı təhdidlər digər əlamətlərinə görə də təsnif oluna bilərlər:
-
Vurulmuş ziyanın kəmiyyətinə görə (müflis, əhəmiyyətli, cüzi);
-
Baş vermə ehtimalına görə (çox ehtimallı, ehtimallı, az ehtimallı);
-
Meydana çıxma səbəblərinə görə (təbii fəlakətlər, qəsdli hərəkətlər);
-
Vurulmuş ziyanın xarakterinə görə (maddi, mənəvi);
-
Təsir xarakterinə görə (aktiv, passiv);
-
Obyektə münasibətinə görə (daxili, xarici).
Daxili və xarici təhdidlərin nisbətini təqribi olaraq belə xarakterizə etmək olar:
-
Təhdidlərin 80 %-i təşkilatın öz işçiləri tərəfindən və ya onların bilavasitə və ya dolayısı yolla iştirakı ilə baş verir.
-
Təhdidlərin 20 % - i kənardan icra olunur.
Kompüter şəbəkələrinin uğradığı təhdidlər üzərində xüsusi dayanmaq lazımdır. İstənilən kompüter şəbəkəsinin əsas xüsusiyyəti kompüterlərin ərazidə (fəzada) paylanmasıdır. Şəbəkənin qovşaqları arasında əlaqə fiziki olaraq şəbəkə xətləri vasitəsilə, proqram yolu ilə, məlumatlar mexanizmi ilə həyata keçirilir. Bu zaman şəbəkənin qovşaqları arasında göndərilən idarəedici məlumatlar və verilənlər mübadilə paketləri şəklində ötürülür. Kompüter şəbəkələri onunla xarakterikdir ki, onlara qarşı uzaq məsafədən hücumlara təşəbbüslər edilir. Pozucu hücum edilən obyektdən minlərlə kilometr məsafədə ola bilər, bu zaman nəinki konkret kompüter, həmçinin şəbəkə kanalları ilə ötürülən informasiya hücuma məruz qala bilər.
İnformasiya təhlükəsizliyinin təmin olunması. İnformasiya təhlükəsizliyinin təmin olunması problemi kompleks yanaşma tələb edir. Onun həlli üçün tədbirləri aşağıdakı səviyyələrə bölmək olar:
-
Qanunvericilik tədbirləri (qanunlar, normativ aktlar, standartlar və s.);
-
İnzibati tədbirlər;
-
Təşkilati tədbirlər;
-
Proqram-texniki tədbirlər.
Təəssüflə qeyd etmək lazımdır ki, qanunvericilik bazası praktikanın tələblərindən geri qalır.
İnzibati səviyydə qəbul edilən tədbirlərin əsas məqsədi, informsiya təhlükəsizliyi sahəsində işlər proqramını formalaşdırmaq və onun yerinə yetirilməsini zəruri resurslar ayırmaqla və işlərin vəziyyətinə nəzarət etməklə yerinə yetirilməsini təmin etməkdir. İşlər proqramının əsasını təşkilatın öz informasiya aktivlərinin müdafiəsinə yanaşmasını əks etdirən təhlükəsizlik siyasətidir.
İnformasiya təhlükəsizliyi siyasətinin yaradlması. Təhlükəsizlik siyasəti – təşkilatda məxfi verilənlərin və informasiya proseslərinin müdafiəsi üzrə pekspektiv tədbirlər kompleksidir. Təhlükəsizlik siyasətinin tərkibinə şəxsi heyətin, menecerlərin və texniki xidmətin ünvanına tələblər əks olunur. İnformasiya təhlükəsizliyi siyasətinin işlənməsinin əsas istiqamətləri aşağıdakılardır:
-
Hansı verilənlərin və hansı ciddiliklə qorunması zəruri olduğunu müəyyən etmək;
-
İnformasiya aspektində təşkilata kimin hansı ziyanı vura bilməsini müəyyən etmək;
-
Risklərin hesablanması və onların qəbulediləcək səviyyəyə qədər azaldılması sxemini müəyyən etmək.
Təşkilatda informasiya təhlükəsizliyi sahəsində cari vəziyyəti qiymətləndirmək üçün iki sistem mövcuddur. Onları obrazlı olaraq “yuxarıdan aşağıya araşdırma” və “aşağıdan yuxarıya araşdırma” adlandırırlar. Birinci metod olduqca sadədir, daha az kapital qoyuluşu tələb edir və az da imkanlara malikdir. İnformasiya təhlükəsizliyi xidməti bütün məlum hücum növləri haqda məlumata əsaslanaraq, real bədniyyətli tərəfindən belə hücumun mümkün olmasını yoxlamaq məqsədi ilə onları praktikada tətbiq etməyə cəhd edir.
