|
Axborot tizimlarining himoyalanganligini baholash. ISO 15408 [15]. Ushbu standartda axborot tizimini yaratishda kafolatli xavfsizlik va unga qo‘yilgan talablar batafsil yoritilgan. Lekin ushbu standartni xavfsizlikni baholashning universal kompleksi sifatida foydalanib bo‘lmaydi, bunda axborot tizimi xavfsizligining administrativ va ma’muriy huququiy masalalari ko‘zda tutilmagan.
Axborot xavfsizligi boshqaruvining amaliy qoidalari. ISO/IEC 17799 (BS 7799-1:2000) [16]. Ushbu standart Britaniya standartlashtirish instituti (BSI) tomonidan ishlab chiqilgan va ikki qismdan iborat. Birinchi qismi (BS 7799 Part 1//Code of Practice for Information Security Management)2000 yil Xalqaro Standartlashtirish tashkiloti tomonidan tasdiqlangan (ISO/IEC 17799). Ushbu standartda tashkilotning axborot xavfsizligini boshqarish tizimini yaratishning 120 dan ortiq mexanizmlari yoritilgan. Bu mexanizmlar shu yo‘nalishdagi jaxon tajribasidan olingan namunalar bo‘lib, har qanday yo‘nalishdagi va hajmdagi tashkilotlarga qo‘llash mumkin.
Axborot xavfsizligini boshqaruv tizimining tasnifi. ISO/IEC 27001 (BS 7799-2:2002) [16]. Ushbu standart BS 7799 ning ikkinchi qismi (BS 7799 Part 2//Information Security management) bo‘lib, bunda axborot xavfsizligini boshqarish tizimini yaratishga, foydalanishga topshirishga, monitoring o‘tkazishga, qo‘llab quvvatlashga va takomillashtirishga qo‘yilgan talablar yoritilgan.
Ushbu standartlar asosida korxona yoki tashkilotlar o‘zining axborot xavfsizligi strategiyasini ishlab chiqishi mumkin. Bu strategiyada yordamida mavjudxavfsizlik tizimining holatini aniqlash, axborotlar qiymatiga qarabxavfsizligini ta’minlash darajasini aniqlash,mavjud va amalga oshirilishi mumkin bo‘lgan xurujlarni aniqlash va ularga mos xavfsizlik mexanizmlari keltiriladi. Bundan tashqari audit o‘tkazilishi natijasidaaxborot xavfsizligini ta’minlash usul va metodlari ham aniqlanadi va joriy etiladi.
ATlarda xavfsizlikni ta’minlash kompleks chora tadbirlardan iboratdir, chunki xurujlar qaysi yo‘l bilan amalga oshirilishi aniq bo‘lmaydi, shu sababli xavfsizlik tizimi har qanday ko‘rinishdagi xurujlarga tayyor turishi zarur. AT xavfsizlik tizimini quyidagicha izohlash mumkin.
1.2.1-rasm AT xavfsizlik tizimi
Huquqiy choralar axborotga ruxsat etilmagan murojaat qilishni amalga oshirishga intilayotgan shaxs yo‘lida turadigan himoyadir, bu g‘arazli niyatli shaxsning ruxsat etilmagan maxfiy axborotlardan foydalanganda uning oqibatlarini ko‘rsatib beruvchi xujjatlardir. Axborotni himoya qilishning bu jihati axborotni uzatishda va qayta ishlashdan yuridik meyorlarga rioya qilishni zarurligi bilan bog‘langandir. Axborotni himoya qilishni xuquqiy meyorlariga mamlakatda xarakatda bo‘lgan qonunlar, buyruqlar va boshqa meyoriy dalolatnomalar tegishlidir, ular cheklangan miqdorda ishlatadigan axborot bilan murojaat qilish qoidalarini reglamentlaydi. Bu bilan ular axborotni ruxsat etilmagan ishlatishga to‘siqlik qiladilar va buzg‘unchilarni ushlab turadigan omil hisoblanadi. Tashkiliy choralar maxfiy ob’ektlarga jismoniy tomondan zarar yetkazish, ish faoliyatiga aralashish va o‘g‘irlanishi mumkin bo‘lgan yo‘llarni kuzatish, qo‘riqlashni amalga oshirishdir. Tashkilotda maxfiy ob’ektlar qo‘riqlanishi, begona shaxslarning kirishiga yo‘l qo‘ymaslik, agar begona shaxslar kirgan taqdirda ham ularni zudlik bilan aniqlash vositalarini o‘rnatish ya’ni signalizatsiyalar, video-kuzatuv uskunalari. Maxfiy axborot yoki xujjatlarni maxsus seyflarda saqlanishini tashkil qilish, axborot resurslari saqlanadigan hududlarga maxsus chegaralar o‘rnatish. Tashkiliy choralarga yana tabiiy ofatlar ro‘y bergan holatlarda axborot xavfsizligini ta’minlash choralari ham kiradi.Tashkiliy choralarga ishchi xodimlar bilan ishlash, ishga olish ham kiradi bunda yangi xodimlarni tekshirish, ularni maxfiy axborot bilan ishlash tartibi bilan tanishtirish, uni qayta ishlash qoidalarini buzganligi uchun javobgarlik choralari bilan tanishtirish va h.k. Administrativ choralar tizim resurslaridan foydalanish va ular ustidagi jarayonlarni amalga oshirishda foydalanuvchilarni guruhlarga bo‘lish hamda ularga rollar berish ishlarini amalga oshiradi. Foydalanuvchining roli deganda ma’lum axborot ustida ma’lum bir jarayonni amalga oshirishga berilgan ruxsat tushuniladi. Bundan tashqari maxfiy kalitlar va sertifikatlarni boshqarishni tashkil etishdir. Dasturiy vositalar ATlarni himoyalashda asosiysi sanaladi, yuqoridagi keltirilgan vositalarni buzib o‘tganda ham dasturiy vositalar xavflarga bardoshliligi bilan himoyani bartaraf etishi mumkin. Axborotni himoyalashda dasturiy vositalar ikki guruhga bo‘linadi. Birinchisi nokriptografik dasturiy vositalar antiviruslar, antispamlar va fayrvollardir. Antiviruslar tizim faoliyatiga halal beruvchi, tizimdagi ma’lumotlarni o‘g‘irlovchi va o‘zgartiruvchi dasturlarni aniqlash hamda faoliyatini to‘xtashish uchun ishlatiladi. Fayrvollar kompyuter tarmoqlarga qo‘yiladigan filtrlardir, bular tarmoqlardan tizimga ruxsatsiz kirish va keraksiz axborotlar oqimini to‘xtatish uchun ishlatiladi. Kriptografik vositalar hozirda keng qo‘llanilib kelayotgan axborot himoyasini ta’minlovchi vositalardan biridir. Kriptografik vositalar axborotni matematik usullar yordamida begona shaxslardan himoyalash usulidir. Kriptografik vositalar ochiq tarmoqlar orqali uzatilayotgan axborotlarni himoyalashda, axborotlarning butunligini ta’minlashda foydalaniladi.
Do'stlaringiz bilan baham: |
