Azərbaycan respublikasi təHSİlnaziRLİYİ azərbaycan universiteti

• 
  Fənn : Biznes Təhlükəsizliyi
  
• 
  Mövzu: Biznesdə İnformasiya Təhlükəsizliyi
  
• 
  İxtisas : Biznesin İdarə edilməsi
  
• 
  Kurs :4
  
• 
  Qrup: 184409
  
• 
  Müəllim : Ağaməmmədli Fuad
  
• 
  Tələbə: İsrafilova Xanım
  

Bakı-2021

Biznes sahənizdən asılı olmayaraq, istər İnternet-mağaza, logistika şirkəti, zavod və ya bank olsun – sizin müştərilər, texnologiyalar və nou-hau, sizin məlumat – hamısı dəyərlidir. Əgər siz stabil işləyən şirkət yaradırsınızsa, təhlükəsizlik haqqında əvvəlcədən düşünmək lazımdır. Əks təqdirdə, sizə artıq işləyən prosesləri yenidən qurmaq və fəaliyyət göstərən informasiya sistemlərini dəyişdirmək çətin olacaq. Siz, biznesə yönələn bütün mümkün təhlükələri və onlarla bağlı riskləri bilməlisiniz.
Məlumatların bütövlüyünü qorumaq

İnformasiya daha çox almaq, satmaq, dəyişmək və s. mümkün olan əmtəəyə çevrilir. Bu zaman məlumatın dəyəri saxlanıldığı hesablama texnikasının qiymətindən onlarla, bəzən isə yüz dəfələrlə ötür. Məlumatların məxfiliyi, tamlığı və açıqlığı rəqabətədavamlılığı, gəlirliliyi və müəssisənin müsbət imicinin yaradılmasının təmin edilməsində xüsusi əhəmiyyət kəsb edir. Hazırda informasiya təhlükəsizliyi (İT) məsələsi qanunvericiliklə tənzimlənir. Dövlət müəssisələri üçün informasiya təhlükəsizliyinin təminatı üzrə tələblərin yerinə yetirilməsi məcburidir. Kommersiya təşkilatlarında isə bu tələblər tövsiyyə xarakteri daşıyır. Kommersiya müəssisələrinin əksəriyyətinin iqtisadi fəaliyyəti artıq İT-nin pozulması risklərindən daha çox asılı olur.

“Reallıqda iki növ təhlükə mövcuddur, - “Digital Source” İT Şirkətinin direktoru Cəlil Babazadə deyir. - Xarici – İnternet şəbəkəsindən icazəsiz müdaxilə; məlumatın texniki vasitələrin köməyi ilə kabel sistemlərindən çıxarılması (lokal şəbəkə və elektrik enerjisi şəbəkəsi); divarın içindən (pəncərədən, qapıdan), uzaq məsafədən danışıqların yazılması və s. Daxili – yerə icazəsiz daxil olmaq; korporativ şəbəkədə məlumatlara icazəsiz və seçmədən müdaxilə etmək; məlumatın daşıyıcı qurğulara (yaddaş kartlarına, CD və DVD disklərə və s. köçürmək, fotoşəkilləri mobil telefonlar vasitəsilə kağız daşıyıcılara və monitor ekranlarına ötürmək; viruslar və “Troyan” proqramları, nəzarət olunmayan elektron yazışmalar və s.”
Xarici təhlükələr

