İnformasiya təhlükəsizliyi üzrə standartlar

Narıncı kitab

İnformasiya təhlükəsizliyi sahəsində tarixən ilk standart ABŞ Müdafiə Nazirliyinin "Etibarlı kompyuter sistemlərinin qiymətləndirilməsi meyarları" olmuşdur. Cildinin rənginə görə çox vaxt "Narıncı kitab" adlanan bu standart ilk dəfə 1983-cü ilin avqustunda nəşr edilmişdi.

"Narıncı kitabda" etibarlı sistemi "giriş hüququnu pozmadan müxtəlif məxfilik dərəcəsinə malik informasiyanın istifadəçilər qrupu tərəfindən eyni zamanda emalını təmin etmək üçün yetərli aparat və proqram təminatı istifadə edən sistem" kimi müəyyən edir.

"Narıncı kitabda" dörd etibar səviyyəsi - D, C, B və A müəyyən edilir. D səviyyəsi qeyri-qənaətbəxş qəbul edilmiş sistemlər üçün nəzərdə tutulub. C səviyyəsindən A səviyyəsinə keçdikcə sistemlərə daha ciddi tələblər irəli sürülür. C və B səviyyələri etibar dərəcəsinin tədricən artması ilə siniflərə bölünür (C1, C2, B1, B2, B3).
"Narıncı kitabda" daxil edilmiş təsnifatı qısaca belə ifadə etmək olar:

  • C səviyyəsi – girişin ixtiyari idarə edilməsi;
  • B səviyyəsi – girişin mandatlı idarə edilməsi;
  • A səviyyəsi - təhlükəsizliyin verifikasiya edilə bilməsi.

Əlbəttə, "Narıncı kitabın" ünvanına bir sıra ciddi iradlar söyləmək olar (məsələn, paylanmış sistemlərdə meydana çıxan hadisələrin tamamilə nəzərə alınmaması). Buna baxmayaraq qeyd etmək lazımdır ki, "Narıncı kitabın" nəşri heç bir mübaliğə olmadan informasiya təhlükəsizliyi sahəsində çox böyük əhəmiyyətli hadisə oldu. Hamı tərəfindən qəbul edilən anlayışlar bazisi meydana çıxdı ki, bunlarsız  informasiya təhlükəsizliyi məsələlərinin hətta müzakirəsi belə çətin olardı.

ISO/IEC 15408 standartı

Qiymətləndirmə standartlarının içərisində ən tamı və müasiri İSO/İEC 15408 "İnformasiya texnologiyalarının təhlükəsizliyini qiymətləndirmə meyarları" standartıdır (1 dekabr 1999-cu ildə nəşr olunmuşdur). Bu beynəlxalq standart bir neçə ölkə mütəxəssisinin demək olar ki, onillik işinin nəticəsidir, o özündə həmin dövrə mövcud olan beynəlxalq və milli standartların təcrübəsini cəmləşdirmişdir.

Tarixi səbəblərdən bu standartı çox zaman "Ümumi meyarlar" adlandırırlar. Biz də bu qisaltmadan istifadə edəcəyik.

"Ümumi Meyarlar" əslində informasiya sistemlərinin təhlükəsizliyini qiymətləndirmə alətlərini və onların istifadə qaydalarını müəyyən edən metastandartdır. "Narıncı kitabdan" fərqli olaraq Ümumi Meyarlarda əvvəlcədən müəyyən edilmiş " təhlükəsizlik sinifləri" yoxdur. Belə sinifləri  konkret təşkilat və/və ya konkret informasiya sistemi üçün mövcud olan təhlükəsizlik tələblərindən çıxış edərək qurmaq olar.

"Narıncı kitab"dakı kimi Ümumi meyarlarda da təhlükəsizlik tələblərinin iki əsas növü var:

  • funksional tələblər – mühafizənin aktiv aspektinə uyğundur, təhlükəsizlik funksiyalarına və onları realizə edən mexanizmlərə irəli sürülür;
  • zəmanət tələbləri – mühafizənin passiv aspektinə uyğundur, yaradılma və istismar texnologiyasına və prosesinə irəli sürülür.

Təhlükəsizlik tələbləri irəli sürülür, onların yerinə yetirilməsi isə müəyyən qiymətləndirmə obyekti üçün - aparat-proqram məhsulu üçün və ya informasiya sistemi üçün yoxlanır.

Funksional tələblər

Funksional tələblərin ingilis dilində ixtisarlarla işarə edirlən aşağıdakı sinifləri müəyyən edilir.

