Add to collection(s) Add to saved
  1. No category
Uploaded by Фуркат Казаков

Birlashtirilgan maruza Tarmoq xavfsizligi 2 42-83

advertisement 
Тармоқ хавфсизлиги
3-маъруза. Тармоқларнинг ахборот хавфсизлиги
стандартлари.
+998 71 238 6525
@tarmoq_xavfsizligi
www.tuit.uz
108 Amir Temur Street,
Tashkent, Uzbekistan
100200
Тармоқ хавфсизлиги стандартлари
O‘z DSt ISO/IEC 270331:2016
O‘z DSt ISO/IEC 270332:2016
O‘z DSt ISO/IEC 270333:2016
O‘z DSt ISO/IEC 270334:2016
O‘z DSt ISO/IEC 270335:2016
1
ХАВФСИЗЛИКНИ ТАЪМИНЛАШ УСУЛЛАРИ.
ТАРМОҚ ХАВФСИЗЛИГИ. 1-ҚИСМ.
ШАРҲ ВА КОНЦЕПЦИЯЛАР
2
ТАРМОҚ ХАВФСИЗЛИГИНИ
ЛОЙИҲАЛАШТИРИШ ВА ЖОРИЙ
ЭТИШ БЎЙИЧА РАХБАРИЙ КЎРСАТМАЛАР
3
ЭТАЛОН ТАРМОҚ СЦЕНАРИЙЛАРИ. ТАҲДИДЛАР,
ЛОЙИҲАЛАШТИРИШ УСУЛЛАРИ ВА БОШҚАРУВ
МАСАЛАЛАРИ
4
ХАВФСИЗЛИК ШЛЮЗЛАРИНИ ҚЎЛЛАГАН ҲОЛДА
ТАРМОҚЛАРАРО ХАВФСИЗЛИКНИ ТАЪМИНЛАШ
УЧУН КОММУНИКАЦИЯЛАР
5
ВИРТУАЛ ҲУСУСИЙ ТАРМОҚЛАРНИ ҚЎЛЛАГАН
ХОЛДА ТАРМОҚЛАРАРО ХАВФСИЗЛИКНИ
ТАЪМИНЛАШ УЧУН КОММУНИКАЦИЯЛАР
08/03/21
2
O‘z DSt ISO/IEC 27033 бошқарув хавфсизлиги, ахборот
тизимлари тармоқларининг ишлаши ва
фойдаланилиши ҳамда уларнинг уланиши аспектлари
бўйича батафсил тавсияномаларни ўзида мужассам
этган. Ташкилотда ахборот хавфсизлигини умуман ва
тармоқ хавфсизлигини қисман таъминлашга масъул
шахслар ушбу стандартда келтирилган материалларни
ўзининг конкрет талабларига мувофиқлаштириш
имкониятига эга бўлиши керак.
O‘z DSt ISO/IEC
27033 ?
Қайд этиш лозимки, O‘z DSt ISO/IEC 27033
тармоқ хавфсизлигини бошқариш воситаларини
амалга ошириш бўйича O‘z DSt ISO/IEC 27002
асосий стандартида келтирилган таърифларга
қўшимча равишда батафсил келтирилган
тавсияларни ўзида мужассам этади.
08/03/21
3
Норматив ҳаволалар
O‘z DSt ISO/IEC 7498-1:2009 Ахборот
технологияси. Очиқ тизимларнинг
ўзаро боғлиқлиги. Асосий эталон
модел. 1-қисм. Асосий модел
O‘z DSt ISO/IEC 27002:2016 Ахборот
технологияси. Хавфсизликни
таъминлаш усуллари. Ахборот
хавфсизлигини бошқаришнинг
амалий қоидалари
O‘z DSt ISO 7498-2:2011 Ахборот
технологияси. Очиқ тизимларнинг
ўзаро боғлиқлиги. Асосий эталон
модел. 2-қисм. Хавфсизлик
архитектураси
O‘z DSt ISO/IEC 27004:2014 Ахборот
технологияси. Хавфсизликни
таъминлаш усуллари. Ахборот
хавфсизлигини бошқариш тизими
самарадорлигини ўлчаш
O‘z DSt ISO/IEC 27000:2014 Ахборот
технологияси. Хавфсизликни
таъминлаш усуллари. Ахборот
хавфсизлигини бошқариш
тизимлари. Шарҳ ва луғат
O‘z DSt ISO/IEC 27005:2013 Ахборот
технологияси. Хавфсизликни
таъминлаш усуллари. Ахборот
хавфсизлиги рискларини бошқариш
O‘z DSt ISO/IEC 27001:2009 Ахборот
технологияси. Хавфсизликни
таъминлаш усуллари. Ахборот
хавфсизлигини бошқариш тизимлари.
