İNFORMASİYA   TƏHLÜKƏSİZLİYİ

 
İNFORMASİYA   TƏHLÜKƏSİZLİYİ 
 
 
 
________________________ 36 ____________________________ 
 
həyata  keçirmək.  Bununla  yanaşı  sistemə  daxil  ola  biləcək 
kompüter virusları ilə mübarizə aparılmasını yerinə yetirmək. 
6.Müdafiə sistemi resurslarının tamlığına nail olmaq üçün 
onları dəstəkləməklə yanaşı onlara nəzarəti həyata keçirmək. 
Avtomatlaşdırılmış  informasiya  sistemlərində  (AİS)  daxili 
və  xarici  təhlükəsizliyi  fərqləndirmək  lazımdır. 
Xarici 
təhlükəsizlik  sistemə  təsir  edə  biləcək  fəlakətlərlə  (yanğın, 
zəlzələ  və  s.)  və  sistemə  kənardan  daxil  olan  bədniyyətlilərin 
əməlləri  ilə  bağlıdır. 
Daxili  təhlükəsizlik  sistemin  qanuni 
istifadəçiləri  və  xidmətedici  personalın  fəaliyyətində  etibarlı  və 
əlverişli mexanizmlərin tətbiqi ilə əlaqədardır. 
 
TƏHLÜKƏSİZLİK HƏDƏLƏRİNƏ QARŞI TƏDBİRLƏR 
 
Kompüter  təhlikəsizliyinin  təmin  olunmasına  görə  yerinə 
yetirilən  tədbirlər  aşağıdakı  kimi  bölünür:  qanunvericiliyə 
(hüquqi)  uyğun,  inzibati  (təşkilatı),  proqram-texniki  və 
prosedur. 
Qanunvericiliyə  uyğun  müdafiə  tədbirlərinə  aiddir: 
fəaliyyət  göstərən  normativ-hüquqi  aktlar,  informasiya  ilə 
rəftarın  qaydaya  (reqlamentə)  salınması,  informasiyanın  təhlil 
və  istifadə  edilməsi  üçün  təhkim  olunmuş  iştirakçıların 
hüquqlarının  qorunması  və  göstərilən  tədbirlərin  yerinə 
yetirilməsinə  maneçilik  edənlərin  və  qoyulmuş  qaydaların 
(əsasəndə beynəlxalq) pozulmasına cəhd edənlərin məsuliyyətə 
cəlb  edilməsi.  Bu  standartların  içərisində  ən  çox  seçiləni 
“Narıncı  kitab”dır.  Bununla  yanaşı  X.800  və  “Common  Criteria 
for  IT  Security  Evaluation”  (İnformasiya  texnologiyaları 
təhlükəsizliyinin  qiymətləndirilməsinin  ümumi  kriteriləri) 
satandartlarından da istifadə olunur. 

 
İNFORMASİYA   TƏHLÜKƏSİZLİYİ 
 
 
 
________________________ 37 ____________________________ 
 
“
Narıncı  kitab”  ən  böyük  baza  standartıdır.  Standartda 
əsas  anlayışlar,  təhlükəsizlik  servisi,  informasiya  sistemlərinin 
təsnifat  üsulları  və  informasiya  sistemlərinə  təhlükəsizlik 
baxımından tələblər irəli sürülür. 
X.800  təqdimatı  əsasən  şəbəkə  konfiqurasiyasının 
müdafiə  edilməsi  suallarını  özündə  əks  etdirir.  Standart 
təhlükəsizliyin  servislər  toplusunun  və  istifadə  mexanizminin 
inkişafı mərhələlərini təqdim edir. 
“
İnformasiya 
texnologiyalarının 
təhlükəsizliyinin 
qiymətləndirilməsinin ümumi kriteriləri” özündə 11 sinif, 66 ailə 
və 135 funksional təşkiledicini birləşdirir.  
Siniflər aşağıdakı adları əks etdirirlər: 
Birinci  qrup  təhlükəsizliyin  elementar  servisini  müəyyən 
edir: 
1.FAU  –  audit,  təhlükəsizlik  (servisə  edilən  tələblər, 
protokollaşdırma və audit); 
2.FIA – identifikasiya və autentifikasiya; 
3.FRU – resurslardan istifadə (imtinaya etibarlılığın təmin 
olunması); 
İkinci  qrup  elementar  bazaya  əsaslanaraq  servisin 
törəməsini müəyyən edir: 
4.FCO – rabitə (göndərənin-qəbul edənin kommunikasiya 
təhlükəsizliyi); 
5.FPR – qeyri-məcburi; 
6.FDR – istifadəçiyə aid verilənlərin mühafizəsi; 
7.FPT  –  qiymətləndirmə  obyektinin  təhlükəsizlik 
funksiyasının mühafizəsi; 
Üçüncü  qrup  qiymətləndirmə  obyektinin  infrastrukturunu 
müəyyən edir: 
8.FCS  –  kriptoqrafik  dəstək  (kriptoaçarların  və  kripto-
əməliyyatların idarə edilməsinə xidmət edir); 

