Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Dəstək
www.wikimedia.az-az.nina.az
  • Vikipediya

informasiya təhlükəsizliyi informasiya risklərini azaldaraq onu qorumaq təcrübəsi Bu bir hissəsidir informasiya təhlükəs

İnformasiya təhlükəsizliyi

İnformasiya təhlükəsizliyi
www.wikimedia.az-az.nina.azhttps://www.wikimedia.az-az.nina.az

İnformasiya təhlükəsizliyi – informasiya risklərini azaldaraq onu qorumaq təcrübəsi. Bu, bir hissəsidir. İnformasiya təhlükəsizliyi adətən verilənlərə icazəsiz və ya qeyri-münasib formada girişin, onlardan qeyri-qanuni istifadənin, informasiyanın açıqlanmasının, pozulmasının, silinməsinin, dəyişdirilməsinin, təftiş edilməsinin, qeydə alınmasının və ya dəyərsizləşdirilməsinin qarşısının alınmasını və ya azaldılmasını əhatə edir. Bu, həmçinin bu cür hadisələrin mənfi təsirlərini azaltmağa yönəlmiş tədbirləri özündə birləşdirir. Qorunan informasiya istənilən formada ola bilər. Bunlara elektron və ya fiziki, maddi (məsələn, sənədləşmə işləri) və ya qeyri-maddi (məsələn, bilik) forma daxildir. İnformasiya təhlükəsizliyinin əsas diqqəti təşkilatın məhsuldarlığına maneçilik törətmədən, məlumatların məxfiliyinin, bütövlüyünün və əlçatanlığının balanslaşdırılmış qorunması, səmərəli siyasətin həyata keçirilməsinə yönəlmişdir. Buna əsasən aşağıdakıları əhatə edən strukturlaşdırılmış risklərin idarə edilməsi prosesi vasitəsilə nail olunur:

  • İnformasiyanın və əlaqəli aktivlərin, əlavə olaraq potensial təhlükələrin, boşluqların və təsirlərin müəyyən edilməsi;
  • Risklərin qiymətləndirilməsi;
  • Risklərin necə həll edilməsi barədə qərarın verilməsi;
  • Riskin azaldılması tələb olunduğu zaman müvafiq təhlükəsizlik nəzarətinin seçilməsi və ya layihələndirilməsi, onların həyata keçirilməsi
  • Fəaliyyətlərin monitorinqi və hər hansı bir problemi, dəyişiklik və ya təkmilləşdirmə imkanlarını həll etmək üçün lazım olduqda düzəlişlər etmək

Bu intizamı standartlaşdırmaq üçün alimlər və peşəkarlar parollar, antivirus proqramı, qoruyucu divarlar, şifrələmə proqramı, hüquqi məsuliyyət, və təlimi, həmçinin daha başqa mövzular üzrə təlimatlar, siyasətlər və sənaye standartları təklif etmək üçün əməkdaşlıq edirlər. Bu standartlaşdırma daha çox məlumatların əldə edilməsi, işlənməsi, saxlanması, ötürülməsi və məhv edilməsinə təsir edən geniş çeşidli qanun və qaydalarla idarə oluna bilər. Bununla belə, daimi təkmilləşdirmə mədəniyyəti qəbul edilmədiyi halda müəssisə daxilində hər hansı standart və təlimatın tətbiqi məhdud təsir göstərə bilər.

Vacibliyini və aktuallığını şərtləndirən səbəblər

İnformasiyanın təhlükəsizliyinin təmin olunması probleminin vacibliyini və aktuallığını şərtləndirən səbəblərdən aşağıdakıları xüsusi vurğulamaq olar:

  • geniş yayılması və lokal şəbəkələrin qlobal şəbəkələr halında birləşməsi;
  • informasiya təhlükəsizliyinin pozulmasına praktik olaraq mane olmayan qlobal İnternet şəbəkəsinin inkişafı;
  • minimal təhlükəsizlik tələblərinə belə cavab verməyən proqram vasitələrinin geniş yayılması.

İnformasiyanın mühafizəsi – informasiya təhlükəsizliyinin təmin olunmasına yönəlmiş tədbirlər kompleksidir.

Təhlükə

Təhlükə dedikdə sistemə dağılma, verilənlərin üstünün açılması və ya dəyişdirilməsi, xidmətdən imtina formasında ziyan vurulmasına səbəb ola bilən istənilən hal, şərait, proses və hadisələr nəzərdə tutulur.

Təhlükələri müxtəlif siniflərə ayırmaq olar. Meydana çıxma səbəblərinə görə təhlükələri təbii və süni xarakterli təhlükələrə ayırırlar. Süni xarakterli təhlükələr də öz növbəsində bilməyərəkdən və qəsdən törədilən təhlükələrə bölünür. Təsir məqsədlərinə görə təhlükələrin üç əsas növü ayırd edilir:

  • İnformasiyanın konfidensiallığının pozulmasına yönələn təhlükələr;
  • İnformasiyanın bütövlüyünün pozulmasına yönələn təhlükələr;
  • Əlyetənliyin pozulmasına yönələn təhlükələr (DoS hücumlar, Denial of Service – xidmətdən imtina).
  • Məxfilik informasiyanın subyektiv müəyyən olunan xassəsidir. Verilən informasiyaya müraciət icazəsi olan subyektlərin siyahısına məhdudiyyət qoyulmasının zəruriliyini göstərir. Məxfiliyin pozulmasına yönələn təhlükələr məxfi və ya gizli informasiyanın üstünün açılmasına yönəlib. Belə təhlükələrin reallaşması halında informasiya ona müraciət icazəsi olmayan şəxslərə məlum olur.
  • Bütövlük – informasiyanın təhrifsiz şəkildə mövcudolma xassəsidir. İnformasiyanın bütövlüyünün pozulmasına yönələn təhlükələr onun dəyişdirilməsinə və ya təhrifinə yönəlib ki, bunlar da onun keyfiyyətinin pozulmasına və tam məhvinə səbəb ola bilər. İnformasiyanın bütövlüyü bədniyyətli tərəfindən qəsdən və ya sistemi əhatə edən mühit tərəfindən obyektiv təsirlər nəticəsində pozula bilər.
  • Əlyetənlik – yolverilən vaxt ərzində tələb olunan informasiya xidmətini almaq imkanıdır. Həmçinin əlyetənlik – daxil olan sorğulara xidmət üçün onlara müraciət zəruri olduqda uyğun xidmətlərin həmişə hazır olmasıdır. Əlyetənliyin pozulmasına yönələn təhlükələr elə şəraitin yaradılmasına yönəlib ki, bu zaman müəyyən qəsdli hərəkətlər ya sistemin iş qabiliyyətini aşağı salır, ya da sistemin müəyyən resurslarına girişi bağlayır.

