|
Axborot tizimlarining ҳimoyalanganligini baҳolash. ISO 15408 [15]. Ushbu standartda axborot tizimini yaratishda kafolatli xavfsizlik va unga qo’yilgan talablar batafsil yoritilgan. Lekin ushbu standartni xavfsizlikni baҳolashning universal kompleksi sifatida foydalanib bo’lmaydi, bunda axborot tizimi xavfsizligining administrativ va ma’muriy ҳuququiy masalalari ko’zda tutilmagan.
Axborot xavfsizligi boshqaruvining amaliy qoidalari. ISO/IEC 17799 (BS 7799-1:2000) [16]. Ushbu standart Britaniya standartlashtirish instituti (BSI) tomonidan ishlab chiqilgan va ikki qismdan iborat. Birinchi qismi (BS 7799 part 1//Code of practice for Information Security Management)2000 yil Xalqaro Standartlashtirish tashkiloti tomonidan tasdiqlangan (ISO/IEC 17799). Ushbu standartda tashkilotning axborot xavfsizligini boshqarish tizimini yaratishning 120 dan ortiq mexanizmlari yoritilgan. Bu mexanizmlar shu yo’nalishdagi jaxon tajribasidan olingan namunalar bo’lib, ҳar qanday yo’nalishdagi va ҳajmdagi tashkilotlarga qo’llash mumkin.
Axborot xavfsizligini boshqaruv tizimining tasnifi. ISO/IEC 27001 (BS 7799-2:2002) [16]. Ushbu standart BS 7799 ning ikkinchi qismi (BS 7799 part 2//Information Security management) bo’lib, bunda axborot xavfsizligini boshqarish tizimini yaratishga, foydalanishga topshirishga, monitoring o’tkazishga, qo’llab quvvatlashga va takomillashtirishga qo’yilgan talablar yoritilgan.
Ushbu standartlar asosida korxona yoki tashkilotlar o’zining axborot xavfsizligi strategiyasini ishlab chiqishi mumkin. Bu strategiyada yordamida mavjudxavfsizlik tizimining xolatini aniqlash, axborotlar qiymatiga qarabxavfsizligini ta’minlash darajasini aniqlash,mavjud va amalga oshirilishi mumkin bo’lgan xurujlarni aniqlash va ularga mos xavfsizlik mexanizmlari keltiriladi. Bundan tashqari audit o’tkazilishi natijasidaaxborot xavfsizligini ta’minlash usul va metodlari ҳam aniqlanadi va joriy etiladi.
ATlarda xavfsizlikni ta’minlash kompleks chora tadbirlardan iboratdir, chunki xurujlar qaysi yo’l bilan amalga oshirilishi aniq bo’lmaydi, shu sababli xavfsizlik tizimi ҳar qanday ko’rinishdagi xurujlarga tayyor turishi zarur.
AT xavfsizlik tizimini quyidagicha izoҳlash mumkin(Rasm 1.2.)[34]:
Rasm 1.1. AT xavfsizlik tizimi
Xuquqiy choralaraxborotga ruxsat etilmagan murojaat qilishni amalga oshirishga intilayotgan shaxs yo’lida turadigan ximoyadir, bu g’arazli niyatli shaxsning ruxsat etilmagan maxfiy axborotlardan foydalanganda uning oqibatlarini ko’rsatib beruvchi xujjatlardir. Axborotni ximoya qilishning bu jixati axborotni uzatishda va qayta ishlashdan yuridik meyorlarga rioya qilishni zarurligi bilan bog’langandir. Axborotni ximoya qilishni xuquqiy meyorlariga mamlakatda xarakatda bo’lgan qonunlar, buyruqlar va boshqa meyoriy dalolatnomalar tegishlidir, ular cheklangan miqdorda ishlatadigan axborot bilan murojaat qilish qoidalarini reglamentlaydi. Bu bilan ular axborotni ruxsat etilmagan ishlatishga to’siqlik kiladilar va buzg’unchilarni ushlab turadigan omil xisoblanadi.
Tashkiliy choralarmaxfiy ob’ektlarga jismoniy tomondan zarar yetkazish, ish faoliyatiga aralashish va o’g’irlanishi mumkin bo’lgan yo’llarni kuzatish, qo’riqlashni amalga oshirishdir. Tashkilotda maxfiy ob’ektlar qo’riqlanishi, begona shaxslarning kirishiga yo’l qo’ymaslik, agar begona shaxslar kirgan taqdirda ҳam ularni zudlik bilan aniqlash vositalarini o’rnatish ya’ni signalizatsiyalar, video-kuzatuv uskunalari. Maxfiy axborot yoki xujjatlarni maxsus seyflarda saqlanishini tashkil qilish, axborot resurslari saqlanadigan ҳududlarga maxsus chegaralar o’rnatish. Tashkiliy choralarga yana tabiiy ofatlar ro’y bergan xolatlarda axborot xavfsizligini ta’minlash choralari ҳam kiradi.Tashkiliy choralarga ishchi xodimlar bilan ishlash, ishga olish ҳam kiradi bunda yangi xodimlarni tekshirish, ularni maxfiy axborot bilan ishlash tartibi bilan tanishtirish, uni qayta ishlash qoidalarini buzganligi uchun javobgarlik choralari bilan tanishtirish va x.k.
Administrativ choralar tizim resurslaridan foydalanish va ular ustidagi jarayonlarni amalga oshirishda foydalanuvchilarni guruҳlarga bo’lish ҳamda ularga rollar berish ishlarini amalga oshiradi.Foydalanuvchining roli deganda ma’lum axborot ustida ma’lum bir jarayonni amalga oshirishga berilgan ruxsat tushuniladi. Bundan tashqari maxfiy kalitlar va sertifikatlarniboshqarishni tashkil etishdir.
Dasturiy vositalar ATlarni ҳimoyalashda asosiysi sanaladi, yuqoridagi keltirilgan vositalarni buzib o’tganda ҳam dasturiy vositalarxavflarga bardoshliligi bilan ҳimoyani bartaraf etishi mumkin.Axborotni ҳimoyalashda dasturiy vositalar ikki guruҳga bo’linadi. Birinchisi nokriptografik dasturiy vositalar antiviruslar, antispamlar va fayrvollardir. Antiviruslar tizim faoliyatiga ҳalal beruvchi, tizimdagi ma’lumotlarni o’g’irlovchi va o’zgartiruvchi dasturlarni aniqlash ҳamda faoliyatini to’xtashish uchun ishlatiladi.Fayrvollar kompyutertarmoqlarga qo’yiladigan filtrlardir, bular tarmoqlardan tizimga ruxsatsiz kirish va keraksiz axborotlar oqimini to’xtatish uchun ishlatiladi.
Axborotni muhofaza qilishning apparat-dasturiy vositalari – axborotni muhofaza qilish funksiyalarini (foydalanuvchilarni identifikatsiyalash va autentifikatsiya qilish, resurslardan foydalana olishni cheklash, voqealarni qayd qilish, axborotni kriptografik himoyalash va shu kabilar) bajaradigan (mustaqil yoki boshqa vositalar bilan birgalikda) turli elektron qurilmalar va maxsus dasturlardir.
Do'stlaringiz bilan baham: |
