AXBOROTNI HIMOYALASH METODOLOGIYASI (TA`MINOTI) Reja · 1.Axborotni himoyalash metodologiyasi haqida umumiy tushuncha · 2. Axborotni himoyalash metodologiyasi · 3. Axborotni himoyalash metodologiyasidan foydaslanish Standart – ixtiyoriylik asosida doimiy amal qilish maqsadida ishlab chiqarish jarayonlarining amalga oshirish tartibi va xarakteristikalari, maxsulotlarning xarakteristikalari, ularni ekspluatatsiya qilish, saqlash, tashish, realizatsiya qilish, utilizatsiya qilish, ma‘lum soxada xizmat ko`rsatish tartiblari qayd etilgan xujjatdir.
Standartlashtirish - ixtiyoriylik asosida doimiy amal qilish uchun maxsulot ishlab chiqarish va sotish, xizmat ko`rsatish soxalarida muayyan tartibni joriy etish, shuningdek ishlab chiqarilayotgan maxsulot, ko`rsatilayotgan xizmatlarning raqobatbardoshligini oshirishga qaratilgan jarayondir.
Standart va spetsifikatsiyalarni ikkita bir-biridan keskin farq qiluvchi quyidagi
Axborot tizimlari va ularning ximoya vositalarini xavfsizlik talablariga ko`ra baxolash standartlari
ximoya mexanizmlari va vositalarini qo`llashining turli jixatlarini tartibga soluvchi spetsifikatsiyalar
kabi guruxlarga bo`lish mumkin.
Baxolash standartlaridan dastlabkisi sifatida AQSH Mudofa Vazirligining «Ishonarli kompyuter tizimlarini baxolash kriteriylari» (Trusted Computer System Evaluation Criteria-TCSEC)deb ataluvchi standart va uning kompyuter tarmoqlari uchun talqinini keltirish mumkin. Shuningdek Informatsion texnologiyalar xavfsizligini baxolash kriteriylari» xalqaro standarti va AQSHning «Kriptografik modullarga nisbatan talablar» federal standartini misol qilib keltirish mumkin.
Texnik spetsifikatsiyalar misol sifatida taqsimlangan xisoblash tizimlariga nisbatan qo`llaniladigan va Internet Engineering Task Force (IETF) tomonidan ishlab chiqilgan spetsifikatsiyalarni misol qilib keltirish mumkin. Kompyuter tarmoqlarida xavfsizlikni ta‘minlashga qaratilgan spetsifikatsiya sifatida X.800 "Ochiq sistemalardaagi o`zaro aloqa xafvsizligi arxitekturasi» (Security Architecture for Open Systems Interconnection for CCITT Applications /Recommendation X.800) deb ataluvchi standartni keltirish mumkin.
Texnik spetsifikatsiya sifatida BS ISO/IEC 17799:2000 «Axborot xavfsizligini boshqarish. Amaliy ko`rsatmalar» (Code of Practice for Information Security Management) deb ataluvchi yana bir standartni ta‘kidlab o`tish joiz. Aynan bu standart axborot xavfsizligi chora-tadbirlarining administrativ va protseduraviy satxlariga bag`ishlangan.
Ushbu paragraf oxirida xozirgi kunda O`zbekistonda axborot xafvsizligi bo`yicha birorta standart xali mavjud emasligini ta‘kidlab o`tish joiz. Xalqaro standartlardan qo`llash masalasi xam xozircha ochiq turibdi. Bu xolat albatta O`zbekistonda axborot kommunikatsiya texnologiyalarini joriy etishda bir qancha muammolarni keltirib chiqaradi, ularning rivojlantirishini sekinlashtiradi. Axborot xavfsizligi nuqtai-nazaridan esa standartlarning mavjud emasligi zamonaviy informatsion texnologiyalarni qo`llashning xavfsizligini ta‘minlashni qiyinlashtiradi.
Axborot xavfsizligini ta‘minlash chora-tadbirlarining administrativ (ma‘muriy) satxi
Administrativ chora-tadbirlari qatoriga tashkilot raxbariyatining axborot xavfsizligini ta‘minlash bo`yicha umumiy xarakterdagi yondashuvi, nuktai-nazari va shu asosda ishlab chiqqilgan qarorlarni kabilar kiradi. Bu qarorlar asos sifatida axborot xavfsizligi bilan bog`liq qonuniy xujjatlarga tayanishi lozim.
