|
Turli manbalarda „axborot xavfsizligi“ tushunchasi
|
| bet | 4/8 | | Sana | 20.02.2023 | | Hajmi | 387.5 Kb. | | #42863 |
Bog'liq mavzu 3 Laboratoriya ishi (1), Development of Reflexive Thinking as Important Mot, 1701582646Turli manbalarda „axborot xavfsizligi“ tushunchasi[tahrir | manbasini tahrirlash]
Quyida turli manbalardan olingan „axborot xavfsizligi“ atamasining taʼriflari keltirilgan:
Axborotning maxfiyligi, yaxlitligi va mavjudligini saqlash. Eslatma: Haqiqiylik, javobgarlik, rad etmaslik (inglizcha: non-repudiation) va ishonchlilik kabi boshqa xususiyatlar ham bu qatorga kiritilishi mumkin [36].
Maxfiylik, yaxlitlik va mavjudlikni taʼminlash maqsadida axborot va axborot tizimlarini ruxsatsiz kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish yoki yoʻq qilishdan himoya qilish [1].
Korxonada axborotni ruxsatsiz foydalanuvchilarga oshkor qilishdan (maxfiylik), noqonuniy oʻzgartirishdan (yaxlitlik) va zarur boʻlganda mavjud boʻlmasligidan (mavjudligi) himoya qilishni taʼminlash [37].
Tashkilotning intellektual mulkini himoya qilish jarayoni [38].
Xatarlarni boshqarish fanlaridan biri, uning vazifasi biznes uchun axborot tavakkalchiligi xarajatlarini boshqarishdir [39].
Axborot risklari tegishli nazorat va boshqaruv choralari bilan muvozanatlanganligiga asosli ishonch [40].
Axborotni himoya qilish, axborotni shaxslarga ruxsatsiz oshkor qilish xavfini minimallashtirish [41].
Axborotni qayerda joylashgan boʻlishidan qatʼiy nazar (tashkilot perimetri ichida ham, tashqarisida ham) tahdidlardan himoya qilish uchun turli xil xavfsizlik mexanizmlari (texnik, tashkiliy, insonga yoʻnaltirilgan, huquqiy)ni ishlab chiqish va amalga oshirishga qaratilgan koʻp tarmoqli tadqiqot va kasbiy faoliyat sohasi va shunga mos ravishda axborot yaratiladigan, qayta ishlanadigan, saqlanadigan, uzatiladigan va yoʻq qilinadigan axborot tizimlari. Xavfsizlik maqsadlari roʻyxati maxfiylik, yaxlitlik, mavjudlik, maxfiylik, haqiqiylik va asoslilik, rad etmaslik, javobgarlik va tekshiriluvchanlikni oʻz ichiga olishi mumkin [42].
Davlat xavfsizligi uchun mas’ul boʻlgan davlat organlari tomonidan paydo boʻladigan, taʼsir etuvchi tahdidlar va ushbu tahdidlarga qarshi kurashning muvaffaqiyati oʻrtasidagi muvozanat jarayoni [43].
Asosiy tamoyillar[tahrir | manbasini tahrirlash]
1975-yilda Jerri Zalser va Maykl Shreder oʻzlarining „Kompyuter tizimlarida axborot xavfsizligi“[44] nomli maqolasida birinchi boʻlib xavfsizlikni buzishni uchta asosiy toifaga ajratishni taklif qilishgan. Bular ma’lumotlarni ruxsatsiz oshkor qilish (inglizcha: unauthorized information release), ma’lumotni ruxsatsiz oʻzgartirish (inglizcha: Unauthorized information modification) va ma’lumotlarga kirishni ruxsatsiz rad etish (inglizcha: Unauthorized denial of use). Keyinchalik, bu toifalar quyidagi qisqa nomlar va standartlashtirilgan ta’riflarni olgan:
Confidentiality ing. „maxfiylik“ - ruxsatsiz shaxslar, sub’ektlar yoki jarayonlar uchun kirish mumkin boʻlmagan yoki yopiq boʻlgan ma’lumotlarning xususiyati[36];
Integrity ing. „yaxlitlik“ - aktivlarning toʻgʻriligi va toʻliqligini saqlash xususiyati[36];
Availability ing. „mavjudlik“ - bu huquqqa ega boʻlgan vakolatli sub’ektning iltimosiga binoan mavjud boʻlishi va foydalanishga tayyor boʻlishi kerak boʻlgan ma’lumotlar mulki[36].
Axborot xavfsizligining ushbu uchta asosiy tamoyillari birgalikda CIA triadasi[45] deb ataladi.
