Bank faoliyati AATda qo’llaniladigan himoyalashning asosiy turlari
482
Tijorat banklari amaliy faoliyatida axborotlarni himoyalashning chora va
vositalarini himoyalashning chora va vositalarini qo’llash quyidagi mustaqil
yo’nalishlarni o’z ichiga oladi:
aloqa tizimlaridagi axborotlarni himoya qilish;
elektron xujjatlarning huquqiy ahamiyatini himoyalash
konfidentsial (maxfiy) axborotlarni ikkinchi darajali elektromagnitli
nurlanuvchi va (to’g’rilash) kanallari bo’yicha chiqib ketishdan himoyalash;
axborotlarni dasturlar tarqatuvchi kanallardagi kompyuter viruslari va
boshqa xavfli ta’sirlardan himoyalash;
ruxsatsiz nusxa olish, dasturlarni tarqatish va qimmatli kompyuter
axborotlarini himoyalash;
Har bir yo’nalish uchun asosiy maqsad va vazifalar belgib qo’yiladi.
Ruxsatsiz kirish deyilganda axborotlarni himoyalash tizimi tarkibiy qismi
bo’lgan chegaralarga kirish uchun belgilangan qoidalarni buzish natijasida ushbu
chegaralarga kirgan foydalanuvchilar yoki boshqa sub’ektlarning tasodifiy yoki
qasddan qilgan xatti-xarakatlar tushuniladi.
Axborotlarga
ruxsatsiz
kirgan
sub’ektlar buzg’unchi (tartib
buzuvchi)lar deyiladi. Axborotlarni himoyalash nuqtai nazaridan ruxsatsiz kirish
quyidagi oqibatlarga olib kelishi mumkin: Ishlov berilayotgan konfidentsial
axborolarning oshkor bo’lishi, shuningdek, AATlarning ish qobiliyatini qasddan
buzish oqibatida xato yoki buzilishlar.
Quyidagi toifadagi ha qanday odam tartibbuzar bo’lishi mumkin:
AATdan doimiy foydalanuvchilar
Tizimni tizimli, umumiy va amaliy dasturiy ta’minlashni kuzatib
boruvchi dasturchi odamlar
Xizmat ko’rsatuvchi xodimlar (muhandislar);
AATga kirirsh huquqiga ega boshqa xodimlar (shu jumladan, yordmchi
ishchilar, farroshlar v.h.)
Boshqa, begona shaxslar AATga kirish huquqi toifasidagilar uchun
483
tegishli bo’lmagan AATga kirish huquqi tashkiliy-tartibga solingan choralar bilan
istisno qilinadi.
Kanallar ostida axborotlarga ruxsatsiz kirish deyilganda shasxlarning
xodimlarning xatosi natijasida yoki noto’g’ri ishlov berish yoki oxir-oqibat
ruxsatsiz kirishga imkon beruvchi asbob-uskunalarning to’xtab qolishi oqibatida
ruxsatsiz kirish faktiga olib keluvchi izchil xarakatlari va ular tomonidan bajarilgan
texnologik ishlar tushuniladi. Hamma ko’pchilik kanallarga ruxsatsiz kirilganlikni
aniqlash loyihalash paytida axborotlarni saqlash, uzatish va ularga ishlov berish
texnologiyalarini, axborotlarni himoyalash himoya tizimida ishlab chiqilgan ish
yuritishning belgilangan tartibi va tartibbuzar tanlagan modelni tahlil qilish yo’li
bilan aniqlanadi.
Konfidentsial (maxfiy) va qimmatli axborotlarni ruxsatsiz kiruvchilardan va
o’zgartiruvchilardan himoyalash eng muhim masalalardan birining hal bo’lishini
ta’minlashga da’vat qiladi. Bu mol-mulk egalari va kompyuterlardan
foydalanuvchilarning mulkiy huquqlarini himoyalash; ishlov berilayotgan
axborotlarga mujassamlangan shaxsiy mulkni jiddiy iqtisodiy va moddiy hamda
nomddiy zarar etkazilishi mumkin bo’lgan har qanday hujum va o’g’irliklardan
himoyalashdir.
Axborotlarni ruxsatsiz kirishdan asrashning markaziy asrashning markaziy
muammosi nafaqat potentsial tartib buzuvchining KOMPYUTER TIZIMI
saqlanayotgan axborotlarni “o’qishi” ning oldini olish shu bilan birga uni shtatli
va shtatsiz vositalarni o’zaytirish imkoniyati oldini olishga yo’naltirilgan
axborotlarga kirishdagi funktsional vakolatlarini ham chegeralashdir.
