Mavzu 18 : Axborot xavfsizligi
Reja:
4.
Axborot xavfsizligi
5.
Axborot xavfsizligini taminlash
6.
Axborot xavfsizligini taminlash tamoyillari
Tayanch so‘z va iboralar: ASIS, CERT/CC, FIRST, ISF, ISSA, CISA,
elektron pochta, chat, Control Protocol (TCP), Butunjahon oʻrgimchak
toʻri, papka, ma’murlash, Internet Protocol (IP). Tarmoq hujumlari turlari
va ularni bartaraf etish haqida ma’lumot va yordam beruvchi hamda
o‘rgatuvchi bir qator jamoat tashkilotlari mavjud. Quyida ularning bir
qismi veb-saytlari bilan berilgan: 1. American Society for Industrial
Security (ASIS) – Amerika sanoat xavfsizligi tashkiloti: Zarur xavfsizlikka
o‘qitishni taklif etadi va “Himoya bo‘yicha sertifikatlangan mutaxassis”
(Certified Protection Professional) sertifikatsiyasini o‘tkazadi. Uning
a’zolari va joylardagi bo‘limlari haqidagi ma’lumot joylangan sayt –
www.securitymanagement.com/library/000077.html
.
2. Computer Emergency Response Team Coordination Center
(CERT/CC) – Kompyuterlardagi favqulodda holatlarga tezkor javob
berish guruhlari faoliyatini muvofiqlashtirish markazi: Kompyuter va
tarmoq hujumlarni o‘rganish, tizimlarni himoya qilish usullarini topish va
hujumlar haqida asosiy ma’lumotlarni tarqatish maqsadida AQSH
Mudofaa boshqarmasining Ilg‘or ilmiy-tadqiqot mudofaa loyihalari
agentligi tomonidan asos solingan va hozirda Karnegi-Mellon
Universitetining Dasturiy injiniring institutida joylashgan. Markaz veb-
saytiga www.cert.org orqali tashrif buyurishingiz mumkin.
3. Forum of Incident Response and Security Teams (FIRST) –
Insidentlarga javob qaytarish va xavfsizlik guruhlari forumi: o‘quv
muassasalari, boshqarmalari va tijoratning 100 dan ortiq tashkilotlari
a’zo bo‘lgan xavfsizlik bo‘yicha xalqaro tashkilot. FIRST mahalliy
himoyada va xalqaro xavfsizlikda yuz beradigan insidentlarni oldini olish
va ularga tezkor javob qaytarishga yordam berish maqsadida tashkil
etilgan. Uning veb-sayti –
www.first.org
.
4. InfraGard: Xususiy sanoat konsorsiumi va AQSH kritik axborot
tizimlari infrastrukturasini himoya qilish maqsadida axborot
almashinuvni amalga oshiruvchi Markaziy razvedka boshqarmasi
tomonidan yo‘naltiriladigan AQSH federal boshqarmasi. InfraGard
haqida ko‘proq ma’lumot olish uchun manba:
www.infragard.net
.
5. Information Security Forum (ISF) – Axborot xavfsizligi forumi:
Coopers va Lybrand tomonidan Evropa xavfsizlik forumi sifatida ishga
tushirilgan bu tashkilot xalqaro faoliyati hisobiga kengaygan va 1992-
yilda ISF bo‘lgan. ISF o‘z faoliyatini «amaliy izlanishlar»ni nashr etish va
regional sammitlarda joylash orqali o‘tkazishga yo‘naltiradi. Siz bu
tashkilot haqida ko‘proq ma’lumotni www.securityforum.org saytidan
bilib olishingiz mumkin.
6. Information Systems Security Association (ISSA) – Axborot
tizimlari xavfsizligi uyushmasi: Bu ham kompyuter xavfsizligi bo‘yicha
o‘qitish va ilmiy izlanishlar olib boradigan xalqaro tashkilot. ISSA
Certified Information Systems Security Professional (CISSP), Systems
Security Certified Practitioner (SSCP), and Certified Information Systems
Auditor (CISA) kabi ko‘plab sertifikatsiya dasturlariga homiylik qilishga
yordam beradi. ISSA tashkiloti haqidagi ma’lumotlarni olish uchun
ushbu saytga murojaat eting:
www.issa.org
.
7. National Security Institute (NSI) – Milliy xavfsizlik instituti:
Xavfsizlikni buzishga tahdidning barcha turlari haqida ma’lumot beradi.
