Axborot xavfsizligi (inglizcha: Information Security, shuningdek, inglizcha: InfoSec) — axborotni ruxsatsiz kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish, tadqiq qilish, yozib olish yoki yoʻq qilishning oldini olish amaliyotidir. Ushbu universal kontseptsiya maʼlumotlar qanday shaklda boʻlishidan qatʼiy nazar (masalan, elektron yoki, jismoniy) amal qiladi. Axborot xavfsizligini taʼminlashning asosiy maqsadi maʼlumotlarning konfidensialligi, yaxlitligi va mavjudligini muvozanatli,[1] qoʻllashning maqsadga muvofiqligini hisobga olgan holda va tashkilot faoliyatiga hech qanday zarar yetkazmasdan himoya qilishdir[2]. Bunga, birinchi navbatda, asosiy vositalar va nomoddiy aktivlar, tahdid manbalari, zaifliklar, potensial taʼsirlar va mavjud xavflarni boshqarish imkoniyatlarini aniqlaydigan koʻp bosqichli xavflarni boshqarish jarayoni orqali erishiladi. Bu jarayon xavflarni boshqarish rejasining samaradorligini baholash bilan birga olib boriladi[3].

Ushbu faoliyatni standartlashtirish maqsadida ilmiy va kasbiy hamjamiyatlar texnik axborot xavfsizligi choralari, yuridik javobgarlik, shuningdek, foydalanuvchi va maʼmurlarni tayyorlash standartlari sohasida asosiy metodologiya, siyosat va tarmoq standartlarini ishlab chiqishga qaratilgan doimiy hamkorlik asosida ish olib boradi. Ushbu standartlashtirishga asosan maʼlumotlarga kirish, qayta ishlash, saqlash va uzatishni tartibga soluvchi keng koʻlamli qonunlar va qoidalar taʼsir koʻrsatadi. Biroq, tashkilotda agar doimiy takomillashtirish madaniyati toʻgʻri shakllantirilmagan boʻlsa, har qanday standartlar va metodologiyalarni joriy etish yuzaki taʼsir koʻrsatishi mumkin [4].

Umumiy maʼlumot

tahrir

Axborot xavfsizligining markazida axborotni himoya qilish faoliyati — uning maxfiyligi, mavjudligi va yaxlitligini taʼminlash, shuningdek, tanqidiy vaziyatda har qanday murosaga yoʻl qoʻymaslik masalasi yotadi [5]. Bunday holatlarga tabiiy, texnogen va ijtimoiy ofatlar, kompyuterning ishdan chiqishi, jismoniy oʻgʻirlik va boshqalar kiradi. Dunyodagi aksariyat tashkilotlarning ish jarayonlari hanuz qogʻoz asosidagi xujjatlarga asoslangan[6], boʻlib, tegishli axborot xavfsizligi choralarini talab qilsa-da, korxonalarda raqamli texnologiyalarni joriy etish boʻyicha tashabbuslar soni barqaror oʻsib bormoqda [7][8]. Bu esa axborotni himoya qilish uchun axborot texnologiyalari (IT) xavfsizligi boʻyicha mutaxassislarni jalb qilishni talab qiladi. Ushbu mutaxassislar axborot xavfsizligi texnologiyasini (koʻp hollarda kompyuter tizimlarining bir turini) taʼminlaydi. Bu kontekstda kompyuter nafaqat maishiy shaxsiy kompyuterni, balki har qanday murakkablik va maqsadli raqamli qurilmalar, yaʼni elektron kalkulyatorlar va maishiy texnika kabi ibtidoiy va izolyatsiya qilinganlardan tortib, sanoat boshqaruv tizimlari va kompyuter tarmoqlari orqali ulangan superkompyuterlargacha boʻlgan raqamli qurilmalarni anglatadi. Yirik korxona va tashkilotlar oʻz bizneslari uchun axborotning hayotiy ahamiyati va qiymati tufayli, qoida tariqasida, oʻz xodimlariga axborot xavfsizligi boʻyicha mutaxassislarni yollaydilar. Ularning vazifasi barcha texnologiyalarni maxfiy maʼlumotlarni oʻgʻirlash yoki tashkilotning ichki tizimlarini nazorat qilishga qaratilgan zararli kiberhujumlardan himoya qilishdir.

Axborot xavfsizligi bandlik sohasi sifatida soʻnggi yillarda sezilarli darajada rivojlandi va oʻsdi. U tarmoq va tegishli infratuzilma xavfsizligi, dasturiy taʼminot va maʼlumotlar bazasini himoya qilish, axborot tizimlari auditi, biznesning uzluksizligini rejalashtirish, elektron yozuvlarni aniqlash va kompyuter kriminalistikasi kabi koʻplab professional ixtisosliklarni yaratdi. Axborot xavfsizligi boʻyicha mutaxassislar mehnat bozorida yuksak barqaror bandlikka va yuqori talabga ega. Bir qator tashkilotlar (ISC)² tomonidan olib borilgan keng koʻlamli tadqiqotlar natijasida maʼlum boʻlishicha, 2017-yilda axborot xavfsizligi sohasi rahbarlarining 66 % oʻz boʻlimlarida ishchi kuchining keskin yetishmasligini tan olishgan va 2022-yilga kelib bu sohada mutaxassislarning tanqisligi darajasi butun dunyoda 1 800 000 kishini tashkil etishini taxmin qilgan [9].

Tahdidlar va xavfsizlik choralari

tahrir

Axborot xavfsizligiga tahdidlar turli shakllarda boʻlishi mumkin. 2018-yil uchun eng jiddiy tahdidlar „xizmat koʻrsatish usulidagi jinoyatlar“ (inglizcha: Crime-as-a-Service), Internet mahsulotlari, taʼminot zanjirlari va tartibga solish talablarining murakkabligi bilan bogʻliq boʻlgan tahdidlar boʻlgan [10]. „Xizmat koʻrsatish usulidagi jinoyatlar“ yirik jinoiy hamjamiyatlar uchun darknet bozorida jinoiy xizmatlar paketini yangi paydo boʻlgan kiberjinoyatchilarga arzon narxlarda taqdim etishning bir namunasidir. Bu yuqori texnik murakkablik yoki yuqori narx tufayli ilgari erishib boʻlmagan xakerlik hujumlarini amalga oshirish imkonini beradi. Bu esa kiberjinoyatni ommaviy hodisaga aylantiradi[11]. Koʻpgina tashkilotlar Internet mahsulotlarini faol tatbiq qilmoqdalar. Bu qurilmalar koʻpincha xavfsizlik talablarisiz ishlab chiqilganligi bois, kiberhujumlar uchun qoʻshimcha imkoniyatlar yaratadi. Bundan tashqari, internet xizmatlarining jadal rivojlanishi va murakkablashuvi uning shaffofligini pasaytiradi, bu esa noaniq belgilangan huquqiy qoidalar va shartlar bilan birgalikda tashkilotlarga qurilmalar tomonidan toʻplangan mijozlarning shaxsiy maʼlumotlaridan oʻz ixtiyoriga koʻra, ular bilmagan holda foydalanish imkonini beradi. Bundan tashqari, tashkilotlarning oʻzlari IoT qurilmalari tomonidan toʻplangan maʼlumotlarning qaysi biri tashqariga uzatilishini kuzatishi mushkul masaladir. Taʼminot zanjirlariga tahdid shundaki, tashkilotlar oʻzlarining yetkazib beruvchilari bilan turli xil qimmatli va nozik maʼlumotlarni almashishadi, natijada ular ustidan bevosita nazorat yoʻqoladi. Shunday qilib, ushbu maʼlumotlarning maxfiyligi, yaxlitligi yoki mavjudligini buzish xavfi sezilarli darajada oshadi. Bugungi kunda regulyatorlarning tobora koʻpayib borayotgan yangi talablari tashkilotlarning hayotiy axborot aktivlarini boshqarishni sezilarli darajada murakkablashtirmoqda. Masalan, 2018-yilda Yevropa Ittifoqida qabul qilingan „Umumiy maʼlumotlarni himoya qilish qoidalari“ (inglizcha: General Data Protection Regulation, GDPR) har qanday tashkilotdan istalgan vaqtda oʻz faoliyati yoki taʼminot zanjirining istalgan qismida joylashtirilgan shaxsiy maʼlumotlarning mazmuni, ularni qayta ishlash usullari, saqlanish va himoyalanish tartibi va qanday maqsadlar uchun xizmat qilishini koʻrsatishni talab qiladi. Bundan tashqari, ushbu maʼlumot nafaqat vakolatli organlar tomonidan tekshirish paytida, balki ushbu maʼlumotlar egasining birinchi talabiga binoan ham taqdim etilishi lozim. Bunday muvofiqlikka rioya qilish muhim byudjet mablagʻlari va resurslarini tashkilotning boshqa axborot xavfsizligi vazifalaridan chetlashtirishni talab qiladi. Shaxsiy maʼlumotlarni qayta ishlashni soddalashtirish uzoq muddatli istiqbolda axborot xavfsizligini yaxshilashni nazarda tutsa ham, qisqa muddatda tashkilotning xatarlari sezilarli darajada oshadi [10].