Təhlükələrin əlamətləri

Təhlükələr digər əlamətlərinə görə də təsnif oluna bilər:

  • Baş vermə ehtimalına görə (çox ehtimallı, ehtimallı, az ehtimallı);
  • Meydana çıxma səbəblərinə görə (təbii fəlakətlər, qəsdli hərəkətlər);
  • Vurulmuş ziyanın xarakterinə görə (maddi, mənəvi);
  • Təsir xarakterinə görə (aktiv, passiv);
  • Obyektə münasibətinə görə (daxili, xarici).

Daxili və xarici təhlükələrin nisbətini təqribi olaraq belə xarakterizə etmək olar. Təhlükələrin 80%-i təşkilatın öz işçiləri tərəfindən onların bilavasitə və ya dolayısı yolla iştirakı ilə baş verir. Təhlükələrin 20%-i kənardan icra olunur.

İnformasiya təhlükəsizliyinin üç aspekti

  1. Əlyetənlik − yolverilən vaxt ərzində tələb olunan informasiya resursunu, informasiya xidmətini əldə etmək imkanı;
  2. Tamlıq − informasiyanın əvvəlcədən müəyyən edilmiş şəkil və keyfiyyəti saxlaması xassəsi;
  3. Məxfilik − informasiyanın icazəsiz girişlərdən məxfi saxlanılması xassəsidir.

Təhdidlərin üç əsas növü

İnformasiyanın bu xassələrindən çıxış edərək təhdidlərin üç əsas növünü ayırmaq olar:

  • konfidensiallığın pozulmasına yönələn təhdidlər;
  • əlyetənliyin pozulmasına yönələn təhdidlər;
  • tamlığın pozulmasına yönələn təhdidlər.

Bəzi təhdidlər

  • DoS-hücum
  • Botnet
  • Fişinq

İnformasiya təhlükəsizliyi üzrə standartlar

Narıncı kitab

İnformasiya təhlükəsizliyi sahəsində tarixən ilk standart ABŞ Müdafiə Nazirliyinin "Etibarlı kompüter sistemlərinin qiymətləndirilməsi meyarları" olmuşdur. Cildinin rənginə görə çox vaxt "Narıncı kitab" adlanan bu standart ilk dəfə 1983-cü ilin avqustunda nəşr edilmişdi.

"Narıncı kitab"da etibarlı sistemi "giriş hüququnu pozmadan müxtəlif məxfilik dərəcəsinə malik informasiyanın istifadəçilər qrupu tərəfindən eyni zamanda emalını təmin etmək üçün yetərli aparat və proqram təminatı istifadə edən sistem" kimi müəyyən edir.

"Narıncı kitab"da dörd etibar səviyyəsi – D, C, B və A müəyyən edilir.

  • D səviyyəsi qeyri-qənaətbəxş qəbul edilmiş sistemlər üçün nəzərdə tutulub. C səviyyəsindən A səviyyəsinə keçdikcə sistemlərə daha ciddi tələblər irəli sürülür. C və B səviyyələri etibar dərəcəsinin tədricən artması ilə siniflərə bölünür (C1, C2, B1, B2, B3).

"Narıncı kitab"da daxil edilmiş təsnifatı qısaca belə ifadə etmək olar:

  • C səviyyəsi – girişin ixtiyari idarə edilməsi;
  • B səviyyəsi – girişin mandatlı idarə edilməsi;
  • A səviyyəsi – təhlükəsizliyin verifikasiya edilə bilməsi.

Əlbəttə, "Narıncı kitab"ın ünvanına bir sıra ciddi iradlar söyləmək olar (məsələn, paylanmış sistemlərdə meydana çıxan hadisələrin tamamilə nəzərə alınmaması). Buna baxmayaraq qeyd etmək lazımdır ki, "Narıncı kitab"ın nəşri heç bir mübaliğə olmadan informasiya təhlükəsizliyi sahəsində çox böyük əhəmiyyətli hadisə oldu. Hamı tərəfindən qəbul edilən anlayışlar bazisi meydana çıxdı ki, bunlarsız informasiya təhlükəsizliyi məsələlərinin hətta müzakirəsi belə çətin olardı.

ISO/IEC 15408 standartı

Qiymətləndirmə standartlarının içərisində ən tamı və müasiri İSO/İEC 15408 "İnformasiya texnologiyalarının təhlükəsizliyini qiymətləndirmə meyarları" standartıdır (1 dekabr 1999-cu ildə nəşr olunmuşdur). Bu beynəlxalq standart bir neçə ölkə mütəxəssisinin demək olar ki, onillik işinin nəticəsidir, o özündə həmin dövrə mövcud olan beynəlxalq və milli standartların təcrübəsini cəmləşdirmişdir.

Tarixi səbəblərdən bu standartı çox zaman "Ümumi meyarlar" adlandırırlar. Biz də bu qisaltmadan istifadə edəcəyik.

"Ümumi meyarlar" əslində informasiya sistemlərinin təhlükəsizliyini qiymətləndirmə alətlərini və onların istifadə qaydalarını müəyyən edən metastandartdır. "Narıncı kitab"dan fərqli olaraq Ümumi Meyarlarda əvvəlcədən müəyyən edilmiş "təhlükəsizlik sinifləri" yoxdur. Belə sinifləri konkret təşkilat və/və ya konkret informasiya sistemi üçün mövcud olan təhlükəsizlik tələblərindən çıxış edərək qurmaq olar.

"Narıncı kitab"dakı kimi Ümumi meyarlarda da təhlükəsizlik tələblərinin iki əsas növü var:

  • funksional tələblər – mühafizənin aktiv aspektinə uyğundur, təhlükəsizlik funksiyalarına və onları realizə edən mexanizmlərə irəli sürülür;
  • zəmanət tələbləri – mühafizənin passiv aspektinə uyğundur, yaradılma və istismar texnologiyasına və prosesinə irəli sürülür.