Ushbu tashkilotning kompyuter xavfsizligi qismi xavf haqida e`lonlar,
tadqiqot ishlari, rahbarlar uchun ma’lumotlar va xavfsizlik bo‘yicha
me`yoriy hujjatlar va davlat standartlari haqida ma’lumotlarni o‘z ichiga
oladi. Veb manzili – nsi.org.
8. SysAdmin, Audit, Network, Security (SANS) Institute – Tizim
administratori, audit, tarmoq va xavfsizlik instituti: xavfsizlik bo‘yicha
mutaxassislar uchun axborotlar, o‘qitish, tadqiqot ishlari va boshqa
resurslarni taklif etadi. SANS instituti Global Information Assurance
Certification (GIAC) dasturi asosida faoliyat boshlagan ushbu tashkilot
AQSHda va xalqaro miqiyosda to‘liq o‘qitish dasturini taklif etadi. Bu
otaliq dasturlari bilan bir qatorda xavfsizlikka onlayn o‘qitishni
ta’minlaydi. SANS instituti ba’zi internet-tahdidlarning xavflilik darajasini
o‘rganish maqsadida Internet-shtorm Markazi (Internet Storm Center –
isc.incidents.org) ga asos solgan. Institutning veb-sahifasi –
www.sans.org.
Axborot xavfsizligiga tahdid va uning turlari
Axborotni muhofaza qilishning maqsadi va konseptual asoslari
Umuman olganda axborotni muhofaza qilishning maqsadini
quyidagicha ifodalash mumkin: – axborotni tarqab ketishi, o‘g‘irlanishi,
buzilishi, qalbakilashtirilishini oldini olish;
– shaxs, jamiyat, davlatning xavfsizligiga tahdidni oldini olish;
– axborotni yo‘q qilish, modifikatsiyalash, buzish, nusxa olish,
blokirovka qilish kabi noqonuniy harakatlarning oldini olish;
– axborot resurslari va axborot tizimlariga noqonuniy ta’sir
qilishning boshqa shakllarini oldini olish, hujjatlashtirilgan axborotga
shaxsiy mulk ob‘ekti sifatida huquqiy rejimni ta’minlash;
– axborot tizimida mavjud bo‘lgan shaxsiy ma’lumotlarning
maxfiyligini va konfedensialligini saqlash orqali fuqarolarning
konstitutsiyaviy huquqlarini himoyalash;
– davlat sirlarini saqlash, qonunchilikka asosan hujjatlashtirilgan
axborotlar konfedensialligini ta’minlash;
– axborot jarayonlarida hamda axborot tizimlari, texnologiyalari va
ularni ta’minlash vositalarini loyihalash, ishlab chiqish va qo‘llashda
sub‘ektlarning huquqlarini ta’minlash.
Axborotni muhofaza qilishning samaradorligi uning o‘z vaqtidaligi,
faolligi, uzluksizligi va kompleksligi bilan belgilanadi. Himoya tadbirlarini
kompleks tarzda o‘tkazish axborotni tarqab ketishi mumkin bo‘lgan
xavfli kanallarni yo‘q qilishni ta’minlaydi. Ma’lumki, birgina ochiq qolgan
axborotni tarqab ketish kanali butun himoya tizimining samaradorligini
keskin kamaytirib yuboradi.
Axborotni muhofaza qilish sohasidagi ishlar holatining tahlili shuni
ko‘rsatadiki, muhofaza qilishning to‘liq shakllangan konsepsiyasi va
tuzilishi hosil qilingan, uning asosini quyidagilar tashkil etadi: – sanoat
asosida ishlab chiqilgan, axborotni muhofaza qilishning o‘ta
takomillashgan texnik vositalari; – axborotni muhofaza qilish
masalalarini hal etishga ixtisoslashtirilgan tashkilotlarning mavjudligi; –
ushbu muammoga oid etarlicha aniq ifodalangan qarashlar tizimi; –
etarlicha amaliy tajriba va boshqalar. Biroq, xorijiy matbuot xabarlariga
ko‘ra ma’lumotlarga nisbatan jinoiy harakatlar kamayib borayotgani
yo‘q, aksincha barqaror o‘sish tendensiyasiga ega bo‘lib bormoqda.
Himoyalangan axborotga tahdidlar tushunchasi va uning tuzilishi.