Aksariyat odamlar u yoki bu tarzda axborot xavfsizligi tahdidlariga duchor boʻlishadi. Masalan, ular zararli dasturlar (viruslar va kompyuter qurti, troya oti(kompyuter virusi) va firibgarlik dasturlari)[12], fishing yoki identifikatorni oʻgʻirlash qurboni boʻlishadi. Fishing (inglizcha: Phishing) — maxfiy maʼlumotlarni (masalan, hisob, parol yoki kredit karta maʼlumotlari) olishga qaratilgan firibgarlik harakatlaridir. Odatda, ular internet foydalanuvchisini har qanday tashkilotning (bank, internet-doʻkon, ijtimoiy tarmoq va hokazo) asl veb-saytidan ajratib boʻlmaydigan soxta veb-saytga jalb qilishga harakat qiladilar [13][14]. Qoida tariqasida, bunday urinishlar tashkilot nomidan[15] soxta veb-saytlarga havolalarni oʻz ichiga olgan soxta elektron pochta xabarlarini ommaviy yuborish orqali amalga oshiriladi. Foydalanuvchi brauzerda bunday havolani ochib, oʻz hisob maʼlumotlarini kiritib firibgarlarning oʻljasiga aylanadi [16]. 1964-yilda[18] ingliz tiliga Andoza:Tr kiritilgan boʻlib, unda kimningdir shaxsiy maʼlumotlari (masalan, koʻpincha fishing yoʻli bilan olingan ism, bank hisobi yoki kredit karta raqami) firibgarlik va boshqa jinoyatlarni sodir etishda foydalaniladi. [17][18] Jinoyatchilar nomidan noqonuniy moliyaviy imtiyozlar, qarz olgan yoki boshqa jinoyatlarni sodir etgan shaxs koʻpincha ayblanuvchining oʻzi boʻlib qoladi va bu uning uchun jiddiy moliyaviy va huquqiy oqibatlarga olib kelishi mumkin[19]. Axborot xavfsizligi shaxsiy hayotga bevosita taʼsir qiladi va bu holat turli madaniyatlarda turlicha taʼriflanishi mumkin.

Hukumatlar, harbiylar, korporatsiyalar, moliya institutlari, tibbiyot muassasalari va xususiy korxonalar oʻz xodimlari, mijozlari, mahsulotlari, tadqiqotlari va moliyaviy natijalari haqida doimiy ravishda katta miqdordagi maxfiy maʼlumotlarni toʻplaydi. Agar bunday maʼlumotlar raqobatchilar yoki kiberjinoyatchilar qoʻliga tushib qolsa, bu tashkilot va uning mijozlari uchun keng qamrovli huquqiy oqibatlarga, tuzatib boʻlmas moliyaviy va ayanchli yoʻqotishlarga olib kelishi mumkin. Biznes nuqtai nazaridan, axborot xavfsizligi xarajatlarga nisbatan muvozanatli boʻlishi kerak. Gordon-Lob[en] iqtisodiy modeli bu muammoni hal qilishning matematik apparatni tavsiflaydi[20]. Unga koʻra axborot xavfsizligi tahdidlari yoki axborot xavflariga qarshi kurashishning asosiy usullari quyidagilardan iborat:

  • kamaytirish — zaifliklarni bartaraf etish va tahdidlarning oldini olish uchun xavfsizlik va qarshi choralarni amalga oshirish;
  • uzatish — tahdidlarni amalga oshirish bilan bogʻliq xarajatlarni uchinchi shaxslar: sugʻurta yoki autsorsing kompaniyalariga oʻtkazish;
  • qabul qilish — xavfsizlik choralarini amalga oshirish xarajatlari tahdidni amalga oshirishdan mumkin boʻlgan zarardan oshib ketgan taqdirda moliyaviy zaxiralarni shakllantirish;
  • voz kechish — haddan tashqari xavfli faoliyatdan voz kechish[21].

Ilk aloqa vositalarining paydo boʻlishi bilan diplomatlar va harbiy rahbarlar maxfiy yozishmalarni himoya qilish mexanizmlarini va uni soxtalashtirishga urinishlarni aniqlash usullarini ishlab chiqish zarurligini anglaganlar. Masalan, eramizdan avvalgi 50-yillarda Yuliy Tsezar tomonidan ixtiro qilingan shifrlash usuli uning maxfiy xabarlarini begonalar tomonidan oʻqilishiga yoʻl qoʻymaslik uchun ishlab chiqilgan[22]. Maxfiy xabarlar shunday belgilanganki, ular himoyalangan va faqat ishonchli shaxslar tomonidan qoʻriqlanadigan, xavfsiz xonalarda maxsus qutilarda saqlangan[23].

Pochta xizmatining rivojlanishi natijasida xatlarni qabul qilish, parolini ochish, oʻqish va qayta muhrlash ishlarini bajarish uchun davlat tashkilotlari paydo boʻla boshlagan. Shu tariqa, Angliyada bu kabi maqsadlar uchun 1653-yilda „Maxfiy idora“ (inglizcha: Secret Office) tashkil etilgan[24]. Rossiyada xatlarni nazorat qilish Pyotr I davrida yoʻlga qoʻyilib, 1690-yildan boshlab chet elga yuboriladigan barcha xatlar Smolenskda nazorat qilingan. XVIII asr oʻrtalarida qabul qiluvchida hech qanday shubha uygʻotmasligi uchun deyarli barcha xorijiy diplomatlarning yozishmalarini yashirin ravishda „qora kabinetlar“da nusxalash amaliyoti tizimli xususiyatga ega boʻlgan[25]. Ochilgandan soʻng, xabarning kriptotahlilini oʻtkazish talab qilingan va buning uchun oʻz davrining taniqli matematiklari „qora kabinetlar“ faoliyatiga jalb qilingan. Bu borada eng ajoyib natijalarga Kristian Goldbax erishgan. U olti oylik faoliyati davomida Prussiya va Fransiya vazirlarining 61 ta xatini ochishga muvaffaq boʻlgan. Hatto baʼzi holatlarda, xat muvaffaqiyatli shifrlangandan soʻng, uning mazmuni oʻrtadagi odamning hujumi natijasida almashtirilgan[26].

19-asr boshlarida Rossiyada Aleksandr I hokimiyatga kelishi bilan barcha kriptografik faoliyat Tashqi ishlar vazirligi idorasiga oʻtkazilgan. 1803-yildan boshlab taniqli rus olimi Pavel Lvovich Shilling ushbu boʻlim xizmatiga jalb qilingan. Kanslerning eng muhim yutuqlaridan biri 1812-yilgi Vatan urushi paytida Napoleon I ning buyruqlari va yozishmalarini dekodlash boʻlgan[27][28]. XIX asrning oʻrtalarida maxfiy maʼlumotlarning yanada murakkab tasniflash tizimlari paydo boʻladi, bu esa hukumatlarga axborotni sezgirligiga qarab boshqarish imkonini beradi. Masalan, Britaniya hukumati 1889-yilda „Davlat sirlari toʻgʻrisida“gi qonunni chop etishi bilan bunday tasnifni maʼlum darajada qonuniylashtirgan[29].