Təhlükəsizlik tələbləri irəli sürülür, onların yerinə yetirilməsi isə müəyyən qiymətləndirmə obyekti üçün – aparat-proqram məhsulu üçün və ya informasiya sistemi üçün yoxlanır.

Funksional tələblər

Funksional tələblərin ingilis dilində ixtisarlarla işarə edilən aşağıdakı sinifləri müəyyən edilir:

  • Təhlükəsizliyin auditi (FAU). Təhlükəsizlik sisteminin auditi – təhlükəsizlik sisteminə aid informasiyanın tanınması, qeydə alınması, saxlanması və analizidir.
  • Kommunikasiya (FCO). Bu sinfin tələblərinin yerinə yetirilməsi zəmanət verir ki, informasiyanı göndərən ötürülən informasiyadan, qəbuledən isə aldığından imtina edə bilməz.
  • Kriptoqrafik dəstək (FCS). Sinifdə kriptoqrafik açarların və əməliyyatların idarə edilməsi üzrə tələblər var.
  • İstifadəçinin verilənlərinin mühafizəsi (FDP). Sinif informasiyanı daxiletmə, xaricetmə və saxlama zamanı istifadəçi verilənlərinin mühafizəsinə aid təhlükəsizlik tələblərini müəyyən edir.
  • İdentifikasiya və autentifikasiya (FIA). Bu sinfin tələbləri sistemdə istifadəçilərin müəyyən edilməsi və verifikasiyası ilə, onların sistemdə səlahiyyətləri ilə, həmçinin təhlükəsizlik atributlarının hər bir istifadəçiyə düzgün verilməsi ilə işləyir.
  • Təhlükəsizliyin idarə edilməsi (FMT). Sinfə təhlükəsizlik funksiyaları verilənlərinin və atributlarının, həmçinin təhlükəsizlik rollarının idarə edilməsi üzrə tələblər daxildir.
  • Konfidensiallıq (FPR). Bu sinfin tələblərinin realizə edilməsi istifadəçini onun səlahiyyətlərinin digər istifadəçilər tərəfindən açılmasından və sui-istifadə edilməsindən mühafizə edəcək.
  • Təhlükəsizlik funksiyalarının mühafizəsi (FPT). Sinfə sistemin təhlükəsizlik mexanizmlərinin tamlığına və idarə edilməsinə aid funksional tələblər daxildir (realizə edilən təhlükəsizlik siyasətindən asılı olmayaraq).
  • Resursların istifadəsi (FRU). Bu sinfin tələbləri lazımi resursların əlyetənliyini (emal /və ya saxlama imkanı kimi), həmçinin sistemin imtinaları ilə funksional imkanların meydana çıxan bloklanması halında mühafizəni təmin edir.
  • Qiymətləndirmə obyektinə giriş (FTA). Sinif istifadəçinin təyin edilmiş iş seansına funksional nəzarət tələblərini identifikasiya və autentifikasiya üzrə tələblərdən asılı olmadan müəyyən edir.
  • Etibarlı marşrut/kanal (FTP). Sinif aşağıdakı tələbləri təmin edir:
  1. İstifadəçi ilə sistemin təhlükəsizlik funksiyaları arasında etibarlı kommunikasiya marşrutu;
  2. Sistemin təhlükəsizlik funksiyaları arasında etibarlı rabitə kanalı.

Zəmanət tələbləri

Standart ingilis dilində ixtisarlarla adlandırılmış aşağıdakı zəmanət siniflərini daxil edir:

  • Konfiqurasiyanın idarə edilməsi (ACM). Ümumi Meyarlar qiymətləndirilən obyektin tamlığının saxlanmasını onun dəqiqləşdirilməsi və modifikasiyası zamanı idarəetmə və intizam tələb etməklə təmin edir.
  • Çatdırılma və istismar (ADO). ADO zəmanət sinfi qiymətləndirilən obyektin etibarlı çatdırılması, qurulması və istismar istifadəsinə aid tədbirlərə, prosedurlara və standartlara tələbləri müəyyən edir.
  • Yaratma (ADV). Bu zəmanət sinfi qiymətləndirilən obyektin ümumi spesifikasiyasından təhlükəsizlik funksiyalarının faktiki realizəyə yuxarıdan aşağıya addım-addım dəqiqləşdirilməsi üzrə tələbləri müəyyən edir.
  • Rəhbər sənədlər (AGD). Bu zəmanət sinfi istehsalçının təqdim etdiyi istismar sənədlərinin anlaşıqlılıq və tamlıq tələblərini müəyyən edir.
  • Həyat dövrünün dəstəklənməsi (ALC). Bu sinif qiymətləndirilən obyektin yaradılmasının bütün addımları üçün həyat dövrü modelini, o cümlədən qüsurların aradan qaldırılması prosedurlarını və siyasətini dəqiq müəyyən edir.
  • Testlər (ATE). Bu zəmanət sinfi təhlükəsizlik funksiyalarının funksional təhlükəsizlik tələblərini ödədiyini nümayiş etdirən sınaqlara tələbləri müəyyən edir.
  • Boşluqların qiymətləndirilməsi (AVA). Bu zəmanət sinfi istismar zamanı qalan zəif yerlərin identifikasiyasına yönəlmiş tələbləri müəyyən edir.

ISO/IEC 27002 standartı

Hazırda informasiya təhlükəsizliyi sahəsində ən məşhur standartlar ISO/IEC 2700x standartlar seriyasıdır.

Standartlar seriyasının tarixi belə başlamışdır. Britaniya Standartlar İnstitutu (BSI) tərəfindən işlənilmiş və fəaliyyət dairəsindən asılı olmayaraq şirkətlərin informasiya təhlükəsizliyinin idarə edilməsi üçün 1998-ci ildə BS 7799 milli standartı qəbul edilmişdi. Britaniya standartı BS 7799 dünyanın 27 ölkəsində, o cümlədən Britaniya Birliyi ölkələrində dəstəklənirdi.

