№13-MAVZU:AXBOROT XAVFSIZLIGINING TEXNIK TIZIMI
Reja:
1. Axborot tizimlariga va ularning xavfsizligiga qo‘yilgan talablar
2. Axborot tizimlarining himoyalanganligini baholash
3. Axborot xavfsizligi boshqaruvining amaliy qoidalari
4. Axborot xavfsizligini boshqaruv tizimining tasnifi
1 Axborot tizimlariga va ularning xavfsizligiga qo‘yilgan talablar
AT yaratilib ishga tushirilgandan so‘ng uning asosiy ob’ekti axborot
hisoblanadi. Tashkilotning barcha axborot resurlari, faoliyat ko‘rsatayotgan AT
bilan bog‘liq ravishda ishlaydi.Axborot resursi tashkilotdagi barcha xujjatlar,
shaxsiy ma’lumotlar vaxar xil turdagi axborotlarni o‘z ichiga oladi. SHunday ekan
ATda asosiy himoyalanishi zarur bo‘lgan ob’ekt – buaxborotdir. Bundan tashqari
ATning to‘liq va samarali ishini ta’minlash uchun boshqa komponentlari (texnik,
dasturiy vositalar) ning ham himoyasini ta’minlash zarur. Himoyani
ta’minlashning hamma uchun umumiy bo‘lgan usul yoki algoritmi mavjud emas,
shu sababli himoyani ta’minlash kompleks vositalar va chora tadbirlardan iborat
xavfsizlik tizimini yaratishni ko‘zda tutadi.
Xavfsizlik tiziminiyaratishdan oldin axborot xavfsizligiga bo‘lgan
tahdidlarni, axborotlarning ruxsatsiz chiqib ketish va ruxsatsiz foydalanish
yo‘llarini aniqlash lozim.Axborot xavfsizligiga bo‘lgan tahdidlar saqlanayotgan,
uzatilayotgan va qayta ishlanayotgan axborotlar ruxsatsiz foydalanish, o‘g‘irlash
va o‘zgartirishdan iborat bo‘lgan har qanday jarayondir.
2 Axborot tizimlarining himoyalanganligini baholash
Xavfsizlik tizimi axborot xavfsizligiga bo‘lgan tahdidlarni aniqlashi va
ularning oldini olishi va quyidagi vazifalarni bajarishi zarur[34]:
Axborotlarni to‘plash,saqlash, qayta ishlash va uzatishda butunligi
ta’minlash;
Foydalanuvchilarning
axborot
resurslaridan
vakolati
doirasida
foydalanishni ta’minlash;
Axborotlarni o‘chirish, o‘zgartirish, nusxalash, o‘g‘irlashdan va shu kabi
ruxsat etilmagan faoliyatlarni cheklash;
ATlardagi shaxsiy ma’lumotlarni himoyalash;
Xavfsizlik tizimi ATlarining samaradorligini aniqlashning muhim
ko‘rsatkichi hisoblanadi.AT xavfsizlik tizimitizimdagi mavjud axborot
xavfsizligini ta’minlash mexanizmlarning tizim axborot resurslariga bo‘lgan
taxdidlarga mosligi tushuniladi.Axborot xavfsizligiga bo‘lgan taxdidlar esa
axborotning maxfiylik, to‘lalik va foydalanishga ruxsat kabixususiyatlarini
buzishga bo‘lgan xarakatlardir.
ATlarda qo‘llaniladigan texnik va dasturiy vositalarga qarab turli xildagi
taxdidlar bo‘lishi mumkin. Ushbu xurujlar vaqt o‘tishi bilan yangicha yo‘llar
orqali amalga oshiraveriladi, shuning uchun tizim xavfsizligi ham doim yangilanib
yangicha xavflarga tayyor turishi lozim. Tizimda har bir xavf uchun alohida xavfni
bartaraf
etuvchi
mexanizm
mavjud
bo‘lishi
lozim.Bu shart AT
himoyalanganligining birinchi omili hisoblanadi.Ikkinchi omil mavjud
mexanizmlarning yetarlicha mustaxkam bo‘lishi, mustaxkamlik xurujlar yangicha
yo‘llar orqali amalga oshirilganda mexanizmning qay darajada qarshilik
ko‘rsatishidir. Uchinchi omil esa xurujlar muvaffaqqiyatli amalga oshirilganda
ATga qay darajada zarar yetkazishni aniqlashdir.
Amaliyotda keltirilgan omillarni oldindan baholash va tahlil qilish juda
murakkabdir.Korxona yoki tashkilot ATning himoyalanganligini baholashuchun
axborot xavfsizligi auditi o‘tkazilishi zarur.
