O’ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI
VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT
AXBOROT TEXNOLOGIYALARI UNIVERSITETI
AX xavflarini boshqarish fani bo’yicha
Amaliy Ish
Bajardi: Qurbanbaev Zafarbek
Tekshirdi
:
Xabibullayev Jahongir
Toshkent 2023
5- amaliy ish
Mavzu: Riskni “Vaziyatlar - daraxti” usuli yordamida tahlili.
Ishdan maqsad: Vaziyatlar - daraxti usulidan foydalangan holda
axborot xavfsizligidagi risklarni baholashni o’rganishdan iborat.
Qisqacha nazariy ma’lumot
Voqealar daraxti tahlili - asosiy hodisadan (ETA-Event tree analysis)
kelib chiqadigan hodisalar ketma -ketligini tuzish algoritmi. Favqulodda
vaziyatning rivojlanishini tahlil qilish uchun ishlatiladi. Har bir favqulodda
vaziyat senariysi chastotasi asosiy hodisaning chastotasini yakuniy voqea
ehtimolligiga ko'paytirish yo'li bilan hisoblanadi.
Shaklda butunlay mustaqil, hodisa daraxti misoli oddiy hisoblar
asosida ko'rsatilgan. Daraxt ko'rinishida joylashtirish orqali ETA qo'shimcha
tizimlar, funktsiyalar yoki to'siqlarni hisobga olgan holda, boshlanadigan
hodisaga mos keladigan yomonlashuvchi yoki yaxshilanadigan hodisalarni
ko'rsatishga imkon beradi.
Qo’llanilishi
ETA boshlangan hodisadan keyin turli xil salbiy senariylarni
modellashtirish, hisoblash va saralash (xavf nuqtai nazaridan) uchun
ishlatilishi mumkin. ETA mahsulot yoki jarayon hayot siklining istalgan
bosqichida qo'llanilishi mumkin. Voqealar potentsial senariylari va ketma -
ketligini ishlab chiqishga yordam beradigan va istalmagan natijalarni
kamaytirish uchun turli xil qayta ishlash choralari, to'siqlar yoki
boshqaruvlar natijalarga qanday ta'sir qilishi haqida fikr yuritish uchun
sifatli darajada qo'llanilishi mumkin.
Miqdoriy tahlillar boshqaruvning mosligini hisobga olish uchun eng
maqbuldir. Ko'pincha u turli xil xavfsizlik choralari va vositalari qo'llanilgan
hollarda nosozliklarni simulyatsiya qilish uchun ishlatiladi.
ETA zarar yoki foyda keltirishi mumkin bo'lgan voqealarni
modellashtirish uchun ishlatilishi mumkin. Biroq, imtiyozlar nuqtai
nazaridan eng maqbul bo'lgan yo'llarni izlash, odatda, qarorlar daraxti
yordamida modellashtiriladi.
Kirish ma'lumotlari
Kirish ma'lumotlari quyidagilarni o'z ichiga oladi:
-
mumkin bo'lgan voqealar ro'yxati;
-
davolash
choralari,
to'siqlar
va
nazoratlar
va
ularning
muvaffaqiyatsizlik ehtimoli haqidagi ma'lumotlar (miqdoriy tahlil uchun);
-
dastlabki
muvaffaqiyatsizlik
rivojlanadigan
jarayonlar
haqida
tushuncha.
Ishni bajarish tartibi
“Voqealar daraxti” ning qurilishi dastlabki voqeani tanlash bilan
boshlanadi, bu hodisa bo'lishi mumkin, masalan, sababli hodisa, elektr
uzilishi. Natijalarni kamaytirish uchun mavjud bo'lgan funktsiyalar yoki
tizimlar ketma -ket ro'yxatga olinadi. Har bir funktsiya yoki tizim uchun
uning yaxshi holatini yoki ishdan chiqishini ko'rsatadigan chiziq chiziladi.
