Телекоммуникацияда ахборот хавфсизлигини баҳолаш мезонлари



Download 169,5 Kb.
bet3/3
Sana23.02.2022
Hajmi169,5 Kb.
#160562
1   2   3
Bog'liq
2 5190737039737228278

F-IN синфи маълумотлар базасини бошқариш тизимларига хос бўлган маълумотлар ва дастурларнинг яхлитлигини таъминлаш бўйича юқори эҳтиёжли баҳолаш объектлари учун мўлжалланган. F-IN синфининг тавсифида роль тушунчаси киритилади, фақат олдиндан аниқланган жараёнлар ёрдамида маълум объектларга фойдалана олишни тақдим этиш бўйича талаблар илгари сурилади. Қуйидаги фойдалана олиш турлари ажратилиши керак:

  • ўқиш;

  • ёзиш;

  • қўшиш;

  • йўқ қилиш;

  • қайта номлаш (барча объектлар учун);

  • бажариш;

  • қайта номлаш (бажариладиган объектлар учун);

  • объектларни яратиш ва йўқ қилиш.

F-AV синфи фойдалана олишликка оширилган талаблар орқали тавсифланади. Бу масалан, технологик жараёнларни бошқариш тизимлари учун сезиларли бўлади. “Хизмат кўрсатиш ишончлилиги бўлимида бу синф тавсифи спецификацияланади. Юклаш даражасига боғлиқ бўлмаган маълум ҳодисалар ва беркликларга реакция вақти кафолатланиши керак.
F-DI синфи узатиладиган маълумотлар яхлитлигига оширилган талаблар орқали тавсифланади. Мулоқот бошланишидан олдин томонлар бир-бирларининг ҳақиқийлигини текшириш ҳолатида бўлишлари керак. Маълумотларни алмаштиришда эса хатоликларни назорат қилиш ва уларни тузатиш воситалари тақдим этилиши керак. Хусусан, манзилли ва фойдаланувчи маълумотларида шикастланишлар ёки атайин бузилишлар аниқланиши керак. Бузилишларни аниқлаш алгоритмини билиш ноқонуний ўзгартиришнинг амалга оширилишига имкон бермаслиги керак. Олдин узатилган маълумотлар қайта киритишга уриниш хатоликлари сифатида топилиши ва тан олиниши керак.
F-DC синфи узатиладиган маълумотлар махфийилигига оширилган талаблар орқали тавсифланади. Телекоммуникациялар каналларига маълумотлар келишидан олдин сертификацияланган воситаларидан фойдаланиладиган автоматик шифрлаш бажарилиши керак. Қабул қилиш томонида ҳам расшифровкалаш автоматик тарзда амалга оширилиши керак. Шифрлаш калитлари рухсат этилмаган тарзда фойдалана олишдан муҳофаза қилинган бўлиши керак.
F-DX синфи маълумотларнинг яхлитлиги ва махфийилигига оширилган талаблар орқали тавсифланади. Уни охиридан охирига таъсир қиладиган қўшимча шифрлаш имкониятлари ва маълум каналлар бўйича трафик таҳлил қинишидан муҳофаза қилишнинг F-DI ва F-DC қўшилмаси сифатида кўриб чиқиш мумкин.
Юқорида таъкидланганидек, “Европа мезонлари” ахборот хавфсизлигининг қуйидаги ташкил этувчиларини кўриб чиқади:
- махфийлик, яъни рухсат этилмаган тарзда маълумотларни олишдан муҳофаза қилиш;
- яхлитлик, яъни яъни рухсат этилмаган тарзда маълумотларни бузилишидан муҳофаза қилиш;
- фойдалана олишлик, яъни рухсат этилмаган тарзда маълумотларни ва ресурсларни ушлаб қолишдан муҳофаза қилиш.
Хавфсизликка талабларни қаноатлантириш учун аниқ механизмлар орқали ишлатиладиган мос хавфсизлик функциялари (сервислар) тўпламини тақдим этиш зарур. Баҳолаш объекти ишончли деб тан олиниши учун хавфсизлик функциялари ва механизмларининг тўпламида маълум ишонарлилик даражаси зарур. Кафолатланганлик хавфсизлик воситаларининг самарадорлик ва аниқлик аспектларига боғлиқ. Самарадорликни текширишда баҳолаш объекти учун шакллантирилган мақсадлар ва эга бўлинган хавфсизлик функциялари тўплами орасидаги мослик таҳлил қилинади. Бузилишларни топиш алгоритмини билиш ноқонуний ўзгартиришга имкон бермаслиги керак.
Тизимни умумий баҳолаш хавфсизлик механизмларининг минимал қуввати ва аниқлик кафолатланганлиги даражасини қўшишдан иборат бўлади.
“Европа мезонлари”да ахборот хавфсизлигига тегишли бўлган воситалар қуйидаги учта деталлаштириш даражаларида кўриб чиқилади:
- биринчи даража хавфсизлик мақсадларига боғлиқ;
- иккинчи даража хавфсизлик функциялари спецификацияларидан иборат;
- учинчи даража хавфсизлик механизмлари тўғрисидаги маълумотлардан иборат.