Axborotlarni
ruxsatsiz kirishdan
himoyalash bo’yicha talablar
himoyanayotgan axborotlarning uchta asosiy xususiyatlari yutuqlariga (ma’lum
birikmalarida) yo’naltirilgan:
Konfidentsial (maxfiy lik (maxfiylashtirilgan axborotlarga kirish
huquqi u kimga mo’ljallangan bo’lsa, shungagina tegishli bo’lmog’i kerak);
Yaxlitlik (asoisda muhim qarorlar chiqariladigan axborotlar ishonchli
va aniq bo’lmog’i, kutilmagan va ataylab qilinadigan (g’arazgo’ylik bilan)
484
xatolardan himoyalanan bo’lishi kerak);
Tayyorgarlik (axborotlar va mos keluvchi axborot xizmatlari ularga
zarurat tug’ilganda kirishga xizmat qilishga hamma tayyor (shay) turishi zarur).
Ma’lumotlarga kirishni nazorat etish asosida AAT va foydalanuvchilar va
tizim bilan ishlov berilgan axborotlar o’rtasidagi chegarani belgilash tizimi yotadi.
Har qanday kirishni chegaralovchi tizimning muvaffaqqiyotli ishlashi uchun
quyidagi ikkita masalani hal qilmoq zarur.
1.
Tanlangan model doirasida mavjud bo’lgan kirishni chegeralash
tizimini aylanib o’tish xarakatlariga imkon bermaslik.
2.
Ma’lumotlarga kirish huquqiga ega foydalanuvchiga identifikatsiya
(tenglashish)ni kafolatlash (foydalnuvchilarning autentifikatsiya).
AATlarning xavfsizligini oshirishning samarali usullaridan biri registratsiya
(ro’yxatga olish)dir. Ro’yxatga va hisobga olish tizimi ro’yxatga olishni yuritishga
mas’ul bo’lib, avval (o’tmishda) nima bo’lganini kuzatish va shunga mos ravishda
axborotlar chiqib ketayotgan kanallarni yopish imkonini beradi. Ro’yxatga olish
jurnalida ma’ulmotlar yoki dasturlarga kirish uchun qilingan urunishlar amalga
oshgan-oshmaganligi aniq qayd etiladi. Ro’yxatga olish jurnalining mazmun –
mohiyati uni davriy, shuningde, zudlik bilan tahlil qilish mumkinligidadir.
Ro’yxatga olish jurnalida tizimdan foydalanuvchilar amalga oshirgan hamma
nazorat qilinadigan so’rovlarning ro’yxati olib boriladi. Ro’yxatga va hisobga olish
tizimi quyidagilarni bajaradi:
1.
Sub’ektlarning tizimga kirish (undan chiqishi) yoki operatsion
tizimlarning va ularning dasturiy to’xtashlarini (AAT apparatlari o’chirilgan
paytda tizimdan yoki dasturiy to’xtashgan joydan chiqish ro’yxatga olinmaydi) ish
bilan ta’minlash va initsiyalizatsiyalashni ro’yxatga oladi; shu bilan birga
ro’yxatga olish parametrlaridan quyidagilar ko’rsatiladi: sub’ektning tizimga
kirish (chiqish) yoki tizimning ish bilan ta’minlangan (to’xtash) vaqti va kuni;
kirishga urunishning natijasi – muvaffaqqiyatli yoki muvaffaqqiyatsiz (ro’yxatsiz
kirishga urunishda), sub’ektning kirishga urungan, taqdim etgan indekatori (kod
yoki familiyasi);
485
2.
Bosma (grafik) hujjatning qattiq (qog’ozdagi) nusxasini berishni
ro’yxatga olish va hisobi;
3.
Himoyalanadigan fayllarga dasturiy vositalarni (dasturlar, jarayonlar,
vazifa, topshiriqlar) kiritishga urunishlarni ro’yhatga olish;
4.
Barcha himoyalanadigan axborot tashuvchilarning, ularning har
qanday rejalashtirilishi
Yordamida hisobga olish (himoyalanadigan tashuvchilar hisobi ularni
topshirish)
qabul
qilish
jurnalida
(kartotekasida)
xisobiga
olinib,
u
ximoyalanadigan axborotlarni tashuvchilarni xisobga olishning bir necha turida
(o’rnini bosuvchi) o’tkazishi zarur.
