İnformasiya təhlükəsizliyinin əsasları

Mühazirələr
AMEA İnformasiya Texnologiyaları İnstitutu

M1. İnformasiya təhlükəsizliyinin əsas anlayışları

M2. Zərərli proqramlar və onların əsas sinifləri
M3. Kompüter sistemlərinə hücumların ümumi sxemi
M4. DDoS-hücumları və onlardan mühafizə üsulları
M5. İnformasiya təhlükəsizliyinin təmin edilməsi metodları
M6. İnformasiya təhlükəsizliyinin formal modelləri
M7. İnformasiya təhlükəsizliyi standartları
M8 Təşkilatda informasiya təhlükəsizliyinin idarə edilməsi
M9. Müdaxilələrin aşkarlanması sistemləri
M10. İnformasiya təhlükəsizliyi risklərinin qiymətləndirilməsi metodları
M11. İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi
M12. İnformasiya təhlükəsizliyinin auditi
M13. Açıq açarlı kriptoqrafiya. RSA kriptosistemi
M14. Kriptoqrafik heş funksiyalar. Rəqəmsal imza sxemləri
M15. Elektron imza. Açıq açarlar infrastrukturu

Bakı 2021

1
Mühazirə 1. İnformasiya təhlükəsizliyinin əsas anlayışları

Hazırda qlobal informasiya cəmiyyəti formalaşmaqdadır. Bu cəmiyyətdə informasiya və

biliklər ən mühüm resurs və əsas əmtəə hesab olunur. Vətəndaşların, cəmiyyətin və dövlətin
həyatında informasiyanın və informasiya texnologiyalarının rolunun artması ilə informasiya
təhlükəsizliyi dövlətin, cəmiyyətin və şəxslərin təhlükəsizliyinin təmin edilməsinin əsas
istiqamətlərindən birinə çevrilir. İnformasiya təhlükəsizliyi təhlükəsizliyin digər növləri (məsələn,
milli təhlükəsizlik, enerji təhlükəsizliyi, həyat fəaliyyətinin təhlükəsizliyi və s.) ilə sıx əlaqəlidir və
informasiya cəmiyyəti şəraitində onların təmin edilməsində əsas faktorlardan biri kimi çıxış edir.
İnformasiya təhlükəsizliyi anlayışı
“İnformasiya təhlükəsizliyi” anlayışının vahid tərifi yoxdur. Bəzən informasiya təhlükəsizliyi
anlayışına ”informasiyanın konfidensiallığının, tamlığının və əlyetənliyinin təmin olunduğu
vəziyyət” kimi tərif verilir (Bu tərif “informasiyanın təhlükəsizliyi” məsələsini əks etdirir).
“İnformasiya təhlükəsizliyi” anlayışı həmişə müəyyən şəraitdə (mühitdə) olan (fəaliyyət
göstərən) konkret subyekt ilə bağlı olur (məsələn, hər hansı sistemin və ya təşkilatın infomasiya
təhlükəsizliyi). Ümumiyyətlə, təhlükəsizlik subyektin müəyyən vəziyyətidir və onu müvafiq
keyfiyyət xarakteristikalarını göstərməklə müəyyən etmək olar. Təhlükəsizlik haqqında danışarkən
subyektin mövcudluğunun müəyyən məqsəd funksiyası (maraqları) nəzərdə tutulur və təhlükəsizlik
subyektin bu funksiyanı reallaşdırmaq qabiliyyəti kimi başa düşülür.
Buradan çıxış edərək, bu mühazirədə “informasiya təhlükəsizliyi” anlayışına belə tərif verilir:
“İnformasiya təhlükəsizliyi informasiya qarşılıqlı münasibətlərində iştirak edən tərəflərin
informasiya maraqlarının təmin edildiyi vəziyyətdir.”
Hər bir sosial subyekt “informasiya təhlükəsizliyi” anlayışına özünün maraqlarına cavab verən
məna verir.
Dövlətin informasiya təhlükəsizliyi sosiumun elə vəziyyətidir ki, bu zaman şəxslər, cəmiyyət
və dövlət təbii və süni meydana çıxan, ictimai və fərdi şüurun qəsdən deformasiya olunmasına,
şəxsiyyətin, cəmiyyətin və dövlətin mövcudluğu üçün vacib əhəmiyyəti olan informasiya
infrastrukturunun məhv edilməsinə yönəlmiş təhdidlərdən etibarlı şəkildə qorunur.
Cəmiyyətin informasiya təhlükəsizliyi dedikdə, cəmiyyətin informasiya mühitinin
vətəndaşların, təşkilatların və dövlətin maraqları naminə formalaşmasını və inkişafını təmin edən
vəziyyəti başa düşülür.
Şəxsin informasiya təhlükəsizliyi anlayışının məzmununa onun informasiya almaq hüququnun
təmin edilməsi, fərdi məlumatlarının etibarlı qorunması və müxtəlif mənbələrdən aldığı
informasiyanın onun şəxsiyyətinin azad formalaşmasına və inkişafına mane olmaması məsələləri
daxildir.
Təşkilat səviyyəsində informasiya təhlükəsizliyi informasiyanın icazəsiz girişlərdən qorunması,
əlyetənliyinin və tamlığının təmin edilməsi məsələlərini əhatə edir.
İnformasiyanın mühafizəsi – informasiya təhlükəsizliyinin təmin edilməsinə yönəlmiş
tədbirlər kompleksidir.
Əsas informasiya təhlükəsizliyi təhdidləri
Təhdid dedikdə (geniş mənada) – kiminsə maraqlarına ziyan vura bilən potensial mümkün hal,
hadisə, hərəkət (və ya hərəkətsizlik), şərait, proses və s. nəzərdə tutulur.
İnformasiya təhlükəsizliyində təhdidi reallaşdırmaq cəhdi hücum (kiber-hücum), belə cəhdlərə
baş vuran şəxslər isə bədniyyətli adlandırılır.
Çox vaxt təhdidlər informasiya sisteminin layihələndirilməsi, yaradılması və ya istismarı
zamanı buraxılan səhvlərin (boşluqların) nəticəsində meydana çıxır (məsələn, proqram təminatında
səhvlər).
İnformasiya təhlükəsizliyinə təhdidlər olduqca çoxsaylıdır və onları müxtəlif siniflərə ayırırlar.
Meydana çıxma səbəblərinə görə təhdidləri təbii və süni xarakterli təhdidlərə bölürlər. Süni
xarakterli təhdidlər də öz növbəsində bilməyərəkdən və qəsdən törədilən təhdidlərə bölünür.

2
 Təbii xarakterli təhdidlərə misal olaraq təbii fəlakətləri və qəzaları (yanğın, daşqın, zəlzələ və
s.) və avadanlıqda baş verən imtina və qəzaları göstərmək olar.
Süni xarakterli təhdidlərin aşağıdakı növlərini göstərmək olar:
 proqram təminatı yaradılarkən buraxılan səhvlər;
 proqram təminatının istismarı zamanı istifadəçilərin səhvləri;
 bədniyyətlilərin qəsdli əməlləri.
Qəsdən törədilən təhdidlər təhdid mənbəyinin sistemə nəzərən yerləşməsinə görə xarici və
daxili (ingilis dilində insider – insayder) təhdidlərə bölünür. Bəzi müəlliflərə görə, təhdidlərin
böyük əksəriyyəti (80 %-i) sistemin öz daxilindəki mənbələrdən qaynaqlanır.
Təhdidlər digər əlamətlərinə görə də təsnif oluna bilər:
 Baş vermə ehtimalına görə (böyük ehtimallı, ehtimallı, az ehtimallı);
 Meydana çıxma səbəblərinə görə (təbii fəlakətlər, qəsdli hərəkətlər);
 Vurulmuş ziyanın xarakterinə görə (maddi, mənəvi);
 Təsir xarakterinə görə (aktiv, passiv);
 Obyektə münasibətinə görə (daxili, xarici);
Təsir məqsədlərinə görə təhdidlərin üç əsas növü ayırd edilir:
 İnformasiyanın konfidensiallığının pozulmasına yönələn təhdidlər;
 İnformasiyanın tamlığının pozulmasına yönələn təhdidlər;
 Əlyetənliyin pozulmasına yönələn təhdidlər (DoS hücumlar, Denial of Service – xidmətdən
imtina hücumları).
İnformasiya təhlükəsizliyinin üç aspekti
İnformasiya əmtəədir və onun keyfiyyəti bir sıra xassələrlə xarakterizə edilir (həqiqilik,
obyektivlik, aktuallıq, aydınlıq və s.). İnformasiya təhlükəsizliyində informasiyanın üç xassəsinə
baxılır (konfidensiallıq, tamlıq və əlyetənlik) və onları informasiya təhlükəsizliyinin üç aspekti
adlandırırlar.
Konfidensiallıq – informasiyanın subyektiv müəyyən olunan xassəsidir, informasiyanın əldə
olunmasına məhdudiyyət qoyulmasını bildirir. Qeyd etmək lazımdır ki, informasiyanın
konfidensiallıq qrifinə aid edilməsi, belə informasiyanın siyahısının və tərkibinin müəyyən edilməsi
qanunvericiliklə və/və ya onun sahibi tərəfindən müəyyən edilir.
Konfidensiallığın pozulmasına yönələn təhdidlər konfidensial informasiyanın icazəsiz əldə
edilməsinə yönəlib. Belə təhdidlərin reallaşması halında informasiya ona giriş icazəsi olmayan
şəxslərə məlum olur.
Tamlıq – informasiyanın təhrifsiz şəkildə mövcud olmaq xassəsidir. İnformasiyanın tamlığının
pozulmasına yönələn təhlükələr onun dəyişdirilməsinə və ya təhrifinə yönəlib ki, bunlar da onun
keyfiyyətinin pozulmasına və tam məhvinə səbəb ola bilər. İnformasiyanın tamlığı bədniyyətli
tərəfindən qəsdən və ya sistemi əhatə edən mühit tərəfindən obyektiv təsirlər nəticəsində pozula
bilər. İnformasiyanın tamlığının pozulması hallarını vaxtında aşkarlamaq üçün informasiyanın
tamlığına nəzarət mexanizminin istifadə edilməsi vacibdir.
Əlyetənlik – yolverilən vaxt ərzində tələb olunan informasiya xidmətini almaq imkanıdır.
İnternet kimi açıq sistemlər üçün əlyetənliyin təmin edilməsi xüsusilə vacibdir. Əlyetənliyin
pozulmasına yönələn təhdidlər (məsələn, DoS hücumlar) elə şəraitin yaradılmasına yönəlib ki, bu
zaman müəyyən qəsdli hərəkətlər ya sistemin iş qabiliyyətini aşağı salır, ya da sistemin müəyyən
resurslarına girişi (tamamilə) bağlayır.
Konfidensial informasiya
İnformasiyanı konfidensiallıq qrifinə görə aşağıdakı kimi təsnif etmək olar:
– açıq informasiya;
– konfidensial informasiya.
Açıq informasiya – əldə olunması, işlənməsi, verilməsi və ya istifadəsi Azərbaycan
Respublikasının qanunvericiliyi ilə məhdudlaşdırılmayan və ümumi istifadə üçün nəzərdə tutulmuş
informasiyadır. Açıq informasiya üçün tamlığın və əlyetənliyin təmin edilməsi vacibdir.

3
 Açıq informasiyaya aiddir:
 kənara verilmək üçün rəhbərlik tərəfindən imzalanmış informasiya, (məsələn, konfranslar,
təqdimatlar və s. üçün);
 açıq xarici mənbələrdən alınmış informasiya;
 təşkilatın açıq veb-saytında yerləşdirilən informasiya.
Sənədləşdirilmiş informasiya (sənəd) − maddi daşıyıcıda qeyd olunmuş və identikləşdirilməsinə
imkan verən rekvizitlərə malik informasiya;
Konfidensial informasiya − əldə olunması, işlənməsi, verilməsi və ya istifadəsi Azərbaycan
Respublikasının qanunvericiliyinə müvafiq olaraq məhdudlaşdırılan sənədləşdirilmiş informasiya;
Konfidensial informasiyanın dövlət sirri, hərbi sirr, kommersiya sirri, xidməti sirr (dövlət
təşkilatları üçün), peşə sirləri (bank, istintaq, müalicə, rabitə, ...), fərdi məlumatlar, şəxsi sirr və s.
kimi siniflərini göstərmək olar.
Konfidensial informasiyasının mühafizəsi üçün konfidensiallığın, tamlığın və əlyetənliyin
təmin edilməsi zəruridir.
Fərdi məlumatlar – vətəndaşın şəxsi həyatının faktları, hadisələri və şəraitləri haqqında onun
şəxsiyyətini identikləşdirməyə imkan verən məlumatlardır.
Təşkilat əməkdaşlarının fərdi məlumatları adətən kadrlar şöbəsində saxlanır. Bu halda
qanunvericiliyə uyğun olaraq təşkilat vətəndaşlar qarşısında bu informasiyanın qorunması, emalı
rejiminin və istifadə qaydasının pozulmasına görə məsuliyyət daşıyır.
Kommersiya sirri – dövlət sirri olmayan, istehsalat, texniki, texnoloji informasiya ilə,
müəssisənin maliyyə və digər fəaliyyətinin idarə edilməsi ilə əlaqədar olan informasiya, açılması
(verilməsi, sızması) onun maraqlarına ziyan vura bilən.
Peşə sirri – peşə fəaliyyəti ilə əlaqədar olan və girişi Konstitusiyaya və qanunlara uyğun olaraq
məhdudlaşdırılan məlumatlar.
Dövlət sirri
Dövlət sirri – dövlətin hərbi, xarici-siyasi, iqtisadi, kəşfiyyat, əks-kəşfiyyat və əməliyyat-axtarış fəaliyyəti
ilə bağlı olub, dövlət tərəfindən mühafizə edilən və yayılması Azərbaycan Respublikasının təhlükəsizliyinə
ziyan vura bilən məlumatlardır;
Məlumatların dövlət sirrinə aid edilməsi və onların məxfiləşdirilməsi prinsipləri:.
Qanunilik – dövlət sirrinə aid edilən və məxfiləşdirilən məlumatların Azərbaycan Respublikasının dövlət
sirri haqqında qanunvericiliyinə müvafiqliyidir.
Əsaslılıq – dövlətin, cəmiyyətin və vətəndaşların həyati maraqlarının balansı nəzərə alınmaqla, konkret
məlumatın dövlət sirrinə aid edilməsinin və məxfiləşdirilməsinin mümkün iqtisadi, siyasi, hərbi və digər
nəticələrinin ekspertlər tərəfindən qiymətləndirilməsi yolu ilə məqsədəuyğunluğunun
müəyyənləşdirilməsidir.
Məlumatların vaxtında dövlət sirrinə aid edilməsi və onların məxfiləşdirilməsi - bu məlumatların
yayılmasına və onların daşıyıcıları ilə tanış olmağa buraxılmağa qabaqcadan və ya onların əldə edildiyi
(hazırlandığı) andan məhdudiyyət qoyulmasıdır.
Aşağıdakı məlumatlar dövlət sirrinə aid edilmir və məxfiləşdirilmir:
– insanların həyat və sağlamlığı üçün təhlükə törədən fövqəladə hadisələr və qəzalar, onların
nəticələri, habelə təbii fəlakətlər, onların rəsmi proqnozları və nəticələri haqqında;
– ekologiya, səhiyyə, sanitariya, demoqrafiya, təhsil, mədəniyyət və kənd təsərrüfatının, habelə
cinayətkarlığın vəziyyəti haqqında;
– dövlətin vətəndaşlara, vəzifəli şəxslərə, müəssisə, idarə və təşkilatlara verdiyi imtiyazlar, güzəştlər
və kompensasiyalar haqqında;
– insan və vətəndaş hüquqlarının və azadlıqlarının pozulması faktları haqqında;
– Azərbaycan Respublikasının ali vəzifəli şəxslərinin səhhəti haqqında;
– dövlət hakimiyyəti orqanları və onların vəzifəli şəxsləri tərəfindən qanunvericiliyin pozulması
faktları haqqında.
Dövlət sirri təşkil edən məlumatların üç məxfilik dərəcəsi və müvafiq olaraq, bu məlumatların
daşıyıcıları üçün üç məxfilik qrifi müəyyənləşdirilir: "xüsusi əhəmiyyətli", "tam məxfi" və "məxfi".
Dövlət sirri təşkil edən məlumatların məxfilik müddəti 30 ildən artıq olmamalıdır. Bu müddət müvafiq icra
hakimiyyəti orqanının rəyi ilə uzadıla bilər.

4
Mühazirə 2. Zərərli proqramlar və onların əsas sinifləri
Zərərli proqramların növlәri
Kompüter sistemlərində informasiya təhlükəsizliyinə təhdidlərin əsas mənbələrindən biri
"zərərli proqramlar" kimi ümumi ad almış xüsusi proqramlardan istifadə edilməsidir. “Zərərli
proqramlar” (ing. malware sözü malicious – zərərli (bədniyyətli) və software – proqram təminatı)
anlayışı icazəsiz və çox zaman zərərli əməllərin həyata keçirilməsi üçün yaradılan və istifadə edilən
bütün proqramları birləşdirir.
Nə vaxtsa bütün zərərli proqramları təsvir etmək üçün “virus” və “troya atı – troyan” anlayışları
kifayət edirdi. Lakin həmin vaxtlardan kompüterlərin yoluxdurulması üsulları və texnologiyaları
xeyli irəli gedib və bu iki anlayış zərərli proqramların bütün rəngarəngliyini təsvir etmək üçün
kifayət deyil. Viruslar, backdoor-proqramlar (məsafədən icazəsiz administratorluq üçün yaradırlar),
klaviatura casusları (ing. keylogger – key – klaviş və logger – loq yazan)), parolları oğurlayan
proqramlar və troya atlarının digər növləri, Word və Excel üçün makroviruslar, yükləmə sektoru
virusları, skript virusları (BAT-viruslar, windows shell-viruslar, java-viruslar və s.) və skript
troyanları, casusluq (ing. adware  advertisement  reklam və software) və reklam proqramları
(ing. spyware  spy  casus və software) – bu zərərli proqramlar kimi təsnif olunanların tam
siyahısı deyil.

Kompüter virusları
Kompüter virusları informasiya təhlükəsizliyinin təmin olunmasının hər üç baza prinsipinin 
konfidensiallığın, bütövlüyün və əlyetənliyin pozulmasının ən geniş yayılmış səbəblərindən biridir.
Tarix. Kompüter virusları təxminən 1980-ci illərin əvvəllərində meydana çıxmışdır. Özüçoxalan
süni konstruksiyaların ilkin tədqiqatları riyaziyyatçılar fon Neyman və N. Viner tərəfindən 1950-
ci illərdə aparılmışdı. Lakin «kompüter virusu» terminin özü 1984-cü ildə ABŞ-da keçən
informasiya təhlükəsizliyi üzrə 7-ci konfransda Fred Koen tərəfindən işlədilmişdi.
Kompüter viruslarının ümumi qəbul edilmiş tərifi yoxdur.
Kompüter virusları  digər proqramlara yeridilmə yolu ilə müstəqil yayılan, müəyyən şərtlər yerinə
yetirildikdə kompüter sisteminə mənfi təsir göstərən (kiçik) proqramlardır.
Kompüter virusu – başqa proqramlara özünün sonradan yayılma qabiliyyətini saxlayan işlək
surətlərini (ola bilsin modifikasiya olunmuş) birləşdirmək qabiliyyəti olan proqramdır. Adətən
virusun həyat müddəti iki fazadan ibarətdir:
 çoxalma – virus zahirən üzə çıxmamağa çalışaraq müxtəlif yoluxdurma strategiyalarından
istifadə etməklə mümkün qədər geniş yayılmağa çalışır;
 özünü göstərmə – virus onda realizə edilmiş, müxtəlif effektlər və dağıdıcı əməllər törədən
proseduru yerinə yetirir.
Virusların yayılması. Şəbəkə və kommunikasiya texnologiyalarında hər bir yenilik virusların
yaradılması və yayılması üçün yeni imkanlar, yollar açır. Əvvəllər viruslar disketlər və digər yaddaş
daşıyıcıları vasitəsi ilə yayılırdı, İnternetin geniş yayılması viruslar üçün geniş magistral yol
açmışdır. Bu səbəbdən kompüter virusları Internetdə real dünyada bioloji virusların yayılmasından
daha sürətlə yayılır.

Kompüter viruslarının tәsnifatı

Yaşayış mühitlərinə görə virusların aşağıdakı növləri var:
 Fayl virusları ya müxtəlif üsullarla yerinə yetirilən faylları (*.com, *.exe, *.sys, *.bat, *.dll)
yoluxdurur, ya fayl-əkizlər yaradır (kompanyon-viruslar), ya da fayl sisteminin təşkilinin
özəlliklərindən istifadə edir (link-viruslar).
 Yükləmə virusları ya özünü diskin yükləmə sektoruna (boot-sector), ya sistem yükləyicisi
yerləşən sektora (Master Boot Record) yazır, ya da aktiv yükləmə sektoruna göstəricini
dəyişir.

5
  Makroviruslar makroslardan istifadə edən sistemləri yoluxdururlar (məsələn, Word,
Excel).
 Skript viruslar makroviruslar kimi fayl viruslarının bir alrqrupudur. Onları müxtəlif skript
dillərində (VBS, JS, BAT, PHP və s.) yazırlar. Onlar ya skript-proqramları yoluxdurur, ya
da çoxkomponentli virusların bir hissəsi olurlar.
 Birləşmələr də var – məsələn, həm faylları, həm də yükləmə sektorlarını yoluxduran fayl-
yükləmə virusları. Belə viruslar, bir qayda olaraq yetərincə mürəkkəb alqoritmə malikdirlər
və çox vaxt sistemə girmək üçün orijinal metodlar tətbiq edirlər. Belə birləşməyə digər misal
 həm redaktə edilən sənədləri yoluxduran, həm də öz surətlərini elektron poçtla göndərən
şəbəkə makroviruslardır.
Yoluxdurma üsullarına görə viruslar rezident və qeyri-rezident olurlar.
Rezident virus yoluxdurma zamanı özünün rezident hissəsini operativ yaddaşda qoyur, həmin
hissə yoluxma obyektlərinə əməliyyat sisteminin müraciətlərini tutur və onları yoluxdurur. Rezident
virus yaddaşda yerləşərək kompüter söndürülənə və ya yenidən yüklənənə kimi fəal olurlar. Qeyri-
rezident viruslar kompüterin yaddaşını yoluxdurmur və yalnız məhdud zaman ərzində fəal olurlar.
Destruktiv imkanlarına görə virusları aşağıdakı siniflərə bölmək olar:
 zərərsiz  kompüterin işinə heç bir təsir etməyən viruslar (özünün yayılması nəticəsində
diskdə boş yaddaşın azalmasından başqa);
 təhlükəsiz  təsirlәri diskdə boş yaddaşın azalması ilə, qrafik, səs və s. effektlərlə
məhdudlaşan viruslar;
 təhlükəli  işdə ciddi xətalara səbəb olan viruslar;
 çox təhlükəli  proqramların pozulmasına, verilənlərin məhvinə, kompüterin işi üçün
vacib, yaddaşın sistem sahələrində yazılmış informasiyanın silinməsinə səbəb olan viruslar.
Alqoritmin özəlliklərinə görə virusların aşağıdakı qruplarını ayırmaq olar:
 «tələbə»  olduqca primitiv, çox vaxt qeyri-rezident və çox sayda səhvlər olan viruslar;
 «stels»-viruslar (gözəgörünməz-viruslar, stealth)  olduqca mükəmməl proqramlar olan bu
viruslar DOS-un yoluxmuş fayllara və ya disk sektorlarına müraciətlərini tuturlar və öz
əvəzlərinə informasiyanın yoluxmamış sahələrini «qoyurlar». Bundan başqa belə viruslar
fayllara müraciət etdikdə rezident antivirus monitorları «aldatmağa» imkan verən kifayət
qədər orijinal alqoritmlərdən istifadə edirlər;
 «polimorf»-viruslar (özüşifrlənən və ya kabus-viruslar, polymorphic) – kodunda heç bir
sabit hissə olmayan, kifayət qədər çətin aşkarlanan viruslar. Əksər hallarda eyni bir
polimorf-virusun iki nümunəsində üst-üstə düşən heç bir hissə olmur. Buna virusun əsas
cisminin şifrlənməsi və deşifrləyən proqramın modifikasiyası ilə nail olurlar;

Faylları yoluxdurma üsullarına görə virusların klassifikasiyası

 Üstəyazan (ing. overwrite) viruslar – bu yoluxdurma üsulu ən sadə üsuldur: virus
yolusdurulan faylın kodunun əvəzinə öz kodunu yazır və onu silir. Təbii ki, bu zaman fayl
daha işləmir və bərpa oluna bilmir. Belə viruslar özlərini çox tez ələ verirlər, çünki
əməliyyat sistemi və tətbiqi proqramlar tez bir zamanda işləməməyə başlayırlar.
 Parazit viruslar – belə viruslara yayılma zamanı disk sektorlarının və ya faylların
məzmununu mütləq dəyişdirən fayl virusları aid edilir, bu zaman fayllar öz iş
qabiliyyətlərini qismən və ya tam saxlayırlar. Bu qrupa «soxulcan» və ya «kompanyon-
virus» olmayan bütün viruslar aiddir.
 Kompanyon-viruslar (companion) – bu virusların iş alqoitmi exe-fayllar üçün həmin adla
lakin genişlənməsi .com olan fayl-kompanyonlar (yoldaşlar) yaratmaqdan ibarətdir. Belə
fayl yükləndikdə әmәliyyat sistemi ilk əvvəl com-faylı, yəni virusu aşkar edir və yerinə
yetirir, virus isə sonra exe-faylı yükləyir;
 viruslar-«soxulcanlar» (worm)  kompanyon-virusların variantıdır. «Soxulcanlar» öz
surətlərini hər hansı faylla əlaqələndirmirlər. Onlar digər faylları dəyişdirmədən və
6
 yuxarıdakı com-exe üsulundan istifadə etmədən disklərdə və disklərin altkataloqlarında öz
surətlərini yaradırlar;
 «
 Virus-kompanyonlar – yoluxdurulan fayllarda dəyişiklik etməyən viruslardır. Bu virusların
iş alqoritmi yoluxmuş faylın əkiz faylının yaradılmasından ibarətdir. Bu zaman yoluxmuş
fayl işə salınarkən idarəetmə məhz əkiz-fayla, yəni virusa ötürülür. Bu tip viruslar
yoluxdurma zamanı faylın adını başqa bir adla dəyişirlər, onu yadda saxlayırlar (sahib-faylı
sonra işə salmaq üçün) və öz kodlarını yoluxmuş faylın adı ilə diskə yazırlar.
 Link-viruslar faylların fiziki məzmununu dəyişmirlər, lakin yoluxmuş fayl işə salınanda
ƏS-ni virusun kodunu yerinə yetirməyə məcbur edirlər. Onlar bu məqsədə fayl sisteminin
zəruri sahələrini dəyişməklə nail olurlar.
 Fayl soxulcanlar – onlar öz iştiraklarını hər hansı yerinə yetirilən faylla bağlamırlar.
Çoxalma zamanı onlar öz kodlarını disklərin hər hansı qovluqlarına kopyalayırlar, bu yeni
kopyaların nə vaxtsa istifadəçi tərəfindən işə salınacağına ümid edirlər. Bəzən bu növ
viruslar istifadəçini öz kopyalarını işə salmağa təhrik etmək üçün kopyalara xüsusi adlar,
məsələn, INSTALL.EXE və ya WINSTART.BAT adlarını verirlər.

Soxulcanlar
“Soxulcan” termini Con Brunnerin “Coşqun dalğalarla” fantastik romanından götürülmüşdür.
Bu termin soxulcanlar kimi bir kompüterdən digərinə keçən proqramları adlandırmaq üçün istifadə
edilmişdir.
Soxulcanlar − müstəqil, yəni başqa proqramlara yeridilmədən öz surətlərini kompüter
sistemlərində yaymağa və onları işə salmağa qabil olan proqramlardır (virusun aktivləşməsi üçün
yoluxmuş proqramın işə salınması tələb olunur). Soxulcanların axın kimi yayılması rabitə
kanallarının, yaddaşın həddən artıq yüklənməsinə və son nəticədə sistemin bloka alınmasına gətirib
çıxarır.
Soxulcanlar ilk olaraq paylanmış hesablamalar aparmaq imkanı əldə etmək üçün şəbəkədə boş
resursları olan kompüterlərin axtarışı üçün hazırlanmışdı. Düzgün istifadə edildikdə “soxulcan”
texnologiyası çox faydalı ola bilər. Məsələn, World Wide Worm soxulcanı asanlıqla zərərli
proqrama çevrilir.
Zərərli proqramların bu növünün ilk nümunəsi Morris soxulcanıdır, bu soxulcan C dilində 4000
sətirdən ibarət proqram idi (və UNIX sistemi komanda interpretatorunun giriş dilində). Kornel
Universitetinin tələbəsi olan Robert Tappan Morris (Junior) 2 noyabr 1988-ci ildə Massaçusets
Texnologiya İnstitutunun kompüterində öz soxulcan proqramını işə saldi. VAX və Sun
kompüterlərində Unix əməliyyat sisteminin səhvlərindən istifadə edərək bu proqram öz kodunu
kompüterdən kompüterə ötürürdü. Cəmisi 6 saat ərzində bir sıra böyük universitetlərin, institutların
və ABŞ tədqiqat laboratoriyalarının İnternet şəbəkəsinə qoşulmuş 6000 kompüteri yoluxdurdu. Bu
aksiyanın vurduğu ziyan bir neçə milyon dollar oldu.
Soxulcanlar həm müstəqil (insanın iştirakı olmadan), həm də insanın müəyyən hərəkətləri
nəticəsində (məsələn, e-poçtda məktubu açmaq) yayıla bilərlər. Şəbəkə soxulcanı iki müxtəlif
“infeksiya” və “faydalı” hissədən ibarət ola bilər. “İnfeksiya” hissəsi diskdə faylların və operativ
yaddaşda proqramların yoluxdurulmasına cavabdehdir. “Faydalı” hissə isə digər əməlləri yerinə
yetirir, məsələn, verilənləri oğurlayır, faylları korlayır və ya kompüteri DDoS-hücumlar üçün
zombiyə çevirir. Poçtla yayılan soxulcanların əksəriyyəti bir fayldan– yalnız “faydalı” hissədən
ibarət olur. Ayrıca “infeksiya” hissəsi tələb edilmir, çünki istifadəçi soxulcanı könüllü yükləyir və
instalyasiya edir. Soxulcan sürətlə yayılsa, kompüterin işini yavaşıda və şəbəkə bağlantılarının
sürətini azalda bilər.
Soxulcanların aşağıdakı növlərini ayırırlar.
– Email-Worm – elektron poçt kanalları ilə öz-özünə yayılma qabiliyyəti olan soxulcanlardır.

7
 – IM-Worm – ani məlumat mübadiləsi sistemlərinin (məsələn, ICQ, MSN Messenger, AOL
Instant Messenger, Yahoo Pager, Skype və s.) kanalları ilə öz-özünə yayılma qabiliyyəti
olan soxulcanlardır.
– IRC-Worm – Internet Relay Chats (IRC) vasitəsi ilə öz-özünə yayılma qabiliyyəti olan
soxulcanlardır;
– Net-Worm – kompüter şəbəkələrində öz-özünə yayılma qabiliyyəti olan soxulcanlardır.
– P2P-Worm – fayl mübadiləsi pirinq (ing. peer-to-peer, P2P) şəbəkələrinin (məsələn, Kazaa,
Grokster, eDonkey, FastTrack, Gnutella və s.) kanalları ilə öz-özünə yayılma qabiliyyəti
olan soxulcanlardır.

Troyanlar
Troyanlar  funksional cəhətdən faydalı proqram kimi görünən zərərli proqramlardır. İşə düşdükdə
troyanlar elan edilmiş faydalı funksiyalarla yanaşı elan, olunmamış funksiyaları da yerinə yetirirlər.
“Troyan” termini ilk dəfə sonradan Milli Təhlükəsizlik Agentliyinin əməkdaşı olan haker Dan
Edvars tərəfindən istifadə edilmişdir.
Troyanlar qəsdən törədilən təhdidlərin reallaşdırılmasında xüsusi rol oynayırlar. Troyanların
yazılmasının əsas məqsədi yoluxmuş kompüterdə icazəsiz hərəkətlərin həyata keçirilməsidir, buna
görə troyanları etdikləri zərəli hərəkətlərin tipinə görə klassifikasiya etmək olar (Kaspersky Lab).
 Məsafədən administratorluq troyanları (ing. Backdoor – bekdor) – bu sinif troya
proqramları kompüterləri şəbəkədə məsafədən idarə etmək (administratorluq) üçün
utilitlərdir. Öz funksional imkanlarına görə onlar bir çox cəhətdən proqram istehsalçıları
tərəfindən yaradılan və yayılan müxtəlif administratorluq sistemlərini xatırladır.
 Trojan-PSW (PSW – Password-Stealing-Ware, parolların oğurlanması) – bu ailə yoluxmuş
kompüterdə müxtəlif konfidensial informasiyanı saxlayan (adətən, telefon nömrələrini və
İnternetə giriş parollarını) sistem fayllarını axtarırlar və onu «troya atının» kodunda
göstərilmiş elektron ünvana və ya ünvanlara göndərirl’r.
 Trojan-Clicker (internet-klikerləri) – troyanların bu ailəsinin əsas funksiyaları internet-
resurslara (adətən veb-səhifələrə) sanksizyasız müraciətləri təşkil etməkdir. Bu ya brauzerə
uyğun komandaların göndərilməsi, ya da internet-resursların «standart» ünvanları göstərilən
sistem fayllarının dəyişdirilməsi (məsələn, MS Windows-da hosts faylı) ilə əldə olunur.
 Trojan-Downloader (digər zərərli proqramların çatdırılması) – bu sinif troyan
proqramları qurban-kompüterə zərərli proqramların yeni versiyalarının yüklənməsi və
quraşdırılması üçün nəzərdə tutulub. Yüklənən proqramların adları və yerləri haqqında
informasiya troyanın kodunda və verilənlərində olur və ya troyan tərəfindən «idarə edən»
internet-resursdan (adətən veb-səhifədən) oxunur.
 Trojan-Dropper (digər zərərli proqramların quraşdırılması) – hədəf-kompüterə
virusların və ya digər troya proqramlarının gizli quraşdırılması üçün istifadə edilir.
 Trojan-Proxy (troyan proksi-serverləri) – müxtəlif Internet-resurslara anonim girişi gizli
hәyata keçirirlər. Adәtәn, spamın göndәrilmәsi üçün istifadə edilir.
 Trojan-Spy (casus proqramları) – Bu troyanlar yoluxmuş kompüterin istifadəçisindən
elektroin casusluq edirlər: klaviaturadan daxil edilən informasiya, ekranın şəkilləri, aktiv
proqramların siyahısı və istifadəçinin onlarla hərəkətləri diskdə hər hansı faylda saxlanır və
vaxtaşırı bədniyyətliyə göndərilir. Bu növ troya proqramları tez-tez müxtəlif onlayn ödəniş
və bank sistemləri istifadəçilərinin informasiyasaını oğurlamaq üçün istifadə edilir.
 Trojan (digər troyan proqramları) – bu sinfə troyan proqramların tərifinə düşən digər
hərəkətləri, yəni verilənlərin məhv edilməsi və ya bəd niyyətlə dəyişdirilməsi, kompüterin iş
qabiliyyətinin pozulması və başqa həyata keçirən proqramlar düşür. Bu kateqoriyaya
həmçinin «çox məqsədli» troya proqramları da daxildir, məsələn, eyni zamanda
istifadəçidən casusluq edən və məsafədəki bədəmələ proxy-servis göstərən troyanlar.
 Trojan-Notifier (uğurlu hücum haqqında məlumatlandırma) – bu növ troyanlar öz
«sahiblərinə» kompüterin yoluxdurulması haqqında məlumat vermək üçün nəzərdə tutulub.
Bu zaman «sahibin» ünvanına kompüter haqqında məlumat göndərilir, məsələn, kompüterin

8
 IP-ünvanı, açıq portun nömrəsi, elektron poçtun nömrəsi və s. Göndərmə müxtəlif üsullarla
yerinə yetirilir: elektron məktubla, «sahibin» veb-səhifəsinə xüsusi tərtib olunmuş
müraciətlə, ICQ-məlumatla və s..
Backdoor (ing. back door, arxaqapı) – sistemə sonradan təkrar giriş əldə etmək üçün sındırılmış
kompüterlərdə bədniyyətli tərəfindən ilk giriş zamanı quraşdırılan proqram və ya proqramlar
toplusudur. Qoşulma zamanı sistemə müəyyən giriş verir (bir qayda olaraq, bunlar komanda
interpretatorudur: GNU/Linux-də – Bash, Microsoft Windows NT-də – cmd).
Backdoor – rutkitin xüsusilə vacib komponentdir.
Shell-girişlərin növləri aşağıdakılardır:
– Bind Shell – geniş yayılıb, kliyent-server arxitekturası ilə işləyir, yəni Backdoor bağlantı
gözləyir.
– Back Connect – şəbəkə ekranından yan keçmək üçün istifadə edilir. Backdoor özü hakerin
kompüteri ilə birləşməyə cəhd edir.
– Middle Connect – BackDoor və hakerin kompüteri aralıq server vasitəsi ilə əlaqə saxlayır.
Məşhur BackDoor-lar antivirus sistemlərin bazasına daxil edilir. Yüksək peşəkar hakerlər
özlərinin yazdıqları və ya dəyişiklik edilmiş BackDoor və rutkitlərdən istifadə edirlər, bu onların
aşkarlanmasını və təmizlənməsini çətinləşdirir.
BackDoor-un əsas təyinatı – kompüterin gizli idarə edilməsidir. Adətən, BackDoor yoluxmuş
kompüterdən faylları köçürməyə və əksinə, fayl və proqramları yoluxmuş kompüterə göndərməyə
imkan verir. BackDoor reyestrə məsafədən girməyə, sistem əməliyyatlarını (kompüterin yenidən işə
salınması, yeni şəbəkə resurslarının yaradılması, parolların modifikasiyası və s.) yerinə yetirməyə
imkan verir. Mahiyyətcə, BackDoor istifadəçinin kompüterində haker üçün “arxa qapı” açır. Son
vaxtlar BackDoor-un təhlükəsi artır – müasir şəbəkə soxulcanlarının çoxunda ya BackDoor olur, ya
da onlar kompüteri yoluxdurduqdan sonra orada BackDoor quraşdırırlar. BackDoor-ların bir çoxu
istifadəçinin kompüterindən şəbəkəni daramaq, şəbəkə hücumları etmək üçün istifadə etməyə
imkan verir.
Rutkit (ing. root – kök və kit – alətlər dəsti) – zərərli proqramların sistemdə fəaliyyətini
maskalamaq üçün istifadə edilən proqram və ya proqramlar toplusudur. Bu topluya adətən sistemə
müdaxilənin «izlərinin silinməsi» üçün müxtəlif utilitlər, snifferlər, skanerlər, keyloqqerlər,
əməliyyat sisteminin əsas utilitlərini əvəz edən troya proqramları daxildir. Rootkit hakerə
sındırılmış sistemdə möhkəmlənməyə və faylları, prosesləri, rutkitlərin sistemdə olmasını gizlətmək
yolu ilə fəaliyyətinin izlərini ört-basdır etməyə imkan verir.
Butkit (ing. boot – yükləmə və kit – alətlər dəsti) – öz kodunu sərt diskdə əsas yükləmə yazısına
(Master Boot Record) yazan zərərli proqramdır. Bunun nəticəsində, diskə ilk müraciət zamanı
idarəetmə butkitə verilir, butkit yaddaşa yüklənir və o, sərt diskə müraciətləri ələ keçirərək və onları
dəyişərək öz iştirakını maskalayır.