2000-ci ilin sonunda ISO (Beynəlxalq Standartlaşdırma Təşkilatı) Britaniya standartı BS 7799 əsasında ISO/IEC 17799 «Information technology − Information security management» («İnformasiya texnologiyaları − İnformasiya təhlükəsizliyinin idarə edilməsi») beynəlxalq standartını işlədi və qəbul etdi.

2005-ci ildə standartın 2000-ci il redaksiyası ilə müqayisədə yenidən əhəmiyyətli işlənmiş ISO 17799:2005 variantı çıxdı. 2005-ci ildə həmçinin BS 7799 standartının ikinci hissəsi ISO 27001 standartı kimi qəbul edildi. ISO 27001 standartı informasiya təhlükəsizliyi sistemlərinin sertifikastlaşdırılması üçün nəzərdə tutulub.

ISO/IEC 17799:2005 standartı 2007-ci ildən ISO/IEC 27002 adını alıb. Bu standartda informasiya təhlükəsizliyini idarəetmə sisteminin elementləri on bir qrup üzrə bölünüb:

  1. Təhlükəsizlik siyasəti – təşkilatın rəhbərliyi tərəfindən informasiya təhlükəsizliyi sahəsində siyasətin dəstəklənməsi;
  2. İnformasiya təhlükəsizliyinin təşkili – təşkilatda informasiya təhlükəsizliyi sisteminin iş qabiliyyətini təmin edəcək təşkilati strukturun yadradılması;
  3. Resursların idarə edilməsi – informasiya resurslarına onların dəyər dərəcələrinə görə prioritet verilməsi və onlara görə məsuliyyətin paylanması;
  4. Əməkdaşların təhlükəsizliyi – insan səhvləri riskinin, oğurluğun və avadanlığın qeyri-düzgün istifadəsinin azaldılması (əməkdaşların təlimi və insidentlərin izlənməsi);
  5. Fiziki təhlükəsizlik – avtorizə olunmamış girişin və təşkilatın informasiya sisteminin işinin pozulmasının qarşısının alınması;
  6. Kommunikasiyanın və əməliyyatların idarə edilməsi – şəbəkələrin və kompüterlərin təhlükəsiz fəaliyyətinin təmin edilməsi;
  7. Girişin idarə edilməsi – biznes-informasiyaya girişin idarə edilməsi;
  8. Sistemin alınması, yaradılması və sistemə xidmət edilməsi − təşkilatın informasiya sisteminin yaradılması və ya inkişafı zamanı informasiya təhlükəsizliyi tələblərinin yerinə yetirilməsi, tətbiqi proqramların və verilənlərin təhlükəsizliyinin dəstəklənməsi;
  9. İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi;
  10. Təşkilatın fasiləsiz fəaliyyətinin idarə edilməasi – fövqəladə hallarda təşkilatın fasiləsiz işinin təmin edilməsi üçün fəaliyyət planı;
  11. Qanunvericiliyin tələblərinə uyğunluq – müvafiq mülki və cinayət qanunvericiliyinin, müəllif hüquqları və informasiyanın mühafizəsi qanunları daxil olmaqla, tələblərinin yerinə yetirilməsi.

Həmçinin bax

  • Parol
  • İdentifikasiya
  • Autentikasiya
  • Kompüter proqramları
  • Ziyanlı proqramlar

Ədəbiyyat

  • Əliquliyev R.M., İmamverdiyev Y.N. Rəqəm imzası texnologiyası, Bakı, Elm, 2003. – 132 с.
  • Галатенко В.А. Основы информационной безопасности, Москва, 2004. – 264 с.
  • Qasımov V.Ə. İnformasiya təhlükəsizliyi: kompüter cinayətkarlığı və kiberterrorçuluq, Bakı, Elm, 2007. -192 s.
  • Qasımov V.Ə. İnformasiya təhlükəsizliyinin əsasları, Dərslik, Bakı, 2009. - 340 s.
  • Qasımov V.Ə. İnformasiyanın qorunmasının müasir texnologiyaları, Dərslik, Bakı, 2011, -112 s.

İstinadlar

  1. Joshi, Chanchala; Singh, Umesh Kumar. "Information security risks management framework – A step towards mitigating security risks in university network". Journal of Information Security and Applications. 35. August 2017: 128–137. doi:10.1016/j.jisa.2017.06.006. ISSN 2214-2126.
  2. Fletcher, Martin. "An introduction to information risk". . 14 December 2016. 19 March 2022 tarixində . İstifadə tarixi: 23 February 2022.
  3. "SANS Institute: Information Security Resources". www.sans.org (ingilis). 2020-11-04 tarixində . İstifadə tarixi: 2020-10-31.
  4. Daniel, Kent; Titman, Sheridan. "Market Reactions to Tangible and Intangible Information". The Journal of Finance. 61 (4). August 2006: 1605–1643. doi:10.1111/j.1540-6261.2006.00884.x. SSRN 414701. 2023-05-08 tarixində . İstifadə tarixi: 2023-11-13.
  5. Fink, Kerstin. Knowledge Potential Measurement and Uncertainty. Deutscher Universitätsverlag. 2004. ISBN . OCLC 851734708.
  6. Keyser, Tobias, "Security policy", The Information Governance Toolkit, CRC Press, 2018-04-19, 57–62, doi:10.1201/9781315385488-13, ISBN , İstifadə tarixi: 2021-05-28
  8. Lyu, M.R.; Lau, L.K.Y. Firewall security: Policies, testing and performance evaluation // Proceedings 24th Annual International Computer Software and Applications Conference. COMPSAC2000. IEEE Comput. Soc. 2000. 116–121. doi:10.1109/cmpsac.2000.884700. ISBN .
  9. "How the Lack of Data Standardization Impedes Data-Driven Healthcare", Data-Driven Healthcare, Hoboken, NJ, US: John Wiley & Sons, Inc., 29, 2015-10-17, doi:10.1002/9781119205012.ch3, ISBN , İstifadə tarixi: 2021-05-28
  10. Lent, Tom; Walsh, Bill, "Rethinking Green Building Standards for Comprehensive Continuous Improvement", Common Ground, Consensus Building and Continual Improvement: International Standards and Sustainable Building, West Conshohocken, PA: ASTM International, 2009, 1–1–10, doi:10.1520/stp47516s, ISBN , İstifadə tarixi: 2021-05-28
  11. "Cert.az – İnformasiya təhlükəsizliyi üzrə standartlar". 2016-03-04 tarixində . İstifadə tarixi: 2011-11-26.

