1-ma’ruza. Axborot va kiberxavfsizlik tushunchasi, qonunchilik asoslari. Davlat va xo‘jalik boshqaruvi organlari, mahalliy ijro etuvchi hokimiyat organlarida axborot va kiberxavfsizlikni ta’minlash reytingi
1-MA’RUZA. AXBOROT VA KIBERXAVFSIZLIK TUSHUNCHASI, QONUNCHILIK ASOSLARI. DAVLAT VA XO‘JALIK BOSHQARUVI ORGANLARI, MAHALLIY IJRO ETUVCHI HOKIMIYAT ORGANLARIDA AXBOROT VA KIBERXAVFSIZLIKNI TA’MINLASH REYTINGI. Kiberxavfsizlik – tizimlarni, tarmoqlarni va dasturlarni raqamli hujumlardan himoyalash amaliyoti. Ushbu kiberxujumlar odatda maxfiy axborotni boshqarish, almashtirish yoki yo’q qilishni; foydalanuvchilarni pul undirishni; yoki normal ish faoliyatini uzub qo’yishni maqsad qiladi. Hozirgi kunda samarali kiberxavfsizlik choralarini amalga oshirish insonlarga qaraganda qurilmalar sonining ko’pligi va buzg’unchilar salohiyatini ortishi natijasida amaliy tomondan murakkablashib bormoqda.
Kiberxavfsizlik bilim sohasining zaruriyati birinchi meynfrem kompyuterlar ishlab chiqarilgandan boshlab paydo bo’la boshlagan. Bunda mazkur qurilmalarni va ular xizmat qilgan missiyalarni himoyasini uchun ko’p qatlamli xavfsizlik amalga oshirilgan. Milliy xavfsizlikni ta’minlash zaruriyatini ortishi natijasida kompleks va texnologik tomondan murakkab bo’lgan ishonchli xavfsizlik paydo bo’ldi.
Hozirgi kunda axborot texnologiyalari sohasida faoliyat yuritayotgan har bir mutaxassis kiberxavfsizlikning fundamental bilimlariga ega bo’ligi talab etiladi. Xususan, shundan kelib chiqib kiberxavfsizlik fan sohasini tuzulishini quyidagicha tasvirlash mumkin (1.1-rasm).
1.1-rasm. Kiberxavfsizlik fan sohasining tuzulishi
Kiberxavfsizlikni fundamental terminlarini aniqlashning turli yondashuvlari mavjud. Xususan, kiberxavfsizlikni quyidagi 6 termini keltirilgan:
1. Konfidensiallik. Tizim ma’lumoti va axborotiga faqat vakolatga ega subyektlar foydalanishi mumkinligini ta’minlovchi qoidalar. Mazkur qoidalar axborotni faqat qonuniy foydalanuvchilar tomonidan “o’qilishini” ta’minlaydi.
2. Yaxlitlik (butunlik). Ma’lumotni aniq va ishonchli ekanligiga ishonch hosil qilish. Ya’ni, axborotni ruxsat etilmagan o’zgartirishdan yoki “yozish”dan himoyalash.
3. Foydalanuvchanlik. Ma’lumot, axborot va tizimdan foydalanishning mumkinligi.
4. Risk. Potensial foyda yoki zarar.
5. Hujumchi kabi fikrlash. Bo’lishi mumkin bo’lgan xavfni oldini olish uchun qonuniy foydalanuvchini hujumchi kabi fikrlash jarayoni.
6. Tizimli fikrlash. Kafolatlangan amallarni ta’minlash uchun ijtimoiy va texnik cheklovlarni o’zaro ta’sirini hisobga oladigan fikrlash jarayoni.
CSEC2017 JTF manbasiga ko’ra kiberxavfsizlikni 8 ta bilim sohasiga ajratilgan bo’lib, o’z o’rnida ularning har biri qism sohalarga bo’linadi (1.2- rasm).
1.2-rasm. Kiberxavfsizlik bilim sohalari
“Ma’lumotlar xavfsizligi” bilim sohasi ma’lumotlarni saqlashda, qayta ishlashda va uzatishda himoyani ta’minlashni maqsad qiladi. Mazkur bilim sohasi himoyani to’liq amalga oshirish uchun matematik va analitik algoritmlardan foydalanishni talab etadi.
“Dasturiy ta’minotlar xavfsizligi” bilim sohasi foydalanilayotgan tizim yoki axborot xavfsizligini ta’minlovchi dasturiy ta’minotlarni ishlab chiqish va foydalanish jarayoniga e’tibor qaratadi.
“Tashkil etuvchilar xavfsizligi” bilim sohasi katta tizimlarda integrallashgan tashkil etuvchilarni loyihalash, sotib olish, testlash, analiz qilish va texnik xizmat ko’rsatishga e’tibor qaratadi. Tizim xavfsizligi gohida tashkil etuvchilar xavfsizligidan farq qiladi. Tashkil etuvchilar xavfsizligi ular qanday loyihalanganligi, yaratilganligi, sotib olinganligi, boshqa tarkibiy qismlarga ulanganligi, qanday ishlatilganligi va saqlanganligiga bog’liq.