9
Mühazirə 3. Kompüter sistemlərinə hücumların ümumi sxemi

Hücum (attack) − sistemin mühafizəsindən keçmə cəhdlərinə deyilir. Hücum verilənlərin

dəyişdirilməsinə gətirməklə aktiv və ya passiv ola bilər. Hücumun həyata keçirilməsi faktı hələ
onun uğurlu olması demək deyil. Hücumun uğur dərəcəsi sistemin zəifliyindən və mühafizə
mexanizmlərinin effektivliyindən asılıdır.
Boşluq (vulnerability) − sistemin mühafizə vasitələrində zəif yerlər; sistemin prosedurlarında,
layihəsində, realizəsində, daxili nəzarətində səhvlər və ya diqqətsizliklər nəticəsində meydana çıxır,
sistemin təhlükəsizlik siyasətinin pozulması üçün istifadə edilə bilər.
Boşluq təhdidin meydana çıxmasını mümkün edir. Boşluq  hücumun yerinə yetirilməsi üçün
potensial yoldur.
Hücumların spektri olduqca rəngarəngdir. Hücumların müxtəlif təsnifatları mövcuddur. Belə
təsnifatlardan biri aşağıda verilir:
 təsir xarakterinə görə: passiv, aktiv;
 təsirin məqsədinə görə: konfidensiallığın pozulması; bütünlüyün pozulması; əlyetənliyin
pozulması hücumları;
 təsirin həyata keçirilməsinin başlanmasına görə: hücum obyektindən sorğu üzrə hücum;
hücum obyektində gözlənilən hadisənin baş verməsinə görə hücum; şərtsiz hücum;
 hücum edilən obyektlə əks əlaqənin varlığına görə əks-əlaqəli, əks-əlaqəsiz;
 hücum edənin hücum obyektinə nəzərən yerləşməsinə görə: seqmentdaxili, seqmentlərarası;
 hücum edənlərin sayına görə: paylanmış, paylanmamış;
 təsirin həyata keçirildiyi ISO/OSI etalon modelinin səviyyəsinə görə: fiziki,kanal, şəbəkə,
nəqliyyat, seans, təsviri, tətbiqi.
Hücumlar (kiber-hücumlar) bir neçə məqsədə xidmət edir:
1. Kiber-casusluq: internetdə, şəbəkələrdə, proqram təminatında qeyri-qanuni
istismar metodlarından istifadə etməklə hökumətlərdən, təşkilatlardan və düşmənlərdən (şəxsi
və ya gizli məlumatları) hərbi, siyasi və iqtisadi üstünlüklər əldə edən casusluq aktıdır.
2. Veb-vandalizm: veb-səhifələri silən və ya veb-sayta DoS-hücumlarıdır.
Adətən, böyük ziyan vurmur.
3. Propaganda: siyasi məlumatlar hər kəsə İnternetlə, İnternetdən rəqəmsal
ötürmələri qəbul edən mobil telefon və ya istənilən qurğular vasitəsilə yayıla bilər.
4. Məlumat toplamaq: Etibarlı qorunmayan gizli məlumatlar ələ keçirilib
dəyişdirilə bilər.
5. Kritik infrastrukturlara hücumlar: su, kommunikasiya, yanacaq, enerji,
nəqliyyat və daşınmalar – bunlar hamısı kiber-hücumlar üçün əsas istifadə amilləridir.
6. DoS-hücumlar (Denial of Service, xidmətdən imtina): əsas məqsəd
hesablama sistemlərini sıradan çıxarmaqdır. Daha doğrusu, bu cür hücumları təşkil etməklə
icazəli istifadəçilərin sistem resurslarından istifadə etmək üçün sistemə girişlərinə imkan
verilmir, ya da girişləri məhdudlaşdırılır.

“Cyber kill chain” modeli

Kiber-hücumların mərhələlərini təsvir etmək üçün Lockheed Martin şirkəti tərəfindən “Cyber kill
chain” ─ “Kiber ölüm zənciri” modeli təklif edilmişdir. Kiber ölüm zəncirində olan 7 mərhələ
aşağıdakılardır:
1. Kəşfiyyat (Reconnaissance). Araşdırma, identifikasiya və hücum üçün hədəf sistemin
seçilməsi.
2. Silahın qablaşdırılması (Weaponization). Hücum üçün alətlərlə və zərərli proqramlarla
təchizat
3. Çatdırma (Delivery). Zərərli kontentin hədəf sistemə çatdırılması (məs., e-poçt, veb-sayt və
ya USB daşıyıcılar vasitəsilə)

10
 4. Yoluxdurma (Exploitation). Zərərli kodun işə salınması və ya sistemdəki boşluğun
istismarı
5. Quraşdırma (Installation). Zərərli proqram təminatı bədniyyətliyə əlyetər olan giriş nöqtəsi
(məs., "backdoor") quraşdırır.
6. İdarəetmənin ələ alınması (Command and Control). Yoluxdurulmuş sistemin idarə
edilməsi.
7. Əməliyyatların yerinə yetirilməsi (Actions on Objective). Hücum edən öz məqsədlərini
reallaşdırmaq üçün hərəkətə keçir: verilənlərin toplanması, oğurlanması, göndərilməsi,
faylların şifrlənməsi, verilənlərin dəyişdirilməsi, silinməsi və s.

ATT&CK matrisi
Kill Chain təhdidləri modelləşdirmək üçün əlverişli yanaşamdır. Bu məqsədlə zəncirin bütün
mərhələlərini müvafiq hərəkətlərlə doldurmaq lazımdır. Yəni söhbət bədniyyətlilərin istifadə
etdikləri bütün hücum metodları haqqında mövcud olan informasiyanı sistemləşdirməkdən gedir.
Bunun üçün amerikan korporasiyası MITRE tərəfindən işlənmiş ATT&CK (Adversarial Tactics,
Techniques & Common Knowledge) matrisi kömək edə bilər. (MITRE özünün CVE, CAPEC,
TAXII və digər standartları ilə də məşhurdur.)
Bu sənədin 2016-cı ilin yayında nəşr edilmiş son versiyasında hücumun axırıncı üç mərhələsi
hakerlərin istifadə etdiyi 10 ayrı taktikaya bölünür:
─ davamlılıq (ing. persistence)
─ imtiyazın artırılması (ing. privilege escalation)
─ müdafiədən yan keçmə
─ uçot yazılarına giriş
─ axtarış
─ üfüqi genişlənmə (ing. lateral movement)
─ yerinə yetirmə
─ toplama
─ sızma (ing. exfiltration)
─ nəzarət və idarəetmə.
Göstərilən 10 taktika matrisdə sadalanmış 121 üsulla ətraflı təsvir edilir, matrisin bir fraqmenti
aşağıdakı şəkildə göstərilir. Üsullardan bir çoxu üçün CAPEC hücum şablonları bazasına istinad da
verilib, bu bazanı da MITRE yaratmışdır. Hər bir üsul wiki formatında ətraflı - misallarla, çarpaz
istinadlarla, əlavə məlumatlarla təsvir edilir.

11
 Matrisdəki üsullar çox müxtəlifdir və reallaşdırılamaları üçün çox müxtəlif kvalifikasiya tələb
edirlər. Haradasa parolların adi yoxlanması kifayətdir, bəzilərində butkit tələb edilir, digərində isə
bədniyyətlinin aktivliyini gizlətmək üçün xüsusi yazılmış şifrləmə alqoritmindən danışılır.
Matrisin təyinatı – təhlükəsizlik mütəxəssisslərinə bədniyyətlilərin istifadə edə bildikləri
metodların bütün rəngarəngliyini anlamalarına kömək etməkdir. Bəzi metodları mütəxəssislər
bilirlər, bəziləri haqqında eşidiblər, bəzilərinin isə varlığından xəbərləri belə yoxdur. Matrisin
vəzifəsi bədniyyətlilərin informasiya sistemlərinə necə hücum etdiklərini yeni baxışla görmələridir.

Şəbəkənin daranması
Şəbəkəyə hücum etməmişdən əvvəl bir sıra hazırlıq tədbirlərini yerinə yetirmək lazımdır. Dəqiq
və sarsıdıcı zərbə endirmək və bu zaman ələ keçməmək üçün mümkün qədər çox informasiya
toplamaq lazımdır. Buna görə də xakerlər təşkilatın informasiya təhlükəsizliyi sisteminə hər hansı
aidiyyəti olan hər şeyi öyrənməyə cəhd edirlər. Bu prosesin sonunda xakerin əlində bütöv bir dosye
(profil) olacaq, orada təşkilatın İnternetə qoşulma üsulları, şəbəkəyə məsafədən giriş imkanları,
daxili şəbəkənin konfiqurasiyası təsvir olunur. Aşağıdakı kimi strukturlaşdırılmış metodologiyaya
əməl edərək xaker ən müxtəlif mənbələrdən zərrə-zərrə istənilən təşkilat üçün dosye toplaya bilər.
Mərhələ 1. Daranmanın hüdudlarının müəyyən edilməsi. Hər şeydən əvvəl informasiyanın
toplanması zamanı həyata keçirilən fəaliyyətin hüdudlarını müəyyən etmək zəruridir. Məsələn,
təşkilatın bütün kompüter şəbəkəsi, yoxsa onun yalnız müəyyən seqmenti (məsələn, əsas ofisin
şəbəkəsi) haqqında məlumat toplanacağı dəqiq qərarlaşdırılır.
Mərhələ 2. Şəbəkənin inventarlaşdırılması. Şəbəkənin inventarlaşdırılmasında (ing. network
enumeration) ilk addım konkret təşkilatla əlaqəli domen və şəbəkə adlarının müəyyən edilməsidir.
Mərhələ 3. DNS-serverləri dinləmə. Bütün domenləri tapdıqdan sonra DNS-serverlərlə işə
keçmək olar. Əgər DNS-serveri maksimal təhlükəsizlik səviyyəsini təmin etməyə sazlanmayıbsa,
onda onun köməyi ilə təşkilatın daxili şəbəkəsi haqqında informasiya əldə etmək olar.
Mərhələ 4. Şəbəkənin daranması. Mümkün şəbəkə ünvanlarını taparaq şəbəkənin topologiyasını
və şəbəkəyə mümkün giriş yollarını müəyyən etməyə cəhd edirlər.
IP-şəbəkəlәrdә aşağıdakı darama metodlarını ayırmaq olar:
 ICMP-darama;
 TCP-darama;
 UDP-darama.

12
ICMP-darama
ICMP-darama kompüter şəbəkəsinin qovşaqlarına ayrılmış IP-ünvanlara ICMP-sorğularının
göndәrilmәsindәn və bu sorğulara cavabların analizindәn ibarәtdir. Çox vaxt ICMP-darama ‘Echo
Request’ tipli sorğuların kömәyi ilә hәyata keçirilir. Bir sorğu göndәrildikdә zondlama haqqında,
(diapazondan) bir neçә IP-ünvanın ardıcıl vә ya eynizamanlı zondlanması hәyata keçirildikdә
darama haqqında danışırlar.
Hücum obyektinin ICMP-daraması onun qovşaqlarını identifikasiya etmәyә imkan verir.
Kompüter şəbəkələrində ICMP-daramanın baza alәti ping utilitidir (‘Echo Request’ tipli
sorğuları tәtbiq edir). Böyük şəbəkəlәrin daranması üçün ping utilitinin tәtbiqi çәtinlәşir, çünki bu
utilit bir dәfә işә salındıqda yalnız bir IP-ünvanı emal edir. Çox sayda şəbəkə ünvanının
daranmasını skriptlәrin və ya xüsusi utilitlәrin (fping, nmap, Pinger və s.) kömәyi ilә
avtomatlaşdırmaq olar.
TCP-zondlama
TCP-zondlama kompüter sisteminin qovşaqlarına ayrılmış IP-ünvanlara TCP-seqmentlәrin
müxtәlif növlәrinin göndәrilmәsindәn ibarәtdir. Baxılan kompüter sisteminin qovşaqlarının TCP-
portlarının vәziyyәtini (açıq, bağlı vә ya bloklanmış (şəbəkələrarası ekran ilә süzülürlәr))
aşkarlamaq mәqsәdi ilә bu seqmentlәrә alınmış cavablar analiz edilir.
Zondlama ayrıca portun vәziyyәtinin aşkarlanması proseduruna deyilir. Darama haqqında
ümumi mәqsәdlә birlәşmiş (məsələn, ayrıca qovşağın açıq portlarını müəyyәn etmәk vә ya
müəyyәn portlar açıq olan hәr hansı IP-ünvanlar diapazonunda qovşaqları müəyyәn etmәk) bir neçә
ardıcıl vә ya eynizamanlı zondlama hәyata keçirildikdә danışırlar.
TCP-zondlamanın geniş yayılmış metodları aşağıdakılardır:
 Tam bağlantılı TCP-zondlama (TCP connect probe).
 Natamam bağlantılı TCP-zondlama (TCP half-open probe) vә ya SYN-zondlama (ing. TCP
SYN probe).
 TCP FIN-zondlama (ing. TCP FIN probe)
 “Milad yolkası” metodu ilә TCP-zondlama (ing. TCP Xmax Tree probe)
 TCP sıfır-zondlama (ing. TCP null probe)
Tam bağlantı qurmaqla TCP-zondlama metodunu reallaşdırmaq çox sadədir, çünki praktiki
olaraq bütün şəbəkə əməliyyat sistemlərinin tətbiqi proqramlaşdırma interfeysi müvafiq
altproqramlara malikdir. Eyni zamanda, bu ən az gizli metoddur: praktiki olaraq istənilən əməliyyat
sisteminin qeydiyyat jurnalında müvafiq qeydiyyatlar qalır. Ondan fərqli olaraq, digər metodlar
əməliyyat sistemlərinin qeydiyyat jurnallarında iz buraxmırlar (lakin hücumları aşkarlayan xüsusi
vasitələrin qeydiyyat jurnallarında iz qalır), çünki bağlantı qurulmasını nəzərdə tutmurlar; buna görə
belə metodları gizli-zondlama (ing. stealth-) metodları da adlandırırlar.
UDP-zondlama
Kompüter sisteminin UDP-zondlanması kompüter sisteminin qovşaqlarına ayrılmış IP-
ünvanlara UDP-dataqramların müxtәlif növlәrinin göndәrilmәsindәn ibarәtdir. Baxılan kompüter
sisteminin qovşaqlarının UDP-portlarının vәziyyәtini (açıq, bağlı) aşkarlamaq mәqsәdi ilә bu
dataqramlara alınmış cavablar analiz edilir.
Әn mәşhur TCP- və UDP-darama vasitәlәrindən SATAN, nmap, netcat göstərilə bilər.
Sosial mühəndislik üsulları
İnsanlarda belə rəy formalaşıb ki, kibercinayətkarlar kompüter sistemlərinin sındırılması üçün
yalnız mürəkkəb haker alətlərindən və texnologiyalarından istifadə edirlər. Bu heç də belə deyil.
Kibercinayətkarlar çoxdan başa düşüblər ki, informasiyanı oğurlamaq və ya informasiya sisteminə
hüçum etmək üçün ən asan üsul insan faktorunun zəifliklərindən istifadə etməkdir. Bir çox
tədqiqatçıya görə, sosial mühəndislik adlanan bü üsullar XXI əsr hakerlərinin əsas alətlərindən
biridir.

13
 Sosial mühəndislik (ing. social engineering) – tətbiqi sosiologiyanın insanın davranışını
müəyyən edən və ona nəzarəti təmin edən təşkilati strukturların məqsədyönlü dəyişdirilməsinə
yönəlmiş yanaşmalar məcmusudur. İnformasiya texnologiyaları sahəsində sosial mühəndisliyi çox
vaxt informasiyaya icazəsiz giriş əldə etməyə yönəlmiş tədbirlər kimi qəbul edirlər.
Sosial mühəndislik psixologiyanın və sosiologiyanın qanunlarına əsaslanır, digər insanları
manipulyasiya etmək bacarığı ilə həyata keçirilir. Öz növbəsində, manipulyasiya insanın elementar
zəifliklərinə əsaslanır: maraq, lovğalıq, şöhrətpərəstlik, qorxu, mərhəmət, qulluq göstərmə və s.
Sistemli yanaşma baxımından sosial mühəndislik ondan çıxış edir ki, orta statistik istifadəçi
müəyyən ortabab xarakteristikalara malik olur. Sosial mühəndislik insana sistemin bir hissəsi kimi
baxır, insan həmin sistem haqqında fundamental biliklərə malik olmur. Əks halda, sosial
mühəndislik işləmir – insan onu əhatə edən mühit haqqında nə qədər çox məlumatlıdırsa, sosial
mühəndislik üsullarının işləməsi ehtimalı bir o qədər azdır.
Sosial mühəndislik hücumu informasiyanın toplanması, ssenarinin qurulması və hücumun
həyata keçirilməsi mərhələlərindən ibarətdir. İnformasiyanın toplanması mərhələsində fərdin profili
(ünsiyyət dairəsi, maraqları, hobbisi, sosial şəbəkələrdə yazışmaları və s.) və ya təşkilatın profili
(fəaliyyət dairəsi, tərəfdaşları, veb-saytdakı məlumatlar, əməkdaşlarının siyahısı, e-poçt ünvanları,
telefonlar və s.) yaradılır. Ssenari ideyalarına sosial şəbəkələrdə dostluq münasibətləri yaratmaq, e-
poçtla məktub göndərmək, telefonla zəng etmək və s. daxildir.

14
Mühazirə 4. DDoS-hücumları və onlardan mühafizə üsulları

Xidmətdən imtina hücumları (DoS attaks) – qanuni istifadəçilərin sistemə, şəbəkəyə, tətbiqi
proqrama və ya informasiyaya girişini əngəlləmək üçün yerinə yetirilən bədniyyətli hərəkətlərdir.
DoS-hücumlar müxtəlif formalara malikdir, onlar birmənbəli (bir sistemdən işə salınan) və ya
paylanmış (bir neçə sistemdən işə salınan – Distributed DoS, DDoS) olurlar.
DoS-hücum texniki və qeyri-texniki vasitələrlə yaradıla bilər. Qeyri-texniki vasitələrlə
yaradılan DoS-hücum, məsələn, aşağıdakı faktorlardan qaynaqlana bilər:
– fiziki təhlükəsizlik sisteminin pozulması nəticəsində avadanlığın oğurlanması və ya sıradan
çıxarılması;
– təbii təhdidlər (yanğın, daşqın və s.) nəticəsində avadanlığa ziyan vurulması;
– ətraf mühitdə ekstremal şərait, məsələn, yüksək temperatur (nəticədə hava-kondinsioner
sistemi sıradan çıxır) və s.
Bəzi hallarda DDoS-hücumlar bilməyərəkdən törədilir. Bu böyük portallar az müraciət edilən
saytların yerləşdiyi kiçik və nisbətən zəif güclü serverlərə böyük həcmdə trafik yönəltdikdə baş
verir. Bu bəzən artıq yüklənməyə və bu serverlərin işində imtinalara səbəb olur.
Texniki vasitələrlə yaradılan DoS-hücumlar iki üsulla həyata keçirilə bilər. Birinci üsulda
hücum edilən kompüterdə proqram təminatının müəyyən boşluğu istifadə edilir. Bu boşluğun
köməyi ilə kompüterdə müəyyən kritik səhv yaratmaq və sistemin iş qabiliyyətinin pozulmasına
səbəb olmaq olar.
İkinci üsulda hücum edilən kompüterə eyni zamanda böyük sayda paketlər göndərməklə həyata
keçirilir. Hər bir paket müəyyən müddətə emal olunur. Əgər bu vaxt yeni paket daxil olursa, o,
növbəyə qoyulur və sistemin müəyyən resurslarını zəbt edir. Buna görə də, sistemə eyni vaxtda
olduqca çox sayda paket göndərilsə, onda həddindən artıq yüklənmə nəticəsində kompüter «boğula»
və ya işini tam dayandıra bilər. DoS-hücum təşkilatçılarına da məhz bu lazımdır.
DoS-hücumun bir növü olan paylanmış DoS-hücum (Distributed Denial of Service, DDoS) –
çox böyük sayda kompüterin köməyi ilə təşkil edilir, bunun sayəsində hətta İnternet-kanallarının
buraxma imkanı olduqca böyük olan serverlər də bu hücuma təslim olurlar.
DDoS-hücumların təşkili üçün bədniyyətlilər kompüterlərin xüsusi şəbəkəsindən – botnetdən
istifadə edirlər.
DDoS-hücumlar zamanı bədniyyətlilər çox vaxt “DDoS klasteri” adlanan üçsəviyyəli
arxitekturadan istifadə edirlər. Bu iyerarxik struktura aşağıdakılar daxildir (şəkil 2.1):
 idarəetmə konsolu (onlar bir neçə ola bilər) – məhz bu kompüterdən bədniyyətli DDoS-
hücumun başlaması haqqında siqnal verir;
 master-kompüterlər – bu kompüterlər idarəetmə konsolundan DDoS-hücum siqnalı alır və
onu agentlərə ötürürlər. Hücumun miqyasından asılı olaraq bir idarəetmə konsoluna bir neçə
yüzədək master-kompüter düşə bilər.
agentlər – sorğularla hədəf-qovşağa bilavasitə hücum edirlər.
Bir qayda olaraq, həm master-kompüterlər, həm də agent-kompüterlər «zombi»lərdir, yəni
onların sahibləri kompüterlərinin DDoS-hücumların iştirakçıları olduqlarını bilmirlər.

15

Şəkil 2.1. DDoS hücumunun sxemi

 Qeyd etmək lazımdır ki, bütün agentlər bir-birindən və bədniyyətlidən asılı olmadan avtonom
rejimdə fəaliyyət göstərirlər. Hər bir agentin avtonom hərəkət etdiyini və hücumun aktiv
komponentlərindən asılı olmadığını nəzərə alsaq, hətta bir neçə agentin eyni zamanda
neytrallaşdırılması bütün hücumu tamam dayandıra bilməz, çünki bu agentlərin sayı masterlərin
köməyi ilə daim artırılır. Bundan başqa, masterlərin və agentlərin sayı heç nə ilə məhdud deyil.
Belə strukturu əks istiqamətdə izləmək praktiki olaraq mümkün deyil. DDoS hücumlarında
masterlәrin vә zombilәrin istifadәsi hücumun hәqiqi tәşkilatçısının kim olduğunu gizlәdir. Haker-
master-zombi arasındakı әlaqәnin şifrlәnmiş olması, zombilәrin göndәrdiklәri paketlәrin mәnbә
ünvanının saxta olması hücumu hәyata keçirәn bәdәmәlin tapılması prosesini olduqca çәtinlәşdirir.
Hücum edilən ən çoxu agentin ünvanını müəyyən edə bilər. Xüsusi tədbirlər ən yaxşı halda master-
kompüterin üstünə çıxara bilər. Lakin həm agentlər, həm də masterlər bu hücumda zərərçəkənlərdir.
Bu struktur hücumu təşkil edən qovşağın ünvanını izləyib tapmağı praktiki olaraq qeyri-mümkün
edir.
DDoS-hücumların bir növü olan paylanmış dolayı DoS-hücumları (Distributed Reflection
DoS, DRDoS) – İnternet şəbəkəsinin “vicdanlı” hostları vasitəsilə dolayı həyata keçirilir. DRDoS
hücumunun klassik sxemi ondan ibarətdir ki, TCP-paket hücum edilən obyektin ünvanına deyil,
ixtiyari hostun (reflektorun) IP-ünvanına ötürülür. Bu paketdə qayıtma ünvanı hücum obyektinin
ünvanı ilə əvəz edilir. Əgər birinci paketdə mənbənin ünvanı olaraq hücum obyektinin ünvanı
göstərilsə, SYN-bayrağı olan TCP sorğusuna cavab verəcək server bu ünvana SYN+ACK bayraqlı
bir neçə TCP-paket göndərəcək. Yalan ünvan üzrə yalan sorğulara cavab verən güclü serverlər
çoxluğundan istifadə etdikdə hücum edilən obyekt paketlər axını ilə boğulacaq.

Şəkil 2.2. DRDoS hücumunun sxemi

DoS-hücumlara nümunələr
DoS-hücumların ilk növləri birmənbəli (ing. single-source) hücumlar idi, yəni hücumun həyata
keçirilməsi üçün yeganə bir sistem istifadə edilirdi. “SYN flood attack” (sinxron hücum) adlanan
hücumlar daha çox məşhurluq qazanmışdı. Sinxron hücumdan sonra daha ciddi, lakin qarşısının
alınması nisbətən asan olan başqa hücumlar da meydana çıxdı. Aşağıda bu hücumlardan ikisinin
qısa təsviri verilir.
TCP SYN flooding hücumu. Bu hücumun yerinə yetirilməsi zamanı göndərən-sistem alan-sistemə
çox böyük sayda TCP SYN-paketlər (sinxronlaşdırma simvolları olan paketlər) göndərir. SYN-
paketlər yeni TCP-birləşmələrin yaradılması üçün istifadə olunur. TCP nəqliyyat protokolu
birləşmənin iki subyekti arasında verilənlərin mübadiləsi başlayana kimi virtual rabitə kanalı
yaradılmasını nəzərdə tutur. SYN-paketi aldıqda alan-sistem verilənlərin uğurla qəbulu haqqında
xəbər verən ACK-paketlə cavab verir və birləşmə qurmaq üçün verilənləri SYN-paket göndərənə
göndərir. Bu zaman alan-sistem yeni birləşmə haqqında informasiyanı birləşmələrin növbə buferinə
yerləşdirir. Bundan sonra birləşmə subyekti virtual kanal yaratmanın üçpilləli sxemini qurtaran

16
kvitansiyanı gözləyir. Gözləmə müddəti ƏS-nin sistem reyestrinin parametrləri vasitəsi ilə
tənzimlənir.
Real TCP-birləşmədə göndərən SYN ACK-paketi aldıqdan sonra son АСК-paket
göndərməlidir. Lakin TCP SYN Flooding hücumunda göndərən SYN ACK-paketi göndərmir və
yeni TCP-birləşmələrin yaradılması üçün SYN-paketlər göndərməkdə davam edir. Son nəticədə
alan-sistemdə birləşmələrin növbə buferi daşır və sistem yeni bağlantı sorğularına cavab verməyi
dayandırır.
TCP SYN Flooding hücumuna şəbəkənin TCP-birləşmə qurmaq imkanı olan bütün hostları
meyllidir (serverlər, marşrutizatorlar). Bir qayda olaraq TCP SYN Flooding IP-şəbəkənin nömrələri
25 (SMTP), 80 (HTTP) və 110 (POP3) olan xidmətlərinə qarşı aparılır. NetBIOS-un 139-cu portda
fəaliyyət göstərən xidmətinə qarşı çox az səmərə ilə təsir edir.
Smurf-hücumu. Bu hücum ICMP exo-paketlərinin istifadəsinə əsaslanır. Smurf-hücumunun
gerçəkləşdirilməsi zamanı bədniyyətli hücum obyektinin adından ICMP-exo paketləri əvvəlcədən
seçilmiş şəbəkəyə genişyayımla göndərir. Genişyayımlı ICMP-exo sorğuları alan bütün
kompüterlər hücum obyektinə exo cavab göndərəcək. Beləliklə, bir paket göndərməklə bədniyyətli
həm hücum obyektinə münasibətdə, həm də genişyayımlı exo sorğunu alan şəbəkəyə münasibətdə
böyük həcmdə trafik yaradır. Bu rabitə kanalının buraxma qabiliyyətinin əhəmiyyətli azalmasına,
bəzi hallarda şəbəkənin tam təcrid edilməsinə gətirib çıxara bilər.

DDoS-hücum alətləri
Bədniyyətlilər DoS-hücumların müxtəlif növlərini kombinasiya edə bilərlər, belə hücumlar
daha təhlükəli və aradan qaldırılması çətin olar. Bunun üçün onlar Trinoo, TFN, TFN2K,
Stacheldracht, Mstream kimi instrumental vasitələrdən istifadə edə bilərlər. Bu instrumental
vasitələr hakerdən yüksək hazırlıq səviyyəsi tələb edir, hakerə bir hədəfə yönəlmiş DDoS-hücumda
çox sayda sistemin qüvvəsini əlaqələndirməyə imkan verir. Bəzi instrumental vasitələr hücum edən
paketlərdə göndərənin ünvanını təsadüfi şəkildə dəyişdirir, bu onların aşkarlanmasını olduqca
çətinləşdirir.
TFN (Tribe Flood Network) paketi UNIX sistemində istifadə üçün nəzərdə tutulmuşdur,
DDoS-hücumların təşkili üçün ilk açıq əlyetən vasitə idi. Paketin tərkibinə kliyent və server
komponenti daxildir. TFN paketinin köməyi ilə ICMP, UDP-paketlərinin istifadəsi ilə hücumları,
həmçinin smurf hücumunu gerçəkləşdirmək olar. Bu komponentlərlə yanaşı TFN paketinin
tərkibinə TCP-portla əlaqəli komanda örtüyünə giriş əldə etməyə imkan verən modul da daxildir.
Trinoo paketinin də tərkibinə kliyent və server komponentləri daxildir. Kliyentlə əsas proqram
arasında qarşılıqlı əlaqə 27665-ci TCP-portla bağlantı vasitəsilə həyata keçirilir. Əsas proqramın
serverlə əlaqəsi 27444-cü UDP protu, əks istiqamətdə isə 31335-cü UDP portu ilə qurulur. Trin00
ilk dəfə 1999-cu ilin avqustunda meydana çıxıb. Master və agent rolunda Linux və Solaris ƏS-nin
idarəsi altında işləyən şəbəkə qovşaqları çıxış edə bilər. Bu hücumun son mərhələsində kompüter
agentlər PingFlooding hücumundan istifadə edir.
Stacheldraht (“tikanlı məftil”) paketi Trinoo və TFN-in imkanlarını birləşdirir, əsas və tabe
modullar arasında şifrlənmiş telnet seansını gerçəkləşdirir. Bunun sayəsində IDS-i neytrallaşdırmaq
olar. TFN kimi Stacheldraht ICMP-, UDP-, SYN- və Smurf-hücumları həyata keçirmək imkanı
verir. Kliyentin serverlə qarşılıqlı əlaqəsi TCP- və ICMP-paketlərin kombinasiyası olan Echo-
Replay vasitəsilə həyata keçirilir.
Serverlə kliyent arasında qarşılıqlı əlaqə zamanı simmetrik açarlı şifrləmə alqoritmi tətbiq edilir.
Bundan başqa, parolla mühafizə rejimi də aktivdir. Zəruri olduqda bədniyyətli server komponentini
yeniləyə bilər (rcp komandasından istifadə etməklə).
TFN2K (TFN 2000) paketi TFN-in xələfidir, qarşılıqlı əlaqə prosesində ixtiyari seçilmiş
nömrəli portlardan istifadə etməyə imkan verir. Bunun sayəsində sərhəd marşrutizatorlarında
portların bloklanmasından yan keçmək olar. TFN kimi TFN 2000 də ICMP-, UDP-, SYN- və
smurf-hücumları dəstəkləyir, bundan başqa, hücumun müxtəlif növlərinə təsadüfi şəkildə keçə bilir.
Lakin Stachelhardt paketində istifadə edilən şifrləmə alqoritmindən fərqli olaraq nisbətən zəif Base
64 şifrləmə alqoritmi tətbiq edilir.
17
 WinTrinoo paketi Trinoo-nun Windows sistemində istifadə üçün nəzərdə tutulan versiyasıdır.
Wintrino troyan tipli proqramdır, adətən, servise.exe adlanır (əgər adı dəyişdirilməyibsə) və 23145
baytdır. (servise.exe-ni Windows-un services.exe-si ilə qarışdırmayın). Bu proqram işə salındıqdan
sonra Windows reyestrinə yeni parametr yazılır və bundan sonra sistem işə düşdükdə troyan da
avtomatik yüklənir:
Mstream – 2000-ci ilin aprelində aşkarlanmış DDoS alətidir, TCP və UDP protokollarından
istifadə edir və paket flooding üsulu ilə işləyir. Hücum üçün Attacker -> Masters -> Agents ->
Target(s) üçsəviyyəli sxemdən istifadə edir.
DoS hücumların aşkarlanması
Serveri yükləyən paketlərin trafikin həqiqi sorğuları, yoxsa DDoS hücumu olmasını təyin etmək
çətindir. Bunun üçün müxtəlif DDoS hücumlarının mexanizmi öyrәnilir, loq-fayllar analiz edilir.
Lakin müasir DDoS hücumlarının davranışı o qәdәr mürәkkәbdir ki, onların necә hücum
edәcәklәrini әvvәlcәdәn demәk mümkün deyil.
Aşkarlama metodları:
• siqnatura – trafikin keyfiyyət analizinə əsaslanır;
• statistik – trafikin kəmiyyət analizinə əsaslanır;
• hibrid – əvvəlki iki metodun üstünlüklərini birləşdirir.
DDoS-hücumların aşkarlanması üçün DDOSPing, Zombie Zapper və find_ddos alətlərindən istifadə etmək,
nömrələri məlum portların açıq olmasını yoxlamaq olar.
DoS-hücumlardan müdafiə mexanizmləri
Müasir әmәliyyat sistemlәrindә bir çox DoS-hücumların qarşısı alınmışdır. Qarşısı alınmış DoS
hücumlara misal olaraq ping vasitәsi ilә hәyata keçirilәn hücumları göstәrmәk olar. Bu gün bir çox
әmәliyyat sistemlәrindә normal üsul ilә yanlış formatlı ICMP paketlәrinin göndәrilmәsi mümkün
deyil. Bundan başqa, bәzi әmәliyyat sistemlәrindә böyük hәcmli paketlәrә qarşı davamlılıq
artırılmışdır. Bir çox serverdә isә bu növ hücumların qarşısını almaq üçün ICMP xidmәtini,
ümumiyyәtlә, söndürürlәr.
TCP/IP әlaqәsinin yaradılması zamanı 3 mәrhәlәli prosesdә yanlış formatlı paket göndәrәrәk
serverin yarımçıq sessiyalar siyahısının doldurulmasının da qarşısı alınmışdır. Əvvәllәr TCP/IP
әlaqәsinin yaradılması üçün 3 mәrhәlәli prosesin hәr bir addımının hәyata keçirilmәsi üçün sonsuz
qәdәr gözlәnilirdi. İndi bu vaxt bir neçә saniyәyə endirilib. Əgәr müəyyәn bir zaman müddәtindә
verilmiş әlaqәnin yaradılması üçün növbәti paketlәr gәlmәsә, hәmin sessiya avtomatik olaraq
bağlanır.
DDoS hücumları bütün digәr hücum növlәrinә nisbәtәn qarşısının alınması әn çәtin hücum
növüdür. Təəssüf ki, DDoS-hücumlardan mühafizənin universal metodları mövcud deyil. Bu
hücumların qarşısını almaq üçün müxtəlif metodlar, alqoritmlәr və proqram tәminatları işlәnmişdir.
DoS-hücumlarla mübarizə tədbirlərini passiv və aktiv, həmçinin preventiv və reaktiv tədbirlərə bölmək olar.
Əsas müdafiə metodları aşağıdakılardır:
• Profilaktika. DoS-hücum təşkil etməyə təhrik edən səbəblərin profilaktikası. Arzuolunmaz
aktivliyi başlamağa imkan verən səbəblərin aradan qaldırılması (çox vaxt hücumlar şəxsi
incikliyin, siyasi, dini fikir ayrılığının və s. nəticəsi olur) üçün tədbirlər görülür.
• Mümkün DDoS hücumlarının effektivliyinin azaldılması. Bu məqsədlə şəbəkədə yükləmə
balansının tənzimlənməsi (ing. Load Balancing), proksilərdən istifadə, giriş
informasiyasının süzgəcdən keçirilməsi, DNS yazılarının bir neçə serverə bölüşdürülməsi və
s. kimi işlər görülür.
• Blackhole. DDoS-hücumların qarşısını almaq üçün operatorlar BlackHole (“qara deşik”)
texnologiyasından istifadə edirlər, bu zaman kliyentin ünvan fəzasında hücum edilən
ünvanlar operatorun şəbəkəsində tam bloklanır (bağlanır). Bu metodu da tam uğurlu saymaq
olmaz, çünki hücum trafiki ilə yanaşı “xoşniyyətli” paketlər də atılır. Bədniyyətli faktiki
olaraq operatorun köməyi ilə öz əsas məqsədinə çatır – hücum edilən resursa giriş bağlanır.
Bundan başqa, BlackHole metodunda marşrutlama getdikcə daha incə olan müasir
hücumlarla mübarizə üçün optimallaşdırılmayıb.

18
• Filtrasiya. Filtrasiya və blackhole metodlarının effektivliyi hücum hədəfinə yaxınlaşdıqca azalır və
hücumun mənbəyinə yaxınlaşdıqca artır.
• Boşluqların aradan qaldırılması. Flood tipli hücumlara qarşı işləmir, bu hücumlarda «boşluq» bu və
ya digər resursun məhdud olmasıdır.
• Resursların artırılması. İzafi resursların tətbiqi – yükün istənilən pik artımı ilə bacaran əlavə
buraxma zolağının və ya ehtiyat şəbəkə qovşaqlarının alınması iqtisadi cəhətdən həmişə
özünü doğrultmur. Bədniyyətliyə bu əlavə resursları tükətmək üçün yalnız hücumun
miqyasını artırmaq gərəkdir.
• Paylanma. Paylanmış və ehtiyat (təkrarlanmış) sistemlərin qurulması, məsələn, bir-birindən asılı
olmayan bir neçə serverin və güzgü saytın istifadə edilməsi. Onlar hücum səbəbindən bəzi
elementləri əlyetər olmadıqda belə, istifadəçilərə xidməti davam etdirirlər.
• Yayınma. Hücumların bilavasitə hədəflərinin (domen-adının və ya IP-ünvanın) digər resurslardan
kənara aparılması, bilavasitə hədəflə birlikdə onlar da çox zaman təsirə məruz qalırlar.
• Aktiv cavab tədbirləri. Hücumun mənbələrinə, təşkilatçısına və ya idarəetmə mərkəzinə həm texniki,
həm də təşkilati-hüquqi xarakterli təsir edilməsi.

19
Mühazirə 5. İnformasiya təhlükəsizliyinin təmin edilməsi metodları

İnformasiya təhlükəsizliyinin təmin olunması problemi kompleks yanaşma tələb edir. Onun
həlli üçün tədbirləri aşağıdakı səviyyələrə bölmək olar:
 Qanunvericilik tədbirləri (informasiya ilə davranış qaydalarını reqlamentləşdirən və
bu qaydaların pozulmasına görə məsuliyyəti müəyyənləşdirən qanunlar, fərmanlar, standartlar
və s.)
 Mənəvi etik tədbirlər.
 Inzibati tədbirlər. İnformasiya təhlükəsizliyi rəhbərlik tərəfindən müvafiq səviyyəli
informasiya təhlükəsizliyi siyasətinin aparılması ilə əldə edilir. Informasiya təhlükəsizliyi
siyasətinin əsaslandığı sənəd informasiya təhlükəsizliyi proqramıdır. Bu sənəd dövlətin,
idarənin, təşkilatın ali idarəetmə orqanları tərəfindən rəsmi rəhbər sənəd kimi işlənir və təsdiq
edilir. Sənəddə informasiya təhlükəsizliyi siyasətinin məqsədləri və KS-də informasiya
təhlükəsizliyi məsələlərinin həllinin əsas istiqamətləri göstərilir. İnformasiya təhlükəsizliyi
proqramlarında həmçinin KS-də informasiya təhlükəsizliyi sisteminin qurulmasının ümumi
tələbləri və prinsipləri də verilir.
 Təşkilati tədbirlər − təhlükəsizlik təhdidlərinin realizəsinin maksimum
çətinləşdirilməsi və ya istisna edilməsi məqsədi ilə KS-in fəaliyyət prosesini və istifadəçilərin
hərəkətlərini reqlamentləşdirir:
a) istifadəçilərin işinə aşkar və ya gizli nəzarətin təşkili;
b) sənədlərin və informasiya daşıyıcılarının saxlanmasının, istifadəsinin və məhv
edilməsinin uçotunun təşkili;
v) mühafizənin (ərazi) və etibarlı buraxılış rejiminin təşkili;
q) kadrların seçilməsi və hazırlanması zamanı həyata keçirilən tədbirlər;
d) informasiyaya giriş qaydalarının işlənməsi üzrə tədbirlər;
e)sistemin texniki vasitələrinin layihələndirilməsi, işlənməsi, modifikasiyası zamanı
tədbirlər.
 Fiziki təhlükəsizlik tədbirləri: sistemə nüfuzetmə yollarında fiziki maneələrin
yaradılması üçün müxtəlif növ texniki mühafizə vasitələrinin tətbiqi.
 Proqram-texniki tədbirlər − KS-in tərkibinə daxil olan və mühafizə funksiyalarını
yerinə yetirən texniki qurğuların və proqramların istifadəsinə əsaslanır. Bu səviyyənin
tədbirləri üçün mərkəzi anlayış təhlükəsizlik servsiidir. Belə servislərin sırasına aiddir:
 identifikasiya və autentikasiya;
 girişin idarəolunması (avtorizəetmə);
 protokollaşdırma və audit;
 şifrləmə;
 rəqəmsal imza;
 tamlığa nəzarət;
 ekranlaşdırma;
 tunelləmə;
 imtinaya dayanıqlığın təmini;
 təhlükəsiz bərpaetmənin təmini;
 idarəetmə.

