Bog'liq 2-mavzu Axborot xavfsizligiga tahdidlarva uni himoyalashning vositalari
Ta'sir qilish usullari bo'yicha axborot xavfsizligi ob'ektlariga tahdidlar quyidagi tasnifga bo'ysunadi: axborot, dasturiy ta'minot, jismoniy, radioelektron va tashkiliy-huquqiy.
TO ma `lumot tahdidlarga quyidagilar kiradi:
Axborot resurslariga ruxsatsiz kirish;
Axborot tizimlarida ma'lumotlarni noqonuniy nusxalash;
Kutubxonalar, arxivlar, banklar va ma'lumotlar bazalaridan ma'lumotlarni o'g'irlash;
Axborotni qayta ishlash texnologiyasini buzish;
Axborotni noqonuniy yig'ish va ulardan foydalanish;
Axborot qurollaridan foydalanish.
TO dasturiy tahdidlarga quyidagilar kiradi:
Dasturiy ta'minotdagi xatolar va "teshiklar" dan foydalanish;
Kompyuter viruslari va zararli dasturlari;
"O'rnatilgan" qurilmalarni o'rnatish.
TO jismoniy tahdidlarga quyidagilar kiradi:
Axborotni qayta ishlash va aloqa vositalarini yo'q qilish yoki yo'q qilish;
Axborot tashuvchilarni o'g'irlash;
dasturiy ta'minot yoki apparat kalitlari va kriptografik ma'lumotlarni himoya qilish vositalarini o'g'irlash;
Xodimlarga ta'siri.
TO elektron tahdidlarga quyidagilar kiradi:
Texnik vositalar va binolarda ma'lumotlarni ushlab turish uchun elektron qurilmalarni joriy etish;
Aloqa kanallarida axborotni ushlab turish, shifrni ochish, almashtirish va yo'q qilish.
TO tashkiliy va huquqiy tahdidlarga quyidagilar kiradi:
qonun talablarini buzish va axborot sohasida zarur normativ qarorlarni qabul qilishni kechiktirish;
Nomukammal yoki eskirgan axborot texnologiyalari va axborotlashtirish vositalarini xarid qilish.
Axborot munosabatlari sub'ektlarining manfaatlarini himoya qilish uchun birlashtirish kerak chora-tadbirlar quyidagi darajalar:
1)qonunchilik darajasi(qonunlar, qoidalar, standartlar va boshqalar). Qonunchilik darajasi axborot xavfsizligini ta'minlash uchun eng muhim hisoblanadi. Ushbu darajadagi chora-tadbirlar ma'lumotlar va jihozlar bilan harakatlarni qonun va qoidalar bilan tartibga solish va bunday xatti-harakatlarning to'g'riligini buzganlik uchun javobgarlikning yuzaga kelishini o'z ichiga oladi. Bu masala boshqa boblarda batafsilroq muhokama qilinadi.
2) ma'muriy daraja(tashkilot rahbariyatining umumiy xarakterdagi harakatlari). Ma'muriy darajadagi chora-tadbirlarning asosiy maqsadi axborot xavfsizligi sohasida ish dasturini shakllantirish va zarur resurslarni ajratish va ishlarning holatini monitoring qilish orqali uning bajarilishini ta'minlashdan iborat. Dasturning asosi tashkilotning axborot aktivlarini himoya qilishga yondashuvini aks ettiruvchi xavfsizlik siyosatidir. Har bir tashkilot rahbariyati xavfsizlik rejimini saqlash zarurligini tushunishi va buning uchun katta resurslarni ajratishi kerak.
3)protsessual daraja(odamlarga qaratilgan maxsus xavfsizlik choralari).
Ushbu darajadagi chora-tadbirlar quyidagilarni o'z ichiga oladi:
Hisoblash markazlari va ma'lumotlarni qayta ishlash tizimlarining boshqa ob'ektlarini loyihalash, qurish va jihozlashda amalga oshiriladigan chora-tadbirlar;
Foydalanuvchilarning tizim resurslariga kirish qoidalarini ishlab chiqish bo'yicha chora-tadbirlar (xavfsizlik siyosatini ishlab chiqish);
Tizimga xizmat ko'rsatuvchi kadrlarni tanlash va tayyorlash bo'yicha amalga oshirilayotgan tadbirlar;
Xavfsizlikni tashkil etish va tizimga kirish rejimi;
Hujjatlar va axborot tashuvchilarni hisobga olish, saqlash, foydalanish va yo'q qilishni tashkil etish;
Kirish nazorati tafsilotlarini taqsimlash;
Foydalanuvchilar ishi ustidan aniq va yashirin nazoratni tashkil etish;
Uskunalar va dasturiy ta'minotni loyihalash, ishlab chiqish, ta'mirlash va o'zgartirish jarayonida amalga oshiriladigan faoliyat.
4)dasturiy ta'minot va apparat darajasi(texnik chora-tadbirlar).
Ushbu darajadagi himoya choralari maxsus dasturlar va uskunalardan foydalanishga va (mustaqil ravishda yoki boshqa vositalar bilan birgalikda) himoya funktsiyalarini bajarishga asoslangan:
Foydalanuvchini identifikatsiya qilish va autentifikatsiya qilish;
Resurslarga kirishni farqlash;
Tadbirlarni ro'yxatdan o'tkazish;
Kriptografik transformatsiyalar;
Tizim yaxlitligini tekshirish;
Zararli dasturlarning yo'qligini tekshirish;
uzatiladigan axborot va aloqa kanallarini dasturiy himoya qilish;
Tizimni keraksiz ma'lumotlarning mavjudligi va paydo bo'lishidan himoya qilish;
Buzg'unchilarning kirib borishi yo'lida jismoniy to'siqlarni yaratish;
Tizimning to'g'ri ishlashiga rioya etilishini nazorat qilish va signalizatsiya qilish;
Qimmatli ma'lumotlarning zaxira nusxalarini yarating.
Axborot xavfsizligi muammosining asosiy xususiyatlaridan biri zamonaviy axborot tizimlarida potentsial bo'lishi mumkin bo'lgan axborot tahdidlarini aniqlashning to'liqligi talabidir. Hatto bitta hisobga olinmagan (aniqlanmagan, hisobga olinmagan) beqarorlashtiruvchi omil himoya samaradorligini sezilarli darajada kamaytirishi (va hatto inkor etishi) mumkin.
- bu tasodifiy yoki qasddan qilingan harakat yoki harakatsizlikning potentsial mavjudligi, buning natijasida ma'lumotlar (ma'lumotlar) xavfsizligi buzilgan bo'lishi mumkin.
Axborot xavfsizligiga tahdid- ma'lumotlarning tarqalishi va/yoki ruxsatsiz va/yoki kutilmagan ta'sirlar bilan bog'liq potentsial yoki real hayot uchun xavf tug'diradigan shartlar va omillar to'plami.