|
Axborot xavfsizligi tizimini qurish bosqichlari. Axborot xavf sizligi tizimini qurish bosqichlari quyidagi standartlashtirilgan ketma-ketlik amalga oshiriladi: xavfsizlik auditi; xavf-xatarlami tahlillash, tizimni Ioyihalash, joriy etish, attestatsiyalash va kuzatish (12.9-rasm).
12.9-rasm. Axborot xavfsizligi tizimini qurish bosqichlari.
Xavfsizlik auditi. Hozirda «xavfsizlik auditi» tushunchasi yetarlicha keng talqin etiladi. Auditning quyidagi ko'rinishlari farqlanadi.
axborot xavfsizligini testli buzish;
ekspress-tekshirish;
tizimni attestatsiyalash;
loyihagacha tekshirish.
Axborot xavfsizligi testli buzish korporativ axborot tizimining hi-moyalanish darajasini aniqlash nuqtai nazaridan samarali hisoblan-maydi. «Bu-zuvchi»ning asosiy maqsadi bir ikki zaifliklami topib, ulami tizimdan foydalanishda ishlatish. Agar «testli buzish» muvaffaqi-yatli chiqsa, ushbu muayyan «buzish»ning mumkin boMgan ssenariysi rivojini oldini olib, zaifliklami qidirishda davom etish kerak. «Testli
buzish»ning muvaffaqiyatsizligini babbaravar testlanuvchi tizimning himoyalanganligi va testlarning yetishmasligi kabi talqin qilish mumkin.
Ekspress-tekshirish doirasida, odatda, ko'p vaqt sarfini talab et-maydigan, standartizatsiyalangan tekshirishlar asosida koфorativ ax borot tizimi xavfsizlik vositalarining umumiy holati baholanadi. Ek spress-tekshirish, odatda, axborot resurslarining minimal himoyalanish darajasini ta’min-lovchi ustuvor yo‘nalishlami aniqlash zaruriyati tug* Uganda o ‘tkaziladi.
Tizimni attestatsiyalash tizimning axborot resurslarining himoya lanish talablariga mosligini tekshirish maqsadida amalga oshirilida. Bunda ham tashkiliy, ham texnik jihatdan talablar to‘plami rasmiy tek-shiriladi, xavfsizlik vositalarining amalga oshirilishining to‘liqligi va yetarliligi ko‘riladi.
Loyihagacha tekshirish auditning eng ko‘p mehnat talab qiladigan varianti hisoblanadi. Bunday audit axborot resurslari ilovalarida korxona tashkiliy tuzilmasini va xodimlaming u yoki bu ilovalardan foydalanish qoidalarini tahlil etishni ko‘zda tutadi. So‘ngra ilovalarning o‘zi tahlilla-nadi. Undan keyin bir sathdan ikkinchi sathning foydalanishdagi muay yan xizmatlar hamda axborot almashishga zarur bo‘lgan xizmatlar tahlil-lanishi lozim. So‘ngra xavfsizlikning o‘matilgan vositalarini tahlillash bilan tasavvur toMdiriladi.
Xavf-xatarlami tahlillash 12.4-bo‘limda batafsil ko‘rilgan. Axborot xavfsizligi buzilganda loyihagacha tekshirish, xavf-xatarlami tahlillash bilan birgalikda axborot tizimidagi mavjud xavf-xatarlami rutbalashga va adekvat choralami ishlab chiqishga imkon beradi.
Tizimni loyihalash. Himoyani tashkil etish strategiyasi nuqtai nazaridan resursli va servisli yondashish farqlanadi. Resursli yondash-ishda tizim resurslar to'plami sifatida ko‘riladi va axborot xavfsizligi tizimining komponentlari bu resurslarga bog‘lanadi. Resursli yondashish amalga oshirilganida axborotni himoyalash masalasi xizmatlar tuzilma-siga qo'shimcha cheklashlarsiz yechiladi. Bu esa bir jinsli boMmagan tizim sharoitida mumkin emas. Servisli yondashishda tizim foydalanu-vchilarga taqdim etiluvchi xizmatlar to‘plami kabi talqin qilinadi. Hozirgi vaqtda servisli yondashish afzalroq hisoblanadi, chunki u
tizimda amalga oshirilgan xizmatlarga bogManadi va «ortiqcha» xizmat-larni rad etish hisobiga qator tahdidlarni istisno qilinishiga imkon beradi. Bu esa tizimni yanada mantiqan asoslangan tizimga aylantiradi. Aynan servis yondashish xavfsizlikning zamonaviy standartlari, xususan, ISOAEC 15408 asosida yotadi.
