Təhlükəsiz Kiber Dünyaya Giriş

Telegrama üzv ol

Yeni Əlavə olunanlar:

İnformasiya Təhlükəsizliyi İdarəetmə Sistemi(Rəsul İbrahimli)

ADNSU Fidan 27 mins0

Risklərin Qiymətləndirilməsi və İdarə Edilməsi

Risk, hər hansı bir təhlükənin təşkilata və ya sistemə zərər vermə ehtimalıdır. Bu zərər maddi itki, məlumat sızması və ya xidmətin dayanması şəklində ola bilər. Riskin qiymətləndirilməsi belə aparılır: Risk=Riskin təsiri * Riskin baş vermə ehtimalı

Risklərin qiymətləndirilməsi zamanı geniş istifadə olunan anlayışlar:

Təhlükə (Threat) – Təhlükə, sistemin və ya məlumatların təhlükəsizliyini pozmağa çalışan hər hansı hadisə, şəxs və ya qüvvədir. Təhlükələr texnoloji, fiziki və ya insan faktorlarına bağlı ola bilər. Məsələn, kiberhücumlar, təbii fəlakətlər və ya daxili işçilərin səhvləri təhlükələrə nümunədir.

Zəiflik (Vulnerability) – Zəiflik, bir təhlükənin təsirli olması üçün sistemdəki açıq nöqtə və ya çatışmazlıqdır. Zəifliklər proqram təminatındakı boşluqlar, zəif parol idarəetmə siyasətləri və ya şəbəkə konfiqurasiyasındakı yanlışlıqlar ola bilər. Zəifliklər aradan qaldırılmadığı halda təhlükələr üçün istismar nöqtəsi rolunu oynayır.

Hücum hadisəsi (Incident) – Hücum hadisəsi, təşkilata və ya sistemə zərər verən və ya vermə ehtimalı olan qeyri-qanuni fəaliyyətlərdir. Hadisələr kiberhücum, məlumat sızması, virus hücumu və ya sistemin pozulması ola bilər. Hadisələrin idarə olunması planı, bu cür vəziyyətlərdə təcili tədbirlərin görülməsini təmin edir.

Risklərin qiymətləndirilməsi ISMS-in əsas komponentlərindən biridir və simsiz təhlükəsizlik üçün də bu prosesin əhəmiyyəti böyükdür. Risklərin qiymətləndirilməsi zamanı təşkilatlar mövcud təhlükələri müəyyən etməli və bu təhlükələrin potensial təsirini qiymətləndirməlidir. Bu proses zamanı mövcud zəifliklər müəyyən edilir və bu zəifliklərin aradan qaldırılması üçün tədbirlər görülür. Simsiz təhlükəsizlikdə bu zəifliklərdən biri zəif şifrələmə protokollarının istifadəsi və ya identifikasiya proseslərinin yetərincə güclü olmamasıdır. Risk qiymətləndirməsi prosesinin əsas mərhələləri:

  1. Riskin müəyyən edilməsi (Risk Identification): Təşkilatın hansı risklərlə üzləşə biləcəyini müəyyən etmək.
  2. Riskin analizi təhlili (Risk Analysis): Mövcud təhlükələr və zəiflikləri dəyərləndirərək risk səviyyəsini təyin etmək.
  3. Riskin dəyərləndirilməsi (Risk Evaluation): Risklərin baş vermə ehtimalı və bu risklərin təşkilatın fəaliyyətinə təsiri təhlil olunur.

Riskin idarə edilməsi, aşkar edilmiş risklərin təsirini azaltmaq üçün tədbirlər görməkdən ibarətdir. Risklərin idarə edilməsi zamanı təşkilatlar bu risklərin təsirini minimuma endirmək üçün müxtəlif tədbirlər görməlidir. Məsələn, simsiz şəbəkələrin idarə olunmasında güclü şifrələmə protokollarından istifadə, şəbəkəyə girişin nəzarətdə saxlanılması və anormal vəziyyətlərin vaxtında müəyyən edilməsi üçün monitorinq tədbirlərinin tətbiqi kimi addımlar atılmalıdır. Bu tədbirlər ISMS çərçivəsində müəyyən edilmiş təhlükəsizlik siyasətlərinə uyğun olmalıdır. Risklər dörd əsas şəkildə idarə oluna bilər:

