Vaqif qasimov informasiya təhlükəsizliyinin əsasları Dərslik Azərbaycan Respublikası Milli Təhlükəsizlik Nazirliyinin Heydər Əliyev adma Akademiyasının Elmi Şurasının 29 aprel 2009-cu IL tarixli iclasının qərarı ilə
Yüklə 0,6 Mb.
|
| - Qabaqlayıcı strategiya - informasiyaya təhdidlərin meydana gəlməsi üçün şəraitin mövcud olmadığı informasiya mühitinin yaradılması. Qorunmanın təmin edilən səviyyəsi yalnız məlum təhdidlərə münasibətdə zəmanətli şəkildə çox yüksək ola bilər.
Qabaqlayıcı strategiyanın reallaşdırılması üçün zəruri şərt qorunan informasiya texnologiyasmın mövcud olmasıdır. Bu zaman böyük kapital məsrəfləri, eləcə də unifikasiya olunmuş informasiya texnologiyaları olduqda hər konkret hal üçün, əlavə olaraq, kiçik resurslar tələb olunur. Göründüyü kimi, informasiya təhlükəsizliyi strategiyası informasiyanın etibarlı qorunması sisteminin qurulmasının məqsədini, meyarlarım, prinsiplərini və proseduralarını özündə əks etdirir. Etibarlı qorunmaya zəmanət vermək üçün strategiyada informasiya resurslarının qorunma dərəcəsi, təhlükələr və onların daxil ola biləcəyi zəif yerlər, brandmauerlərin və proxy serverlərin tətbiqolunma yerləri və s. əks olunmaqla yanaşı, onların tətbiqi üsulları və proseduraları da dəqiq müəyyən edilir. Yalnız bundan sonra informasiya təhlükəsizliyinin təmin edilməsi üçün əsas tədbirlərdən biri olan informasiya təhlükəsizliyi siyasəti formalaşdırılır. İnformasiya təhlükəsizliyi siyasəti İnformasiya təhlükəsizliyi siyasəti - informasiya resurslarının təhlükəsiz idarə olunması (emalı, saxlanması, ötürülməsi), qorunması və paylanması məsələlərini nizamlayan normalar, qaydalar, praktiki üsullar və tədbirlər toplusunu əks etdirən sənəddir. İnformasiya təhlükəsizliyi siyasəti informasiya resurslarının hansı təhlükələrdən, necə və hansı səviyyədə qorunmasım, bu resurslardan istifadə etmək hüququ olan istifadəçilər dairəsini, onların hüquq və səlahiyyətlərinin hüdudlarını, resurslara icazəli və icazəsiz giriş hüquqlarını və mexanizmlərini müəyyən edir. İnformasiya təhlükəsizliyi siyasətinin yüksək səviyyəsi informasiyanın qorunmasının müxtəlif mümkün yolları arasından daha optimal variantın seçilməsi yolu ilə əldə oluna bilər. Bu siyasət qiymətli informasiya resurslarının qorunması üçün təklif olunan alternativ variantlar arasından bu resursların sahibləri tərəfindən daha münasib olanının seçilməsinə imkan verməlidir. Aydındır ki, bu kompromisin nəticəsi olan təhlükəsizlik siyasəti qorunan informasiya ilə qarşılıqlı əlaqədə olan bütün tərəfləri eyni dərəcədə təmin edə bilməz. Lakin eyni zamanda siyasətin seçilməsi problemin həllinin yekun qərarı olub qiymətli informasiya ilə davranış zamanı nəyin yaxşı və nəyin pis olduğunu müəyyən edir. Belə qərar, yəni təhlükəsizlik siyasəti qəbul edildikdən sonra onun əsasında qoruma mühiti və mexanizmləri, yəni təhlükəsizlik siyasətinin tələblərinin yerinə yetirilməsinin təmin edilməsi sistemi qurulur. Təhlükəsizlik siyasətində girişə nəzarət, identifikasiya, autentifikasiya, uçot, qeydiyyat, nəzarət jurnalının aparılması, etibarlılıq, diqqətlilik və s. məqamlar mütləq öz əksini tapmalıdır. Təhlükəsizlik siyasətində icazəsi olmayan şəxslərin, o cümlədən istifadəçilərin informasiya resurslarına (həmçinin, bu resursların saxlandığı yerə) girişinin qadağan edilməsi, istifadəçilərin statusunun, hüquq və səlahiyyətlərinin yoxlanması üçün parol və ya digər mexanizmlərin istifadəsi, şəbəkəyə daxil olan istifadəçinin şəbəkədə bütün hərəkətlərinin, sistemdə baş verən təhlükəsizliyin pozulması hallarının və yerlərinin, eləcə də sistemə icazəsiz giriş cəhdlərinin qeydiyyatının aparılması, qəsdən törədilməyən təsadüfi pozuntulardan qorunmanın təmin edilməsi, habelə belə pozuntuların qabaqlanması, sistem və informasiya resurslarının bir qovşaqda konsentrasiyasının (mərkəzləş- məsinin) və ya bir istifadəçinin əlində