Xarici keçidlər

  • İnformasiya təhlükəsizliyində beynəlxalq standartlar
  • ГОСТ Р 50922-96. İnformasiyanın qorunması 2008-03-11 at the Wayback Machine
  • "Cert.az – Əsas anlayışlar". 2020-11-24 tarixində . İstifadə tarixi: 2011-10-06.
  • DoD IA Policy Chart 2011-09-06 at the Wayback Machine on the DoD Information Assurance Technology Analysis Center web site.
  • patterns & practices Security Engineering Explained
  • Open Security Architecture- Controls and patterns to secure IT systems
  • IWS – Information Security Chapter 2019-11-08 at the Wayback Machine
  • Ross Anderson's book "Security Engineering"
  • teciza.in

wikipedia, oxu, kitab, kitabxana, axtar, tap, meqaleler, kitablar, oyrenmek, wiki, bilgi, tarix, tarixi, endir, indir, yukle, izlə, izle, mobil, telefon ucun, azeri, azəri, azerbaycanca, azərbaycanca, sayt, yüklə, pulsuz, pulsuz yüklə, haqqında, haqqinda, məlumat, melumat, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, şəkil, muisiqi, mahnı, kino, film, kitab, oyun, oyunlar, android, ios, apple, samsung, iphone, pc, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, web, computer, komputer