Талаблар
O‘z DSt ISO/IEC 27035:2015 Ахборот
технологияси. Хавфсизликни
таъминлаш усуллари. Ахборот
хавфсизлиги инцидентларини
бошқариш
08/03/21
4
O‘z DSt ISO/IEC 27033 стандартлари серияси бўйича
йўналтирувчи
1- Қисм.
ШАРҲ ВА
КОНЦЕПЦИЯЛАР
2 - Қисм.
ТАРМОҚ ХАВФСИЗЛИГИНИ
ЛОЙИҲАЛАШТИРИШ ВА
ЖОРИЙ ЭТИШ БЎЙИЧА
РАХБАРИЙ КЎРСАТМАЛАР
4- Қисм.
ХАВФСИЗЛИК ШЛЮЗЛАРИНИ
ҚЎЛЛАГАН ҲОЛДА ТАРМОҚЛАРАРО
ХАВФСИЗЛИКНИ ТАЪМИНЛАШ УЧУН
КОММУНИКАЦИЯЛАР
3- Қисм.
ЭТАЛОН ТАРМОҚ СЦЕНАРИЙЛАРИ.
ТАҲДИДЛАР, ЛОЙИҲАЛАШТИРИШ
УСУЛЛАРИ ВА БОШҚАРУВ
МАСАЛАЛАРИ
5- Қисм.
ВИРТУАЛ ҲУСУСИЙ ТАРМОҚЛАРНИ
ҚЎЛЛАГАН ХОЛДА ТАРМОҚЛАРАРО
ХАВФСИЗЛИКНИ ТАЪМИНЛАШ
УЧУН КОММУНИКАЦИЯЛАР
08/03/21
5
Тармоқ хавфсизлигини режалаштириш ва бошқариш
Шунингдек қаранг
O’z DSt ISO/IEC 27001,
O’z DSt ISO/IEC 27002
O’z DSt ISO/IEC 27003
O’z DSt ISO/IEC 27004
O’z DSt ISO/IEC 27005
Риск доира
контекстини аниқлаш
ва кейинги баҳолаш
Бошқарув
воситаларини
қўлловчи
идентификация
Хавфсизлик ва
бошқарувнинг талаб
этиладиган махсус
архитектураси
идентификацияси
Ишлаб чиқиш амалга
ошириш ва тестлаш,
шунингдек,
експлуатация,
мониторинг ва
текширув
Тармоқлар билан боғлиқ рискларни идентификациялаш ва хавфсизликни
бошқариш воситаларини идентификацияга тайёрлаш:
а) жорий ва (ёки) режалаштирилган тармоқ муҳити тўғрисидаги
ахборотларни йиғиш:
1) ахборот хавфсизлиги корпаратив сиёсатини текшириш;
2) тармоқ архитектураси, иловалари ва сервисларини текшириш;
3) тармоқ уланишлари кўринишлари идентификацияси;
4) бошқа тармоқ характеристикаларини кўриб чиқиш;
5) бизнесга потенсиал салбий таъсирни, бизнес таҳдидларини ва
заифликларни баҳолаш имкониятини олиш учун ахборотни йиғиш;
б) ахборот хавфсизлиги ва бошқарув воситалари потенсиал доираси
рискларини идентификациялаш:
1) хавфсизлик ва раҳбарият томонидан ўтказиладиган текширув рискларни
баҳолашни амалга ошириш (шунингдек O’z DSt ISO/IEC 27002, O’z DSt
ISO/IEC 27005 га қаранг ) - зарур бўлган ҳолларда талаб етиладиган тармоқ
сенарийлари "технология" сўровлари билан боғлиқ риск тўғрисидаги
ахборотлардан фойдаланиш (10- ва 11- бўлимларни қаранг ) - Хавфсизлик
талабларини аниқлаш (7- бўлимини қаранг)
Қўлланувчи бошқарув воситалари идентификацияси:
- нотехник;
- фақатгина тармоқларда қўлланилмайдиган техник(8-бўлимга қаранг);
Хавфсизлик махсус архитектура/лойиҳа вариантларини текшириш
тармоқ сенарийларини кўриб чиқиш ва тармоқ "технологиялари"
масалалари, хавфсизликнинг махсус афзал бўлган
архитектура/лойиҳалари ва улар билан боғлиқ бошқарув