Birinchi jahon urushi davrida barcha urushayotgan davlatlar tomonidan maʼlumotlarni uzatishda koʻp darajali tasniflash va shifrlash tizimlari qoʻllangan. Bu esa oʻz navbatida shifrlash va kriptoanaliz boʻlimlarining paydo boʻlishi va intensiv ishlatilishiga yordam bergan. Shunday qilib, 1914-yil oxiriga kelib, Britaniya Admiralligi boʻlimlaridan biri — „40-xona“ tashkil topgan va u Buyuk Britaniyada yetakchi kriptografiya organiga aylantirilgan. 1914-yil 26-avgustda nemis yengil kreyseri „Magdeburg“ Finlandiya koʻrfazining ogʻzida Odensholm oroli yaqinidagi qoyalarga qoʻndirilgan. Ushbu orol oʻsha davrda Rossiya imperiyasiga tegishli boʻlgan. Nemislar barcha maxfiy hujjatlarni yoʻq qilib, ushbu kemani portlatishadi. Biroq rossiyalik gʻavvoslar suv ostini tekshirib, signallar kitobining ikki nusxasini topadilar va ulardan biri inglizlarga topshiriladi. Tez orada yordamchi kemalar, shuningdek, tashqi dengiz kemalari va unga hamroh boʻlgan dushman kemalari oʻrtasidagi aloqa kodlari kitobini olgan inglizlar nemis dengiz kodlarini ochishga muvaffaq boʻladi. Kodni buzish dushmanning ushlangan radio xabarlarini oʻqish imkonini beradi. 1914-yil noyabr oyining oxiridan boshlab „40-xona“ deyarli barcha buyruq va buyruqlarni uzatuvchi nemis flotining radiogrammalarini muntazam ravishda shifrlashni boshlaydi. Ular birinchi marta 1914-yil 16-dekabrda nemis flotining Britaniya qirgʻoqlariga borishi paytida ushbu shifrni ochishdan foydalanishgan[30].

Urushlararo davrda shifrlash tizimlari tobora murakkablashgan. Shu bois, maxfiy xabarlarni shifrlash uchun maxsus mashinalar qoʻllanila boshlangan. Ularning eng mashhuri 1920-yillarda nemis muhandislari tomonidan yaratilgan „Enigma“dir. 1932-yilda Polsha razvedka shifrlash byurosi „Enigma“ shifrini teskari muhandislik orqali buzishga muvaffaq boʻlgan[23].

Ikkinchi Jahon urushi davrida Gitlerga qarshi koalitsiya mamlakatlari oʻrtasida almashilgan maʼlumotlar hajmi milliy tasniflash tizimlari va nazorat qilish hamda boshqarish tartiblarini rasmiy muvofiqlashtirishni talab qilgan. Murakkab seyflar va omborlarning paydo boʻlishini inobatga olgan holda, hujjatlarni kim boshqarishi mumkinligini (odatda askarlar emas, balki ofitserlar) va ular qayerda saqlanishi kerakligini belgilab beruvchi maxfiylik yorliqlari toʻplami ishlab chiqilgan boʻlib, ular faqat hujjatlarni boshqaruvchilar uchun ochiq boʻlgan. Urushayotgan tomonlar maxfiy hujjatlarni kafolatli yoʻq qilish tartiblarini ishlab chiqganlar. Baʼzan bunday tartiblarning buzilishi butun urush davomida muhim razvedka yutuqlariga olib kelgan. Masalan, Germaniyaning U-570 suv osti kemasi ekipaji inglizlar tomonidan qoʻlga kiritilgan koʻplab maxfiy hujjatlarni yoʻq qila olmagan[31]. Axborot xavfsizligi vositalaridan foydalanishning yorqin misoli yuqorida aytib oʻtilgan „Enigma“ boʻlib, uning murakkab versiyasi 1938-yilda paydo boʻlgan va Vermaxt va fashistlar Germaniyasining boshqa xizmatlari tomonidan keng qoʻllangan. Buyuk Britaniyada „Enigma“ yordamida shifrlangan raqib xabarlarining kriptotahlili Alan Turing boshchiligidagi guruh tomonidan muvaffaqiyatli amalga oshirilgan. Ular tomonidan ishlab chiqilgan „Turing Bombe“ (ing.dan — „Tyuring bombasi“) Gitlerga qarshi koalitsiyaga katta yordam koʻrsatgan va baʼzida Ittifoqchilarning gʻalabasida hal qiluvchi rolni bajargan[23]. Amerika Qoʻshma Shtatlarida Tinch okeani operatsiyalari teatrida radio aloqalarini shifrlash uchun signalchilarni Qoʻshma Shtatlardan tashqarida hech kim bilmaydigan navaxo hindu qabilasidan yollashadi[32]. Yaponlar hech qachon maʼlumotni himoya qilishning bu ekzotik usulining kalitini topa olmaganlar[23]. 1930-yillardan boshlab SSSRda mamlakatning yuqori hokimiyat organlari(shu jumladan Oliy qoʻmondonlik shtab-kvartirasi)ning telefon suhbatlarini tinglanishidan himoya qilish maqsadida yuqori chastotali signallarning ovozli modulyatsiyasi va ularning keyingi skrablanishiga asoslangan maxsus aloqa qoʻllangan. Biroq, kriptografik himoyaning yoʻqligi spektrometr yordamida tutilgan signaldagi xabarlarni qayta tiklashga imkon bergan[33].

XXI asrning 2-yarmi va XX asr boshlari telekommunikatsiya, kompyuter texnikasi va dasturiy taʼminot hamda maʼlumotlarni shifrlashning jadal rivojlanganligi bilan ajralib turgan. Ixcham, kuchli va arzon hisoblash uskunalarining paydo boʻlishi elektron maʼlumotlarni qayta ishlashni kichik biznes va uy foydalanuvchilari uchun qulay qildi. Kompyuterlarning Internetga ulanishi osonlashdi, bu esa electron biznesning jadal rivojlanishiga olib keldi. Bularning barchasi kiberjinoyatlarning kuchayishi va xalqaro terrorizmning koʻplab holatlari bilan birgalikda kompyuterlar va ular saqlaydigan, qayta ishlanadigan va uzatadigan maʼlumotlarni himoya qilishning yaxshiroq usullariga ehtiyoj tugʻdirdi. Buning natijasida „Kompyuter xavfsizligi“ va „Axborot xavfsizligi texnikasi“ kabi ilmiy fanlar hamda axborot tizimlarining xavfsizligi va ishonchliligini taʼminlashning umumiy maqsadlarini koʻzlagan koʻplab professional tashkilotlar[34] paydo boʻldi.

Asosiy taʼriflar

tahrir

Himoya qilinadigan axborot — normativ-huquqiy hujjatlar talablariga yoki axborot egasi tomonidan belgilangan talablarga muvofiq muhofaza qilinishi kerak boʻlgan axborotdir[35].

Axborot egasi — axborotni mustaqil ravishda yaratgan qonun yoki shartnoma asosida har qanday belgilar bilan aniqlangan maʼlumotlarga kirishga ruxsat berish yoki cheklash huquqini olgan shaxs. Axborot egalari quyidagilar boʻlishi mumkin: davlat, yuridik shaxs, jismoniy shaxslar guruhi, alohida jismoniy shaxs[35].

Axborot xavfsizligi — axborot xavfsizligi holati, bunda uning maxfiyligi, yaxlitligi va mavjudligi taʼminlanadi[35].

Axborot xavfsizligini tashkil etish — axborot xavfsizligiga tahdidlarni aniqlash, axborotni himoya qilish boʻyicha chora-tadbirlarni rejalashtirish, amalga oshirish va axborotni muhofaza qilish holatini kuzatishga qaratilgan harakatlar majmui[35].

Axborot xavfsizligi tizimi — axborot xavfsizligi talablariga muvofiq tashkil etilgan va faoliyat yurituvchi organlar va (yoki) ijrochilar, ular tomonidan qoʻllaniladigan axborotni muhofaza qilish texnologiyalari, shuningdek axborotni muhofaza qilish ob’ektlari majmui[35].

Tashkilotning axborot xavfsizligi siyosati — bu tashkilot faoliyatini tartibga soluvchi hujjatlashtirilgan axborot xavfsizligi siyosatlari, protseduralari, amaliyotlari yoki yoʻriqnomalari toʻplami[35].