Administirativ chora-tadbirlar asosiy maqsadi axborot xavfsizligi soxasida amalga oshiralidigan tadbirlar (amallar) dasturini ishlab chikish va uning bajarilishini ta‘minlashdan iborat. Xar bir tashkilot raxbariyati bu dasturni amalga oshirish zaruriyati va uni muvaffaqiyatli ishlashi uchun zarur manbalarni ajratish lozimligini va bu dastur ijrosi doimiy nazorat ostida bo`lishini nazorat qilishi shart. Bu dastur asosida «xavfsizlik siyosati» tushunchasi yotadi.
Xavfsizlik siyosati deganda biz tashkilot raxbariyati tomonidan axborot xavfsizligini ta‘minlashga qaratilgan yechimlar (qarorlar) aks ettirilgan rasmiy xujjatlar majmuasini tushunamiz.
SHu o`rinda ta‘kidlab o`tish joizki, ingliz tilidagi adabiyotlarda xavfsizlik siyosati termini tor ma‘noda, ya‘ni «kompyuter tizimlarida axborot xavfsizligini ta‘minlashga qaratilgan qoidalar» ma‘nosida ishlatiladi.
Xavfsizlik siyosati tashkilot informatsion tizimi uchun real (amalda mavjud) deb qabul qilingan taxdidlar taxlili asosida ishlab chiqiladi. Taxdidlar taxlil qilinib, ximoya strategiyasi belgilangandan so`ng axborot xavfsizligini ta‘minlash dasturi amalga oshiriladi. Bu dastur uchun moliyaviy, material-texnik va inson resurslari ajratilib, dasturning bajarilishini nazorat kilish tartibi belgilanadi.
Axborot xavfsizligi siyosati ishlab chiqish
Amaliy nuqtai-nazardan xavfsizlik siyosatini ishlab chiqishda uchta bo`ginga (satx)ga bo`lish (detallashtirish) mumkin (3-rasmga qarang).
Yuqori bo`g`inda Butun tashkilotga daxldor bo`lgan qarorlarlar ishlab chiqiladi. Bu qarorlar umumiy xarakterga egaligi va raxbariyat tashabbusi bilan qabul qilinishi orqali farqlanadi va unda tashkilotda axborot xavfsizligini taminlashga borasidagi raxbariyatning nuqtai-nazari aks etadi. Bu bo`g`inda taxminan quyidagi muammolar qarab chiqilishi lozim:
Axborot xavfsizligini ta‘minlashning kompleks dasturini ishlab chiqish (yoki qayta ko`rib chiqish ) va bu dasturni amalga oshirish uchun ma‘sul shaxsni tayinlash;
Tashkilot tomonidan axborot xavfsizligini ta‘minlash soxasida ko`zda tutilgan maqsadlar va bu maqsadlarga erishishning umumiy yullarini belgilash;
Axborot xavsizligiga daxldor bo`lgan qonuniy xujjatlar va standartlarni bajarilishini ta‘minlash uchun asos yaratish;
Butun tashkilot darajasida qaraladigan axborot xavfsizligi masalalari bo`yicha ma‘muriy qarorlarni (raxbariyatning rasmiy nuqtai-nazarini) shakllantirish
Xavfsizlik siyosatining yuqori bo`g`ini tashkilotning axborot xavfsizligini ta‘minlashdagi maqsadlari axborotning maxfiyligi, yaxlitligi, axborot xizmatidan o`z vaqtida va to`liq xajmda foydalanish tushunchalari asosida ifodalanadi. Masalan tijorat bilan shug`ullanuvchi firma uchun savdo-sotiq bilan bog`liq shartnomalari, mijozlari xaqidagi ma‘ulmotlar maxfiyligi, taklif etiladigan tovar va xizmatlar xaqidagi ma‘lumotlarning Internetda aks ettirilishini ta‘minlovchi Web saxifadan mijozlar o`z vaqtida va to`liq xajmda foydalanishi, elektron to`lov bilan bog`liq ma‘lumotlarning yaxlitligini ta‘minlash kritik axamiyatga ega deb xisoblash mumkin.