воситаларини танлаш ва ҳужжатлаштириш(9-11-бўлимига қаранг)
Хавфсизлик таъминлаш бўйича йечимларни ишлаб чиқиш, амалга
ошириш ва тестлаш (12-бўлимг ақаранг)
Хавфсизлик таъминлашни амалга ошириш (13-бўлимг ақаранг)
Aмалга оширишни мониторинг қилиш ва текшириш (14-бўлимга
қаранг)
вақт вақти билан ва
сезиларли ўзгаришлар
бўлган ҳолларда
ўтказиладиган
текширишлар (бизнес,
технология,
хавфсизликни
таъминлаш бо;йича
йечимлар ва ҳ.к. талаб
бўлганда)
08/03/21
6
Тармоқ хавфсизлиги рисклари доираси концептуал
модели
08/03/21
7
Тармоқ хавфсизиги рискини баҳолаш ва бошқариш
жараёнлари
08/03/21
8
11
12
13
14
Тармоқ хавфсизлиги махсус архитектурасининг юқори сифатига қандай эришиш йўллари,
шунингдек, типик тармоқ сценарийлари ва тармоқ «технологиялари» (O‘z DSt ISO/IEC 27033 нинг
кейинги қисмларида батафсил
кўриб
чиқилади)
доиралари
билан
боғлиқ
риск,
лойиҳалаштириш, бошқарув воситалари аспектлари билан таништиради, ва тармоқ хавфсизлиги
бошқарув воситаларини амалга ошириш ва ишлаши, доимий мониторинг ва уларни амалга
оширилишини текшириш билан боғлиқ масалаларни қисқача кўриб чиқилишини ўзида мужассам
этган.
«Технологиялар» аспектлари –
рисклар, лойиҳалаштириш усуллари
ва бошқариш воситаларига
тегишли масалалар
- локал ҳисоблаш тармоқлари;
- глобал ҳисоблаш тармоқлари;
- симсиз тармоқлар;
- радио тармоқлар;
- кенг полосали тармоқлар;
- хавфсизлик шлюзлари;
- виртуал хусусий тармоқлар
Хавфсизликни таъминлаш бўйича
аппарат-дастурий воситалар ва
хизматлар комплексини ишлаб
чиқиш ва тестлаш
- хавфсизлик махсус архитектураси;
- тармоқ хавфсизлиги сиёсати;
- SecOPs билан боғлиқ ҳужжатлар;
- шлюз хавфсизлиги
хизматларидан фойдаланиш
(хавфсизлик) сиёсати;
- фаолият узлуксизлигини
таъминлаш режаси(лари);
- уланиш хавфсизлигини
таъминлаш шартлари (зарур
бўлганда).
Хавфсизликни таъминлаш бўйича
аппарат-дастурий воситалар ва
хизматлар комплексини амалга
ошириш
«Амалга ошириш» тушунчаси
хавфсизликни таъминлаш бўйича
аппарат-дастурий воситалар ва
хизматлар келишилган
комплексини, ўтказилган
хавфсизликни тестлаш натижалари
ва улар билан боғлиқ олдиндан
бажарилган зарур ҳаракатларининг
қўлланилиши билан амалдаги
тармоқнинг (кундалик) ишлашини
англатади.
Аппарат-дастурий воситалар
ва хизматлар комплекси
мониторинги ва таҳлили
эксплуатацияси
Эксплуатация бошлангандан сўнг
давлат стандартлари, ташкилот
стандартлари (давлат стандартлари
мавжуд бўлмаганда) талабларига
жорий мониторинг ва таҳлил
мувофиқлиги ҳаракатлари
ўтказилиши керак.
