85
İnformasiya mənbələri
Məxfi informasiyanın qeyri – qanuni əldə etmə üsulları
İnformasiyanın müdafiəsi üsulları
İnformasiyanın müdafiəsi vasitələri
İnformasiya təhlükəsizliyinə təhdidlər
Təhdid – sistemə dağılma, verilənlərin üstünün açılması və ya dəyişdirilməsi, xidmətdən imtina
formasında ziyan vurulmasına səbəb ola bilən istənilən hal və hadisələrdir.
Təsir məqsədinə görə təhlükəsizliyə təhdidlərin üç əsas tipi ayırd edilir:
İnformasiyanın məxfiliyinin pozulmasına yönələn təhdidlər
İnformasiyanın tamlığının pozulmasına yönələn təhdidlər
Sistemin iş qabiliyyətinin (xidmətdən imtina) pozulmasına yönələn təhdidlər
Məxfiliyinin pozulmasına təhdidlər məxfi və ya gizli informasiyanın üstünün açılmasına yönəlib.
Belə təhdədlərin reallaşması halında informasiya ona ijazəsi olmayan şəxslərə məlum olur.
Kompüter sistemində saxlanan və ya rabitə kanalı ilə ötürülən informasiyanın tamlığının
pozulmasına təhdidlər onun dəyişdirilməsinə və ya təhrifinə yönəlib ki, bunlar da onun keyfiyyətinin
pozulmasına və tam məhvinə səbəb ola bilər. İnformasiyanın tamlığı bədniyyətli tərəfindən qəsdən və ya
sistemi əhatə edən mühit tərəfindən obyektiv təsirlər nətijəsində pozula bilər. Bu təhdid informasiyanın
ötürülməsi sistemləri – kompüter şəbəkələri və telekommunikasiya sistemləri üçün xüsusilə aktualdır.
İş qabiliyyətinin (xidmətdən imtina) pozulması təhdidləri elə situasiyaların yaranmasına yönəlib ki,
bu zaman müəyyən qəsdli hərəkətlər ya sistemin iş qabiliyyətini aşağı salır, ya da sistemin müəyyən
resurslarına girişi bağlayır.
Bundan savayı təhdidlər digər əlamətlərinə görə də təsnif oluna bilərlər:
Vurulmuş ziyanın kəmiyyətinə görə (müflis, əhəmiyyətli, jüzi)
Baş vermə ehtimalına görə (çox ehtimallı, ehtimallı, az ehtimallı)
Meydana çıxma səbəblərinə görə (təbii fəlakətlər, qəsdli hərəkətlər)
Vurulmuş ziyanın xarakterinə görə (maddi, mənəvi)
Təsir xarakterinə görə (aktiv, passiv)
Obyektə münasibətinə görə (daxili, xariji)
Daxili və xariji təhdidlərin nisbətini təqribi olaraq belə xarakterizə etmək olar:
Təhdidlərin 80 %-i təşkilatın öz işçiləri tərəfindən və ya onların bilavasitə və ya dolayısı yolla
iştirakı ilə baş verir.
Təhdidlərin 20 % - i kənardan ijra olunur.
Kompüter şəbəkələrinin uğradığı təhdidlər üzərində xüsusi dayanmaq lazımdır. İstənilən kompüter
şəbəkəsinin əsas xüsusiyyəti kompüterlərin ərazidə (fəzada) paylanmasıdır. Şəbəkənin qovşaqları
arasında əlaqə fiziki olaraq şəbəkə xətləri vasitəsilə, proqram yolu ilə, məlumatlar mexanizmi ilə həyata
keçirilir. Bu zaman şəbəkənin qovşaqları arasında göndərilən idarəediji məlumatlar və verilənlər
mübadilə paketləri şəklində ötürülür. Kompüter şəbəkələri onunla xarakterikdir ki, onlara qarşı uzaq
məsafədən hüjumlara təşəbbüslər edilir. Pozuju hüjum edilən obyektdən minlərlə kilometr məsafədə ola
bilər, bu zaman nəinki konkret kompüter, həmçinin şəbəkə kanalları ilə ötürülən informasiya hüjuma
məruz qala bilər.
İnformasiya təhlükəsizliyinin təmin olunması
İnformasiya təhlükəsizliyinin təmin olunması problemi kompleks yanaşma tələb edir. Onun həlli
üçün tədbirləri aşağıdakı səviyyələrə bölmək olar:
Qanunverijilik tədbirləri (qanunlar, normativ aktlar, standartlar və s.)
İnzibati tədbirlər
Təşkilati tədbirlər
Proqram-texniki tədbirlər
Təəsüflə qeyd etmək lazımdır ki, qanunverijilik bazası praktikanın tələblərindən geri qalır.
İnzibati səviyydə qəbul edilən tədbirlərin əsas məqsədi, informsiya təhlükəsizliyi sahəsində işlər
proqramını formalaşdırmaq və onun yerinə yetirilməsini zəruri resurslar ayırmaqla və işlərin vəziyyətinə
nəzarət etməklə yerinə yetirilməsini təmin etməkdir. İşlər proqramının əsasını təşkilatın öz informasiya
aktivlərinin müdafiəsinə yanaşmasını əks etdirən təhlükəsizlik siysiyasətidir.