İnformasiya təhlükəsizliyi üzrə qanunvericilik və standartlar

Qanunvericilik tədbirləri müvafiq qanunları, normativ aktları, standartları və s. əhatə edir.
Qeyd etmək lazımdır ki, qanunvericilik bazası bütün ölkələrdə praktikanın tələblərindən geri qalır
(texnologiyalar sürətlə inkişaf edir). Azərbaycan Respublikasında informasiya təhlükəsizliyi üzrə
bir sıra qanunlar və normativ aktlar qəbul edilmişdir. Bu sahədə aşağıdakı qanunları göstərmək olar
(siyahı bunlarla məhdudlanmır):
 İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında Qanun;

20
 İnformasiya əldə etmək haqqında Qanun;
 Dövlət sirri haqqında Qanun;
 Fərdi məlumatlar haqqında Qanun;
 Kommersiya sirri haqqında Qanun;
 Elektron imza və elektron sənəd haqqında Qanun;
 Biometrik informasiya haqqında Qanun və s.
Qanunvericilik səviyyəsində standartlar xüsusi diqqətə layiqdir. İnformasiya təhlükəsizliyi üzrə
ilk standart 1985-ci ildə ABŞ Müdafiə Nazirliyi tərəfindən qəbul edilmiş “Etibarlı kompüter
sistemlərini qiymətləndirmə meyarları” adlı standartdır (üz qabığının rənginə görə daha çox
«Narıncı kitab» kimi tanınır). Standartların arasında ISO/IEC 27x ailəsinin standartları (27001,
27002, 27..., İnformasiya təhlükəsizliyinin idarə edilməsi) və ISO/IEC 15408 (İnformasiya
texnologiyalarının təhlükəsizliyini qiymətləndirmə meyarları, «Ümumi meyarlar» kimi məşhurdur)
standartı daha geniş tanınır.
Nəqliyyat, Rabitə və Yüksək Texnologiyalar Nazirliyində (NRYTN) fəaliyyət göstərən
Standartlaşdırma üzrə “İnformasiya-kommunikasiya texnologiyaları” Texniki Komitəsi (TK 05)
tərəfindən mövcud beynəlxalq standartlar əsasında bir sıra informasiya təhlükəsizliyi standartları
işlənmişdir. Aşağıda onlardan bir neçəsi nümunə üçün verilir (tam siyahı ilə
http://www.mincom.gov.az/ saytında fəaliyyət-tənzimləmə-standartlaşdırma bölməsində tanış
olmaq olar):
 AZS 494-2010 (ISO/IEC 27001-2005) İnformasiya Təhlükəsizliyi. Təhlükəsizlik metodları.
İnformasiya təhlükəsizliyinin idarə edilməsi sistemləri. Tələblər;
 AZS 492-2010 (ISO/IEC 27005-2008) İnformasiya texnologiyaları – Təhlükəsizlik
metodları – İnformasiya təhlükəsizliyi risklərinin idarə olunması;
 AZS 493-2010 (ISO/IEC TR 18044-2007) İnformasiya texnologiyası – Təhlükəsizliyin
təmin edilməsinin metod və vasitələri – İnformasiya təhlükəsizliyi insidentlərinin idarə
olunması”.
3A (Autentifikasiya, Avtorizasiya və Audit)
İdentifikasiya − istifadəçiyə (və ya istifadəçinin adından fəaliyyət göstərən prosesə) özünü
adlandırmağa (öz adını bildirməyə) imkan verir.
Autentifikasiya (ing. authentication) vasitəsi ilə ikinci tərəf əmin olur ki, subyekt doğrudan da
özünü qələmə verdiyi şəxsdir. Autentikasiya sözünün sinonimi kimi çox vaxt “həqiqiliyin
yoxlanması” işlədilir.
Subyekt aşağıdakı mənbələrdən ən azı birini təqdim etməklə özünün həqiqiliyini təsdiq edə bilər:
 bildiyi nəyi isə (parolu, şəxsi identifikasiya nömrəsi, kriptoqrafik açar);
 sahib olduğu nəyi isə (şəxsi kart və ya digər təyinatlı analoji qurğu);
 özünün tərkib hissəsi olan nəyi isə (səs, barmaq izləri və s., yəni özünün biometrik
xarakteristikalarını).
Autentikasiyanın ən geniş yayılmış növü paroldur. Daxil edilmiş parol və istifadəçi üçün
əvvəlcədən verilmiş parol müqayisə edilir. Onlar üst-üstə düşdükdə istifadəçinin həqiqiliyi
təsdiqlənmiş sayılır.
Avtorizasiya (Girişin idarə edilməsi). Girişin idarə edilməsi subyektlərin (istifadəçi və
proseslərin) obyektlər (informasiya və digər kompüter resursları) üzərində yetinə yetirə biləcəyi
əməliyyatları müəyyən etməyə və onlara nəzarət etməyə imkan verir. Girişin məntiqi idarə edilməsi
(girişin fiziki idarə edilməsindən fərqli olaraq) proqram vasitələri ilə realizə olunur.
Məsələnin formal qoyuluşuna baxaq. Subyektlər məcmusu və obyektlər toplusu var. Girişin
məntiqi idarəolunması hər bir (subyekt, obyekt) cütü üçün yolverilən (mümkün) əməliyyatlar
çoxluğunu müəyyən etməkdən və qoyulmuş qaydaların yerinə yetirilməsinə nəzarət etməkdən
ibarətdir.

21
 (Subyekt, obyekt) münasibətini cədvəl şəklində təsvir etmək olar. Cədvəlin sətirlərində
subyektlər, sütunlarında obyektlər sadalanır. Sətir və sütunların kəsişdiyi xanalarda verilən giriş
növləri və əlavə şərtlər (məsələn, vaxt və hərəkətin məkanı) yazılır.
Girişin məntiqi idarə edilməsi mövzusu – informasiya təhlükəsizliyi sahəsində ən mürəkkəb
mövzudur. Səbəb ondadır ki, obyekt anlayışının özü (deməli giriş növləri də) servisdən servisə
dəyişir. Əməliyyat sistemi üçün obyekt fayl, qurğu və prosesdir. Fayl və qurğular üçün adətən
oxuma, yazma, yerinə yetirmə (proqram faylları üçün), bəzən də silmə və əlavə etmə hüquqlarına
baxılır. Ayrıca hüquq kimi giriş səlahiyyətlərinin digər subyektlərə vermə imkanına baxıla bilər
(sahiblik hüququ). Prosesləri yaratmaq və məhv etmək olar. Müasir əməliyyat sistemləri digər
obyektlərin varlığını da mümkün edə bilər.
Giriş hüququna nəzarət proqram mühitinin müxtəlif komponentləri - əməliyyat sisteminin
nüvəsi, əlavə təhlükəsizlik vasitələri, verilənlər bazasını idarəetmə sistemi, ara vasitəçi proqram
təminatı (məsələn, tranzaksiyalar monitoru) tərəfindən həyata keçirilir.
Protokollaşdırma və audit. Protokollaşdırma dedikdə informasiya sistemində baş verən hadisələr
haqqında məlumatın qeyd edilməsi və toplanması başa düşülür.
Audit - toplanan informasiyanın analizidir. Audit operativ (demək olar ki, real vaxtda) və ya
dövri (məsələn, gündə bir dəfə) aparıla bilər.
Protokollaşdırma və auditin realizə olunması aşağıdakı məqsədləri güdür:
 istifadəçi və administratorların hesabat verməli olmasını təmin etmək;
 informasiya təhlükəsizliyini pozma cəhdlərinin aşkar olunması;
 problemlərin aşkar olunması və analizi üçün informasiyanın təqdim olunması.
“Narıncı kitabda“ protokollaşdırma üçün aşağıdakı hadisələr sadalanır: sistemə giriş cəhdləri
(uğurlu və uğursuz); sistemdən çıxış; kənar sistemlərə müraciətlər; fayllarla əməliyyatlar (açmaq,
bağlamaq, adını dəyişmək, silmək); imtiyazların və digər təhlükəsizlik atributlarının dəyişdirilməsi.

Ekranlaşdırma
Ekranlaşdırma vacib təhlükəsizlik mexanizmlərindən biridir. Bu mexanizmin şəbəkələrarası
ekran (ingilis termini firewall) adlanan realizələri olduqca geniş yayılıb.
Ekranlaşdırma məsələsinin qoyuluşu aşağıdakından ibarətdir. Tutaq ki, iki informasiya sistemi
var. Ekran  bir çoxluqdan olan istifadəçilərin digər çoxluğun serverlərinə müraciətlərini
nizamlayan vasitədir. Ekran öz funksiyalarını iki sistem arasındakı bütün informasiya axınına
nəzarət etməklə yerinə yetirir ( şək. 1)
İnformasiya sistemi 1 İnformasiya sistemi 2

İstifadəçilər E Serverlər

K
Serverlər İstifadəçilər
R
Şəkil 1.

Ən sadə halda ekran iki mexanizmdən ibarətdir, onlardan biri verilənlərin yerdəyişməsini
məhdudlaşdırır, digəri isə əksinə, bu yerdəyişməni həyata keçirir. Ən ümümi halda ekranı
(yarımşəffaf pərdəni) süzgəclər (filtrlər) ardıcıllığı kimi təsəvvür etmək əlverişlidir. Süzgəclərdən
hər biri verilənləri (tutub) saxlaya bilər, və ya onları dərhal "digər tərəfə" "ata bilər". Bundan başqa,
analizi davam etdirmək üçün verilənləri növbəti süzgəcə ötürmək, adresatın adından verilənləri
emal edərək nəticəni göndərənə qaytarmaq olar.
Çox vaxt ekranı 7-səviyyəli OSI etalon modelinin üçüncü (şəbəkə), dördüncü (nəqliyyat) və ya
yeddinci (tətbiqi) səviyyələrində realizə edirlər. Birinci halda ekranlaşdırıcı marşrutizator, ikinci
halda  ekranlaşdırıcı nəqliyyat, üçüncü halda  ekranlaşdırıcı şlüz alınır. Hər bir yanaşmanın öz
üstünlükləri və nöqsanları var; hibrid ekranlara da rast gəlinir, onlarda göstərilən yanaşmaların ən
yaxşı cəhətlərini realizə etməyə çalışırlar.

22
Kriptologiyanın əsas anlayışları
İnformasiya mühafizəsinin kriptoqrafik metodları müasir kriptologiyanın tədqiqatlarinin
predmetidir, kriptologiya məqsədləri bir-birinə tam əks olan iki əsas bölmədən ibarətdir:
─ kriptoqrafiya  informasiyanı bədniyyətlinin bəzi hərəkətlərindən qorumaq məqsədi ilə
informasiyanın çevrilməsi üsullarını öyrənir.
─ kriptoanaliz  kriptosistemlərin etibarının qiymətləndirilməsi, şifrlərin dözümünün analizi,
onların çözülməsi üsullarının işlənilməsi üsullarını öyrənir.
Kriptoqrafiyanın məsələləri. Kriptoqrafik çevirmələr informasiya mühafizəsinin aşağıdakı
əsas məsələlərinin həlli üçün tətbiq olunurlar:
1. İnformasiyanın konfidensiallığının təmini, yəni məzmunla avtorizə olunmamış tanış
olmaqdan mühafizə.
2. İnformasiyanın bütünlüyünün təmini, yəni avtorizə olunmamış sanksiyasız dəyişikliklərdən
mühafizə (bura daxiletmə, silmə və ilkin məlumat fraqmentlərinin əvəzlənməsi aid edilir).
3. İnformasiyanın autentikasiyasının təmini, yəni tərəflərin, informasiyanın özünün,
informasiyanın yaradılması vaxtının və s. həqiqiliyinin təsdiqi.
4. Müəlliflikdən imtina edəbilməmənin (müəlliflikdən imtinanın qeyri-mümkünlüyünün)
təmini.
Kriptoqrafiya və kriptoanaliz çoxəsrlik inkişaf və tətbiq tarixinə malikdir. Kriptologiyanın üç
inkişaf mərhələsini fərqləndirmək olar:
 elməqədərki kriptoqrafiya mərhələsi (qədim dövrlərdən 1949-cu ilədək);
 klassik kriptoqrafiya mərhələsi (məxfi açarlı kriptoqrafiya) – şifrlərin yaradılması və
onların dözümünün qiymətləndirilməsi ilə əlaqədar kriptologiyanın elmi fənn kimi təşəkkülü
(1949-1976-ci illər); bu mərhələnin başlanğıcını K.E.Şennon “Məxfi sistemlərdə rabitə
nəzəriyyəsi” adlı işi ilə qoymuşdur;
 müasir kriptoqrafiya mərhələsi, klassik kriptoqrafiya ilə yanaşı açıq açarlı
kriptoqrafiyanın coşqun inkişafı mərhələsi, onun meydana çıxması riyaziyyatda yeni
istiqamətlərin meydana çöxmasını stimullaşdırdı; bu mərhələnin başlanğıcını U.Diffi və
M.Hellmanın “Kriptoqrafiyada yeni istiqamətlər” adlı işi qoymuşdur.
Şifr – açıq mətnlər çoxluğunun şifrlənmiş mətnlər çoxluğuna tərsi olan çevirmələri çoxluğudur.
Şifrin hər bir çevirməsi ilə açar adlanan müəyyən parametrin qiyməti əlaqədardır.
Açar – şifrləmənin gedişini idarə edən məxfi parametridir. Açar şifri təşkil edən çevirmələr
çoxluğundan şifrləmə və deşifrləmə üçün çevirmənin konkret variantının seçilməsini müəyyən edir.
Açıq mətn  şifrin çevirməsinə məruz qalan informasiya.
Şifrləmə –şifr çevirməsinin açıq mətnə tətbiqi.
Deşifrləmə  məlum açardan istifadə etməklə tərs çevirmənin şifrlənmiş mətnə tətbiqi.
Şifrlənmiş mətn (şifrmətn)  açıq mətnin şifrlənməsinin nəticəsi.
Kriptosistem açarlar fəzasından, açıq mətnlər fəzasından, şifrmətnlər fəzasından, şifrləmə
alqoritmindən və deşifrləmə alqoritmindən ibarətdir.
Şifrin çözülməsi − açarı bilmədən şifrlənmiş mətndən qorunan informasiyanın alınması prosesi.
Şifrə hücum  şifri çözmək cəhdi.
Şifrin dözümü  şifrin mümkün hücumlara qarşı durmaq qabiliyyəti.
Şifrləmənin klassik üsulları
Şifr çevirmələri qurularkən riyazi baxımdan çevirmələrin iki növü istifadə edilir: açıq mətn
elementlərinin yerdəyişməsi və açıq mətn elementlərinin müəyyən çoxluğun elementləri ilə
əvəzlənməsi. Bununla əlaqədar olaraq şifrlər üç növə bölünür: yerdəyişmə şifrləri, əvəzləmə şifrləri
və kompozisiya şifrləri. Kompozisiya şifrləri yerdəyişmə və əvəzləmə şifrlərinin ardıcıl tətbiqindən
istifadə edirlər.
Yerdəyişmə şifrləri. Tutaq ki, a0, a1, …, aN−1 açıq mətni verilib. Əgər bu mətnə σ = (σ(1), σ(2), …,
σ(N − 1)) yerdəyişməsini tətbiq etsək, onda nəticədə aσ(0), aσ(1), …, aσ(N−1) şifrmətni alınacaq. Belə
çevirmələr ailəsi yerdəyişmə şifri adlanır.

23
 Marşrut yerdəyişmə şifrləri düzbucaqlı cədvəldən istifadə edirlər, cədvəldə açıq mətn sətirlər
üzrə yazılır, şifrlənmiş mətn cədvəl başqa qaydada oxunduqda alınır ( sütunlar üzrə, diaqonallar
üzrə… yəni digər marşrutla). Deşifrləmə həmin ölçüdə boş düzbucaqlının seçilmiş marşruta uyğun
olaraq şifrlənmiş mətnlə doldurulmasından və açıq mətnin sətirlər üzrə oxunmasından ibarətdir.
Belə şifrlərin açarı cədvəlin ölçüləri və cədvəldən hərflərin oxunması marşrutudur.
Əvəzləmə şifrləri. Əvəzləmə şifrlərində şifrlənən mətnin simvolları əvvəlcədən şərtlənmiş
əvəzləmə sxeminə uyğun olaraq ya elə həmin əlifbanın (sadə əvəzləmə), ya da bir və ya bir neçə
başqa əlifbanın simvolları ilə (mürəkkəb əvəzləmə) əvəzlənir.
Ən qədim əvəzləmə şifrlərindən biri Sezar şifridir. Sezar şifri ilə şifrləmə zamanı latın
əlifbasının hər bir hərfi k = 3 mövqe sağa dövri sürüşdürülür. Aşağıdakı əvəzləmə alınır:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Şifrləmə bu əvəzetməyə uyğun olaraq həyata keçirilir. Məsələn, E3(CUT) = FXW. Aydındır ki,
k = 3 seçimi yeganə mümkün olan seçim deyil.
Sadə əvəzləmə şifrinə daha bir misal modulyar şifrdir. m = 26 modulu ilə qarşılıqlı sadə olan a
ədədini seçək. Tutaq ki, p – ingilis əlifbasının öz sıra nömrəsi (0, 1, …, 25) ilə eyniləşdirilən
hərfidir. Onda şifrləmə Ek(p) = ap + b düsturu ilə yerinə yetirilir, burada b qeyd edilib. Bu şifrdə
açar (a, b) ədədlər cütüdür. Qarşılıqlı sadəlik şərti şifrin tərsinin olması üçün zəruridir.

Vernam şifri
Vernam şifrində n-bitlik açıq mətn ilə n-bitlik açar bitbəbit toplanır:
ci = mi  ki, i = 1,2, …, n,
burada m1, …, mn – açıq mətn, k1, …, kn − açar, c1, …, cn – şifrlənmiş mətndir. Deşifrləmə düsturu:
mi = ci  ki, i = 1,2, …, n.
K.Şennon isbat etmişdir ki, əgər 1) əgər açar müntəzəm paylama qanununa malik həqiqi
təsadüfi ikilik ardıcıllığın fraqmentifdirsə, 2) açarın uzunluğu açıq mətnin uzunluğuna bərabərdirsə
və 3) bu açar yalnız bir dəfə istifadə olunursa, onda Vernam şifri mütləq dözümlüdür. Bu şərtlərdən
heç olmasa biri pozulduqda şifr mütləq dözülməz olmur və onun çözülməsi üçün prinsipcə imkanlar
mövcuddur.
Misal. Tutaq ki, məlumat IF sözüdür, onun ASCII kodu 1001001 1000110 olacaq. Açar isə
1010110 0110001 olsun. Şifrmətn açıq mətnlə açarın bitlərini 2 moduluna görə toplamaqla tapılır.
Şifrləmə:
Açıq mətn 1001001 1000110
Açar 1010110 0110001
Şifrmətn 0011111 1110111
Deşifrləmə:
Şifrmətn 0011111 1110111
Açar 1010110 0110001
Açıq mətn 1001001 1000110

İnformasiyanın tamlığına nəzarət mexanizmi

Adətən, tamlığa nəzarət üçün kriptoqrafik heş-funksiyalar istifadə edilir. Adətən, heş-funksiya
müəyyən alqoritm şəklində realizə edilir və bu alqoritm ixtiyari uzunluqda məlumat üçün uzunluğu
sabit olan heş-kod hesablamağa imkan verir. Praktikada 128 bit və daha uzun heş-kod generasiya
edən heş-funksiyalardan istifadə edilir. Heş-funksiya alqoritmlərinə misal olaraq MD2, MD4, MD5,
SHA-1 (“şa bir” kimi oxunur), SHA-2, SHA-3 və s. alqoritmlərini göstərmək olar (SHA – Secure
Hash Algorithm – təhlükəsiz heş alqoritmi, SHA-3 hazırda ABŞ standartıdır).
Heş-funksiyanın xassələri elədir ki, onun köməyi ilə alınan heş-kod məlumatla “möhkəm” bağlı
olur. Məlumatın hətta bir bitini dəyişdikdə belə, heş-kodun bitlərinin ən azı yarısı dəyişir.
Misal. ‘1234567890’ sətri üçün MD5 heş-funksiya alqoritmi ilə hesablanmış heş-kod 16-lıq say
sistemində E807 F1FC F82D 132F 9BB0 18CA 6738 A19F simvollar ardıcıllığıdır. Müqayisə üçün

24
bir simvol dəyişdirildikdə alınan heş-kod da verilir. Göründüyü ki, MD5 olduqca “həssas”dır −
ikinci heş-kodda 32 simvoldan 30-u dəyişib.
MD5(‘1234567890’)= E807 F1FC F82D 132F 9BB0 18CA 6738 A19F
MD5(‘1234567891’)= 0F7E 44A9 22DF 352C 05C5 F73C B40B A115

25
Mühazirə 6. İnformasiya təhlükəsizliyinin formal modelləri

Təhlükəsizlik modelləri. Təhlükəsizliyin formal modelləri sistemin informasiya təhlükəsizliyinin

verilmiş təhlükəsizlik siyasətinə uyğunluğunu isbat etməyin əsas alətləridir.
Təhlükəsizlik siyasətində girişə nəzarət, identifikasiya, autentifikasiya, uçot, qeydiyyat, nəzarət
jurnallarının aparılması və s. məsələlər təsvir olunur.
Girişə nəzarətin (girişin idarə edilməsinin) iki əsas növü var: diskresion və mandatlı.
Girişin diskresion idarə edilməsi (Discretionary Access Control  DAC) iki xassə ilə müəyyən
edilir:
 bütün subyektlər və obyektlər birqiymətli identifikasiya edilməlidir;
 subyektin sistemin obyektinə giriş hüququ sistemə nəzərən kənar olan müəyyən qaydanın
əsasında təyin edilir.
Diskresion təhlükəsizlik siyasətinin üstünlüklərinə müvafiq mühafizə mexanizmlərinin nisbətən
sadə reallaşdırılmasını aid etmək olar. Hazırda geniş yayılmış sistemlərin əksəriyyətinin bu
təhlükəsizlik siyasətinin müddəalarını yerinə yetirməsi faktı bununla izah edilir.
Nöqsanlarına modelin statikliyi aiddir, yəni bu təhlükəsizlik siyasəti sistemin vəziyyətlərinin
dəyişmə dinamikasını nəzərə almır, sistemin vəziyyətlərinə məhduduyyətlər qoymur.
Girişin mandatlı idarə edilməsi (Mandatory Access Control  MAC) nəzərdə tutur ki:
sistemin bütün subyektləri və obyektləri birqiymətli identifikasiya edilməlidir;
məxfilik nişanlarının xətti nizamlanmış yığını verilib;
sistemin hər bir obyektinə obyektdə olan informasiyanın qiymətini müəyyən edən və
məxfilik səviyyəsi adlanan məxfilik nişanı verilib;
sistemin hər bir subyektinə giriş səviyyəsi adlanan məxfilik nişanı verilib, subyektin girişi
olduğu obyektlərin maksimal məxfilik nişanını müəyyən edir.
Girişin mandatlı idarə edilməsi modelinin əsas məqsədi – giriş səviyyəsi yüksək olan
obyektlərdən giriş səviyyəsi aşağı olan obyektlərə informasiya axınının qarşısını almaqdır, yəni
sistemdə yuxarıdan aşağıya informasiya kanallarının meydana çıxmasına əks-təsirdir.
Çox hallarda mandatlı təhlükəsizlik siyasətini Bell-LaPadula modelinin terminləri, anlayışları
və təriflərində təsvir edirlər.
Mandatlı təhlükəsizlik siyasətini realizə edən sistem üçün daha yüksək etibarlıq səviyyəsi
xarakterikdir. Bu onunla əlaqədardır ki, belə sistemin təkcə subyektlərinin obyektlərə giriş qaydaları
deyil, sistemin özünün vəziyyəti də izlənməlidir. Beləliklə, bu növ sistemlərdə sızma kanalları
bilavasitə onun özündə qoyulmayıb, yalnız sistemin praktiki realizəsi zamanı yaradıcının səhvləri
nəticəsində meydana çıxa bilər. Bundan əlavə mandatlı təhlükəsizlik siyasətinin qaydaları başa
düşülmə üçün daha aydın və sadədir, bu da sistemin təhlükəsizlik səviyyəsinə müsbət təsir edir.
Digər tərəfdən, bu növ təhlükəsizlik siyasəti ilə sistemlərin realizəsi yetərincə mürəkkəbdir və
hesablama sisteminin xeyli resursunu tələb edir.
Formal təhlükəsizlik modellərindən aşağıdakıları göstərmək olar:
• Bell-LaPadula modeli ─ konfidensiallıq
• Harrison-Ruzzo-Ullman (HRU) modeli ─ konfidensiallıq
• Biba modeli ─ tamlıq
• Clark-Wilson modeli ─ tamlıq
• İnformasiya axını modeli
• Çin səddi modeli
Adətən, formal təhlükəsizlik modellərində hesablama sistemlərinin bir çox aspektini
modelləşdirmək üçün populyar üsul olan avtomatlar (=sonlu vəziyyət maşınları) istifadə olunur.
Onların əsas xüsusiyyəti: vəziyyət və vəziyyət keçidi ilə təsvir olunur.

Bell-LaPadula modeli
Klassik Bell-LaPadula (BLP) modeli girişin mandatlı idarə edilməsini realizə edən təhlükəsizlik
sistemlərinin analizi üçün qurulmuşdur. Onun belə sistemlərin formal modeli kimi istifadə

26
edilməsinin mümkünlüyü TCSEC meyarlarında («Narıncı kitab») bilavasitə qeyd edilmişdir. Bell-
LaPadula modeli 1975-ci ildə David E. Bell və Leonard J. La Padula tərəfindən təklif edilmişdi.
BLP strukturu aşağıdakılardan ibarətdir:
• Girişə icazə matrisi, girişə nəzarət;
• Təhlükəsizlik qəfəsi, təhlükəsizlik səviyyələri;
• Avtomat, giriş əməliyyatları.
Təhlükəsizlik siyasəti BLP strukturundakı münasibətlərə gətirilir.
Tutaq ki, aşağıdakı sonlu çoxluqlar müəyyən edilib: S – sistemin subyektləri çoxluğu (məsələn,
sistemin istifadəçiləri və proqramları); O – sistemin obyektləri çoxluğu (məsələn, bütün sistem
faylları); R = (read, write, append, execute) – S-dəki subyektlərin O-dakı obyektlərə giriş
əməliyyatlarının çoxluğu, burada read – oxuma, write – yazma, append – obyektin sonuna yazma,
execute – yerinə yetirmə giriş növünü göstərir;.
Sistemin təhlükəsizliyi üç xassənin köməyi ilə müəyyən edilir:
1. ss – sadə təhlükəsizlik xassəsi (ss – simple security);
2. * – ulduz xassəsi;
3. ds – diskresion təhlükəsizlik xassəsi (ds – discretionary security).
Bu xassələr və onların birləşmələri ilə işləyərək istənilən mürəkkəblikdə təhlükəsizlik sistemi
qurmaq mümkündür.
Sistemin təhlükəsizliyini yoxlamaq üçün Sistemin vəziyyəti anlayışından istifadə edilir.
Vəziyyətlər çoxluğu: B×M×F, burada
• B = {b  S × O × R} ─ cari girişlərin çoxluğudur;
• М = Мsо – icazə verilmiş girişlər matrisi, burada МsoR – s subyektinin о obyektinə icazə
verilmiş girişdiri;
• F ─ təhlükəsizlik səviyyəsi təyinatlarının çoxluğudur, F⸦Ls × Ls ×Lo.
F-in elementləri f =(fS, fC, fO) şəklindədir, burada
• fS : S→L subyektin malik ola bildiyi maksimal təhlükəsizliyi verir;
• fC : C→L subyektin cari təhlükəsizlik səviyyəsini verir;
• fO : O→L obyektin təhlükəsizlik sinfini verir;
Tələb edilir kis S fc(s) ≤ fs(s), yəni maksimal səviyyə cari səviyyədən üstün olmalıdır.
Təhlükəsizlik siyasətləri: (b, M, f ) vəziyyətini ödəməlidir:
1. Sadə təhlükəsizlik xassəsi (ss-property): b-də a = read və ya write təhlükəsizlik əməliyyatı ilə
hər bir (s, o, a) giriş müraciətində s-in təhlükəsizlik səviyyəsi o-nun təhlükəsizlik səviyyəsindən
üstün olmalıdır, yəni fO(o) ≤ fS(s).
Bu no read/write up təhlükəsizlik siyasətidir («yuxarıya oxuma/yazma yoxdur»). «Yuxariya
oxuma yoxdur» ─ məxfilik səviyyəsi XS olan subyekt məxfilik səviyyəsi XO olan obyektdən
informasiyanı yalnız XS səviyyəsi XO-dan üstün olduqda oxuya bilər.
2. Ulduz xassəsi (*-xassə): b-də a = append və ya write giriş əməliyyatlı hər bir (s, o, a) giriş
müraciəti üçün s-in cari təhlükəsizlik səviyyəsi o obyektinin sinfindən aşağıdır, yəni fC(s) ≤ fO(o).
Bu no append/write down siyasətidir («aşağıya yazma yoxdur»). «Aşağıya yazma yoxdur» ─
məxfilik səviyyəsi XS olan subyekt informasiyanı məxfilik səviyyəsi XO olan obyektə yalnız XO
səviyyəsi XS-dən üstün olduqda yaza bilər.
Həmçinin, əgər b-də a = append və ya write ilə (s, o, a) varsa, onda b-də a’ = read və ya write
ilə (s,o’,a’) bütün o’ üçün f O (o' )≤f O (o ) olmalıdır.
*-xassəsi nəzərdə tutur ki, aşağı səviyyə subyektlərinə məlumat göndərmək mümkün deyil.
Bunu təmin etmək üçün iki yol var.
• Müvəqqəti olaraq yuxarı səviyyə subyektinin səviyyəsini azaltmaq. Məhz buna görə cari
təhlükəsizlik səviyyəsi fC(s) daxil edilir.
• *-xassəni pozmağa icazə verilən subyektlər çoxluğunu identifikasiya etmək. Bunlar trusted
subyektlər adlanır.

27
3. Diskresion təhlükəsizlik xassəsi (ds-xassə): b-də hər bir (s, o, a) girişi üçün
a ∈ M so olmalıdır.
BLP-nin təhlükəsizliyi. v = (b, M, f ) vəziyyəti hər üç təhlükəsizlik xassəsi ödəndikdə təhlükəsiz
adlanır.
Əgər v2 təhlükəsizdirsə və v1 ixtiyaridirsə, onda v1 = (b1, M1, f1) vəziyyətindən v2 = (b2, M2, f2)
vəziyyətinə keçid təhlükəsizdir.
Teorem. Əgər bütün vəziyyət keçidləri təhlükəsizdirsə və başlanğıc vəziyyət də təhlükəsizdirsə,
onda hansı girişin olmasından asılı olmayaraq, hər bir sonrakı vəziyyət də təhlükəsizdir.

BLP modelinin məhdudiyyətləri:

1. Yalnız konfidensiallığa baxır, tamlığı nəzərə almır,
2. Girişə nəzarətin idarə edilməsinə baxmır,
3. Gizli kanallara malikdir.
Gizli kanallar sistemin təhlükəsizlik mexanizminin nəzarət etmədiyi informasiya kanallarıdır
İnformasiya yuxarı təhlükəsizlik səviyyəsindən aşağı təhlükəsizlik səviyyəsinə sıza (axa) bilər.
Subyektə müəyyən əməliyyata icazə verildiyini və ya verilmədiyini demək informasiya axını təşkil
edir.

Bell-LaPadula modelinin əsasında duran ideya öz mənbəyini «kağız dünyasından» götürür. Bell
və LaPadula sənədlərlə iş zamanı qəbul edilmiş təhlükəsizlik modelini keçirmişlər. Onlar aşkar
etdilər ki, səlahiyyəti olmayan subyektlərə informasiyanın sızmasının qarşısını almaq üçün aşağı
məxfilik səviyyəsinə malik subyektlərə məxfilik səviyyəsi yüksək obyektlərdən informasiyanı
oxumağa icazə verilmir.
Obyektin məxfilik səviyyəsi – iyerarxik atributdur, onun qiymətini və vacibliyini müəyyən
edir, onun zəifliyini nəzərə ala bilər.
Etibar dərəcəsi – subyektin məxfilik səviyyəsi. Subyektin etibar dərəcəsi yüksək olduqca,
onun daha məxfi informasiyaya girişi olur. Obyektin məxfiliyi yüksək olduqca, onda daha məxfi
informasiya saxlanır.
Bell və LaPadula öz modellərini qurarkən əlavə müşahidə də etdilər: subyektlərə daha aşağı
məxfilik səviyyəsinə malik obyektlərə informasiyanı yerləşdirmək və ya yazmağa icazə verilmir.
Məsələn, «tam məxfi» sənəd «ümumi istifadə üçün» zibil qutusuna qoyulsa, onda informasiyanın
sızması baş verə bilər.

Harrison-Ruzzo-Ulman modeli
BLP modeli dinamik deyil: Subyektlərin və obyektlərin yaradılmasına və məhv edilməsinə,
giriş hüquqlarının dəyişməsinə icazə vermir. Harrison–Ruzzo–Ulman (HRU) modeli bu məsələni
həll etmək üçün avtorizasiya sistemi müəyyən edir.
HRU modeli ilk dəfə 1971-ci ildə təklif olunmuşdur, onun formal təsviri 1976-cı ildə nəşr
olunmuşdu. Bu model diskresion təhlükəsizlik siyasətini realizə edən təhlükəsizlik sistemlərinin və
onun əsas elementinin – giriş matrisinin analizi üçün istifadə edilir. Giriş matrisinin sətirləri
subyektlərə, sütunları isə obyektlərə uyğun gəlir. Matrisin xanalarında subyektin obyektə giriş
hüququ göstərilir.
Giriş matrisinə misal:

Obyektlər Fayl 1 Fayl 2 Fayl 3 Proses 1 Proses 2

Subyektlər
Proses 1 R RWOX
Proses 2 RW R RW RWOX
Proses 3 RW
Proses 4

Bu cədvəldə:

28
 R – istifadəçinin oxuma hüququ;
W – istifadəçinin yazma hüququ;
X – prosesi yerinə yetirmə hüququ;
O – digər istifadəçilərin fayla girişini idarə edir.

Təhlükəsizlik sistemi müəyyən keçid qaydalarına görə işləyən sonlu avtomatla göstərilir.
Aşağıdakı işarələri qəbul edək: O – sistemin obyektləri çoxluğu; S – sistemin subyektləri çoxluğu
(S⊆O); R – subyektlərin obyektlərə giriş hüquqları çoxluğu, məsələn, oxuma (read), yazma (write),
sahibolma (own) hüququ; M – sətri subyektlərə, sütunları obyektlərə uyğun gələn giriş matrisi; M[s,
o] ⊆ R – s subyektinin o obyektinə giriş hüququdur.
HRU modelinin müddəalarına uyğun olaraq qurulmuş avtomatı sistem adlandıraq. Sistemin
fəaliyyətinə yalnız giriş matrisində dəyişikliklər baxımından baxılır. Mümkün dəyişikliklər altı
primitiv operator ilə müəyyən edilir:
1) enter r into (s, o) – r hüququnun matrisin (s, o) xanasına daxil edilməsi; bu zaman giriş
matrisi aşağıdakı kimi dəyişir:
' '
S ' =S , O =O , a [ s ,o ]=a [ s , o ]∪r ,
∀ x ∈ S ∀ y ∈O( x , y )≠( s , o) a' [ x , y ]=a[ x , y ];
2) delete r from (s, o) – r hüququnun matrisin (s, o) xanasından silinməsi; bu zaman giriş
matrisi aşağıdakı kimi dəyişir:
' '
S ' =S , O =O , a [ s ,o ]=a [ s, o ]¿,
'
∀ x ∈ S ∀ y ∈O (x , y )≠( s , o) a [ x , y ]=a[ x , y ];
3) create object o – o obyektinin yaradılması; giriş matrisi bu zaman aşağıdakı kimi dəyişir:
' ' '
S ' =S , O =O∪{o}, ∀ x∈ S a [ x ,o]=0,
'
∀ x ∈ S ∀ y ∈O a [ x , y ]=a[ x , y ];
4) create subject s – s subyektinin yaradılması; giriş matrisi bu zaman aşağıdakı kimi dəyişir:
' ' '
S ' =S∪{s}, O =O∪{s}, ∀ y ∈O a [ s, y ]=0,
' '
∀ x ∈ S a [ x ,s ]=0,
'
∀ x ∈ S ∀ y ∈O a [ x , y ]=a[ x , y ];
5) destroy object o – o obyektinin silinməsi; giriş matrisi bu zaman aşağıdakı kimi dəyişir:
' ''
S =S,O =O{o ¿,∀x∈S a [ x , o ]=0, ¿ ∀x∈S∀y∈Oa [x, y ]=a[ x , y ]; ¿¿
' '

6) destroy subject s – s subyektinin silinməsi; giriş matrisi bu zaman aşağıdakı kimi dəyişir:

' ' ''

S =S{s¿, O =O{s¿, ∀ y∈O a [s, y]=0, ¿∀x∈S a [x,s]=0,¿ ∀x∈S∀y∈Oa [x,y]=a[x,y]; ¿
'' '
Primitiv а operatorunun yerinə yetirilməsi nəticəsində sistemin Q = (S, О, M) vəziyyətindən
yeni Q ' = (S ', O ', M ') vəziyyətinə keçidi baş verir. Bu keçidi Q ├ α Q ' ilə işarə edək.
Primitiv operatorlardan komandalar tərtib oluna bilər. Hər bir komanda iki hissədən ibarətdir:
komandanın yerinə yetiriləcəyi şərtlər və primitiv operatorlar ardıcıllığı.
Komandalara bir neçə misal:
1. Faylın yaradılması komandası. p adlı istifadəçi f faylını yaradır və onun üzərində oxuma,
yazma və sahiblik hüququnu alır.
Command create_file (p, f)
create object f;
enter own into a[p, f];
enter r into a[p, f];

29
 enter w into a[p, f];
End

2. Sahiblik hüququnun ötürülməsi komandası. Komandanın yerinə yetirilməsi nəticəsində f

faylına sahiblik hüququ p subyektinə ötürülür.
Command make_owner (p, f)
Enter own into a[p, f];
End

Sistemə sorğuları aşağıdakı formada ifadə etmək olar:

If
r1 in M[s1, o1] and
r2 in M[s2, o2] and
...
rm in M[sm, om]
then
op1,
op2,
...
opn.
opi əməliyyatı primitiv operatorlardan biridir.
HRU modeli sistemin hər bir obyektinə hər bir subyektə fərdi giriş icazəsi müəyyən etməyə
imkan verir və asan reallaşdırıla bilər. Model giriş matrisinin səmərəli reallaşdırılması üsullarını
nəzərdə tutur. Məsələn, hüquqlar çoxluğu eyni olan istifadəçilərin qruplarda birləşdirilməsi və ya
matrisin qonşuluq cədvəlləri şəklində saxlanması.