Muvaffaqiyatning o'ziga xos ehtimolligi har bir satr uchun, masalan, ekspert
usuli yoki "daraxt" xatolarini tahlil qilish natijasida olingan, bu shartli
ehtimollik miqdoriy bahosi mavjudligida ko'rsatilishi mumkin. Shunday qilib,
hodisalarni rivojlantirishning turli usullari dastlabki holatdan boshlab
simulyatsiya qilingan.
Shuni ta'kidlash kerakki, hodisa daraxtidagi ehtimolliklar shartli bo'lib,
masalan, o't o'chirish tizimining ishlash ehtimoli real sharoitda o'tkazilgan
sinovlardan olingan ehtimollik emas, balki portlash natijasida sodir bo'lgan
yong'inda ishlash ehtimoli.
Daraxt tuzilishi bo'yicha o'tadigan har bir voqea yo'li, unga kiritilgan
barcha hodisalarning sodir bo'lish ehtimolini ifodalaydi. Shuning uchun,
natija chastotasi, har xil hodisalar mustaqil bo'lish sharti bilan, individual
shartli ehtimolliklar va boshlanadigan hodisaning chastotasi mahsuloti
bilan ifodalanadi.
Chiqish ma'lumotlari
-
ETA
natijalari
potentsial
muammolarning
hodisalarning
kombinatsiyasi sifatida sifatli tavsiflarini o'z ichiga oladi, ular hodisalarning
boshlanishidan har xil muammolarni (natijalar doirasini) yaratadi;
-
hodisalar
chastotasi
yoki
ularning
ehtimolligi
va
turli
xil
muvaffaqiyatsizliklar
ketma
-ketligi
va
ularga
ta'sir
ko'rsatuvchi
hodisalarning tegishli ahamiyatini miqdoriy baholash;
-
xavflarni kamaytirish bo'yicha tavsiyalar ro'yxati;
-
tavsiyalar samaradorligini miqdoriy baholash.
5.1-rasm. Riskni “Voqealar daraxti
”
yordamida tahlili
Afzalliklari va kamchiliklari
ETA quyidagi afzalliklarga ega;
-
tahlil qilish uchun vizual va sxematik tarzda, salbiy natijalarni
kamaytirishga
qaratilgan
boshlanish
hodisasi
va
tizimlar
yoki
funktsiyalarning bardoshliligi yoki ishlamay qolishi mumkin bo'lgan
senariylarni ko'rsatishga imkon beradi;
-
vaqt faktorini, hodisalar va "domino effektlarini" o'zaro
bog'liqligini hisobga olishga imkon beradi;
-
nosozlik daraxti yordamida ko'rsatib bo'lmaydigan hodisalar
ketma -ketligini grafik tasvirlash imkonini beradi.
Usul quyidagi kamchiliklarga ega:
ETAni keng qamrovli baholashning tarkibiy qismi sifatida ishlatish
uchun, boshqa tahlil usuli bilan qilish mumkin bo'lgan barcha hodisalarni
aniqlash kerak(masalan, HAZOP, PHA) , ammo har doim ham muhim
boshlang'ich hodisalar aniqlamaydi:
-
bu usul faqat tizimning bardoshliligi va nosozlik holatlarini
hisobga oladi, kechiktirilgan yaxshilanish holatlarni yoki hodisalarni
tiklanishini ko'rib chiqish qiyin;
-
Amalga oshirishning har bir yo'li oldingi yo'nalishlarda sodir
bo'lgan voqealar kombinatsiyasidan kelib chiqadi, shuning uchun barcha
munosabatlar mumkin bo'lgan yo'llar bo'ylab ko'rib chiqiladi, ammo ba'zi
munosabatlar, masalan, umumiy komponentlar, ta'minot tizimlari va
xodimlar e'tiborga olinmaydi, bu xavfni yetarlicha baholamaslikka olib
kelishi.