Umumiy yo‘nalishga ko‘ra axborot xavfsizligiga tahdidlar
quyidagilarga bo‘linadi: – O‘zbekistonning ma’naviy ravnaqi sohalarida,
ma’naviy hayot va axborot faoliyatida fuqarolarning konstitutsiyaviy
huquqlari va erkinliklariga tahdidlar; – mamlakatning axborotlashtirish,
telekommunikatsiya va aloqa vositalari industriyasini rivojlanishiga, ichki
bozor talablarini qondirishga, uning mahsulotlarini jahon bozoriga
chiqishiga, shuningdek mahalliy axborot resurslarini yig‘ish, saqlash va
samarali foydalanishni ta’minlashga nisbatan tahdidlar; – Respublika
hududida joriy etilgan hamda yaratilayotgan axborot va
telekommunikatsiya tizimlarining me`yorida ishlashiga, axborot
resurslari xavfsizligiga tahdidlar. Axborot hisoblash tizimlarida axborot
xavfsizligini ta’minlash nuqtai nazaridan o‘zaro bog‘liq bo‘lgan uchta
tashkil etuvchini ko‘rib chiqish maqsadga muvofiq: 1) axborot;
2) texnik va dasturiy vositalar;
3) xizmat ko‘rsatuvchi personal va foydalanuvchilar.
Har qanday axborot hisoblash tizimlarini tashkil etishdan maqsad
foydalanuvchilarning talablarini bir vaqtda ishonchli axborot bilan
ta’minlash hamda ularning konfedensialligini saqlash hisoblanadi.
Bunda axborot bilan ta’minlash vazifasi tashqi va ichki ruxsat etilmagan
ta’sirlardan himoyalash asosida hal etilishi zarur. Axborot tarqab
ketishiga konfedensial ma’lumotning ushbu axborot ishonib
topshirilgan tashkilotdan yoki shaxslar doirasidan nazoratsiz yoki
noqonuniy tarzda tashqariga chiqib ketishi sifatida qaraladi. Tahdidning
uchta ko‘rinishi mavjud. 1. Konfedensiallikning buzilishiga tahdid shuni
anglatadiki, bunda axborot unga ruxsati bo‘lmaganlarga ma’lum bo‘ladi.
Bu holat konfedensial axborot saqlanuvchi tizimga yoki bir tizimdan
ikkinchisiga uzatilayotganda noqonuniy foydalana olishlikni qo‘lga
kiritish orqali yuzaga keladi. 2. Butunlikni buzishga tahdid hisoblash
tizimida yoki bir tizimdan ikkinchisiga uzatilayotganda axborotni har
qanday qasddan o‘zgartirishni o‘zida mujassamlaydi. Jinoyatchilar
axborotni qasddan o‘zgartirganda, bu axborot butunligi buzilganligini
bildiradi. Shuningdek, dastur va apparat vositalarning tasodifiy xatosi
tufayli axborotga noqonuniy o‘zgarishlar kiritilganda ham axborot
butunligi buzilgan hisoblanadi. Axborot butunligi – axborotning
buzilmagan holatda mavjudligidir. 3. Xizmatlarning izdan chiqish tahdidi
hisoblash tizimi resurslarida boshqa foydalanuvchilar yoki jinoyatchilar
tomonidan ataylab qilingan harakatlar natijasida foydalana olishlilikni
blokirovka bo‘lib qolishi natijasida yuzaga keladi. Axborotdan foydalana
olishlilik – axborot aylanuvchi, sub‘ektlarga ularni qiziqtiruvchi
axborotlarga o‘z vaqtida qarshiliklarsiz kirishini ta’minlab beruvchi
hamda ixtiyoriy vaqtda murojaat etilganda sub‘ektlarning so‘rovlariga
javob beruvchi avtomatlashtirilgan xizmatlarga tayyor bo‘lgan tizimning
xususiyatidir. Axborotni muhofaza qilish tamoyillarini uchta guruhga
bo‘lish mumkin: huquqiy, tashkiliy hamda texnik razvedkadan
himoyalanishda va hisoblash texnikasi vositalarida axborotga ishlov
berishda axborotni muhofaza qilishdan foydalanish. Axborotni
muhofaza
qilish
tizimlaridan
foydalanish
amaliyoti
shuni
ko‘rsatmoqdaki, faqatgina kompleks axborotni muhofaza qilish tizimlari
samarali bo‘lishi mumkin. Unga quyidagi chora-tadbirlar kiradi:
1. Qonunchilik. Axborot himoyasi sohasida yuridik va jismoniy
shaxslarning, shuningdek davlatning huquq va majburiyatlarini qat`iy
belgilovchi qonuniy aktlardan foydalanish.