Aloqa tizimida axborotlarni ximoya qilish turli xil aloqa kanallari
bo’yicha jo’natiladigan konfidentsial (maxfiy) va qiymatli axborotlarga ruxsatsiz
kirishining oldini olishga yo’naltirilgan.O’z asosiga ko’ra ximoyaning ushbu turi
yana axborotlarning maxfiyligi va butunligini ta’minlash uchun ham qo’llaniladi.
Nazorat qilinmaydigan aloqa kanallarida axborotlarni himoyalashning eng samarali
vositalari kriptegrafiya va maxsus aloqa bayonlarini qo’llashdir.
Elektron hujjatlarning huquqiy qiymati (ahamiyati)ni himoyalash o’zida
buyruqlar, to’lov qog’ozlari va boshqa tartibga soluvchi shartnomaviy, moliyaviy
xujjatlarni jamlagan axborot ob’ektlariga to’lov berish, saqlash va uzatishda
foydalaniladigan tizimlar va tarmoqlar uchun zarur. Ularning umumiy xususiyati
xar turli baxs-munozarali (shu jumladan, sud bilan bog’liq) xolatlar kelib
chiqqanda muallif o’zining erkin bildirgan fikrlarini boshqa bir (begona) elektron
xujjatlarda qayd etganlik aktiv bo’yicha faktlarning xaqiqiyligini isbotlash
imkoniyatini ta’minlashdir. Ushbu muammoni hal qilish uchun “Raqamli imzo”
deb nomlanuvchi yo’lni qo’llash bilan bog’liq bo’lgan axborot ob’ektlarining
xaqiqiyligini
tekshirishning
zamonaviy
kriptografik
usullaridan
foydalaniladi.Amaliyotda elektron xujjatlarning qiymati (axamiyati)ni ximoyalash
masalalari komp’yuterdagi axborot tizimini ximoyalash masalalari bilan birgalikda
echiladi.
Axborotlarni yonidagi elektromagnitli nurlanuvchi va to’g’rilashlar
486
bo’yicha chiqib ketishdan ximoyalash kompyuter tizimidagi kondentsial va
maxfiy axborotlarni begona odamlarni ruxsatsiz kirishidan ximoyalashning muxim
nuqtai nazaridir.Ximoyaning bu turi axborotlashgan elektromagnitli signallarni
qo’riqlanadigan hududdan tashqari chiqib ketishi extimolining oldini olishga
qaratilgan. Shu bilan birga qo’riqlanadigan xudud ichida tushib qoluvchi,
ro’yxatga oluvchi va elektromagnitli signallarni aks ettiruvchi maxsus apparat
ulardan nazoratsiz foydalanish imkoniyatini istino qiluvchi samarali tartib
choralarini qo’llaniladi, deb faraz qilinadi. Yondosh elektromagnit nurini
tarqatuvchi va mo’ljalga olishdan himoyalash uchun hisoblash texnikasi
vositalarini joylashtirish shuningdek, kompyuter tizimining jihoz (uskuna)lari va
aloqa vositalari axborot turlanishi jadalligini pasaytirish imkoniyatini beruvchi
texnik chora-tadbirlarga mo’ljallangan binolarni ekranlashtirish keng qo’llaniladi.
Ba’zi
mas’ul
holatlarda
komp’yuterning
axborotlashtirilgan
turlanishlarini shuningdek, nutqli va boshqa signallarning zaif axborotlarini
ro’yxatga olish yoki yozib olish maqsadida moliyaviy masuslikning maxsus
yopishtiriladigan qurilmalarini aniqlash ehtimoli sababli hisoblash qurilma
(jixoz)larini qo’shimcha tekshirish zarur bo’ladi.
Dasturlarni tarqatish kanallari bo’yicha axborotlarni komp’yuter
viruslari va boshqa xavfli ta’sirlardan ximoyalash keyingi paytlarda aloxida
dolzarblik kasb etmoqda. Virus epidemiyasining aniq ko’rinishi yuz minglab
xususiy komp’yuterlarning zararlanish xodisalari bilan baholanmoqda. Ayrim
virusli dasturlar umuman zararsiz bo’lsada, ularning ko’pchiligi vayron qiluvchi
xarakterga ega.