3 Axborot xavfsizligi boshqaruvining amaliy qoidalari
Korxona axborot xavfsizligi auditi axborot xavfsizligini ta’minlashning, uni
tashkil etishning samarali choralaridan biridir. Axborot tizimi auditi korxonaning
axborot xavfsizligi xolatini baxolaydi, tizimnmng zaif tomonlarini aniqlaydi,
xavfsizlik tizimining axborot tizimiga mosligini hamda korxona axborot
xavfsizligining kelajakdagi rivojlanish strategiyasini belgilabberadi.
Korxona axborot tizimi axborot xavfsizligining talablariga javob berishi
kerak. Ushbu talablar asosida korxonada axborot xavfsizligi kontseptsiyasi ishlab
chiqilishi kerak. Bu kontseptsiyalar quyidagi ctandartlar asosida ishlab
chiqiladi[34]:
Axborot tizimlarining himoyalanganligini baholash. ISO 15408 [15]. Ushbu
standartda axborot tizimini yaratishda kafolatli xavfsizlik va unga qo‘yilgan
talablar batafsil yoritilgan. Lekin ushbu standartni xavfsizlikni baholashning
universal kompleksi sifatida foydalanib bo‘lmaydi, bunda axborot tizimi
xavfsizligining administrativ va ma’muriy huququiy masalalari ko‘zda
tutilmagan.
Axborot xavfsizligi boshqaruvining amaliy qoidalari. ISO/IEC 17799 (BS
7799- 1:2000) [16]. Ushbu standart Britaniya standartlashtirish instituti (BSI)
tomonidan ishlab chiqilgan va ikki qismdan iborat. Birinchi qismi (BS 7799 part
1//Code of practice for Information Security Management)2000 yil Xalqaro
Standartlashtirish tashkiloti tomonidan tasdiqlangan (ISO/IEC 17799). Ushbu
standartda tashkilotning axborot xavfsizligini boshqarish tizimini yaratishning 120
dan ortiq mexanizmlari yoritilgan. Bu mexanizmlar shu yo‘nalishdagi jaxon
tajribasidan olingan namunalar bo‘lib, har qanday yo‘nalishdagi va hajmdagi
tashkilotlarga qo‘llash mumkin.
Axborot xavfsizligini boshqaruv tizimining tasnifi. ISO/IEC 27001 (BS
7799- 2:2002) [16]. Ushbu standart BS 7799 ning ikkinchi qismi (BS 7799 part
2//Information Security management) bo‘lib, bunda axborot xavfsizligini
boshqarish tizimini yaratishga, foydalanishga topshirishga, monitoring
O‘tkazishga, qo‘llab quvvatlashga va takomillashtirishga qo‘yilgan talablar
yoritilgan.
Ushbu standartlar asosida korxona yoki tashkilotlar O‘zining axborot
xavfsizligi strategiyasini ishlab chiqishi mumkin. Bu strategiyada yordamida
mavjudxavfsizlik
tizimining
xolatini
aniqlash,
axborotlar
qiymatiga
qarabxavfsizligini ta’minlash darajasini aniqlash,mavjud va amalga oshirilishi
mumkin bO‘lgan xurujlarni aniqlash va ularga mos xavfsizlik mexanizmlari
keltiriladi.
Bundan tashqari audit O‘tkazilishi natijasidaaxborot
xavfsizligini ta’minlash usul va metodlari ham aniqlanadi va joriy etiladi.
4 Axborot xavfsizligini boshqaruv tizimining tasnifi
ATlarda xavfsizlikni ta’minlash kompleks chora tadbirlardan iboratdir,
chunki xurujlar qaysi yO‘l bilan amalga oshirilishi aniq bO‘lmaydi, shu sababli
xavfsizlik tizimi har qanday kO‘rinishdagi xurujlarga tayyor turishi zarur.
AT xavfsizlik tizimini quyidagicha izohlash mumkin(Rasm 1.2.)[34]:
AT xavfsizlik tizimi
Xuquqiy choralaraxborotga ruxsat etilmagan murojaat qilishni amalga
oshirishga intilayotgan shaxs yo‘lida turadigan ximoyadir, bu g‘arazli niyatli
shaxsning ruxsat etilmagan maxfiy axborotlardan foydalanganda uning
oqibatlarini ko‘rsatib beruvchi xujjatlardir. Axborotni ximoya qilishning bu jixati
axborotni uzatishda va qayta ishlashdan yuridik meyorlarga rioya qilishni zarurligi
bilan bog‘langandir. Axborotni ximoya qilishni xuquqiy meyorlariga mamlakatda
xarakatda bo‘lgan qonunlar, buyruqlar va boshqa meyoriy dalolatnomalar
tegishlidir, ular cheklangan miqdorda ishlatadigan axborot bilan murojaat qilish
qoidalarini reglamentlaydi. Bu bilan ular axborotni ruxsat etilmagan ishlatishga
to‘siqlik kiladilar va buzg‘unchilarni ushlab turadigan omil xisoblanadi.