Informasiya tehlukesizliyi informasiya risklerini azaldaraq onu qorumaq tecrubesi Bu bir hissesidir Informasiya tehlukesizliyi adeten verilenlere icazesiz ve ya qeyri munasib formada girisin onlardan qeyri qanuni istifadenin informasiyanin aciqlanmasinin pozulmasinin silinmesinin deyisdirilmesinin teftis edilmesinin qeyde alinmasinin ve ya deyersizlesdirilmesinin qarsisinin alinmasini ve ya azaldilmasini ehate edir Bu hemcinin bu cur hadiselerin menfi tesirlerini azaltmaga yonelmis tedbirleri ozunde birlesdirir Qorunan informasiya istenilen formada ola biler Bunlara elektron ve ya fiziki maddi meselen senedlesme isleri ve ya qeyri maddi meselen bilik forma daxildir Informasiya tehlukesizliyinin esas diqqeti teskilatin mehsuldarligina manecilik toretmeden melumatlarin mexfiliyinin butovluyunun ve elcatanliginin balanslasdirilmis qorunmasi semereli siyasetin heyata kecirilmesine yonelmisdir Buna esasen asagidakilari ehate eden strukturlasdirilmis risklerin idare edilmesi prosesi vasitesile nail olunur Informasiyanin ve elaqeli aktivlerin elave olaraq potensial tehlukelerin bosluqlarin ve tesirlerin mueyyen edilmesi Risklerin qiymetlendirilmesi Risklerin nece hell edilmesi barede qerarin verilmesi Riskin azaldilmasi teleb olundugu zaman muvafiq tehlukesizlik nezaretinin secilmesi ve ya layihelendirilmesi onlarin heyata kecirilmesi Fealiyyetlerin monitorinqi ve her hansi bir problemi deyisiklik ve ya tekmillesdirme imkanlarini hell etmek ucun lazim olduqda duzelisler etmek Bu intizami standartlasdirmaq ucun alimler ve pesekarlar parollar antivirus proqrami qoruyucu divarlar sifreleme proqrami huquqi mesuliyyet ve telimi hemcinin daha basqa movzular uzre telimatlar siyasetler ve senaye standartlari teklif etmek ucun emekdasliq edirler Bu standartlasdirma daha cox melumatlarin elde edilmesi islenmesi saxlanmasi oturulmesi ve mehv edilmesine tesir eden genis cesidli qanun ve qaydalarla idare oluna biler Bununla bele daimi tekmillesdirme medeniyyeti qebul edilmediyi halda muessise daxilinde her hansi standart ve telimatin tetbiqi mehdud tesir gostere biler Vacibliyini ve aktualligini sertlendiren sebeblerInformasiyanin tehlukesizliyinin temin olunmasi probleminin vacibliyini ve aktualligini sertlendiren sebeblerden asagidakilari xususi vurgulamaq olar genis yayilmasi ve lokal sebekelerin qlobal sebekeler halinda birlesmesi informasiya tehlukesizliyinin pozulmasina praktik olaraq mane olmayan qlobal Internet sebekesinin inkisafi minimal tehlukesizlik teleblerine bele cavab vermeyen proqram vasitelerinin genis yayilmasi Informasiyanin muhafizesi informasiya tehlukesizliyinin temin olunmasina yonelmis tedbirler kompleksidir TehlukeTehluke dedikde sisteme dagilma verilenlerin ustunun acilmasi ve ya deyisdirilmesi xidmetden imtina formasinda ziyan vurulmasina sebeb ola bilen istenilen hal serait proses ve hadiseler nezerde tutulur Tehlukeleri muxtelif siniflere ayirmaq olar Meydana cixma sebeblerine gore tehlukeleri tebii ve suni xarakterli tehlukelere ayirirlar Suni xarakterli tehlukeler de oz novbesinde bilmeyerekden ve qesden toredilen tehlukelere bolunur Tesir meqsedlerine gore tehlukelerin uc esas novu ayird edilir Informasiyanin konfidensialliginin pozulmasina yonelen tehlukeler Informasiyanin butovluyunun pozulmasina yonelen tehlukeler Elyetenliyin pozulmasina yonelen tehlukeler DoS hucumlar Denial of Service xidmetden imtina Mexfilik informasiyanin subyektiv mueyyen olunan xassesidir Verilen informasiyaya muraciet icazesi olan subyektlerin siyahisina mehdudiyyet qoyulmasinin zeruriliyini gosterir Mexfiliyin pozulmasina yonelen tehlukeler mexfi ve ya gizli informasiyanin ustunun acilmasina yonelib Bele tehlukelerin reallasmasi halinda informasiya ona muraciet icazesi olmayan sexslere melum olur Butovluk informasiyanin tehrifsiz sekilde movcudolma xassesidir Informasiyanin butovluyunun pozulmasina yonelen tehlukeler onun deyisdirilmesine ve ya tehrifine yonelib ki bunlar da onun keyfiyyetinin pozulmasina ve tam mehvine sebeb ola biler Informasiyanin butovluyu bedniyyetli terefinden qesden ve ya sistemi ehate eden muhit terefinden obyektiv tesirler neticesinde pozula biler Elyetenlik yolverilen vaxt erzinde teleb olunan informasiya xidmetini almaq imkanidir Hemcinin elyetenlik daxil olan sorgulara xidmet ucun onlara muraciet zeruri olduqda uygun xidmetlerin hemise hazir olmasidir Elyetenliyin pozulmasina yonelen tehlukeler ele seraitin yaradilmasina yonelib ki bu zaman mueyyen qesdli hereketler ya sistemin is qabiliyyetini asagi salir ya da sistemin mueyyen resurslarina girisi baglayir Tehlukelerin elametleriTehlukeler diger elametlerine gore de tesnif oluna biler Bas verme ehtimalina gore cox ehtimalli ehtimalli az ehtimalli Meydana cixma sebeblerine gore tebii felaketler qesdli hereketler Vurulmus ziyanin xarakterine gore maddi menevi Tesir xarakterine gore aktiv passiv Obyekte munasibetine gore daxili xarici Daxili ve xarici tehlukelerin nisbetini teqribi olaraq bele xarakterize etmek olar Tehlukelerin 80 i teskilatin oz iscileri terefinden onlarin bilavasite ve ya dolayisi yolla istiraki ile bas verir Tehlukelerin 20 i kenardan icra olunur Informasiya tehlukesizliyinin uc aspektiElyetenlik yolverilen vaxt erzinde teleb olunan informasiya resursunu informasiya xidmetini elde etmek imkani Tamliq informasiyanin evvelceden mueyyen edilmis sekil ve keyfiyyeti saxlamasi xassesi Mexfilik informasiyanin icazesiz girislerden mexfi saxlanilmasi xassesidir Tehdidlerin uc esas novu Informasiyanin bu xasselerinden cixis ederek tehdidlerin uc esas novunu ayirmaq olar konfidensialligin pozulmasina yonelen tehdidler elyetenliyin pozulmasina yonelen tehdidler tamligin pozulmasina yonelen tehdidler Bezi tehdidler DoS hucum Botnet FisinqInformasiya tehlukesizliyi uzre standartlarNarinci kitab Informasiya tehlukesizliyi sahesinde tarixen ilk standart ABS Mudafie Nazirliyinin Etibarli komputer sistemlerinin qiymetlendirilmesi meyarlari olmusdur Cildinin rengine gore cox vaxt Narinci kitab adlanan bu standart ilk defe 1983 cu ilin avqustunda nesr edilmisdi Narinci kitab da etibarli sistemi giris huququnu pozmadan muxtelif mexfilik derecesine malik informasiyanin istifadeciler qrupu terefinden eyni zamanda emalini temin etmek ucun yeterli aparat ve proqram teminati istifade