Rollar modeli
Rollar modeli – girişin rollara əsaslanan idarə edilməsi (Role Based Access Control, RBAC)
modeli nə mandatlı, nə də diskresion təhlükəsizlik modelinə aid deyil, bu modeldə daha yüksək
səviyyəli abstraksiyalar istifadə edilir. Modeldə aşağıdakı anlayışlardan istifadə edilir:
 istifadəçi – təşkilatın əməkdaşı;
 rol – sistemdə yerinə yetirilən funksiyaların siyahısı;
 subyekt – sistemın aktiv elementi;
 əməliyyat – yerinə yetirilməsi üçün mühafizə olunan bir və ya bir neçə obyektə giriş hüququ
tələb olunan müəyyən hərəkət.
Təşkilatın informasiya sistemində emal edilən bütün informasiyanın bu təşkilata mənsub olması
nəzərdə tutulur. İstifadəçi üçün informasiyaya giriş təşkilat daxilində bu istifadəçinin yerinə
yetirdiyi funksiya – bu istifadəçinin rolu əsasında müəyyən edilir. Məsələn, hospitalda rollar belə
ola bilər: həkim, tibb bacısı, əczaçı. Təbii olaraq onlar müxtəlif funksiyaları yerinə yetirirlər və
uyğun olaraq sistemdə müxtəlif informasiyaya giriş hüququna malik olmalıdırlar.
Beləliklə, rollar modeli sistemin mahiyyətlərinin və girişə nəzarət qaydalarının konkret
təşkilatın informasiya sisteminin terminləri ilə bilavasitə təsvirini nəzərdə tutur. Bu bir tərəfdən
baxılan modeli digər modellərə xas olan müəyyən universallıqdan məhrum edir. Lakin digər
tərəfdən, əgər təşkilat üçün rollar modeli artıq reallaşdırılıbsa, onda rolların əlavə edilməsi və
silinməsi yolu ilə ona düzəlişlər edilməsi asan prosesə çevrilir.
Rollar modelinin mahiyyəti:
1) istifadəçilər, rollar, əməliyyatlar çoxluqlarının elementləri arasında «birin çoxa» inikası;
Müəyyən rolda avtorizə olunmuş istifadəçi bu rolla əlaqələndirilən əməliyyatları potensial
olaraq yerinə yetirmək hüququna malikdir.
2) istifadəçilər və subyektlər arasında «birin çoxa» münasibəti;
Sistemin elementi ilə əlaqələndirilən istifadəçi unikal istifadəçi identifikatoru ilə müəyyən
edilir. Sistemin hər bir subyekti bir istifadəçiyə və ola bilsin ki, rollar çoxluğuna inikas olunur.

30
 3) əməliyyatlar və obyektlər çoxluqlarının münasibətləri
Sistemdə obyektlər çoxluğu ayrılır, onlarla müəyyən əməliyyatları tətbiq etmək olar.
4) təşkilatların əksəriyyətində bütün xidmətlərin yerinə yetirdiyi bir çox ümumi əməliyyatlar
mövcuddur, buna görə rollar modelinə rolların iyerarxiyası daxil ola bilər. Bu zaman başqa rolları
içinə alan rollar seçilir, buna görə bir rol başqa bir rolla əlaqədar olan əməliyyatları və
məhdudiyyətləri əhatə edə bilər.

Rollar modelində əsas qaydalar aşağıdakı kimidir:

Qayda 1 (rolların iyerarxiyası) – əgər subyekt (rj) rolu üçün avtorizasiya olunubsa və bu rola başqa
(ri) rolu daxildirsə, onda subyekt ri roluna giriş üçün avtorizə olunub.
Qayda 2 (vəzifələrin statik bölgüsü) – istifadəçinin aldığı rol istifadəçinin artıq avtorizə olunduğu
rol ilə qarşılıqlı istisna olunmur.
Qayda 3 (kardinallıq) – rolun yeni üzvü əlavə edildikdə rolun tutumu aşıla bilməz. Bu qaydadan
istifadə etməklə müəyyən rolla əlaqədar olan istifadəçilərin sayı məhdudlaşdırıla bilər (məsələn,
sistemdə birdən artıq administratorun olmasını qadağan edən məhdudiyyət vermək olar, belə
administrator istifadəçinin rola girişini müəyyən edir və funksiyaları rollar üzrə paylayır).
Qayda 4 (rol üçün avtorizasiya) – subyekt aktiv rol üçün avtorizasiya olunmayıbsa, onda heç zaman
aktiv rola malik ola bilməz.
Qayda 5 (rolun ifası) – subyekt əməliyyatı yalnız əməliyyat verilən əməliyyatın mənsub olduğu
aktiv rolda təsir edirsə, ifa edə bilər.
Qayda 6 (vəzifələrin dinamik bölgüsü) – subyekt rolu aktivləşdirə bilər, əgər istifadəçinin artıq
aktiv olduğu rolla o uyğun deyilsə.
Qayda 7 (əməliyyatlar üçün avtorizasiya) – subyekt əməliyyatı ifa edə bilər, yalnız əgər əməliyyat
subyekt üçün aktiv olan rol üçün icazə verilibsə.

Adətən rollar modeli əməliyyat sistemi səviyyəsində deyil, tətbiqi proqramlar səviyyəsində
realizə edilir. Əməliyyat sistemi səviyyəsində dəstəyin çətinliyi tətbiq sahəsindən asılı olmayan və
asan realizə olunan yetərincə ümumi baza konstruksiyalarının aşkar olunmasının praktiki mümkün
olmamasından ibarətdir.

31
Mühazirə 7. İnformasiya təhlükəsizliyi standartları

1983-cü ildən 1988-ci ilə kimi ABŞ Müdafiə Nazirliyi və Milli Kompüter Təhlükəsizliyi
Komitəsi kompüter təhlükəsizliyi sahəsində ondan artıq sənəddən ibarət standartlar sistemini
hazırladı. Bu siyahıya "Kompüter sistemlərinin təhlükəsizliyinin qiymətləndirilməsi meyarları"
(Trusted Computing System Evaluation Criteria, TCSEC) başçılıq edir, onu cildinin rənginə görə
çox vaxt "Narıncı kitab" adlandırırlar.
"Narıncı kitab" ABŞ Müdafiə nazirliyi tərəfindən kompüter sistemlərinin aparat, proqram və
xüsusi təminatına irəli sürülən təhlükəsizlik tələblərinin müəyyən edilməsi və hərbi təyinatlı
kompüter sistemlərində realizə edilən təhlükəsizlik siyasətinin analizi üçün müvafiq
metodologiyanın işlənməsi məqsədi ilə tərtib edilmişdi.
Bu sənəddə «təhlükəsizlik siyasəti», etibarlı hesablama bazası və s. kimi anlayışlar ilk dəfə
normativ olaraq müəyyən edilmişdi.
"Narıncı kitab" təhlükəsiz sistem anlayışını belə izah edir: "müvafiq vasitələrin köməyi ilə
informasiyaya girişi elə idarə edir ki, yalnız lazımi qaydada avtorizə edilmiş şəxslər və onların
adından çıxış edən proseslər informasiyanı oxumaq, yazmaq, yaratmaq və silmək hüququ alırlar".
Lakin aydındır ki, mütləq təhlükəsiz sistemlər yoxdur, bu abstraksiyadır. Bu və ya digər sistemə
göstərilə bilən etimadın səviyyəsini qiymətləndirməyin mənası var.
"Narıncı kitabda" etibarlı sistemi "giriş hüququnu pozmadan müxtəlif məxfilik dərəcəsinə malik
informasiyanın istifadəçilər qrupu tərəfindən eyni zamanda emalını təmin etmək üçün yetərli aparat
və proqram təminatı istifadə edən sistem" kimi müəyyən edir.
«Narıncı kitabda» ifadə edilmiş meyarlar kompüter sistemlərinin dörd təhlükəsizlik səviyyəsinə
bölünməsini müəyyən edir. A səviyyəsi ən yüksəkdir. Sonra B səviyyəsi gəlir (burada
təhlükəsizliyin azalması sırasında B3, B2, B1 sinifləri gəlir). Sonra C səviyyəsi (C2 və C1 sinifləri)
geniş yayılıb. Ən aşağı səviyyə D-dir. "Narıncı kitab" hər səviyyə üçün funksional tələblər və
zəmanət tələbləri müəyyən edirdi. Sistem bu tələbləri ödəməlidir ki, müəyyən sertifikatlaşdırma
səviyyəsinə uyğun olsun.
D səviyyəsi – Minimal təhlükəsizlik (Minimal Protection)
D sinfi. Minimal təhlükəsizlik (Minimal Protection). Bu sinfə sertifikatlaşdırmaya təqdim
edilən, lakin ondan keçməyən sistemlər düşür.
C səviyyəsi – Discresion təhlükəsizlik (Discretionary Protection)
C1 sinfi. Girişin diskresion idarə olunması (Discretionary Security Protection). Etibarlı
hesablama bazasının olmasını (Trusted Computing Base, TCB), diskresion (seçimli)
təhlükəsizliyə tələblərin yerinə yetirilməsini nəzərdə tutur. İstifadəçilərin verilənlərdən
ayrılması ilə təmin edilir (verilənlərin oxunmasının və ya məhv edilməsinin qarşısının alınması
üzrə tədbirlər, məxfi verilənlərin mühafizəsi imkanı). Hazırda bu sinif üzrə sertifikatlaşdırma
nəzərdə tutulmayıb.
C2 sinfi. İdarə edilən girişin mühafizəsi (Controlled Access Protection). Bu sinifdən olan
sistemlər girişin seçimli mühafizəsi sahəsində daha dəqiq nəzarət həyata keçirməyə imkan verir.
İstifadəçilərin hərəkətləri identifikasiya/autentifikasiya prosedurları ilə əlaqələndirilir.
İstifadəçilərə giriş imtiyazlarının verilməsi və ləğv edilməsi Bundan başqa, təhlükəsizlik
baxımından kritik hadisələrin auditi aparılır, resursların izolyasiyası yerinə yetirilir.
B səviyyəsi – Mandatlı təhlükəsizlik (Mandatory Protection)
B1 sinfi. Təhlükəsizliyin nişanlı təmin olunması (Labeled Security Protection). C2 sinfinin
tələblərinə əlavə olaraq təhlükəsizlik siyasəti modelinin qeyri-formal təsviri, verilənlərin
nişanlanması, həmçinin adlı subyektlərə və obyektlərə girişin məcburi idarə edilməsi zəruridir.
B2 sinfi. Strukturlaşdırılmış mühafizə (Structured Protection). Bu sistemlər sinfində TCB
təhlükəsizlik siyasətinin dəqiq müəyyən edilmiş və sənədləşdirilmiş formal modelinə
söykənməlidir. Girişin seçimli və məcburi idarə edilməsinin təsiri sistemdəki bütün
subyektlərə və obyektlərə şamil edilir. Gizli kanallar aşkarlanır. TCB təhlükəsizlik
baxımından kritik və kritik olmayan elementlərə dəqiq dekompozisiya olunmalıdır.
Autentifikasiya mexanizmləri gücləndirilir. Sistem administratoru və operatoru

32
 funksiyalarının dəstəklənməsi şəklində etibarlıq mexanizmlərinin idarə edilməsi təmin edilir.
Konfiqurasiyanın ciddi idarə edilməsi mexanizmlərinin olması nəzərdə tutulur.
B3 sinfi. Təhlükəsizlik domenləri (Security Domains). TCB subyektlərin obyektlərə bütün
girişlərinə mütləq nəzarət edən etalon monitorinq mexanizminin tələblərini ödəməlidir, eyni
zamanda kifayət qədər yığcam olmalıdır ki, onu analiz etmək və test etmək olsun.
Təhlükəsizlik üzrə administratorun olması tələb edilir. Audit mexanizmləri təhlükəsizliyə
münasibətdə kritik hadisələr haqqında xəbərdaretmə mexanizmlərinə qədər genişləndirilir.
Sistemlərin bərpa edilməsi prosedurları tələb edilir. Sistem müdaxilələrə olduqca dayanıqlıdır.
A səviyyəsi – Verifikasiya edilən təhlükəsizlik (Verified Protection)
A1 sinfi. Verifikasiya edilən layihələndirmə (Verified Design). Sistemlərin bu sinfi o
mənada B3 sinfinə funksional ekvivalentdir ki, əlavə arxitektur xüsusiyyətlərinin daxil
edilməsi və ya təhlükəsizlik siyasətinə əlavə tələblərin irəli sürülməsi tələb edilmir.
Əhəmiyyətli fərq layihələndirmənin formal spesifikasiyasının və müvafiq verifikasiya
metodlarının mövcud olması tələbindən ibarətdir. Bu sinifdə heç bir əməliyyat sistemi
qeydiyyata alınmayıb.
Təhlükəsizlik sertifikatlarının əksəriyyəti üçün zəmanət tələblərinin yerinə yetirilməsi çox vaxt
alırdı və böyük pullara başa gəlirdi. Nəticədə çox az sistem C2 səviyyəsindən yuxarı
sertifikatlaşdırılmışdı (həqiqətdə bütün dövr ərzində A1 səviyyəsi üzrə yalnız bir sistem –
Honeywell CCOMP sertifikatlaşdırılmışdı). Sertifikatlaşdırmanı keçmək üçün sistemlərə tələb
olunan vaxt ərzində onlar köhnəlirlər. Kompüter texnologiyaları sertifikatlaşdırma proqramı ilə
müqayisədə çox sürətlə inkişaf edir. Əməliyyat sistemlərinin və aparat vasitələrinin yeni versiyaları
meydana çıxır və köhnə versiyalar sertifikatlaşdırmadan keçənə kimi öz satış bazarlarını tapırlar.
Kompüter sistemlərinin təhlükəsizliyinin qiymətləndirilməsi meyarları ilə bağlı problemlərdən
biri şəbəkədə iş mexanizmlərinin kifayət qədər anlaşılmaması ilə bağlı idi. Kompüterlərin
birləşdirilməsi zamanı köhnə təhlükəsizlik problemlərinə yeniləri əlavə olunur. "Narıncı kitabda"
kompüterlərin ümumi şəbəkədə birləşməsi zamanı meydana çıxan problemlərə baxılmır. Yaranan
vəziyyət belədir ki, şəbəkənin varlığı "Narıncı kitab" sertifikatının qanuni qüvvəsini məhv edir.
Cavab tədbiri 1987-ci ildə TNI (Trusted Network Interpretation) və ya "Qırmızı kitabın" meydana
gəlməsi oldu. "Narıncı kitabdakı" bütün təhlükəsizlik tələbləri "Qırmızı kitabda" saxlanıb, şəbəkə
fəzasının ünvanlanmasına və şəbəkənin təhlükəsizliyi konsepsiyasının yaradılmasına cəhd edilib.
Təssüf ki, "Qırmızı kitab" funksionallığı zəmanətlə əlaqələndirirdi Yalnız bir neçə sistem TNI üzrə
qiymətləndirmədən keçmişdi və onların heç biri kommersiya uğuru qazanmamışdı.
«Narıncı kitabın» ardınca 1990-cı ildə işlənmiş və 1995-ci ildə Avropa İttifaqında qəbul edilmiş
«Information Technology Security Evaluation Criteria (ITSEC)» təhlükəsizlik meyarları və
sertifikatlaşdırma metodikalarına əhəmiyyətli təsir göstərdi.
Bu sənədin əsas nailiyyəti – mühafizə vasitələrinin adekvatlığı anlayışının daxil edilməsi və
adekvatlıq meyarları üçün ayrıca şkalanın müəyyən edilməsidir. «Avropa meyarları» hətta mühafizə
vasitələrinin adekvatlığına onların funksionallığından daha çox əhəmiyyət verir. Bu yanaşma
sonradan meydana gələn bir çox informasiya təhlükəsizliyi standartlarında istifadə edilir.
«Narıncı kitab»la yanaşı informasiya texnologiyaları təhlükəsizliyinin «Avropa meyarları» da
kompüter sistemlərinin bir çox təhlükəsizlik standartlarının əsasına qoyuldu.

ISO/IEC 15408. 1990-cı ildə Beynəlxalq Standartlaşdırma Təşkilatı informasiya texnologiyalarının

təhlükəsizliyini qiymətləndirmə meyarları üzrə beynəlxalq standart işləməyə başladı, standart
“Common Criteria for Information Technology Security Evaluation” (və ya sadəcə Common
Criteria – CC) adlandırıldı.
Onların işlənməsində: Milli Standartlar və Texnologiyalar İnstitutu və Milli Təhlükəsizlik
Agentliyi (ABŞ), Kommunikasiyaların Təhlükəsizliyi Təşkilatı (Kanada), İnformasiya
Təhlükəsizliyi Agentliyi (Almaniya), Kommunikasiyaların Milli Təhlükəsizliyi Agentliyi
(Niderland), İnformasiya texnologiyalarının təhlükəsizliyi və sertifikatlaşdırılması proqramının icra
Orqanları (İngiltərə), Sistemlərin Təhlükəsizliyinin Təminatı Mərkəzi (Fransa) iştirak edirdilər.

33
 «Ümumi meyarlar» dəfələrlə redaktə olunaraq nəticədə 1999-cu ildə ISO/IEC 15408
«İnformasiya texnologiyalarının təhlükəsizliyini qiymətləndirmə meyarları» adı ilə Beynəlxalq
standart kimi təsdiq olundu.
CC v3.1 Release 4 üç hissədən ibarətdir:
• Hissə 1: Giriş və ümumi model
• Hissə 2: Təhlükəsizlik üzrə funksional tələblər
• Hissə 3: Təhlükəsizlik üzrə zəmanət tələbləri

İnformasiya təhlükəsizliyi sisteminin funksiyaları informasiyanın konfidensiallıq, tamlıq,

etibarlıq və əlyetənlik tələblərinin yerinə yetirilməsini təmin edir. Keyfiyyət tələblərinin təsvirinə
analoji olaraq bütün funksiyalar dördsəviyyəli iyerarxik struktur şəklində təsvir olunur: sinif – ailə
– komponent – element. Belə qradasiya istənilən informasiya təhlükəsizliyi sistemini təsvir etməyə
və yaradılmış modeli işlərin cari vəziyyəti ilə müqayisə etməyə imkan verir. Standartda
funksiyaların 11 sinfi ayrılıb: audit, identifikasiya və autentifikasiya, kriptoqrafik mühafizə,
konfidensiallıq, verilənlərin ötürülməsi, istifadəçi verilənlərinin mühafizəsi, təhlükəsizliyin idarə
edilməsi, sistemin təhlükəsizlik funksiyalarının mühafizəsi, resursların istifadəsi, sistemə giriş,
vasitələrin etibarlığı.
«Ümumi meyarlarda» İT məhsulların mühafizəliyinin qiymətləndirməsi konsepsiyasının
əsasında duran bir sıra anlayışlar müəyyən edilib: Mühafizə Profili (PP – Protection Profile),
Təhlükəsizlik üzrə Tapşırıq (ST – Security Target) və Qiymətləndirmə Obyekti (TOE – Target of
Evaluation). Qiymətləndirmə obyekti kimi istənilən hesablama texnikası vasitəsi və ya
avtomatlaşdırılmış sistem (AS) çıxış edə bilər.
PP proqram-texniki vasitələrin müəyyən sinfi üçün təhlükəsizlik tələbləri olan ciddi
strukturlaşdırılmış sənəddir. Əməliyyat sistemləri, şəbəkələrarası ekranlar, smart-kartlar və digər
məhsullar üçün müxtəlif mühafizə profilləri işlənmişdir. Məsələn, Controlled Access Protection
Profile – məhdud girişli sistemlərin mühafizə profili əməliyyat sistemlərinə münasibətdə təsir edir
və köhnə mühafizə səviyyəsi C2-ni əvəz etməlidir. Təhlükəsizlik tələbləri ilə yanaşı PP
təhlükəsizlik təhdidləri çoxluğunu və mühafizə məsələlərini təsvir edir, PP-yə həmçinin
təhlükəsizlik təhdidləri, mühafizə məsələləri və təhlükəsizlik tələbləri arasında uyğunluğun
əsaslandırması da daxil olur.
ST təhlükəsizlik tələbləri ilə yanaşı konkret İT məhsulunun təhlükəsizlik mexanizmlərinin
funksional spesifikasiyasını müəyyən edən ciddi strukturlaşdırılmış sənəddir. ST-də olan
təhlükəsizlik tələbləri müvafiq Mühafizə Profillərinə və «Ümumi Meyarların» tələblərinə istinad
etməklə müəyyən edilir. Konkret İT məhsulu üçün spesifik tələblər ayrıca formalaşdırılır və ST-yə
daxil edilir. Bundan başqa ST-yə təhlükəsizlik tələbləri ilə TOE-nin funksional spesifikasiyası
arasında uyğunluğun əsaslandırması da daxildir.
«Ümumi meyarlarda» təhlükəsizlik tələblərinin iki kateqoriyası təmsil olunur: funksional
tələblər və zəmanət (təhlükəsizlik mexanizmlərinin adekvatlığı) tələbləri. Funksional tələblər TOE-
nin təhlükəsizliyini təmin edən TOE funksiyaları çoxluğunu müəyyən edir. Adekvatlıq – TOE-nin
təhlükəsizlik mexanizmlərinin kifayət qədər effektiv olması və düzgün realizə olunması barədə
müəyyən səviyyədə əminlik verən xassəsidir. TOE-nin adekvatlığı haqqında nəticələr TOE-nin
spesifikasiyası, realizəsi və fəaliyyəti haqqındakı biliklərin əsasında çıxarılır. Funksional tələbləri
və adekvatlıq tələblərini ifadə etmək üçün «Ümumi meyarlarda» vahid terminologiya və üslub
istifadə edilir.
«Ümumi Meyarlara» uyğun olaraq TOE-nin mühafizəliyinin qiymətləndirilməsi təsvir
abstraksiyasının müxtəlif səviyyələrindən çıxış edilərək müəyyən edilir: təhlükəsizlik təhdidləri →
mühafizə məsələləri → təhlükəsizlik tələbləri → spesifikasiya → reallaşdırma.
Qiymətləndirmə aparılmasının iki əsas mərhələsini ayırırlar:
1. Əsas mühafizə profillərinin qiymətləndirilməsi.
2. Qiymətləndirmə obyektinin analizi.

34
 Əsas mühafizə profillərinin qiymətləndirilməsinə təhlükəsizlik təhdidlərinin, mühafizə
məsələlərinin, təhlükəsizlik tələblərinin analizi və onlar arasında uyğunluğun müəyyən edilməsi
daxildir.
Qiymətləndirmə obyektinin analizi iki mərhələdə aparılır: təhlükəsizlik üzrə tapşırığın
qiymətləndirilməsi və TOE-nin qiymətləndirilməsi.
Təhlükəsizlik üzrə tapşırığın qiymətləndirilməsinin məqsədi təhlükəsizlik mexanizmlərinin
spesifikasiyasının (formal, yarıformal və ya qeyri-formal təsvir) Mühafizə Profilinin tələblərinə tam
cavab verməsini və TOE-nin qiymətləndirilməsi üçün əsas kimi istifadə edilməyə yararlı olmasını
nümayiş etdirməkdir;
TOE-nin qiymətləndirilməsi TOE-nin realizəsinin təhlükəsizlik üzrə tapşırıqda olan
spesifikasiyasına uyğunluğunu yoxlamaqdan ibarətdir.

Attestasiya – mürəkkəb, uzunmüddətli və çox resurs tutumlu prosesdir. Bütün AS-in formal
verifikasiyasını və ya ətraflı test edilməsini aparmağın mümkün olmaması səbəbindən attestasiya
sınaqları nəticələrinin yalnız müəyyən adekvatlıq səviyyəsini əldə etməsi haqqında danışmaq olar.
«Ümumi meyarlarda» qiymətləndirmənin adekvatlıq səviyyəsi (EAL – Evaluation Assurance
Level) üçün vahid şkala daxil edilir. Hər bir EAL «Ümumi meyarların» müəyyən adekvatlıq
tələbləri çoxluğu ilə təsvir olunur.
Qiymətləndirmənin adekvatlığının yeddi səviyyəsi daxil edilir: EAL1, EAL2, ..., EAL7. Bu
səviyyələr artma sırası ilə düzülüb.
– EAL1: Funksional testetmə
– EAL2: Structurally tested
– EAL3: Methodically tested and checked
– EAL4: Methodically designed, tested and reviewed
– EAL5: Yarı-formal layihə və testetmə
– EAL6: Yarı-formal verifikasiya edilmiş layihə və testetmə
– EAL7: Formal verifikasiya edilmiş layihə və testetmə.

Adekvatlığın minimal səviyyəsi – EAL1 (funksional testetmə) funksiyaların və TOE

interfeysinin spesifikasiyaları istifadə edilməklə təhlükəsizlik mexanizmlərinin analizi yolu ilə
adekvatlığa minimal zəmanətlər verir, təhlükəsizliyin hər bir mexanizmi «qara qutu» metodu ilə
müstəqil test edilir. EAL1 yalnız mühafizənin ən aşkar zəifliklərinin minimal xərclərlə aşkarlanması
üçün nəzərdə tutulub. O, təhlükəsizliklə əlaqədar ciddi risqlər olmadığı hallarda tətbiq edilə bilər.
Adekvatlığın maksimal səviyyəsi – EAL7 (layihənin formal verifikasiyası və testetmə)
mühafizə vasitələri kompleksinin layihələndirilməsi zamanı formal modelin istifadəsi, funksional
spesifikasiyaların formal təsvirləri, aşağı səviyyə layihəsinin yarıformal təsvirləri və onlar arasında
uyğunluğun formal və ya yarıformal nümayişi ilə xarakterizə edilir. Analizlər təhlükəsizlik
mexanizmlərinin «ağ qutu» metodu ilə müstəqil test edilməsi ilə müşaiyət edilir. EAL7 səviyyəsi
adekvatlıq qiymətlərinin praktikada real əldə edilməsi mümkün olan yuxarı səviyyəsini göstərir.

ISO/IEC 27001:2013. Hazırda informasiya təhlükəsizliyi sahəsində ən məşhur standart ISO/IEC

27001:2013 «Information technology − Information security management» Beynəlxalq standartıdır
(«İnformasiya texnologiyaları − İnformasiya təhlükəsizliyinin idarə edilməsi»).
Standartın tarixi belə başlamışdır. Britaniya Standartlar İnstitutu (BSI) tərəfindən işlənilmiş
və fəaliyyət dairəsindən asılı olmayaraq şirkətlərin informasiya təhlükəsizliyinin idarə edilməsi
üçün 1998-ci ildə BS 7799 milli standartı qəbul edilmişdi. Britaniya standartı BS 7799 dünyanın 27
ölkəsində, o cümlədən Britaniya Birliyi ölkələrində dəstəklənirdi. 2000-ci ilin sonunda ISO
(Beynəlxalq Standartlaşdırma Təşkilatı) Britaniya standartı BS 7799 əsasında ISO/IEC 17799
informasiya təhlükəsizliyinin idarə edilməsi beynəlxalq standartını işlədi və qəbul etdi.
2005-ci ildə standartın 2000-ci il redaksiyası ilə müqayisədə yenidən əhəmiyyətli işlənmiş ISO
17799:2005 variantı çıxdı. 2005-ci ildə həmçinin BS 7799 standartının ikinci hissəsi ISO 27001

35
standartı kimi qəbul edildi. ISO 27001 standartı informasiya təhlükəsizliyi sistemlərinin
sertifikastlaşdırılması üçün nəzərdə tutulub.

ISO 27001:2013 standartında informasiya təhlükəsizliyini idarəetmə sisteminin elementləri bir

neçə qrup üzrə bölünüb (“Annex A”, yəni “Əlavə A” kimi məşhurdur, aşağıda mötərizədə əlavənin
nömrəsi göstərilir):
 (A.5) İnformasiya təhlükəsizliyi siyasətləri – təşkilatın rəhbərliyi tərəfindən informasiya
təhlükəsizliyi sahəsində siyasətin dəstəklənməsi;
 (A.6) İnformasiya təhlükəsizliyinin təşkili – təşkilatda informasiya təhlükəsizliyi sisteminin iş
qabiliyyətini təmin edəcək təşkilati strukturun yadradılması;
 (A.7) İnsan resurslarının təhlükəsizliyi – insan səhvləri riskinin, oğurluğun və avadanlığın
qeyri-düzgün istifadəsinin azaldılması (əməkdaşların təlimi və insidentlərin izlənməsi);
 (A.8) Aktivlərin (resursların) idarə edilməsi – informasiya resurslarına onların dəyər
dərəcələrinə görə prioritet verilməsi və onlara görə məsuluyyətin paylanması;
 (A.9) Girişə nəzarət – biznes-informasiyaya girişin idarə edilməsi;
 (A.10) Kriptoqrafiya – şifrləmə və açarların idarə edilməsi sahəsində idarəetmə vasitələri
 (A.11) Fiziki təhlükəsizlik və ətraf mühitin təhlükəsizliyi – avtorizə olunmamış girişin və
təşkilatın informasiya sisteminin işinin pozulmasının qarşısının alınması;
 (A.12) Əməliyyatların təhlükəsizliyi – IT-sahənin idarə edilməsinə aid olan vasitələr:
dəyişikliklərin idarə edilməsi, zərərli proqram təminatından mühafizə, ehtiyat surətlər,
qeydiyyat, monitorinq, quraşdırma, boşluqlar və s.
 (A.13) Kommunikasiyaların təhlükəsizliyi – şəbəkələrin və kompüterlərin təhlükəsiz
fəaliyyətinin təmin edilməsi;
 (A.14) Sistemin alınması, yaradılması və istismarı − təşkilatın informasiya sisteminin
yaradılması və ya inkişafı zamanı informasiya təhlükəsizliyi tələblərinin yerinə yetirilməsi,
tətbiqi proqramların və verilənlərin təhlükəsizliyinin dəstəklənməsi;
 (A.15) Təchizatçılarla münasibətlər – təşkilatın təchizatçılara əlyetər informasiyasının
təhlükəsizliyi məsələsini həll etməyə yönəlir; təchizatçılarla müqavilələrdə informasiya
təhlükəsizliyinin nəzərə alınması və təchizatçıların monitorinqi
 (A.16) İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi – informasiya təhlükəsizliyi
hadisələri və nöqsanlar haqqında məlumatlandırma, vəzifələrin müəyyən edilməsi,
insidentlərə reaksiya və sübutların toplanması prosedurları
 (A.17) Fəaliyyətin fasiləsizliyinin təmin edilməsində informasiya təhlükəsizliyi aspektləri –
fövqəladə hallarda təşkilatın fasiləsiz işinin təmin edilməsi üçün fəaliyyət planı;
 (A.18) Qanunvericiliyin tələblərinə uyğunluq – müvafiq mülki və cinayət qanunvericiliyinin,
müəllif hüquqları və informasiyanın mühafizəsi qanunları daxil olmaqla, tələblərinin yerinə
yetirilməsi.

36
Mühazirə 8. Təşkilatda informasiya təhlükəsizliyinin idarə edilməsi

Mövcud təhdidlərin neytrallaşdırılması və informasiya təhlükəsizliyinin idarə edilməsi üçün

təşkilat informasiya təhlükəsizliyinin menecmenti sistemini yaradır, bu sistem çərçivəsində işlər bir
neçə istiqamətdə aparılır:
• təşkilatın informasiya təhlükəsizliyi siyasətinin formalaşdırılması və praktiki həyata
keçirilməsi;
• informasiya təhlükəsizliyi xidmətinin (depatamentinin, şöbəsinin) təşkili;
• insidentlərin idarə edilməsi sisteminin yaradılması;
• təşkilatda informasiya təhlükəsizliyi vəziyyətinin auditinin aparılması.

İnformasiya təhlükəsizliyi siyasəti

Siyasət – təşkilatın fəaliyyətinin müəyyən aspektlərini idarə etmək üçün təsbit edilmiş qaydalar
məcmusudur. Siyasət fəaliyyətin məqsədlərinin, hüquqi tələblərin və ya təşkilatın korporativ
normalarının təmin edilməsi üçün nə etmək lazım olduğunu müəyyən edir.
İnformasiya təhlükəsizliyi siyasəti sənədlərinin iyerarxiyası:
• 1-ci sәviyyә: ümumi informasiya təhlükəsizliyi siyasəti
• 2-ci sәviyyә: xüsusi informasiya təhlükəsizliyi siyasətləri (məsələn, antivirus siyasəti, parol
siyasəti, İnternetdən istifadə siyasəti və s.);
• 3-cü sәviyyә: prosedurlar (reqlamentlәr) – istismar üzrә tәlimatlar;
• 4-cü sәviyyә: vәzifә tәlimatları

Ümumi informasiya təhlükəsizliyi siyasəti

• rəhbərliyin münasibəti bəyan edilir və informasiya təhlükəsizliyinin idarə edilməsinə
yanaşma müəyyən edilir,
• informasiya təhlükəsizliyi anlayışı, onun əsas məqsədləri və təsir dairəsi müəyyən edilir,
• qiymətləndirmənin strukturu və risklərin idarə edilməsi daxil olmaqla nəzarətin məqsədləri
və mexanizmləri müəyyən etmək üçün əsas müddəalar ehtiva olunur.

İnformasiya təhlükəsizliyi siyasətinin həyat tsikli

• İnformasiya təhlükəsizliyi vəziyyətinin ilkin analizinin aparılması.
• İnformasiya təhlükəsizliyi siyasətinin işlənməsi.
• İnformasiya təhlükəsizliyi siyasətinin tətbiq edilməsi.
• Tətbiq edilmiş informasiya təhlükəsizliyi siyasətinin tələblərinə əməl edilməsinin analizi və
onun daha da təkmilləşdirilməsi üzrə təkliflərin işlənməsi (birinci mərhələyə, yeni
təkmilləşdirmə mərhələsinə qayıdış).
Bu tsikl informasiya təhlükəsizlyi üzrə təşkilati tədbirlərin təkmilləşdirilməsi və aşkarlanmış
nöqsanların aradan qaldırılması məqsədi ilə bir neçə dəfə təkrarlana bilər.

Xüsusi İnT siyasətləri

• informasiya risklərinin idarə edilməsi
siyasəti;
• parollardan istifadə siyasəti;
• giriş hüquqlarının verilməsi siyasəti;
• antivirus təhlükəsizliyi siyasəti;
• informasiya resurslarının auditi
siyasəti;
• İnternetdən istifadə siyasəti;
• elektron poçtdan istifadə siyasəti;
• informasiya təhlükəsizliyi
insidentlərinə cavabvermə siyasəti;
• informasiya təhlükəsizliyinin
monitorinqi siyasəti;
• məsafədən giriş siyasəti;
• fiziki təhlükəsizlik siyasəti;
• informasiyanın kriptoqrafik
mühafizəsi siyasəti;
• şəxsi heyətin təhlükəsizliyi siyasəti;
• sistemdə dəyişiklik edilməsi siyasəti;
• şəbəkə təhlükəsizliyi siyasəti;
• korporativ informasiya sistemi
resurslarına naqilsiz müraciət siyasəti;
• ehtiyat surətçıxarma siyasəti;

37
 • informasiyanın üçüncü şəxslərə və • kompüterlərin təşkilatdan kənarda
təşkilatlara verilməsi siyasəti; istifadəsi siyasəti.
• resursların təkrar istifadəsi və məhv
edilməsi siyasəti;

İnformasiya təhlükəsizliyi xidmәti

• İnformasiya sistemində informasiya təhlükəsizliyi sisteminin bilavasitə təşkili (qurulması)
və səmərəli fəaliyətinin təmin edilməsi üçün xüsusi təhlükəsizlik xidməti  informasiya
təhlükəsizliyi xidməti yaradıla bilər (qorunan informasiyanın həcmi, kritikliyi böyük
olduqda isə yaradılmalıdır).
• İnformasiya təhlükəsizliyi xidmәti müstәqil bölmә olmalı və birbaşa tәşkilatın birinci
şәxsinә tabe olmalıdır.
• İnformasiya təhlükəsizliyi xidməti (şöbəsi, departamenti) informasiya resurslarının
təhlükəsizliyi üzrə əsas funksiyaları bilavasitə yerinə yetirən müstəqil struktur vahididir.

İnformasiya təhlükəsizliyi xidmәtinin funksiyaları

• Təşkilatın informasiya təhlükəsizliyi siyasətinin formalaşdırılması, həyata keçirilməsi,
təkmilləşdirilməsi və sənədləşdirilməsi ilə əlaqəli funksiyalar
• İnformasiya təhlükəsizliyi vasitələrinin tətbiqi ilə əlaqəli funksiyalar
• İnformasiya sistemlərinin və informasiya təhlükəsizliyi sistemlərinin idarə edilməsi ilə
əlaqəli funksiyalar
• İnformasiya təhlükəsizliyi siyasətinin yerinə yetirilməsinə nəzarət və audit ilə əlaqəli
funksiyalar

Təşkilatın informasiya təhlükəsizliyi siyasətinin formalaşdırılması, həyata keçirilməsi,

təkmilləşdirilməsi və sənədləşdirilməsi ilə əlaqəli funksiyalar
• təşkilatın rəhbərlərinə informasiya təhlükəsizliyi siyasətinin işlənməsi və təkmilləşdirilməsi
məsələləri üzrə məsləhət verilməsi;
• informasiya təhlükəsizliyi siyasətinin işlənməsi, razılaşdırılması və təsdiq üçün təşkilat
rəhbərliyinə təqdim olunması, həmçinin təşkilatın fəaliyyət şəraiti dəyişdikdə zəruri
dəyişikliklərin edilməsi;
• reqlamentlәr, əsasnamәlәr, rәhbәr sәnәdlәr daxil olmaqla xüsusi siyasәtlәrin işlәnmәsi;
• təşkilatın informasiya aktivlərinin təsnifatı prinsiplərinin işlənməsi.
• informasiya təhlükəsizliyi risklərinin qiymətləndirilməsi və idarə edilməsi.
• kənar təşkilatlarla bağlanmış saziş və müqavilələrin informasiya təhlükəsizliyi tələblərinə
uyğunluğu baxımından analizi;
• müqavilәlәrin, siyasәtlәrin, reqlamentlәrin, qarşılıqlı әlaqә qaydalarının, servis səviyyəsi
müqavilələrinin, informasiya qarşılıqlı әlaqәsi nәzәrdә tutulmuş digәr sәnәdlәrin
informasiya təhlükəsizliyi tәlәblәrinin yerinә yetirilmәsi baxımından razılaşdırılması;
• təşkilat əməkdaşlarının informasiya təhlükəsizliyinin təmin edilməsi sahəsində təhsilinin
idarə edilməsi;
• informasiya risklәrinin analizi, onların qiymәtlәndirilmәsi, informasiya risklәrinin idarә
edilmәsi;
• şәxsi heyәtin informasiya təhlükəsizliyi siyasәtinin həyata keçirilməsi üzrә rәhbәr sәnәdlәrlә
tәmin edilmәsi, müvafiq tәhsil vә tәlimat verilmәsinin tәşkili;
• menecerlәrә və icraçı heyәtә informasiya risklәri vә onlardan mühafizә üzrә mәslәhәt
verilmәsi;
• informasiya təhlükəsizliyi aspektlәrinin layihәlәrin әn erkәn mәrhәlәlәrindә nәzәrә alınması
mәqsәdi ilә yeni biznes-proseslәrin vә texnologiyaların tәtbiqi, istehsalın modernlәşdirilmәsi
vә texniki yenilәnmә panlarının formalaşdırılması, biznesdә digәr dәyişikliklәr zamanı
risklәri qiymәtlәndirәn işçi qrupların (ekspert şuralarının) tәrkibindә iştirak;

38
 • işə götürülərkən əməkdaşların şəxsi verilənlərinin yoxlanılması üzrə kadrlar şöbəsi ilə
qarşılıqlı əlaqə
• təşkilat əməkdaşlarının informasiya təhlükəsizliyinin təmin edilməsi metodlarına
öyrədilməsi, təlimatlandırılmaların keçirilməsi, informasiya təhlükəsizliyi siyasətinin yerinə
yetirilməsi üzrə əməkdaşların bilik və praktiki vərdişlərinə nəzarət edilməsi.
• təşkilat menecerlərinə informasiya təhlükəsizliyi risklərinin idarə edilməsi məsələləri,
informasiya təhlükəsizliyi sahəsində qanunvericilik və normativ sənədlərdə olan
dəyişikliklər, texniki yeniliklər və s. üzrə məsləhətlər verilməsi
• təşkilatın daxili sənədlərinin (daxili intizam qaydaları, vəzifə təlimatları, informasiya
sistemlərinin istifadəsi üzrə təlimatlar, müqavilələrin nümunəvi formaları və s.) informasiya
təhlükəsizliyi siyasətinin tələblərinə uyğunluğuna nəzarət, həmçinin bu sənədlərin
təsdiqlənməsi zamanı razılaşdırılması.