“Yuxarıdan aşağı” metodu mahiyyətcə informasiyanın mövcud saxlama və emal sxeminin ətraflı analizidir. Bu metodun ilk mərhələsi, müdafiəsi zəruri olan informasiya obyektinin və axınlarının müəyyən olunmasıdır. Sonra informasiya təhlükəsizliyi sisteminin cari vəziyyətinin öyrənilməsi gəlir. Hansı klassik müdafiə metodlarının hansı həcmdə və hansı səviyyədə realizə olunduğu müəyyən edilir.
Üçüncü mərhələ bütün informasiya obyektlərinin məxfilik, tamlıq və icazə (buraxılış) tələblərinə uyğun olaraq siniflərə təsnifatı aparılır.
Sonrakı mərhələ hər bir konkret informasiya obyektinə hücumun təşkilata hansı ciddilikdə ziyan vurması aydınlaşdırılır. Bu mərhələ “risklərin hesablanması” adlanır. İlkin yaxınlaşmada risk “hücumdan mümkün ziyan”-ın “belə ziyanın ehtimalı”-na hasili kimi hesablana bilər. Riskin hesablanmasının bir çox sxemləri mövcuddur.
Qeyd etmək zəruridir ki, hücumun vurduğu ziyanın həcmini, informasiyanın sahibi və ya onunla işləyən şəxsi heyyət qiymətləndirməlidir. Hücumun baş vermə ehtimalının qiymətləndirilməsini isə təşkilatın texniki əməkdaşlarına həvalə etmək məqsədəuyğundur.
Sonrakı mərhələdə təşkilatın risklər cədvəli tərtib olunur.
Risk cədvəlinin analizi mərhələsində riskin yolverilən maksimal qiyməti (məsələn, 7) verilir. Cədvəlin hər bir sətrinin riskin bu qiymətini aşması yoxlanılır. Əgər belə aşma varsa, bu sətir – təhlükəsizlik siyasətinin işlənməsinin ən birinci məqsədlərindən biridir. Sonra ikiyə vurulmuş qiymətin (bizim misalda2*7=14) inteqral risklə (“Yekun” xanası) müqayisəsi aparılır. Əgər inteqral risk yol verilən qiyməti aşırsa, deməli təhlükəsizlik sistemində kiçik xətalar çoxluğu seçmək olar ki, nəticədə təşkilata səmərəli işləməyə mane olarlar. Bu halda inteqral riskə ən çox pay verən sətrlər seçilir və onların azaldılması və ya tam aradan qaldırılmasına cəhd olunur. Ən məsul mərhələdə həm ayrı–ayrı risklərin, həm də inteqral riskin lazımi səviyyəsini təmin edən informasiya təhlükəsiliyi siyasəti işlənilir. Onun işlənməsi zamanı təhlükəsizlik siyasətinin realizə olunması yoluna çıxa bilən obyektiv problemləri nəzərə almaq lazımdır. Belə problemlərə ölkənin və beynəlxalq birliklərin qanunları, korporasiyaların daxili tələbləri, cəmiyyətin etik normaları ola bilər.
Realizə olunması planlaşdırılın bütün texniki və inzibati tədbirlərin təsvirindən sonra, bu proqramın iqtisadi dəyəri hesablanır. Təhlükəsizlik proqramına maliyyə qoyuluşu qəbuledilməz olduqda və ya hücumlardan potensial ziyanla müqayisədə sadəcə iqtisadi cəhətdən sərfəli olmadığı halda risk cədvəlinin analizi mərhələsinə qayıdıb riskin maksimal yol verilən qiymətini bir və ya bir neçə vahid artırmaq lazımdır.
Təhlükəsizlik siyasətinin işlənməsi təşkilatın rəhbərliyi tərəfindən təsdiq olunma və ətraflı sənədləşdirmə ilə başa çatdırılır. Bundan sonra planda göstərilən bütün komponentlərin fəal realizasiyası gəlməlidir. Risklər cədvəlinin yenidən hesablanması və deməli nəticədə, təşkilatın təhlükəsizlik siyasətinin modifikasiya olunması çox vaxt iki ildə bir də həyata keçirilir.
Təşkilati tədbirlər
Təşkilati tədbirlər mühiti və informasiyanın müdafiəsinin səmərəli vasitələrindən biri olmaqla yanaşı sonra qurulacaq bütün müdafiə sistemlərinin fundamentini təşkil edir.
Təşkiləti tədbirlər aşağıdakı mövzuları əhatə edir:
-
Şəxsi heyətin idarəolunması;
-
Fiziki müdafiə;
-
Sistemin iş qabiliyyətinin saxlanması;
-
Təhlükəsizlik rejiminin pozulmasına reaksiya;
-
Bərpa işlərinin planlaşdırılması.
Əsas proqram – texniki tədbirlər
Dostları ilə paylaş: |