eden sistem kimi mueyyen edir Narinci kitab da dord etibar seviyyesi D C B ve A mueyyen edilir D seviyyesi qeyri qenaetbexs qebul edilmis sistemler ucun nezerde tutulub C seviyyesinden A seviyyesine kecdikce sistemlere daha ciddi telebler ireli surulur C ve B seviyyeleri etibar derecesinin tedricen artmasi ile siniflere bolunur C1 C2 B1 B2 B3 Narinci kitab da daxil edilmis tesnifati qisaca bele ifade etmek olar C seviyyesi girisin ixtiyari idare edilmesi B seviyyesi girisin mandatli idare edilmesi A seviyyesi tehlukesizliyin verifikasiya edile bilmesi Elbette Narinci kitab in unvanina bir sira ciddi iradlar soylemek olar meselen paylanmis sistemlerde meydana cixan hadiselerin tamamile nezere alinmamasi Buna baxmayaraq qeyd etmek lazimdir ki Narinci kitab in nesri hec bir mubalige olmadan informasiya tehlukesizliyi sahesinde cox boyuk ehemiyyetli hadise oldu Hami terefinden qebul edilen anlayislar bazisi meydana cixdi ki bunlarsiz informasiya tehlukesizliyi meselelerinin hetta muzakiresi bele cetin olardi ISO IEC 15408 standarti Qiymetlendirme standartlarinin icerisinde en tami ve muasiri ISO IEC 15408 Informasiya texnologiyalarinin tehlukesizliyini qiymetlendirme meyarlari standartidir 1 dekabr 1999 cu ilde nesr olunmusdur Bu beynelxalq standart bir nece olke mutexessisinin demek olar ki onillik isinin neticesidir o ozunde hemin dovre movcud olan beynelxalq ve milli standartlarin tecrubesini cemlesdirmisdir Tarixi sebeblerden bu standarti cox zaman Umumi meyarlar adlandirirlar Biz de bu qisaltmadan istifade edeceyik Umumi meyarlar eslinde informasiya sistemlerinin tehlukesizliyini qiymetlendirme aletlerini ve onlarin istifade qaydalarini mueyyen eden metastandartdir Narinci kitab dan ferqli olaraq Umumi Meyarlarda evvelceden mueyyen edilmis tehlukesizlik sinifleri yoxdur Bele sinifleri konkret teskilat ve ve ya konkret informasiya sistemi ucun movcud olan tehlukesizlik teleblerinden cixis ederek qurmaq olar Narinci kitab daki kimi Umumi meyarlarda da tehlukesizlik teleblerinin iki esas novu var funksional telebler muhafizenin aktiv aspektine uygundur tehlukesizlik funksiyalarina ve onlari realize eden mexanizmlere ireli surulur zemanet telebleri muhafizenin passiv aspektine uygundur yaradilma ve istismar texnologiyasina ve prosesine ireli surulur Tehlukesizlik telebleri ireli surulur onlarin yerine yetirilmesi ise mueyyen qiymetlendirme obyekti ucun aparat proqram mehsulu ucun ve ya informasiya sistemi ucun yoxlanir Funksional telebler Funksional teleblerin ingilis dilinde ixtisarlarla isare edilen asagidaki sinifleri mueyyen edilir Tehlukesizliyin auditi FAU Tehlukesizlik sisteminin auditi tehlukesizlik sistemine aid informasiyanin taninmasi qeyde alinmasi saxlanmasi ve analizidir Kommunikasiya FCO Bu sinfin teleblerinin yerine yetirilmesi zemanet verir ki informasiyani gonderen oturulen informasiyadan qebuleden ise aldigindan imtina ede bilmez Kriptoqrafik destek FCS Sinifde kriptoqrafik acarlarin ve emeliyyatlarin idare edilmesi uzre telebler var Istifadecinin verilenlerinin muhafizesi FDP Sinif informasiyani daxiletme xaricetme ve saxlama zamani istifadeci verilenlerinin muhafizesine aid tehlukesizlik teleblerini mueyyen edir Identifikasiya ve autentifikasiya FIA Bu sinfin telebleri sistemde istifadecilerin mueyyen edilmesi ve verifikasiyasi ile onlarin sistemde selahiyyetleri ile hemcinin tehlukesizlik atributlarinin her bir istifadeciye duzgun verilmesi ile isleyir Tehlukesizliyin idare edilmesi FMT Sinfe tehlukesizlik funksiyalari verilenlerinin ve atributlarinin hemcinin tehlukesizlik rollarinin idare edilmesi uzre telebler daxildir Konfidensialliq FPR Bu sinfin teleblerinin realize edilmesi istifadecini onun selahiyyetlerinin diger istifadeciler terefinden acilmasindan ve sui istifade edilmesinden muhafize edecek Tehlukesizlik funksiyalarinin muhafizesi FPT Sinfe sistemin tehlukesizlik mexanizmlerinin tamligina ve idare edilmesine aid funksional telebler daxildir realize edilen tehlukesizlik siyasetinden asili olmayaraq Resurslarin istifadesi FRU Bu sinfin telebleri lazimi resurslarin elyetenliyini emal ve ya saxlama imkani kimi hemcinin sistemin imtinalari ile funksional imkanlarin meydana cixan bloklanmasi halinda muhafizeni temin edir Qiymetlendirme obyektine giris FTA Sinif istifadecinin teyin edilmis is seansina funksional nezaret teleblerini identifikasiya ve autentifikasiya uzre teleblerden asili olmadan mueyyen edir Etibarli marsrut kanal FTP Sinif asagidaki telebleri temin edir Istifadeci ile sistemin tehlukesizlik funksiyalari arasinda etibarli kommunikasiya marsrutu Sistemin tehlukesizlik funksiyalari arasinda etibarli rabite kanali Zemanet telebleri Standart ingilis dilinde ixtisarlarla adlandirilmis asagidaki zemanet siniflerini daxil edir Konfiqurasiyanin idare edilmesi ACM Umumi Meyarlar qiymetlendirilen obyektin tamliginin saxlanmasini onun deqiqlesdirilmesi ve modifikasiyasi zamani idareetme ve intizam teleb etmekle temin edir Catdirilma ve istismar ADO ADO zemanet sinfi qiymetlendirilen obyektin etibarli catdirilmasi qurulmasi ve istismar istifadesine aid tedbirlere prosedurlara ve standartlara telebleri mueyyen edir Yaratma ADV Bu zemanet sinfi qiymetlendirilen obyektin umumi spesifikasiyasindan tehlukesizlik funksiyalarinin faktiki realizeye yuxaridan asagiya addim addim deqiqlesdirilmesi uzre telebleri mueyyen edir Rehber senedler AGD Bu zemanet sinfi istehsalcinin teqdim etdiyi istismar senedlerinin anlasiqliliq ve tamliq teleblerini mueyyen edir Heyat dovrunun desteklenmesi ALC Bu sinif qiymetlendirilen obyektin yaradilmasinin butun addimlari ucun heyat dovru modelini o cumleden qusurlarin aradan qaldirilmasi prosedurlarini ve siyasetini deqiq mueyyen edir Testler ATE Bu zemanet sinfi tehlukesizlik funksiyalarinin funksional tehlukesizlik teleblerini odediyini numayis etdiren sinaqlara telebleri mueyyen edir Bosluqlarin qiymetlendirilmesi AVA Bu zemanet sinfi istismar zamani qalan zeif yerlerin identifikasiyasina yonelmis telebleri mueyyen edir ISO IEC 27002 standarti Hazirda informasiya tehlukesizliyi sahesinde en meshur standartlar ISO IEC 2700x standartlar seriyasidir Standartlar seriyasinin tarixi bele baslamisdir Britaniya Standartlar Institutu BSI terefinden islenilmis ve fealiyyet dairesinden asili olmayaraq