İnformasiya təhlükəsizliyi vasitələrinin tətbiqi ilə əlaqəli funksiyalar

• informasiya təhlükəsizliyinin təmin edilməsi vasitələrinin analizi və müəyyən vasitələrin
alınması üçün əsaslandırılmış təkliflərin işlənməsi;
• satın alınan informasiya sistemlərinin (əməliyyat sistemlərinin, tətbiqi proqramların,
telekom-munikasiya avadanlığının və s.) potensial etibarlılıq və boşluqların olması
baxımından analizi;
• satın alınan informasiya sistemlərinin etibarlıq baxımından analizi və onların tətbiqinin
məqsədəuyğunluğunun qiymətləndirilməsi üçün kənar ekspertlərin cəlb edilməsi;
• təşkilatda müstəqil yaradılan və ya kənar istehsalçılar tərəfindən sifarişlə yaradılan proqram
məhsullarına informasiya təhlükəsizliyinin təmin edilməsi ilə əlaqədar tələblərin
formalaşdırılması;
• yeni informasiya sistemlərinin layihələndirilməsində, həmçinin yeni yaradılmış və təbiq
edilən proqram məhsullarının test edilməsində iştirak;
• təhlükəsizlik sisteminin layihələndirilməsində, onun sınaqlarında və istismara qəbulunda
iştirak;
• İS-in fəaliyyəti prosesində informasiya təhlükəsizliyi sisteminin planlaşdırılması, təşkili və
fəaliyyətinin təmini;
• informasiya sisteminin yaradılması prosesində təhlükəsizlik sisteminə tələblərin
formalaşdırılması;

İnformasiya sistemlərinin və informasiya təhlükəsizliyi sistemlərinin idarə edilməsi ilə əlaqəli

funksiyalar
• bəzi informasiya sistemlərinin (verilənlər bazaları, poçt sistemləri və s.) administratorluğu
üzrə müəyyən funksiyaların yerinə yetirilməsi, həmçinin informasiya təhlükəsizliyi
sistemlərinin (şəbəkələrarası ekranlar, müdaxilələrin aşkarlanması sistemləri və s.)
konfiqurasiya və idarə edilməsi;
• təşkilatın informasiya sistemlərinə aidiyyəti olan (xüsusi halda, onun lokal şəbəkəsinə
qoşulan) kompüterlərin tipik konfiqurasiyalarının müəyyən edilməsi;
• informasiya təhlükəsizliyi ilə bağlı məsələlərrin həllində (məsələn, insidentlərin aradan
qaldırılması zamanı) texniki dəstək və məsləhət üçün kənar təşkilatların cəlb edilməsi;
• istifadəçilərin iş yerlərində və informasiya sistemlərinin digər elementlərində informasiya
təhlükəsizliyi vasitələrinin quraşdırılması (o cümlədən, İT-bölmənin əməkdaşları ilə
birlikdə);
• informasiya təhlükəsizliyi ilə əlaqəli istifadəçilərdə yaranmış suallarla bağlı məsləhətlərin
verilməsi və onlarda yaranmış problemlərin operativ aradan qaldırılması;
• informasiya təhlükəsizliyinin pozulması ilə əlaqəli müxtəlif insidentlərə reaksiya verilməsi;
• icazəsiz giriş zamanı və informasiya təhlükəsizliyi sisteminin iş qaydalarının pozulması
zamanı tədbirlərin görülməsi.
• informasiya sistemlərinə müdaxilələr aşkarlandıqda aktiv əks-tədbirlərin həyata keçirilməsi;

39
 • istifadəçilər arasında zəruri təhlükəsizlik rekvizitlərinin paylanması;
• qəzadan sonra informasiya sistemlərinin fəaliyyətinin bərasında iştirak.

İnformasiya təhlükəsizliyi siyasətinin yerinə yetirilməsinə nəzarət və audit ilə əlaqəli

funksiyalar
• informasiya təhlükəsizliyinin müxtəlif tələblərinin pozulması haqqında müxtəlif
mənbələrdən (o cümlədən, informasiya sistemlərinin administratorlarından) daxil olan
məlumatların toplanması və analizi, nəzarət işinin prioritet istiqamətlərinin müəyyən
edilməsi;
• təşkilatda informasiya təhlükəsizliyinin daxili auditinin aparılması;
• informasiya sistemlərinin müəyyən elementlərinin (serverlərin, şəbəkə seqmentlərinin və s.)
təhlükəsizliyinin yoxlanmasının təşkili;
• təşkilatda informasiya təhlükəsizliyinin auditini aparmaq üçün üçün kənar təşkilatların cəlb
edilməsi.
• informasiya təhlükəsizliyi sisteminin və onun elementlərinin fəaliyyətinin monitorinqi;
• informasiya təhlükəsizliyi sisteminin fəaliyyətinin etibarlığının yoxlanmasının təşkili;
• avtomatlaşdırılmış emalı prosesində qorunan informasiya ilə davranış qaydalarına İS-in
istifadəçiləri və xidməti heyəti tərəfindən əməl edilməsinə nəzarət;
• şirkәtin yüksәk idarә heyәtini informasiya təhlükəsizliyinin vәziyyәti barәdә icmallarla,
təhlükəsizlik siyasәtlәrinin tәtbiqi barәdә hesabatlarla tәmin edilmәsi.

İnformasiya təhlükəsizliyi xidmətinin təşkilati-hüquqi statusu

• informasiya təhlükəsizliyi xidməti əməkdaşlarının sayı yuxarıda sadalanmış bütün
funksiyaların yerinə yetirilməsi üçün yetərli olmalıdır;
• informasiya təhlükəsizliyi xidməti qorunan informasiya ilə davranış qaydalarına riayət
edilməsinə bu təşkilatda şəxsi cavabdehlik daşıyan şəxsə tabe olmalıdır;
• informasiya təhlükəsizliyi xidmətinin ştat tərkibi İS-in fəaliyyəti ilə bağlı olan başqa
vəzifələrə malik olmamalıdır;
• informasiya təhlükəsizliyi xidmətinin əməkdaşlarına İS-nin aparatları qoyulmuş bütün
otaqlara daxilolma hüququ və qorunan informasiya üçün bilavasitə təhdid olduqda
informasiyanın avtoimatlaşdırılmış emalını dayandırmaq hüququ olmalıdır;
• informasiya təhlükəsizliyi xidmətinin rəhbərinə əgər onlar informasiya təhlükəsizliyi
tələblərinə cavab vermirsə, yeni elementlərin işləyənlər sırasına daxil edilməsini qadağan
etmək hüququ verilməlidir;
• informasiya təhlükəsizliyi xidmətinə öz funksiyalarının yerinə yetirilməsi üçün zəruri olan
bütün şərtlər təmin edilməlidir.

CISO-nun әsas funksiyaları

• CISO (Chief İnformation Security Officer)  informasiya təhlükəsizliyi xidmətinin
direktoru təşkilatın fəaliyyət məqsədlərinə və vəzifələrinə adekvat informasiya təhlükəsizliyi
siyasətinin işlənməsinə və həyata keçirilməsinə məsuldur.
• BISO (Buisness İnformation Security Officier)  informasiya təhlükəsizliyi meneceri,
təşkilatın bölməsi səviyyəsində informasiya təhlükəsizliyi siyasətinin praktiki həyata
keçirilməsi ilə məşğul olur, məsələn, marketinq şöbəsi, IT-şöbə.

• təhlükəsizlik xidmәtinin fiziki, texniki vә iqtisadi təhlükəsizliyi tәmin edәn bölmәlәri ilә
informasiya təhlükəsizliyinin tәmin edilmәsinә aid işlәrdә birgә әmәkdaşlıq;
• informasiya təhlükəsizliyinin tәmin edilmәsinә aid işlәrdә şirkәtin şәxsi heyәti vә hüquq
xidmәti ilә әmәkdaşlıq;
• informasiya təhlükəsizliyinin sahəsində ştatdankənar situasiyaların və fövqaladə hadisələrin
aradan qaldırılması üzrə tədbirlərin təşkili

40
 • informasiya təhlükəsizliyi sahәsindә ştatdankәnar siyuasiyaların idarә eilmәsindә yüksәk
idarә heyәti ilә birlikdә iştirak;
• təşkilatın fəaliyyətinin həyata keçirilməsi və inkişafı risklərinin qiymətləndirilməsi üçün işçi
qrupların və ekspert şuralarının işində iştirak etmək.

Şəxsi heyətin idarə edilməsi

Vəzifənin təsvirini tərtib edərkən iki ümumi prinsipi nəzərə almaq lazımdır:
• vəzifələrin bölgüsü
• imtiyazların minimumlaşdırılması
Vəzifələrin bölüşdürülməsi prinsipi rolları və cavabdehliyi elə bölməyi nəzərdə tutur ki, təşkilat
üçün kritik vacib prosesi bir adam poza bilməsin. Məsələn, təşkilatın adından iri ödənişləri bir
adamın yerinə yetirməsi vəziyyəti arzuolunmazdır.
İmtiyazların minimumlaşdırılması prinsipi istifadəçiyə xidməti vəzifələrini yerinə yetirmək üçün
zəruri olan giriş hüquqları verməyi nəzərdə tutur. Bu prinsipin məqsədi təsadüfi və qəsdli
hərəkətlərdən ziyanı azaltmaqdır.

İşə qəbul və təlimatlandırma

Vəzifə məsuliyyətli olduqca namizədləri daha ətraflı yoxlamaq lazımdır.
Namizəd müəyyən edildikdən sonra o yəqin ki, təlim keçməlidir, ən azı onu xidməti vəzifələri ilə,
informasiya təhlükəsizliyi prosedurları ilə ətraflı tanış etmək lazımdır.
Yaxşı olardı ki, işçi təhlükəsizlik tədbirlərini vəzifəyə başlamamışdan və ona giriş adı, parol və
imtiyazlar verilməmişdən əvvəl mənimsəsin.

Uçot hesabının idarə edilməsi

İstifadəçiyə uçot hesabı açılması. İstifadəçiyə uçot hesabı açıldığı andan onun inzibatçılığı,
həmçinin istifadəçinin əməllərinin protokollaşdırılması və analizi başlanır.
İstifadəçinin işlədiyi mühit, onun xidməti vəzifələri tədricən dəyişir. Bütün bunlar imtiyazların
müvafiq dəyişməsini tələb edir. İstifadəçinin müvəqqəti yerdəyişmələri, başqa əməkdaşın
vəzifələrini yerinə yetirməsi və başqa hallar texniki çətinliklər yaradır, bu zaman səlahiyyətləri
əvvəl verib müəyyən müddətdən sonra isə geri almaq lazımdır.
Yeni daimi səlahiyyətləri verdikdə də köhnə giriş müəyyən səliqəni gözləmək lazımdır.
İstifadəçinin uçot hesabının ləğvi. İstifadəçinin uçot hesabının ləğvi də mümkün qədər operativ
aparılmalıdır, xüsusi ilə əməkdaş ilə təşkilat arasında münaqişə olduqda (idealda cəzalandırma və
ya işdən çıxarma bildirişi ilə eyni vaxtda). İş yerinə fiziki girişi məhdudlaşdırmaq da mümkündür.
Əməkdaş işdən azad olunursa, ondan bütün kompüter təsərrüfatını, o cümlədən kriptoqrafik
mühafizə vasitələri istifadə olunursa, kriptoqrafik açarları qəbul etmək lazımdır.

Bərpaetmə işlərinin planlaşdırılması

Bərpaetmə işlərinin planlaşdırılması prosesini aşağıdakı mərhələlərə bölmək olar:
• təşkilatın kritik vacib funksiyalarının aşkarlanması, prioritetlərin müəyyən edilməsi;
• kritik vacib funksiyaların yerinə yetirilməsi üçün zəruri resursların müəyyən edilməsi;
• mümkün qəzaların siyahısının müəyyən edilməsi;
• bərpaetmə işlərinin strategiyasının işlənməsi;
• seçilmiş strategiyanın realizə edilməsinə hazırlıq;
• strategiyanın yoxlanması.

Bərpaetmə işlərini planlaşdırarkən nəzərə almaq lazımdır ki, təşkilatın fəaliyyətini həmişə saxlamaq
mümkün deyil.
Təşkilat üçün kritik vacib funksiyaları aşkarlamaq zəruridir.
Kritik vacib funksiyalar arasında prioritetləri elə müəyyən etmək lazımdır ki, qəzadan sonra iş
mümkün qədər tez və minimal xərclərlə bərpa edilsin.

41
Kritik vacib funksiyaların yerinə yetirilməsi üçün zəruri resursların müəyyənləşdirəndə nəzərdə
tutmaq lazımdır ki, onların çoxu qeyri-kompüter xarakterlidir.

Kritik resurslar
Kritik resurslar adətən aşağıdakı kateqoriyalardan birinə aiddir:
• şəxsi heyət;
• informasiya infrastrukturu;
• fiziki infrastruktur.
Məsul mütəxəssislərin siyahısını tərtib edərkən nəzərdə tutmaq lazımdır ki, onlardan bəziləri
qəzadan bilavasitə əziyyət çəkə bilər (məsələn, yanğından), kimsə stress vəziyyətində ola bilər,
əməkdaşların bir hissəsinin işə gəlib çatmaq imkanı olmaya bilər (məsələn, kütləvi iğtişaşlar
zamanı).
Mütəxəssislərin müəyyən ehtiyatına malik olmaq və ya əlavə şəxsi heyətin müvəqqəti cəlb edilməsi
kanallarını əvvəlcədən müəyyən etmək lazımdır.
İnformasiya infrastrukturu. İnformasiya infrastrukturuna kompüterlər, proqramlar, verilənlər,
özgə təşkilatların informasiya servisləri, sənədlər aiddir.
Qəzadan sonra təşkilatın köçürüldüyü aparat platforması təşkilatda olan platformadan fərqli ola
bilər. Buna görə proqramlar və verilənlər üzrə uyarlığı dəstəkləmək tədbirlərini fikirləşmək
lazımdır.

Bərpaetmə işlərinin strategiyası

Bərpaetmə işləri strategiyası mövcud resurslara əsaslanmalı və təşkilat üçün çox xərcli
olmamalıdır.
Strategiya işlənərkən kritik funksiyalara yönəlmiş risklərin analizini aparmaq və ən qənaətli həlli
seçmək məqsədəuyğundur.
Strategiya təkcə müvəqqəti sxemlə işləməyi yox, normal fəaliyyətə qayıtmağı da nəzərdə tutmalıdır.

Seçilmiş strategiyanın reallaşdırılmasına hazırlıq

Seçilmiş strategiyanın reallaşdırılmasına hazırlıq fövqəladə vəziyyətlərdə və onlar bitdikdə
fəaliyyət planının işlənməsindən və kritik resursların müəyyən izafiliyinin təmin edilməsindən
ibarətdir.
Kritik resursların izafiliyini çox xərc çəkmədən də təmin etmək olar, məsələn, qəza zamanı
qarşılıqlı dəstək haqqında bir neçə təşkilatla razılaşma bağlansa.
İzafilik həmçinin ehtiyat surətçıxarma tədbirləri ilə, surətləri bir neçə yerdə saxlamaqla,
informasiyanın müxtəlif formalarda təsviri ilə (kağızda və fayllarda) təmin edilir.
Strategiyanın yoxlanılması hazırlanmış planın, qəbul edilmiş və nəzərdə tutulmuş tədbirlərin
analizi yolu ilə həyata keçirilir.

42
Mühazirə 9. Müdaxilələrin aşkarlanması sistemləri

Müdaxilə anlayışı
• Müdaxilə (ing. Intrusion) – sistemin təhlükəsizlik siyasətini pozan hərəkətlər (fəaliyyət).
• Müdaxilənin aşkarlanması (ing. Intrusion Detection) – müdaxilələri müəyyən etmək üçün
istifadə edilən proses
• Müdaxilələrin aşkarlanması sistemi (Intrusion Detection System, IDS) – müdaxilələrin
aşkarlanması üçün aparat və ya proqram vasitəsi

IDS-lərin tarixi
• 1980-ci il, Ceyms Anderson “Kompüter təhlükəsizliyi təhdidlərinin monitorinqi” məqaləsi
– Anderson J.P., Computer Security Threat Monitoring and Surveillance.
Washington, PA, James P. Anderson Co., February 26, 1980.
• 1986-cı il, Doroti Denninq “Müdaxilələrin aşkarlanması modeli” adlı məqaləsi
– Denning D.E., An Intrusion Detection Model, Proceedings of the 7th IEEE
Symposium on Security and Privacy, May 1986, pp. 119-131.

 IDS-lərin tarixi böyük informasiya sistemlərinin inkişafı zamanlarından başlayır.

Meynfreymlərin az sayda və baha olması sistemin resurslarından istifadə edilməsinə ciddi
nəzarət etməyi tələb edirdi. 1970-ci illərin əvvəlində audit sistemləri administratorların
ehtiyaclarına uyğunlaşdırılırdı, onlar loq-fayllara baxmaqla sistemdə dəyişikliklərə səbəb ola
biləcək anomaliyaları axtarırdılar.
 1980-ci illərin ortalarından monitorinq sistemləri real zaman rejimlərində işləməyə başlayır,
1990-cı illərdə isə şəbəkədaxili fəaliyyətin monitorinqi üçün sistemlər yaradılır.
 Bu prinsip müasir IDS-lərdə də əsas olaraq qalır. IDS-in işinin mahiyyəti sadədir - «agent"
şəbəkədaxili trafiki və serverdə faylara müraciətləri monitorinq edir və müəyyən edilmiş
standart vəziyyətlərin pozulması halında administratora xəbər verir.

Müdaxilənin aşkarlanmasına yanaşmalar

• Sui-istifadənin aşkarlanması
– Məlum hücumların və ya sistem boşluqlarının əlamətlərinə əsasən müdaxilələri
tapmaq.
• Anomaliyanın aşkarlanması
– Normal davranışdan əhəmiyyətli kənarlaşan istənilən hərəkəti aşkarlamaq.

Sui-istifadələrin aşkarlanması
• Məlum hücumların əlamətlərinə əsaslanır.
• Əlamətlər məlum müdaxilələrdən çıxarılır.
• İnsan biliyini inteqrasiya edir (qaydalar).
• Qaydalar əvvəlcədən müəyyənləşdirilir.
Nöqsanları: Yeni və ya naməlum hücumları aşkarlaya bilmir.

Sui-istifadələrin aşkarlanması metodları

Sui-istifadələrin aşkarlanması metodları sistemdə baş verən hadisəni və ya hadisələr çoxluğunu
əvvəlcədən müəyyən edilmiş nümunəyə uyğun olması baxımından analiz edir. Belə nümunələr
məlum hücumları təsvir edirlər və siqnatura adlanırlar. Buna görə, sui-istifadələrin aşkarlanması
metodları bəzən siqnatura metodları da adlanır.
Sui-istifadələrin aşkarlanması üçün kommersiya məhsullarında istifadə edilən yanaşmaların ən
ümumi formasında hücuma uyğun olan hadisələrin hər bir nümunəsi ayrıca bir siqnatura kimi
müəyyən edilir.

43
 Bununla yanaşı, sui-istifadələrin aşkarlanması üçün daha mürəkkəb yanaşmalar da mövcuddur
(state-based adlanan analiz texnologiyaları), bu yanaşmalar hücumlar qrupunu müəyyən etmək
üçün bir siqnaturadan istifadə edirlər.

Sui-istifadənin aşkarlanması metodları və sistemləri

Metod Sistem
Qaydalara əsaslanan dillər RUSSEL, P-BEST
Vəziyyət keçidlərinin analizi STAT ailəsi (STAT, USTAT, NSTAT, NetSTAT)
Rəngli Petri avtomatları IDIOT
Ekspert sistemləri IDES, NIDX, P-BEST, ISOA
Presedentlər nəzəriyyəsi AutiGUARD

Anomaliyaların aşkarlanması
Subyektin normal davranışına əsaslanır. Bəzən fərz olunur ki, təlim verilənlərinə müdaxilə
verilənləri daxil deyil.
Normal davranışdan əhəmiyyətli dərəcədə kənarlaşan istənilən hərəkət müdaxilə hesab edilir.

Anomaliyaların aşkarlanmasına yanaşmalar

• statistik anomaliyalara əsaslanan (statistical anomaly based)
• protokolların anomaliyalarına əsaslanan (protocol anomaly based)
• trafikin anomaliyalarına əsaslanan (traffic anomaly based)
• Qaydalara (rule based) və ya evristikaya (heuristic-based) əsaslanan

IDS qorunan sistem üçün qiymətləndirmə parametrləri çoxluğu əsasında normal fəaliyyət “obrazı”
formalaşdırır.
Sistemin normal davranışının obrazını formalaşdırmağın üsullarından biri qiymətləndirmə
parametrlərinin qiymətlərini xüsusi strukturda – profildə saxlamaqdır. Profilə qoyulan əsas tələb
minimal uzunluq və yeniləmə əməliyyatının sürətli yerinə yetirilməsidir.
Profil istifadə edilməklə anomaliya aşkarlandıqda əsasən statistik qiymətləndirmə metodları istifadə
edilir. Aşkarlama prosesi aşağıdakı kimi baş verir: profilin cari qiymətlərini əvvəl ölçülmüş
qiymətlə müqayisə edirlər. Müqayisənin nəticəsi – ölçmədə anomallığın göstəricisidir. Sadə halda,
anomallığın ümumi göstəricisi profilin hər bir ölçüsündə olan anomallıq göstəricilərinin müəyyən
funksiyası kimi hesablana bilər.

Müdaxilələrin aşkarlanması sistemi obrazın aşkarlanması və obrazın tanınması sistemidir.

Obraz (Qayda) müdaxilələrin aşkarlanması sisteminin ən əhəmiyyətli hissəsidir.
– Obrazın (Qaydanın) İfadəsi
– Obrazın (Qaydanın) aşkarlanması
– Obrazların müqayisəsi və Obrazların tanınması.

Obrazların müqayisəsi və Obrazların tanınması metodları

• Obrazların müqayisəsi (KMP, Shift-And(Or), Karp-Rabin metodu)
• Vəziyyət keçidləri və avtomatların analizi
• Presedentlər nəzəriyyəsi (ing. Case Based reasoning)
• Ekspert sistemləri
• Metrikaya əsaslanan metodlar
– Statistik metodlar
– Nəzəri-informasiya metrikaları
– “Outlier” analizi
• Assosiasiya obrazları
• Maşın təlimi metodları

44
Anomaliyaların aşkarlanması metodları və sistemləri E-box
Hadisələr
Metod Sistem
Statistik metodlar IDES, NIDES, EMERALD
Machine Learning üsulları A-box D-box
o Time-Based inductive Analizator Verilənlər
Machine
o Instance Based Learning R-box
o Neyron şəbəkələri Reaksiya
o …
Data Mining yanaşmaları JAM, MADAM ID

Anomaliyaların aşkarlanması --- nöqsanlar

Normal əməliyyat periodu ərzində toplanmçış verilənlərə əsaslanır.
– Təlim verilənlərində küy (müdaxilə) verilənləri olduqda, səhv klassifikasiya edir.
İstifadə ediləcək əlamətlər seçilməlidir. Bu əlamətlər haqqında adətən predmet sahəsinin
eksperti qərar verir. Qərar tam olmaya bilər.
Statistik metodlar hadisələrin başvermə ardıcıllığına həssas deyil, yəni statistik aşkarlama
metodu oxşar hadisələrin ardıcıllığı şəklində meydana çıxan müdaxiləni görməyə bilər.
Sistemi ardıcıl olaraq elə öyrətmək olar ki, anomal davranışı normal qəbul etsin. Bədniyyətlilər
belə sistemlərin köməyi ilə izləndiklərini bilərək onları öz məqsədlərində istifadə etmək üçün
öyrədə bilərlər.
Elə sərhəd müəyyən etmək çətindir ki, ondan yuxarıda anomaliya müdaxilə kimi qəbul edilsin.
Sərhədi aşağı saldıqda səhv işədüşmə (false positive), yüksəltikdə isə müdaxilənin buraxılması
(false negative) baş verir.

Müdaxilələrin aşkarlanması üsullarının müqayisəsi

Üstünlüyü Nöqsanı
Sui-istifadənin Dəqiqdir və daha az sayda Yeni və ya naməlum hücumları
aşkarlanması səhv siqnal generasiya edir aşkarlaya bilmir
Anomaliyanın Naməlum hücumları Böyük sayda səhv siqnal generasiya edir
aşkarlanması aşkarlaya bilir və təlim verilənləri ilə məhduddur.

Dorothy Denning (1986-cı il) “An Intrusion Detection Model” məqaləsində IDS komponentlərini
aşağıdakılar baxımından müəyyən edir:
• Subyektlər – fəaliyyətin təşəbbüskarı
• Obyektlər - fəaliyyətin hədəfləri
Profillər – subyektlərin obyektlər üzərində necə əməliyyat apardığını xarakterizə edir (statistik
modellər və ya obrazların tanınması ola bilər)

CIDF modelində IDS komponentləri

Hadisələr generatoru (E-box, event) – analizator tərəfindən
qərar qəbul edilməsi üçün verilənləri sensorlardan toplayır.
Verilənlərdə nəzarət edilən parametrinin adı, onun
xüsusiyyətləri və qiymətləri ola bilər.
Analizator (A-box, analyzer) – sensorlardan alınmış
verilənlər əsasında hücum simptomlarının lması barəfə qərar
qəbul edilir. Analizator verilənlərin çevrilməsi, filtrasiyası,
normallaşdırılması və korrelyasiyası funksiyalarını yerinə
yetirə bilər.

45
Verilənlər anbarı (D-box, database) – qərar qəbulu və sensor verilənlərinin saxlanması üçün
zəruridir. Bundan başqa, anbarda idarəetmə parametrləri (nəzarət edilən parametrlərin siyahısı,
nəzarətin aparılması tezliyi və s.) və hücumların semantik təsviri də saxlanılır.
Sistemin aşkarlanmış müdaxiləyə reaksiya modulu (R-bох, reaction) – passiv reaksiya zamanı
sistem monitor ekranına məlumat çıxarmaqla, e-mail göndərməklə, mobil telefona zəng etməklə
administratora hücum barədə xəbər verir.

DS-lərin təsnifatı
IDS-də sensorları toplanan informasiyanın xarakterinə görə klassifikasiya edirlər. İnformasiya
sistemlərinin ümumi strukturun uyğun olaraq aşağıdakı sensorları fərqləndirirlər:
• tətbiqi proqram sensorları – qorunan sistemin proqram təminatının işi haqqında verilənlər;
• host sensorları – qorunan sistemdə işçi stansiyanın fəaliyyəti haqqında verilənlər;
• şəbəkə sensorları – şəbəkə trafiki haqqında verilənlər;
• şəbəkələrarası sensorlar – şəbəkələr haqqında verilənlərin xarakteristikalarını toplayır.

HIDS (Host-based IDS) – bir kompüter sistemi çərçivəsində hərəkətləri analiz edir.
NIDS (Network-based IDS) – şəbəkə trafikini izləyir.
HIDS üçün informasiya mənbəyi ƏS, VBİS və tətbiqi proqramların loq-fayllarıdır. Host sensor
hadisələr haqqında informasiyanı birbaşa ƏS-nin, şəbəkələrarası ekran və ya tətbiqi proqramın
nüvəsindən də ala bilər. Təhlükəsizlik serverində yerləşdirilən analizator sensorlardan daxil olan
informasiyanın mərkəzləşdirilmiş toplanmasını və analizini həyata keçirir.
Reaksiya vasitələri şəbəkə monitorinqi stansiyalarında, şəbəkələrarası ekranlarda, serverlərdə və
LAN işçi stansiyalarında yerləşə bilər
Host IDS-lərin üstünlükləri:
• səhv işədüşmələrin sayı azdır.
• siqnatura deyil, aktivlik izlənir, buna görə siqnaturaları daim təzələmək tələb edilmir.
• aldanmaya az meyllidir.
Host IDS-lərin nöqsanları:
• mühafizə edilən hər bir kompüterdə proqram təminatını quraşdırmaq və idarə etmək tələb
edilir.
• həyəcan siqnalı uğurlu hücumdan sonra gəlir; şəbəkə IDS-lər bəzən daha erkən xəbərdarlığı
təmin edir.

Şəbəkə IDS-ləri
NIDS-lər xüsusi proqram təminatı, yaxud xüsusi qurğular (appliance) qurulmuş ayrıca kompüterdən
ibarət olan sensorlar istifadə edir. Hər bir sensor şəbəkəni dinləmə rejimində (promiscuous mode)
işləyən şəbəkə kartına (NIC-Network Interface Card, NIC) malikdir.
Şəbəkə kartı adi rejimdə yalnız bu şəbəkə kartına ünvanlanmış paketləri, geniş yayım (brodcast) və
çoxünvanlı (multicast) paketləri alır. Şəbəkə kartının drayveri paketləri ötürmə mühitindən götürür
və onları emal üçün şəbəkə protokolları stekinə göndərir. Əgər şəbəkə kartı dinləmə rejimindədirsə,
onda şəbəkə kartının drayveri bütün trafiki tutur, bütün paketləri kopyalayır, bir kopyanı protokollar
stekinə, ikinci kopyanı analizatora verir.
NIDS-in üstünlükləri:
• Optimal yerləşdirilmiş bir neçə NIDS böyük şəbəkəyə nəzarət edə bilər.
• NIDS şəbəkənin sürətinə böyük təsir göstərmir. NIDS adətən passiv qurğulardır, şəbəkənin
normal fəaliyyətinə təsir göstərmədən şəbəkə kanalını dinləyirlər. Beləliklə, NIDS-i
yerləşdirmək üçün, adətən, şəbəkənin topologiyasını modifikasiya etmək asan olur.
• NIDS-i hücumlara qarşı praktiki olaraq tam dayanıqlı və ya hətta hücum edənlərə tamamilə
görünməz etmək olar.
NIDS-in nöqsanları:

46
 • NIDS böyük və ya trafiki intensiv olan şəbəkədə bütün paketləri emal edə bilmir və deməli,
böyük trafik halında başlamış hücumları aşkarlamaya bilər.
• NIDS-in şəbəkə kommutatorlarına (switch) əsaslanan şəbəkələrə tətbiqi çətindir.
• NIDS şifrlənmiş informasiyanı analiz edə bilmir. Bu problem VPN-dən istifadə edən
təşkilatlar (və hücum edənlər) artdıqca, daha da böyüyür.
• Əksər NIDS-lər hücumun uğurlu olmasını müəyyən edə bilmir; onlar yalnız hücumun
başlaması faktını müəyyənləşdirə bilirlər. Buna görə, NIDS-in hücum siqnalından sonra
administrator real müdaxilənin olmasını müəyyən etmək üçün hücum edilmiş hər bir hostu
analiz etməlidir.
• Bəzi NIDS-lər fraqmentlərə bölünmüş paketlər daxil olan şəbəkə hücumlarını aşkarlamaqda
çətinlik çəkirlər.

IDS-in səhvləri
IDS sistemlərin əsas xarakteristikaları hücumun aşkarlanmaması ehtimalı (false negative) və səhvən
həyəcan siqnalı verilməsi ehtimalıdır (false positive).
• False Positive (Birinci növ səhv) – sistem səhvən həyəcan siqnalı verir. Hücum olması
haqqında xəbər verilir, həqiqətdə isə hücum baş verməyib.
• False Negative (İkinci növ səhv) – IDS informasiya sistemində həqiqətdə baş verən
hücumu aşkarlamadığı halda meydana çıxır.

IDS-lərin tarixi
• 1986 – IDES (Intrusion Detection Expert System)
• 1993 – NIDES (Next-generation IDES)
• 1988 – MIDAS (Multics Intrusion Detection and Alerting System)
• 1988 – Haystack
• 1989 - W&S (Wisdom & Sense)
• 1990 – TIM (Time-based Inductive Machine)
• 1990 – NSM (Network Security Monitor)
• 1990 – ISOA (Information Security Officers Assistant)
• 1991 – DIDS (Distributed Intrusion Detection System)
• 1991 – NADIR (Network Anomaly Detection and Intrusion Reporter)
• 1991 – ASAX (Advanced Security audit trail Analyzer on uniX)
• 1992 – NetSTAT (Network-based State Transition AnalysisTool)
• 1998 – Bro
• 1998 – AAFID (Autonomous Agents for Intrusion Detection)
• 1998 – Snort
• 1999 – NFR (Network Flight Recorder)
• 2001 – ADAM IDS (Audit Data Analysis and Mining IDS)

Açıq kodlu IDS-lər

• Snort; Bro; Samhain IDS
• OSSEC-HIDS (Open Source Host-based IDS)
• OSSIM (Open Source Security Information Management)

Snort rejimləri
• paketlərin analizi rejimi – bu rejimdə Snort sadəcə şəbəkədən gələn paketləri oxuyur və
onları ekrana çıxarır.
• jurnal (protokollaşdırma) rejimi – bu rejim paketləri sonradan analiz etmək üçün diskə
yazmağa imkan verir. Snort paketləri IP-ünvanlar üzrə protokollaşdırır, hər bir ünvan üçün
ayrıca kataloq yaradır. Bu müəyyən zaman intervalında analiz aparmaq və ya konfiqurasiya
parametrlərində və təhlükəsizlik siyasətində dəyişikliklərin yoxlanması üçün faydlıdır.
• müdaxilələrin aşkarlanması rejimi – tam funksional şəbəkə IDS-dir (NIDS). Adətən
NIDS rejimində Snort-un konfiqurasiya faylı istifadə edilir.

47
Snort qaydaları
Qaydalar kifayət qədər sadə sintaksisə malikdir:
• < action > < protocol > < first host > < first port > < direction > < second host> <
second port > (< rule options >;)
Məsələn, alert tcp any any → 10.1.1.0/24 80 (content: “/cgi-bin/phf”;msg: “PHF probe!”;)
• Bu qayda müəyyən edir ki, 10.1.1.0/24 şəbəkəsində istənilən ünvanın 80-ci portuna
göndərilən, verilənlər sahəsində “/cgi-bin/phf” sərti olan istənilən TCP seqmenti şübhəlidir
və administratora məlumat göndərilməlidir.

Müdaxilələrin qarşısının alınması sistemləri

Müdaxilələrin qarşısının alınması sistemləri (Intrusion Prevention Systems, IPS) – müdaxilələri
aşkarlayan və onların qarşısını avtomatik alan proqram və ya aparat təminatıdır.
IPS ilk növbədə hücumların qarşısının alınmasına yönəlmiş proaktiv və preventiv texnologiyadır.
Əsas ideya IDS və IPS-ləri bir məhsulda – şəbəkə paketlərinin dərin analizini aparan, hücumları
aşkarlayan və onları dayandıran şəbəkə ekranında birləşdirməkdir.
IPS-lərin növləri
• Şəbəkə IPS-ləri (Network-based IPS, NIPS) – kompüter şəbəkəsində trafiki izləyir və
şübhəli verilənlər axınını bloklayır.
• Host IPS-ləri (Host-based IPS, HIPS) – kompüterdə şübhəli aktivliyi aşkarlayan rezident
proqramlardır.
• Şəbəkə davranış analizi (Network Behavior Analysis, NBA) – şəbəkə trafikini analiz
edir, tipik olmayan axınları, məsələn, DoS və DDoS hücumlarını aşkarlayır.
• Naqilsiz şəbəkələr üçün IPS (Wireless IPS, WIPS) – naqilsiz şəbəkələrdə aktivliyi
yoxlayır. Xüsusi halda, düzgün konfiqurasiya edilməmiş şəbəkəyə naqilsiz giriş nöqtələrini,
ortada insan, MAC-ünvanların spufinqi hücumlarını aşkarlayır.

SIEM= SIM + SEM

SIM (Security Information Management) – sensorlardan verilənləri (hadisələri) konsolidasiya
etməyə və uzun müddət saxlamağa imkan verir. SIM sistemlərinin köməyi ilə insidentlərin
araşdırılması aparılır və təhlükəsizlik standartlarına və normativlərinə uyğunluq dəstəklənir.
SEM (Security Event Management) – hadisələrin toplanması (xüsusilə şəbəkə avadanlıqlarından)
sistemləridir. Bu həllər müxtəlif sistemlərdən gələn hadisələri qarşılaşdırmaq və analiz etmək,
qarşılıqlı əlaqə (korrelyasiya) axtarmaq sayəsində insidentlərə reaksiya verməyə imkan verir.
SIEM (Security Information and Event Management)

IDS üzrə standartlar

• CIDF (Common Intrusion Detection Framework)
• IDMEF (Intrusion Detection Exchange Message Format)
• IDMEF (Incident Object Description and Exchange Format)
• CVE (Common Vulnerabilities and Exposures) – Boşluqların ümumi tezaurusu

Honeypot və Honeynet
• Honeypot (ing. – bal küpəsi) – bədniyyətli üçün tələ rolunu oynayan resursdur.
• Honeynet – honeypot-ların şəbəkəsidir.
• Honeypot-un vəzifəsi – hücuma və icazəsiz tədqiqata məruz qalmaqdır ki, sonradan
bədniyyətlinin strategiyasını öyrənməyə və real mövcud olan təhlükəsizlik obyektlərinə zərbə
endirməyə kömək edən vasitələrin siyahısını müəyyən etməyə imkan verir.
• Honeypot həm xüsusi ayrılmış server, həm də vəzifəsi hakerləri cəlb etmək olan bir şəbəkə
servisi kimi realizə edilə bilər.
• Honeypot ilə istənilən kənar qarşılıqlı əlaqəyə haker aktivliyi kimi baxılır.

48
• Honeypot kiçik həcmdə informasiya yığır, onu analiz etdikdən sonra hakerlərin istifadə
etdikləri metodların statistikası qurulur, eləcədə hər hansı yeni metodların mövcudluğu
müəyyən edilir ki, onlar sonra bədniyyətlilərlə mübarizədə istifadə edilir.

49
Mühazirə 10. İnformasiya təhlükəsizliyi risklərinin qiymətləndirilməsi metodları

“Risk” sözünün etimologiyası. İngilis dilindəki risk sözü, eləcə də risico, risco, rischio (italyan),
riesgo (ispan), risque (fransız) və risco (portuqal) sözləri latın dilindəki resicum, risicum və
riscus sözlərindən yaranmışdır, mənası sıldırım qaya və ya sualtı qayadır.
Oxşar olaraq, bu latın sözləri yunanca naviqasiya termini olan rhizikon, rhiza sözündən alınıb,
“kök, daş, möhkəm torpaq kəsiyi” mənasını verir.
Güman edilir ki, rhizikon, rhiza sözləri də yunan dilinə mənası "yaşamaq üçün Allah tərəfindən
verilən hər şey" olan “Rizk” vasitəsilə ərəb dilindən keçmişdir.

ISO Guide 73:2009 - Risk Management – Vocabulary

Risk – qeyri-müəyyənliyin məqsəd(lər)ə təsiridir.
QEYD 3. Risk çox zaman potensial hadisələrə və nəticələrə, yaxud onların kombinasiyasına istinad
etməklə xarakterizə edilir.
Riskin Menecmenti [Risk Management] – təşkilatı risk ilə bağlı istiqamətləndirmək və idarə etmək
üçün əlaqələndirilmiş fəaliyyət.
Riskin Qiymətləndirilməsi [Risk Assessment] – riskin identifikasiyası, riskin analizi və riskin
dəyərləndirilməsinin ümumi prosesi.
Riskin İdentifikasiyası [Risk Identification] – risklərin tapılması, tanınması və təsviri prosesləri.
Riskin Analizi [Risk Analysis] – riskin təbiətini anlamaq və riskin səviyyəsini müəyyən etmək üçün
proses.
Riskin Dəyərləndirilməsi [Risk Evaluation] – riskin və/və ya onun miqyasının məqbul və ya
dözülən olmasını müəyyən etmək üçün risk analizinin nəticələrinin risk meyarları ilə müqayisəsi
procesi.
Riskin emalı [Risk Treatment] – riski dəyişdirmək üçün proses. Riskin emalına: riskin azaldılması,
riskin transferi (sığortalama), riskin qəbulu, riskdən imtina daxil ola biər .