Topshiriq
Ushbu ishda talaba bо‘lishi mumkin bо‘lgan ixtiyoriy xavfli hodisani
Voqealar daraxtini quradi va hodisalar ehtimolliklarini aniqlaydi hamda
berilgan nazorat savollariga javob yozadilar
Optimal kod yozilmaganligi 0.3
Dasturiy 0.7
Antivirus yo’qligi 0.1
Virus 0.3
Ma’lumotlarni yo’qolishi
litsensiya yo’qligi 0.2
1.0
Qiziqish 0.05
xakkerlar
Inson omili 0.3
0.1
Aniq maqsad 0.05
Xodimlar 0.2
bilimsizlik 0.1
Xafa xodimlar 0.1
6- amaliy ish
Mavzu: Riskni identifikatsiyalash
Ishdan maqsad: Aktivlarga duch kelishi mumkin bo'lgan axborot
xavfsizligining dolzarb tahdidlarini identifikatsiyalash dolzarb tahdidlar
uchun "tahdid paydo bo'lish ehtimoli" ko'rsatkichini aniqlashni o’rganishdan
iborat.
Qisqacha nazariy ma’lumot
Axborot aktivlarini identifikatsiya qilish.
Aktivlarning quyidagi turlari ajratiladi:
-
birlamchi (axborot) aktivlar - kompaniya uchun muhim bo'lgan, uning
ixtiyorida bo'lgan va uni qayta ishlash, saqlash yoki uzatish uchun mos
shaklda har qanday moddiy tashuvchida taqdim etilgan ma'lumotlar;
-
ikkilamchi aktivlar - kompaniya tomonidan o'z maqsadlariga erishish
uchun foydalaniladigan, asosiy (axborot) aktivlar joylashtiriladigan yoki ular
yordamida qayta ishlanadigan, saqlanadigan resurslar.
Birlamchi
axborot
aktivlari
ro'yxatini
shakllantirish
axborot,
axborotlashtirish va axborotni himoya qilish to'g'risidagi O‘zbekiston
Respublikasi qonunchiligiga shu jumladan texnik normativ-huquqiy hujjatlar
va biznes jarayonini amalga oshirish nuqtai nazaridan aktivning kritikligini
baholashni hisobga olgan holda muvofiq amalga oshirilishi kerak.
Amaliy qism
Birlamchi aktivning qiymati asosiy aktivga nisbatan axborot
xavfsizligi buzilishi tahdidi yuzaga kelgan taqdirda Kompaniyaning
biznesiga yetkazilishi mumkin bo'lgan zararni taxmin qilish asosida
aniqlanadi.
Aktiv qiymati shkalasi uchta asosiy xususiyatga asoslanadi: yaxlitlik,
maxfiylik va mavjudlik.
Birlamchi aktivlarning qiymati quyida keltirilgan mezonlarga muvofiq
belgilanadi.
Ikkilamchi aktivlar - kompaniya o'z maqsadlariga erishish uchun
foydalanadigan, birlamchi (axborot) aktivlar joylashtiriladigan yoki ular
yordamida qayta ishlanadigan, saqlanadigan resurslar.
Ikkilamchi axborot aktivlarining quyidagi turlari mavjud:
dasturiy ta'minot (keyingi o‘rinlarda - DT deb yuritiladi ):
uskunalar (server uskunalari, Avtomatlashtirilgan ish o'rinlari,
tarmoq uskunalari):
axborot tizimlari:
qog'oz axborot tashuvchilar.
Ikkilamchi aktivlarning qiymati ushbu ikkilamchi aktiv yordamida qayta
ishlangan asosiy aktivning maksimal qiymatini meros qilib olish qoidasi
asosida aniqlanadi.
6-1-jadval. Ikkilamchi aktivning qiymatini identifikatsiyalash misoli.
Asosiy
aktiv(AA)
Ikkilamchi
aktiv nomi
K
B
F
AA-1
AT
3
3
1
AA-2
AT
3
3
3
AA-3
AT
5
2
2
Maksimal zarar
5
3
3
Aktivga nisbatan axborot xavfsizligi tahdidlarining mumkin bo'lgan
manbalarini aniqlash tahdid manbai mavjudligi bilan tavsiflanadi,
shuning uchun axborot xavfsizligi tahdidlarining manbalari axborot
xavfsizligi tahdidlarini identifikatsiyalashda hal qiluvchi omil hisoblanadi.