Мезонлар қуйидаги сарлавҳаларни, бўлимларни, хавфсизлик функциялари спецификациялари ажратилишини тавсия қилинади:
- идентификация ва аутентификация қилиш;
- фойдалана олишни бошқариш;
- ҳисоботлилик;
- аудит;
- объектлардан такрорий фойдаланиш;
- ахборотнинг аниқлиги;
- хизмат кўрсатиш ишончлилиги;
- маълумотлар алмашинуви.
Хавфсизлик функцияларининг тўплами олдиндан аниқланган функционаллик синфларига кўрсатмалардан фойдаланиб спецификацияланиши мумкин. “Европа мезонлари”да бундай синфлар ўнта. Улардан бештаси (F-C1, F-C2, F-B1, F-B2, F-B3) “Оловранг китоб” хавфсизлик синфларига мос келади.
“Канада мезонлари” (Canadian Trusted Computer Product Evaluation Criteria - СТСРЕС) компьютер тизимларининг хавфсизлиги миллий стандарти сифатида фойдаланиш учун ишлаб чиқилди.
“Оловранг китоб”дан фарқли равишда асосан, кўп фойдаланувчилар операцион тизимларни ишлаб чиқиш, сертификатлашга йўналтирилган ва бошқа қўлланишлар учун (масалан, маълумотлар базаси ва тармоқлар учун) маълум интерпретацияланишни (талқин этилишни) талаб қиладиган “Канада мезонлари” дастлаб компьютер тизимлари кенг дипазони мақсадларига йўналтирилди. Бу стандарт ишчи станциялар ва кўп процессорли ҳисоблаш тизимлари, шахсий ва кўп фойдаланувчили операцион тизимлар, маълумотлар базасини бошқариш тизимлари, тақсимлаш, тармоққа ўрнатилган, объектга - йўналтирилган ва бошқа тизимлар дастурий таъминотини сертификатлаш, хавфсизлик талабларини ишлаб чиқиш ва муҳофаза қилиш воситаларини спецификациялаштириш учун ишлатилди.
Бундай турли мақсадлар бўйича тизимларнинг кенг доирасига “Канада мезонлари” нинг қўлланилиш имконияти уларда ишлатиладиган муҳофаза қилиш воситаларига функционал талаблар ва уларнинг ишлатилиш адекватлилигига қўйиладиган талаблар кўринишида хавфсизлик талабларини тақдим этиш принципи орқали аниқланади.
Телекоммуникациялар тизимининг хавфсизлик даражаси таъминланадиган хавфсизлик даражасининг шахсий кўрсаткичларини ва бир умумлаштирилган параметр бўлган хавфсизлик сиёсатининг ишлатилиш адекватлиги даражасини тавсифлайдиган функционал фойдаланиладиган муҳофаза қилиш воситаларининг бирлиги сифатида аниқланди.
“Канада мезонлари” компьютер тизимлари хавфсизлигини таъминлаш воситаларининг самарадорлигини баҳолаш учун асос сифатида ишлаб чиқилган, бунда қуйидаги мақсадлар қўйилган:
1. Хавфсизликни таъминлаш бўйича махфий ахборотни қайта ишлаш тизимларини таққослашга имкон берадиган телекоммуникациялар тизимларининг хавфсизлигини баҳолаш мезонларининг ягона шкаласини таклиф этиш;
2. Телекоммуникациялар тизимларини лойиҳалаштиришда муҳофаза қилиш воситалари функциялари таркибини аниқлаш учун кўрсатма сифатида ишлаб чиқувчилар фойдалана олиши мумкин бўлган хавфсиз телекоммуникациялар тизимлари спецификацияларини ишлаб чиқиш учун асосни яратиш;
3. Хавфсиз телекоммуникациялар тизимларининг характеристикаларини тавсифлаш учун унификацияланган ёндашиш ва стандарт воситаларни таклиф этиш.
“Канада мезонлари” “Оловранг китоб” асосида ва “Ахборот технологиялари хавфсизлиги федерал мезонлари” таъсири остида ишлаб чиқилди.
“Телекоммуникация тизимлари хавфсизлигини баҳолашнинг Канада мезонлари” биринчи ахборот хавфсизлиги стандарти ҳисобланади. Унда ҳужжат тузилмаси даражасида муҳофаза қилиш воситаларига функционал талаблар адекватликка талаблар ва хавфсизлик сиёсатини ишлатилиши сифатидан ажратилди. Муҳофаза қилиш воситаларига функционал талаблар аниқ тузилган ва ТСВ шакллантирилишининг барча аспектларини тавсифлайди.
Биринчи марта алоҳида бўлим кўринишида пайдо бўлган хавфсизлик сиёсатининг ишлатилиш адекватлилигига талаблар хавфсизликни таъминлаш воситаларига ишонч даражасини аниқлашга имкон беради.
Биринчи марта бунча эътибор, барча хавфсизликни таъминлаш тизимлари ва воситаларининг ўзаро мослигига ва ўзаро таъсирлашишига ажратилди. Фунционал талабларнинг ишлатилиш аниқлиги, уларнинг хавфсизлик сиёсати ва моделига расмий мос келишини исботлаш талаблари энг прогрессив ҳисобланади.
