Tasdiqlayman ” Denov Tadbirkorlik va Pedagogika Instituti Axborot texnologiyalari kafedrasi mudiri: Rajabov. T “ ” 2023 yil kiberxavfsizlik asoslari fanidan ii-kurs Kompyuter injiniringi uchun
O’ZBEKISTON RESPUBLIKASI
OLIY TA’LIM, FAN VA INNOVATSIYALAR VAZIRLIGI
DENOV TADBIRKORLIK VA PEDAGOGIKA INSTITUTI
TADBIRKORLIK VA BOSHQARUV FAKULTETI
“AXBOROT TEXNOLOGIYALARI” KAFEDRASI
“ TASDIQLAYMAN ” Denov Tadbirkorlik va Pedagogika Instituti
Axborot texnologiyalari kafedrasi
mudiri:____________Rajabov.T
“ ____” ___________2023 yil
KIBERXAVFSIZLIK ASOSLARI FANIDAN II-kurs Kompyuter injiniringi uchun O’QUV-USLUBIY MAJMUA Bilim sohasi: 100 000 – Ta’lim
Ta’lim sohasi: 110000 – Ta’lim
Ta’lim yo’nalishi: 60610500 – Kompyuter injiniringi
1- Ma’ruza mashg’uloti. Mavzu: Kiberxavfsizlikning asosiy tushunchalari. Reja: 1. Kiberxavfsizlikningasosiytushunchalari 2. Kiberxavfsizlikningbilimsohalari Kiberxavfsizlikningasosiytushunchalari Kompyuter tizimlari va tarmoqlarida axborotni himoyalash va axborot xavfsizligiga tegishli bo’lgan ayrim tushunchalar bilan tanishib chiqaylik.
Kiberxavfsizlik hozirda yangi kirib kelgan tushunchalardan biri bo’lib, unga berilgan turlicha ta’riflar mavjud. Xususan, CSEC2017 Joint Task Force manbasida kiberxavfsizlikka quyidagicha ta’rif berilgan [1]: kiberxavfsizlik – hisoblashlarga asoslanganbilim sohasi bo’lib, buzg’unchilar mavjud bo’lgan sharoitda amallarni to’g’ri bajarilishini kafolatlash uchun o’zida texnologiya, inson, axborot va jarayonlarni mujassamlashtiradi.Uxavfsiz kompyutertizimlariniyaratish,amalga oshirish, tahlillash va testlashni o’z ichiga oladi. Kiberxavfsizlik ta’limning mujassamlashgan bilim sohasi bo’lib, qonuniy jihatlarni, siyosatni, inson omilini, etika va risklarni boshqarishni o’z ichiga oladi. Tarmoqlar sohasida faoliyat yuritayotgan Cisco tashkiloti esa kiberxavfsizlikka quyidagicha ta’rif bergan [2]: Kiberxavfsizlik – tizim, tarmoq va dasturlarni raqamli hujumlardan himoyalash amaliyoti. Ushbu kiberxujumlar odatda maxfiy axborotni boshqarish, almashtirish yoki yo’q qilishni; foydalanuvchilardan pul undirishni; normal ish faoliyatini buzishni maqsad qiladi. Hozirgi kunda samarali kiberxavfsizlik choralarini amalga oshirish insonlarga qaraganda qurilmalar soni va turlarining kattaligi va buzg’unchilar salohiyatini ortishi natijasida amaliy tomondan murakkablashib bormoqda. Kiberxavfsizlik bilim sohasining zaruriyati birinchi meynfreym kompyuterlar ishlab chiqarilgandan boshlab paydo bo’la boshlagan. Bunda mazkur qurilmalarni va ularning vazifalari himoyasi uchun ko’p qatlamli xavfsizlik choralari amalga oshirilgan. Milliy xavfsizlikni ta’minlash zaruriyatini oshib borishi kompleks va texnologik murakkab ishonchli xavfsizlik choralarini paydo bo’lishiga olib keldi.
Hozirgi kunda axborot texnologiyalari sohasida faoliyat yuritayotgan har bir mutaxassisdan kiberxavfsizlikning fundamental bilimlariga ega bo’lishi talab etiladi. Demak, kiberxavfsizlik fani sohasining tuzilishini quyidagicha tasvirlash mumkin
(2-rasm).–rasm.Kiberxavfsizlikfanisohasiningtuzilishi Kiberxavfsizlikni fundamental atamalarini aniqlashga turli yondashuvlar mavjud. Xususan, CSEC2017 JTF manbasida mualliflar kiberxavfsizlikni quyidagi 6 atamasi keltirishgan [1]:
Konfidensiallik – axborot yoki uni eltuvchining shunday holati bo’lib, undan ruxsatsiz tanishishning yoki nusxalashning oldi olingan bo’ladi. Konfidensiallik axborotni ruxsatsiz “o’qish”dan himoyalash bilan shug’ullanadi. AOB ssenariysida Bob uchun konfidensiallik juda muhim. Ya’ni, Bob o’z balansida qancha pul borligini Tridi bilishini istamaydi. Shu sababli Bob uchun balans xususidagi ma’lumotlarning konfidensialligini ta’minlash muhim hisoblanadi.
Yaxlitlik- axborotning buzilmagan ko’rinishida (axborotning qandaydir qayd etilgan holatiga nisbatan o’zgarmagan shaklda) mavjud bo’lishi ifodalangan xususiyati. Yaxlitlik axborotni ruxsatsiz “yozish”dan (ya’ni, axborotni
o’zgartirishdan) himoyalash yoki kamida o’zgartirilganligini aniqlash bilan shug’ullanadi. AOB ssenariysida Alisaning banki qayd yozuvi butunligini Trididan himoyalashi shart. Masalan, Bob akkauntida balansning o’zgarishi yoki Alisa akkauntida balansning oshishidan himoyalashi shart.