Axborot xavfsizligiga tahdidlar tasodifiy yoki qasddan sodir bo'lishi
mumkin bo'lgan tabiiy hodisalar, texnogen hodisalar yoki inson
harakatlari natijasida yuzaga kelishi mumkin..
Tahdidlarni identifikatsiyalash bosqichida quyidagi standart
tahdidlar ro'yxatidan foydalanish kerak:
Axborot tizimlariga jismoniy kirish bilan bog'liq tahdidlar
Kompyuter uskunalari va axborot tashuvchilarini ichki buzg'unchilar
(insiderlar) tomonidan o'g'irlash yoki ularga zarar yetkazish.
Kompyuter uskunalari va axborot tashuvchilarini tashqi
huquqbuzarlar tomonidan o'g'irlash yoki ularga zarar yetkazish.
Ichki huquqbuzarlar (insiderlar) tomonidan qog'oz hujjatlarini
o'g'irlash.
Tashqi huquqbuzarlar tomonidan qog'oz hujjatlarini o'g'irlash.
Ruxsatsiz kirish tahdidlari
Foydalanuvchi
identifikatorini
belgilash,
boshqa
birovning
foydalanuvchi identifikatorlaridan foydalanish, parollar va boshqa
autentifikatsiya ma’lumotlarini oshkor qilish.
Ichki va tashqi buzg'unchilar tomonidan himoya tizimining tarkibiy
qismlarida zaifliklardan foydalanish. Qoidabuzarlar tasodifan yoki
maqsadli qidiruv natijasida ma'lumotlarga ruxsatsiz kirish uchun
ishlatilishi mumkin bo'lgan himoya vositalarida zaifliklarni aniqlashlari
mumkin.
Axborot texnologiyalari xizmatlari va axborot aktivlarini yo'q
qilish (yo'qotish) xavf-xatarlari
Texnik vositalarning buzilishi(kompyuter uskunalari).
Konditsioner tizimining buzilishi.
Tarmoq uskunalari buzilishi.
Elektr tarmog'idagi o'zgarish.
Ma'lumotlarning yaxlitligi va ruxsatsiz modifikatsiyasi tahdidi
Texnik xodimlarning xatolari natijasida tizimlar va ma’lumotlar,
ma’lumotlar bazalari, hisobotlar va hokazolarning yaxlitligini buzish.
Faol tarmoq uskunalari konfiguratsiyasini o'zgartirish.
ichki qoidabuzarlar (insayderlar) tomonidan tizimlar yoki
ma’lumotlarning yaxlitligini qasddan buzish, tizim konfiguratsiyasini,
ma’lumotlar
fayllarini,
ma’lumotlar
bazalarini,
hisobotlarni
va
hokazolarni ruxsatsiz o‘zgartirish.
Tizimga tizimga kiritish va zararli dasturlarni bajarish natijasida
tizimlar va ma’lumotlarning yaxlitligini buzish;
Antropogen va tabiiy ofatlar tahdidi
texnogen ofatlar (portlash, terrorizm, vandalizm, qasddan zarar
etkazishning boshqa usullari).
bombardimon qilish.
Ish tashlash.
Tabiiy ofatlar (suv toshqini, yong‘in, bo‘ron, zilzila va boshqalar).
chaqmoq.
Dovul.
Huquqiy tahdidlar
Intellektual mulk huquqlarini buzish.
Dasturiy ta'minotdan noqonuniy foydalanish
Intellektual mulk bo'lgan axborot materiallaridan ruxsatsiz
foydalanish.
Patent qonunining buzilishi
Qonunchilik va me'yoriy bazani buzish (talablarga mos kelmasligi)
Noqonuniy import / eksport dasturiy ta'minot
Shartnoma majburiyatlarini bajarmaslik.
Topshiriq
Ushbu ishda talaba tashkilotdagi mavjud bir nechta risklarni aniqlab
ularni identifikatsiyalashni amalga oshirishi lozim hamda berilgan nazorat
savollariga javob yozadilar.