Viruslar, ayniqsa muayyan joyga xos hisoblash tarmoqlari tarkibiga kiruvchi
komp’yuterlar uchun xavfli. Hozirgi zamonaviy komp’yuterdagi axborot
tizimlarining ayrim xususiyatlari viruslarning tarqalishi uchun kerakli sharoitlarni
yaratmoqdalar.Ularga qisman quyidagilar taalluqli:
1. dasturiy ta’minlashdan ko’pchilikning birgalikda foydalanish zarurati;
2. dasturlardan foydalanishda cheklashlarning qiyinligi;
3. mavjud ximoya mexanizmlarining ishonchsizligi;
487
4. viruslarning
xarakatlanishga
qarshi
axborotlarga
kirishi
chegaralanmaganligi v.b.
Viruslardan ximoyalanish usulida ikki yo’nalish mavjud:
1. Ruxsatsiz o’zgartirish (kirishni, chegaralash, o’z-o’zini nazorat qilish
va o’z-o’zini tiklash usullari) imkoniyatidan ximoyalangan “immunobarqaror”
dasturiy vositalarni qo’llash
2. Amaliy dasturlar faoliyatidagi og’ishlarni doimiy nazorat qilishni
extimol tutilgan boshqa virus faolligi izlarining mavjudligini tekshirib borishni
amalga oshiradigan maxsus dastur-analizatirlarni qo’llash (masalan, dasturiy
ta’minlash yaxlitligi buzilganligini aniqlovchi), shuningdek, yangi dasturni kiritib,
foydalanishdan oldin uni nazorat qilish (ularning tanasida virus paydo bo’lishiga
oid xarakterli belgilar bo’yicha).
Dasturlar va komp’yuterdagi qimmatli axborotlardan ruxsatsiz nusxa
ko’chirish va tarqatishdan himoya qilish kompyuter tizimi dasturlari ma’lumotlarning
qimmatli bazalari ko’rinishda jamlangan intellektual mulklarni qo’riqlash muammosiga
mo’ljallangan
mol-mulk
huquqini
mustaqil
ravishda
himoyalashning
ko’rinishidir.Ushbu himoya odatda, himoyalanayotgan dasturlar va ma’lumotlar
bazalariga maxsus dasutriy vositalar yordamida oldindan ishlov berish (parol
himoyalarini o’rnatish, kalit va kalitli disklar saqlanadigan uskunalarga murojaatlar
bo’yicha tekshirib, to’xtab, uzilib qolishga yo’l qo’ymaslik, kompyuter tizimini uning
ajoyib tavsiflari ishchi dasturi va boshqalarni tekshirish) orqali amalga oshiriiladi. Bu
himoyalanayotgan dasturlar va ma’lumotlar bazalarining foydalaniyotgan kodlaridan
“begona” mashinalar foylanishiga qarshilik ko’rsatadigan holatga keltiradi.
Himoyalanganlikni orttirish uchun printer bo’linmalari yoki kompyuter tizimining
tizimlishipasiga ulab qo’yiladigan qo’shimcha apparat bloklari (kalitlar), shuningdek,
dasturning qo’llaniladigan kodi mazmuniga ega bo’lgan fayllarni shifrlash kabilar
ishlatiladi.Dasturlarni ruxsatsiz nusxa olishdan himoya qilish vositasining umumiy
o’ziga xosligi bunday himoyaning cheklangan turg’unligi bo’lib, oxirgi xolatda
dasturning qo’llaniyotgan kodi vazifasini bajarish uchun ochiq xolda markaziy
protsessorga tutadi va apparat sozlovchilari tomonidan kuzatilayotgan bo’lishi xam
488
mumkin. Biroq bu himoya vositalarinng iste’molichilik hususiyatlarini nolgacha
chiqara olmaydi, chunki ulardan qo’llashdan asosiy maqsad maksimal darajada
qiyinlashtirish vaqtincha bo’lsa ham qimmatli axborotdan ruxsatsiz nusxa olishni
xisoblanadi.
Dasturiy ta’minlash yaxlitligini nazorat qilish quyidagi yo’llar bilan
bajariladi:
Tashqi vositalar yordamida (yaxlitlikni nazorat qilish dasturlari)
dasturiy ta’minlash yaxlitligini nazorat qilish;
Ichki vositalar yordamida (dasturning o’ziga o’rnatilgan) dasturiy
ta’minlash yaxlitligini nazorat qilish.
Tashqi vositalar bilan dasturlar (bugun) yaxltiligini nazorat qilish tizimga
start berilganda (ishga tushirilganda) bajariladi va dasturning aloxida bloklari
nazorat summalarini ularning andoza etalon summalari bilan solishtirishdan iborat.
Nazoratni, shuningdek, har bir dasturni bajarishni boshlashda xam o’tkazish
mumkin.
