İNFORMASİYA TƏHLÜKƏSİZLİYİ
________________________ 37 ____________________________
“
Narıncı kitab” ən böyük baza standartıdır. Standartda
əsas anlayışlar, təhlükəsizlik servisi, informasiya sistemlərinin
təsnifat üsulları və informasiya sistemlərinə təhlükəsizlik
baxımından tələblər irəli sürülür.
X.800 təqdimatı əsasən şəbəkə konfiqurasiyasının
müdafiə edilməsi suallarını özündə əks etdirir. Standart
təhlükəsizliyin servislər toplusunun və istifadə mexanizminin
inkişafı mərhələlərini təqdim edir.
“
İnformasiya
texnologiyalarının
təhlükəsizliyinin
qiymətləndirilməsinin ümumi kriteriləri” özündə 11 sinif, 66 ailə
və 135 funksional təşkiledicini birləşdirir.
Siniflər aşağıdakı adları əks etdirirlər:
Birinci qrup təhlükəsizliyin elementar servisini müəyyən
edir:
1.FAU – audit, təhlükəsizlik (servisə edilən tələblər,
protokollaşdırma və audit);
2.FIA – identifikasiya və autentifikasiya;
3.FRU – resurslardan istifadə (imtinaya etibarlılığın təmin
olunması);
İkinci qrup elementar bazaya əsaslanaraq servisin
törəməsini müəyyən edir:
4.FCO – rabitə (göndərənin-qəbul edənin kommunikasiya
təhlükəsizliyi);
5.FPR – qeyri-məcburi;
6.FDR – istifadəçiyə aid verilənlərin
mühafizəsi;
7.FPT – qiymətləndirmə obyektinin təhlükəsizlik
funksiyasının mühafizəsi;
Üçüncü qrup qiymətləndirmə obyektinin infrastrukturunu
müəyyən edir:
8.FCS – kriptoqrafik dəstək (kriptoaçarların və kripto-
əməliyyatların idarə edilməsinə xidmət edir);
İNFORMASİYA TƏHLÜKƏSİZLİYİ
________________________ 38 ____________________________
9.FMT – təhlükəsizliyi
idarə edir;
10.FTA - qiymətləndirmə obyektinə daxil ola bilir
(istifadəçinin iş seansını idarə edir);
11.FTP – etibarlı marşrut/kanal;
Bunlardan
başqa
“İnformasiya
texnologiyalarının
təhlükəsizliyinin qiymətləndirilməsinin ümumi kriteriləri” özündə
müasir texnologiyalardan istifadə etməklə hansı formada
təhlükəsizliyin əldə olunması haqqında məlumatı əks etdirir.
Bununla yanaşı “Ümumi kriterilər” müdafiə sistemini
sertifikatlaşdırmağa da imkan verir.
2006-cı ilin payızında Rusiyada milli standart qəbul
olundu, standart beynəlxalq ISO 17799 standartını
dəstəkləyirdi.
İnzibatı müdafiə tədbirləri dedikdə AİS-nin müəyyən
funksiyanı yerinə yetirmə proseslərinin reqlamentə uyğun
qurulması, personalın fəaliyyəti, istifadəçinin sistemlə qarşılıqlı
əlaqəsinin yaradılması, əhəmiyyətli dərəcədə təhlükəsizlik
hədələrinin realizasiyasınin ləğvi başa düşülür.
İnzibati müdafiə tədbirlərinə aşağıdakılar aiddir:
1.Sistem personalının hazırlığı və seçilməsi;
2.Buraxılış rejiminin və mühafizənin təşkili;
3.İnformasiya daşıyıcılarından istifadə edilməsi və lazımsız
sənədlərin ləğv olunması, onların saxlanılması, hesaba
alınmasının təşkili;
4.Daxilolmanı aradan götürməklə rekvizitlərin paylanması
(parolun, şifrli açarın və s.);
Müdafiənin həyata keçirilməsində əsas rolu inzibati
tədbirlər oynayır, bura informasiya təhlükəsizliyi sahəsində
görülən işlərin proqramlarının formalaşdırılması və bu işlərin
yerinə yetirilməsinin təmin edilməsidir. Formalaşdırılmış
proqramların əsasını təhlükəsizliyin təmin olunma siyasəti təşkil