08/03/21
9
Қўллаб-қувватловчи
бошқариш воситалари
• Кириш
• Бостириб киришни
аниқлаш ва олдини
• Тармоқ хавфсизлигини
олиш
бошқариш
• Техник заифликларни • Зарарловчи
дастурлардан ҳимоя
бошқариш
Идентификация ва
• Криптографияга
аутентификация
асосланган хизматлар
• Назорат журналларини • Бизнес узлуксизлигини
юритиш ва тармоқ
бошқариш
мониторинги
Тармоқ хавфсизлигини
бошқариш фаолияти
Кириш
Тармоқ хавфсизлиги
сиёсати
Тармоқ хавфсизлиги
операцион жараёнлари
Тармоқ хавфсизлиги
талабларига мувофиқликни
текшириш
Тармоқ хавфсизлиги
талабларига мувофиқликни
текшириш
Кўпгина ташкилотлар билан
тармоқ уланиши хавфсизлигини
таъминлаш шартлари
Масофавий тармоқ
фойдаланувчилари учун
хавфсизликни
таъминлашнинг
ҳужжатлаштирилган шартлари
Тармоқ хавфсизлиги
инцидентларини бошқариш
Тармоқ хавфсизлигини
таъминлаш билан боғлиқ
вазифалар ва мажбуриятлар
08/03/21
10
Типик тармоқ сценарийлари – рисклар, лойиҳалаштириш
усуллари ва бошқариш воситаларига тегишли масалалар
Кириш
Аутсорсинг хизматлари
Ходимлар учун Интернетдан фойдаланиш
хизмати
Тармоқ сегментацияси
Ҳамкорликдаги ишларнинг кенгайтирилган
хизматлари
Мобил алоқа
«Бизнес - бизнес» хизматлари
Сафарларда бўлган фойдаланувчиларнининг
тармоқ томонидан қўллаб-қувватланиши
«Бизнес - мижоз» хизматлари
Уй офислари ва кичик корхоналар
офисларининг тармоқ томонидан қўллабқувватланиши
08/03/21
11
Тармоқ сценарийларини тартибга солиш тузилмаси
Ички
Фойдаланувчилар
Ташкилотдан ташқарида
ишловчи ходимлар
Ташқи
Очиқ
-ходимлар учун
Интернетдан
фойдаланиш
хизматлари;
- бизнес-бизнес
хизматлари
- бизнес-мижоз
хизматлари
Чегараланган
- биргаликда
фойдаланиш учун
хизматларни кенг
татбиқ этиш;
- бизнес-бизнес
хизматлари;
- тармоқ сегментацияси;
- уйда ёки кичик
корхоналарда
ишловчиларни тармоқ
орқали қўллабқувватлаш
- биргаликда
фойдаланиш
учун
хизматларни
кенг татбиқ
этиш;
- бизнес-бизнес
хизматлари;
- бизнес-мижоз
хизматлари
Ташқи
- аутсорсинг хизматлари
Ахборот ресурсларидан
фойдалана олишлик
- мобил алоқа;
- мобил
фойдаланувчиларни
тармоқ
орқали қўллабқувватлаш
- аутсорсинг хизматлари
08/03/21
12
Стандартдаги сценарийлар тартиби
Ходимлар учун Интернетдан
фойдаланиш хизматлари
(7-бўлим)
Бизнес-бизнес хизматлари
(8-бўлим)
Тармоқ сегментацияси (11-бўлим)
Уйда ёки кичик корхоналарда
ишловчиларни тармоқ орқали
қўллаб-қувватлаш (12-бўлим)
Мобил алоқа (13-бўлим)
Бизнес-мижоз (9-бўлим)
Мобил фойдаланувчиларни
тармоқ орқали қўллабқувватлаш (14-бўлим)
Биргаликда фойдаланиш учун
хизматларни кенг татбиқ этиш
(10-бўлим)
Аутсорсинг хизматлари
(15-бўлим)
08/03/21
13
ЁНДАШУВЛАР
Сценарийнинг кирувчи
ахборотлари ва
чегараларини текшириш
1
2
Сценарийга мос келувчи
таҳдидларнинг тавсифи
5
Аниқланган
заифликларга нисбатан
риск таҳлилини ўтказиш
Тармоқ хавфсизлигини
таъминлашни амалга
ошириш бўйича тавсияларни аниқлаш
3
4
Кўриб чиқилаётган
заифликларнинг
бизнесга таъсирини
таҳлил қилиш
14
Тармоқ хавфсизлигини таъминлаш усулларига мисоллар
Хавфсизлик бўйича
талаблар
Хавфсизликни таъминлаш механизмлари/усуллари
Фойдалана олишлиликни
бошқариш
Кириш учун рухсатномалар тизими (идентификация карточкалари), ACL, мажбуриятларни
тақсимланиши
Аутентификация қилиш
Тизимга киришни соддалаштирилган рўйхатдан ўтказиш/пароль, рақамли сертификатлар,
электрон рақамли имзо, TLS нинг 1.2 версияси, SSO, СНАР
Фойдалана олишлилик
Керагидан кўплик ва резерв нусҳа олиш, тармоқлараро экранлар, IDS/IPS (DoS ҳужумларини
блокировка қилиш учун), бизнеснинг узлуксизлиги, тармоқ бошқаруви ва SLA билан хизматларни
бошқариш
Алоқа хавфсизлиги
IPSec/L2TP, хусусий алоқа линиялари, мослаштирилган тармоқлар
Конфиденциаллик
Шифрлаш (3DES, AES, шунингдек O‘z DSt 1105 да келтирилган шифрлаш алгоритмлари),
фойдалана олишлиликни бошқариш рўйхати, файллардан фойдалана олишлик ҳуқуқи
Яхлитлик
IPSec HMAC (мисол учун, SHA-256), даврий керагидан кўп назорат, антивирус дастурий таъминоти
Рад этмаслик
Ҳодисаларни рўйхатга олиш, роллар асосида фойдалана олишлиликни бошқариш ва электрон
рақамли имзолар
Хиралик
IP-сарлавҳаларни шифрлаш (мисол учун, IPSec, NAT (4-версиядаги IP учун) туннеллаш режимили
VPN
08/03/21
15
Интернетдан фойдаланиш бизнес
эҳтиёжларидан келиб чиқиб тақдим
этилган
агар Интернетдан фойдалана олиш ҳуқуқи
(чегараланган тарзда) шахсий эҳтиёжларидан
келиб чиқиб берилган бўлса, у ҳолда қандай
хизматлардан фойдаланишга рухсат берилган
Ходимлар учун
Интернетдан фойдалана
олиш хизматлари
биргаликда фойдаланиш учун хизматларни
кенг татбиқ этиш рухсат этилганми
ходимларга чатларда, форумларда ва ҳак.