Qeyri-müəyyənliyin növləri
Qeyd edildiyi kimi, risk – qeyri-müəyyənliyin məqsəd(lər)ə təsiridir.
Sistemin özündə və onu əhatə edən mühitdə bir çox qeyri-müəyyənlik mövcuddur.
 Perspektiv qeyri-müəyyənlik ‒ təsadüfi faktorların meydana çıxması;
 Retrospektiv qeyri-müəyyənlik ‒ obyektin keçmişdə davranışları haqqında faktların və
informasiyanın olmaması;
 Texniki qeyri-müəyyənlik ‒ qəbul edilən qərarların nəticələrini öncədən söyləməyin qeyri-
mümkünlüyü;
 Stoxastik qeyri-müəyyənlik;
 Təbiətin vəziyyətinin qeyri-müəyyənliyi;
 Məqsədyönlü əks-təsirin qeyri-müəyyənliyi ‒ iki və daha çox tərəfin münaqişəsi zamanı
meydana çıxır;
 Məqsədlərin qeyri-müəyyənliyi;
 Linqvistik qeyri-müəyyənlik;
 Hərəkətlərin qeyri-müəyyənliyi.

Maliyyə riskləri
Kredit riski ‒ kontragentin öz öhdəliklərini yerinə yetirə bilməməsi səbəbindən mümkün itkilər
riski.
Əməliyyat riski ‒ əməliyyat heyətinin səhvləri səbəbindən itkilər riski.
Likvidlik riski ‒ öhdəliklərin yerinə yetirilməsini təmin edə bilməmə nəticəsində itkilər riski. Daha
yüksək faizlə əlavə vəsaitlər cəlb etmək lazım olur.
Bazar riski ‒ aktivlərin bazar kotirovkalarının mümkün dəyişməsi və faiz dərəcələrinin dəyişməsi
ilə əlaqədar risk.

50
Risklərin analizi
Hazırda risklərin analizinə müxtəlif yanaşmalar mövcuddur. Yanaşmanın seçilməsi təşkilatda
informasiya təhlükəsizliyinin təmin edilməsinə yürüdülən tələblərin səviyyəsindən, nəzərə alınan
təhdidlərin xarakterindən və informasiyanın qorunması üzrə potensial tədbirlərin effektivliyindən
asılıdır. Xüsusi halda informasiya təhlükəsizliyinin təmin edilməsinə minimal (və ya baza) və
yüksək (və ya tam) tələblər fərqləndirilir.
Minimal tələblərə informasiya təhlükəsizliyinin baza səviyyəsi uyğundur. Bir qayda olaraq belə
tələblər nümunəvi layihə həllərinə tətbiq olunur. Bir sıra standartlar və spesifikasiyalar mövcuddur
ki, onlarda viruslar, avadanlıq səhvləri və imtinaları, avtorizə olunmamış giriş və s. kimi çox
ehtimal edilәn təhdidlərin minimal (etalon) yığını verilir. Bu təhdidlərin neytrallaşdırılması üçün
onların həyata keçirilməsi ehtimalından və resursların boşluqlarından asılı olmadan əks-tədbirlər
mütləq görülməlidir. Beləliklə, baza səviyyəsində təhdidlərin xarakteristikalarına baxmaq məcburi
deyil.
İnformasiya təhlükəsizliyinin pozulması ağır nəticələrə səbəb olduqda informasiya
təhlükəsizliyinə baza tələbləri yetərli olmur və yüksək tələblər irəli sürülür.
Əgər informasiya təhlükəsizliyinə yüksək tələblər irəli sürülürsə, risklərin analizi tam variantda
aparılır, onun çərçivəsində baza tələblərinə əlavə olaraq aşağıdakılara baxılır:
 informasiya təhlükəsizliyi baxımından biznes-proseslərin modeli;
 təşkilatın aktivləri və onların dəyəri;
 təhlükəsizlik təhdidlərinin tam siyahısının tərtib edilməsi − aktivlərə ziyan vura bilən
arzuolunmaz təhdidlərin potensial mənbələri və onların parametrlərinin qiymətləndirilməsi;
 boşluqlar − müdafiədə təhdidlərin reallaşmasına rəvac verə bilən zəif yerlər;
 təhdidlərin ehtimalını və təhdidlərin təsirindən potensial ziyanı qiymətləndirmək..
Toplanmış məlumatların əsasında təşkilatın informasiya sistemi üçün, onun ayrıca altsistemləri,
verilənlər bazaları və verilənlərin elementləri üçün risklər qiymətləndirilir.

Aktivlər Təhdidlər Boşluqlar

Risklərin
Risklər

Risklərin

Təhlükəsizlik mexanizmləri

Şəkil . İnformasiya tәhlükәsizliyi risklәrinin idarə edilməsi sxemi

İnformasiya təhlükəsizliyi risklərinin qiymətləndirilməsi

Risklərin qiymətləndirilməsinə bir sıra yanaşmalar mövcuddur. Ən sadə halda iki faktoru:
təhdidin ehtimalını və vurulan ziyanın miqdarını qiymətləndirirlər. Adətən hesab olunur ki, təhdidin
ehtimalı və vurulan ziyanın həcmi nə qədər böyükdürsə, risk bir o qədər böyük olur. Ümumi
ideyanı
Risk = Ptəhdid  Ziyanın həcmi
düsturu ilə ifadə etmək olar.
Əgər dəyişənlər miqdarı kəmiyyətlərdirsə, onda risk ziyanın riyazi gözləməsinin qiymətidir.

51
 Dəyişənlər keyfiyyət kəmiyyətləridirsə, onda bu düsturdan birbaşa istifadə etmək olmur.
Keyfiyyət qiymətləndirilməsi daha çox rast gəlinir. Bunun üçün əvvəlcə təhdidlərin başvermə
ehtimalının şkalası və ziyanın həcmi üçün şkala müəyyən edilməlidir.

Riskin kәmiyyәt qiymәtlәndirilmәsi

1979-cu ildə NIST institutu FIPS 65 (Guideline for Automatic Data Processing Risk Analysis)
sənədini nəşr etdi, burada risk analizi üçün kəmiyyət qiymətləndirməsi metodu təsvir edilirdi. Bu
sənəd standart deyil, tövsiyə xarakteri daşıyırdı. Buna görə də risk analizi yerinə yetirildikdə FIPS
65-in istifadəsi məcburi deyildi. FIPS 65 əsasən verilənlərin böyük emal mərkəzlərində risk
analizini aparmaq üçün nəzərdə tutulmuşdu. Aşağıdakı kəmiyyətləri qiymətləndirməklə tətbiqi
proqramların hər bir verilənlər faylı üçün risk qiymətini – illik zərər gözləntisini (ALE) hesablamaq
olar:
• AV (Asset Value) – aktivin dәyәri;
• EF (Exposure Factor) – tәhdidin aktivә təsir dәrәcәsi; Məsələn, yanğın kompüterin dəyərinin
100 %-ni, binanın dəyərinin isə 40 %-ni məhv edə bilər.
• ARO (Annual Rate of Occurrence) – tәhdidin bir il ərzində (və ya müəyyәn zaman
periodunda) reallaşması ehtimalıdır. Məsələn, ARO = 2 olması təhdidin ildə iki dəfə,
ARO = 0.25 olması isə təhdidin 4 ildə bir dəfə baş verəcəyinin gözləndiyini bildirir.
Bu dәyişәnlәrin әsasında gözlәnilәn ziyan (risk sәviyyәsi) qiymәtlәndirilir:
• SLE (Single Loss Exposure) – tәhdidin bir dəfə reallaşmasından gözlәnilәn ziyan: SLE =
AV×EF;
• ALE (Annual Loss Exposure) – tәhdidin bir il ərzində (və ya müəyyәn zaman periodunda)
reallaşmasından gözlәnilәn ziyan: ALE = SLE x ARO.
– və ya riskin hesablanması düsturu: ALE = (AV x EF) x ARO.
Misal. Fərz edək ki, təşkilat qiyməti 2500 dollar olan yeni e-poçt serveri quraşdırıb və bu serverdə
hələlik antivirus quraşdırılmayıb. Tədqiqatlar göstərir ki, yeni e-poçt serverinin yoluxması ehtimalı
95%-dir. Belə yoluxma baş verdikdə verilənlərin dörddə üçü itirilə bilər. Antivirus olmadıqda
viruslar şəbəkənin işini dörd saatlığa dayandıra bilər və işi bərpa etmək üçün dörd nəfərdən ibarət
dəstək komandası işləməlidir. Antivirus proqram təminatı üçün lisenziyanın qiyməti 175 dollardır.
ALE-ni hesablamaq tələb olunur.
Misalda verilənlərə görə riskin hesablanması aşağıdakı kimi olacaq.
AV = $2500, EF = 0.75, ARO = 0.95.
SLE = $2500x0.75 = $1875.
ALE = $1,875x.95 = $1781.

Riskin keyfiyyət qiymətləndirilməsi

Hazırda informasiya təhlükəsizliyi risklərinin qiymətləndirilməsi üçün bir çox cədvəl metodları
məlumdur. İnformasiya təhlükəsizliyi sahəsində standartlar və onlara metodiki tövsiyələrdə bir sıra
cədvəl (matris) metodları verilmişdir. Cədvəldə neqativ təsir faktorlarının və təhdidin gerçəkləşməsi
ehtimallarının əlaqəsini əyani göstərmək olur. NIST 800-30-da verilmiş riskin hesablanması
metodikasına qısaca baxaq.
Təhdidin ehtimalı. Ən geniş yayılmış şkala bir neçə dərəcəyə bölünmüş keyfiyyət şkalasıdır,
məsələn: aşağı, orta və yüksək səviyyə. Qiymətləndirmə ekspert tərəfindən bir sıra obyektiv
faktorlar nəzərə alınmaqla aparılır: təhdid mənbəyinin motivasiyası və potensialı, boşluğun təbiəti,
cari əks-tədbirlərin varlığı və effektivliyi.
Potensial boşluğun verilmiş təhdid mənbəyi tərəfindən istifadə edilməsi ehtimalı aşağı, orta və
yüksək kimi təsvir edilə bilər. Cədvəl 3-4 bu üç ehtimal səviyyəsini təsvir edir.

Ehtimalın təsviri
Yüksək (1) Təhdid mənbəyinin motivasiyası yüksəkdir və potensialı əhəmiyyətlidir, boşluğun
istifadəsinin qarşısını alan mexanizmləır isə effektiv deyil.

52
 Orta (0.5) Təhdid mənbəyinin motivasiyası və potensialı vardır, lakin tətbiq edilən
mexanizmlər boşluğun uğurlu istifadəsinə mane ola bilər.
Aşağı (0.1) Təhdid mənbəyinin motivasiyası və potensialı yoxdur və ya tətbiq edilən
mexanizmlər boşluğun istifadəsinin qarşısını ala bilər, yaxud əhəmiyyətli dərəcədə
mane ola bilər.

İnformasiya təhlükəsizliyinin pozulmasının mümkün nəticələrinin analizi. İnformasiya

təhlükəsizliyinin pozulmasının qiyməti müəyyən edilir. İnformasiya təhlükəsizliyinin pozulmasının
nəticələri müxtəlif cür ola bilər; məsələn, birbaşa maliyyə zərəri, nüfuzun itirilməsi, rəsmi
strukturlar tərəfindən xoşagəlməz münasibət və s.
Bu addımda informasiya təhlükəsizliyinin pozulmasının nəticələrini qiymətləndirmək üçün
kriteriyalar sistemi seçilir və nəticələrin ağırlığını qiymətləndirmək üçün inteqrativ şkala qəbul
edilir.

Təsirin təsviri
Yüksək Boşluğun istifadəsi (1) əsas maddi aktivlərin və ya resursların yüksək xərcli itkiləri ilə
nəticələnə bilər; və ya (2) təşkilatın missiya, nüfuz və maraqlarına əhəmiyyətli
dərəcədə zərər vura bilər; və ya (3) insan ölümü və ya ciddi zədələrlə nəticələnə bilər.
Orta Boşluğun istifadəsi (1) maddi aktivlərin və ya resursların xərcli itkiləri ilə nəticələnə
bilər; və ya (2) təşkilatın missiya, nüfuz və maraqlarına zərər vura bilər; və ya (3)
insanların zədələnməsi ilə nəticələnə bilər..
Aşağı Boşluğun istifadəsi (1) müəyyən maddi aktivin və ya resursun itkisi ilə nəticələnə
bilər; və ya (2) təşkilatın missiya, nüfuz və maraqlarına hissedilən təsir edə bilər.

Riskin hesablanması matrisinə nümunə (NIST 800-30: Cədvəl 3-6)

Təhdidin Təhdidin təsiri
ehtimalı
Aşağı (10) Orta (50) Yüksək (100)
Yüksək (1) Aşağı Orta Yüksək
10 X 1.0 = 50 X 1.0 = 50 100 X 1.0 = 100
10
Orta (0.5) Aşağı Orta Orta
10 X 0.5 = 5 50 X 0.5 = 25 100 X 0.5 = 50
Aşağı (0.1) Aşağı Aşağı Aşağı
10 X 0.1 = 1 50 X 0.1 = 5 100 X 0.1 = 10

Risk Şkalası: Yüksək ( >50-100); Orta ( >10-50); Aşağı (1-10)

OCTAVE metodu
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evolution) – təşkilatda
informasiya təhlükəsizliyi risklərinin qiymətləndirilməsi metodikasını Karnegi-Mellon
Universitetinin Proqram Mühəndisliyi İnstitutu (Software Engineering Institute, SEI) yaratmışdır.
Metodikanın tam təsviri www.cert.org/octave saytında var. Ona bir sıra elmi və elmi-texniki
məqalələr də həsr edilib.
Bu metodikanın xüsusiyyəti ondan ibarətdir ki, bütün analiz prosesi kənar məsləhətçilər cəlb
edilmədən, təşkilat əməkdaşlarının qüvvəsi ilə aparılır. Bunun üçün həm texniki mütəxəssislər, həm
də müxtəlif səviyyə menecerləri cəlb edilməklə qarışıq qrup yaradılır, bu təhlükəsizlik sahəsində
mümkün insidentlərin biznes üçün nəticələrini hərtərəfli qiymətləndirməyə imkan verir.
OCTAVE risk analizinin üç fazasını təklif edir:
1. Aktivlə əlaqəli təhdidlərin profilinin işlənməsi;

53
 2. İnfrastruktur boşluqlarının identifikasiyası;
3. Təhlükəsizlik strategiyalarının və planlarının işlənməsi.
Təhdid profilində aktiv, aktivə girişin növü, təhdidin mənbəyi, pozuntunun növü və ya motivi,
nəticə və ümumi istifadə kataloqlarında təhdidin təsvirinə istinad göstərilir.
Təhdidin nəticəsi informasiya resursunun üstünün açılması (disclosure), dəyişdirilməsi
(modification), itkisi və ya məhvi (loss/destruction), əlaqənin kəsilməsi, xidmətdən imtina
(interruption) ola bilər.
OCTAVE metodikasına görə ikinci faza – infrastruktur boşluqlarının identifikasiyasıdır. Bu
faza gedişində aktivin mövcudluğunu dəstəkləyən infrastruktur və aktivə giriş əldə etməyə imkan
verən əhatə müəyyən edilir (məsələn, lokal şəbəkənin müvafiq seqmenti), (məsələn, əgər bu kadrlar
şöbəsinin verilənlər bazasıdırsa, onunla işləmək üçün server, işçi stansiyalar lazımdır). Aşağıdakı
sinif komponentlərinə baxılır: serverlər, şəbəkə avadanlığı, informasiya mühafizəsi vasitələri, fərdi
kompüterlər, mobil kompüterlər, naqilsiz qurğular, saxlama sistemləri, məsafədən işləyən
əməkdaşların kompüterləri və.s.
Analiz aparan qrup şəbəkənin hər bir seqmentində hansı komponentlərdə boşluqların
yoxlanılmasını müəyyən edir. Boşluqlar əməliyyat sistemləri, şəbəkələr üçün təhlükəsizlik
skanerləri ilə, xüsusi skanerlərlə (konkret veb-serverlər, verilənlər bazaları və s.) yoxlanılır.

CRAMM metodu
CRAMM (Critical Risk Analysis and Management Methodolgy) metodu Böyük Britaniya
Təhlükəsizlik Xidməti (UK Security Service) tərəfindən Britaniya hökumətinin tapşırığı ilə
yaradılmış və dövlət standartı kimi qəbul edilmişdi. 1985-ci ildən başlayaraq hökumət və
kommersiya təşkilatları tərəfindən istifadə edilir. Hazırda CRAMM metodunu realizə edən eyniadlı
proqram məhsulu da var və bu metod bütün dünyada populyarlıq qazanmışdır.
CRAMM proqram təminatının müxtəlif təşkilat növləri üçün nəzərdə tutulmuş versiyaları bir-
birindən öz biliklər bazaları (profilləri, ing. profiles) ilə fərqlənir. Kommersiya təşkilatları üçün
kommersiya profili (ing. commercial profile), dövlət təşkilatları üçün dövlət profili (ing. goverment
profile) var.
CRAMM metodunda risklərin qiymətləndirilməsi üç mərhələdə yerinə yetirilir. Birinci
mərhələdə informasiya sistemlərinin resursları identifikasiya edilir və qiymətləndirilir. İkinci
mərhələdə təhdidlər və boşluqların mövcud səviyyələri qiymətləndirilir və risk səviyyələri
hesablanır. Üçüncü mərhələdə adekvat əks-tədbirlər seçilir.

NIST 800-30 standartı

Bu standart informasiya risklərinin idarə edilməsi məsələlərinə ətraflı baxır. Hesab edilir ki,
təşkilatın informasiya təhlükəsizliyi risklərinin idarə edilməsi sistemi informasiya
texnologiyalarının istifadəsi ilə əlaqədar mümkün neqativ nəticələri minimallaşdırmalı və
müəssisənin əsas biznes-məqsədlərinin əldə edilməsini təmin etməlidir.
NIST 800-30 standartına görə informasiya təhlükəsizliyi risklərinin idarə edilməsinə aşağıdakı
mərhələlər daxil olmalıdır:
1. İnformasiya sisteminin təsviri;
2. Təhdidlərin identifikasiyası;
3. Boşluqların identifikasiyası;
4. İnformasiya sisteminin idarə edilməsi sisteminin analizi;
5. Təhdidlərin parametrlərinin qiymətləndirilməsi;
6. İnformasiya təhlükəsizliyinin pozulmasının mümkün nəticələrinin analizi;
7. Risklərin müəyyən edilməsi;
8. Risklərin idarə edilməsi üzrə tövsiyələrin işlənməsi;
9. Hesabat sənədlərinin işlənməsi

Riskin emalı

54
Risk qiymətləndirildikdən sonra onun emalı barədə – daha dəqiq deyilsə, riskin minimallaşdırılması
üzrə tədbirlərin və vasitələrin seçilməsi və reallaşdırılması barədə qərar qəbul edilməlidir.
Qərar qəbul edilərkən, riskin qiymətləndirilmiş səviyyəsi ilə yanaşı, təhlükəsizlik mexanizmlərinin
tətbiqinə və istismarına çəkilən xərclər, rəhbərliyin siyasəti, reallaşdırılmasının sadəliyi, ekspertlərin
rəyləri və s. nəzərə alına bilər. Riskin emalının dörd üsulundan birinin seçilməsi təklif edilir:
• Riskin azaldılması (ing. risk mitigation)
• Riskin transferi (bölüşdürülməsi) (ing. risk transfer)
• Riskin qəbulu (ing. risk acceptance)
• Riskdən imtina (ing. risk avoidance)
Riskin azaldılması. Risk yolverilməz hesab edilir və onun azaldılması üçün müvafiq təhlükəsizlik
tədbirləri və vasitələri seçilir və reallaşdırılır.
Risklərin bir çoxunu olduqca sadə və ucuz əks-tədbirlərin hesabına xeyli azaltmaq mümkündür.
Məsələn, parolların savadlı idarə edilməsi icazəsiz giriş riskini azaldır.
Risklərin müəyyən siniflərindən yayınmaq olar. Məsələn, xarici veb-serveri təşkilatın lokal
şəbəkəsinin hüdudlarından kənara çıxarmaq lokal şəbəkəyə veb-kliyentlər tərəfindən avtorizə
olunmamış giriş risklərindən qaçmağa imkan verir.
Risklərin bəzilərini nəzərə alınmayacaq kiçik qiymətə qədər azaltmaq olmur. Praktikada tədbirlərin
standart çoxluğu qəbul edildikdən sonra bəzi risklər azalır, lakin yenə də əhəmiyyətli səviyyədə
qalırlar. Buna görə də qalıq riskin kəmiyyətini bilmək zəruridir. Bu mərhələnin yerinə yetirilməsi
nəticəsində nəzərə alınan risklər üçün risklərin idarə edilməsi strategiyası təklif olunmalıdır.
Riskin transferi - Əgər riskdən yayınmaq və ya onu effektiv azaltmaq mümkün olmursa, onda
riskin xarakterini dəyişmək  müəyyən sığortalama tədbirləri görmək olar:
– avadanlığın yanğından sığortalanması;
– hesablama texnikası vasitələri təchizatçıları ilə müşaiyətetmə və ştatdankənar vəziyyət
halında ziyanın kompensasiyası haqqında sazişlərin imzalanması.
Riskin qəbul edilməsi. Risk bəzi hallarda şüurlu olaraq (düşünülərək) məqbul hesab edilir —
təşkilat mümkün nəticələrlə barışmalı olur. Adətən bu o deməkdir ki, əks-tədbirlərin xərcləri
təhdidin reallaşması zamanı olan maliyyə itkilərindən çoxdur və ya təşkilat müvafiq təlükəsizlik
tədbirləri və vasitələri tapa bilmir.
Riskdən imtina. Riskin səbəbi olan biznes-proseslərdən imtina edilməsi. Məsələn, İnternet ilə
elektron ödənişlərdən imtina edilməsi.

55
Mühazirə 11. İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi

İnsident anlayışı
“İnformasiya təhlükəsizliyi insidenti” anlayışının müxtəlif təriflərinə rast gəlmək mümkündür.
Geniş mənada informasiya təhlükəsizliyi insidenti informasiya sistemində baş verən istənilən
qanunsuz, icazə verilməyən (o cümlədən, informasiya təhlükəsizliyi siyasəti ilə) və ya qəbul
edilməz hərəkətlərə deyilir.
İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi üzrə ISO/IEC TR 18044 standartında
insident anlayışı bir qədər dar mənada işlədilir. Bu standartda informasiya təhlükəsizliyi hadisəsi
anlayışı daxil edilir və onun vasitəsi ilə informasiya təhlükəsizliyi insidenti anlayışına tərif verilir:
İnformasiya təhlükəsizliyi hadisəsi  sistem, xidmət və ya şəbəkənin informasiya təhlükəsizliyi
siyasətinin mümkün pozuntularını və ya mühafizə tədbirlərinin sıradan çıxmasını göstərən müəyyən
vəziyyətinin məlum təzahürü, yaxud da təhlükəsizliklə bağlı ola biləcək, əvvəllər məlum olmayan
vəziyyətinin meydana çıxmasıdır.
İnformasiya təhlükəsizliyi insidenti  bir və ya bir neçə arzuolunmaz və ya gözlənilməz
informasiya təhlükəsizliyi hadisəsinin nəticəsi olan və biznes-əməliyyatları nüfuzdan salma və
informasiya təhlükəsizliyinə təhlükə yaratma ehtimalı böyük olan hadisədir.
Qeyd. Hazırda ISO/IEC TR 18044 standartı aşağıdakı standartlarla əvəz edilmişdir
 ISO/IEC 27035-1:2016 İnsident menecmentinin prinsipləri
 ISO/IEC 27035-2:2016 İnsident cavablandırılması üçün plan və hazırlıq qaydaları
 ISO/IEC 27035-3 İKT insident cavablandırma əməliyyatları üçün qaydalar (ilkin versiya)
İnformasiya təhlükəsizliyi insidentlərinin aşağıdakı kateqoriyalarını və misal olaraq aşağıdakı
hadisələri göstərmək olar.

Qəsdən törədilmiş insidentlər Təsadüfi insidentlər Səhvlər

xidmətdən imtina; avadanlıqda nasazlıq;
oğurluq, xakerlik; proqram təminatında
dələduzluq; nasazlıq;
resurslardan sui-istifadə; kommunikasiyada
sabotaj/fiziki ziyan vurma; nasazlıq;
ziyankar kod və s. yanğın;
daşqın və s.
əməliyyatlarda səhvlər;
aparat təminatında səhvlər;
proqram təminatında
səhvlər;
istifadəçilərin səhvləri və
s.

Daha bir neçə vacib terminə də baxaq. İnsidentlərin emalı (ing. incident handling), insidentlərin
cavablandırılması (ing. incident response), insidentlərin idarə edilməsi (ing. incident management)
kimi terminlər tez-tez işlədilir.
İnsidentlərin emalına insidentlərin aşkarlanması (hadisələr, insidentlər, həyəcan siqnalları
haqqında məlumatların alınması və analizi), sistemləşdirmə (insidentlərə prioritetlərin verilməsi),
analiz (nə baş verib, ziyan nə qədərdir, hansı təhdidə səbəb ola bilər, dəf etmək və bərpa üçün hansı
addımlar lazımdır) və insidentlərin cavablandırılması (planlaşdırma, koordinasiya və həyata
keçirilmə, koordinasiya və informasiyanın yayılması, əks-əlaqə və dərs çıxarma) daxildir.
İnsidentlərin idarə edilməsi təkcə insidentlərin emalı və insidentlərin cavablandırılmasını deyil,
onların qarşısının alınmasına yönəlmiş fəaliyyəti də bildirir. Bu fəaliyyətə boşluqların idarə
edilməsi, artefaktların idarə edilməsi, istifadəçilərin təlimi və məlumatlılıq səviyyəsinin artırılması
daxildir.

CERT-komandaları
İnformasiya təhlükəsizliyi insidentlərinə qarşı mübarizə vasitələrindən biri də Kompüter
İnsidentlərinə Qarşı Mübarizə Komandaları (Computer Emergency Response Team, CERT) kimi
qrupların təşkilidir. Hazırda müxtəlif ölkələrdə çox sayda CERT komandası fəaliyyət göstərir.
CERT termini ABŞ-da rəsmi qeydiyyatdan keçirilmişdir və müəlliflik hüququ Karnegi-Mellon
Universitetinə məxsusdur. Avropada daha çox CSIRT termini işlədilir (Computer Security and
56
Incident Response Team, Kompüter təhlükəsizliyi insidentlərini cavablandırma qrupu). Hazırda
Avropada 100-dən artıq CSIRT mövcuddur, onların siyahısını Trusted Introducer (TI) qurumu
tərtib edir.
Dünyada CERT-komandalarının əlaqələndiricisi kimi FIRST forumu çıxış edir (Forum of
Incident Response and Security Teams).
CSIRT-lər xidmət göstərdikləri sektorlara görə dövlət, hərbi, milli, akademik, kritik
infrastruktur, kommersiya, qurumdaxili (ing. self-service), kiçik və orta biznes, ticarət olmaqla
təsnif olunur.
Milli CSIRT – Milli səviyyədə işləyən CSIRT informasiya təhlükəsizliyi üzrə əsas
əlaqələndirici kimi çıxış edir. Milli CSIRT bir və ya bir neçə ölkəyə təsir edən böyük miqyaslı və/və
ya kritik informasiya təhlükəsizliyi insidentlərinin cavablandırılması ilə məşğul olur. Kritik
informasiya təhlükəsizliyi insidentləri iqtisadiyyata, kritik infrastruktura, dövlətin fəaliyyətinə və
milli təhlükəsizliyə təsir göstərə bilərlər. Təbiətlərinə görə, bu insidentlər çox zaman bir deyil, bir
neçə təşkilata təsir edir.

CSIRT xidmətləri
CSIRT-lərin göstərdikləri xidmətləri əsasən üç qrupda birləşdirmək olar
1) İnsidenti cavablandırma xidmətləri – CSIRT-in əsas xidmətidir. Bu xidmətlərə aşağıdakılar
daxildir:
 Xəbərdarlıq xidməti  təhlükəsizlik boşluğu, müdaxilə, kompüter virusu və s. kimi
problemlərin həlli üçün məlumat verilməsini və cavablandırma metodlarının təqdim
edilməsini nəzərdə tutur.
 İnsidentlərin emalı xidməti – insident bildirişlərinin alınmasını, nizamlanmasını və
cavablandırılmasını, insidentlərin və hadisələrin analizini və prioritetinin müəyyən
edilməsini əhatə edir.
 Boşluqların analizi və emalı xidməti – aparat vasitələrinin və proqram təminatının boşluğu
haqqında məlumatların alınmasını, boşluğun təsirlərinin analizini, boşluğun aşkarlanması və
aradan qaldırılması üçün cavablandırma strategiyasının işlənməsini nəzərdə tutur.
 Artifakt analizi və emalı xidməti  kompüter virusları, troya atları, soxulcanlar, skriptlər və
istifadə edilmiş digər alətlərlə əlaqədar artefaktların analizi, cavablandırılması,
koordinasiyası və emalından ibarətdir.
2) Profilaktika xidmətləri – təhlükəsizliklə bağlı xəbərlər, texnologiyaların izlənməsi,
təhlükəsizliyin qiymətləndirilməsi və auditi, təhlükəsizlik vasitələrinin, tətbiqi proqramların,
infrastrukturun və servislərin sazlanması, təhlükəsizlik alətlərinin yaradılması, müdaxilələrin
aşkarlanması, təhlükəsizliklə əlaqəli məlumatların yayılması
3) Təhlükəsizliyin keyfiyyətinin idarə edilməsi xidmətləri – risklərin analizi, biznes-proseslərin
fasiləsizliyinin və qəzalardan sonra bərpaetmənin planlaşdırılması, təhlükəsizlik konsaltinqi,
maarifləndirmə tədbirləri, təhsil və təlimlər, məhsulların qiymətləndirilməsi və ya
sertifikatlaşdırılması.

İnformasiya təhlükəsizliyi insidentlərinin emalı prosesləri

İnformasiya təhlükəsizliyi insidenti çox vaxt kompleks və çoxtərəfli problemin təzahürü olur.
Bu insidentlərin cavablandırılmasına düzgün yanaşma – strukturlaşdırılmış proses yanaşmasından
istifadə etməkdir. İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi üzrə normativ sənədlərdə
və metodikalarda belə yanaşmaların müxtəlif nümunələri təklif edilir.
İnsidentlərin idarə edilməsi üzrə ilk işlərdən biri 1990-cı ildə meydana çıxmışdır. Bundan sonra
bu və ya digər dərəcədə insidentlərin idarə edilməsinə proses yanaşmasını təsvir edən çox sayda
işlər ortaya çıxdı, bu işlərdə proseslərin sayı 5-11 arasında dəyişir. Məsələn, insidentlərin idarə
edilməsi üçün Karneqi Mellon Universitetinin və SANS İnstitutunun təklif etdikləri proses
modellərinə daxil olan proseslər Cədvəl 11.1-də sadalanır:

57
 Cədvəl 11.1. İnsidentləri cavablandırma prosesləri

Karneqi-Mellon Universitetinin SANS İnstitutunun təklif etdiyi

təklif etdiyi model model
1. Hazırlıq 1. Hazırlıq
2. İnfrastrukturun mühafizəsi 2. İdentifikasiya
3. İnsidentlərin aşkarlanması 3. Lokallaşdırma
4. İnsidentlərin 4. Səbəblərin aradan
sistemləşdirilməsi qaldırılması
5. Cavablandırma 5. Bərpaetmə
6. Dərs çıxarma

CSIRT-in vəzifələrindən və strukturundan asılı olaraq bu proseslərin hamısı praktikada realizə

edilmir. Ümumi xüsusiyyət kimi qeyd etmək olar ki, yanaşmaların heç də hamısı hazırlıqdan
başlamır, heç də hamısı dərs çıxarmaqla qurtarmır, hesabatların hazırlanması insidentlərin idarə
edilməsi həyat tsiklinin müxtəlif yerlərində həyata keçirilir.

CSIRT praktikasında ən çox istifadə olunan modellərdən birini ətraflı araşdıraq. Bu model adı ilə
məhşurdur və insidentlərin emalı 4 əsas mərhələdə gerçəkləşir:
1. İnsidentin aşkarlanması (və qeydiyyatı): İnsident haqqında məlumat verilir və ya insident
hər hansı bir araşdırma vasitəsilə və ya alətlə aşkarlanır.
2. İnsidentin sinifləndirilməsi (ing. triage): İnsident qiymətləndirilir, sinifləndirilir, prioriteti
müəyyən olunur və emal üçün bilet (ticketing) açılır.
3. İnsidentin analizi: İnsident araşdırılır, baş verənlər müəyyənləşdirilir, insidentin təsir sahəsi
analiz olunur.
4. İnsidentin bağlanması (ing. insident closure): İnsident emal edilir, problem həll olunur,
nəticə barədə məlumat verilir.
Bu mərhələlərin ətraflı analizi aşağıdakı kimidir.
İnsidentin aşkarlanması və qeydiyyatı
İnsident haqqında məlumat iki yolla əldə edilir. İnsident hər hansı şəxs tərəfindən xüsusi
araşdırma və ya alətlər vasitəsilə əldə edilir və ya insident haqqında kənardan məlumat daxil olur.
Bu iki mərhələnin sxematik təsviri şəkil 11.1-də verilir.
İnsident haqda
məlumat

Yox
İnsident İnsident qeydə
realdır? alınmır
Yox İnsident qeydə
Hə alınmır

İnsident CERT-in Məlumat verilən

Yox
xidmət sahəsinə insident başqa
aiddir? CERT-in xidmət
sahəsinə aiddir?

Hə
Hə İnsident digər CERT-ə
yönləndirilir
Bu insident
barədə daha İnsident digəri ilə
öncə məlumat Hə əlaqələndirilir
verilib?

Yox

İnsidentin qeydiyyatı

Növbəti mərhələlər

Şəkil 11. 1.
58
 İlk növbədə daxil olan məlumatın real olub-olmaması yoxlanılır. Daha sonra məlumat verilən
insidentin CSIRT-in xidmət sahəsinə aid olub-olmadığı müəyyən edilir. Əgər insident CSIRT-in
xidmət sahəsinə aid deyilsə, tanıdığı digər CSIRT-in xidmət sahəsidirsə, insident barədə onlar
məlumatlandırılır. Burda ən vacib məsələlərdən biri insident barədə digər qurum və ya CSIRT-i
məlumatlandırarkən konfidensiallığa riayət olunması məsələsidir. Bu mövzu növbəti mərhələlərdə
ətraflı şərh olunur. Əgər insident CSIRT-in xidmət sahəsinə aiddirsə, o zaman bu insident barədə
daha öncə məlumat verilib-verilmədiyi yoxlanılır. Əgər insident barədə təkrar məlumat daxil olursa,
həmin insident daha öncə daxil olmuş insident ilə əlaqələndirilir. Əgər insident yenidirsə, o
qeydiyyata alınır və növbəti mərhələlərə yönləndirilir. Qeydiyyat mərhələsi burada ən əsas
məsələlərdən biridir. Qeydiyyat üçün xüsusi insident qeydiyyatı proqramlarından istifadə edilə bilər
və ya CSIRT öz sistemini yarada bilər. Əsas məsələ sistemin asan başa düşülən olması, sistemdə bir
çox seçimlərə görə süzgəcləmə imkanının olmasıdır. Süzgəcləmə insidentlərin araşdırılması,
analizi, bir-biri ilə əlaqəsinin müəyyən edilməsi baxımından ən çox istifadə olunan alətlərdən
biridir. İnsidentlərin qeydiyyat proqramı veb texnologiyalara əsaslanırsa, onun təhlükəsizliyi
(informasiya sızması və s.), kənar müdaxilələrdən və spamlardan qorunması diqqətə alınması vacib
olan əsas məsələlərdən biridir.
İnsidentin sinifləndirilməsi
“Triage” sözü fransız dilindən götürülmə bir söz olub, tibbi termindir. Mənası məhdud
imkanlarla xəstələrə ilkin diaqnoz qoymaq və xəstələri xəstəliyin ağırlığına görə qruplaşdıraraq
növbəyə qoymaqdır. Məhz insidentə yanaşma da bu tərzdə aparılmalıdır. Bütün bu mərhələlərə bir-
bir nəzər yetirək.
‒ İlk öncə əldə edilmiş insidentin doğruluğu və CSIRT-in xidmət sahəsinə aid olması müəyyən
edilir.
‒ Daha sonra insindentin növü müəyyənləşdirilir və insident sinifləndirilir. Adətən, ilkin
sinifləndirmə ya insident haqqında məlumat verən tərəfindən, ya da insidenti qəbul edən
tərəfindən aparılır.
‒ Növbəti addım qeydiyyata alınmış insidentin vaciblik dərəcəsini müəyyənləşdirməkdir. Vaciblik
dərəcəsinin müəyyənləşdirilməsində bir çox vasitələrdən istifadə edilə bilər. Bunlardan biri də
kart sistemidir. Kart sistemi iki formada qurula bilər. Bunlardan biri insidentin ciddiliyinə,
vacibliyinə görə olan sinifləndirmədir (cədvəl 1).

Cədvəl 1. İnsidentin ciddiliyinə görə insident sinifləri

Digər kart sistemi isə xidmət sahəsinin və ya istifadəçilərin vaciblik dərəcəsinə görə kart
sinifləndirməsi sistemidir (cədvəl 2).