Təhlükəsizliyin auditi (FAU). Təhlükəsizlik sisteminin auditi –  təhlükəsizlik sisteminə aid informasiyanın tanınması, qeydə alınması, saxlanması və analizidir.

Kommunikasiya (FCO). Bu sinfin tələblərinin yerinə yetirilməsi zəmanət verir ki, informasiyanı göndərən ötürülən informasiyadan, qəbuledən isə onu aldığından imtina edə bilməz.

Kriptoqrafik dəstək (FCS). Sinifdə kriptoqrafik açarların və əməliyyatların idarə edilməsi üzrə tələblər var.

İstifadəçinin verilənlərinin mühafizəsi (FDP). Sinif informasiyanı daxiletmə, xaricetmə və saxlama zamanı istifadəçi verilənlərinin mühafizəsinə aid təhlükəsizlik tələblərini müəyyən edir.

İdentifikasiya və autentifikasiya (FIA). Bu sinfin tələbləri sistemdə istifadəçilərin müəyyən edilməsi və verifikasiyası ilə, onların sistemdə səlahiyyətləri ilə, həmçinin təhlükəsizlik atributlarının hər bir istifadəçiyə düzgün verilməsi ilə işləyir.

Təhlükəsizliyin idarə edilməsi (FMT). Sinfə təhlükəsizlik funksiyaları verilənlərinin və atributlarının, həmçinin təhlükəsizlik rollarının idarə edilməsi üzrə tələblər daxildir.

Konfidensiallıq (FPR). Bu sinfin tələblərinin realizə edilməsi istifadəçini onun səlahiyyətlərinin digər istifadəçilər tərəfindən açılmasından və sui-istifadə edilməsindən mühafizə edəcək.

Təhlükəsizlik funksiyalarının mühafizəsi (FPT). Sinfə sistemin təhlükəsizlik mexanizmlərinin tamlığına və idarə edilməsinə aid funksional tələblər daxildir (realizə edilən təhlükəsizlik siyasətindən asılı olmayaraq).

Resursların istifadəsi (FRU). Bu sinfin tələbləri lazımi resursların əlyetənliyini (emal və/və ya saxlama imkanı kimi), həmçinin sistemin imtinaları ilə funksional imkanların meydana çıxan bloklanması halında mühafizəni təmin edir.

Qiymətləndirmə obyektinə giriş (FTA). Sinif istifadəçinin təyin edilmiş iş seansına funksional nəzarət tələblərini identifikasiya və autentifikasiya üzrə tələblərdən asılı olmadan müəyyən edir.

Etibarlı marşrut/kanal (FTP). Sinif aşağıdakı tələbləri təmin edir:

  • Istifadəçi ilə sistemin təhlükəsizlik funksiyaları arasında etibarlı kommunikasiya marşrutu;
  • sistemin təhlükəsizlik funksiyaları arasında etibarlı rabitə kanalı.

Zəmanət tələbləri

Standart ingilis dilində ixtisarlarla adlandırılmış aşağıdakı zəmanət siniflərini daxil edir:

Konfiqurasiyanın idarə edilməsi (ACM). Ümumi Meyarlar qiymətləndirilən obyektin tamlığının saxlanmasını onun dəqiqləşdirilməsi və modifikasiyası zamanı idarəetmə və intizam tələb etməklə təmin edir.

Çatdırılma və istismar (ADO). ADO zəmanət sinfi qiymətləndirilən obyektin etibarlı çatdırılması, qurulması və istismar istifadəsinə aid tədbirlərə, prosedurlara və standartlara tələbləri müəyyən edir.

Yaratma (ADV). Bu zəmanət sinfi qiymətləndirilən obyektin ümumi spesifikasiyasından təhlükəsizlik funksiyalarının faktiki realizəyə yuxarıdan aşağıya addım-addım dəqiqləşdirilməsi üzrə tələbləri müəyyən edir.

 Rəhbər sənədlər (AGD). Bu zəmanət sinfi istehsalçının təqdim etdiyi istismar sənədlərinin anlaşıqlıq və tamlıq tələblərini müəyyən edir.

Həyat dövrünün dəstəklənməsi (ALC). Bu sinif qiymətləndirilən obyektin yaradılmasının bütün addımları üçün həyat dövrü modelini, o cümlədən qüsurların aradan qaldırılması prosedurlarını və siyasətini dəqiq müəyyən edir.