İnformasiya təhlükəsizliyi siyasətinin yaradlması
86
Təhlükəsizlik siyasəti – təşkilatda məxfi verilənlərin və informasiya proseslərinin müdafiəsi üzrə
preventiv tədbirlər kompleksidir. Təhlükəsizlik siyasətinin tərkibinə şəxsi heyətin, menejerlərin və texniki
xidmətin ünvanına tələblər əks olunur. İnformasiya təhlükəsizliyi siyasətinin işlənməsinin əsas
istiqamətləri aşağıdakılardır:
Hansı verilənlərin və hansı jiddiliklə qorunması zəruri olduğunu müəyyən etmək
İnformasiya aspektində təşkilata kimin hansı ziyanı vura bilməsini müəyyən etmək
Risklərin hesablanması və onların qəbulediləjək səviyyəyə qədər azaldılması sxemini müəyyən
etmək
Təşkilatda informasiya təhlükəsizliyi sahəsində jari vəziyyəti qiymətləndirmək üçün iki sistem
mövjuddur. Onları obrazlı olaraq “yuxarıdan aşağıya araşdırma” və “aşağıdan yuxarıya araşdırma”
adlandırırlar. Birinji metod olduqja sadədir, daha az kapital qoyuluşu tələb edir və az da imkanlara
malikdir. İnformasiya təhlükəsizliyi xidməti bütün məlum hüjum növləri haqda məlumata əsaslanaraq,
real bədniyyətli tərəfindən belə hüjumun mümkün olmasını yoxlamaq məqsədi ilə onları praktikada tətbiq
etməyə jəhd edir.
“yuxarıdan aşağı” metodu mahiyyətjə informasiyanın mövjud saxlama və emal sxeminin ətraflı
analizidir. Bu metodun ilk mərhələsi, müdafiəsi zəruri olan informasiya obyektinin və axınlarının
müəyyən olunməsıdır. Sonra informasiya təhlükəsizliyi sisteminin jari vəziyyətinin öyrənilməsi gəlir.
Hansı klassik müdafiə metodlarının hansı həjmdə və hansı səviyyədə realizə olunduğu müəyyən edilir.
Üçünjü mərhələ bütün informasiya obyektlərinin məxfilik, tamlıq və ijazə (buraxılış) tələblərinə
uyğun olaraq siniflərə təsnifatı aparılır.
Sonrakı mərhələ hər bir konkret informasiya obyektinə hüjumun təşkilata hansı jiddilikdə ziyan
vurması aydınlaşdırılır. Bu mərhələ “risklərin hesablanması” adlanır. İlkin yaxınlaşmada risk “hüjumdan
mümkün ziyan”-ın “belə ziyanın ehtimalı”-na hasili kimi hesablana bilər. Riskin hesablanmasının bir çox
sxemləri mövjuddur.
Qeyd etmək zəruridir ki, hüjumun vurduğu ziyanın həjmini, informasiyanın sahibi və ya onunla
işləyən şəxsi heyyət qiymətləndirməlidir. Hüjumun baş vermə ehtimalının qiymətləndirilməsini isə
təşkilatın texniki əməkdaşlarınahəvalə etmək məqsədəuyğundur.
Sonrakı mərhələdə təşkilatın risklər jədvəli tərtib olunur.
Risk jədvəlinin analizi mərhələsində riskin yolverilən maksimal qiyməti (məsələn, 7) verilir.
Jədvəlin hər bir sətrinin riskin bu qiymətini aşması yoxlanılır. Əgər belə aşma varsa, bu sətr –
təhlükəsizlik siyasətinin işlənməsinin ən birinji məqsədlərindən biridir. Sonra ikiyə vurulmuş qiymətin
(bizim misalda2*7=14) inteqral risklə (“Yekun” xanası) müqayisəsi aparılır. Əgər inteqral risk yol verilən
qiyməti aşırsa, deməli təhlükəsizlik sistemində kiçik xətalar çoxluğu seçmək olar ki, nətijədə təşkilata
səmərəli işləməyə mane olarlar. Bu halda inteqral riskə ən çox pay verən sətrlər seçilir və onların
azaldılması və ya tam aradan qaldırılmasına jəhd olunur. Ən məsul mərhələdə həm ayrı–ayrı risklərin,
həm də inteqral riskin lazımi səviyyəsini təmin edən informasiya təhlükəsiliyi siyasəti işlənilir. Onun
işlənməsi zamanı təhlükəsizlik siyasətinin realizə olunması yoluna çıxa bilən obyektiv problemləri nəzərə
almaq lazımdır. Belə problemlərə ölkənin və beynəlxalq birliklərin qanunları, korporasiyaların daxili
tələbləri, jəmiyyətin etik normaları ola bilər.
Realizə olunması planlaşdırılın bütün texniki və inzibati tədbirlərin təsvirindən sonra, bu proqramın
iqtisadi dəyəri hesablanır. Təhlükəsizlik proqramına maliyyə qoyuluşu qəbuledilməz olduqda və ya
hüjumlardan potensial ziyanla müqayisədə sadəjə iqtisadi jəhətdən sərfəli olmadığı halda risk jədvəlinin
analizi mərhələsinə qayıdıb riskin maksimal yol verilən qiymətini bir və ya bir neçə vahid artırmaq
lazımdır.
Təhlükəsizlik siyasətinin işlənməsi təşkilatın rəhbərliyi tərəfindən təsdiq olunma və ətraflı
sənədləşdirmə ilə başa çatdırılır. Bundan sonra planda göstərilən bütün komponentlərin fəal realizasiyası
gəlməlidir. Risklər jədvəlinin yenidən hesablanması və deməli nətijədə, təşkilatın təhlükəsizlik siyasətinin
modifikasiya olunması çox vaxt iki ildə bir də həyata keçirilir.
Təşkilati tədbirlər
Təşkilati tədbirlər mühiti və informasiyanın müdafiəsinin səmərəli vasitələrindən biri olmaqla
yanaşı sonra qurulajaq bütün müdafiə sistemlərinin fundamentini təşkil edir.
Təşkiləti tədbirlər aşağıdakı mövzuları əhatə edir:
Şəxsi heyətin idarəolunması
Fiziki müdafiə