Cədvəl 2. İstifadəçilərin vacibliyinə görə insident sinifləri

‒ Nəhayət, insidentin sinifləndirilməsi prosesində sonuncu mərhələ insident tapşırığının

hazırlanmasıdır. Bunun üçün əldə edilən bütün informasiya təsnif edilərək qeydiyyata alınır və
insident tapşırığı olaraq insident emalı üçün növbəti mərhələyə ötürülür.
İnsidentin analizi

59
 İlkin sinifləndirmədən sonra növbəti mərhələ analiz və qərar mərhələsidir. Bu mərhələ daha
uzun çəkən bir araşdırma prosesindən keçir ki, bəzən nəticə əldə etmək üçün bu prosesi bir neçə
dəfə təkrar keçmək lazım gəlir. Proses 5 mərhələdən ibarətdir: məlumatların təhlili, qərarın tədqiqi,
müəyyən fəaliyyət planının təklifi, fəaliyyət planının həyata keçirilməsi, insidentin aradan
qaldırılması və zərərin bərpası.
 Məlumatların təhlili: Məlumatın təhlili zamanı ilkin görüləcək iş, əlaqədar tərəfləri
məlumatlandırmaq və onlardan lazımı məlumatları əldə etməkdir. Çünki insident haqda məlumat
verənlər həmişə insidentdən zərərçəkmiş tərəflər olmur. Bir çox hallarda insidentdən zərəçəkmiş
tərəfin insidentin baş verməsindən xəbəri olmur, insident haqqında məlumat 3-cü tərəf vasitəsi ilə
alınır. Tərəflərin məlumatlandırılması zamanı onlara insident barədə ilkin məsləhətlər və insidentin
aradan qaldırılması üçün görüləcək işlər barədə ilkin məlumat verilə bilər. İnsident təhlili üçün əsas
məsələlərdən biri tərəflərdən mümkün qədər maksimum informasiya əldə etməkdir. Bu informasiya
insidentin baş verməsinin detallarının açıqlanması, əlaqə vasitələri, loqlar, insidentin dəqiq
başvermə zamanı, əməliyyat sistemləri, şəbəkə sazlamaları, təhlükəsizlik vasitələrindən (məsələn,
antivirus, şəbəkələrarası ekran) istifadə və s. ola bilər.
 Qərarın tədqiqi: Qərarın tədqiqi zamanı əsas faktorlardan biri bu tipli insidentlə əvvəlcə
qarşılaşmaqdır. Əgər bu tipli insident daha öncə baş veribsə, bu insident haqqında qeydiyyat
bazasında əldə edilmiş praktik bilgilərdən qərarın tədqiqi prosesində istifadə etmək mümkündür.
Əgər bu sahədə praktik bilgilər yoxdursa, baş vermiş insidentlərin araşdırılmasına və digər CSIRT-
lərin praktik bilgilərindən faydalanmağa ehtiyac yaranacaq.
 Müəyyən fəaliyyət planının təklifi: Bu mərhələdə qəbul edilmiş hər bir konkret və praktiki
tapşırıq insidentdə iştirak edən bütün tərəflərə çatdırılmalıdır. Hədəf tərəf texniki əməkdaş olmaya
da bilər və təqdim edilmiş təkliflərdən heç nə anlamaya bilər. Buna görə də təkliflər və atılacaq
addımlar yuxarıda daha öncə göstərilən, məlumatlandırılması lazım olan tərəflərə onların
anlayacağı formada və aidiyyatı məlumatlar olmaq üzrə çatdırılmalıdır.
 Fəaliyyət planının həyata keçirilməsi: CSIRT-in qərarının və təkliflərinin nə olmasından
asılı olmayaraq bir məsələni bilməlidir ki, CSIRT-in başqalarının nə edəcəyinə qərar vermək üçün
səlahiyyətləri məhduddur. Optimistik yanaşma odur ki, bütün tərəflər CSIRT-in təklifi ilə
razılaşacaq və CSIRT-in dediklərini yerinə yetirəcək. Bütün bunlarla yanaşı bəzi ilkin yoxlama
vasitələri var ki, CSIRT bu vasitələrlə fəaliyyət planının həyata keçirilməsinə nəzarət edə bilər.
Fəaliyyət planının həyata keçirilməsinə nəzarət aşağıdakı sualları cavablandırmaqla müəyyən edilə
bilər: Hücumun hədəfləndiyi xidmət aktiv və ya deaktivdir? Hücumun hədəfləndiyi xidmətdə
mövcud boşluqlar aradan qaldırılıb ya yox? Süzgəclənməsi nəzərdə tutulan trafik hələ də şəbəkədə
özünü göstərir ya yox?
İnsidentin aradan qaldırılması və zərərin bərpası: Bütün görülən işlərin bir əsas məqsədi var:
insidentin aradan qaldırılması və zərərin bərpasıdır. Yəni hər hansı bir xidmətə və ya sistemə hücüm
olmuşdursa, insidentin aradan qaldırılması sistemin əvvəlki işlək vəziyyətinə qaytarılması və
faəliyyətinin fasiləsizliyinin təmin edilməsidir.
İnsidentin bağlanması
Nəticələri və səbəbləri yetərli şəkildə aradan qaldırılmış informasiya təhlükəsizliyi
insidentlərini bağlamaq olar. Əgər insident bağlanırsa, onda bu barədə bütün maraqlı tərəfləri
məlumatlandırmaq zəruridir. İnsidentin bağlanması prosesində tətbiq edilmiş həllərin effektivliyi,
insident haqqında qeydiyyatın dəqiqliyi və dolğunluğu da yoxlanır.
İnsidentin bağlanması mərhələsi aşağıdakılardan ibarətdir:
 Yekun məlumatlandırma: İnsidentin bağlanması zamanı insident haqqında qısa məlumat,
görülən tədbirlərin nəticəsi, aşkarlanan əsas boşluqlar və məsləhətlər yazılaraq tərəflərə ötürülməli
və insidentin bağlanması barədə tərəflər məlumatlandırılmalıdır.
 Yekun sinifləndirmə: İnsidenti bağlayarkən, insidentə verilmiş ilkin sinif kateqoriyasının
düzgünlüyünü yoxlamaq lazımdır. Əgər insidentin kateqoriyası düzgün təyin edilməyibsə, onda
qeydiyyat yazısında düzgün kateqoriyanı göstərmək lazımdır. Əgər insident haqqında yazıda

60
informasiya çatışmırsa, onda zəruri informasiya əlavə edərək insident haqqında yazının
dolğunluğunu təmin etmək lazımdır..
 Arxivləşdirmə: İnsident bağlandıqdan sonra onu arxivləşdirmək lazım gəlir. Arxivləşdirmə
əməliyyatı elə aparılmalıdır ki, gələcəkdə oxşar insidentlər baş verdikdə həmin insident numünə
kimi arxivdə daha rahat axtarılan və məlumatlar daha əlçatan olsun. Bunun üçün arxivləşdirmədə
insidentin klassifikasiyasına, qeydiyyat tarixinə və parametrlərə görə süzülməsini təmin etmək
lazımdır. Təbii ki, arxivləşdirmə zamanı nəzərə alınacaq digər məsələ backup və şifrləmə
əməliyyatıdır. Yadda saxlamaq lazımdır ki, insidentin emalı zamanı istifadə olunan məlumatlar
konfidensial məlumtlardır. İnsidentin klassifikasiyaya uyğun arxivləşdirilməsi aşağıdakı CSIRT-
taksonomiyaya uyğun aparıla bilər.
İnsidentin aradan qaldırılması üzrə həll tətbiq edildikdən sonra tətbiq edilmiş həlli yoxlamaq
zəruridir. Adətən, belə yoxlama həlli tətbiq edən qrup tərəfindən yerinə yetirilir. Zəruri olduqda,
həllin yoxlanması üçün istifadəçi ilə də əlaqə saxlanır. İnsidentin bağlanması prosesinin sonuncu
mərhələsində insidentin təkrar baş verməsi ehtimalı müəyyən edilir və uyğun bağlanma kateqoriyası
göstərilir.
İnsidentlə əlaqədar hadisələr, müraciətlər və ya dəyişikliklər olduqda, insident bağlanmır və
insidentin əlavə emalı tələb edilir. Məsələn, əgər insidentlə əlaqəli məhkəmə işi bağlanmırsa, onda
insident də bağlanmır.
Vacib yeni informasiya aldıqda insidenti yenidən açmaq və ya başqa insidentlə birləşdirmək
olar. Əgər bu əvvəlki təhqiqatın davamı deyilsə, yeni insindet açmaq daha yaxşı olardı.

İnsident sübutlarının toplanması

İnformasiya təhlükəsizliyi insidentlərinə aid sübutların toplanması bədniyyətlinin təşkilata və
ya ayrıca əməkdaşlara ziyan vurulması məqsədi ilə etdiyi hərəkət faktlarının toplanması
prosedurudur. Sübutların toplanmasını zəruri edən səbəblər qəsdən və ya bilməyərəkdən törədilmiş
hərəkət və ya hərəkət cəhdinə görə (təşkilata ziyan vurulmasına yönəlmiş) şəxslərin və ya şəxslər
qrupunun məsuliyyətə cəlb edilməsi üçün qanuni əsasların əldə edilməsi, əməlləri törətmiş şəxslərin
məsuliyyətə cəlb edilməsi üçün faktların toplanmasıdır. Digər səbəb ‒ boşluğun analizi və
informasiya təhlükəsizliyi insidentinin nəticələrinin aradan qaldırılması üçün təkliflərin
formalaşdırılmasıdır.
İnsident sübutlarının toplanması metodologiyasına aşağıdakılar daxildir:
 hazırlıq;
 insidentin sənədləşdirilməsi;
 siyasətlərin yoxlanılması;
 sübutların toplanması strategiyası;
 sübutların toplanması prosesinin başlanması;
 sübutların toplanması.
Hazırlıq prosesində alətlər – proqram təminatı (məsələn, EnCase və ya Sysinternals) və zəruri
avadanlıq hazır vəziyyətə gətirilir, şübhəli sistemlər üçün sübutların toplanılması siyasətinin
mövcudluğu yoxlanılır və ya bu siyasət yaradılır.
İnsidentin sənədləşdirilməsi zamanı insidentin profilinə aşağıdakılar daxil edilir:
 insidentin qeydə alınma vaxtı;
 insidentin baş vermə vaxtı;
 insidentin kim və ya nə tərəfindən qeydə alınması;
 əlaqədar proqram təminatı və ya avadanlıq;
 əlaqə saxlamaq üçün şəxs;
 şübhəli resurun kritiklik dərəcəsi;
 mənbənin identifikasiyası (yerləşdiyi yer, ID, hostun adı, MAC-ünvan, IP-ünvan və s.);
 kömək üçün müraciət edən əməkdaşların fərdi verilənləri;
 hər bir sübutun zamanı və vaxtı;
 sübutlarn saxlandığı resursun yerləşmə yeri.

61
 Sübutların toplanması gündəliyində insidentin təhqiqatı zamanı edilən hər şey qeydə alınır.
Eyni zamanda sübutların toplanması nəticələri də qeydiyyata alınır.
Siyasətlərin yoxlanması zamanı əsas məsələ sübutların toplanması üçün səlahiyyətlərin olub-
olmamasını aydınlaşdırmaqdır.
Sübutların toplnaması strategiyasında hansı informasiyanın toplandığı, verilənlərin tipi,
sübutların toplanması üçün alətlər, sübutların toplanması nəticələrinin saxlanacağı yer, hansı giriş
hüquqlarının tələb edildiyi, periferiya qurğularının növləri, şəbəkəyə qoşulma və s. aydınlaşdırılır.
Verilənlər operativ yaddaşda (RAM), daimi yaddaşda, fləş-yaddaşlarında, Zip, Jazz, Firewire
(IEEE 1394), optik və maqnit daşıyıcılarında, “qeyri-standart” qurğularda, smartfonlarda, iPod (və
digər pleyerlərdə), Xbox, PSP, USB-saatlarda və s. saxlana bilər.
İnformasiya daşıyıcıları üzrə nəzərə almaq lazımdır ki, onlar qidalanmanın kəsilməsinə,
elektromaqnit və işıq təsirlərinə, yüksək və aşağı temperatura, yüksək nəmişliyə, statik elektrikə
qarşı həssasdırlar. Onları etibarlı yerdə tədqiq etmək və saxlamaq lazımdır. Bəzi qurğular yuxu
rejiminə gedə və sonra parol istəyə bilərlər.
Sübutların olduğu/saxlandığı yerlərin bir çoxu daimi elektrik mənbəyi tələb edir. Onlar
kəsildikdə sübutlar itə bilər. Fərdi kompüterdə sistemi ani olaraq söndürmək və sonra sistemin
surətini yaratmaq və onu analiz etmək tövsiyə edilir. Ani söndürmə zamanı UPS olmadığına əmin
olmaq və elektrik şəbəkəsindən ayırmaq lazımdır.
Sübutların toplanması prosesinə başlanması mərhələsi etibarlı yüklənməni, ötürmə və
saxlama metodlarını, nəticələrin tamlığını, analiz mühitinin dəyişməzliyini əhatə edir.
Sübutların toplanması zamanı bütün hərəkətlər (vaxt, zaman, daxil edilən komandaların
tarixi) qeydiyyata alınır. Bütün komandaların və alətlərin işə salınma vaxtı izlənir (loqların sonrakı
analizi üçün). Analiz edilən sistemin tipindən – əməliyyat sistemi, tətbiqi proqram, verilənlər
bazasını idarəetmə sistemi (VBİS), şəbəkə avadanlığı, mobil qurğular, printerlər və s. çıxış edərək
bütün zəruri məlumatlar toplanır.
İnformasiya təhlükəsizliyi insidentinə aid sübutların toplanması proseduru daxili reqlament
şəklində işlənməli və CERT-komandasının hər bir üzvünün və insidentin təhqiqatına cəlb edilmiş
bölmələrin mütəxəssislərinin diqqətinə çatdırılmalıdır.

İşıqfor protokolu
İşıqfor protokolu (Traffic Light Protocol, TLP) – informasiya təhlükəsizliyi insidenti haqqında
konfidensial informasiyanın yayılma auditoriyasını göstərmək üçün işarə sistemidir. İnformasiya
dörd rəngdən biri ilə işarələnir:
Rəng Paylaşılma şərtləri
Qırmızı Olduqca konfidensial informasiya; informasiyanın hazırlanması prosesinin
iştirakçılarından başqa heç bir əməkdaş və ya qurum arasında yayıla bilməz.
İnformasiyanın paylaşılması üçün bütün iştirakçıların imzası tələb olunur.
Sarımtıl Məhdud yayılma; paylaşılması lazım olduqda informasiyanı alan şəxs yalnız öz
təşkilatı daxilində paylaşa bilər.
Yaşıl Geniş yayılma; müəyyən icma daxilində geniş yayıla bilər, lakin KİV-də nəşr oluna
bilməz.
Ağ Qeyri-məhdud yayılma; müəlliflik hüququ qorunmaqla yayılması sərbəstdir.

62
Mühazirə 12. İnformasiya təhlükəsizliyinin auditi

İnformasiya təhlükəsizliyinin vəziyyətinə nəzarət mexanizmləri

Bədniyyətlilərin informasiya hücumlarından effektiv müdafiə olunmaq üçün təşkilatın
informasiya təhlükəsizliyinin cari vəziyyəti haqqında obyektiv qiymətləndirməyə malik olması
zəruridir. Bu məqsədlə müxtəlif nəzarət mexanizmləri istifadə edilir:
• Monitorinq;
• Audit;
• Nüfuzetmə testləri;
• Sertifikatlaşdırma;
• Akkreditasiya;
• Attestasiya.
İnformasiya təhlükəsizliyinin auditi məhz informasiya təhlükəsizliyinin vəziyyətinə nəzarət
məqsədilə tətbiq edilir. Audit operativ və strateji menecmentin effektiv alətlərindən biridir.
İnformasiya təhlükəsizliyinin menecmenti sistemlərinin auditi qaydaları ISO/IEC 27007:2017
standartında öz əksini tapıb.
İnformasiya təhlükəsizliyinin auditini planlaşdırarkən təşkilat hər şeydən əvvəl auditin
qarşısında hansı məqsədlərin qoyulduğunu və auditdən gözləntilərin nədən ibarət olduğunu
müəyyən etməlidir. Məhz bu halda maksimum fayda götürmək və auditdən yüksək effektivlik əldə
etmək olar.

Audit termininin etimologiyası. Hələ bizim eradan təxminən 200 il əvvəl Roma imperiyasında
kvestorlar (maliyyə və məhkəmə işlərinə baxan vəzifəli şəxslər) əyalətlərdə dövlət mühasiblərinə
nəzarəti həyata keçirirdilər. Kvestorların hesabatları Romaya göndərilirdi və ekzamenatorlar
tərəfindən dinlənilirdi. Bu praktika nəticəsində “auditor” termini (latınca “dinləmək”) meydana
çıxmışdı.
Information technology — Security techniques — Guidelines for information security
management systems auditing

Auditin tərifi
Hazırda informasiya təhlükəsizliyi nəzəriyyəsində auditin qərarlaşmış tərifi yoxdur.
İnformasiya sistemində informasiya təhlükəsizliyinin auditi termini ingilis dilli ədəbiyyatda
belə izah edilir:
• İnformasiya sistemində informasiya təhlükəsizliyinin auditi aşağıdakıları müəyyən
etməyə imkan verən məlumatların toplanması prosesidir:
– təşkilatın resurslarının (verilənlər daxil olmaqla) təhlükəsizliyi təmin olunurmu;
– verilənlərin tamlığının və əlyetərliyinin zəruri parametrləri təmin olunurmu;
– informasiya texnologiyalarının effektivliyi sahəsində təşkilatın məqsədlərinə nail
olunurmu?
Beləliklə, bu tərifdə audit informasiya təhlükəsizliyi sisteminin yoxlanmasına və onun
nəticələrinin müəyyən idealla müqayisəsinə gətirilir.

Auditin növləri
Auditin iki əsas növünü fərqləndirirlər:
• daxili (yalnız təşkilat əməkdaşlarının qüvvəsi ilə həyata keçirilir) və
• xarici (kənar təşkilatlar tərəfindən həyata keçirilir).
Auditin müxtəlif növləri üçün audit xidmətinin hər üç toplananı:
• yoxlamanın üsul və vasitələri,
• yoxlamanın nəticələri və
• yoxlama nəticəsinin müqayisə edildiyi ideal fərqlənir.

İnformasiya təhlükəsizliyi auditinin mərhələləri

63
 Aparılması formasından asılı olmayaraq, informasiya təhlükəsizliyinin auditi dörd əsas
mərhələdən ibarətdir:
1. Audit planının işlənməsi;
2. Auditor yoxlamalarının aparılması və məlumat toplanması;
3. Toplanmış məlumatların analizi və tövsiyələrin işlənməsi;
4. Audit hesabatının hazırlanması.

1. Audit planının işlənməsi 2. Auditor yoxlamalarının

aparılması və məlumat
toplanması

4. Audit hesabatının 3. Toplanmış məlumatların

hazırlanması analizi və tövsiyələrin
işlənməsi

Şəkil . İnformasiya təhlükəsizliyi auditinin mərhələləri

Audit planının işlənməsi

Audit planı sifarişçi ilə birlikdə hazırlanır və işlərin tərkibini və ardıcıllığını müəyyən edir.
Planın əsas vəzifəsi auditin aparılacağı çərçivəni müəyyən etməkdir. Plan audit qurtardıqdan sonra
qarşılıqlı iddialardan yan keçməyə imkan verir, çünki tərəflərin vəzifələrini dəqiq müəyyən edir. Bir
qayda olaraq, planda aşağıdakı əsas informasiya olur:
 auditin aparılması üçün icraçıdan və sifarişçidən işçi qruplarının tərkibi;
 sifarişçinin audit olunacaq obyektlərinin siyahısı və yerləşmə yeri;
 icraçıya veriləcək informasiyanın siyahısı;
 təhlükəsizlik obyekti kimi baxılan resursların (informasiya, proqram, fiziki və s.) siyahısı;
 əsasında auditin aparıldığı informasiya təhlükəsizliyi təhdidlərinin modeli;
 potensial pozucular kimi baxılan istifadəçi kateqoriyaları;
 sifarişçinin informasiya sisteminin instumental təhqiqatının aparılması və ardıcıllığı

Auditor yoxlamalarının aparılması və məlumat toplanması

İlkin informasiyanın toplanması
İnformasiya təhlükəsizliyinin auditinin keyfiyyəti ilkin informasiyanın toplanması prosesində
alınmış informasiyanın dolğunluğundan və dəqiqliyindən asılıdır. Buna görə də bura aşağıdakıları
daxil etmək lazımdır: informasiya təhlükəsizliyinə aid təşkilati-sərəncam sənədləri, informasiya
sisteminin aparat-proqram təminatı haqqında məlumatlar, informasiya sistemində qurulmuş
təhülkəsizlik vasitələri haqqında informasiya və s. Audit üçün zəruri ilkin informaiyanın daha ərtaflı
siyahısı aşağıda verilir.
– informasiya təhülkəsizliyi məsələləri üzrə təşkilati sənədlər (informasiya təhlükəsizliyi
siyasəti, əmrlər, sərəncamlar, təlimatlar, reqlamentlər)
– informasiya sistemində qurulmuş serverlərin, işçi stansiyaların və kommunikasiya
avadanlığının siyahısı
– serverlərdə və işçi stansiyalarda qurulmuş ƏS haqqında məlumatlar
– informasiya sistemində qurulmuş VBIS haqqında məlumatlar
– informasiya sistemində qurulmuş ümumi və xüsusi təyinatlı tətbiqi proqram təminatının
siyahısı
– tətbiqi proqram təminatının köməyi ilə həll edilən funksional məsələlərin siyahısı
– informasiya sistemində qurulmuş təhlükəsizlik vasitələri haqqında informasiya
– informasiya sisteminin topologiyası haqqında informasiya

64
 İlkin informasiyanın toplanması üçün aşağıdakı metodlar tətbiq edilir.
– Sifarişçinin zəruri informasiyaya malik əməkdaşlarından müsahibə alınması. Adətən,
müsahibə həm texniki mütəxəssislərlə, həm də təşkilatın rəhbər nümayəndələri ilə
aparılır. Müsahibə prosesində müzakirə edilməsi nəzərdə tutulan sualların siyahısı
əvvəlcədən razılaşdırlır.
– Sifarişçinin əməkdaşlarının müstəqil doldurduqları sorğu vərəqələrinin təqdim edilməsi.
Toplanmış məlumatlar zəruri suallara tam cavab verimirsə, əlavə müsahibə aparılır.
– Təşkilatın istifadə etdiyi təşkilati-texniki sənədlərin analizi
– Xüsusi instrumental vasitələrin istifadəsi – məsələn, təhlükəsizlik skanerlərinin köməyi
ilə şəbəkə resurslarını intervalaşdırmaq və onlarda olan boşluqları aşkarlamaq olar.

Təşkilatda qüvvədə olan informasiya təhlükəsizliyi siyasətinin analizi auditin aparılması üçün
çıxış nöqtəsidir. Kompleks auditin ilk məsələlərindən biri  qüvvədə olan informasiya təhlükəsizliyi
siyasətinin təşkilatın təhlükəsizliklə əlaqədar tələblərinə nə dərəcəd uyğun olmasını, baxılan siyasət
çərçivəsində nəzərdə tutulmuş tədbirlərin informasiya təhlükəsizliyinin lazımi səviyyəsini təmin edə
bilməsini müəyyən etməkdir. Öz növbəsində bu təşkilatın əsas informasiya aktivlərinin
əhəmiyyətinin, boşluqlarının mövcud risklərin və təhdidlərin əlavə qiymətləndirilməsini tələb edə
bilər.
İnformasiya təhlükəsizliyinin əsas müddəaları yoxlandıqdan sonra audit prosesində informasiya
resurslarının kritiklik və konfidensiallıq üzrə təşkilatda qüvvədə olan təsnifat qaydaları və
informasiya təhlükəsizliyinə aid olan digər sənədlər də analiz edilə bilər.

– Məlumat toplanması prosesində auditorların əsas işi təşkilatın informasiya aktivlərinin

təhlükəsizliyinin təmin edilməsi üzrə həyata keçirilmiş faktiki tədbirlərin
öyrənilməsindən ibarətdir.
– Auditor yoxlamasının vacib tədbirlərindən biri informasiya təhlükəsizliyi siyasətinin və
digər təşkilati sənədlərin müddəa və tələblərinin təşkilat əməkdaşlarına nə dərəcədə vaxtında
və tam çatdırılmasının yoxlanmasıdır.
– Auditin vacib məsələlərindən biri də təşkilatın əməkdaşlar tərəfindən törədilə bilən daxili
təhdidlərlə mübarizəyə nə qədər hazır olmasının müəyyən edilməsidir.
– İnformasiya infrastrukturunun fiziki təhlükəsizlik vəziyyətinin yoxlanması
– Təhlükəsizliyin instrumental yoxlanması – o cümlədən, test məqsədilə nəzarət edilən,
sınaq “hücumlarının” həyata keçirilməsi, məlum boşluqlardan istifadə edilməsi.
– İnformasiya sistemlərinin istifadəsi zamanı loq-fayllarda toplanmış informasiya audit
prosesində vacib analiz obyektlərindən biridir. Bu verilənlərin əsasında informasiya
sistemlərinin müəyyən edilmiş istifadəsi qaydalarına əməl edilməsi, istifadə edilən
informasiya təhlükəsizliyi vasitələrinin effektivliyi, istifadəçilərin davranışları, həmçinin
potensial mümkün problemlər barədə nəticələr çıxarıla bilər.

Toplanmış məlumatların analizi və tövsiyələrin işlənməsi

Audit prosesləri gedişində əldə edilmiş bütün məlumatların analizi aşkarlanmış risklər və
təşkilatın informasiya təhlükəsizliyinə tələbləri nəzərə alınmaqla analiz edilməlidir. O cümlədən,
belə analiz proqram və aparat vasitələrinin, biznes-proseslərin, təşkilati qaydaların və funksional
vəzifə və səlahiyyətlərin paylanmasının informasiya təhlükəsizliyinin təmin edilməsinə mənfi təsir
edə bilən konkret xüsusiyyətlərinin aşkarlanmasını, həmçinin təşkilatın fəaliyyətinin aşkarlanmış
xüsusiyyətləri ilə informasiya təhlükəsizliyinin pozulması risklərinin artması arasındakı səbəb-
nəticə qarşılıqlı əlaqələrinin təsvirini nəzərdə tutur. Bütün tədqiq olunmuş hallar və aşkarlanmış
nöqsanlar və xüsusiyyətlər ümumiləşdirilməli və bununla təşkilatda informasiya təhlükəsizliyinin
ümumi vəziyyəti barədə ümumi təsəvvür formalaşdırılmalı, mövcud informasiya təhlükəsizliyi
sisteminin əsas üstünlükləri və nöqsanları əks olunmalı, həmçinin onun inkişafının və
təkmilləşdirilməsinin əsas prioritetləri və istiqamətləri müəyyən edilməlidir.

65
 Analizin nəticələri həm təşkiatda informasiya təhlükəsizliyinin səviyyəsini xarakterizə edən
ümumiləşdirilmiş qısa şəkildə (təşkilatın rəhbərliyi üçün), həm də ayrı-ayrı sahələrə aid konkret irad
və təkliflər şəklində təsvir oluna bilər (informasiya təhlükəsizliyi xidmətinin rəhbərinə, funksional
direktorlara və təşkilatın struktur bölmələrinin rəhbərlərinə ünvanlanır).
Təşkilatda informasiya təhlükəsizliyinin vəziyyətinin analizi nəticəsində auditorun verdiyi
tövsiyələr istifadə edilən yanaşma ilə, yoxlanan informasiya sisteminin xüsusiyyətləri ilə,
informasiya təhlükəsizliyinin vəziyyəti ilə və aparılan auditin təfsilat dərəcəsi ilə müəyyən edilir.
İstənilən halda, auditorun tövsiyələri konkret olmalı və baxılan informasiya sisteminə tətbiq edilə
bilən olmalıdır, analizin nəticələri ilə möhkəmləndirilməli və iqtisadi baxımdan əsaslandırılmalı,
vacibliyinə görə sıralanmalıdır. Bu zaman nəzərə almaq lazımdır ki, informasiya təhlükəsizliyi üzrə
təşkilati səviyyə tədbirləri informasiya təhlükəsizliyinin konkret proqram-texniki metodlarından
daha yüksək prioritetə malikdirlər.

Audit hesabatının hazırlanması

Audit hesabatı həyata keçirilmiş auditin əsas nəticəsidir. Onun keyfiyyəti auditorun işinin
keyfiyyətini xarakterizə edir. Nəzərə almaq lazımdır ki, hazırlanmış hesabat auditi sifariş etmiş
təşkilatda müxtəlif səviyyələrdə öyrəniləcək və adətən, iki belə səviyyə fərqləndirmək olar:
təşkilatın rəhbərliyi və texniki mütəxəssislər. Audit hesabatı təşkilat iyerarxiyasının hər bir
səviyyəsi üçün düzgün dəlillər və müvafiq dil istifadə etməklə auditin nəticələrini çatdırmalıdır.
Audit hesabatında auditin keçirilməsinin məqsədləri, yoxlanmış informasiya sisteminin
xarakteristikaları təsvir edilməli, auditin sərhədləri və istifadə edilmiş metodlar, audit verilənlərinin
analizinin nəticələri, informasiya təhlükəsizliyinin qiymətləndirilmiş səviyyəsi və mövcud
nöqsanların aradan qaldırılması və təhlükəsizlik sisteminin təkmilləşdirilməsi üzrə auditorun
tövsiyələri göstərilməlidir. Hesabatın strukturu keçirilmiş auditin məqsədlərindən və xarakterindən
asılı olaraq fərqlənə bilər, lakin müəyyən bölmələr audit hesabatında mütləq olmalıdır. Audit
hesabatının tövsiyə olunan əsas hissələri aşağıdakılardır:
– Giriş;
– Analitik məlumat;
– Aşkarlanmış boşluqlar haqqında hesabat;
– Boşluqların aradan qaldırılması planı.
Təşkilatın rəhbərliyi üçün nəzərdə tutulmuş maksimum 2-3 səhifədən ibarət olan “Analitik
məlumat” bölməsində audit gedişində aşkarlanmış əsas faktlar və bu faktlardan nəticələnən
tövsiyələr qısa və anlaşıqlı şəkildə təsvir edilməlidir.
Aşkarlanmış boşluqlar haqqında hesabat audit prosesində aşkarlanmış bütün boşluqlar əks
olunur. Bu hissə texniki mütəxəssislər və IT-menecerlər üçün nəzərdə tutulub və təşkilatın
informasiya təhlükəsizliyi sistemində zəif yerləri konkret göstərmək üçün istifadə edilir.
Boşluqların aradan qaldırılması planı struktur baxımından aşkarlanmış boşluqları təsvir edən
hissəni təkrar edir. Hər bir konkret boşluq üçün qısa təsvir, boşluq olan komponentlər və həll
variantı verilməlidir. Çox zaman həll variantını tapmaq çətin olmur. Əgər boşluq proqram
təminatında aşkarlanıbsa, bu halda zəruri yamaq və düzəlişlərə istinad vermək kifayətdir, çox vaxt
bütün zəruri məlumatı boşluqların məlum bazalarından tapmaq olar.

Standartlara uyğunluğun auditi

Standartlara uyğunluğun auditinin aparılması zamanı informasiya təhlükəsizliyinin vəziyyəti
standartlarda verilmiş müəyyən abstrakt təsvirlə müqayisə edilir.
Bu növ auditin aparılması nəticəsində hazırlanan rəsmi hesabata aşağıdakı informasiya daxildir:
– yoxlanan informasiya sisteminin seçilmiş standartlara uyğunluq səviyyəsi;
– informasiya təhlükəsizliyi sahəsində təşkilatın öz daxili tələblərinə uyğunluq səviyyəsi;
– aşkarlanmış uyğunsuzluqların və qeydlərin miqdarı və kateqoriyaları;
– informasiya təhlükəsizliyi sisteminin qurulması və ya modifikasiyası üzrə onu baxılan
standartla uyğunluğa gətirməyə imkan verən tövsiyələr;

66
 – təhlükəsizlik siyasəti daxil olmaqla sifarişçinin əsas sənədlərinə ətraflı istinadlar, baxılan
təşkilata tətbiq edilən məcburi olmayan standartların və normaların təsviri.
Hazırda informasiya təhlükəsizliyi auditinin aşağıdakı sxemləri geniş yayılıb:
– ISO/IEC 27001 standartına uyğunluğun auditi;
– COBIT (ISACA) tələblərinə uyğunluğun auditi;
– AICPA (Amerika İctimai Mühasiblәr İnstitutu) tələblərinə uyğunluğun auditi;
– WebTrust beynəlxalq standartı tələblərinə uyğunluğun auditi. Elektron kommersiya
sistemlərinin və veb-servislərin yüksək təhlükəsizlik səviyyəsinin təsdiqlənməsi üçün tətbiq
edilir.
Avropada BS7799 və COBIT daha geniş yayılmışdır.
Standarta uyğunluq auditinin (və sertifikatlaşdırmanın) aparılması səbəblərini bu xidmətin
təşkilata münasibətdə məcburilik dərəcəsinə görə şərti olaraq bölmək olar: məcburi; obyektiv
«xarici» səbəblərlə sertifikatlaşdırma; uzunmüddətli perspektivdə mənfəət əldə etməyə imkan verən
sertifikatlaşdırma; könüllü sertifikatlaşdırma.

ISO/IEC 27001 standartı üzrə sertifikatlaşdırma auditi

Təşkilat informasiya təhlükəsizliyinin idarə edilməsi sistemini ISO/IEC 27001:2013 standartı
əsasında qurmaqla UKAS (United Kingdom Accreditation Service) akkreditasiyasına malik
müvafiq təşkilatlarda sertifikatlaşdırma prosedurlarından keçə bilər.
Sertifikatlaşdırma auditinin aparılması üçün informasiya təhlükəsizliyinin idarə edilməsi
sistemininin ən azı 3-6 ay fəaliyyət göstərməsi tövsiyə edilir.
Sertifikatlaşdırma proseduru 4 mərhələdən ibarətdir:
1-ci mərhələ: Sertifikatlaşdırmaya hazırlıq. Sertifikatlaşdırma auditinin aparılması üçün
sifarişin verilməsi.
2-ci mərhələ: İlkin audit. Sertifikatlaşdırma auditinə hazırlığı qiymətləndirməyə xidmət edir.
3-cü mərhələ: Sertifikatlaşdırma auditi. Həyata keçirilmiş tədbirlərin test edilməsi və onların
effektivliyinin qiymətləndirilməsi, standartın tələb etdiyi bütün sənədlərin yoxlanması daxildir;
4-cü mərhələ: Sertifikatın verilməsi və periodik nəzarət  sertifikat almış təşkilatın bəyan
edilmiş tələblərə uyğunluğunu təsdiqləmək üçün periodik olaraq inspeksiya auditi yerinə yetirilir.

ISACA auditor mandatı

ISACA assosiasiyası. ISACA (Information Systems Audit and Control Association)–
informasiya sistemlərinin auditi və idarə edilməsi assosiasiyası 1969-cu ildə yaradılmışdır (ABŞ).
Assosiasiya hazırda 180 ölkədə 140 mindən çox informasiya sistemləri auditorunun (Certified
Information System Auditor, CISA) fəaliyyətini əlaqələndirir
Sahə üzrə özünün standartlar sisteminə malikdir, tədqiqat işləri aparır, kadr hazırlığı ilə məşğul olur,
konfranslar keçirir (https://www.isaca.org/).
• Əsas reqlament sənədi auditor mandatıdır. Sertifikatlı hər bir CISA auditorunun audit
mandatında aşağıdakı informasiya olur.
– Auditorun məsuliyyəti və vəzifələri (ing. Responsibility)
– Auditorun səlahiyyətləri (ing. Authority)
– Auditorun hesabatlılığı (ing. Accountability)

COBIT (Control Objectives for Information and Related Technologies)

İlk dəfə 1996-cı ildə ISACA tərəfindən işlənmişdir.
2012-ci ilin aprelində COBIT 5 buraxılmışdır.
COBİT 3rd Edition (informasiya və əlaqəli texnologiyalar üçün nəzarət obyektləri) dörd
hissədən ibarətdir:
– Hissə 1: Konsepsiyanın qısa təsviri (Executive Summary).
– Hissə 2: Təriflər və əsas anlayışlar (Framework). Təriflər və əsas anlayışlarla yanaşı bu
hissədə onlara tələblər də yer alır.
– Hissə 3: İdarəetmə proseslərinin spesifikasiyaları və mümkün alətlər (Control Objectives).

67
 – Hissə 4: İnformasiya sistemlərinin auditinin aparılması üzrə tövsiyələr (Audit Guidelines).

ISO/IEC 27006:2015 standartı

ISO/IEC 27006:2015 standartı informasiya təhlükəsizliyinin menecmenti sisteminin auditini və
sertifikatlaşdırılmasını həyata keçirən təşkilatlara tələbləri müəyyən edir və sertifikatlaşdırma
təşkilatlarının akkreditasiyasına kömək edir. Standart ISO/IEC 27001 sertifikatlaşdırma xidmətləri
təklif edən təşkilatların akkreditasiyası üçün kriteriyalar müəyyən edir. Sertifikatlaşdırma
təşkilatlarının akkreditasiyası audit prosesinə əlavə etimad yaradır və verilən sertifikatın etibarını
yüksəldir.
ITIS-in sertifikatlaşdırılmasını həyata keçirən istənilən orqan özünün ISO/IEC 27006:2015
standartının tələblərinə uyğunluğu baxımından kompetensiyasını və etibarlılığını nümayiş
etdirməlidir..
ISO/IEC 27006:2015 standartı akkreditasiya, ekspert qiymətləndirilməsi və ya auditin digər
prosesləri üçün kriteriyalar təqdim edən sənəd kimi istifadə edilə bilər.

Nüfuzetmə testləri
Nüfuzetmə testləri informasiya təhlükəsizliyi sahəsində bütün dünyada populyar xidmətlərdən
biridir. Bu xidmətin mahiyyəti informasiya təhlükəsizliyi sistemindən keçməyə icazəli cəhdlər
etməkdən ibarətdir. Nüfuzetmə testi zamanı auditorlar potensial bədniyyətlinin istifadə etdiyi
metodlardan istifadə etməklə təşkilatda tətbiq edilən informasiya təhlükəsizliyi mexanizmlərindən
keçməyə, sifarişçinin daxili şəbəkəsinə sızmağa və infrastrukturun kritik vacib komponentlərinə
giriş əldə etməyə cəhdlər edirlər.
Nüfuzetmә testi informasiya təhlükəsizliyinin səviyyəsi barədə obyektiv qiymət əldə etməyə,
informasiya təhlükəsizliyi sistemində ən zəif yerləri aşkarlamağa, bədniyyətlinin hansı üsullarla və
hansı boşluqlar vasitəsilə təşkiatın informasiya mühitinə sıza biləcəyini başa düşməyə, bu
hərəkətlərin mümkün nəticələrini qiymətləndirməyə imkan verir.
Nüfuzetmə testinin əsas mərhələləri aşağıdakılardır:
 Təşkilat və onun informasiya mühiti barədə açıq informasiyanın analizi;
 Sosial mühəndislik üsulları ilə tədqiqatın aparılması;
 Daxili və xarici resursların boşluqlarının analizi;
 Nüfuzetmənin həyata keçirilməsi;
 Hesabat sənədlərinin hazırlanması.
Nüfuzetmə testi başa çatdıqdan sonra hazırlanmış hesabatda sifarişçiyə aşağıdakılar təqdim
edilir:
– təşkilatın biznes-prosesləri üçün təhdid təşkil edən aşkarlanmış boşluqların və nöqsanların,
onların risk səviyyəsinin ətraflı təsviri, bədniyyətlinin onlardan istifadə imkanlarının
qiymətləndirilməsi;
– nüfuzetmənin həyata keçirildiyi ssenarinin təsviri;
– test obyektlərinin strukturunun ətraflı təsviri;
– nüfuzetmə testinin keçirilməsi zamanı istifadə edilmiş metod və vasitələr;
– nüfuzetmə testlərinin uğurlu olmasının sübutları (məsələn, ələ keçirilmiş fayllar);
– aşkarlanmış boşluqların və nöqsanların aradan qaldırılması üzrə tövsiyələr.
Nüfuzetmə testi «Red teaming» texnologiyası üzrә, «sındırma» cәhdlәrinin kömәyi ilә aparılır,
yәni informasiya təhlükəsizliyi sistemi «haker» baxış bucağından sındırılır. Nüfuzetmə testləri üçün
bir sıra alətlər istifadə edilir: Metasploit, Nessus Vulnerability Scanner, Nmap, Burp Suite, OWASP
ZAP, SQLmap, Kali Linux, Jawfish, Social-Engineer Toolkit (SET) və s.
Nüfuzetmə testlərinin qaydaları və çərçivəsi aşağıdakı metodologiyalarda öz əksini tapır:
 Open Source Security Testing Methodology Manual (OSSTMM)
 Information Systems Security Assessment Framework (ISSAF)
 System Administrator, Audit, Network, Security Institute: A Management Guide to
Penetration Testing
 Payment Card Industry Data Security Standard (PCI DSS),

68
 NIST SP800-115 Technical Guide to Information Security Testing and Assessment
 NIST SP 800-42 - Guideline on Network Security Testing
 Penetration Testing Execution Standard (PTES),
 Open Web Application Security Project (OWASP) Testing Guide.