“Федерал мезонлар”даги каби “Канада мезонлари”да универсал шкала ёрдамида хавфсизлик даражасини баҳолашга ёндашиш инкор қилинади ва хавфсизликни таъминлаш кичик тизимларининг ишлашини тавсифлайдиган кўплаб шахсий мезонларни ташкил этадиган, ҳар бир бўлим бўйича талабларни мустақил ранжлаш ишлатилади. Бундан ташқари, хавфсизлик сиёсатининг ишлатилиш адекватлилиги даражаси умуман бутун тизимнинг сифатини тавсифлайди. Лекин, “Федерал мезонлар”га таққослаганда ишлаб чиқиш технологияларига талаблар кучсиз ифодаланган, фойдаланиладиган усуллар ва воситалар қисми етарли аниқлаштирилмаган.
“Ахборот технологиялари хавфсизлигининг федерал мезонлари” (кейинчалик оддий “Федерал мезонлар” ёки FC) “Оловранг китоб”ни алмаштиришга чиқарилган “Ахборотни қайта ишлаш бўйича Америка федерал стандарти” нинг (Federal Information Processing Standard) ташкил этувчиларидан бири сифатида ишлаб чиқилди.
“Федерал мезонлар” ахборот технологиялари қуйидаги кўринишлардаги талаблари каталогини ўз ичига олади:
- функционал талаблар (саккизта синфлар);
- ахборот технологиялари маҳсулотларини ишлаб чиқиш технологияларига намунавий талаблар;
- ахборот технологиялари маҳсулотларини малакавий таҳлил қилиш жараёнларига талаблар (ахборот технологиялари маҳсулотларини таҳлил қилиш, назорат қилиш ва тестлаш бўйича учта талаблар гуруҳи).
“Федерал мезонлар” ахборот хавфсизлиги концепциясининг калит тушунчаси ва муҳофаза қилиш профили (protection profile) тушунчаси ҳисобланади. FCга мувофиқ, муҳофаза қилиш профили ахборот технологиялари маҳсулотларини лойиҳалаштириш, ишлаб чиқиш технологияси ва малакавий таҳлил қилишга талаблар кўринишида ахборот технологиялари маҳсулотларининг барча хавфсизлик аспектларини регламентлайдиган норматив хужжат ҳисобланади. Қоидага кўра, битта муҳофаза қилиш профили ахборот технологиялари маҳсулотларининг тузилмаси ва қўлланилиши бўйича бир нечта муҳофаза қилиш профилини тавсифлайди. Муҳофаза қилиш профилида асосий эътибор муҳофаза қилиш воситаларининг таркибига ва уларнинг ишлатилиш сифатига, шунингдек, бўлиши мумкин хавфсизликга, таҳдидларга уларнинг адекватлик талабларига ажратилади.
“Ахборот технологиялари хавфсизлигининг федерал мезонлари” ўз олдига қуйидаги мақсадларни қўяди:
1. Замонавий ахборот технологияларига қўйиладиган асосий хавфсизликка универсал ва очиқ талаблар тўпламини кейинчалик ривожлантириш талабларини аниқлаш. Муҳофаза қилинганлик даражасини баҳолаш мезонлари ва хавфсизликка қўйиладиган талаблар ахборот технологияларининг замонавий ривожланиши даражасига мос келиши ва унинг келажакдаги тараққиётини эътиборга олиши керак. Стандарт ахборот технологияларининг қўлланилиш соҳаларини ҳисобга олганда, уларга қўйиладиган хавфсизлик талабларини ишлаб чиқишга асосланган ва тизимли ёндашишни таклиф этади.
2. Хавфсизликка қўйиладиган талаблар ва мезонларни такомиллаштириш. Ахборот технологияларининг ривожланиши билан уларнинг қўлланилишидаги янги соҳаларнинг пайдо бўлишини ҳисобга олганда фундаментал хавфсизлик принципларининг зарурлиги ҳам давлат, ҳам шахсий секторда вужудга келди.
3. Турли давлатларда қабул қилинган ахборот технологиялари хавфсизлиги талаблари ва мезонларининг ўзаро мувофиқликка олиб келиниши.
4. Ахборот технологиялари асосида ётувчи принципларни меъёрий мустаҳкамлаш. Стандарт ўтган асрнинг 80-нчи йилларида ишлаб чиқилган ахборот технологияларининг хавфсизлигини таъминлашнинг асосий принципларини умумлаштирилиши ҳисобланади ва маълумотларни муҳофаза қилиш соҳасидаги ютуқларни сақлаш мақсадларида уларга нисбатан давом эттирилишини таъминлайди.
“Ахборот технологиялари хавфсизлигининг федерал мезонлари” қуйидаги учта мустақил талаблар гуруҳлари аниқланадиган биринчи ахборот технологияси стандарти ҳисобланади:

