Axborot xavfsizligi (inglizcha: Information Security, shuningdek, inglizcha: InfoSec) — axborotni ruxsatsiz kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish, tadqiq qilish, yozib olish yoki yoʻq qilishning oldini olish amaliyotidir. Ushbu universal kontseptsiya maʼlumotlar qanday shaklda boʻlishidan qatʼiy nazar (masalan, elektron yoki, jismoniy) amal qiladi. Axborot xavfsizligini taʼminlashning asosiy maqsadi maʼlumotlarning konfidensialligi, yaxlitligi va mavjudligini muvozanatli,[1] qoʻllashning maqsadga muvofiqligini hisobga olgan holda va tashkilot faoliyatiga hech qanday zarar yetkazmasdan himoya qilishdir[2]. Bunga, birinchi navbatda, asosiy vositalar va nomoddiy aktivlar, tahdid manbalari, zaifliklar, potensial taʼsirlar va mavjud xavflarni boshqarish imkoniyatlarini aniqlaydigan koʻp bosqichli xavflarni boshqarish jarayoni orqali erishiladi. Bu jarayon xavflarni boshqarish rejasining samaradorligini baholash bilan birga olib boriladi[3].
Ushbu faoliyatni standartlashtirish maqsadida ilmiy va kasbiy hamjamiyatlar texnik axborot xavfsizligi choralari, yuridik javobgarlik, shuningdek, foydalanuvchi va maʼmurlarni tayyorlash standartlari sohasida asosiy metodologiya, siyosat va tarmoq standartlarini ishlab chiqishga qaratilgan doimiy hamkorlik asosida ish olib boradi. Ushbu standartlashtirishga asosan maʼlumotlarga kirish, qayta ishlash, saqlash va uzatishni tartibga soluvchi keng koʻlamli qonunlar va qoidalar taʼsir koʻrsatadi. Biroq, tashkilotda agar doimiy takomillashtirish madaniyati toʻgʻri shakllantirilmagan boʻlsa, har qanday standartlar va metodologiyalarni joriy etish yuzaki taʼsir koʻrsatishi mumkin [4].
Quyi darajadagi axborot xavfsizligi siyosati mehnat qoidalari, ma’muriy qo‘llanmalar, shaxsiy axborot xavfsizligi xizmatlaridan foydalanish bo‘yicha ko‘rsatmalarni o‘z ichiga oladi.
Adabiyotlarda axborot xavfsizligi vositalarining quyidagi tasnifi taklif qilingan[61]:
Ruxsatsiz kirishdan himoya qilish vositalari:
Avtorizatsiya vositalari;
Majburiy kirishni boshqarish[62];
Tanlangan kirishni boshqarish;
Rol asosida kirishni boshqarish;
Jurnallar (shuningdek, Audit deb hamataladi).
Axborot oqimlarini tahlil qilish va modellashtirish tizimlari (CASE-tizimlari).
Tarmoq monitoringi tizimlari:
Intrusionlarni aniqlash va oldini olish tizimlari (IDS/IPS).
Maxfiy ma’lumotlar oqismining oldini olish tizimlari (DLP-tizimlari).
Protokol analizatorlari.
Antivirus vositalari.
Tarmoqli ekranlar.
Kriptografik vositalar:
Shifrlash;
Raqamli imzo.
Zaxira tizimlari.
Uzluksiz quvvat tizimlari:
Uzluksiz quvvat manbalari;
Ortiqcha yuk;
Voltaj generatorlari.
Autentifikatsiya tizimlari:
Parol;
Kirish kaliti (jismoniy yoki elektron);
Sertifikat;
Biometrik.
Ishlarni buzish va jihozlarni o‘g‘irlashning oldini olish vositalari.
Binolarga kirishni nazorat qilish vositalari.
Himoya tizimlarini tahlil qilish uchun vositalar:
Antivirus.
|