қатнашишга рухсат берилганми
Гарчи, кўп ҳолларда, ёзилган сиёсат
Интернетдан номақбул фойдаланишда муҳим
тўхтатиб турувчи фактор сифатида рол
ўйнасада, ташкилот хануз катта ахборот
хавфсизлиги рискларига йўлиқиб туради
08/03/21
16
Ахборот хавфсизлиги талабларига боғлиқ
талаблар
конфиденциаллик билан (айниқса электрон банк хизматларини
кўрсатишга нисбатан)
аутентификация қилиш билан
яхлитлик билан
фойдалана олишлик билан
- фойдаланувчи ва провайдер ўртасида транзакция маршрути ҳимояси
учун фойдаланувчи бизнес хизматларини кўрсатилишини кутаётган
жойларда ахборот узатиш хавфсизлиги билан. Моҳир ҳужумларга қарши
туриш (масалан «ўртада одам» ёки «браузерда одам» кабилар билан
17
Бизнес-мижоз хизматлари билан боғлиқ
хавфсизлик таҳдидлари
Вирус ҳужумлар ва зарарловчи
дастурларни жорий этиш
«Хизмат кўрсатишда рад этиш»
ҳужумлари
Муаллифлаштирилмаган
фойдалана олиш
Транзакцияларни ахборот билан
тўлдиришни қалбакилаштириш
(хабарлар олувчигача етиб
бормайди ёки ахборотлар
узатиш вақтида ўзгартирилади)
08/03/21
18
Тармоқ муҳити намунаси
08/03/21
19
Таҳдидлар ва хавфсизлик бўйича талаблар ўртасидаги ўзаро алоқа
ТАЛАБЛАР
ТАҲДИДЛАР
Логик
тармоқ
сегмента
циясини
таъминлаш
Ваколатли фойдаланувчиларга хизмат
кўрсатишда рад этиш
Логик
тармоқла
р орқали
ўтувчи
трафикни
чеклаш ва
таҳлил
қилиш
Танланган иловаларда
уланишни
текширишда ёки проксисервер операцияларида
ташкилот
тармоғига киришни ва
тармоқдан
чиқишни назорат қилиш
X
Ташкилот
тармоқ
хавфсизли
ги
сиёсатини
бажариш
Кейинги
аудит учун
трафикни
қайд этиш
Иловаларнинг
ички тармоғи,
хости ва
архитектурасини
яшириш/маскиро
вкалаш
Тармоқни
бошқариш
функцияларини
енгиллаштириш
имкониятларини
таъминлаш
X
X
X
Маълумотларнинг рухсатсиз
модификацияси
X
X
X
X
X
X
Маълумотларнинг рухсатсиз
ошкора этилиши
X
X
X
X
X
X
X
X
X
X
X
Тизимли конфигурациянинг
рухсатсиз ўзгартирилиши
Ташкилот тармоқ ресурслари ва
активларидан рухсатсиз фойдаланиш
X
X
X
X
X
X
X
Рухсат этилмаган контент
X
X
X
X
X
X
X
Виртуализациянинг бузилиши
X
X
X
X
X
X
X
X
X
Хавфсизлик шлюзларига DoSва DDoS-ҳужумлари
X
08/03/21
20
Шлюзни икки томонлама улаш
08/03/21
21
Тармоқ қурилмалари хавфсизлик шлюзи
конфигурацияси учун тавсиялар
DMZ га мувофиқ келувчи
ҳимояланган тармоқ архитектураси
учун коммутацияланадиган тармоқ
бўлиши керак
портлар рухсатсиз
фойдаланилмаслигига ишонч
ҳосил қилиш
маршрутизатор(лар) ва
хавфсизлик шлюзи ўртасида
статистик маршрутизация бўлиши
керак
агар бостириб киришларни аниқлаш
тизимидан фойдаланиш талаб этилмаса,
SPA- портлар рухсатсиз
фойдаланилмаслигига ишонч ҳосил қилиш
маршрутизация манбааси
ахбороти қабул қилинган бўлиши
керак
қурилма интерфейсларида
пароллар ўрнатилганига ишонч
ҳосил қилиш
фақатгина «ҳимояланган платформа»
ишлаши учун керакли бўладиган
дастурий таъминотни хавфсизлик
шлюзига ўрнатиш керак
RIP протоколи «берилган тугунлар
орқали маршрутизация» хабарини
рад этиш зарур
08/03/21
22
Хавфсизлик
воситалари ва
параметрлари
ТАЛАБАЛАР УЧУН
ТОПШИРИҚ !!!