  • муҳофаза қилиш воситаларига талаблар;

  • ишлаб чиқиш технологиясига талаблар;

  • малакавий таҳлил қилиш жараёнига талаблар.

Бу стандартнинг муаллифлари тамонидан биринчи марта муҳофаза қилиш профили бўлган ҳам ахборот технологиялари - маҳсулотнинг ўзига, ҳам унинг лойиҳалаштирилиши, ишлаб чиқилиши, тестланиши ва малакавий таҳлил қилиш жараёнларига барча хавфсизлик талаблари тавсифларидан иборат ҳужжат биринчи марта таклиф этилди.
Функционал хавфсизликка талаблар яхши тузилмалаштирилган ва ТСВ шаклланишининг барча аспектларини тавсифлайди. Бу ҳужжатда биринчи марта пайдо бўлган ишлаб чиқиш технологиясига талаблар ишлаб чиқарувчиларни ўз маҳсулотининг хавфсизлигини тасдиқлашга имкон берадиган замонавий дастурлаш технологияларидан фойдаланишга мажбурлайди. Малакавий таҳлил қилиш жараёнига талаблар етарлича умумий характерга эга ва ахборот технологиялари - маҳсулотнинг хавфсизлигини тестлаш ва тадқиқ қилишнинг аниқ услубларидан иборат эмас.
“Федерал мезонлари”ни ишлаб чиқувчилар “Оловранг китоб”да фойдаланилган хавфсизлик синфларининг умумлаштирилган универсал шкаласи асосида ахборот технологиялари - маҳсулотнинг хавфсизлиги даражасини баҳолашга ёндашишни рад қилди. Бунинг ўрнига ҳар бир гуруҳ талабларини мустақил ранжлаш таклиф этилади, яъни ягона шкала ўрнида таъминланадиган хавфсизлик даражасини характерлайдиган кўплаб шахсий шкала-мезонлардан фойдаланилади. Бундай ёндашишлар ахборот технологиялари - маҳсулотни ишлаб чиқарувчилар ва фойдаланувчиларига қабул қилса бўладиган ечимни танлаш ва ҳар бир аниқ ахборот технологиялари, унинг ишлатилиш муҳити учун зарур ва етарли талаблар тўпламини аниқлашга имкон беради.
1990 йилда стандартлаштириш бўйича ISО доирасида ҳамда АҚШ, Канада, Буюк Британия, Франция, Германия ва Голландия давлатлари ташкилотлари ҳамкорлигида ахборот технологиялари хавфсизлигини баҳолаш соҳасида халқаро стандартни (“Умумий мезонлар”) яратиш бўйича ишлар бошланди. Бундай стандартни ишлаб чиқиш ўз олдига қуйидаги асосий мақсадларни қўйди:
- ахборот технологиялари хавфсизлигини баҳолаш соҳасида миллий стандартларни унификациялаш;
- ахборот технологиялари хавфсизлигини баҳолашга ишонч даражасини ошириш;
- сертификатларни ўзаро тан олиш асосида ахборот технологиялари хавфсизлигини баҳолаш ҳаражатларини камайтириш.
Янги мезонлар ахборот технологиялари жаҳон бозорида хавфсизликни стандартлаштирилган баҳолаш натижаларини ўзаро тан олинишини таъминлашга қаратилган.
“Умумий мезонлар” 1.0 версиясини ишлаб чиқиш 1996 йилнинг январида тугалланди ва ISO томонидан 1996 йилнинг апрелида маъқулланди. “Умумий мезонлар” 1.0 версияси асосида қатор экспериментал баҳолашлар ўтказилди, шунингдек, ҳужжатни кенг муҳокама қилиш ташкил этилди.
1998 йилнинг майида “Умумий мезонлар” 2.0 версияси эълон қилинди ва унинг асосида 1999 йилнинг июнида ISО/МЭК 15408 халқаро стандарти қабул қилинди.
Стандартнинг расмий матни 1999 йилнинг 1 декабрида нашр этилди. Стандарт қабул қилинишининг якунловчи босқичида унга киритилган ўзгартиришлар таркиби бўйича унга ўхшаш бўлган “Умумий мезонлар” 2.1 версияси ҳисобга олинган. Ҳозирги вақтда “Умумий мезонлар”нинг амалий қўлланилишида олинган тажрибалар асосида 3.0 версия тайёрланмоқда.