Axborot xavfsizligi tizimni qurishning ikkita asosiy ssenariysi mavjud: mahsulotli va loyihali. Mahsulotli ssenariy (yondashish) doira-sida awal himoya vositalari to'plami tanlanadi, ularning funksiyalari tahlillanadi, so‘ngra funksiyalar tahlili asosida axborot resurslaridan foydalanish siyosati belgilanadi.
Loyihaga xarajatlar nuqtai nazaridan mahsulotli ssenariy eng arzon hisoblanadi. Undan tashqari, yechimlaming tanqisligi sharoitida ko'pincha mahsulotli yondashish yagona hisoblanadi (masalan, kripto grafik himoyada faqat shu yondashish qoMlaniladi).
Loyihali ssenariyda awal xavfsizlik siyosati ishlab chiqiladi, uning asosida xavfsizlik siyosatini amalga oshirishda zarur boMgan funksiyalar aniqlanadi, so‘ngra bu funksiyalar bajarilishini ta’minlovchi himoya vositalari tanlanadi.
Loyihali ssenariy asosida qurilgan tizimlar yaxshjroq optimizatsiya-langan va attestatsiyaning yuqori natijalarini beradi. Ushbu yondashish mahsulotli yondashishdan farqli ravishda boshidan u yoki bu platforma bilan bogManmaganligi tufayli, katta geterogen tizimlarni qurishda afzal hisoblanadi. Undan tashqari, uzoq muddatga moMjallangan yechimlami ta’minlaydi. chunki xavfsizlik siyosatini o‘zgartirmasdan yechimlami va himoya vositalarini almashtirishga imkon beradi.
Axborot xavfsizligi tizimi arxitekturasini tanlash nuqtai nazaridan obyektli, tatbiqiy yoki aralash yondashishdan foydalaniladi. Obyektli yondashish axborot xavfsizligini u yoki bu obyekt (boMinma, filial, tasnkiiot) tuzilmasi asosida yaratadi. Obyektli yondashishning qoMlanishi tashkiliy choralaming bir jinsli to'plamini madadlovchi xavf sizlik mexanizmlari uchun universal yechimlar to‘plamidan foydalan-ishni ko'zda tutadi. Bunday yondashishga misol tariqasida tashqi ax borot almashish, lokal tarmoq, telekommunikatsiya tizimlarining va h. himoyalangan infratuzilmalarini qu- rishni ko‘rsatish mumkin. Obyektli
yondashishning kamchiligi uning universal mexanizmlarining, ayniqsa, o‘zaro murakkab bog'lanishli katta sonli ilovalarga ega bo'lgan tash-kilotlar uchun tugal emasligi.
Tatbiqiy yondashish xavfsizlik mexanizmini muayyan ilovaga bog'lab yaratadi. Tatbiqiy yondashishga misol tariqasida avtomatlashti-rishning alohida masalasi (buxgalteriya, kadrlar va h.) uchun qism tizim-larning himoyasini ko'rsatish mumkin. Ushbu yondashishning kam chiligi - ma’murlash va ishlatish xarajatlarini minimallashtirish maqjsadida xavfsizlikning turli vositalarini uyg'unlashtirish zaruriyati.
Aralash yondashish yuqorida tavsiflangan ikkita yondashishni kombinatsiyalashni ko'zda tutadi. Bunday yondashish loyihalash bosqichida ko'proq mehnat talab qilsada, axborot xavfsizligi tizimini joriy etish va ishlatish narxi bo'yicha afzalliklarni berishi mumkin.
Do'stlaringiz bilan baham: |