1992-yilda IHTT (Iqtisodiy hamkorlik va taraqqiyot tashkiloti) oʻzining xabardorlik, mas’uliyat, qarshilik, axloq, demokratiya, xavflarni baholash, xavfsizlikni loyihalash va amalga oshirish, xavfsizlikni boshqarish, qayta koʻrib chiqish[46] kabi toʻqqiz tamoyildan iborat axborot xavfsizligi modelini nashr etdi. 1996-yilda IHTTning 1992-yildagi nashriga asoslanib, Amerika Milliy Standartlar va Texnologiyalar Instituti (NIST) kompyuter xavfsizligi haqida quyidagi sakkiz tamoyilni targʻib qilgan. Unga koʻra axborot xavfsizligi: „tashkilot missiyasini qoʻllab-quvvatlaydi“, „sogʻlom menejmentning ajralmas qismidir“, „xarajat jihatidan samarali boʻlishi kerak“, „har tomonlama va kompleks yondashuvni talab qiladi“, „ijtimoiy omillar bilan cheklangan“, „vaqti-vaqti bilan koʻrib chiqilishi talab etiladi“, „kompyuter xavfsizligi boʻyicha majburiyatlar va mas’uliyatlar aniq ifodalangan boʻlishi lozim“ va „tizim egalari oʻz tashkilotidan tashqari xavfsizlik uchun javobgardir“[47]. Ushbu modelga asoslanib, 2004-yilda NIST 33 ta axborot xavfsizligi muhandisligi dizayn tamoyillarini nashr etgan. Ularning har biri uchun amaliy koʻrsatmalar va tavsiyalar ishlab chiqilgan boʻlib, ular doimiy ravishda nazorat qilinadi va yangilanadi [48].
1998-yilda Donn Parker klassik Markaziy razvedka boshqarmasi triadasini egalik yoki nazorat (inglizcha: Possession or Control), haqiqiylik (inglizcha: Authenticity) va foydalilik (inglizcha: Utility) kabi yana uch jihat bilan toʻldirdi[49]. Parker geksadi (ing. hexad – ,,oltita elementdan iborat guruh”) deb ataluvchi ushbu modelning afzalliklari, axborot xavfsizligi mutaxassislari oʻrtasida muhokama mavzusi hisoblanadi [50].
2009-yilda AQSh Mudofaa vazirligi tizim sezgirligi (inglizcha: System Susceptibility), zaiflikning mavjudligi (inglizcha: Access to the Flaw) va zaiflikdan foydalanish qobiliyati (inglizcha: Capability to Exploit the Flaw)[51][52][53] kabi „Kompyuter xavfsizligining uchta asosiy prinsipi“ni nashr ettirdi.
2011-yilda The Open Group xalqaro konsorsiumi O-ISM3[en] CIA klassik triadasi tarkibiy qismlarining kontseptual ta’rifidan voz kechib, ularning operatsion ta’rifi foydasiga axborot xavfsizligini boshqarish standartini nashr etdi. O-ISM3ga koʻra, har bir tashkilot uchun triadaning u yoki bu komponentiga mos keluvchi ustuvor xavfsizlik maqsadlari (maxfiylik), uzoq muddatli xavfsizlik maqsadlari (yaxlitlik), axborot sifati maqsadlari (yaxlitlik), kirishni boshqarish maqsadlari (mavjudligi) va texnik xavfsizlik maqsadlari kabi besh toifadan biriga tegishli xavfsizlik maqsadlarining individual toʻplamini aniqlash mumkin [54].
Yuqorida aytib oʻtilgan barcha axborot xavfsizligi modellari ichida CIA klassik triadasi keng tarqalgan boʻlib, hali hanuz xalqaro professional hamjamiyatda tan olinadi[45]. U milliy[1] va xalqaro standartlarda[55] mustahkamlangan va CISSP[1] va CISM[36] kabi axborot xavfsizligi boʻyicha asosiy ta’lim va sertifikatlashtirish dasturlariga kiritilgan. Ba’zi rus mualliflari undan „KYAM (konfidensiallik, yaxlitlik, mavjudlik) triadasi“ kuzatuv kalkasi sifatida foydalanadilar. „KYAM triadasi“ Adabiyotda uning barcha uch komponenti: konfidensiallik, yaxlitlik va mavjudlik sinonimik ravishda printsiplar, xavfsizlik atributlari, xususiyatlar, asosiy jihatlar, axborot mezonlari, tanqidiy xarakteristikalar yoki asosiy tarkibiy elementlar deb ataladi [5].
Ayni paytda, professional hamjamiyatda Markaziy razvedka boshqarmasi CIA triadasining tez rivojlanayotgan texnologiyalar va biznes talablariga qanchalik mos kelishi haqida munozaralar davom etmoqda. Ushbu muhokamalar natijasida xavfsizlik va shaxsiy daxlsizlik oʻrtasidagi munosabatlarni oʻrnatish, qoʻshimcha tamoyillarni qabul qilish zarurligi toʻgʻrisida tavsiyalar berildi [5].
Ulardan ayrimlari allaqachon Xalqaro standartlashtirish tashkiloti (ISO) standartlariga kiritilgan:
haqqoniylik (inglizcha: authenticity) – ob’ekt yoki resursning e’lon qilingan bilan bir xilligini kafolatlaydigan xususiyat;
javobgarlik[en] (inglizcha: accountability) – sub’ektning oʻz harakatlari va qarorlari uchun javobgarligi;
rad etishning imkonsizligi (inglizcha: non-repudiation) — sodir boʻlgan voqea yoki harakatni va ularning sub’ektlarini ushbu hodisa yoki harakatni va u bilan bogʻliq boʻlgan sub’ektlarni shubha ostiga qoʻymaslik uchun tasdiqlash qobiliyati;
ishonchlilik (inglizcha: reliability) – bu moʻljallangan xatti-harakatlar va natijalarga muvofiqlik xususiyatidir [36].
|
| |
