Axborot xavfsizligi bo‘yicha standartlar va spetsiflkatsiyalar

Axborot xavfsizligi sohasida mutaxassislar o‘z faoliyatlarida mos standartlar va spetsifikatsiyalami chetlab o‘taolmaydilar. Bunga sabab, birinchidan standartlar va spetsiflkatsiyalar - avvalo axborot xavf-sizligining muolajaviy va dasturiy-texnik darajalari bo‘yicha bilimlarini to‘plash shakllaridan biri. Ularda malakali mutaxassislar tomonidan ish­ lab chiqilgan, tasdiqlangan yuqori sifatli yechimlar va metodologiyalar qayd etilgan. Ikkinchidan, standartlar va spetsiflkatsiyalar apparat-dasturiy tizimlar va ulaming komponentlarining o'zaro qo‘shila olish-ligini ta’minlovchi asosiy vosita hisoblanadi. (Internet-uyushmada bu vosita haqiqatan samarali ishlamoqda).

axborot tizimlarini va xavfsizlik talablari bo‘yicha himoya vosita-larini baholash va turkumlash uchun atalgan baholash standartlari;

Bu guruhlar ma’lumki, ixtilofga bormaydilar, balki bir-birini to'ldiradilar. Baholash standartlari tashkiliy va arxitekturaviy spetsifl­ katsiyalar vazifasini o‘tagan holda axborot tizimlarining xavfsizligi nuq-tai nazaridan muhim bo‘lgan tushunchalari va jihatlarini tavsiflaydi. Spetsiflkatsiyalar esa arxitektura' belgilagan axborot tizimini qanday qurish lozimligini va tashkiliy talablarni qanday qondirilishini aniqlaydi.

Xalqaro e’tirofni qozongan va axborot xavfsizligi sohasida keyingi ishlanmalarda juda kuchli ta’sir ko‘rsatgan birinchi baholash standarti

AQSH mudofaa vazirligining «To 'q sariq kitob» (muqovaning rangi bo‘yicha) deb ataluvchi «Ishonchli kompyuter tizimlarini baholash mezonlari» (Department of Defeuse Trusted Computer System Evalia-tion Criteria, TCSEC) standarti boMdi. MuboIag‘asiz tasdiqlash mum-kinki, «To‘q sariq kitob»i axborot xavfsizligining tushunchaiar negizini

Taqsimlangan axborot fizimlarini obyektga moMjallangan tarzda kommunikatsiyalarni kriptografik himoyalash bilan birgalikda dekom-pozitsiyalashning nazariy asosini - murojaatlar monitorini fragment-lashning korrektligi shartining yetarliligini aytib oMish lozim.

Baholash standartlaridan yana biri «Yevropa mamlakatlarining uyg'unlashtirilgan mezonlari»da axborot tizimi ishlashi lozim boMgan sharoitlarga aprior shartlar yo‘q. Faraz qilinadiki, avval baholash maqsadi ifodalanadi, so'ngra sertifikatsiyalash organi bu maqsadga qanchalik toMiq erishilishini, ya’ni muayyan vaziyatda xavfsizlikning arxitekturasi va amalga oshirilishi mexanizmlarining qanchalik korrekt-ligini va samaraliligini aniqlaydi. Baholash maqsadini ifodalashni yen-gillashtirish niyatida standartda hukumat va tijorat tizimlariga xos funk-sionallikning o‘nta taxminiy sinflari tavsiflangan.

Ushbu standartda axborot texnologiyalar tizimlari va mahsulotlari o'rtasidagi farq ta’kidlanadi, ammo talablarini unifikatsiyalash niyatida yagona - baholash obyekti tushunchasi kiritiladi. Standartda xavfsizlik funksiyalari (servislari) va ularni amalga oshiruvchi mexanizmlar ora­ sida farqning ko‘rsatilishi hamda kafolatlanishning ikki jihati - xavf­ sizlik vositalarining samaradorligi va korrektligining ajratilishi muhim hisoblanadi. Baholash standartlari guruhiga axborot xavfsizligining muayyan, ammo muhim va murakkab jihatini reglamentlovchi AQSH-ning «Kriptografik modullar uchun xavfsizlik talablari» Federal stan-

Texnik spetsifikatsiyalar orasida birinchi o‘ringa, so'zsiz, X800 «Ochiq tizimlar o‘zaro harakati uchun xavfsizlik arxitekturasi» hujjatini qo‘yish lozim. Bu hujjatda xavfsizlikning eng muhim tarmoq servislari

ajratilgan: autentifikatsiya, foydalanishni boshqarish, ma’lumotlarni

konfidensialligi va yoki yaxlitligini ta’minlash hamda qilingan harakat-dan tonishning mumkin emasligi. Servislarni amalga oshirish uchun xavfsizlikning quyidagi tarmoq mexanizmlari va ulaming kombinatsiya-lari ko'zda tutilgan: shifrlash, elektron raqamli imzo, foydalanishni boshqarish, ma’lumotlar yaxlitligining nazorati. autentifikatsiya, trafik-ni to'ldirish, marshrutlashni boshqarish, notarizatsiya. Xavfsizlikning servislari va mexanizmlari amalga oshiriluvchi yetti sathli etalon mod-elining sathlari tanlangan. Nihoyat, taqsimlangan konfiguratsiyalar uchun xavfsizlik vositalarining ma’murlash masalalari batafsil ko‘rib chiqilgan.