1
Тармоқлараро экран-илова камида,
қуйидагиларни таъминлаши керак
2
Пакетлар фильтрацияси қурилмаси энг
камида қуйидагиларни қўллаб-қувватлаш
имкониятига эга бўлиши керак
3
Пакетлар фильтрацияси ва ҳолатини
сақлаган ҳолда фильтрация қурилмаси энг
камида қуйидагиларни қўллаб-қувватлаш
имкониятига эга бўлишлари керак
4
Қўшимча равишда, ҳолатини сақлаган ҳолда
фильтрация қурилмаси энг камида
қуйидагиларни қўллаб-қувватлаш имкониятига
эга бўлиши керак
5
Бошқа турли функцияларни ёки созлашларни
текшириш талаб этилади, масалан:
08/03/21
23
Эьтиборингиз
учун раҳмат
Тармоқ хавфсизлиги
4-маъруза. Компьютер тизимлари ва тармоқларида
хавфсизлик сиёсати ва моделлари.
+998 71 238 6525
@tarmoq_xavfsizligi
www.tuit.uz
108 Amir Temur Street,
Tashkent, Uzbekistan
100200
Хавфсизлик сиёсати бу - ташкилотни ҳимоялаш
мақсадида амалга оширилган хавфсизлик назоратини
тавсифловчи юқори сатҳли ҳужжат ёки ҳужжатлар
тўплами.
Хавфсизлик сиёсати конфиденциалликни,
фойдаланувчанликни, яхлитликни ва актив қийматини
сақлайди.
Хавфсизлик
сиёсати нима?
Хавфсизлик сиёсатисиз, ташкилотни бўлиши
мумкин жиноий иш, фойданинг йўқолиши ва
ёмон ошкорлик каби ҳолатларни олдини олиш
имконсиз.
14/03/21
2
Хавфсизлик сиёсати нимага керак?
Турли заифликлар натижасида ҳосил
бўлган хавфсизлик таҳдидларига
қарши курашиш ва уни ахборотни
йўқолишидан ҳимоялаш учун;
Кучайтирилган маълумот ва тармоқ
хавфсизлиги
Рискларни камайтириш
Ташкилотнинг барча
функцияларини хавфсиз тарзда
амалга оширилиши учун;
Қурилмалардан фойдаланиш ва
маълумотлар трансферининг
мониторингланиши ва
назоратланиши
Ташқи ахборот таҳдидларига
компаниянинг дучор бўлишини
камайтириш учун;
Тармоқни юқори унумдорлиги
Муаммоларга тезкор жавоб бериш ва
ҳаракатсиз вақтнинг камлиги
Хавфсизлик сиёсатлари таҳдидларни
содир бўлишидан олдин башоратлаш
ва заифликларни аниқлаш орқали
хавфсизлик бузилишлари ҳолати
эҳтимолини камайтиради;
Бошқарувдаги стресс даражасини
камайиши
Харажатларни камайиши
Хавфсизлик сиёсатларининг афзалликлари
14/03/21
3
Хавфсизлик сиёсатининг иерархияси
Қонунлар
Ушбу сиёстлар ташкилотдаги ҳар бир ходим амалга
ошириши керак бўлган қонунларни ўрнатади.
Норматив ҳужжатлар ходимларни қонунларга риоя
Норматив
ҳужжатлар
Сиёсатлар
қилишини кафолатлайди.
