Vaqif qasimov informasiya təhlükəsizliyinin əsasları Dərslik Azərbaycan Respublikası Milli Təhlükəsizlik Nazirliyinin Heydər Əliyev adma Akademiyasının Elmi Şurasının 29 aprel 2009-cu IL tarixli iclasının qərarı ilə
İnformasiya təhlükəsizliyinin təmin edilməsinə kompleks yanaşma
Yüklə 0,6 Mb.
|
- Bu səhifədəki naviqasiya:
- Çoxsəviyyəli siyasət (MLS)
| İnformasiya təhlükəsizliyinin təmin edilməsinə
kompleks yanaşma İnformasiya təhlükəsizliyi konsepsiyası İnformasiya təhlükəsizliyi strategiyası İnformasiya təhlükəsizliyi siyasəti Məhdudlaşdırma siyasəti (DP) Çoxsəviyyəli siyasət (MLS) Tamlığın qorunması üçün Biba təhlükəsizlik siyasəti İnformasiya təhlükəsizliyinin təmin edilməsinə kompleks yanaşma Məlum olduğu kimi, informasiya təhlükəsizliyinin təmin edilməsi üçün həyata keçirilən tədbirlər informasiya texnologiyalarıma, o cümlədən avtomatlaşdırılmış informasiya sistemlərinin inkişaf səviyyəsindən daim geri qalır. Adətən, informasiyanın qorunması vasitələrini istehsal edən şəxslər və ya təşkilatlar tərəfindən işlənib hazıranmış hər bir üsul və vasitə informasiya təhlükəsizliyinin ayrı- ayn konkret məsələlərinin həlli üçün nəzərdə tutulur. Hazırda informasiya təhlükəsizliyi üzrə bütün məsələlərin həllini təmin edən vahid təhlükəsiz (qorunan) sistemlər nəzəriyyəsi mövcud deyil. Müasir dövrdə kompyuter sistemlərinin və şəbəkələrinin reallaşdırıldığı təşkilatlarda informasiya təhlükəsizliyi probleminə müxtəlif baxışlar mövcuddur. Bu baxışlardan irəli gələrək informasiya təhlükəsizliyi probleminin həll edilməsi səviyyəsinə görə təşkilatları dörd kateqoriyaya ayırmaq olar. Birinci kateqoriyaya (səviyyə 0) aid edilən təşkilatlarda informasiya təhlükəsizliyi məsələsinə xüsusi diqqət verilmir və heç kəs bu məsələ ilə ciddi məşğul olmur. Belə təşkilatlarda informasiya təhlükəsizliyi yalnız əməliyyat sistemlərinin, verilənlər bazalarının idarə olunması sistemlərinin və əlavə proqramların daxili imkanları hesabma həyata keçirilir. İkinci kateqoriya (səviyyə 1) təşkilatlarda informasiya təhlükəsizliyinə texniki problem kimi baxılır və informasiya təhlükəsizliyinin təmin edilməsi sisteminin yaradılması üçün vahid proqram, eləcə də konsepsiya, strateg’ya və ya siyasət mövcud olmur. Bu halda əvvəlki səviyyədə baxıan vasitələrdən əlavə ehtiyat surətin saxlanması vasitələri, antivirus proqramları, şəbəkələrarası ekran, qorunan virtual xüsusi şəbəkələrin (VPN) təşkili mexanizmləri reallaşdırılır. Üçüncü kateqoriyaya (səviyyə 2) daxil olan təşkilatlarda informasiya təhlükəsizliyi məsələsinə təşkilati və texniki tədbirlər kompleksi kimi baxılır, problemin vacibliyi başa düşülür və informasiya təhlükəsizliyinin təmin edilməsi sisteminin inkişafı üzrə proqram mövcud olur. Burada birinci səviyyədəki vasitələrlə yanaşı güclü autenti- fikasiya, poçt məlumatlarının və Web kontentin təhlili, təhlükəsizliyin pozulmasının aşkar edilməsi, qorunma səviyyəsinin və vasitələrinin təhlili mexanizmləri, açıq açar infrastrukturu, təşkilati tədbirlər (giriş-çıxışa nəzarət, risklərin təhlili, informasiya təhlükəsizliyi siyasəti, əsasnamələr, proseduralar, reqlamentlər və s.) sistemi reallaşdırılmış olur. Üçüncü kateqoriyadan fərqli olaraq, dördüncü kateqoi- ya (səviyyə 3) təşkilatlarda korporativ informasiya təhlükəsizliyi mədəniyyəti formalaşır, informasiya təhlükəsizliyinin idarə edilməsi sistemi reallaşdırılır, təhlükəsizlik məsələləri üzrə xüsusi struktur bölməsi və təhlükəsizliyin pozulması hallarına reaksiya qrupu fəaliyyət göstərir. Göründüyü kimi, ilk iki kateqoriyaya aid olan təşkilatlarda (0 və 1 səviyyəli) informasiya təhlükəsizliyi məsələləri ilə fraqmentar şəkildə (qismən) məşğul olurlar. Fraqmentar yanaşma müəyyən edilmiş şəraitlərdə konkret təhlükələrin (məsələn, girişin idarə olunması və ya informasiyanın şifrlənməsi üçün ayrı-ayn vəsaitlər, antivirus proqramları və s.) qarşısını almaq üçün konkret vasitələrin reallaşdınlmasmı nəzərdə tutur. İnformasiya təhlükəsizliyi məsələsinə ciddi yanaşma isə yalnız üçüncü və dördüncü kateqoriya (səviyyə 2 və 3) təşkilatlarda həyata keçirilir. Belə yanaşma kompleks yanaşma adlanır. Korporativ şəbəkələrdə təhlükəsiz (qorunan mühitdə) informasiya emalım məhz kompleks yanaşmanın köməyi ilə təmin etmək mümkündür. Bu yanaşma informasiya təhlükəsizliyi məsələlərinin vahid proqram çərçivəsində həllini, şəbəkədə meydana çıxa biləcək təhlükələrin qarşısının alınması üçün nəzərdə tutulmuş müxtəlif üsul və vasitələrin kompleks tətbiqini özündə ehtiva edir. Bu kompleksə informasiya təhlükəsizliyinin təmin edilməsi üçün hüquqi, mənəvi-etik və təşkilati-inzibati tədbirlər, proqram və texniki vasitələr daxil olur. Qeyd olunanları nəzərə alaraq, informasiya resurslarının, kompyuter sistemlərinin və şəbəkələrinin təhlükəsizliyinin zəmanətli təmin edilməsi, o cümlədən kompyuter cinayətkarlığı və kiberterrorçuluq hadisələrinin vaxtında aşkar edilməsi, qabaqlanması, qarşısının alınması və zərərsizləşdirilməsi məqsədilə hər hansı təhlükəsizlik üsul, vasitə və sistemləri reallaşdınlmazdan əvvəl dövlətlər və təşkilatlar, habelə ayrı-ayn şəxslər səviyyəsində böyük tədbirlər kompleksinin işlənib hazırlanması və həyata keçirilməsi tələb olunur. Bu tədbirlər kompleksi üç tərkib hissədən ibarətdir: informasiya təhlükəsizliyi konsepsiyası; informasiya təhlükəsizliyi strategiyası; informasiya təhlükəsizliyi siyasəti. İnformasiya təhlükəsizliyi konsepsiyası Yüklə 0,6 Mb. Dostları ilə paylaş:
|