“Умумий мезонлар” “Оловранг китоб”дан фойдаланишдаги тажриба таркибини умумлаштирди, “Европа мезонлари”ни кафолатланганлик даражасини ривожлантирди, АҚШ “Федерал мезонлари” ни муҳофаза қилиш профиллари концепциясининг реал тузилмаларини рўёбга чиқарди.
“Умумий мезонлар”да функционал талаблар кенг тўплами ва хавфсизликка ишонч талаблари синфларга бўлинган, уларнинг гуруҳланиш тузилмалари ва мақсадли фойдаланиш принциплари аниқланган.
“Умумий мезонлар”нинг фарқ қилувчи асосий хусусиятлари қуйидагилар ҳисобланади:
1. Аввало, “Умумий мезонлар” бу ахборот технологиялари хавфсизлиги талаблари, баҳолашни шакллантирилган услубияти ва тизими ҳисобланади. Тизимлилик талабларни абстракт тақдим этилиши даражаси ва терминологиядан бошлаб ахборот технологиялари жиҳозларининг бутун ҳаёт цикли босқичларида хавфсизликни баҳолашда улардан фойдаланишни тугатиш билан кузатиб борилади.
2. “Умумий мезонлар” бугунги кундаги энг кўп ахборот технологиялари хавфсизлигига талаблар бирлиги орқали тавсифланади.
3. “Умумий мезонлар”да хавфсизлик талабларини функционал талабларга ва хавфсизликка ишонч талабларига аниқ ажратилиши ўтказилган. Функционал талаблар хавфсизлик сервисларига (идентификация ва аутентификация қилиш, фойдалана олишни бошқариш, аудит ва бошқалар), ишонч талаблари эса ишлаб чиқиш технологиясига, тестлашга, заифликларни таҳлил қилишга, эксплуатацион ҳужжатлаштиришга, етказиб беришга, олиб боришга, яъни ахборот технологиялари жиҳозларининг бутун ҳаёт цикли босқичларига киради.
4. “Умумий мезонлар” ахборот технологиялари маҳсулотларининг хавфсизлигида турли ишончлилик даражаларини шакллантириш учун фойдаланилиши мумкин бўлган хавфсизликка ишонч шкаласини (хавфсизликка ишонч баҳолаш даражалар) ўз ичига олади.
5. Уникал талаблар идентификаторли “синф” - “оила” –“компонент” –“элемент” иерархияси бўйича талабларни тизимлаштириш ва синфларга бўлиш, улардан фойдаланишда қулайликни таъминлайди.
6. Оилаларда ва синфларда талаблар компонентлари тўлиқлик ва қаттиқлиқ даражаси бўйича ранжланган, шунингдек, талаблар пакетларига гуруҳлаштирилган.
7. Ахборот технологиялари жиҳозларининг ҳар хил турлари учун хавфсизлик талабларини шакллантиришга ёндашишдаги ихчамлик ва уларнинг қўлланилиш шароитлари “Умумий мезонлар”да маълум стандартлаштирилган тузилмалар кўринишидаги зарур талаблар тўпламини мақсадга йўналтирилган шакллантириш имконияти таъминланади.
Ахборот хавфсизлиги соҳасида мутахассислар баҳолашларининг кўрсатишича, “Умумий мезонлар”нинг қўлланилишидаги тизимлаштириш даражаси, талабларни деталлаштириш имкониятлари ва тўлиқлиги, универсаллиги ва ихчамлиги бўйича ҳозирги вақтдаги мавжуд стандартлардан энг такомиллаштирилгани ҳисобланади.
Маълум маънода функционал стандартлар ролини “Умумий мезонлар” тавсиялари ва каталогини ҳисобга олиб шакллантириладиган муҳофаза қилиш профиллари бажаради, лекин аниқ жиҳоз ёки ахборот технологиялари жиҳози турининг хавфсизлигини таъминлаш учун зарур ҳисобланган исталган бошқа талабларни ҳам ўз ичига олиши мумкин.
Хавфсизлик мезонларини ишлаб чиқишга маъсул бўлган ISО (ISO/IEC JTC 1/SC 27/WG 3) ишчи гуруҳи “Ахборот технологиялари хавфсизлигини баҳолаш мезонлари” расмий номи билан бир қаторда тарихий бўлиб қолган “Умумий мезонлар” номидан фойдаланишни давом эттирмоқда.