 
İNFORMASİYA   TƏHLÜKƏSİZLİYİ 
 
 
 
________________________ 38 ____________________________ 
 
9.FMT – təhlükəsizliyi idarə edir; 
10.FTA  -  qiymətləndirmə  obyektinə  daxil  ola  bilir 
(istifadəçinin iş seansını idarə edir); 
11.FTP – etibarlı marşrut/kanal; 
Bunlardan 
başqa 
“İnformasiya 
texnologiyalarının 
təhlükəsizliyinin qiymətləndirilməsinin ümumi kriteriləri” özündə 
müasir  texnologiyalardan  istifadə  etməklə  hansı  formada 
təhlükəsizliyin  əldə  olunması  haqqında  məlumatı  əks  etdirir. 
Bununla  yanaşı  “Ümumi  kriterilər”  müdafiə  sistemini 
sertifikatlaşdırmağa da imkan verir. 
2006-cı  ilin  payızında  Rusiyada  milli  standart  qəbul 
olundu,  standart  beynəlxalq  ISO  17799  standartını 
dəstəkləyirdi. 
İnzibatı  müdafiə  tədbirləri  dedikdə  AİS-nin  müəyyən 
funksiyanı  yerinə  yetirmə  proseslərinin  reqlamentə  uyğun 
qurulması,  personalın  fəaliyyəti,  istifadəçinin  sistemlə  qarşılıqlı 
əlaqəsinin  yaradılması,  əhəmiyyətli  dərəcədə  təhlükəsizlik 
hədələrinin realizasiyasınin ləğvi başa düşülür.  
İnzibati müdafiə tədbirlərinə aşağıdakılar aiddir: 
1.Sistem personalının hazırlığı və seçilməsi; 
2.Buraxılış rejiminin və mühafizənin təşkili; 
3.İnformasiya daşıyıcılarından istifadə edilməsi və lazımsız 
sənədlərin  ləğv  olunması,  onların  saxlanılması,  hesaba 
alınmasının təşkili; 
4.Daxilolmanı aradan  götürməklə rekvizitlərin paylanması 
(parolun, şifrli açarın və s.); 
Müdafiənin  həyata  keçirilməsində  əsas  rolu  inzibati 
tədbirlər  oynayır,  bura  informasiya  təhlükəsizliyi  sahəsində 
görülən  işlərin  proqramlarının  formalaşdırılması  və  bu  işlərin 
yerinə  yetirilməsinin  təmin  edilməsidir.  Formalaşdırılmış 
proqramların əsasını təhlükəsizliyin təmin olunma siyasəti təşkil 

 
İNFORMASİYA   TƏHLÜKƏSİZLİYİ 
 
 
 
________________________ 39 ____________________________ 
 
edir.  Siyasətə  idarəetmə  prinsiplərinin  toplumu,  qanunlar, 
təhlükəsizlik  sahəsində  həyata  keçirilən  praktiki  tədbirlərin 
prosedurları  və  s.  daxildir.  Bunları  rəhbər  tutmaqla  təşkilat  öz 
fəaliyyətini tutarlı səviyyədə yerinə yetirir.  
Təhlükəsizlik 
siyasəti 
özündə 
aşağıdakıları 
müəyyənləşdirir: 

 
Hansı  verilənləri  və  onları  hansı  dərəcədə  müdafiə 
etmək; 

 
İnformasiya  aspektində  təşkilata  kim  və  necə  ziyan 
vurur; 

 
Hansı 
həddə 
kimi 
təhlükəsizliyin 
azaldılması 
mümkündür; 

 
Təhlükəsizliyin  azaldılmasında  hansı  üsullardan  istifadə 
olunur və azaldılma riski nə qədərdir. 
Praktiki  baxımdan  təhlükəsizliyi  üç  səviyyədə  həyata 
keçirmək mümkündür: 

 
Yuxarı; 

 
Orta; 

 
Aşağı. 
Yuxarı  səviyyəyə  rəhbərlik  tərəfindən  ümumi  xarakterli 
qəraralar aiddir.  
Orta  səviyyəyə  təşkilatda  istifadə  edilən  (ekspluatasiya 
edilən) müxtəlif sistemlərin informasiya təhlükəsizliyinə aid olan 
suallar aiddir. 
Aşağı  səviyyəyə  konkret  servislər  və  onların  detalları 
(hissələri) aiddir. Bir çox hallarda aşağı səviyyədə təhlükəsizlik 
siyasətinə  nail  olmaq  üçün  bütün  servislər  öz  səviyyərində 
realizə edilirlər. 
Prosedur  səviyyəsində  həyata  keçirilən  tədbirlər 
avtomatlaşdırılmış informasiya sistemlərinin işlədiyi bütün dövr 
ərzində  yerinə  yetirilən  ayrı-ayrı  tədbirlər  məcmusu  kimi