69
Mühazirə 13. Açıq açarlı kriptoqrafiya. RSA kriptosistemi

Məxfi açarlı kriptosistemlər minilliklər boyu hazırki dövrə kimi istifadə edilirlər və
informasiyanın məxfiliyinin təmin edilməsinin klassik prinsipinə: informasiyaya buraxılan
şəxslərdən başqa bütün şəxslər üçün istifadə edilən açarın məxfiliyi prinsipinə əsaslanırlar. Belə
kriptosistemləri simmetrik də adlandırırlar, çünki onlarda şifrləmə və deşifrləmə üçün istifadə
olunan açarlar müəyyən simmetriyaya malikdirlər (çox vaxt onlar üst-üstə düşürlər).
Açıq açarlı kriptosistemlər Uitfild Diffi və Martin Hellman tərəfindən 1975-ci ildə təklif
olunmuşdur. Onları asimmetrik sistemlər də adlandırırlar, çünki onlarda istifadə olunan şifrləmə və
deşifrləmə açarları simmetriya və ya bərabərlik münasibətləri ilə bağlı deyillər.
Şifrləmə açarı açıq, hamıya məlum ola bilər, lakin məlumatı yalnız məxfi deşifrləmə açarına
malik olan şəxs deşifrləyə bilər. Bu açarı simmetrik sistemin açarı ilə qarışdırmamaq üçün adətən
özəl açar adlandırırlar.
Açıq açara görə özəl açarın hesablanması, yəni şifrin çözülməsi həlli yüksək çətinliklə
xarakterizə olunan müəyyən riyazi məsələlər ilə bağlanır (əlaqələndirilir).
Asimmetrik alqoritmlərin ideyası biristiqamətli funksiyalar nəzəriyyəsinin inkişafı ilə sıx
bağlıdır.
Aşağıdakı iki xassəyə malik F: X  Y funksiyası biristiqamətli adlanır:
1) F(x) qiymətlərinin hesablanması üçün polinomial alqoritm var .
2) F funksiyasını çevirmək (yəni F(x) = y tənliyinin x-ə nəzərən həlli) üçün polinomial alqoritm
yoxdur.
Bu gün biristiqamətli funksiyaların varlığı nəzəri olaraq isbat olunmayıb. Praktikada
biristiqamətli funksiya adına namizədlərdən istifadə edilir. Biristiqamətli funksiyaya namizəd kimi
U.Diffi və M.Hellman diskret qüvvətə yüksəltmə funksiyasını təklif etmişlər:
F(x) = ax mod p
burada x  tam ədəd, 1  x  p1, p sadə ədəddir, a<p ədədi isə p moduluna görə ibtidai kökdür.
Hətta çox böyük p modulu üçün də x verildikdə ax mod p qiymətini hesablamaq çox asandır.
Buna inanmaq üçün a25 qüvvətinin hesablanmasına baxaq: a25 = (((a2×a)2)2)2×a. Bu bərabərlik
göstərir ki, a25 qüvvətini cəmisi dörd kvadrata yüksəltmə və iki vurma əməlinin köməyi ilə
hesablamaq mümkündür. Qüvvət üstü x-in uzunluğu L bit olarsa, L-dən 2L-ə qədər sayda vurma və
kvadrata yüksəltmə əməli tələb olunur.
Modula görə qüvvətə yüksəltməyə tərs məsələ diskret loqarifm məsələsi adlanır: ax = b mod n
tənliyindən x-i tapmaq tələb olunur. Məsələn, 3x = 15 mod 17 tənliyindən x=6 tapmaq olar. Diskret
loqarifm məsələsinin həlli olmaya da bilər. Məsələn, 3 x = 7 mod 13 tənliyinin həlli yoxdur. Diskret
loqarifm məsələsini böyük ədədlər üçün həll etmək olduqca çətindir.
Biristiqamətli funksiyanı şifrləmə funksiyası kimi istifadə etmək olmaz, çünki F(x) şifrlənmiş
məlumatına görə heç kim, hətta qanuni istifadəçi də x-i bərpa edə bilməz. Bu problemi həll etmək
üçün U.Diffi və M.Hellman gizli girişli biristiqamətli funksiyalardan (one-way trapdoor function)
istifadə etmək ideyasını irəli sürmüşlər.
K parametrindən asılı olan FK: XY funksiyası aşağıdakı üç şərti ödədikdə gizli girişli
biristiqamətli funksiya adlanır:
1) istənilən x və K üçün FK(x) qiymətini hesablamaq asandır;
2) K məlum olduqda FK funksiyasının tərsini hesablamaq asandır;
3) K parametrini bilmədən FK funksiyasının tərsini hesablamaq çətindir.
Gizli girişli biristiqamətli funksiyanın düz istiqamətdə hesablanması alqoritmini bilən şəxs gizli
informasiyanı bilən şəxsə məlumat göndərmək üçün məlumatı biristiqamətli funksiya ilə
çevirməlidir. Yalnız gizli informasiyanı bilən şəxs tərs çevirməni edə və məlumatı bərpa edə bilər.
Funksiyanın düz istiqamətini bilmək tərsi hesablamağa imkan vermədiyindən bu funksiyanı açıq
nəşr etmək olar. Bu imkan da sahəyə açıq açarlı kriptoqrafiya adını verdi. Təsvir olunan sistemi
açıq açarlı kriptosistem adlandırırlar, çünki şifrləmə alqoritmi hamıya məlumdur, yəni açıqdır. Belə
sistemləri asimmetrik sistemlər də adlandırırlar, çünki alqoritmlərdə asimmetriya var: şifrləmə və
deşifrləmə alqoritmləri müxtəlifdir.

70
 Müasir asimmetrik alqoritmlərin əksəriyyətinin dözümü həlli hazırda çətin hesab olunan iki
riyazi problemə əsaslanır:
 böyük ədədlərin vuruqlara ayrılması (faktorizasiyası);
 sonlu meydanlarda diskret loqarifmləmə.
Simmetrik sistemlərin hamı tərəfindən qəbul edilmiş üstünlüyü şifrləmənin daha yüksək sürəti,
istifadə olunan açarın uzunluğunun kiçik olması və kriptoqrafik dözümün təmin edilməsinə daha
əsaslı zəmanətin olmasıdır. Lakin asimmetrik kriptosistemlər informasiyanın autentikasiyası,
istifadəçilər arasında açarların paylanması kimi vacib məsələlərin həlli üçün daha rahat protokollar
təklif edirlər. Buna görə informasiyanın təhlükəsizliyi üçün hibrid kriptosistemlər istifadə edilə
bilər, bu sistemlərdə həm simmetrik, həm də asimmetrik sistemlərin prinsipləri istifadə edilir.

Diffi-Helman açar mübadiləsi sxemi

Açarların mübadiləsi üçün ilk alqoritm 1976-cı ildə U.Diffi və M. Hellman tərəfindən
”Kriptoqrafiyada yeni istiqamətlər” adlı məqalədə təklif olunmuşdu. Protokol iki istifadəçiyə
qorunmayan rabitə kanalından istifadə etməklə ümumi məxfi açar almağa imkan verir.
Alqoritmin realizəsi üçün iki parametr tələb olunur:
p −böyük sadə ədəddir;
¿
Z
g − p ={1, 2, …, p1} qrupunu doğuran primitiv elementdir.
p və g ədədləri açıqdır və onlar bir neçə istifadəçi tərəfindən istifadə edilə bilər. Bu ədədlər
əvvəlcədən əldə olunmalı və bütün abonentlərə göndərilməlidir (və ya nəşr edilməlidirlər).
Əgər A və B ümumi məxfi açar yaratmaq istəyirlərsə, onlar aşağıdakı addımları yerinə
yetirməlidirlər:
1. A təsadüfi x, 1£x£p-2 tam ədədini seçir və B-yə X = gx mod p qiymətini göndərir.
2. B təsadüfi y, 1£y£p-2 tam ədədini seçir və A-ya Y = gy mod p qiymətini göndərir.
3. A hesablayır: k = Y x mod p.
4. B hesablayır: k′ = X y mod p.
Asanlıqlq görmək olar ki, k = k′ = gxy mod p.
p ədədinin uzunluğu haqqında aşağıdakı tövsiyələri vermək olar. Verilənlərin 20 il ərzində
qorunması üçün uzunluğu 2048 bit, 35 il – 3072 bit, 50 il – 4096 bit olan sadə ədəddən istifadə
etmək lazımdır. Hazırda hesab olunur ki, 6800 bit uzunluq təhlükəsizliyə ən yüksək tələbləri ödəyir.
Lakin belə uzunluq kriptosistemin məhsuldarlığını olduqca aşağı salır.

Ədədlər nəzəriyyəsindən zəruri məlumatlar

Fermanın kiçik teoremi. Əgər p – sadə ədəddirsə və a ədədi p-yə bölünmürsə, onda
ap−1  1 mod p.
Eyler funksiyası. n-dən kiçik, n qarşılıqlı sadə olan ədədlərin sayını (n) ilə işarə edirlər və Eyler
funksiyası adlandırırlar.
Hesab olunur ki,  (1)=1.
Misal. (2)=1, (3)=2, (4)=2, (5)=4,  6)=2.
(n) Eyler funksiyasının aşağıdakı xassələri asanlıqla isbat edilir:
1. (p) = p  1.
2. (pk) = pk  pk1, kN.
Eyler funksuiyasının multiplikativliyi.ƏBOB(a, b) = 1  ab) = (a) (b).
Buradan p və q sadə ədədləri üçün (pq) = (p  1)(q1).
Eyler teoremi. Qarşılıqlı sadə a və n> 1 ədədləri üçün a(n)  1 (mod n).
Qalıqlar haqqında Çin teoreminin nəticəsi. x  a (mod ni), i = 1, 2, …,k müqayisələr sistemi
n = n1n2…nk olduqda x  a (mod n) müqayisəsinə ekvivalentdir, burada n1, n2, …, nk – ədədləri
qarşılıqlı sadədir,.

71
RSA alqoritmi
Açıq açarlı şifrləmə alqoritmlərindən ən geniş yayılanı RSA alqoritmi müəlliflərinin
familiyalarının ilk hərfi ilə adlandırılıb (Rivest R, Shamir A, Adelman L.). Müəlliflər bu metodu
1977ci ildə Massaçusets Texnologiya İnstitutunda birgə tədqiqatları zamanı təklif etmişlər.
Alqoritmi həm şifrləmə, həm də rəqəmsal imza üçün istifadə etmək olar.
Açarların generasiyası. İnformasiya mübadiləsinin hər bir iştitakçısı aşağıdakı qaydalara uyğun
olaraq açarlar cütü (açıq və özəl) generasiya edir:
1. Bir-birinə bərabər olmayan iki böyük p və q sadə ədədləri seçilir.
2. Sistemin modulu n = pq və Eyler funksiyası (n) = (p  1)(q1) hesablanır.
3. 1<e<(n) şərtini ödəyən və (n) ilə qarşılıqlı sadə olan e ədədi seçilir.
4. ed = 1 (mod (n)), 1 < d < (n) şərtlərini ödəyən d ədədi hesablanır.
5. (d, n) ədədlər cütü özəl açar, (e, n) ədədlər cütü açıq açardır.
Şifrləmə m məlumatı şifrlənir (m < n tam ədəddir): c = E(m) = me mod n.
Deşifrləmə: c şifrmətni deşifrlənir: m = D(c) = cd mod n.
Alqoritmin düzgün işlənməsinin əsaslandırılması. Istənilən mZn üçün D(E(m))=m olduğunu
isbat etmək lazımdır.
(n)-i p və q ilə ifadə edərək ed = 1+ k(n) = 1+ k(p1)(q1) alırıq. Əgər (m, p)=1 olarsa, onda
Fermanın kiçik teoreminə görə
cd (me)dm1+k(p1)(q1) m(mp1)(q−1) m1q−1(mod p)  m (mod p).
Əgər (m, p)=0 olarsa, onda medm(mod p) olduğu aşkardır. Deməli, istənilən mZn üçün
cd m (mod p).
Analoji olaraq isbat edilir ki, istənilən mZn üçün aşağıdakı müqayisə ödənir:
cd m (mod q).
n=pq olduğu üçün qalıqlar haqqında Çin teoreminin nəticəsinə görə alırıq:
cd(me)d m (mod n).
m>n halında məlumatların şifrlənməsi aşağıdakı kimi aparılır.
1) məlumat mi bloklara bölünür, blokun uzunluğu 10 k−1 < n < 10k bərabərsizliyinə uyğun gələn tam
k ədədi ilə müəyyən olunur.
2) ci = mie (mod n) qiymətləri hesablanır.
Deşifrləmə mi = cid (mod n) qiymətlərinin hesablanmasından ibarətdir.
RSA alqoritminin əsas problemlərindən biri şifrləmə/deşifrləmə əməliyyatlarının sürətinin
aşağı olmasıdır. RSA təxminən 100-1000 dəfə DES-dən yavaş işləyir. Uzun məlumatlar üçün
onin istifadəsi səmərəli olmur. Buna görə asimmetrik alqoritmlər əsasən açıq rabitə kanalları ilə
seans açarlarının paylanması üçün istifadə edilir. Simmetrik açar asimmetrik şifrləmə
alqoritminin köməyi ilə şifrlənmiş şəkildə ötürülür, bundan sonra verilənlərin mübadiləsi
simmetrik şifrləmə alqoritmlərdən istifadə etməklə aparılır. Açıq açarlı alqoritmlər həmçinin
rəqəmsal imza üçün də istifadə edilir.
Parametrlərin seçilməsi. RSA-nın dözümünü təmin etmək üçün kriptosistemin parametrlərinin
seçilməsinə aşağıdakı tələblər irəli sürülür:
1) p və q sadə ədədləri böyük olmalıdırlar;
2) |p  q| fərqi böyük olmalıdır;
3) p  1, q  1, r1, s1 ədədləri böyük sadə vuruqlara malik olmalıdırlar (r və s uyğun olaraq p − 1
və q − 1-in ən böyük bölənləridir);
4) ƏBOB(p1, q1) kiçik olmalıdır.
Müasir qiymətləndirmələrə görə 20 il ərzində verilənlərin qorunmasını təmin etmək üçün n
ədədinin uzunluğu təxminən 2048 bit olmalıdır. Mümkün olsa, uzunluğu 4096 bit ətrafında olan
modullardan istifadə etmək tövsiyə olunur. Perspektivdə daha uzun modullar tələb edilə bilər,
məsələn, 8192 bit.

Sadə ədədlərin generasiyası

72
 Böyük sadə ədədlərin hesablanması üçün müxtəlif alqoritmlərdən istifadə etmək olar. Rabin-
Miller testi daha geniş istifadə edilir.
Tutaq ki, n − tək ədəddir və n − 1 = 2st, t − tək ədəddir. Əgər n ədədi sadədirsə, onda istənilən
a > 1 üçün
an−1 ≡ 1 (mod n)
müqayisəsi ödənir. Buna görə {at, a2t, …, a2s−1t} elementlərinə baxaraq görmək olar ki, ya onların
arasında −1 (mod n)-ə bərabər olanı tapılar, ya da at ≡ 1 (mod n).
Aşağıdakı sadəliyin ehtimali testi bu qeydin əsasında qurulub:
1. {1, 2, …, n−1} intervalından a təsadüfi ədədini seçirik və Evklid alqoritminin köməyi ilə
(a, n) = 1 şərtini yoxlayırıq;
2. Əgər şərt ödənmirsə, onda cavab «n − mürəkkəbdir»;
3. at (mod n) hesablanır;
4. Əgər at ≡ ±1 (mod n) olarsa, onda addım 1-ə keçirik;
5. −1 alınana qədər a2t, …, a2s−1t hesablanır;
6. Əgər bu ədədlərdən heç biri −1-ə bərabər deyilsə, onda cavab «n − mürəkkəbdir»;
7. Əgər −1 alınsa, onda cavab məlum deyil (və testi bir daha təkrar etmək olar).
Mürəkkəb ədəd 1 ⁄ 4 ehtimalı ilə mürəkkəb ədəd kimi müəyyən olunmayacaq.

RSA-nın dözümü. RSA kriptosisteminin dözümü böyük tam ədədləri vuruqlara ayırma
(faktorizasiya) məsələsinin çətinliyinə əsaslanır. Doğrudan da, deşifrləmə üçün nam nujno znatğ
pokazatelğ d. Məlum e-yə görə d-ni tapmaq üçün (n) Eyler funksiyasının qiymətini bilmək
lazımdır. (n)-ni hesablamaq üçün n ədədini p və q vuruqlarına ayırmaq lazım gələcək. Buna görə
n-in vuruqlara ayrılması məlumdursa, onda şifrlənmiş mətnə görə məlumatı asanlıqla tapmaq olar.
Faktorizasiyanın riyazi metodlarını inkişaf etdirmək məqsədi ilə RSA Data Security, Inc
korporasiyası RSA-modulların faktorizasiyası üzrə açıq müsabiqə elan etmişdir.

Layihə Rəqəmlərin Mükafat Ay, il Alqoritm

sayı
RSA-100 100 Aprel, 1991 kvadratik qəfəs
RSA-110 110 Aprel, 1992 kvadratik qəfəs
RSA-120 120 İyun, 1993 kvadratik qəfəs
RSA-129 129 $100 Aprel, 1994 kvadratik qəfəs
RSA-130 130 Aprel, 1996 ümumiləşmiş ədədi qəfəs
RSA-140 140 Fevral, 1999 ümumiləşmiş ədədi qəfəs
RSA-150 150 Aprel, 2004
RSA-155 155 Avqust, 1999
RSA-160 160 Aprel, 2003
RSA-200 200 May, 2005
RSA-576 174 $10,000 Dekabr, 2003
RSA-640 193 $20,000 Noyabr, 2005
RSA-704 212 $30,000
RSA-768 232 $50,000
RSA-896 270 $75,000
RSA-1024 309 $100,000
RSA-1536 463 $150,000
RSA-2048 617 $200,000

73
Mühazirə 14. Rəqəmsal imza sxemləri

Rəqəmsal imza. Ənənəvi əl imzası kimi rəqəmsal imza da informasiyanın autentikliyini və

müəlliflikdən imtina edə bilməməni təmin etmək üçün istifadə edilir.
Rəqəmsal imza yalnız imzalayan şəxsə məlum olan müəyyən məxfi parametrdən (açardan) və
imzalanan məlumatın məzmunundan asılı olan sabit uzunluqlqu verilənlər sətridir.
Rəqəmsal imza sxemini qurmaq üçün iki alqoritmi müəyyən etmək zərurudir: imzalama
alqoritmi və imzanı yoxlama alqoritmi.
Mövcud rəqəmsal imza sxemləri iki sinfə bölünürlər:
 məlumatı bərpa etməklə rəqəmsal imza sxemləri;
 məlumatı əlavə etməklə rəqəmsal imza sxemləri.
Məlumatı bərpa etməklə rəqəmsal imza sxemlərində imzalanmış məlumatın hamısı və ya bir
hissəsi bilavasitə rəqəmsal imzadan bərpa edilə bilər.
Məlumatı əlavə etməklə rəqəmsal imza sxemlərində rəqəmsal imza məlumata qoşulur və bu
şəkildə adresata göndərilir. Belə rəqəmsal imzanı yoxlamaq üçün əldə imza və imzalanmış məlumat
olmalıdır.
Məlumatı əlavə etməklə rəqəmsal imzanın modeli. Məlumatı əlavə etməklə rəqəmsal imza
sxemləri praktiki tətbiqlərdə ən geniş yayılmış sxemlərdir. Rəqəmsal imzaların bu sinfinə DSA,
ElGamal, Schnorr, QOST 34.10 kimi imza sxemləri aiddir. Məlumatı əlavə etməklə rəqəmsal imza
modelinə baxaq.
Tutaq ki, uzunluğu ixtiyari olan hər hansı m məlumatını imzalamaq lazımdır.
1. Kriptoqrafik heş funksiyadan istifadə etməklə məlumatın h(m) heş qiyməti hesablanır.
2. İmzalayan özünün kp özəl açarından, SIG() imza yaratma alqoritmindən və məlumatın h(m)
heş qiymətindən istifadə etməklə s = SIGkp(h(m)) imzasını yaradır.
3. m məlumatı və ona qoşulmuş s imzası alana göndərilir.
Alan imzanı aşağıdakı kimi yoxlayır.
1. İmzalayanın imza yoxlama açarının (açıq açarının) ka autentik surətini alır.
2. Alınmış m′ məlumatına görə h(m′) heş-qiymətini hesablayır.
3. VER() imzanı yoxlama alqoritmindən istifadə edərək imzanın doğru və ya yalan olması
haqqında qərar qəbul edir:
VERka(h(m′), s) → {true, false}.
Əl-Qamal rəqəmsal imza sxemi
Əl-Qamal (Taher ElGamal) tərəfindən 1985-ci ildə təklif olunan kriptoqrafik sistem həm
rəqəmsal imza, həm də şifrləmə üçün istifadə edilə bilər.
Tutaq ki, p  böyük sadə ədəd, g  GF(p) sonlu meydanının primitiv elementidir. Həm g-ni,
həm də p-ni istifadəçilər qrupu üçün ortaq etmək olar. Sistemin hər bir istifadəçisi açıq açar və
uyğun özəl açar yaradır. Bunun üçün istifadəçi A aşağıdakı əməliyyatları yerinə yetirir.
1. 1xp  2 şərtini ödəyən təsadüfi x ədədi generasiya edir.
2. y = gx mod p hesablayır.
3. A-nın açıq açarı (p, g, y), özəl açarı x-dir.
İmzalama alqoritmi. A m məlumatını imzalayır.
(a) 1kp2 və (k, p1) =1 şərtlərini ödəyən k təsadüfi ədədini generasiya edir, onu məxfi
saxlayır və imza yaradılan kimi məhv edir.
(b) r = gk mod p hesablayır.
(c) s = k1(m  xr) mod (p 1) hesablayır.
(d) m məlumatı üçün A-nın imzası (r, s) cütüdür.

74
İmzanı yoxlama alqoritmi. m məlumatı üçün A-nın (r, s) imzasını yoxlamaq üçün B aşağıdakı
əməliyyatları yerinə yetirir.
(a) A-nın (p, g , y) autentik açıq açarını əldə edir.
(b) 1rp 1 şərtinin ödənməsini yoxlayır, əgər şərt ödənmirsə, onda imza rədd edilir.
(c) v1 = y rr s mod p hesablayır.
(d) v2 = gm mod p hesablayır.
(e) Əgər v1 = v 2 , olarsa, onda imza doğru hesab edilir.
İmza yoxlamanın düzgünlüyünün əsaslandırılması. Əgər imza A tərəfindən yaradılıbsa, onda
s  k1(m  xr) (mod p1). Mu müqayisənin hər bir tərəfini k-ya vuraraq
ks  mxr (mod p  1) alırıq. Buradan m xr+ks(mod p1). Bu g m g xr+ks (g x)r r s y r r s(mod p),
yəni tələb edildiyi kimi v1 = v 2 bərabərliyini verir.
Əl-Qamal kriptosisteminin dözümü sonlu meydanda diskret loqarifm məsələsinin
hesablamaların həcmi cəhətdən çətinliyinə əsaslanır. GF(p) sonlu meydanında diskret loqarifm
məsələsi belə ifadə olunur: p, r sadə ədədləri və tərtibi r olan g<p natural ədədi verilib, yəni
gr º 1 (mod p), y = gx (mod p) qiymətini bilərək xÎZ qiymətini tapmaq tələb olunur.

Şnorr imza sxemi

Alman kriptoqrafı K. P. Şnorrun (C.P.Schnorr) təklif etdiyi rəqəm imzası və interaktiv
identifikasiya sxemi bir sıra ölkələrin rəqəm imzası standartının əsasını təşkil etmişdir. Şnorr
sxeminin təhlükəsizliyi diskret loqarifmləmə məsələsinin çətinliyinə əsaslanır.
Açarlar cütünün generasiyası üçün əvvəlcə iki p və q sadə ədədləri seçilir, həm də q ədədi
(p1)-in vuruğudur. Sonra təsadüfi g tam ədədi seçilir və a=g(p1)/q mod p hesablanır. Burada g
ədədi (p1) -dən kiçik istənilən ədəddir və onun üçün g(p1)/qmod p>1 şərti ödənməlidir. Bu ədədləri
açıq nəşr etmək olar, həmçinin onlardan istifadəçilər qrupu da istifadə edə bilər.
Konkret açarlar cütünü generasiya etmək üçün q-dən kiçik təsadüfi x ədədi seçilir. O, məxfi
açar olacaq. Sonra açıq açar y=a−xmod p düsturu ilə hesablanır.
İmzalama alqoritmi
1. q-dən kiçik təsadüfi k ədədi seçilir.
2. r=ak mod p hesablanır.
2. m və r birləşdirilir və nəticə heşlənir: e=H(m||r).
3. s=(k+xe)mod q hesablanır.
5. e və s cütü imza olacaq.
İmzanı yoxlama alqoritmi
1. v=asyemod p hesablanır.
2. v və m birləşdirilərək e=H(m||v) heş qiyməti hesablanır.
3. Əgər e=e bərabərliyi doğrudursa, imza həqiqi hesab edilir.
Doğrudan da, v=asye=ak+xe(ax)e= ak+xeaxe=ak=r. Deməli, H(m||v)= H(m||r) və e=e.
Əl-Qamal tipli imza sxemlərində imzaların hesablanması və yoxlanması zamanı yerinə
yetirilən ən mürəkkəb əməliyyat gz mod n diskret qüvvətə yüksəltmə əməlidir. Şnorr sxeminin Əl-
Qamal sxemindən üstünlüyü y-in daha kiçik çoxluqdan (y–in uzunluğu 140-bit ətrafındadır)
seçilməsidir. Bü diskret hesablamaların səmərəsini artırır. Bundan başqa qeyd edək ki, Şnorr
sxemində e-nin hesablanması zamanı heş funksiyanın istifadəsi və imzanın q moduluna görə
gətirilməsi imzanın uzunluğunu Əl-Qamal imzası ilə müqayisədə azaldır. İmzanın uzunluğu
rəqəmsal imza sxeminin səmərələliyinin ən vacib göstəricilərindən biridir. Eyni təhlükəsizlik
səviyyəsində Şnorr imzalarının uzunluğu RSA imzalarınkından kiçikdir. Məsələn, 140-bitlik q
üçün imzanın uzunluğu 212 bitə bərabərdir və RSA imzasının uzunluğunun yarısından kiçikdir.
Şnorr imzası Əl-Qamal imzalarından da xeyli qısadır.

75
Mühazirə 15. Elektron imza. Açıq açarlar infrastrukturu

“Elektron imza və elektron sənəd haqqında” Azərbaycan Respublikası Qanununda aşağıdakı

təriflər verilir:
Elektron imza − digər verilənlərə əlavə edilən və ya onlarla məntiqi əlaqəli olan, imza sahibini
identikləşdirməyə imkan verən verilənlərdir.
Gücləndirilmiş elektron imza − imza sahibinin nəzarəti altında olan elektron imza vasitələri ilə
yaradılan və yalnız imza sahibinə məxsus olmaqla onu identikləşdirən, əlaqəli olduğu məlumat
bildirişinin bütövlüyünü, dəyişməzliyini, təhrif olunmadığını və saxtalaşdırılmadığını müəyyən
etməyə imkan verən elektron imzadır.
Beləliklə, elektron imza yalnız bir funksiyanı həyata keçirir – imza sahibini müəyyən edir.
Gücləndirilmiş elektron imza isə imza sahibini identikləşdirməklə yanaşı, imzalanan məlumatın
tamlığına da nəzarət edir.
Azərbaycan Respublikasının qanunvericiliyində nəzərdə tutulmuş hallar istisna olmaqla,
sertifikatlaşdırılmış imza vasitələri ilə yaradılmış və qüvvədə olan təkmil sertifikatlı gücləndirilmiş
imza əl imzası ilə bərabər hüquqi qüvvəyə malikdir.
Qeyd edək ki, Azərbaycan Respublikası vətəndaşlarının yeni nəsil şəxsiyyət vəsiqələrinə vəsiqə
sahibinin gücləndirilmiş elektron imzası ilə əlaqədar sertifikatların, elektron imza yaratma və
elektron imzanı yoxlama məlumatlarının daxil edilməsi nəzərdə tutulur.
Praktikada gücləndirilmiş imza rəqəmsal imza alqoritmlərinin köməyi ilə həyata keçirilir.
Asimmetrik kriptoqrafiya metodlarından istifadə etdikdə (istifadəçi, açıq açar) cütünün
həqiqiliyinə zəmanət tələb olunur. Bu məsələnin həlli üçün rəqəmsal sertifikatdan istifadə edilir.
Rəqəmsal sertifikat xüsusi sertifikat xidmətləri mərkəzləri tərəfindən verilir.
Açıq Açarlar İnfrastrukturu (AAİ). Açıq Açarlar İnfrastrukturu (Public Key Infrastructure, PKI)
termini açıq açarlı kriptoqrafik texnologiyaların istifadəsi üçün zəruri olan proqram-aparat
vasitələri və təşkilati-texniki tədbirlər kompleksini əhatə edir. AAİ aşağıdakı komponentləri əhatə
edir:
 sertifikat mərkəzi;
 qeydiyyat mərkəzi;
 sertifikatlar bazası;
 son istifadəçilər və kliyent proqram təminatı.
Sertifikat Mərkəzi (SM)  AAİ-ın əsas idarəedici komponentidir, tabeçiliyində olan SM-lər və və
son istifadəçilər üçün elektron sertifikatların formalaşdırılması üçün nəzərdə tutulub.
Sertifikatlardan başqa SM sistemin reqlamenti ilə müəyyən edilən müntəzəmliklə geri çağırılmış
sertifikatların siyahısını (Certificate Revocation List, CRL) formalaşdırır . SM-in əsas
funksiyalarına aiddir:
 özünün məxfi açarının və SM-in sertifikatının formalaşdırılması;
 tabeçiliyində olan SM-lərin sertifikatlarının formalaşdırılması;
 son istifadəçilərin açıq açarları üçün sertifikatların formalaşdırılması;
 geri çağırılmış sertifikatlar siyahısının formalaşdırılması;
 hazırlanmış bütün sertifikatların reyestrinin və geri çağırılmış sertifikatlar siyahısının
aparılması.
Qeydiyyat Mərkəzi (QM)  AAİ-ın məcburi olmayan komponentidir. QM-in əsas məsələsi 
istifadəçilərin qeydiyyatı və onların SM ilə qarşılıqlı əlaqəsinin təminidir. QM rəqəmsal sertifikatın
tərkibinə daxil edilən bütün məlumatı toplayır və yoxlayır. QM üçün verilənləri operator
klaviaturadan daxil edə bilər, son istifadəçi tərəfindən brauzer vasitəsilə göndərilə bilər və ya
kadrlar haqqında verilənlər bazasından və başqa bazadan yüklənə bilər. Sertifikatda hansı
informasiyanın göstərilməsini və onların hansı şəkildə daxil edilməsini sertifikasiya qaydaları
müəyyən edir. QM yoxlama və testetməni SM rəqəmsal sertifikatı nəşr etmək icazəsini alana qədər
yerinə yetirir. SM bir neçə QM-in xidmətindən istifadə edə bilər. QM öz funksiyalarını onlayn və
ya avtonom rejimdə yerinə yetirə bilər.
76
Son istifadəçi  sertifikatın sahibi olan və AAİ-dan istifadə edən istifadəçi, tətbiqi proqram və ya
sistem.
Sertifikatlar bazası  cari sertifikatlar və geri çağırılmış sertifikatlar saxlanır. Bu açıq verilənlər
bazasıdır, verilmiş və geri çağırılmış sertifikatlar haqqında informasiya bazadan sorğu əsasında
göndərilir. Saxlanc öz verilənlərini ya LDAP (Lightweight Directory Access Protocol), ya da
X.500 (bir neçə fiziki sistemdə yerləşdirilmiş faylların və kataloqların vahid məntiqi strukturunun
dəstəklənməsi üçün protokol) kataloqunun əsasında yaradılmış kataloqda nəşr edir.
AAİ arxitekturası. AAİ qurulmasının bir neçə müxtəlif modeli fərqləndirilir:
 iyerarxik: infrastrukturda ən yüksək sertifikasiya mərkəzi qeydiyyat mərkəzlərinin işini idarə
edir; onlar da öz növbəsində son istifadəçilərlə qarşılıqlı əlaqəni təmin edirlər;
 şəbəkə: müstəqil sertifikasiya mərkəzləri bir-birini qarşılıqlı sertifikasiya edərək şəbəkədə
birləşirlər;
 qarışıq: əvvəlki iki modelin əlamətlərini birləşdirir.
İyerarxiya prinsipi ilə qurulmuş AAİ-də bütün SM-lər iyerarxik tabeçilik prinsipinə görə
birləşirlər. Kök (mərkəzi) SM özü üçün və tabe SM-lər üçün sertifikatlar buraxır. Tabe SM-lər isə
öz növbəsində iyerarxiyanın sonrakı səviyyəsindəki SM-lər üçün və ya öz istifadəçiləri üçün
sertifikatlar buraxırlar. İyerarxik AAİ-də əlaqə saxlayan istənilən iki tərəf özək SM-in açıq açarını
bilir. Adətən belə infrastruktur şəbəkənin ölçülərinə və konfiqurasiyasına tam nəzarət imkanı və
zərurəti olan korporativ sistemlərdə qurulur.

….
..

a) iyerarxik model b) şəbəkə modeli

Şəkil 1. AAI-nin arxitektura modelləri

Şəbəkə arxitekturasında bütün SM-lər bərabər və ya eyniranqlı olurlar, yəni iyerarxiyanın eyni
səviyyələrində yerləşirlər. Şəbəkə modeli 1991-ci ildə F.Zimmerman tərəfindən ümumi istifadə
üçün yaradılmış PGP kriptoqrafik paketində realizə olunub və bütün dünyada bu proqramın
milyonlarla tərəfdarı tərəfindən istifadə edilir.
Şəbəkə modelinin fərqləndirici xüsusiyyəti - kriptosistemin bütün tərəfdarlarına
sertifikatlaşdırma funksiyasının verilməsidir. Eyni zamanda sistemin hər bir iştirakçısının digər
iştirakçıya, onun üçüncü şəxslərin açarını cavabdeh sertifikasiya etmə qabiliyyəti nöqteyi-
nəzərindən bəslədiyi inamın səviyyəsini müəyyən etmək imkanı var. Hər SM “yaxın” SM-in açıq
açarını bilir və bu “yaxın” SM onun üçün sertifikat buraxır. Sertifikatların yoxlanması verilən SM-
dən başlayan sertifikasiya zəncirinin yoxlanmasından ibarətdir. Şəbəkədə bərabər SM-lər arasında
inam münasibətləri SM-lərin müstəqil qarşılıqlı çapaz-sertifikasiyası vasitəsilə saxlanır. SM-lər
çapaz-sertifikatlar buraxırlar, yəni bir-biri üçün sertifikatlar buraxırlar və bu sertifikatları çapaz-
sertifikat cütündə birləşdirirlər. Belə arxitektura açıq şəbəkələrdə tətbiq edilir və İnternet vasitəsilə
elektron kommersiya sahəsində xüsusilə geniş yayılmışdır.
Azərbaycan Respublikası Rabitə və Yüksək Texnologiyalar Nazirliyi Məlumat Hesablama
Mərkəzi tabeliyində Milli Sertifikat Xidmətləri Mərkəzi fəaliyyət göstərir. Mərkəzin strukturu,
funksiyaları və Mərkəzdən sertifikatların alınması haqqında geniş məlumatı http://e-imza.az/
saytından əldə etmək olar.
"Elektron imza və elektron sənəd haqqında" Qanunda rəqəmsal sertifikatlara aid aşağıdakı
təriflər verilir:

77
 Sertifikat – imza sahibini identikləşdirmək üçün nəzərdə tutulan və elektron imzanı yoxlama
məlumatlarının imza sahibinə məxsus olması barədə sertifikat xidmətləri mərkəzinin verdiyi kağız
və ya elektron sənəd;
Təkmil sertifikat – akkreditə edilmiş sertifikat xidmətləri mərkəzi tərəfindən gücləndirilmiş
elektron imzanı yoxlama məlumatları barəsində verilən sertifikat;
Rəqəmsal sertifikat  bu qlobal şəbəkədə qüvvədə olan, xüsusi subyektin  Sertifikat Xidmətləri
Mərkəzinin rəqəmsal imzası ilə təsdiqlənmiş bir növ şəxsiyyət vəsiqəsidir. Faktiki olaraq rəqəmsal
sertifikat istifadəçinin fərdi verilənləri ilə onun açıq açarını bir yerdə əlaqələndirir. Rəqəmsal
sertifikatların formatını müəyyənləşdirən beynəlxalq ISO/IEC 9594-8 (ITU Rec. X. 509) standartı
var. X.509 sertifikatına əsas sahələr və genişlənmə sahələri daxildir. Əsas sahələr PKI
standartlarına uyğun olaraq işlənmiş istənilən proqram təminatı tərəfindən eyni cür interpretasiya
olunmalıdır. Sertifikata aşağıdakı sahələr aiddir:
Versiya. Sertifikatın formatının versiyasını göstərir.
Sıra nömrəsi (Serial Number). Verilən sertifikatla birqiymətli əlaqələndirilən, baxılan sertifikasiya
mərkəzi üçün unikal olan tam qiymət.
İmzalama alqoritminin identifikatoru (Signature algorithm). Sertifikatın imzasını yaratmağa
xidmət edən alqoritm, bütün zəruri parametrlərlə birlikdə.
Sertifikatı verən obyektin adı (Issuer). Sertifikatı yaradan və imza edən sertifikat xidmətləri
mərkəzinin X.500 standartı üzrə adı.
Sertifikatın fəaliyyət müddəti. İki tarix daxildir: sertifikatın fəaliyyət müddətinin başlanğıcı
(Valid from) və sonu (Valid to).
Subyektin adı (Subject). Sertifikatın yönəldiyi istifadəçinin adı, yəni baxılan sertifikat uyğun özəl
açarın məxsus olduğu subyektin açıq açarını təsdiqləyir.
Subyektin açıq açarı haqqında informasiya. Subyektin açıq açarı, bu açarın istifadə edilməli
olduğu alqoritmin identifikatoru, həmçinin bütün zəruri parametrlər.
Sertifikatı verən obyekytin unikal identifikatoru. Məcburi olmayan bitlər sətri, X.500 adını
müxtəlif obyektlər üçün istifadə etmək tələb edildikdə sertifikatı verən SM-in birqiymətli
identifikasiyası üçün istifadə edilir.
Subyektin unikal identifikatoru. Məcburi olmayan bitlər sətridir, X.500 adını müxtəlif obyektlər
üçün istifadə etmək tələb edildikdə subyektin birqiymətli identifikasiyası üçün istifadə edilir .
Genişlənmə. Bir və ya daha çox genişlənmə sahələri. Genişlənmələr versiya 3-də əlavə edilib.
İmza. Sertifikat onu verən sertifikat xidmətləri mərkəzinin rəqəmsal imzası ilə təsdiq edilir.
Sertifikatın bütün qalan sahələrini əhatə edir, tərkibinə qalan sahələrin sertifikat xidmətləri
mərkəzinin özəl açarı ilə şifrlənmiş heş qiyməti daxildir. Bu sahədə həmçinin imzalama
alqoritminin identifikatoru da olur.

78
 Sertifikatda aşağıdakı verilənlər olur: sertifikatın seriya nömrəsi; sertifikatın sahibinin adı;
sertifikatın sahibinin açıq açarı; sertifikatın fəaliyyət müddəti; elektron imza alqoritminin
identifikatoru; sertifikat xidmətləri mərkəzinin adı və s.
Asan imza (Mobil imza)
Elektron imzanın yaradılması və yoxlanması prosesləri proqram və aparat təminatı vasitələri ilə
həyata keçirilir. Yaxın zamanlara kimi, bu məqsədlə smart-kartlardan istifadə edilirdi. Elektron
imza yaratma və elektron imzanı yoxlama məlumatları və elektron imza sertifikatları smart-kartda
saxlanılır və elektron imzanın istifadəsi üçün kompüterə qoşulan kart oxuyucusu və xüsusi proqram
təminatı tələb edilir.
Elektron imzanın reallaşdırılması üçün geniş yayılan digər üsul mobil telefonlardan istifadə
edilməsidir. Bu yanaşmanın yuxarıda qeyd edilən yanaşmadan bir çox üstünlükləri vardır. Smart-
kart, kart oxuyucusu, kompüter tələb edilmir, hər hansı proqram təminatına da ehtiyac yoxdur.
İnternetə çıxışı olan mobil telefonla istənilən yerdən və istənilən an sənədləri rahatlıqla imzalamaq
mümkündür. Mobil telefonların elektron imza üçün istifadə edilməsində bəzi problemlərin olmasına
baxmayaraq (məsələn, ekranın ölçüləri, kommunikasiya xərcləri, məhdud hesablama resursları və
s.), rahat olması və təmin etdiyi mobillik onların potensialından istifadə etməyə imkan verir.
Asan imzadan istifadə etmək üçün mobil rabitə operatorlarından Asan İmza (Mobil ID) SIM-
kartı alaraq xidməti aktivləşdirmək üçün Vergilər Nazirliyinin Asan Sertifikat Xidmətləri Mərkəzinə
müraciət etmək lazımdır. Müvafiq təlimatları və asan imzaya aid ətraflı məlumatı
http://www.asanimza.az/az/ saytından əldə etmək olar.

79