    1. Телекоммуникацияда ахборот хавфсизлигини

стандартлаштириш


Ахборот хавфсизлигини таъминлашнинг турли масалаларини комплекс кўриб чиқиш заруратига кўра, SC 20 кичик тизими 1989 йилда янги SC 27 “Ахборот технологиялари - Ахборотни муҳофаза қилиш усуллари ва воситалари” қўмитаси деб ўзгартирилди. Бу вақтга келиб МОС/МЭК - ОТК-1 (ISO/IEC JTC1) “Ахборот технологиялари” Бирлаштирилган техник қўмита доирасида стандартлаштириш бўйича Халқаро ташкилот (MOC-ISO) фаолиятининг Халқаро электротехник комиссия билан ташкилий бирлаштирилиши бўлиб ўтди, унинг ишчи органи SC 27 бўлди. Қўмитанинг (ОТК-1) фаолияти хавфсиз ҳисоблаш тизимларини халқаро ва регионлараро ўзаро мослашувчанлигини, ахборот хавфсизлиги даражасини ва халқаро ҳамда миллий ахборот технологияларида маълумотларни муҳофаза қилиш самарадорлигини оширишни таъминлади.
SC 27 қўмитаси фаолиятининг расмий соҳаси қуйидаги тарзда ифодаланди - "ахборот технологияларида маълумотларни муҳофаза қилишнинг умумий усуллари ва воситаларини стандартлаштириш", айнан:

  • хавфсиз ахборот технологияларига умумий талабларни ишлаб чиқиш ва тизимлаштириш;

  • маълумотларни муҳофаза қилиш усуллари, воситалари ва механизмларини ишлаб чиқиш;

  • хавфсизлик бўйича тавсиялар ва кўрсатмаларни ишлаб чиқиш;

  • ташкилий қўллаб-қувватлаш ҳужжатлари ва стандартларини ишлаб чиқиш.

Фаолият соҳасидан қуйидагилар расмий чиқариб ташланган:

  • иловаларга муҳофаза қилиш механизмларини ўрнатиш масалалари;

  • криптографик алгоритмларни стандартлаштириш.

“Ўрнатишга” бағишланган стандартларни ишлаб чиқиш тўғридан-тўғри иловаларнинг ўзини стандартлаштириш билан банд бўлган қўмиталарга юкланган.
Масалан:

  • SC 6 “Телекоммуникациялар ва тизимлар ўртасида маълумотларни алмаштириш: ўзаро очиқ тизимлар эталон моделининг 1-4 даражалари”;

  • SC 21 “Очиқ тизимларда маълумотларни қидириш, узатиш ва бошқариш: ўзаро очиқ тизимлар эталон моделининг 5-7 даражалари”;

  • SC 2 “Банк операциялари ва процедуралари”.

Дастлабки таклифлар ва стандартларни тайёрлаш учун SC 27 қўмита таркибида маълум иш йўналишларига махсуслаштирилган учта ишчи гуруҳ ташкил этилган.
“Маълумотларни муҳофаза қилиш услубияти: талаблар ва тавсиялар” ИГ1 (ИГ - ишчи гуруҳи) қуйидаги фаолият йўналишлари бўйича маълумотларни муҳофаза қилиш усулларини стандартлаштириш масалаларига бағишланган:

  • маълумотларни муҳофаза қилиш амалий соҳаларини аниқлаш;

  • очиқ тизимларда маълумотларни муҳофаза қилиш функционал хизматларини стандартлаштириш (масалан, аутентификация қилиш, фойдалана олишни чеклаш, яхлитликни ва махфийликни таъминлаш ва ҳ.к.);

  • мос услубий хужжатларни ишлаб чиқиш.

“Муҳофаза қилиш усуллари ва механизмлари” ИГ 2 маълумотларни муҳофаза қилиш усуллари, воситаларини стандартлаштириш масалаларига бағишланган ва қуйидаги вазифаларни бажаради:

  • маълумотларни муҳофаза усуллари ва воситаларини стандартлаштириш бўйича ОТК-1 эксперт маркази ролини бажаради;

  • ИГ1 сўровлари бўйича янги фаолият йўналишлари кўриб чиқилишини қабул қилади.

“Хавфсизликни баҳолаш мезонлари” ИГ 3 хавфсиз ахборот технологияларини (ҳисоблаш тизимлари, алоқа тармоқлари ва уларнинг компонентлари ва б.) баҳолаш ва сертификатлаш бўйича халқаро стандартларни яратиш масалаларига бағишланган. Бу гуруҳнинг учта йўналишини ажратиш мумкин:

  • муҳофазаланганликни баҳолаш мезонларини ишлаб чиқиш;

  • уларнинг қўлланилиши бўйича услубий кўрсатмаларни ишлаб чиқиш;

  • мос баҳолаш, сертификатлаш ва акредитациялаш тизимларининг ишлатилиши учун зарур бўлган маъмурий жараёнларни ишлаб чиқиш.