Turli manbalarda „axborot xavfsizligi“ tushunchasi

tahrir

Quyida turli manbalardan olingan „axborot xavfsizligi“ atamasining taʼriflari keltirilgan:

  • Axborotning maxfiyligi, yaxlitligi va mavjudligini saqlash. Eslatma: Haqiqiylik, javobgarlik, rad etmaslik (inglizcha: non-repudiation) va ishonchlilik kabi boshqa xususiyatlar ham bu qatorga kiritilishi mumkin [36].
  • Maxfiylik, yaxlitlik va mavjudlikni taʼminlash maqsadida axborot va axborot tizimlarini ruxsatsiz kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish yoki yoʻq qilishdan himoya qilish [1].
  • Korxonada axborotni ruxsatsiz foydalanuvchilarga oshkor qilishdan (maxfiylik), noqonuniy oʻzgartirishdan (yaxlitlik) va zarur boʻlganda mavjud boʻlmasligidan (mavjudligi) himoya qilishni taʼminlash [37].
  • Tashkilotning intellektual mulkini himoya qilish jarayoni [38].
  • Xatarlarni boshqarish fanlaridan biri, uning vazifasi biznes uchun axborot tavakkalchiligi xarajatlarini boshqarishdir [39].
  • Axborot risklari tegishli nazorat va boshqaruv choralari bilan muvozanatlanganligiga asosli ishonch [40].
  • Axborotni himoya qilish, axborotni shaxslarga ruxsatsiz oshkor qilish xavfini minimallashtirish [41].
  • Axborotni qayerda joylashgan boʻlishidan qatʼiy nazar (tashkilot perimetri ichida ham, tashqarisida ham) tahdidlardan himoya qilish uchun turli xil xavfsizlik mexanizmlari (texnik, tashkiliy, insonga yoʻnaltirilgan, huquqiy)ni ishlab chiqish va amalga oshirishga qaratilgan koʻp tarmoqli tadqiqot va kasbiy faoliyat sohasi va shunga mos ravishda axborot yaratiladigan, qayta ishlanadigan, saqlanadigan, uzatiladigan va yoʻq qilinadigan axborot tizimlari. Xavfsizlik maqsadlari roʻyxati maxfiylik, yaxlitlik, mavjudlik, maxfiylik, haqiqiylik va asoslilik, rad etmaslik, javobgarlik va tekshiriluvchanlikni oʻz ichiga olishi mumkin [42].
  • Davlat xavfsizligi uchun mas’ul boʻlgan davlat organlari tomonidan paydo boʻladigan, taʼsir etuvchi tahdidlar va ushbu tahdidlarga qarshi kurashning muvaffaqiyati oʻrtasidagi muvozanat jarayoni [43].

Asosiy tamoyillar

tahrir
 
CIA triadasi.

1975-yilda Jerri Zalser va Maykl Shreder oʻzlarining „Kompyuter tizimlarida axborot xavfsizligi“[44] nomli maqolasida birinchi boʻlib xavfsizlikni buzishni uchta asosiy toifaga ajratishni taklif qilishgan. Bular ma’lumotlarni ruxsatsiz oshkor qilish (inglizcha: unauthorized information release), ma’lumotni ruxsatsiz oʻzgartirish (inglizcha: Unauthorized information modification) va ma’lumotlarga kirishni ruxsatsiz rad etish (inglizcha: Unauthorized denial of use). Keyinchalik, bu toifalar quyidagi qisqa nomlar va standartlashtirilgan ta’riflarni olgan:

Confidentiality ing. „maxfiylik“ - ruxsatsiz shaxslar, sub’ektlar yoki jarayonlar uchun kirish mumkin boʻlmagan yoki yopiq boʻlgan ma’lumotlarning xususiyati[36];

Integrity ing. „yaxlitlik“ - aktivlarning toʻgʻriligi va toʻliqligini saqlash xususiyati[36];

Availability ing. „mavjudlik“ - bu huquqqa ega boʻlgan vakolatli sub’ektning iltimosiga binoan mavjud boʻlishi va foydalanishga tayyor boʻlishi kerak boʻlgan ma’lumotlar mulki[36].

Axborot xavfsizligining ushbu uchta asosiy tamoyillari birgalikda CIA triadasi[45] deb ataladi.

1992-yilda IHTT (Iqtisodiy hamkorlik va taraqqiyot tashkiloti) oʻzining xabardorlik, mas’uliyat, qarshilik, axloq, demokratiya, xavflarni baholash, xavfsizlikni loyihalash va amalga oshirish, xavfsizlikni boshqarish, qayta koʻrib chiqish[46] kabi toʻqqiz tamoyildan iborat axborot xavfsizligi modelini nashr etdi. 1996-yilda IHTTning 1992-yildagi nashriga asoslanib, Amerika Milliy Standartlar va Texnologiyalar Instituti (NIST) kompyuter xavfsizligi haqida quyidagi sakkiz tamoyilni targʻib qilgan. Unga koʻra axborot xavfsizligi: „tashkilot missiyasini qoʻllab-quvvatlaydi“, „sogʻlom menejmentning ajralmas qismidir“, „xarajat jihatidan samarali boʻlishi kerak“, „har tomonlama va kompleks yondashuvni talab qiladi“, „ijtimoiy omillar bilan cheklangan“, „vaqti-vaqti bilan koʻrib chiqilishi talab etiladi“, „kompyuter xavfsizligi boʻyicha majburiyatlar va mas’uliyatlar aniq ifodalangan boʻlishi lozim“ va „tizim egalari oʻz tashkilotidan tashqari xavfsizlik uchun javobgardir“[47]. Ushbu modelga asoslanib, 2004-yilda NIST 33 ta axborot xavfsizligi muhandisligi dizayn tamoyillarini nashr etgan. Ularning har biri uchun amaliy koʻrsatmalar va tavsiyalar ishlab chiqilgan boʻlib, ular doimiy ravishda nazorat qilinadi va yangilanadi [48].

1998-yilda Donn Parker klassik Markaziy razvedka boshqarmasi triadasini egalik yoki nazorat (inglizcha: Possession or Control), haqiqiylik (inglizcha: Authenticity) va foydalilik (inglizcha: Utility) kabi yana uch jihat bilan toʻldirdi[49]. Parker geksadi (ing. hexad – ,,oltita elementdan iborat guruh”) deb ataluvchi ushbu modelning afzalliklari, axborot xavfsizligi mutaxassislari oʻrtasida muhokama mavzusi hisoblanadi [50].

2009-yilda AQSh Mudofaa vazirligi tizim sezgirligi (inglizcha: System Susceptibility), zaiflikning mavjudligi (inglizcha: Access to the Flaw) va zaiflikdan foydalanish qobiliyati (inglizcha: Capability to Exploit the Flaw)[51][52][53] kabi „Kompyuter xavfsizligining uchta asosiy prinsipi“ni nashr ettirdi.

2011-yilda The Open Group xalqaro konsorsiumi O-ISM3[en] CIA klassik triadasi tarkibiy qismlarining kontseptual ta’rifidan voz kechib, ularning operatsion ta’rifi foydasiga axborot xavfsizligini boshqarish standartini nashr etdi. O-ISM3ga koʻra, har bir tashkilot uchun triadaning u yoki bu komponentiga mos keluvchi ustuvor xavfsizlik maqsadlari (maxfiylik), uzoq muddatli xavfsizlik maqsadlari (yaxlitlik), axborot sifati maqsadlari (yaxlitlik), kirishni boshqarish maqsadlari (mavjudligi) va texnik xavfsizlik maqsadlari kabi besh toifadan biriga tegishli xavfsizlik maqsadlarining individual toʻplamini aniqlash mumkin [54].

Yuqorida aytib oʻtilgan barcha axborot xavfsizligi modellari ichida CIA klassik triadasi keng tarqalgan boʻlib, hali hanuz xalqaro professional hamjamiyatda tan olinadi[45]. U milliy[1] va xalqaro standartlarda[55] mustahkamlangan va CISSP[1] va CISM[36] kabi axborot xavfsizligi boʻyicha asosiy ta’lim va sertifikatlashtirish dasturlariga kiritilgan. Ba’zi rus mualliflari undan „KYAM (konfidensiallik, yaxlitlik, mavjudlik) triadasi“ kuzatuv kalkasi sifatida foydalanadilar. „KYAM triadasi“ Adabiyotda uning barcha uch komponenti: konfidensiallik, yaxlitlik va mavjudlik sinonimik ravishda printsiplar, xavfsizlik atributlari, xususiyatlar, asosiy jihatlar, axborot mezonlari, tanqidiy xarakteristikalar yoki asosiy tarkibiy elementlar deb ataladi [5].

Ayni paytda, professional hamjamiyatda Markaziy razvedka boshqarmasi CIA triadasining tez rivojlanayotgan texnologiyalar va biznes talablariga qanchalik mos kelishi haqida munozaralar davom etmoqda. Ushbu muhokamalar natijasida xavfsizlik va shaxsiy daxlsizlik oʻrtasidagi munosabatlarni oʻrnatish, qoʻshimcha tamoyillarni qabul qilish zarurligi toʻgʻrisida tavsiyalar berildi [5].