toplanmasının qarşısının alınması, telekommunikasiya vasitələrinin və rabitə xətlərinin etibarlı qorunması və s. kimi tədbirlər öz əksini tapmalıdır. İnformasiya təhlükəsizliyi siyasəti işlənib hazırlanarkən qorunması tələb olunan informasiya resursları, onların təyinatı və funksiyaları müəyyən edilir, potensial rəqibin bu resurslara maraq dərəcəsi, təhlükələrin və hücumların baş verməsi ehtimalları, həyata keçirilməsi yollan və vasitələri, eləcə də onların vura biləcəyi ziyan qiymətləndirilir. Bununla yanaşı, sistemdə və qoruma mexanizmlərində mümkün zəif yerlər, təhlükəsizliyin pozulması nəticəsində meydana çıxa biləcək problemlər, habelə təhlükəsizlik sisteminin reallaşdırılması üçün mövcud məhdudiyyətlər (maliyyə çatışmazlığı və s.) diqqətlə araşdınlmalı və təhlil olunmalıdır. İnformasiyanın qorunması sahəsində dövlət siyasəti aşağıdakı əsas istiqamətləri özündə birləşdirir: informasiyanın qorunması sahəsində fəaliyyətin dövlət səviyyəsində idarə edilməsi mexanizmlərinin yaradılması; informasiyanın qorunması sahəsində qanunvericiliyin inkişaf etdirilməsi; dövlət və milli informasiya resurslarının qorunması; informasiyanın qorunması üzrə müasir texnologiya və xidmətlər bazarının inkişafı üçün şəraitin yaradılması; dövlətin və cəmiyyətin fəaliyyəti üçün daha mühüm avtomatlaşdırılımş informasiya sistemlərinin (dövlət hakimiyyət və idarəetmə orqanlarının, milli bank və ödəmə sistemlərinin, milli infrastrukturun strateji obyektlərinin, kritik texnoloji proseslərinin və digər kri- tik obyektlərinin idarə edilməsi sistemləri) qorunmasının təşkili; informasiyanın qorunması üzrə proqramların və layihələrin reallaşdırılması və dəstəklənməsi. Qeyd olunanlar nəzərə alınaraq, informasiya təhlükəsizliyi siyasəti aşağıdakı əsas vəzifələrin yerinə yetirilməsinə yönəlmiş olur: maraqların qorunması üzrə planların və digər tədbirlərin işlənib hazırlanması və həyata keçirilməsi; informasiya təhlükəsizliyi orqanlarının, qüvvə və vasitələrinin formalaşdırılması, təmin edilməsi və inkişaf etdirilməsi; hüquqazidd hərəkətlər nəticəsində zərər çəkmiş qoruma obyektlərinin bərpa edilməsi. Bu vəzifələrdən irəli gələrək reallaşdırılan İTS aşağıdakı məqsədlərin əldə olunmasını təmin edir: mümkün potensial təhdidlərin aşkarlanması; baş verə biləcək təhdidlərin vaxtmda qarşısının alınması; baş vermiş təhdidlərin neytrallaşdırılması; baş vermiş təhdidlərin aradan qaldırılması; təhdidlərin nəticələrinin lokallaşdınlması; təhdidlərin dəf edilməsi; təhdidlərin məhv edilməsi. İnformasiya təhlükəsizliyi sistemlərinin yaradılması zamanı bir neçə növ təhlükəsizlik siyasətlərindən istifadə olunur. Daha geniş istifadə olunan aşağıda göstərilən siyasətlərə növbəti paraqraflarda baxılır: məhdudlaşdırma siyasəti (Discretionary Polisy - DP); çoxsəviyyəli siyasət (Multilevel Security - MLS); tamlığın təmin olunması siyasəti (Biba Polisy). Qeyd etmək lazımdır ki, sistemdə qəbul olunmuş informasiya təhlükəsizliyi siyasətinə riayət edilməsinə nəzarət məsələsi də ciddi problem olaraq qalır. Təhlükəsizlik siyasətinə riayət olunmasının təhlili üçün də bir sıra riyazi üsullar - modellər mövcuddur. Bu məqsədlə daha çox istifadə olunan modellərə nümunə kimi “Take-Grant”, “Bell-Lapadula”, “Low-Water-Mark”, “G-M” (J.Goguen, J.Meseguer) və s. modellərini göstərmək olar. Məhdudlaşdırma siyasəti (DP) Tutaq ki, O={o7,o2,...,ow} - qorunan obyektlər çoxluğu, - kompyuter sisteminin və şəbəkəsinin aktiv elementləri olan subyektlər çoxluğu, U={uı,u2,---,uı} - kompyuter sisteminin istifadəçiləri çoxluğudur. Aydındır ki, obyektlər KSŞ-nin passiv elementləridir. Onlar informasiyanın saxlanması, emalı və ötürülməsi üçün istifadə olunur. Belə elementlərə yazıları, blokları, seqmentləri, fayllan, qovluqları, bitləri, baytlan, sözləri, eləcə də şəbəkənin terminallarını və qovşaqlarını aid etmək olar. Yüklə 0,6 Mb. Dostları ilə paylaş:
|