Internet - uyushmaning RFS 1510 «Autentifikatsiyaning tarmoq serveri Kerberos (VS)» spetsifikatsiyasi xususiy, ammo muhim va dol-zarb muammoga - turli taqsimlangan muhitda tarmoqqa yagona kirish konsepsiyasini madadlagan holda autentifikatsiyalashga tegishli.

Kerberos autentifikatsiyalash serveri ishonchli uchinchi taraf boMib, xizmat ko‘rsatiluvchi subyektlaming mahfiy kalitlariga ega va uiarga haqiqiylikning juftlashib tekshirishda yordam beradi. Kerberosning mi-joz komponentlarining aksariyat zamonaviy operatsion tizimlarda mavjudligi uning qanchalik muhim ekanligidan dalolat beradi.

IPsec texnik spetsifikatsiyasi tarmoq sathida konfidensiallik va yax-litlik vositalarining to'liq to'plamini tavsiflangan holda, mubolag‘asiz fundamental ahamiyatga ega. IPsec asosida yuqoriroq sath (tatbiqiy sathga qadar) protokollarini himoyalash mexanizmi hamda xavf­ sizlikning tugallangan vositalari, xususan virtual xususiy tarmoqlar quri-ladi. Albatta, IPsec kriptografik mexanizmlariga va kalit infratuzilma-lariga tayanadi.

Transport sathi xavfsizligi va signallari (Transport Layer Security, TLS) ham shunday xarakterlanadi. TLS spetsifikatsiyasi turli vazifalami bajaruvchi ko‘pgina dasturiy mahsulotlarda ishlatiluvchi ommaviy Se­ cure Socket Layer (SSL) protokolini rivojlantiradi va oydinlashtiradi.

Ma’lumki, axborot xavfsizligini ta’minlash kompleks muammo boMib, qonuniy, ma’muriy, muolajaviy va dasturiy-texnik sathlarda cho-ralami kelishilgan holda ko‘rishni talab etadi.

Ma’muriy sathning bazaviy hujjati tashkilot xavfsizligi siyosatini ishlab chiqishda va amalga oshirishda Internet - uyushmaning «Tash­ kilot axborot xavfsizligi bo‘yicha qo‘llanma»si (Site Security Hand­ book) na’munali ko‘makchi vazifasini o‘tashi mumkin. Unda xavfsizlik siyosati muolajalarini shakllantirilishining amaliy jihatlari yoritiladi, ma’muriy va muolajaviy sathlarning asosiy tushunchalari izohlanadi, tavsiya etuvchi harakatlaming sabablari ko‘rsatilgan, xavf-xatarlar tahlili, axborot xavfsizligining buzilishiga munosabat va buzilish barta-raf etilganidan keyingi harakat mavzulariga to‘xtab o‘tilgan.

«Axborot himoyasi buzilishiga qanday munosabat bildirish lozim» (Expections for Computer Security Incident Response) tavsiyasida yu-qorida keltirilgan masalalardan tashqari foydali axborot resurslariga havolalarni hamda muolajaviy darajadagi amaliy maslahatlami topish mumkin.

Korporativ axborot tizimini rivojlantirishda va qayta tuzishda «.Inlernet-xizmat bilan ta ’minlovchini qanday tanlash lozim» (Site Secu­ rity Handbook Addendum for ISPs) tavsiyasi so‘zsiz foydalidir. Birinchi galda uning qoidalariga tashkiliy va arxitekturaviy himoyalashni shakllantirish jarayonida rioya qilish lozim.

Britaniya standarti BS 7799 «Axborot xavfsizligini boshqarish. Amaliy qoidalar» (Code of practice for information security manag-ment) axborot xavfsizligiga javobgar tashkilot rahbarlari uchun foydali hisoblanadi. Bu standart jiddiy o'zgartirishsiz ISO/IES 17799 xalqaro standartga ko'chirilgan.

Bu borada mustaqil diyorimiz O‘zbekiston Respublikasida ahami-yatga molik boMgan ulkan ishlar olib borilmoqda. Bunga misol tariqasida 0 ‘zbekiston aloqa va axborotlashtirish agentligining ilmiy-texnik va marketing tadqiqotlari markazi tomonidan ishlab chiqilgan Olz DSt 1092:2005 «Axborot texnologiyasi. Ma’lumotlarni kriptografik muhofazasi. Elektron raqamli imzoni shakllantirish va tekshirish

Bundan tashqari, yurtimizda axborot xavfsizligi sohasida faoliyat yuritayotgan 0 ‘zbekiston aloqa va axborotlashtirish agentligi qoshidagi «UZINFOCOM», «UZ-CERT» va boshqa tashkilotlarni aytib o‘tish lozim.