Xarici icazəsiz girişdən müdafiə məqsədilə yoxlanmış sertifikatlı proqramlar və proqram-aparat vasitələri mövcuddur. Düzgün köklənmə və müşayiət zamanı onlar xarici müdaxilələrə səmərəli müqavimət göstərirlər. “Müəssisənin şəbəkəsinin xarici təhlükələrdən müdafiəsinin ən səmərəli üsullarından biri “firewall”la birləşmiş (məlumat paketlərinin filtrdən keçirilməsini həyata keçirən xüsusi sistem) şəbəkələrarası marşrutlaşdırıcı və ya aparat marşrutlaşdırıcısından istifadədir, - “Ultra” İT Şirkətinin İnfrastruktur Həlləri üzrə direktoru Ruslan Romanenko təsdiq edir. – Heç kəs üçün sirr deyil ki, şəbəkədəki məlumatlar, istər lokal şəbəkə və ya İnternet olsun, kiçik paketlərlə ötürülür. Məhz bu səbəbdən lokal şəbəkədəki paketlərə İnternetə düşməyə imkan vermək olmaz. Həmçinin İnternetdən olan bəzi paketlərə müəssisənin lokal şəbəkəsinə düşməyə icazə vermək olmaz. Şəbəkələrarası ekran müəssisənin lokal şəbəkəsinin daxili paketlərini xaricə buraxmır və onların yad kompyuterlərə girişini təcrid edir”. Təcrübə göstərir ki, şəbəkələrarası ekran sistem inzibatçısının müəyyən səriştəsi sayəsində iş günü ərzində istismara buraxıla bilər.

Elektron poçtun müdafiəsinə xüsusi diqqət yetirilməlidir, çünki zərərli proqramlar çox vaxt heç nədən şübhələnməyən istifadəçilərə öz-özünə göndərilir. Elektron poçtun korporativ serverinə mütləq antivirus qoyulmalıdır. Təşkilatın fayl serverinə də antivirus quraşdırılmalı və onun tərkibi hər gün, məsələn, saat 00:00-da, istifadəçilərin işinə mane olmayan uyğun vaxtda yoxlanılmalıdır. Bəzi hallarda İnternet ehtiyatlarına girişi parolla olan korporativ Proxy-server quraşdırılmalıdır. Birincisi, bu İnternet trafiki ixtisar etməyə imkan verər, çünki təkrarlanan məlumat keşirlənəcək. İkincisi, kompyuterlərin daxili adlarını və ünvanlarını yad nəzərlərdən gizlətmək mümkündür, belə ki, Proxy-server veb-səhifələri öz adından seçir və sonra həmin informasiyanı siyahı üzrə müəssisə daxilindəki istehlakçılara ötürür. Üçüncüsü, İnternetə çıxış əldə etmək məqsədilə müəssisənin şəbəkəsinə qoşulan pozucuları asanlıqla aşkar etmək mümkün olacaq.

Müəssisə daxilində icazəsiz girişlə mübarizə əsasən daha çox rəhbərliyin informasiya təhlükəsizliyi sahəsində siyasətinin məsələsidir. “Burada informasiyaya girişin dəqiq düşünülmüş hədd qoyuluşu tələb edilir, - “One Degree” İT Şirkətinin direktoru İzzət Nurəliyev deyir. – Deməli, istifadəçiləri inzibatçı səviyyəsində kompyuterə çıxışı olanlara və yalnız istifadəçi səviyyəsində çıxışı olanlara bölmək və beləliklə, uçot qeydlərini müvafiq olaraq kökləmək mümkündür. Əgər istifadəçi səhvən əməliyyat sisteminin sıradan çıxmasına səbəb olan hərəkət edibsə, onda bu sistemin bərpasına sərf olunan vaxt itkisindən qaçmağa imkan verər”. İstifadəçilərin kompyuterlərində xüsusi proqram-aparat kompleksləri və vasitələrinin, antivirus proqramlarının tətbiqi vacibdir. İT-xidmətləri əməliyyat sistemlərində və korporativ əlavələrdə təhlükəsiz siyasətini adekvat şəkildə kökləməlidirlər. “Təbiidir ki, yalnız leqal proqram təminatı etibarlı nəticəni təmin edə bilər, - R.Romanenko əmindir. – İT-nə cavabdeh olan xidmətin və ya əməkdaşın olması vacibdir.” Yekunda, demək olar ki, informasiya təhlükəsizliyi sistemi – istənilən biznesin və ya istehsalın normal və uğurlu fəaliyyət göstərməsi üçün anlayış, planlaşdırma və adekvat xərclər tələb edən sistemdir. İstifadəçilərin təlimini unutmaq lazım deyil. Sistem inzibatçısı müəssisənin istifadəçiləri üçün İT-nin əsas qaydaları və rastlaşa bildikləri mümkün təhlükələr haqqında hər həftə 30 dəqiqəlik seminar keçirə bilər.