“Aloqa xavfsizligi” bilim sohasi tashkil etuvchilar o’rtasidagi aloqani himoyalashga etibor qaratib, o’zida fizik va mantiqiy ulanishni birlashtiradi.
“Tizim xavfsizligi” bilim sohasi tashkil etuvchilar, ulanishlar va dasturiy ta’minotdan iborat bo’lgan tizim xavfsizligining aspektlariga e’tibor qaratadi. Tizim xavfsizligini tushunish uchun nafaqat, uning tarkibiy qismlari va ulanishini tushunishni, balki butunlikni hisobga olishni talab qiladi. Ya’ni, tizimni to’liqligicha ko’rib chiqishni talab qiladi. Mazkur bilim sohasi “Tashkil etuvchilar xavfsizligi” va “Aloqa xavfsizligi” bilim sohalari bilan bir qatorda, ushbu bilim sohasi tashkil etuvchilar ulanishining xavfsiligi va undan katta tizimlarda foydalanish masalasini hal qiladi.
“Inson xavfsizligi” bilim sohasi kiberxavfsizlik bilan bog’liq inson hatti harakatlarini o’rganishdan tashqari, tashkilotlar (masalan, xodim) va shaxsiy hayot sharoitida shaxsiy ma’lumotlarni va shaxsiy hayotni himoya qilishga e’tibor qaratadi.
“Tashkilot xavfsizligi” bilim sohasi tashkilotni kiberxavfsizlik tahdidlaridan himoyalash va tashkilot vazifasini muvaffaqqiyatli bajarishini madadlash uchun risklarni boshqarishga e’tibor qaratadi.
“Jamoat xavfsizligi” bilim sohasi u yoki bu darajada jamiyatda ta’sir ko’rsatuvchi kiberxavfsizlik omillariga e’tibor qaratadi. Kiberjinoyatchilik, qonunlar, axloqiy munosabatlar, siyosat, shaxsiy hayot va ularning bir-biri bilan munosabatlari ushbu bilim sohasidagi asosiy tushunchalar.
Shundan kelib chiqib aytish mumkinki, “Kiberxavfsizlik asoslari” kursi axborot texnologiyalari mutaxassisligi uchun eng muhim sohalar va bilimlar to’g’risida asosiy bilimlarni qamrab oluvchi umumiy kurs hisoblanadi.
Kiberxavfsizlikda yoki axborot xavfsizligida risklar salbiy ko’rinishda qaraladi. Riskga ISO tomonidan berilgan ta’rif quyidagicha:
Risk – bu noaniqlikning maqsadlarga ta’siri.
Maqsad – u yoki bu faoliyat jarayonida nimaga erishishni xoxlashimiz hisoblanadi. So’ngi keltirilgan misolda abituriyentning maqsadi – bu universitetga kirishdan iborat.
Noaniqlik – hozisaga, uning oqibatlari yoki uning ehtimolini bilishga aloqador axborotni yoki bilimlarni etishmasligi yoki qisman yetishmasligi holati. So’ngi keltirilgan misolda, murojaat etuvchini o’qishga kirish yoki kirmasligi noma’lum. Bundan tashqari o’qishga kirsa yoki kirmasa uni nima kutayotgani ham no’malum.
Ta’sir – kutilgan yoki xoxlagan hodisani salbiy yoki ijobiy tomonga og’ishi. So’ng misolda aytaylik, talaba “shartnoma” asosiy o’qishni kutayotgan bo’lsin. Bu holda kutilganidan salbiy og’ish bo’lganda, o’qishga kira olmaydi, agar kutilganidan ijobiy tomonga og’ish kuzatilsa byudjetga kiradi.
Risk ko’p hollarda voqyea oqibatlari va yuzaga kelish ehtimoli bilan bog’liq holda na’moyon bo’ladi.
Axborot xavfsizligi riski tashkilotga zarar yetkazishi mumkin bo’lgan axborot aktivlari yoki aktivlar guruhidagi mavjud zaiflikdan foydalanish orqali amalga oshiriladi.
Aktiv – tashkilot uchun qadrli bo’lgan ixtiyoriy narsa bo’lib, axborot xavfsizligiga bog’liq holda aktiv sifatida tashkilotning muhim ahborotini keltirish mumkin.
Tahdid – tizim yoki tashkilotga zarar yetkazishi mumkin bo’lgan istalmagan hodisa. Tahdid tashkilotning aktivlariga qaratilgan bo’ladi. Masalan, aktiv sifatida korxonaga tegishli biror saqlaguvchi hujjat bo’lsa, u holda ushbu hujjat saqlanadigan xonaga nisbatan tahdid amalga oshirilish mumkin.
Zaiflik – bu bir yoki bir nechta tahdidga sabab bo’luvchi tashkilot aktivi yoki boshqaruv tizimidagi kamchilik hisoblanadi. So’ngi keltirilgan misolda, xonada saqlangan tashkilot hujjatini qo’g’oz ko’rinishda bo’lgani sabab, uni yonishi mumkinligidir.