Muxammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti samarqand filiali
Axborot xavfsizligi risklari tahlili
Yüklə 21,5 Kb.
|
1 2
3-4mi|
Axborot xavfsizligi risklari tahlili.
Amaliy tizimlar uchun javobgar menejerlar, loyihalashtirish yoki texnik ta’minlash muhitining xavfsizligi uchun ham javobgar bo‘lishlari kerak. Ular tizimning barcha taklif qilingan o‘zgarishlarini tahlil qilishlari va tizimning hamda sanoatga oid ekspluatatsiya muhitining xavfsizligini komprometatsiya qilish imkoniyatini istisno qilishlari kerak. O’zgarishlarni boshqarish tartibi O’zgarishlarni joriy etishni o‘zgarishlarni boshqarishning rasmiy jarayoni yordamida boshqarish kerak. Axborot tizimlarining shikastlanishlarini minimumga keltirish uchun o‘zgarishlarni boshqarishning rasmiy protseduralarini belgilash, hujjatlashtirish va joriy etish kerak. Mavjud tizimlarga yangi tizimlarni va ahamiyatga ega bo‘lgan o‘zgarishlarni kiritish hujjatlashtirish, spetsifikatsiya qilish, testdan o‘tkazish, sifatini tekshirish va boshqariladigan joriy etishning rasmiy jarayoniga mos kelishi kerak. Ushbu jarayon xavflarni aniqlashni, o‘zgarishlar ta’sirining tahlilini va xavfsizlikni boshqarish zarur vositalarining batafsil ta’rifini o‘z ichiga olishi kerak. Shuningdek, ushbu jarayon xavfsizlik va boshqarish protseduralari komprometatsiya qilinmaganligini, dasturchilar tizimning faqat o‘zlarining ishlari uchun zarur bo‘lgan qismlaridan foydalanish huquqlariga ega ekanliklarini va har bir o‘zgarish rasman kelishilgan va ma’qullanganligini kafolatlashi kerak. Mumkin bo‘lgan hamma joyda amaliy protseduralar va amaliy hamda ishga oid tizimlarning o‘zgarishlarini boshqarish protseduralari integratsiyalangan bo‘lishi kerak (10. 1. 2). O’zgarishlar protseduralari quyidagilarni o‘z ichiga olishi kerak: a) avtorizatsiya qilish kelishilgan darajalarining bayonnomasini yozish; b) o‘zgarishlar faqat tegishli ravishda avtorizatsiya qilingan foydalanuvchilar tomonidan kiritilishini ta’minlash; s) foydalaniladigan tizimlarning butligini ta’minlovchi boshqarish mexanizmlari va protseduralarini tahlil qilish; d) barcha dasturiy ta’minotni, axborotlarni, ma’lumotlar bazasi va o‘zgartirish talab qilinadigan apparat vositalarini identifikatsiya qilish; e) ish boshlashdan avval o‘zgarishlar uchun batafsil takliflarning rasman ma’qullanishiga erishish; f) avtorizatsiya qilingan foydalanuvchilar tomonidan taklif qilinayotgan o‘zgarishlarni ular bevosita amalga oshirilguncha qabul qilinishini ta’minlash; g) har bir o‘zgarish tugaganidan so‘ng tizim hujjatlari komplektini yangilash va eski hujjatlarni arxivlashtirish yoki utilizatsiya qilish; h) dasturiy ta’minotning barcha yangilanishlari uchun versiyalarni nazorat qilishni ta’minlash; i) o‘zgarishlar uchun barcha talablarni audit jurnalida ro‘yxatga olish; j) ekspluatatsion hujjatlar (10. 1. 1) va foydalaniladigan protseduralarni kiritilgan o‘zgarishlarga muvofiq korreksiya qilish; k) o‘zgarishlarni kelishilgan vaqtda joriy qilish jarayonini dahldor biznes-jarayonlarni buzmasdan amalga oshirish. Dasturiy ta’minotning o‘zgarishi ekspluatatsion muhitga ta’sir etishi mumkin. Yaxshi amaliyot sanoat muhitidan va ishlab chiqarish muhitidan ajratilgan yangi dasturiy ta’minotni testdan o‘tkazishni ko‘zda tutadi (10. 1. 4). Ushbu amaliyot boshqarish vositasini yangi dasturiy ta’minot bilan ta’minlaydi va testdan o‘tkazish uchun foydalaniladigan ekspluatatsion axborotni qo‘shimcha muhofaza qilinishini ta’minlaydi. Ushbu testdan o‘tkazish yamoqlar, servis paketlarini va boshqa yangilanishlarni o‘z ichiga olishi kerak. Sezgir tizimlarda avtomatik yangilanishlarni qo‘llash kerak emas, chunki ba’zi yangilanishlar sezgir ilovalarni ishdan chiqarishi mumkin (12. 