Xavfsizlik siyosati yukori bo`g`inida bu siyosat amal (yoki ta‘sir) qiladigan soxa aniq ko`rsatilishi kerak. Masalan qabul qilingan siyosat fakat firma ofisidagi kompyuter tizimlari uchun amal qiladimi yoki uyda o`tirib ishlovchi xodimlarning kompyuter tizimlari xam bu siyosatning ta‘sir doirasiga kiradimi kabi savolga aniq javob berilishi kerak.
Qabul qilingan qarorlar qog`ozda qolib ketmasligi uchun ushbu bo`g`inda albatta bu xavfsizlik dasturini (yoki siyosatini) amalga oshirilishi uchun mas‘ul shaxs, aniqrog`i tashkilot shtatlar jadvalidagi lavozim aniq ko`rsatilishi kerak va albatta bu dasturning amalga oshirilishini nazorat qilish tartibi ko`rsatilishi shart.
Xavfsizlik siyosatining o`rta bugunida axborot xavfsizligining ba‘zi‑bir jixatlarigagina (aspektlarigagina) daxldor, lekin tashkilotda foydalanilayotgan barcha informatsion tizimlar uchun axamiyatga ega masalalar qaraladi. Bunday masalalar qatoriga masalan Internetdan foydalanish, ilg`or (shu bilan birga xam axborot xavfsizligi nuqtai-nazaridan yaxshi tekshirilmagan) texnologiyalariga munosabat (qo`llash kerakmi yoki yo`qmi, qo`llash kerak bo`lganda qanday tartibda va xakozo), foydalanuvchilar tomonidan norasmiy (litsenziyasiz,Internet orqali ko`chirib olingan) dasturlarni ishlatish kabi masalalani kiritish mumkin.
Bugungi kunda axborot xavfsizligi bo`yicha mutaxassislarga qo`yiladigan talablardan biri – bu soxadagi standart va spetsifikatsiyalar bo`yicha yetarli bilimga ega bulishdir. Buning o`ziga xos bir qancha sabablari bor.
Birinchidan standartlar bo`yicha ish ko`rish lozimligi O`zbekiston Respublikasining «Standartlashtirish xaqidagi qonun»ida rasmiy jixatdan belgilab qo`yilgan, tabiiyki bu talab axborot kommunikatsiya xizmati ko`rsatuvchi tashkilotlar uchun xam tegishlidir.
Ikkinchidan standartlar va spetsifikatsiyalar – axborot xavfsizligini ta‘minlash bo`yicha bilimlarning, ayniqsa protseduraviy va dasturiy-texnik chora-tabdirlarga oid o`ziga xos bilimlar to`plamidir. Uchinchidan standartlar xam, spetsifikatsiyalar xam dasturiy-texnik vositalarning, ularning komponentlarining o`zaro mosligini ta‘minlovchi vositalardir. Internet tarmog`idagi aynan shu yo`l bilan turli apparat texnik tizimlarni o`zaro bog`lanishi samarali tarzda ta‘minlamoqda.
FOYDALANILGAN ADABIYoTLAR
1.Zavgorodniy V.I. Kompleksnaya zashita informatsii v kompyuternx sistemax. Uchebnoe posobie.-M.:Logos; PBOYuL N.A.Yegorov, 2001. 264 s.
2.Stolins, Vilyam. Osnov zashit setey. Prilojeniya i standart: Per. S angl.-M.: Izdatelskiy dom «Vilyams», 2002. 432 s.
3.Ғaniev S.K.,Karimov M.M. Hisoblash tizimlari va tarmoqlarida axborot himoyasi: Oliy o`quv yurt.talab. uchun o`quv o`qllanma.- Toshkent davlat texnika universiteti, 2003. 77 b.
4.Zegjda D.P., Ivashko A.M. Osnov bezopasnosti informatsionnx sistem. M.: Goryachaya liniya - Telekom, 2000. 452s.
5.Ustinov G.N. Osnov informatsionnoy bezopasnosti sistem i setey peredachi dannx. Uchebnoe posobie. Seriya «bezopasnost». – M.:SINTYeG, 2000, 248