İnformasiya təhlükəsizliyi anlayışı və əsasları.

İnformasiya təhlükəsizliyi probleminin daha ətraflı şərhinə keçməzdən əvvəl,

informasiya cəmiyyətinin əsasını təşkil edən informasiya anlayışı haqqında məlumatın verilməsi zəruridir. Belə ki, informasiya anlayışı olduqca geniş və müxtəlif anlamlarda işlədilir. Elə fəaliyyət sahəsi tapmaq mümkün deyil ki, orada informasiya anlayışı istifadəolunmasın. Burada informasiya anlayışı aşağıdakı kimi başa düşülür.Elmi-texniki inqilab informasiya cəmiyyətinin yaranmasına səbəb olmuşdur. Bucəmiyyətdə informasiya və biliklər ən mühüm resurs və başlıca əmtəədir. Vətəndaşların,cəmiyyətin və dövlətin həyatında informasiyanın, informasiya resurslarının vətexnologiyalarının rolunun artması informasiya təhlükəsizliyi məsələlərini ön planaçıxarır. Müasir cəmiyyət tədricən öz informasiya infrastrukturunun vəziyyətindən asılıolur.İnformasiya - təqdimat formasından asılı olmayaraq şəxslər, əşyalar, faktlar, hadisələr,

təzahürlər, proseslər və anlayışlar haqqında məlumatlar və biliklərdir.

İnformasiya kompüterə daxil edilmiş verilənlər, proqram kodları, məktub, yaddaşqeydləri,işlər, düsturlar, sxemlər, çertyojlar, diaqramlar, dissertasiyalar, məhkəməsənədləri və s. formalarda ola bilər.

İnformasiya təhlükəsizliyi dedikdə, informasiya və ona xidmət edən infra strukturunsahibi və ya istifadəçilərinə ziyan vurmağa səbəb olan təbii və ya süni xarakterli, təsadüfivə ya qəsdli təsirlərdən informasiya və ona xidmət edən infrastrukturun mühafizəliliyinəzərdə tutulur.İnformasiyanın mühafizəsi – informasiya təhlükəsizliyinin təmin olunmasına yönəlmiş tədbirlər kompleksidir.

İnformasiya təhlükəsizliyi dedikdə təhlükəsizliyin pozulmasına gətirib çıxaran şərait vəhərəkətlərin vaxtında aşkar edilməsi və qarşısının alınması başa düşülür.

İnformasiyanın təhlükəsizliyinin təmin olunması probleminin vacibliyini və aktuallığını şərtləndirən səbəblərdən aşağıdakıları xüsusi vurğulamaq olar:

 şəbəkə texnologiyalarının geniş yayılması və lokal şəbəkələrin qlobal şəbəkələr

halında birləşməsi;

 informasiya təhlükəsizliyinin pozulmasına praktik olaraq mane olmayan qlobal

Internet şəbəkəsinin inkişafı;

 minimal təhlükəsizlik tələblərinə belə cavab verməyən proqram vasitələrinin

geniş yayılması. İnformasiya tələbatı - qeyri-maddi tələbatların bir növü olub özündə konkret məsələnin həlli və ya hər hansı məqsədin əldə olunması üçün zəruri olan informasiya tələbatı əhatə edir.İnformasiya təhlükəsizliyi sahəsində anlayışlara mövzu sahəsindən asılı olaraq bir neçə aspektdən yanaşılır və müxtəlif ədəbiyyatlarda informasiya təhlükəsizliyi sahəsində mövcud anlayışlara müxtəlif təriflər verilir. Ona görə də burada bəzi anlayışların bir neçə

tərifi verilmişdir. Konteksdən asılı olaraq bu təriflərdən biri istifadə olunur.

2. Informasiya təhlükəsizliyi, standart təyinatları

İnformasiya təhlükəsizliyi dedikdə təhlükəsizliyin pozulmasına gətirib çıxaran şərait və hərəkətlərin vaxtında aşkar edilməsi və qarşısının alınması başa düşülür.