Shu o’rinda konfidensiallik va yaxlitlik bir narsa emasligiga e’tibor berish kerak. Masalan, Tridi biror ma’lumotni o’qiy olmagan taqdirda ham uni sezilmaydigan darajada o’zgartirishi mumkin.
Foydaluvchanlik- avtorizasiyalangan mantiqiy obyekt so’rovi bo’yicha uning tayyorlik va foydalanuvchanlik holatida bo’lishi xususiyati. Foydalanuvchanlik axborotni (yoki tizimni) ruxsatsiz “bajarmaslik”dan himoyalash bilan shug’ullanadi. AOB ssenariysida AOB veb saytidan Bobning foydalana olmasligi Alisaning banki va Bob uchun foydalanuvchanlik muammosi hisoblanadi. Sababi, mazkur holda Alisa pul o’tkazmalaridan daromad ola olmaydi va Bob esa o’z biznesini amalga oshira olmaydi. Foydalanuvchanlikni buzishga qaratilgan hujumlardan eng keng tarqalgani – xizmat ko’rsatishdan voz kechishga undovchi hujum (Denial of service, DOS) [11].
Risk– potensial foyda yoki zarar bo’lib, umumiy holda har qanday vaziyatga biror bir hodisani yuzaga kelish ehtimoli qo’shilganida risk paydo
bo’ladi. ISO “risk– bu noaniqlikning maqsadlarga ta’siri” sifatida ta’rif bergan [14]. Masalan, universitetga o’qishga kirish jarayonini ko’raylik. Umumiy holda bu jarayonni o’zi risk hisoblanmaydi. Faqatgina abituriyent hujjatlarini va kirish imtihonlarini topshirganda, u o’qishga kirishi yoki kira olmasligi mumkin. Bu o’z navbatida qabul qilinish yoki qabul qilinmaslik riskini yuzaga kelishiga olib keladi. Kiberxavfsizlik yoki axborot xavfsizligida risklar salbiy ko’rinishda qaraladi.
Hujumchi kabi fikrlash - bo’lishi mumkin bo’lgan xavfni oldini olish uchun qonuniy foydalanuvchini hujumchi kabi fikrlash jarayoni.
Tizimlifikrlash- kafolatlangan amallarni ta’minlash uchun ijtimoiy va texnik cheklovlarning o’zaro ta’sirini hisobga oladigan fikrlash jarayoni.
Bundan tashqari quyidagi tushunchalar ham kiberxavfsizlik sohasini chuqur o’rganishda muhim hisoblanadi.
Axborot xavfsizligi - axborotning holati bo’lib, unga binoan axborotga tasodifan yoki atayin ruxsatsiz ta’sir etishga yoki ruxsatsiz undan foydalanishga yo’l qo’yilmaydi. Yoki, axborotni texnik vositalar yordamida ishlanishida uning maxfiylik (konfidensiallik), yaxlitlik va foydalanuvchanlik kabi xarakteristikalarini (xususiyatlarini) saqlanishini ta’minlovchi axborotning himoyalanish sathi holati.
Axborotni himoyalash – axborot xavfsizligini ta’minlashga yo’naltirilgan choralar kompleksi. Amalda axborotni himoyalash deganda ma’lumotlarni kiritish, saqlash, ishlash va uzatishda uning yaxlitligini, foydalanuvchanligini va agar, kerak bo’lsa, axborot va resurslarning konfidensialligini madadlash tushuniladi.
Aktiv- himoyalanuvchi axborot yoki resurslar. Yoki, tashkilot uchun qimmatli barcha narsalar.
Tahdid – tizim yoki tashkilotga zarar yetkazishi mumkin bo’lgan istalmagan hodisa. Yoki, tahdid - axborot xavfsizligini buzuvchi potensial yoki real mavjud xavfni tug’diruvchi sharoit va omillar majmui. Tahdid tashkilotning aktivlariga qaratilgan bo’ladi. Masalan, aktiv sifatida korxonaga tegishli biror bir saqlanuvchi hujjat bo’lsa, u holda ushbu hujjat saqlanadigan xonaga nisbatan tahdid amalga oshirilish mumkin.
Zaiflik – bir yoki bir nechta tahdidlarni amalga oshirishga imkon beruvchi tashkilot aktivi yoki boshqaruv tizimidagi kamchilik hisoblanadi. Masalan, xonada saqlanayotgan tashkilot hujjati qo’g’oz ko’rinishda bo’lganligi sababli, yonib ketishi mumkin.
Boshqarish vositasi – riskni o’zgartiradigan harakatlar bo’lib, boshqarish natijasi zaiflik yoki tahdidlarni o’zgarishiga ta’sir qiladi. Bundan tashqari boshqarish vositasining o’zi turli tahdidlar foydalanishi mumkin bo’lgan zaiflikka ega bo’lishi mumkin. Masalan, tashkilotda saqlanayotgan qog’oz ko’rinishidagi axborotni yong’indan himoyalash uchun o’chirish vositalari boshqarish vositasi sifatida ko’rilishi mumkin. Bundan tashqari, yong’in bo’lganda xodimlarning xatti- xarakatlari va yong’inni oldini olish bo’yicha ko’rilgan chora-tadbirlar ham boshqarish vositasi hisoblanishi mumkin. Yong’inga qarshi kurashish tizimining
ishlamay qolish holatiga esa boshqarish vositasidagi kamchilik sifatida qarash mumkin.