Testlər (ATE). Bu zəmanət sinfi təhlükəsizlik funksiyalarının funksional təhlükəsizlik tələblərini ödədiyini nümayiş etdirən sınaqlara tələbləri müəyyən edir.

Boşluqların qiymətləndirilməsi (AVA). Bu zəmanət sinfi istismar zamanı qalan zəif yerlərin identifikasiyasına yönəlmiş tələbləri müəyyən edir.

ISO/IEC 27002 standartı

Hazırda informasiya təhlükəsizliyi sahəsində ən məşhur standartlar ISO/IEC 2700x standartlar seriyasıdır.

Standartlar seriyasının tarixi belə başlamışdır. Britaniya Standartlar İnstitutu (BSI) tərəfindən işlənilmiş və fəaliyyət dairəsindən asılı olmayaraq şirkətlərin informasiya təhlükəsizliyinin idarə edilməsi üçün 1998-ci ildə BS 7799 milli standartı qəbul edilmişdi. Britaniya standartı BS 7799 dünyanın 27 ölkəsində, o cümlədən Britaniya Birliyi ölkələrində dəstəklənirdi.

2000-ci ilin sonunda ISO (Beynəlxalq Standartlaşdırma Təşkilatı) Britaniya standartı BS 7799 əsasında ISO/IEC 17799 «Information technology − Information security management» («İnformasiya texnologiyaları − İnformasiya təhlükəsizliyinin idarə edilməsi») beynəlxalq standartını işlədi və qəbul etdi.

2005-ci ildə standartın 2000-ci il redaksiyası ilə müqayisədə yenidən əhəmiyyətli işlənmiş ISO 17799:2005 variantı çıxdı. 2005-ci ildə həmçinin BS 7799 standartının ikinci hissəsi ISO 27001 standartı kimi qəbul edildi. ISO 27001 standartı informasiya təhlükəsizliyi sistemlərinin sertifikastlaşdırılması üçün nəzərdə tutulub.

ISO/IEC 17799:2005 standartı 2007-ci ildən ISO/IEC 27002 adını alıb. Bu standartda informasiya təhlükəsizliyini idarəetmə sisteminin elementləri on bir qrup üzrə bölünüb:

1) Təhlükəsizlik siyasəti – təşkilatın rəhbərliyi tərəfindən informasiya təhlükəsizliyi sahəsində siyasətin dəstəklənməsi;

2) İnformasiya təhlükəsizliyinin təşkili – təşkilatda informasiya təhlükəsizliyi sisteminin iş qabiliyyətini təmin edəcək təşkilati strukturun yadradılması;

3) Resursların idarə edilməsi – informasiya resurslarına onların dəyər dərəcələrinə görə prioritet verilməsi və onlara görə məsuluyyətin paylanması;

4) Əməkdaşların təhlükəsizliyi – insan səhvləri riskinin, oğurluğun və avadanlığın qeyri-düzgün istifadəsinin azaldılması (əməkdaşların təlimi və insidentlərin izlənməsi);

5) Fiziki təhlükəsizlik – avtorizə olunmamış girişin və təşkilatın informasiya sisteminin işinin pozulmasının qarşısının alınması;

6) Kommunikasiyanın və əməliyyatların idarə edilməsi – şəbəkələrin və kompyuterlərin təhlükəsiz fəaliyyətinin təmin edilməsi;

7) Girişin idarə edilməsi – biznes-informasiyaya girişin idarə edilməsi;

8) Sistemin alınması, yaradılması və sistemə xidmət edilməsi − təşkilatın informasiya sisteminin yaradılması və ya inkişafı zamanı informasiya təhlükəsizliyi tələblərinin yerinə yetirilməsi, tətbiqi proqramların və verilənlərin təhlükəsizliyinin dəstəklənməsi;

9) İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi;

10) Təşkilatın fasiləsiz fəaliyyətinin idarə edilməasi – fövqəladə hallarda təşkilatın fasiləsiz işinin təmin edilməsi üçün fəaliyyət planı;

11) Qanunvericiliyin tələblərinə uyğunluq müvafiq mülki və cinayət qanunvericiliyinin, müəllif hüquqları və informasiyanın mühafizəsi qanunları daxil olmaqla, tələblərinin yerinə yetirilməsi.


 Əlaqə:
 Telefon: (994 12) 5104253
 E-poçt: info at sciencecert dot az
2013 © AMEA İnformasiya Texnologiyaları İnstitutu
Saytdakı məlumatlardan istifadə edərkən www.sciencecert.az saytına istinad zəruridir.