Asosiy
aktiv(AA)
Ikkilamchi
aktiv nomi
K
B
F
AA-1
S
3
3
3
AA-2
E
4
4
4
AA-3
D.T
5
3
2
Maksimal zarar
5
4
3
7- amaliy ish
Mavzu: Risk tahlili
Ishdan maqsad: Axborot xavfsizligida mavjud risklarni aniqlash va
ularni tahlil qilish ko’nikmalarini hosil qilishdan iborat.
Qisqacha nazariy ma’lumot
"Tahdid ehtimoli" ko'rsatkichi asosida aktivlarga nisbatan
senariylarni amalga oshirish ehtimoli baholanadi. Senariyni amalga
oshirish ehtimolini baholash mumkin bo'lgan tahdidlarni amalga
oshirish senariylarini tahlil qilish va zaifliklarni amalga oshirish
ehtimolini aniqlashdan iborat.
Risklarni baholashda ishtirok etadigan har bir axborot tizimi uchun
senariyni amalga oshirish ehtimolini aniqlash bosqichida mavjud
zaifliklarni qoplaydigan va shu bilan "zaifliklardan foydalanish ehtimoli"
indeksining qiymatini kamaytiradigan mavjud himoya choralari
aniqlanadi. Himoya choralari ro'yxati "AX buzilishi xavfini baholash
natijalari bo'yicha hisobot"da belgilanadi.
Keyinchalik, kompaniyada amalga oshirilgan muayyan himoya
choralarini hisobga olgan holda, tahdidning mumkin bo'lgan zaifliklarni
hisobga olgan holda amalga oshirilishi mumkinligini tavsiflovchi
"zaiflikdan foydalanish ehtimoli" indikatorining qiymati aniqlanadi.
"Zaiflikdan foydalanish ehtimoli" ko'rsatkichi beshta mumkin bo'lgan
qiymatdan birini olishi mumkin: "juda past", "past", "o'rtacha", "yuqori"
yoki "juda yuqori". "Zaiflikdan foydalanish ehtimoli" indikatoriga
asoslangan mezonlar quyidagi jadvalda keltirilgan.
Ishni bajarish tartibi
7-1-Jadval. "Zaiflikdan foydalanish ehtimoli" (ZFE) ko'rsatkichini
aniqlash mezonlari.
Zaiflikdan
foydalanish
Darajaning tavsifi (sifatli baholash)
ehtimoli
Juda baland Himoya choralari amalga oshirilmadi (texnik himoya vositalari joriy
etilmagan, jarayon tartibga solinmagan).
Yuqori
Himoya choralari qisman amalga oshirildi, barcha zarur reglamentlar
mavjud emas, ular to'liq bajarilmayapti, qabul qilingan chora-tadbirlar
samaradorligini baholash bo'yicha chora-tadbirlar belgilanmagan.
O'rtacha
Himoya choralari amalga oshirildi, zarur reglamentlar mavjud, ammo ular
to'liq bajarilmayapti, ko'rilgan chora-tadbirlar samaradorligini baholash
bo'yicha chora-tadbirlar belgilanmagan.
Qisqa
Himoya choralari to'liq amalga oshirildi va yuqori darajadagi himoyani
ta'minlash uchun barcha zarur choralar amalga oshirildi, ishlarning asosiy
qismi tartibga solindi, ammo jarayonlar bo'yicha alohida tashkiliy-
ma'muriy hujjatlar mavjud emas. Qo'llaniladigan himoya choralarining
samaradorligini davriy sinov va tekshirish bo'yicha ishlar bajarilmaydi.
Juda past
Himoya choralari to'liq amalga oshirilgan va maksimal himoya darajasini
saqlab qolish uchun barcha zarur choralar amalga oshirildi (texnik
ychimlar joriy etildi, barcha zarur reglamentlar ishlab chiqildi, davriy sinov
va qo'llaniladigan himoya choralarining samaradorligini tekshirish amalga
oshirildi).
So'ngra, "tahdid senariyini amalga oshirish ehtimoli" ko'rsatkichi
aniqlanadi, bu esa qabul qilingan himoya choralarini hisobga olgan holda
tahdidni amalga oshirish imkoniyatini tavsiflaydi va indikatorlarning
qiymatlari asosida hisoblab chiqiladi.