Ulardan ayrimlari allaqachon Xalqaro standartlashtirish tashkiloti (ISO) standartlariga kiritilgan:

  • haqqoniylik (inglizcha: authenticity) – ob’ekt yoki resursning e’lon qilingan bilan bir xilligini kafolatlaydigan xususiyat;
  • javobgarlik[en] (inglizcha: accountability) – sub’ektning oʻz harakatlari va qarorlari uchun javobgarligi;
  • rad etishning imkonsizligi (inglizcha: non-repudiation) — sodir boʻlgan voqea yoki harakatni va ularning sub’ektlarini ushbu hodisa yoki harakatni va u bilan bogʻliq boʻlgan sub’ektlarni shubha ostiga qoʻymaslik uchun tasdiqlash qobiliyati;
  • ishonchlilik (inglizcha: reliability) – bu moʻljallangan xatti-harakatlar va natijalarga muvofiqlik xususiyatidir [36].

Maxfiylik

tahrir

Axborotning maxfiyligiga minimal zarur xabardorlik (inglizcha: need-to-know) tamoyiliga asoslanib, unga eng kam imtiyozlar bilan ruxsat berish orqali erishiladi. Boshqacha qilib aytganda, vakolatli shaxs faqat yuqorida aytib o‘tilgan shaxsiy daxlsizlikka qarshi jinoyatlar, masalan, shaxsni o‘g‘irlash, shaxsiy hayotning buzilishi kabi o‘z xizmat vazifalarini bajarishi uchun zarur bo‘lgan ma’lumotlarga ega bo‘lishi talab etiladi. Maxfiylikni ta’minlashning eng muhim chora-tadbirlaridan biri ma’lumotlarni qat’iy maxfiy yoki ommaviy, shuningdek, ichki foydalanish uchun mo‘ljallangan ma’lumotlarni tasniflash imkonini beradi. Axborotni shifrlash konfidensiallikni ta’minlash vositalaridan birining tipik namunasidir [56].

Yaxlitlik

tahrir

Tashkilotda operatsiyalarni aniq amalga oshirish yoki to‘g‘ri qarorlarni qabul qilish faqat fayllar, ma’lumotlar bazalari yoki tizimlarda saqlanadigan yoki kompyuter tarmoqlari orqali uzatiladigan ishonchli ma’lumotlar asosidagina mumkin. Boshqacha qilib aytganda, ma’lumot dastlabki holatiga nisbatan qasddan, ruxsatsiz yoki tasodifiy o‘zgarishlardan, shuningdek saqlash, uzatish yoki qayta ishlash jarayonida har qanday buzilishlardan himoyalangan bo‘lishi lozim. Biroq, uning yaxlitligiga kompyuter viruslari va mantiqiy bombalar, dasturlash xatolari va zararli kod o‘zgarishlari, ma’lumotlarni soxtalashtirish, ruxsatsiz kirish, orqa eshiklar va boshqalar tahdid solmoqda. Qasddan qilingan harakatlarga qo‘shimcha ravishda, ko‘p hollarda nozik ma’lumotlarga ruxsatsiz o‘zgartirishlar texnik nosozliklar nazorat yoki professional tayyorgarlikning etishmasligi tufayli inson xatosidan kelib chiqadi. Masalan, yaxlitlikning buzilishi fayllarni tasodifiy o‘chirish, noto‘g‘ri qiymatlarni kiritish, sozlamalarni o‘zgartirish, oddiy foydalanuvchilar va tizim ma’murlari tomonidan noto‘g‘ri buyruqlarni bajarish kabi xatolarga olib keladi[56][57]. Axborotning yaxlitligini himoya qilish uchun axborot va uni qayta ishlash tizimlaridagi o‘zgarishlarni nazorat qilish va boshqarish bo‘yicha turli xil choralarni qo‘llash lozim. Bunday chora-tadbirlarning odatiy misoli faqat o‘z xizmat vazifalarini bajarish uchun bunday ruxsatga muhtoj bo‘lganlarni o‘zgartirish huquqiga ega bo‘lgan shaxslar doirasini cheklashdir. Shu bilan birga, hokimiyatlarning bo‘linishi tamoyiliga rioya qilish kerak. Unga ko‘ra ma’lumotlar yoki axborot tizimiga bir shaxs tomonidan o‘zgartirishlar kiritiladi, boshqa shaxs esa ularni tasdiqlaydi yoki rad etadi. Bundan tashqari, axborot tizimlarining hayotiy siklidagi har qanday o‘zgarishlar izchil bo‘lishi, axborot yaxlitligini ta’minlash uchun sinovdan o‘tkazilishi va tizimga faqat to‘g‘ri tuzilgan tranzaksiyalar orqali kiritilishi lozim. Dasturiy ta’minotni yangilash xavfsiz tarzda amalga oshirilishi kerak. O‘zgarishlarga olib keladigan har qanday harakatlar jurnalga yozilishi talab etiladi [56][57].

Mavjudligi

tahrir

Ushbu prinsipga ko‘ra, ma’lumotlar kerak bo‘lganda vakolatli shaxslarga taqdim etilishi lozim. Axborot tizimlarining mavjudligiga ta’sir qiluvchi asosiy omillar bu DoS-hujumlar (xizmatni rad etish Denial of Servicedan Andoza:Tr ), to‘lov dasturi hujumlari va sabotaj. Bundan tashqari, nazorat yoki kasbiy tayyorgarlikning yetishmasligi tufayli tasodifan yuzaga keladigan inson xatolari foydalanish imkoniyatiga xavf soluvchi tahdidlar manbai hisoblanadi va quyidagi oqibatlarni yuzaga keltiradi: ma’lumotlar bazalaridagi fayllar yoki yozuvlarning tasodifiy o‘chirilishi, noto‘g‘ri tizim sozlamalari; ruxsat etilgan quvvatdan oshib ketishi yoki uskunalar resurslarining etishmasligi, shuningdek, aloqa tarmoqlarining ishdan chiqishi natijasida xizmat ko‘rsatishni rad etish; apparat yoki dasturiy ta’minotni yangilashning muvaffaqiyatsizligi; elektr ta’minotidagi uzilishlar tufayli tizimlarning yopilishi. Tabiiy ofatlar: zilzilalar, tornadolar, bo‘ronlar, yong‘inlar, toshqinlar va boshqalar ham foydalanish imkoniyatini buzishda muhim rol o‘ynaydi. Barcha holatlarda oxirgi foydalanuvchi o‘z faoliyati uchun zarur bo‘lgan ma’lumotlarga kirish huquqini yo‘qotib, majburiy ishlamay qoladi. Tizimning foydalanuvchi uchun muhimligi va uning butun tashkilotning omon qolishi uchun ahamiyati ishlamay qolish vaqtining ta’sirini aniqlaydi. Noto‘g‘ri xavfsizlik choralari zararli dasturlar, ma’lumotlarni yo‘q qilish, bosqinchilik yoki DoS hujumlari xavfini oshiradi. Bunday hodisalar tizimlarni oddiy foydalanuvchilar uchun imkonsiz holga keltirishi mumkin [58].

Rad etishning imkonsizligi

tahrir

„Rad etmaslik“ atamasi (inglizcha: Non-Repudiation, ba’zan birgalikda Nonrepudiation tarzida ishlatiladi) birinchi marta 1988–yilda „Ochiq tizimlar o‘zaro aloqasi xavfsizligi“ (ISO 7498-2) xalqaro standartida paydo bo‘lgan. Odatda anglo-sakson qonunining ikki asosiy talqinga ega bo‘lgan ,,rad etish” atamasiga qarama-qarshi ma’noda tushuniladi. Bunda masalan, qog‘oz hujjatdagi imzo soxta bo‘lsa yoki asl imzo noqonuniy (firibgarlik yo‘li bilan) ravishda olingan bo‘lsa, qonuniy asosdagi bitim bo‘yicha majburiyatlarni bajarishni rad etish tushunchasi taraflarning asosiy huquqini anglatadi [59]. Shu bilan birga, imzoning haqiqiyligini isbotlash yuki unga tayangan tomon zimmasiga tushadi [60]. Boshqa bir talqin – majburiyatlardan nohaq voz kechish. Kompyuter xavfsizligi nuqtai nazaridan, bu, masalan, tomonlardan birining elektron xabarni jo‘natish, qabul qilish, mualliflik qilish yoki mazmunini rad etishi bo‘lishi mumkin. Axborot xavfsizligi kontekstida „rad etmaslik“ deyilganda ma’lumotlarning yaxlitligi va asl kelib chiqishini tasdiqlash tushuniladi, soxtalashtirish ehtimoli bundan mustasno. Uchinchi shaxslar tomonidan istalgan vaqtda tasdiqlanishi yoki identifikatsiya natijasida uni yuqori darajadagi ishonchlilik bilan haqiqiy deb hisoblash mumkin va uni rad etib bo‘lmaydi [60].