Сиёсатлар ёрдамида, ташкилот ўз тармоқ хавфсизлиги учун
қонуний ва ички тармоқ талабларини ишлаб чиқади.
Стандартлар сиёсатни амалга ошириш
Стандартлар
Инструкциялар
Муолажалар
Умумий қоидалар
усулларини тавсифлайди.
Инструкциялар ташкилот сиёсати ва стандартларини
амалга ошириш стратегиясини аниқлайди.
Муоалажалар ташкилот сиёсатларини бажариш
жараёнини амалга оширувчи кетма-кет
босқичлар тўпламидир.
Умумий қоидалар танловга кўра
маслаҳатлар билан таъминловчи нарса.
14/03/21
4
Хавфсизлик сиёсатининг контенти
Хавфсизлик талаблари
• Интизом хавфсизлиги
талаблари
• Қўриқлаш хавфсизлиги
талаблари
• Муолажавий хавфсизлик
талаблари
• Кафолат хавфсизлиги
талаблари
Сиёсат тавсифи
Мазкур қисмда асосий
эътибор хавфсизлик
тартибига, қўриқлаш,
муолажалар, амалларнинг
боғлиқлиги ва
ҳужжатлаштиришга
қаратилади.
Амалнинг хавфсизлик
тушунчаси
Уш бу тушунчалар хавфсизлик
сиёсатининг ролларини,
жавобгарликлари ва
функцияларини аниқлайди.
Элементлар
жойлашувининг
архитектураси
Ушбу сиёсат дастурдаги ҳар
бир тизим учун компьютер
тизимлари архитектурасини
жойлашувини таъминлайди.
14/03/21
5
Сиёсатнинг типик мазмуни
Мақсад
1
Сиёсат нима учун тузилганлигин батафсил
тушунтириш
Ҳаракат соҳаси
2
Кимни ва нимани қамраб олиш ҳақидага
ахборотни ўз ичига олади
Қоидалар ва
жавобгарликлар
3
Ходимлар ва бошқарув учун аниқланади
4
Мижозлар ва фойдаланувчилар риоя қилиши
керак бўлган рухсат бериш/ рад этиш жараёнини
белгилайди
5
Сиёсат санкциялари ва / ёки бузилишлари йуз
берганда ким билан боғлиниш кераклиги
ҳақидаги ахборот
Санксиялар ва
бузилишлар
Контакт маълумотлари
14/03/21
6
Тармоқ хавфсизлиги сиёсатини яратиш ва амалга
ошириш
Риск таҳлили
Стандартлар
Конфиденциаллик
Фойдаланувчанлик
Яхлитлик
Юқори
даражали сиёсатлар
Ҳимоялаш
Тармоқ
хавфсизлиги сиёсати
Маҳсус
фойдаланиш
Тармоқ хавфсизлигини
амалга ошириш
14/03/21
7
Тармоқ хавфсизлиги сиёсатини
яратишнинг 5 итератив қадами
Хавфсизлик сиёсати - бу
ташкилотнинг
технологиялари ва
ахборот активларига
кириш ҳуқуқига ега
бўлган фойдаланувчилар
амал қилиши керак
бўлган қоидаларнинг
расмий баёнидир
1
Нимани ҳимоялашни аниқлаш
2
Нимадан ҳимоялашни аниқлаш
3
Таҳдидларнинг содир бўлиш эҳтимолини аниқлаш
4
Ташкилот активларини рентабел усулда ҳимоялаш
чораларини кўриш
5
Иш жараёнини доим кузатиб бориш ва заиф нуқта
аниқланганда ҳар сафар тизимни яхшилаш
14/03/21
8
Тармоқ хавфсизлиги сиёсатини қоидаларига риоя
этишни таьминлаш
Any employee found to have violated
any of these policies might be subject
to disciplinary action, up to and
including termination of employment!!!
Тармоқ
хавфсизлиги сиёсати
Бошқарувчи
кўрсатмалар
Процедуралар
14/03/21
9
Тизимнинг ҳаётий цикли
Ишлаб
чиқариш босқичи
Ривожлантириш
Тармоқ
хавфсизлиги сиёсати
Тармоқ
хавфсизлигини тестлаш
Тестлаш
Хавфсизлик
Мониторинг
Амалга ошириш
босқичи
Тармоқ
хавфсизлигини амалга
ошириш
Тармоқ
хавфсизлигини
аудитлаш
Операциялар & Хизмат
кўрсатиш босқичи
14/03/21
10
Cisco Security Policy Manager GUI
https://www.cisco.com/c/en/us/support/
docs/security/ips-4200-seriessensors/6117-ids2cspm-6117.html
14/03/21
11
Тармоқ хавфсизлиги сиёсатини бошқариш фреймворки
14/03/21
12
Мавжуд тизимлар билан интеграциялашган сиёсатни текшириш инструменти
14/03/21
13
Фойдаланишни чеклаш ва таьқиқлаш
Бошқа бировни таҳдид қилиши,
безовта қилиши, қўрқитиши ёки
безовта қилишимумкин бўлган
материалларни яратиш ёки
узатиш.