"Tahdidning yuzaga kelishi ehtimoli" va "zaiflikdan foydalanish
ehtimoli" misoli quyidagi matritsada keltirilgan. "Tahdid senariyasini
amalga oshirish ehtimoli" ko'rsatkichi beshta qiymatdan birini olishi
mumkin: "juda past", "past", "O'rtacha", "yuqori"yoki" juda yuqori".
7-2-Jadval. "Tahdid senariyasini amalga oshirish ehtimoli"
indeksini aniqlash matritsasi
Tahdid yuzaga kelishi ehtimoli
Past
O'rta
Yuqori
Zaiflikdan
foydalanish
ehtimoli
Juda Past
Juda past
Juda past
Past
Past
Juda past
Past
O'rtacha
O'rtacha
Past
O'rtacha
Yuqori
Yuqori
O'rtacha
Yuqori
Juda yuqori
Juda yuqori
Yuqori
Juda yuqori
Juda yuqori
AX buzilishi xavfi darajasini aniqlash
"AXni buzish xavfi darajasi" ko'rsatkichi senariyni amalga oshirish
ehtimolini va ushbu senariyni amalga oshirishdan zarar miqdorini
(mumkin bo'lgan zararni) hisobga olgan holda qiymatni tavsiflaydi va
quyida keltirilgan matritsaga muvofiq aniqlanadi.
7-3-Jadval . "AX buzilishi xavfi darajasi" indikatorini aniqlash matritsasi
Senariyni amalga oshirish ehtimoli
Juda Past
Past
O'rtacha
Yuqori
Juda
yuqori
Zarar
miqdori
(mumkin bo'lgan
zarar)
1
P
P
P
P
P
2
P
P
P
O‘
O‘
3
P
P
O‘
O‘
Y
4
P
P
O‘
Y
Y
5
P
O‘
Y
Y
Y
Matritsada xavf darajasini belgilaydigan qiymatlar qo'llaniladi: P-
past risk darajasi; O'-o'rtacha risk darajasi; Y-yuqori risk darajasi
Asosiy aktivning (K, B, F) har bir xususiyati uchun xavf darajasi
(maxfiylik buzilishi xavfi darajasi (MB), butunlik buzilishi xavfi darajasi (BB),
foydalanuvchanlik buzilishi xavfi darajasi (FB)) aniqlanadi va axborotning
qaysi xususiyatlarini bir yoki boshqa senariyga yo'naltirilganligini hisobga
olish kerak. Buni amalga oshirish uchun, har bir senariyni boshqaradigan " +
" xususiyatlarini ko'rsatadigan "ma'lumotlar xususiyatlarining buzilishi"
ustunini (K, B, F) ko'rsatadigan "manbalar, tahdidlar va zaifliklar katalogi" ga
rahbarlik qilish kerak. Har bir xususiyat uchun AXning xavf darajasini
aniqlashda, agar senariy faqat bir yoki ikkita ma'lumot xususiyatiga
yo'naltirilgan bo'lsa, ushbu qiymatlar bo'yicha yakuniy darajani hisoblash
kerak. Senariy yo'naltirilmagan mulkni baholash yakuniy darajani
aniqlashda e'tiborga olinmasligi maqsadga muvofiq.
AX riskining yakuniy darajasi KB, BB, FB dan maksimal qiymat
bilan belgilanadi. AX risk darajasini aniqlash natijalari "AX risklarini
baholash natijalari bo'yicha hisobot"ga kiritiladi.
Topshiriq
Ushbu ishda talaba tashkilotdagi mavjud bir nechta risklarni aniqlab
yuqoridagi jadvallar asosida ularni tahlilalshni amalga oshirishi lozim
hamda berilgan nazorat savollariga javob yozadilar.
Tahdid yuzaga kelishi
Zaiflik extimoli
Juda past
Past
O’rta
Yuqori
Juda yuqori
P
P
O’
Y
Y
P
P
P
P
Y
P
O’
O’
O’
O’
P
O’
Y
Y
Y
P
P
P
O’
Y
Dostları ilə paylaş: |