„Axborot xavfsizligi“ tushunchasining qamrovi (tadbiq etilishi)

tahrir

Axborot xavfsizligi tavsifiga tizimli yondashish axborot xavfsizligining quyidagi tarkibiy qismlarini ajratib ko‘rsatishni taklif qiladi [61]:

  1. Qonunchilik, normativ-huquqiy va ilmiy asos.
  2. AT xavfsizligini ta’minlovchi organlarning (bo‘linmalarning) tuzilishi va vazifalari.
  3. Tashkiliy, texnik va rejimli choralar va usullar (Axborot xavfsizligi siyosati).
  4. Axborot xavfsizligini ta’minlashning dasturiy-apparat usullari va vositalari.

Quyida ushbu bo‘limda axborot xavfsizligining har bir komponenti batafsil ko‘rib chiqiladi.

Har qanday ob’ektning axborot xavfsizligini amalga oshirishdan maqsad ushbu ob’ekt uchun axborot xavfsizligi tizimini (ISIS) qurishdir. ATga texnik xizmat ko‘rsatish tizimini qurish va samarali ishlashi uchun quyidagilar zarur:

  • berilgan himoya ob’ektiga xos axborot xavfsizligi talablarini aniqlash;
  • milliy va xalqaro qonunchilik talablarini hisobga olish;
  • shunga o‘xshash AT Ta’minot tizimini yaratish uchun o‘rnatilgan amaliyotlardan (standartlar, metodologiyalardan) foydalanish;
  • AT ta’minot tizimini joriy etish va qo‘llab-quvvatlash uchun mas’ul bo‘linmalarni aniqlash;
  • bo‘limlar o‘rtasida ATga texnik xizmat ko‘rsatish tizimi talablarini amalga oshirishda mas’ul sohalarini taqsimlash;
  • axborot xavfsizligi tavakkalchiligini boshqarish asosida muhofaza qilinadigan obyektning axborot xavfsizligi siyosatini tashkil etuvchi umumiy qoidalarni, texnik va tashkiliy talablarni belgilash;
  • tegishli dasturiy, texnik, muhandislik va axborotni himoya qilishning boshqa usullari va vositalarini joriy etish orqali axborot xavfsizligi siyosati talablarini amalga oshirish;
  • Axborot xavfsizligini boshqarish (nazorat) tizimini (AXBT) joriy etish;
  • AXBTdan foydalangan holda, AXBT samaradorligini muntazam monitoringini tashkil etish va zarur hollarda AXBT va AXBTni ko‘rib chiqish va moslashtirish.

Ishning oxirgi bosqichidan ko‘rinib turibdiki, ATga texnik xizmat ko‘rsatish tizimini joriy etish jarayoni uzluksiz va siklik ravishda (har bir qayta ko‘rib chiqilgandan so‘ng) birinchi bosqichga qaytadi va qolganlarini ketma-ket takrorlaydi. Axborotni muhofaza qilish va doimiy yangilanib turadigan axborot tizimining yangi talablariga javob berish vazifalarini samarali bajarish uchun ATga texnik xizmat ko‘rsatish tizimi shunday sozlanadi.

Tashkiliy, texnik va dasturiy chora-tadbirlar hamda usullar

tahrir

Muayyan axborot tizimining axborotni himoya qilish texnologiyasini tavsiflash uchun odatda axborot xavfsizligi siyosati yoki ko‘rib chiqilayotgan axborot tizimining xavfsizlik siyosati yaratiladi. Tashkiliy xavfsizlik siyosati (inglizcha: Organizational security policy) – tashkilot faoliyatida axborot xavfsizligi sohasidagi hujjatlashtirilgan qoidalar, tartiblar, amaliyotlar yoki ko‘rsatmalar to‘plami.

Axborot va telekommunikatsiya texnologiyalari xavfsizligi siyosati (inglizcha: ІСТ security policy) – tashkilot va uning axborot va telekommunikatsiya texnologiyalari ichida aktivlarni, shu jumladan muhim ma’lumotlarni boshqarish, himoya qilish va tarqatish usullarini belgilaydigan qoidalar, ko‘rsatmalar, o‘rnatilgan amaliyotlar.

Axborot xavfsizligi siyosatini shakllantirishda axborot tizimini himoya qilishning quyidagi yo‘nalishlarini alohida ko‘rib chiqish tavsiya etiladi [61]:

  • Axborot tizimi ob’ektlarini himoya qilish;
  • Jarayonlar, protseduralar va axborotni qayta ishlash dasturlarini himoya qilish;
  • Aloqa kanallari (akustik, infraqizil, simli, radiokanallar va boshqalar)ni himoya qilish, shu jumladan mahalliy tarmoqlarda axborotni himoya qilish;
  • Yon elektromagnit nurlanishni bostirish;
  • Himoya tizimini boshqarish.

Shu bilan birga, yuqoridagi sohalarning har biri uchun axborotni himoya qilish vositalarini yaratishda axborot xavfsizligi siyosati quyidagi bosqichlarni tavsiflashi talab etiladi:

  1. Himoya qilinadigan axborot va texnik resurslarni belgilash;
  2. Potensial tahdidlarning to‘liq to‘plami va ma’lumotlarning sizib chiqish kanallarini aniqlash;
  3. Turli xil tahdidlar va sizib chiqish kanallari mavjud bo‘lganda ma’lumotlarning zaiflik darajasi va xavflarini baholashni o‘tkazish;
  4. Himoya tizimiga qo‘yiladigan talablarni aniqlash;
  5. Axborot xavfsizligi vositalari va ularning xususiyatlarini tanlashni amalga oshirish;
  6. Tanlangan himoya choralari, usullari va vositalarini amalga oshirish va ulardan foydalanishni tashkil etish;
  7. Butunlikni nazorat qilish va himoya qilish tizimini boshqarishni amalga oshirish.

Axborot xavfsizligi siyosati axborot tizimiga qo‘yiladigan hujjatlashtirilgan talablar shaklida tuziladi. Hujjatlar, odatda, himoya jarayonining tavsifi (tafsiloti) darajalariga ko‘ra darajalarga bo‘linadi. Axborot xavfsizligi siyosatining yuqori darajadagi hujjatlari tashkilotning axborot xavfsizligi sohasidagi faoliyatiga nisbatan pozitsiyasini, ushbu sohadagi davlat, xalqaro talablar va standartlarga rioya qilish istagini aks ettiradi. Bunday hujjatlar „AT kontseptsiyasi“, „AT boshqaruvi reglamenti“, „AT siyosati“, „AT texnik standarti“ va boshqa tashqi va ichki foydalanish deb nomlanishi mumkin. GOST R ISO/IEC 17799-2005ga muvofiq, axborot xavfsizligi siyosatining yuqori darajasida quyidagi hujjatlar tuzilishi kerak: „AT xavfsizligi kontseptsiyasi“, „Axborot tizimi resurslaridan maqbul foydalanish qoidalari“, „Biznesning uzluksizlik rejasi“.

O‘rta darajaga axborot xavfsizligining ayrim jihatlari bilan bog‘liq hujjatlar kiradi. Bu axborot xavfsizligi vositalarini yaratish va ulardan foydalanish, shuningdek, axborot xavfsizligining ma’lum bir sohasida tashkilotning axborot va biznes jarayonlarini tashkil etish talablaridir. Bunga misol qilib ma’lumotlar xavfsizligi, aloqa xavfsizligi, kriptografik himoya vositalaridan foydalanish, kontentni filtrlash va boshqalarni keltirish mumkin. Bunday hujjatlar odatda tashkilotning ichki texnik va tashkiliy siyosati (standartlari) shaklida nashr etiladi. O‘rta darajadagi axborot xavfsizligi siyosatining barcha hujjatlari maxfiy hisoblanadi.

Quyi darajadagi axborot xavfsizligi siyosati mehnat qoidalari, ma’muriy qo‘llanmalar, shaxsiy axborot xavfsizligi xizmatlaridan foydalanish bo‘yicha ko‘rsatmalarni o‘z ichiga oladi.