6). Operatsion tizim o‘zgarishlaridan so‘ng ilovalarni texnik tahlil qilish Operatsion tizimga o‘zgartirishlar kirtilganda, ularning ishlashi va tashkilot xavfsizligiga hech qanday nohush ta’sir ko‘rsatilmasligiga ishonch hosil qilish maqsadida ilovalarni tahlil qilish va testdan o‘tkazish zarur. Joriy etish bo‘yicha qo‘llanma Ushbu jarayon quyidagilarni hisobga olishi zarur: a) biznes-ilovalarni va butlik protseduralarini boshqarish vositalari operatsion tizim o‘zgarishlari tomonidan komprometatsiya qilinmaganligiga ishonch hosil qilish uchun ularni tahlil qilish; b) har yilgi ta’minlash rejasi va budjetda operatsion tizim o‘zgarishlarida amalga oshirilishi zarur bo‘lgan tizimlarni tahlil qilish va testdan o‘tkazish ko‘zda tutilganligiga ishonch hosil qilish; s) operatsion tizimning o‘zgarishlari to‘g‘risidagi xabarlar o‘z vaqtida kelib tushishini ta’minlash, bu ish boshlanguncha tegishli tahlilni o‘tkazishga imkon beradi; d) uzluksiz ishni ta’minlash rejasida tegishli o‘zgarishlarning hujjatlashtirishni nazorat qilish (14). Zaifliklarni kuzatib borish, shuningdek, yamoqlarni va ishlab chiquvchilarning tuzatishlarini chiqarish uchun javobgarni tayinlash kerak (12. 6). Dasturlar paketlariga o‘zgartirishlar kiritishni cheklash Dasturlar paketlarini modifikatsiya qilishdan qochish va zarur o‘zgartirishlarni kiritish bilan cheklanish kerak. Barcha o‘zgarishlarni qat’iy boshqarish kerak. Amaliy nuqtai nazardan bu qanchalik mumkin bo‘lsa va bunga qanchalik yo‘l qo‘yilsa, ishlab chiquvchi tomonidan yetkazib beriladigan dasturlar paketlaridan o‘zgartirish kiritmasdan foydalanish kerak. Dasturlar paketiga o‘zgartirishlar kiritish zarur bo‘lgan joylarda quyidagilarni hisobga olish kerak: a) ichiga o‘rnatilgan boshqaruv vositalari va butligini ta’minlash jarayonlarini komprometatsiya qilish xavfi; b) ishlab chiquvchilarning roziligini olish zarurligi; c) talab qilinadigan o‘zgarishlarni ishlab chiquvchidan dasturning standartga oid yangilangan ko‘rinishida olish imkoniyati; d) agar tashkilot kiritilgan o‘zgarishlar natijasida dasturiy ta’minotga kelgusida xizmat ko‘rsatish uchun javobgar bo‘lsa, dasturiy ta’minotni saqlab turishning qo‘shimcha choralarini ishlab chiqish zarurati. Katta ahamiyatga ega bo‘lgan o‘zgarishlar bo‘lgan hollarda asl dasturiy ta’minotni saqlab qo‘yish, o‘zgarishlarni esa, aniq identifikatsiya qilingan nusxasiga kiritish kerak. Barcha ruxsat etilgan dasturiy ta’minotning tasdiqlangan yamoqlari va amaliy yangilanishlarning eng oxirgi versiyalarini o‘rnatishni ta’minlash uchun dasturiy ta’minot yangilanishlarini boshqarish jarayonini joriy etish kerak (12. 6). Barcha o‘zgarishlarni shunday testdan o‘tkazish va hujjatlashtirish kerakki, zarur bo‘lganda dasturiy ta’minotni kelgusida yangilash uchun undan qayta foydalanish mumkin bo‘lsin. Agar talab qilinsa, o‘zgarishlar mustaqil baholovchi organ tomonidan tekshirilishi va tasdiqlanishi kerak. Axborotning tarqalishi Axborotning tarqalish imkoniyati paydo bo‘lishining oldini olish kerak. Axborotning tarqalish xavfini, masalan, yashirin kanallarni topish va ulardan foydalanish yo‘li bilan cheklash uchun quyidagilarni ko‘rib chiqish zarur: a) chiquvchi tashuvchilar va kommunikatsiyalarni yashirin axborot mavjudligini bilish uchun skanlash; b) tizimlar va kommunikatsiyalarning ishlashidan har qanday mantiqiy xulosalar qilish imkonini oldini olish uchun ularni bilintirmaslikka urinish va modulyatsiya qilish; c) butligi yuqori hisoblanadigan dasturiy ta’minot va tizimlardan foydalanish, masalan, baholashdan o‘tgan mahsulotdan foydalanish (O‘z DSt ISO/IEC 15408:2008); d) xodimlar va tizimlarning amallarini mavjud qonun hujjatlari va normalarga zid bo‘lmagan usullar bilan muntazam kuzatib borish; e) kompyuter tizimlarida aktivlardan foydalanishni kuzatib borish; Yashirin kanallar - bu axborot oqimlarini uzatish uchun mo‘ljallanmagan, lekin shunga qaramay tizim yoki tarmoqda mavjud bo‘lishi mumkin bo‘lgan yo‘llar. Masalan, telekommunikatsiyalar bayonnomasida paketlarida boshqaruvchi bitlardan signallar uzatishning yashirin metodi sifatida foydalanish mumkin. Tabiatan barcha mumkin bo‘lgan yashirin kanllarni oldindan bartaraf qilish qiyin, agar umuman mumkin bo‘lsa. Shunga qaramay, bunday kanallardan ko‘pincha «troya otlari» dasturida foydalaniladi (10. 4. 1), shuning uchun troya kodidan muhofaza qilishning qabul qilingan choralari yashirin kanallardan foydalanish xavfini kamaytiradi. Tarmoqdan ruxsatsiz foydlanishning (11. 4), shuningdek, axborot xizmatlari xodimlariga (15. 1. 5) ruxsatsiz foydalanishga xalaqit qiladigan siyosat va protseduralarning oldini olish yashirin kanallardan muhofaza qilishga yordam beradi. Yüklə 21,5 Kb. Dostları ilə paylaş:
|
1 2