Туҳмат қилувчи материални
яратиш ёки узатиш
Қайси серверда жойлашишидан
қаьтий назар ташкилот фаолияти
билан боғлиқ шахсий веб
саҳифаларни очиш ва юритиш
Иш фаолиятига тегишли
бўлмаган ҳужжатларни чоп
этиш
«Фойда олиш» учун бизнес
фаолиятини юритиш ёки унда
қатнашиш
Иш фаолияти билан боғлиқ
бўлмаган ҳолатларда
интернетдан фойдаланиш,
қўшимча қурилмалардан
фойдаланиш
Иш билан боғлиқ тергов мақсадлари
учун ва бўлим бошлиғи томонидан
тасдиқланган ҳолатлардан ташқари ҳар
қандай "катталар учун мўлжалланган
кўнгил очиш", порнографик ёки одобсиз
материалларга кириш, кўриш ёки олиш
Қонунларни ёки ташкилотнинг
ички меьёрий ҳужжатларида
келтирилган талабларга амал
қилмаслик
14/03/21
14
Интернет контентини
фильтрлаш
• 1. ХодимларнингИнтернетдан фойдаланишга
сарфланган вақтини камайтириш.
• 2. Ходимларнинг вазиятларни текширишда
интернетга сарфланадиган вақтини қисқартириш.
• 3. Ишга алоқадор бўлмаган ҳолатларда Интернетбраузерлар учун ишлатиладиган тармоқ
ўтказувчанлиги ҳажмини минималлаштириш.
Фойдаланувчиларнинг
логин ва пароллари
Ҳар бир мижоз ўз номи билан боғлиқ
бўлган ноёб фойдаланувчи
идентификаторидан фойдаланиши шарт.
Умумий / умумий фойдаланувчи
идентификаторларига рухсат берилмайди.
Тармоқдан фойдаланувчиларнинг
идентификаторлари ташкилот
нормаларидан берилган талабларга
мос келиши шарт
Иловалар серверларда сақланадиган
фойдаланувчилар идентификатор ва
паролларини LDAP протоколи орқали
текшириши лозим
Фойдаланувчиларга тизим ва унинг
элементларидан ҳамда ташкилот
фаолияти билан боғлиқ иловалардан
фойдаланишда ягона идентификатор ва
паролдан фойдаланишларига рухсат
берилади
1. Камида 8 ва 14 белгидан ошмаслиги керак.
2. Кетма-кет 3 та белгига (яъни, ааа) рухсат
берилмаслиги керак ва 5 та бир хил белгиларга
рухсат берилмайди (яъни, 1ааабаа).
3. Ҳар 60 кунда муддати тугаши керак.
4. Олдинги саккизта паролни қайта ишлатмайди.
5. Эгасининг электрон почта манзили ёки тўлиқ
исмининг бирон бир қисми бўлиши мумкин
емас.
6. "Умумий" сўз бўлиши мумкин эмас (масалан,
луғатдаги ёки умумий фойдаланишдаги сўз
бўлмаслиги керак).
7. Ҳеч қандай тилдаги сўзларни ўз ичига
олмаслиги керак
14/03/21
15
Тармоқ инфратузилмаси
Routers and Switches
Servers
Internet DMZ Equipment
Workstations
Virtual Private Network (VPN)
Portable Computing Devices
Wireless Communication
Network Storage
14/03/21
16
Routers and Switches
Қурилмаларда локал фойдаланувчиларнинг идентификаторлари созланмаган
бўлиши лозим.
Қурилмалар фойдаланувчиларни аутентификациялашда TACACS + дан
фойдаланиши шарт.
Қурилмани ишга тушириш пароли шифрланган ҳолатда сақланиши лозим.
IP транслация
Рухсат берилмаган IP манзиллардан кирувчи пакетлар
TCP ва UDP хизматлари
Барча манбаларни маршрутизациялаш
Ушбу қурилмага рухсатсиз кириш қаьтиян тақиқланади!!!
14/03/2021
17
Эьтиборингиз
учун раҳмат
Download
advertisement