Axborot xavfsizligi tizimining dasturiy va texnik vositalari

tahrir

Quyi darajadagi axborot xavfsizligi siyosati mehnat qoidalari, ma’muriy qo‘llanmalar, shaxsiy axborot xavfsizligi xizmatlaridan foydalanish bo‘yicha ko‘rsatmalarni o‘z ichiga oladi.

Adabiyotlarda axborot xavfsizligi vositalarining quyidagi tasnifi taklif qilingan[61]:

  • Ruxsatsiz kirishdan himoya qilish vositalari:
    • Avtorizatsiya vositalari;
    • Majburiy kirishni boshqarish[62];
    • Tanlangan kirishni boshqarish;
    • Rol asosida kirishni boshqarish;
    • Jurnallar (shuningdek, Audit deb hamataladi).
  • Axborot oqimlarini tahlil qilish va modellashtirish tizimlari (CASE-tizimlari).
  • Tarmoq monitoringi tizimlari:
    • Intrusionlarni aniqlash va oldini olish tizimlari (IDS/IPS).
    • Maxfiy ma’lumotlar oqismining oldini olish tizimlari (DLP-tizimlari).
  • Protokol analizatorlari.
  • Antivirus vositalari.
  • Tarmoqli ekranlar.
  • Kriptografik vositalar:
  • Zaxira tizimlari.
  • Uzluksiz quvvat tizimlari:
    • Uzluksiz quvvat manbalari;
    • Ortiqcha yuk;
    • Voltaj generatorlari.
  • Autentifikatsiya tizimlari:
    • Parol;
    • Kirish kaliti (jismoniy yoki elektron);
    • Sertifikat;
    • Biometrik.
  • Ishlarni buzish va jihozlarni o‘g‘irlashning oldini olish vositalari.
  • Binolarga kirishni nazorat qilish vositalari.
  • Himoya tizimlarini tahlil qilish uchun vositalar:

Axborotlashtirish ob’ektlarini tashkiliy himoya qilish

tahrir

Tashkiliy himoya – ishlab chiqarish faoliyatini va ijrochilarning o‘zaro munosabatlarini qonuniy asosda tartibga solish tizimi bo‘lib, bu maxfiy ma’lumotlarga noqonuniy egalik qilishni, ichki va tashqi tahdidlarning namoyon bo‘lishini istisno qiladigan yoki sezilarli darajada to‘xtatuvchi tizimdir. Tashkiliy himoya quyidagilarni ta’minlaydi:

  • xavfsizlikni tashkil etish, rejim, xodimlar va hujjatlar bilan ishlash;
  • tadbirkorlik faoliyati uchun ichki va tashqi tahdidlarni aniqlashda texnik xavfsizlik uskunalari va axborot-tahliliy faoliyatdan foydalanish [63].

Asosiy tashkiliy faoliyatga quyidagilar kiradi:

  • Rejim va himoyani tashkil etish. Ularning maqsadi shaxslarning hududga va binolariga ruxsatsiz, yashirin kirish imkoniyatini yo‘q qilishdir;
  • Xodimlarni tanlash va joylashtirishni nazarda tutuvchi xodimlar bilan ishlashni tashkil etish, shu jumladan xodimlar bilan tanishish, ularni o‘rganish, maxfiy axborot bilan ishlash qoidalariga o‘rgatish, axborotni muhofaza qilish qoidalarini buzganlik uchun javobgarlik choralari bilan tanishtirish va boshqalar;
  • Hujjatlar va hujjatlashtirilgan axborot bilan ishlashni tashkil etish, shu jumladan hujjatlar va maxfiy axborot tashuvchilarni ishlab chiqish va ulardan foydalanishni tashkil etish, ularni hisobga olish, rasmiylashtirish, qaytarish, saqlash va yo‘q qilish;
  • Maxfiy ma’lumotlarni yig‘ish, qayta ishlash, to‘plash va saqlash uchun texnik vositalardan foydalanishni tashkil etish;
  • maxfiy axborotga nisbatan ichki va tashqi tahdidlarni tahlil qilish va uning himoyasini ta’minlash chora-tadbirlarini ishlab chiqish bo‘yicha ishlarni tashkil etish;
  • xodimlarning maxfiy ma’lumotlar bilan ishlashi, hujjatlar va texnik vositalarni hisobga olish, saqlash va yo‘q qilish tartibi ustidan tizimli nazoratni amalga oshirish bo‘yicha ishlarni tashkil etish.

Barcha holatlarda, tashkiliy chora-tadbirlar ushbu tashkilot uchun ma’lum sharoitlarda axborot xavfsizligini ta’minlashga qaratilgan o‘ziga xos shakl va mazmunga ega.

Korxonaning axborot xavfsizligi

tahrir

Korxona axborot xavfsizligi – bu uning maxfiyligi, yaxlitligi, haqiqiyligi va mavjudligini ta’minlaydigan korporativ ma’lumotlar xavfsizligi holati. Korxona axborot xavfsizligi tizimlarining vazifalari har xil:

  • ommaviy axborot vositalarida ma’lumotlarning xavfsiz saqlanishini ta’minlash;
  • aloqa kanallari orqali uzatiladigan ma’lumotlarni himoya qilish;
  • zaxira nusxalari, falokatlarni tiklash va boshqalar.

Korxonaning axborot xavfsizligini ta’minlash faqat himoyaga tizimli va kompleks yondashuv orqali amalga oshiriladi va UPS ma’lumotlar xavfsizligiga ta’sir qiluvchi va yil davomida amalga oshiriladigan barcha muhim voqealar va shartlarning doimiy to‘liq monitoringini o‘z ichiga oladi [64].

Korxonaning axborot xavfsizligiga korporativ ma’lumotlarni himoya qilishga qaratilgan tashkiliy va texnik chora-tadbirlarning butun majmuasi orqali erishiladi. Tashkiliy chora-tadbirlarga har xil turdagi axborotlar, AT xizmatlari, xavfsizlik vositalari va boshqalar bilan ishlash bo‘yicha hujjatlashtirilgan tartib va qoidalar kiradi. Texnik chora-tadbirlarga apparat va dasturiy ta’minotdan foydalanishni nazorat qilish, oqish monitoringi, virusga qarshi himoya, xavfsizlik devori, elektromagnit nurlanishdan himoya qilish va boshqalar kiradi [65].

Axborot xavfsizligini ta’minlash doimiy jarayon bo‘lib, besh asosiy bosqichni o‘z ichiga oladi:

  1. xarajatlar smetasi;
  2. xavfsizlik siyosatini ishlab chiqish;
  3. siyosatni amalga oshirish;
  4. mutaxassislarni malakali tayyorlash;
  5. audit.

Axborot xavfsizligini ta’minlash jarayoni mulkni baholashdan, tashkilotning axborot aktivlarini, ushbu ma’lumotlarga tahdid soluvchi omillarni va uning zaifligini, tashkilot uchun umumiy xavfning ahamiyatini aniqlashdan boshlanadi. Mulkga qarab, ushbu aktivlarni himoya qilish dasturi tuziladi. Xavf aniqlangan va miqdori ochiqlangandan so‘ng ushbu xavfni kamaytirishning iqtisodiy jihatdan samarali qarshi choralari tanlanishi mumkin.

Axborot xavfsizligini baholashning maqsadlari:

  • axborot aktivlarining qiymatini aniqlash;
  • ushbu aktivlarning maxfiyligi, yaxlitligi, mavjudligi va/yoki identifikatsiya qilinishiga tahdidlarni aniqlash;
  • tashkilotning amaliy faoliyatidagi mavjud nnuqsonlarni aniqlash;
  • tashkilotning axborot aktivlari bilan bog‘liq risklarini aniqlash;
  • mavjud ish amaliyotida xavflar hajmini maqbul darajada kamaytiradigan o‘zgarishlarni taklif qilish;
  • xavfsizlik loyihasini yaratish uchun asos yaratish.

Baholashning beshta asosiy turi:

  • Tizim darajasida zaifliklarni baholash. Kompyuter tizimlari ma’lum zaifliklar va oddiy muvofiqlik siyosatlari uchun tekshiriladi.
  • Tarmoq darajasida baholash. Mavjud kompyuter tarmog‘i va axborot infratuzilmasi baholanadi, xavf zonalari aniqlanadi.
  • Tashkilot ichidagi xavflarni umumiy baholash. Uning axborot aktivlariga tahdidlarni aniqlash uchun butun tashkilot tahlil qilinadi.
  • Audit. Tashkilotning mavjud siyosati va ushbu siyosatga muvofiqligi tekshiriladi.
  • Penetratsiya testi. Tashkilotning simulyatsiya qilingan kirishga javob berish qobiliyati o‘rganiladi.