  1. Riskin qəbul edilməsi (Risk Acceptance): Riskin təsiri çox azdırsa, heç bir əlavə tədbir görülmədən risk qəbul edilir.
  2. Riskin azaldılması (Risk Mitigation): Riskin təsirini və ehtimalını azaltmaq üçün əlavə təhlükəsizlik tədbirləri görülür.
  3. Riskin köçürülməsi (Risk Transfer): Sığorta və ya üçüncü tərəf müqavilələri ilə riskin təsiri başqa bir quruma köçürülür.
  4. Riskdən imtina (Risk Avoidance): Riskdən tamamilə uzaqlaşmaq üçün risklə əlaqəli fəaliyyətlər dayandırılır.

Aktivlər

Risklərin qiymətləndirilməsi zamanı təşkilatlar aktivlərinəhəmiyyətini də nəzərə almalıdır. Aktivlərin əhəmiyyəti onların təşkilat üçün nə qədər vacib olması ilə ölçülür. Ən həssas aktivlər ən yüksək təhlükəsizlik tədbirləri ilə qorunmalıdır. Məsələn, təşkilatın müştəri məlumatları və ya maliyyə məlumatları kimi həssas məlumatlar yüksək təhlükəsizlik tədbirləri ilə qorunmalıdır. Bu məlumatlar simsiz şəbəkələr vasitəsilə ötürüldükdə, onların şifrələnməsi və yalnız yetkili şəxslərin girişinin təmin edilməsi vacibdir.

ISO 27005 standartı aktivlərin tərifini belə verir: Aktiv, təşkilat üçün dəyəri olan və buna görə qorunması lazım olan hər hansı bir şeydir. Aktivlər iki növə bölünür:

1. Əsas Aktivlər:

  • Biznes prosesləri və fəaliyyətləri (Business processes and activities): Təşkilatın əsas əməliyyat funksiyaları.
  • Məlumat (Information): Təşkilatın yaratdığı və istifadə etdiyi məlumatlar və biliklər.

2. Dəstək Aktivləri:

Əsas aktivlərin fəaliyyətini təmin edən və dəstəkləyən aktivlərdir. Bunlara daxildir:

  • Aparat təminatı (Hardware): Kompüterlər, serverlər və digər fiziki qurğular.
  • Proqram təminatı (Software): Məlumatları idarə edən və ya işləyən tətbiqlər və sistemlər.
  • Şəbəkə (Network): Əlaqəni təmin edən infrastruktur.
  • Personal (Personnel): Təşkilatın işçiləri.
  • Sahə (Site): Binalar, obyektlər və digər fiziki mühit.
  • Təşkilatın strukturu (Structure of organization): Təşkilatın idarəetmə və təşkilati strukturu.

Bu aktivlər təşkilatın təhlükəsizliyini təmin etmək üçün qorunmalıdır.

Təlim və Maarifləndirmə

Təşkilatların informasiya təhlükəsizliyi məqsədlərinə nail olmaq üçün işçilərin məlumatlandırılması və təlimləndirilməsi vacibdir. İnsan faktoru simsiz təhlükəsizliyin təmin olunmasında mühim rol oynayır. Əksər hallarda, təhlükəsizlik insidentləri işçilərin təhlükəsizlik qaydalarına əməl etməməsi və ya səhv davranışı nəticəsində baş verir. Bu səbəbdən təşkilatlar işçilərinə təhlükəsizlik siyasətləri və prosedurları barədə təlimlər verməlidir. Bu təlimlər işçilərin təhlükəsizlik qaydalarına uyğun davranmasını təmin edir və potensial təhlükələrin qarşısını almağa kömək edir.

İşçilərin maarifləndirilməsi üçün müxtəlif üsullar tətbiq oluna bilər. Təşkilatlar müntəzəm olaraq təhlükəsizlik təlimləri keçirməli və işçilərə simsiz şəbəkələrə giriş, güclü parol istifadəsi və phishing hücumları haqqında məlumat verməlidir. Xüsusilə sosial mühəndislik hücumları barədə işçilərin məlumatlandırılması vacibdir, çünki bu hücumlar vasitəsilə hücumçular işçiləri aldadaraq simsiz şəbəkələrə giriş əldə edə bilərlər. Bu cür hücumların qarşısını almaq üçün işçilər şübhəli e-poçtlar və ya mesajlarla qarşılaşdıqda necə davranmalı olduqlarını bilməlidirlər.