2. Ma’naviy-etik. Ob‘ektda qat`iy belgilangan o‘zini tutish
qoidalarining buzilishi ko‘pchilik xodimlar tomonidan keskin salbiy
baholanishi joriy etilgan muhitni hosil qilish va qo‘llab quvvatlash.
3. Jismoniy. Himoyalangan axborotga begona shaxslarning kirishini
taqiqlovchi jismoniy to‘siqlar yaratish.
4. Ma’muriy. Tegishli maxfiylik rejimi, kirish va ichki rejimlarni tashkil
etish.
5. Texnik. Axborotni muhofaza qilish uchun elektron va boshqa
uskunalardan foydalanish.
6. Kriptografik. Ishlov berilayotgan va uzatilayotgan axborotlarga
noqonuniy kirishni oldini oluvchi shifrlash va kodlashni tatbiq etish.
7. Dasturiy. Foydalana olishlilikni chegaralash uchun dastur
vositalarini qo‘llash. Fizik, apparatli, dasturli va hujjatli vositalarni o‘z
ichiga oluvchi barcha axborot tashuvchilarga kompleks holda himoya
ob‘ekti sifatida qaraladi. Odatda, so‘nggi vaqtlarda axborotdan
foydalanish, saqlash, uzatish va qayta ishlashda turli ko‘rinishdagi
axborot tizimlarida amalga oshirilmoqda. Axborot tizimi – bu odatda
matnli yoki grafik axborotlarni yig‘ish, saqlash, qidirish va qayta
ishlashga mo‘ljallangan amaliy dasturiy, ba’zan esa apparat-dasturiy
nimtizimdir. Ma’lumotlarning axborot tizimida mavjud bo‘lishining
moddiy asosi bu elektron va elektron-mexanik qurilmalar, shuningdek
axborot tashuvchilardir. Axborot tashuvchilari sifatida qog‘oz, magnit va
optik tashuvchilar, elektron sxemalar foydalanilishi mumkin. Demak,
qurilma va nimtizimlarni hamda axborot tashuvchilarini himoya qilish
zarur. Turli axborot tizimlarida foydalanuvchilar xizmat ko‘rsatuvchi
personal hisoblanib, axborot manbai va tashuvchilari bo‘lishi mumkin.
Shuning uchun himoya ob‘ekti tushunchasi keng ma’noda talqin etiladi.
Himoya ob‘ekti deganda nafaqat axborot resurslari, apparat va dasturiy
vositalar, xizmat ko‘rsatuvchi personal va foydalanuvchilar, balki bino
hamda u joylashgan hudud ham tushuniladi. Axborotni muhofaza
qilishning asosiy ob‘ektlariga quyidagilar kiradi: – davlat sirlari bilan
bog‘liq va konfedensial ma’lumotlarni o‘zida saqlovchi axborot
resurslari; – vositalar va axborot tizimlari (hisoblash texnikasi vositalari,
tarmoqlar va tizimlar), dasturiy vositalar (operatsion tizimlar,
ma’lumotlar bazalarini boshqarish tizimlari, amaliy dasturiy ta’minot),
avtomatlashtirilgan boshqaruv tizimlari, aloqa va ma’lumotlarni uzatish
tizimlari, ruxsati chegaralangan axborotni qabul qilish, uzatish va qayta
ishlash texnik vositalari (ovoz yozish, ovoz kuchaytirish, ovoz eshitish,
so‘zlashuv va televizion qurilmalar, hujjatlarni tayyorlash, ko‘paytirish
vositalari hamda boshqa grafik, matn va harfli-raqamli ma’lumotlarni
qayta ishlash vositalari), konfedensial va davlat sirlari toifasiga oid
bevosita qayta ishlovchi tizim va vositalar. Bunday tizim va vositalarni
ko‘pincha axborotlarni qabul qilish, qayta ishlash va saqlash texnik
vositalari deb atashadi.
Savol va topshiriqlar
1.
Axborot xavfsizligi nima?
2.
Axborot xavfsizligini taminlash qanday amalga oshiriladi/
3.
Axborot xavfsizligini taminlash tamoyillarini ayting?
4.
Axborot xavfsizligi forumi qachon bo‘lgan?
5.
Axborot butunligi nima?
6.
Axborot xavfsizligiga tahdid va uning turlarini ayting?
7.
CERT/CC nima?
Dostları ilə paylaş: |