SC 27 қўмитасининг техник ишлаши расмий рўйхатга олинган JTC1 27.01-JTC1 27.28 стандартлаштириш йўналиши бўйича режалаштирилади.
Мисол сифатида қуйидаги йўналишларни келтириш мумкин:
- JTC1 27.03 – абонентларни аутентификация қилиш (ҳақиқийликни тасдиқлаш) механизмлари. Бу йўналиш доирасида потенциал бузғунчига номаълум криптографик калит бўлган маълум махфий ўзгарувчи билан ахборот алмашинуви қатнашчилари биргаликда эга бўлишига асосланган узоқдаги абонентларнинг ҳақиқийлигига ишонч ҳосил қилиш универсал механизмларини стандартлаштириш бўйича лойиҳалар бажарилади;
- JTC1 27.04 – “Блокли шифрлаш алгоритми базасидага криптографик функциядан фойдаланадиган маълумотлар яхлитлигига ишонч ҳосил қилиш механизми”;
- TC1 27.07 – “Хабарларни қайта тиклаш имкониятига эга рақамли имзо схемаси” маълумотларнинг “имзоланган” версияларини олиш учун криптографик функцияларнинг қўлланилиш тартибини аниқлайди;
- JTC1 27.10 – “Шифрлаш алгоритмларини ишлаб чиқиш” – 1SO/IEC 9979:1991 “Криптографик алгоритмларни рўйхатга олиш процедуралари” стандарти (ИГ1 да) ишлаб чиқилган. Бу стандартга мувофиқ қандайдир криптографик алгоритмдан халқаро фойдаланиш имконияти ҳақида эълон қилишни истайдиган ҳар қандай давлат бу алгоритмни Шифрлаш Алгоритмлари Регистрида рўйхатдан ўтказиши мумкин;
- JTC1 27.16 (ИГЗ) – “Ахборот технологияларида хавфсизликни баҳолаш мезонлари” ва бошқа йўналишлар.
SC 27 ISO/IEC қўмита доирасида ўтказиладиган ахборот технологияларида маълумотларни муҳофаза қилиш соҳасида стандартлаштириш бўйича ишлар натижаларини умумий кўриб чиқиш билан қуйидаги хулосани чиқариш мумкин.
Техник жиҳатдан юқори даражада ривожланган давлатларнинг SC 27 қўмитадаги актив ишлашининг ўзи ҳозирги вақтда маълумотларни самарадор муҳофаза қилишни таъминлаш масалаларига катта эътибор берилаётганидан гувоҳлик беради. Кичик қўмита ишига жалб қилинган экспертларни профессионаллиги, тегишлиги ҳақида маълумотларни таҳлил қилишдан кўринадики, уларнинг кўпчилиги АС ва ҳисоблаш техникаси, ҳамда алоқа воситаларини ишлаб чиқарувчи йирик фирмалар (IBM, Siemens, Alkatel ва бошқалар) вакиллари ҳисобланади. Бу янада замонавий ахборот технологияларини ривожлантиришнинг энг долзарб масалалари қаторида ахборот хавфсизлигини таъминлаш муаммоси қабул қилинишини таъкидламоқда.
Бирлаштирилган OTK-ISC-27 МОС/МЭС техник қўмита билан бир қаторда ахборот хавфсизлиги соҳасида стандартлаштириш масалаларида қуйидагилар катта натижаларга эришди:

  • халқаро даражада:

- телеграфия ва телефония бўйича Халқаро маслаҳат қўмитаси Телекоммуникациялар бўйича Халқаро Телекоммуникация Иттифоқига (ХТИ) қайта номланди. У ахборот технологияларилари хавфсизлиги бўйича улардан бир қанчаси SC 27 МОС/МЭС ва алоҳида МОС - ISOда нашр этилган стандартларни ўз ичига олган кўплаб ҳужжатларни тавсиялар кўринишида ишлаб чиқди ва нашр этди;
- стандартлаштириш бўйича халқаро ташкилот - (МОС - ISO);

  • миллий даражада:

  • Европа телекоммуникация стандартлар институти (ETSI);

  • Америка миллий стандартлар институти.

Бошқа давлатларда ахборот хавфсизлиги ва уларни муҳофаза қилиш масалалари стандартлаштирилишининг ривожланишида сезиларли роль ўйнайдиган юқорида санаб ўтилган энг муҳим стандартлар 7.1 - жадвалда келтирилган.
Маълумотлар тизимларининг хавфсизлигини таъминлаш масалалари бўйича стандартларни ишлаб чиқишда қуйидаги икки асосий йўналишни ажратиш мумкин:

  • асосини катта машиналар ташкил этадиган автоматлаштирилган тизимларнинг марказлаштирилган конфигурациясини қўллаб-қувватлайдиган йўналиш;

  • асосини турли тузилмалардаги алоқа тармоқлари ётадиган очиқ маълумот тизимларининг тақсимланган ташкил этилишини қўллаб-қувватлайдиган йўналиш.