Monitorinq və Təhlil

Simsiz təhlükəsizliyin təmin olunmasında davamlı monitorinq və nəzarət tədbirləri də vacibdir. Şəbəkənin monitorinqi şəbəkəyə qoşulan cihazların izlənməsi və anormal vəziyyətlərin vaxtında müəyyənləşdirilməsi üçün həyata keçirilir. Bu proses ISMS-in bütövlük və əlçatanlıq prinsiplərinin təmin olunmasına xidmət edir. Monitorinq zamanı şübhəli hərəkətlər müəyyən edildikdə, bu hərəkətlər vaxtında araşdırılmalı və lazımi tədbirlər görülməlidir.

Şəbəkə loqlarının analizi də təhlükəsizliyin təmin olunmasında mühim rol oynayır. Loqlar vasitəsilə şəbəkəyə qoşulan cihazlar, onların IP ünvanları və qoşulma vaxtı barədə məlumat əldə edilə bilər. Bu məlumatlar şübhəli fəaliyyətlərin vaxtında müəyyən olunmasına və potensial təhdidlərin qarşısının alınmasına kömək edir. Monitorinq və loq analizi ISMS çərçivəsində məlumatların təhlükəsizliyini təmin etmək üçün vacibdir.

Təşkilatlar simsiz şəbəkələrin monitorinqi üçün müxtəlif texnoloji alətlərdən istifadə edə bilər. Bu alətlər şəbəkəyə qoşulan cihazların izlənməsi, şəbəkənin yüklənmə səviyyəsinin ölçülməsi və potensial zəifliklərin müəyyən edilməsi üçün istifadə olunur. Monitorinq alətləri təşkilatlara şəbəkənin təhlükəsizliyini təmin etmək üçün vacib məlumatlar təqdim edir və təhlükəsizlik insidentlərinin qarşısını almaq üçün lazımi tədbirlərin görülməsinə kömək edir.

ISMS və Standartlara Uyğunluq

ISMS tətbiq edərkən təşkilatlar ISO/IEC 27001 standartına uyğunluğu təmin etməlidir. Bu standart təşkilatların informasiya təhlükəsizliyini təmin etmək üçün qəbul etdiyi bir çərçivədir və təşkilatlara təhlükəsizlik siyasətlərini və prosedurlarını müəyyən etmək üçün rəhbərlik edir. ISO/IEC 27001 standartına uyğunluq təşkilatların informasiya təhlükəsizliyi məqsədlərinə nail olmaq üçün vacibdir və bu uyğunluq sertifikatlaşdırma yolu ilə təsdiq edilir.

Simsiz şəbəkələrin təhlükəsizliyi də ISO/IEC 27001 standartına uyğun olaraq təmin olunmalıdır. Bu standart təşkilatların məlumatların təhlükəsizliyini təmin etmək üçün görməli olduğu tədbirləri müəyyən edir və təşkilatlara təhlükəsizlik risklərinin idarə olunmasında rəhbərlik edir. Standartın tələblərinə uyğun olaraq, təşkilatlar simsiz şəbəkələrin təhlükəsizliyini təmin etmək üçün güclü kimlik doğrulama, məlumatların şifrələnməsi və risklərin qiymətləndirilməsi kimi tədbirlər görməlidir.

Təşkilatlar ISO/IEC 27001 standartına uyğunluq təmin etməklə yalnız məlumatlarının təhlükəsizliyini təmin etmir, eyni zamanda müştəriləri və tərəfdaşları qarşısında öz təhlükəsizlik səviyyələrini də göstərirlər. Bu uyğunluq təşkilatın etibarlılığını artırır və potensial müştərilər üçün cəlbedici bir faktor kimi qiymətləndirilir.

ISMS tətbiq edərkən təşkilatlar ISO/IEC 27001 standartına uyğunluğu təmin etməlidir. Bu standart təşkilatlara informasiya təhlükəsizliyini idarə etmək üçün bir çərçivə təqdim edir və təhlükəsizlik siyasətləri ilə prosedurlarını müəyyənləşdirməkdə rəhbərlik edir. ISO/IEC 27001 standartına uyğunluq təşkilatların informasiya təhlükəsizliyi məqsədlərinə nail olmaq üçün vacibdir və bu uyğunluq sertifikatlaşdırma yolu ilə təsdiqlənir.