sirketlerin informasiya tehlukesizliyinin idare edilmesi ucun 1998 ci ilde BS 7799 milli standarti qebul edilmisdi Britaniya standarti BS 7799 dunyanin 27 olkesinde o cumleden Britaniya Birliyi olkelerinde desteklenirdi 2000 ci ilin sonunda ISO Beynelxalq Standartlasdirma Teskilati Britaniya standarti BS 7799 esasinda ISO IEC 17799 Information technology Information security management Informasiya texnologiyalari Informasiya tehlukesizliyinin idare edilmesi beynelxalq standartini isledi ve qebul etdi 2005 ci ilde standartin 2000 ci il redaksiyasi ile muqayisede yeniden ehemiyyetli islenmis ISO 17799 2005 varianti cixdi 2005 ci ilde hemcinin BS 7799 standartinin ikinci hissesi ISO 27001 standarti kimi qebul edildi ISO 27001 standarti informasiya tehlukesizliyi sistemlerinin sertifikastlasdirilmasi ucun nezerde tutulub ISO IEC 17799 2005 standarti 2007 ci ilden ISO IEC 27002 adini alib Bu standartda informasiya tehlukesizliyini idareetme sisteminin elementleri on bir qrup uzre bolunub Tehlukesizlik siyaseti teskilatin rehberliyi terefinden informasiya tehlukesizliyi sahesinde siyasetin desteklenmesi Informasiya tehlukesizliyinin teskili teskilatda informasiya tehlukesizliyi sisteminin is qabiliyyetini temin edecek teskilati strukturun yadradilmasi Resurslarin idare edilmesi informasiya resurslarina onlarin deyer derecelerine gore prioritet verilmesi ve onlara gore mesuliyyetin paylanmasi Emekdaslarin tehlukesizliyi insan sehvleri riskinin ogurlugun ve avadanligin qeyri duzgun istifadesinin azaldilmasi emekdaslarin telimi ve insidentlerin izlenmesi Fiziki tehlukesizlik avtorize olunmamis girisin ve teskilatin informasiya sisteminin isinin pozulmasinin qarsisinin alinmasi Kommunikasiyanin ve emeliyyatlarin idare edilmesi sebekelerin ve komputerlerin tehlukesiz fealiyyetinin temin edilmesi Girisin idare edilmesi biznes informasiyaya girisin idare edilmesi Sistemin alinmasi yaradilmasi ve sisteme xidmet edilmesi teskilatin informasiya sisteminin yaradilmasi ve ya inkisafi zamani informasiya tehlukesizliyi teleblerinin yerine yetirilmesi tetbiqi proqramlarin ve verilenlerin tehlukesizliyinin desteklenmesi Informasiya tehlukesizliyi insidentlerinin idare edilmesi Teskilatin fasilesiz fealiyyetinin idare edilmeasi fovqelade hallarda teskilatin fasilesiz isinin temin edilmesi ucun fealiyyet plani Qanunvericiliyin teleblerine uygunluq muvafiq mulki ve cinayet qanunvericiliyinin muellif huquqlari ve informasiyanin muhafizesi qanunlari daxil olmaqla teleblerinin yerine yetirilmesi Hemcinin baxParol Identifikasiya Autentikasiya Komputer proqramlari Ziyanli proqramlarEdebiyyatEliquliyev R M Imamverdiyev Y N Reqem imzasi texnologiyasi Baki Elm 2003 132 s Galatenko V A Osnovy informacionnoj bezopasnosti Moskva 2004 264 s Qasimov V E Informasiya tehlukesizliyi komputer cinayetkarligi ve kiberterrorculuq Baki Elm 2007 192 s Qasimov V E Informasiya tehlukesizliyinin esaslari Derslik Baki 2009 340 s Qasimov V E Informasiyanin qorunmasinin muasir texnologiyalari Derslik Baki 2011 112 s IstinadlarJoshi Chanchala Singh Umesh Kumar Information security risks management framework A step towards mitigating security risks in university network Journal of Information Security and Applications 35 August 2017 128 137 doi 10 1016 j jisa 2017 06 006 ISSN 2214 2126 Fletcher Martin An introduction to information risk 14 December 2016 19 March 2022 tarixinde Istifade tarixi 23 February 2022 SANS Institute Information Security Resources www sans org ingilis 2020 11 04 tarixinde Istifade tarixi 2020 10 31 Daniel Kent Titman Sheridan Market Reactions to Tangible and Intangible Information The Journal of Finance 61 4 August 2006 1605 1643 doi 10 1111 j 1540 6261 2006 00884 x SSRN 414701 2023 05 08 tarixinde Istifade tarixi 2023 11 13 Fink Kerstin Knowledge Potential Measurement and Uncertainty Deutscher Universitatsverlag 2004 ISBN 978 3 322 81240 7 OCLC 851734708 Keyser Tobias Security policy The Information Governance Toolkit CRC Press 2018 04 19 57 62 doi 10 1201 9781315385488 13 ISBN 978 1 315 38548 8 Istifade tarixi 2021 05 28 Lyu M R Lau L K Y Firewall security Policies testing and performance evaluation Proceedings 24th Annual International Computer Software and Applications Conference COMPSAC2000 IEEE Comput Soc 2000 116 121 doi 10 1109 cmpsac 2000 884700 ISBN 0 7695 0792 1 How the Lack of Data Standardization Impedes Data Driven Healthcare Data Driven Healthcare Hoboken NJ US John Wiley amp Sons Inc 29 2015 10 17 doi 10 1002 9781119205012 ch3 ISBN 978 1 119 20501 2 Istifade tarixi 2021 05 28 Lent Tom Walsh Bill Rethinking Green Building Standards for Comprehensive Continuous Improvement Common Ground Consensus Building and Continual Improvement International Standards and Sustainable Building West Conshohocken PA ASTM International 2009 1 1 10 doi 10 1520 stp47516s ISBN 978 0 8031 4507 8 Istifade tarixi 2021 05 28 Cert az Informasiya tehlukesizliyi uzre standartlar 2016 03 04 tarixinde Istifade tarixi 2011 11 26 Xarici kecidlerInformasiya tehlukesizliyinde beynelxalq standartlar GOST R 50922 96 Informasiyanin qorunmasi 2008 03 11 at the Wayback Machine Cert az Esas anlayislar 2020 11 24 tarixinde Istifade tarixi 2011 10 06 DoD IA Policy Chart 2011 09 06 at the Wayback Machine on the DoD Information Assurance Technology Analysis Center web site patterns amp practices Security Engineering Explained Open Security Architecture Controls and patterns to secure IT systems IWS Information Security Chapter 2019 11 08 at the Wayback Machine Ross Anderson s book Security Engineering teciza in

Nəşr tarixi: İyun 14, 2024, 06:32 am
Ən çox oxunan
  • Avqust 21, 2024

    Kobus vardonii

  • Avqust 21, 2024

    Kobus leche

  • Avqust 21, 2024

    Kobus kob

  • September 29, 2024

    Kobe Lempvork Şüşə Muzeyi

  • Oktyabr 11, 2024

    Kobaltasetat

Gündəlik

  • Azərbaycan dili

  • Rövşən Cavadov

  • Azərbaycan

  • İsgəndər Həmidov

  • Goranboy əməliyyatı

  • SoloTürk

  • Sveriges Riksbank

  • Tayvan

  • BMT

  • 1979

NiNa.Az - Studiya

  • Vikipediya

Bülletendə Qeydiyyat

E-poçt siyahımıza abunə olmaqla siz həmişə bizdən ən son xəbərləri alacaqsınız.
Əlaqədə olmaq
Bizimlə əlaqə
DMCA Sitemap Feeds
© 2019 nina.az - Bütün hüquqlar qorunur.
Müəllif hüququ: Dadaş Mammedov
Yuxarı