Baholash jarayonida quyidagi hujjatlar tekshirilishi lozim:

  • Xavfsizlik siyosati;
  • axborot siyosati;
  • zaxira siyosati va protseduralari;
  • ishchining ma’lumotnomasi yoki ko‘rsatmalari;
  • ishchilarni yollash va ishdan bo‘shatish tartibi;
  • dasturiy ta’minotni ishlab chiqish metodologiyasi;
  • dasturiy ta’minotni o‘zgartirish metodologiyasi;
  • telekommunikatsiya siyosati;
  • tarmoq diagrammalari.

Yuqoridagi siyosat va protseduralar amalga oshirilgandan so‘ng, har birining tegishliligi, qonuniyligi, to‘liqligi va dolzarbligi tekshiriladi, chunki siyosat va protseduralar hujjatda belgilangan maqsadga muvofiq bo‘lishi kerak.

Baholashdan so‘ng kutilayotgan xavfsizlik holati va zarur ishlar ro‘yxatini belgilaydigan siyosat va tartiblarni ishlab chiqish lozim. Chunki, hech qanday siyosat bo‘lmasa, tashkilot samarali UPS dasturini ishlab chiqadigan va amalga oshiradigan reja ham bo‘lmaydi.

Axborot xafsizligini ta’minlashda quyidagi siyosat va tartiblarni ishlab chiqish lozim:

  • Axborot siyosati. Maxfiy ma’lumotlarni va ularni qayta ishlash, saqlash, uzatish va yo‘q qilish usullarini oshkor qiladi.
  • Xavfsizlik siyosati. Turli xil kompyuter tizimlari uchun texnik boshqaruvni belgilaydi.
  • Foydalanish siyosati. Kompyuter tizimlaridan foydalanish bo‘yicha kompaniya siyosatini ta’minlaydi.
  • Zaxira siyosati. Kompyuter tizimlarining zaxira nusxasini yaratish uchun talablarni belgilaydi.
  • Hisobni boshqarish tartib-qoidalari. Foydalanuvchilar qo‘shilgan yoki o‘chirilganda bajarilishi kerak bo‘lgan amallarni belgilaydi.
  • Favqulodda vaziyatlar rejasi. Tabiiy ofatlar yoki inson tomonidan sodir etilgan hodisalardan keyin kompaniya jihozlarini tiklash bo‘yicha harakatlarni ta’minlaydi.

Xavfsizlik siyosatini amalga oshirish texnik vositalar va to‘g‘ridan-to‘g‘ri nazorat qilish vositalarini amalga oshirishdan, shuningdek, xavfsizlik xodimlarini tanlashdan iborat. Xavfsizlik bo‘limi doirasidan tashqarida tizimlar konfiguratsiyasiga o‘zgartirishlar kiritish talab qilinishi mumkin, shuning uchun tizim va tarmoq ma’murlari xavfsizlik dasturini amalga oshirish ishlarida ishtirok etishlari kerak.

Har qanday yangi xavfsizlik tizimlaridan foydalanganda malakali xodimlar mavjud bo‘lishi kerak. Tashkilot o‘z xodimlarining ishtirokisiz maxfiy ma’lumotlarning himoyasini ta’minlay olmaydi. Vakolatli kasbiy qayta tayyorlash bu xodimlarni zarur ma’lumotlar bilan ta’minlash mexanizmi hisoblanadi.

Xodimlar xavfsizlik masalalari nima uchun juda muhim ekanligini bilishlari va maxfiy ma’lumotlarni aniqlash va himoya qilish uchun o‘qitilishi kerak.

Audit axborot xavfsizligini joriy etish jarayonining oxirgi bosqichidir. U tashkilot ichidagi axborot xavfsizligi holatini, tegishli siyosat va tartiblarni yaratishni, texnik nazoratni faollashtirishni va xodimlarni tayyorlashni belgilaydi[66].

Manbalar

tahrir
  1. 1,0 1,1 1,2 NIST IR 7298 r2 2013, ss. 94–95.
  2. Andress 2014.
  3. NIST IR 7298 r2 2013, s. 164.
  4. Schlienger 2003, ss. 46–52.
  5. 5,0 5,1 5,2 Samonas 2014, ss. 21–45.
  6. Jacques 2016.
  7. Pettey 2017.
  8. Forni 2017.
  9. Frost & Sullivan 2017, s. 2.
  10. 10,0 10,1 Olavsrud 2017.
  11. Europol 2017.
  12. Stewart 2015, ss. 882–883.
  13. Ramzan 2010, s. 433.
  14. Van der Merwe 2005, ss. 249–254.
  15. Dawes 2012.
  16. Provos 2012.
  17. Dubal.
  18. Hoofnagle 2007.
  19. Armstrong 2017.
  20. Gordon & Loeb 2002.
  21. Stewart 2015, ss. 72.
  22. Светоний Транквилл 1964.
  23. 23,0 23,1 23,2 23,3 Сингх 2009.
  24. Johnson 1998.
  25. Измозик 2015.
  26. Соболева 2002.
  27. Токарева 2012.
  28. Носов 2002.
  29. Hastedt 2011, s. 589—590.
  30. Ежов 2007.
  31. Sebag–Montefiore 2011, s. 162.
  32. Жельников 1996.
  33. Анин 2000.
  34. De Nardis 2007, ss. 681–704.
  35. 35,0 35,1 35,2 35,3 35,4 35,5 . Организация защиты конфиденциальной информации в коммерческой структуре (ru). Защита информации. Инсайд, 2015. 
  36. 36,0 36,1 36,2 36,3 36,4 36,5 ГОСТ Р ИСО/МЭК 27000-2012.
  37. ISACA.
  38. Pipkin 2000.
  39. Blakley, McDermott & Geer 2001.
  40. Anderson 2003.
  41. Venter & Eloff 2003.
  42. Cherdantseva 2013.
  43. Шушков и Сергеев 2016.
  44. Saltzer & Schroeder 1975.
  45. 45,0 45,1 Лукацкий 2012.
  46. OECD 2015, ss. 9–11.
  47. NIST SP 800-14 1996, ss. 4–10.
  48. NIST SP 800-160v1 2016, s. 205.
  49. Parker 1998.
  50. Slade.
  51. Hughes & Cybenko 2013.
  52. TENS.
  53. Teplow.
  54. O-ISM3v2 2017.
  55. Gordon 2015, s. 8.
  56. 56,0 56,1 56,2 Gordon 2015, s. 7.
  57. 57,0 57,1 Stewart 2015, s. 5.
  58. Gordon 2015, s. 7—8.
  59. McCarthy 2006, s. 65.
  60. 60,0 60,1 McCullagh & Caelli 2000.
  61. 61,0 61,1 61,2 Домарев В. В. „Безопасность информационных технологий. Системный подход“ (ru) (deadlink). www.security.ukrnet.net. 2013-yil 10-mayda asl nusxadan arxivlangan. Qaraldi: 2013-yil 10-may. — К.: ООО ТИД Диа Софт, 2004. — 992 с.
  62. „Информационная безопасность в современных системах управления базами данных“ (ru). www.compress.ru. 2019-yil 7-mayda asl nusxadan arxivlangan. Qaraldi: 2019-yil 13-yanvar.
  63. „Организационная безопасность на предприятии: бумажная и практическая безопасность“ (ru). inforsec.ru. 2014-yil 25-aprelda asl nusxadan arxivlangan. Qaraldi: 2019-yil 13-yanvar.
  64. Русинов С. Обеспечение информационной безопасности предприятий торговли, торговых сетей и их инфраструктуры: http://www.itsec.ru/articles2/Inf_security/infosec-torg
  65. Мельников В. П., Клейменов С. А., Петраков А. М. Информационная безопасность и защита информации 3-е изд. Учеб. Пособие для студ. высш. учеб. заведений/В. П. Мельников, С. А. Клейменов, А. М. Петраков.-М.:2008. — 336 с.
  66. Обеспечение информационной безопасности: http://it-sektor.ru/obespechenie-informatscionnoyi-bezopasnosti.html (Wayback Machine saytida 2016-04-07 sanasida arxivlangan)

Adabiyotlar

tahrir
Xorijiy tillarida

Havolalar

tahrir