Dasturlarning yaxlitligini ichki vositalar bilan nazorat qilish xar gal
dasturlarni bajarishda (ishga tushirishda) amalga oshiriladi va aloxida bloklar
nazorat summalarini ularning etalon summalari bilan solishtirishdan iborat.
Bunday nazorat ichki foydalanish dasturlarida qo’llaniladi.
Axborotlarga ruxsatsiz kirishga imkon beruvchi kanallardan biri tartibbuzar
tomonidan konfidentsial axborotlarn olish maqsadida amaliy va maxsus dasturlarni
ruxsatsiz o’zgartirishdir.Bunday o’zgartirishdlar kirish yoki ularni ko’zdan kechirish
(himoyalash tizimini amaliy dasturlarga joriy etishda) chegaralash tartib-qoidalarini
o’zgartirish yoki bevosita amaliy dasturlardan konfidentsial axborotlarni sezdirmay
olish kanalaini tashkil etish maqsadini ko’zda tutishi mumkin.Bunday holatlarga qarshi
ta’sir usullaridan biri bazaviy dasturiy ta’minlashni maxsus dasturlar bilan nzorat
qilishdir.Biroq bu usul ham etarli emas, chunki yaxlitlikni nazorat qilish dasturlari
tartibbuzarlar tomonidan o’zgartirishi mumkin emas (bunga imkon yo’q).
Tijorat axborotlarini himoya qilishda, qoidaga ko’ra, ma’lumotlarga
ruxsatsiz kirishdan asrovchi har qanday mavjud vositalar va himoya tizimlaridan
489
foydalaniladi.Biroq har bir holatda himoya qilinayotgan axborotlarning muximligi
(ahamiyati)ni, unga yo’qotishlar keltiruvi zararlarni aniq baxolab borish kerak
bo’ladi.Himoyalash darajasi qancha yuqori bo’lsa, u shunchalik qimmat
bo’ladi.Sarf-xarajatlarni qisqartirish texnik vositalarni standartlashuvchiga
yo’naltiradi.Ayrim holatlarda aniq maqsad va sharoitlardan kelib chiqib,
shahodatdan o’tgan namunali vositalarni, ularning ayrim parametrlari bo’shroq
bo’lsa ham, qo’llash tavsiya etiladi.
Axborotlar himoyasi har xil usullar bilan ta’minlanishi mumkin, biroq eng
ishonchli va samaradorlari (aloqa kanallari uchun esa yagona maqsadga
muvofiqlikka egalik) kriptografik usullar asosida tuzilgan tizimlar va vositalarga
ega bo’ladi. Kriptografik bo’lmagan usullar qo’llanilganda ishlatilgan chora-
tadbirlarning etarliligini isbotlash va himoya tizimlarini ruxsatsiz kirishga nisbatan
ishonchliligini asoslash katta murakkablik kasb etadi.
Shuni ham e’tiborga olish kerakki, “raqiblar” yashirin ma’lumotlarni etarli
darajada himoyalangan (masalan, hamma ma’lumotlar faqat shiflangan holda
saqlanadigan) kompyuter texnikasi ma’lumotlariga “kira olish” bilangina emas,
qo’shimcha elektromagnit nurlanishi, to’yintirish zanjiridagi mo’ljallar hamda
kompyuter texnikasining erlantirilishi (erga ulanishi)dan, aloqa kanalllaridan ham
ola bilishi mumkin.Elektron qurilmalari, bloklari va kompyuter texnikasi
bog’lamlarining hammasi ham u yoki bu darajada nurlanadi va (nurlanish)
qo’shimcha signallar bir necha metrdan bir necha kilometr masofagacha tarqalishi
mumkin.Shu bilan birga eng katta xavf “raqiblar” ning kalitlari xaqidagi
axborotlarni olishida hisoblanadi. Chunki kalitni tiklab, ochiq axborotlarga
nisbatan ancha kam qo’riqlanadigan shifrlangan ma’lumotlarga ega bo’lish
bo’yicha bir qator muvaffaqiyatli xarakatlarni amalga oshirish mumkin.shu nuqtai
nazardan kalit axborotlar haqidagi signallar sof dasturiy amalga oshirish
signallaridan anchagina pat bo’lgan himoyaning apparatli va dasturiy apparatli
himoya vositalariga ruxsatsiz kirishni farqlay bilish foydalidir.
Aytib o’tilganlardan ma’lum bo’ladiki, himoya vositalarini tanlash va
ulardan foydalanishni belgilovchi omil himoyaning ishonchliligidir.
| 