Tashkiliy choralarmaxfiy ob’ektlarga jismoniy tomondan zarar yetkazish,
ish faoliyatiga aralashish va O‘g‘irlanishi mumkin bo‘lgan yo‘llarni kuzatish,
qo‘riqlashni amalga oshirishdir. Tashkilotda maxfiy ob’ektlar qo‘riqlanishi,
begona shaxslarning kirishiga yo‘l qo‘ymaslik, agar begona shaxslar kirgan
taqdirda ham ularni zudlik bilan aniqlash vositalarini O‘rnatish ya’ni
signalizatsiyalar, video-kuzatuv uskunalar. Maxfiy axborot yokixujjatlarni maxsus
seyflarda saqlanishini tashkil qilish, axborot
Huquqiy choralar
Tashkiliy choralar
Administratoriya
Texnik vositalar
Axborot
Dasturiy vositalar
resurslari saqlanadigan hududlarga maxsus chegaralar O‘rnatish. Tashkiliy
choralarga yana tabiiy ofatlar ro‘y bergan xolatlarda axborot xavfsizligini
ta’minlash choralari ham kiradi.Tashkiliy choralarga ishchi xodimlar bilan
ishlash, ishga olish ham kiradi bunda yangi xodimlarni tekshirish, ularni maxfiy
axborot bilan ishlash tartibi bilan tanishtirish, uni qayta ishlash qoidalarini
buzganligi uchun javobgarlik choralari bilan tanishtirish va x.k.
Administrativ choralar tizim resurslaridan foydalanish va ular ustidagi
jarayonlarni amalga oshirishda foydalanuvchilarni guruhlarga bO‘lish hamda
ularga rollar berish ishlarini amalga oshiradi.Foydalanuvchining roli deganda
ma’lum axborot ustida ma’lum bir jarayonni amalga oshirishga berilgan ruxsat
tushuniladi. Bundan tashqari maxfiy kalitlar vasertifikatlarniboshqarishni tashkil
etishdir.
Dasturiy vositalar ATlarni himoyalashda asosiysi sanaladi, yuqoridagi
keltirilgan vositalarni buzib O‘tganda ham dasturiy vositalarxavflarga
bardoshliligi bilan himoyani bartaraf etishi mumkin.Axborotni himoyalashda
dasturiy vositalar ikki guruhga bO‘linadi. Birinchisi nokriptografik dasturiy
vositalar antiviruslar, antispamlar va fayrvollardir. Antiviruslar tizim faoliyatiga
halal beruvchi, tizimdagi ma’lumotlarni O‘g‘irlovchi va O‘zgartiruvchi
dasturlarni aniqlash hamda faoliyatini tO‘xtashish uchun ishlatiladi.Fayrvollar
kompyutertarmoqlarga qO‘yiladigan filtrlardir, bular tarmoqlardan tizimga
ruxsatsiz kirish va keraksiz axborotlar oqimini tO‘xtatish uchun ishlatiladi.
Axborotni muhofaza qilishning apparat-dasturiy vositalari – axborotni
muhofaza qilish funksiyalarini (foydalanuvchilarni identifikatsiyalash va
autentifikatsiya qilish, resurslardan foydalana olishni cheklash, voqealarni qayd
qilish, axborotni kriptografik himoyalash va shu kabilar) bajaradigan (mustaqil
yoki boshqa vositalar bilan birgalikda) turli elektron qurilmalar va maxsus
dasturlardir.
Mustahkamlash uchun topshiriqlar
1. Axborot tizimlariga va ularning xavfsizligiga qo‘yilgan talablar
2. Axborot tizimlarining himoyalanganligini baholash
3. Axborot xavfsizligi boshqaruvining amaliy qoidalari
4. Axborot xavfsizligini boshqaruv tizimining tasnifi
Uyga vazifa
1.
Axborot tizimlarining himoyalanganligini baholash
2.
Axborot xavfsizligi boshqaruvining amaliy qoidalari
3.
Axborot xavfsizligini boshqaruv tizimining tasnifi
| 