İnformasiyanın qorunması — informasiyanın gizliliyinin, tamlığının və ona girişin

(əlyetərliliyin) təmin edilməsidir.

İnformasiyanın qorunmasının məqsədləri aşağıdakılardan ibarətdir:

 dövlətin, ictimaiyyətin, vətəndaşların təhlükəsizliyinin təmin edilməsi;

 dövlət sirri təşkil edən və məxfi informasiyanın məxfiliyinin qorunması;

 informasiyanın məhvinin, itməsinin, təhrif edilməsinin, saxtalaşdırılmasının,

surətinin çıxarılmasının, qarşısının alınması;

Qanunvericilik səviyyəsində hüquqi aktlar və standarttlara xüsusi diqqətə layiqdir.

Standrtların arasında «Narıncı kitab», X.800 tövsiyələri, ISO 15408 («Ümumi meyarlar»),ISO 17799 standartları daha geniş yayılıb.

İnzibati tədbirlərin əsas məqsədi təşkilatda informasiya təhlükəsizliyi sahəsində tədbirlər proqramını formalaşdırmaq və onun yerinə yetirilməsini zəruri resurslar ayırmaqla və işlərin vəziyyətinə nəzarət etməklə yerinə yetirilməsini təmin etməkdir. Tədbirlər proqramının əsasını təşkilatın öz informasiya aktivlərinin mühafizəsinə yanaşmasını əks etdirən informasiya təhlükəsizliyi siyasəti təşkil edir.

Narıncı kitab

"Etibarlı kompüter sistemlərinin qiymətləndirilməsi meyarları" olmuşdur. Cildinin rənginə görə çox vaxt "Narıncı kitab" adlanan bu standart ilk dəfə 1983-cü ilin avqustunda nəşr edilmişdi."Narıncı kitabda" etibarlı sistemi "giriş hüququnu pozmadan müxtəlif məxfilik dərəcəsinə malik informasiyanın istifadəçilər qrupu tərəfindən eyni zamanda emalını təmin etmək üçün yetərli aparat və proqram təminatı istifadə edən sistem" kimi müəyyən edir.

"Narıncı kitabda" dörd etibar səviyyəsi – D, C, B və A müəyyən edilir.

 D səviyyəsi qeyri-qənaətbəxş qəbul edilmiş sistemlər üçün nəzərdə tutulub.

C səviyyəsindən A səviyyəsinə keçdikcə sistemlərə daha ciddi tələblər irəli sürülür.C və B ,L səviyyələri etibar dərəcəsinin tədricən artması ilə siniflərə bölünür (C1, C2, B1, B2, B3).

"Narıncı kitabda" daxil edilmiş təsnifatı qısaca belə ifadə etmək olar:

 C səviyyəsi – girişin ixtiyari idarə edilməsi;

 B səviyyəsi – girişin mandatlı idarə edilməsi;

 A səviyyəsi – təhlükəsizliyin verifikasiya edilə bilməsi.

Əlbəttə, "Narıncı kitabın" ünvanına bir sıra ciddi iradlar söyləmək olar (məsələn,

paylanmış sistemlərdə meydana çıxan hadisələrin tamamilə nəzərə alınmaması). Buna baxmayaraq qeyd etmək lazımdır ki, "Narıncı kitabın" nəşri heç bir mübaliğə olmadan informasiya təhlükəsizliyi sahəsində çox böyük əhəmiyyətli hadisə oldu. Hamı tərəfindən qəbul edilən anlayışlar bazisi meydana çıxdı ki, bunlarsız informasiya təhlükəsizliyi məsələlərinin hətta müzakirəsi belə çətin olardı.

ISO/IEC 15408 standartı

Tarixi səbəblərdən bu standartı çox zaman "Ümumi meyarlar" adlandırırlar. Biz də bu qisaltmadan istifadə edəcəyik. "Narıncı kitab"dakı kimi Ümumi meyarlarda da təhlükəsizlik tələblərinin iki əsas növü

 funksional tələblər və zəmanət tələbləri – mühafizənin aktiv aspektinə uyğundur,