Bununla yanaşı, təşkilatlar digər vacib 27k seriyalı ISO standartlarına da riayət etməlidirlər:

  1. ISO/IEC 27002
    Bu standart, ISO/IEC 27001 ilə uyğunlaşmaq üçün istifadə olunan təhlükəsizlik nəzarətləri haqqında ətraflı təlimatlar verir. O, təhlükəsizlik idarəetmə strategiyalarını və texniki nəzarət tədbirlərini dəstəkləyir.
  2. ISO/IEC 27005
    Risklərin idarə olunması və qiymətləndirilməsinə fokuslanan bu standart təşkilatlara informasiya təhlükəsizliyi risklərini aşkar etmək və idarə etməkdə rəhbərlik edir. ISO/IEC 27005, risklərin qiymətləndirilməsi və müalicə proseslərini dəqiq şəkildə izah edir.
  3. ISO/IEC 27017
    Xüsusilə bulud xidmətlərinə yönələn təhlükəsizlik nəzarətləri ilə əlaqədardır. Bu standart, bulud xidmət təminatçısı və istifadəçiləri üçün təhlükəsizlik nəzarətləri təmin edir və bulud əsaslı xidmətlərin təhlükəsizliyini təmin etmək üçün göstərişlər verir.
  4. ISO/IEC 27018
    Şəxsi məlumatların bulud xidmətlərində qorunmasını hədəfləyən bu standart, məxfilik qoruma tədbirlərinə yönəlib. Bu standart şəxsən müəyyən edilə bilən məlumatların (PII) qorunması üçün xüsusi qaydaları müəyyən edir.
  5. ISO/IEC 27701
    Məlumat məxfiliyi idarəetmə sistemlərini əhatə edən bu standart, təşkilatlara məlumat məxfiliyini təmin etmək üçün əlavə təlimatlar təqdim edir. Şəxsi məlumatların işlənməsinə nəzarət edən təşkilatlar üçün xüsusilə vacibdir.

Təşkilatlar bu standartlara uyğunlaşmaqla yalnız məlumatlarının təhlükəsizliyini təmin etmirlər, eyni zamanda müştərilər və tərəfdaşlar qarşısında etibarlılıqlarını artırır və bu, rəqabət üstünlüyü kimi çıxış edir.

Nəticə

İnformasiya Təhlükəsizliyi İdarəetmə Sistemi (ISMS) və simsiz təhlükəsizlik bir-birini tamamlayan və təşkilatların məlumatlarının təhlükəsizliyini təmin etmək üçün vacib olan komponentlərdir. ISMS təşkilatlara təhlükəsizlik siyasətlərini və prosedurlarını müəyyən etmək üçün bir çərçivə təqdim edir və bu çərçivədə simsiz şəbəkələrin təhlükəsizliyini təmin etmək üçün müxtəlif tədbirlər həyata keçirilir. Simsiz təhlükəsizlik ISMS-in əsas prinsiplərinə uyğun olaraq məlumatların məxfilik, bütövlük və əlçatanlıq prinsiplərini təmin edir.

Təşkilatlar simsiz şəbəkələrinin təhlükəsizliyini təmin etmək üçün güclü şifrələmə protokollarından istifadə etməli, güclü kimlik doğrulama tədbirləri tətbiq etməli, riskləri qiymətləndirməli və işçilərini məlumatlandırmalıdır. Eyni zamanda, şəbəkənin davamlı monitorinqi və loqların analizi də təhlükəsizliyin təmin olunmasında mühim rol oynayır. ISO/IEC 27001 standartına uyğunluğun təmin olunması isə təşkilatların təhlükəsizlik səviyyələrinin yüksək olmasını və bu sahədə beynəlxalq tələblərə cavab verməsini təmin edir.

Simsiz təhlükəsizliyin təmin olunması ISMS-in bir hissəsi olaraq təşkilatların məlumatlarının təhlükəsizliyini təmin etmək üçün vacibdir və bu tədbirlər təşkilatın ümumi informasiya təhlükəsizliyi strategiyasının bir hissəsi kimi həyata keçirilməlidir.

ADNSU Fidan

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Articles

Qaçırmış Ola Bilərsiniz