Бу йўналиш сўнгги йилларда тақсимланган тармоқ тизимларининг ривожланиши ва кенг жорий этилишига, натижада ахборот хавфсизлигига янги таҳдидларнинг пайдо бўлишига кўра, ахборот хавфсизлигини таъминлашга янги ёндашувларни, янги механизмларни, хавфсизлик сиёсатини ишлатилиши бўйича янги функцияларни ва ахборот технологиялари хавфсизлигини баҳолашнинг янги мезонларини талаб қилади.
Иккинчи йўналиш асосида ётадиган ҳужжатларга (Тавсияларга) таянадиган ва улардан тармоқ технологияларига асосланган маълумот тизимлари ахборот хавфсизлигини таъминлаш кўп сонли миллий концепциялар келиб чиқадиган ҳужжатлар қуйидагилар ҳисобланади:
- ISO 7498-2 стандарти ва унга боғлиқ “Очиқ тизимларнинг ўзаро алоқасинг хавфсизлик архитектураси”га бағишланган Х.800 туркумдаги ХТИ Тавсиялари;
- “Ахборот технологиялари хавфсизлигини баҳолаш мезонлари” ISO стандарти (ISO 15408: 1999).
7.1 - жадвал.
Хавфсизлик бўйича стандартлар ва тавсиялар




Рақами

Стандарт тури

ISO-Стандартлаштириш бўйича халқаро ташкилот



ISO 7498-2:2011

Ахборот технологияси. Очиқ тизимларнинг ўзаро боғлиқлигини асосий эталон модели. 2-қисм. Хавфсизлик архитектураси.

ISO 9594-8:2014

Очиқ тизимларнинг ўзаро боғлиқлигини ахборот технологияси. Директория. 8-қисм. Очиқ калит ва атрибутлар сетрификатини тузилиши.

ISO 11568-1:2005

Банк ишлари. Менежмент калити (чакана савдо) 1-қисм. More details принциплари.

ISO 11568-4:2007

Банк ишлари. Менежмент калити (чакана савдо) 4-қисм. Криптотизимларда асимметрик шифрлаш. More details менежмент калити ва хаётий даври.

ISO 11568-2:2012

Молия хизматлари. Менежмент калити (чакана савдо) 2-қисм. Симметрик шифрлаш, менежмент калити ва хаётий даври.

JTC1- ISO/IES 1-қўшма техник қўмита

JTC1 SC21

Очиқ тизимларнинг боғланиши. 2-қисм: Муҳофаза қилиш архитектураси.

10181

Очиқ тизимларда муҳофаза қилиш доиралари.

JTC1 SC27

Муҳофаза қилиш техникаси.

9594

Маълумотлар базасидан олисдан фойдалана олиш.

11766

Технологияни ахборот муҳофаза қилиш учун кўрсатмали бошқариш принциплари

7.1 – жадвал давоми



Халқаро электр алоқа иттифоқи телекоммуникацион қўмитаси
(ХЭАИ-Т). (Эски номи ТТХМҚ - Телеграфия ва телефония бўйича Халқаро маслаҳат қўмитаси.

Х.400

Электрон почтада сақлаш ва жўнатиш стандарти.

Х.402

Хабарларни қайта ишлаш тизими. Умумий тузилма.

Х.509

Аутентификация қилиш тузилмаси.

Х.740

Хавфсизликни текшириш учун маълумотларни рўйхатга олиш функцияси.

Х.741

Ўзаро очиқ тизимларнинг эталон модели тизимини бошқариш, 9-қисм: Фойдалана олишни назорат қилиш учун объектлар ва атрибутлар.

Х.800

Телеграфия ва телефония бўйича Халқаро маслаҳат қўмитасида қўлланилиши учун очиқ тизимларнинг ўзаро таъсирлашиш хавфсизлиги архитектураси.

Х.802

Ўзаро очиқ тизимларнинг эталон модели ўзаро очиқ тизимларнинг эталон модели хавфсизлиги пастки даражали модели

Х.803

Ўзаро очиқ тизимларнинг эталон модели ўзаро очиқ тизимларнинг эталон модели хавфсизлиги юқори даражали модели

Х.810

Очиқ тизимлар учун хавфсизлик архитектураси

Х.812

Очиқ тизимлар учун хавфсизлик архитектураси. Фойдалана олишни назорат қилиш.

Х.813

Очиқ тизимлар учун хавфсизлик архитектураси. Хизмат кўрсатишни рад этмаслик.

7.1 – жадвал давоми






Х.814

Очиқ тизимлар учун хавфсизлик архитектураси. Махфийликни таъминлаш.

Х.815

Хавфсизликни бузилишига уринишлар ҳақида билдириш ва хавфсизлик аудити асослари.




М.30

Телекоммуникация тармоғининг хавфсизлигини таъминлашни бошқариш (M30.sec тавсиялар лойиҳаси).

Download 169,5 Kb.

Do'stlaringiz bilan baham:
1   2   3




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish