|
Konfidentsial axborotga tahdid deganda
|
| bet | 8/30 | | Sana | 05.08.2023 | | Hajmi | 1.74 Mb. | | #78051 |
Bog'liq Metallarni kesish va kavsharlash texnologiyasi., 6-dars, 2-amaliy topshiriq, 05-1272 15.12.2021, Maqom asoslari, mustaqil ish mavzulari2 (3), 3-MI Uralov Bunyod, 3-mustaqil ish-Vektorlar bo, YO\'PA0118 (1), 2-mavzu.Yarim o‘tkazgichli diodlar, 788, 789, ferment, xfghjhKonfidentsial axborotga tahdid deganda, muhofaza qilinayotgan axborot resurslaridan ma’lumot olish bo‘yicha amalga oshirilgan yoki amalga oshirilishi mumkin bo‘lgan xatti - harakatlar tushuniladi.
Bularga quyidagilar kiradi:
konfidentsial axborot bilan uning butunligiga zarar etkazmagan holda tanishish;
jinoiy maqsadlarda konfidentsial axborot tarkibidagi ma’lumotlarni qisman o‘zgartirish;
to‘g‘ridan – to‘g‘ri moddiy zarar etkazish maqsadida axborotni yo‘qotish yoki butunlay buzish.
Axborotga nisbatan qo‘llanilgan noqonuniy barcha harakatlar pirovard natijada uning konfidentsialligini, to‘liqliligini, ishonchliligini va unga kirish imkoniyatini buzadi (2-rasm). Bu hol, o‘z navbatida, axborotni boshqarish rejimi buzilishi bilan birga uning to‘liqliligi va ishonchliligiga putur etishiga olib keladi.
2-rasm. Axborotga tahdidlar
Axborot xavfsizligiga har bir tahdid o‘zi bilan ma’lum moddiy yoki ma’naviy zarar (talofat)ni olib keladi. Axborot himoyasi va tahdidga qarshi qaratilgan ta’sir esa ana shu zararni butunlay yo‘q qilish yoki kamaytirishdan iborat. Shuni hisobga olgan holda axborotga tahdid 3-rasmda ko‘rsatilgandek tasniflarga ega bo‘lishi mumkin.
3-rasm. Axborot xavfsizligiga qilinadigan tahdidlarning tasnifi
1.2. Axborot xavfsizligi mavzusini о‘qitishda innovatsiyalar va ilg‘or xorijiy tajribalar
Axborotni muhofaza qilish sohasida xalqaro standartlar. 1983 yil AQSH Mudofaa Vazirligi (MV) kompyuter xavfsizligi Agentligi TSec (Ishonchli tizimlarning himoyalanganligini baholash kriteriyalari) nomli hisobotini chop etdi. U boshqacha aytganda Olov rang kitob (kitob rangiga kо‘ra) deb nomlandi. Unda kо‘p foydalanuvchili kompyuter tizimlarida maxfiy ma’lumotlarni himoyalash uchun xavfsizlikning 7 ta darajasi ajratilgan. Bular: Al – kafolatli himoya, Bl, B2, B3 – ruxsatni tо‘liq boshqarish, Cl, C2 – ruxsatni tanlash orqali boshqarish, D – minimal xavfsizlik.
AQSH Mudofaa Vazirligi kompyuter tizimlarini baholash maqsadida AQSH MV qoshidagi kompyuter xavfsizligi Milliy Markazi NCSC-TG-005 va NCSC-TG-011 nomli Qizil kitob (kitob rangiga kо‘ra) deb nomlangan qо‘llanmasini chiqardi.
Bunga javob tariqasida GFR axborot xavfsizligi Agentligi GreyenBook (Yashil kitob)ni tayyorladi. Unda xususiy hamda davlat miqyosida axborot xavfsizligini ta’minlashda vujudga keluvchi talablar kompleks tarzda о‘z aksini topgan.
1990 yilda Yashil kitob Germaniya, Buyuk Britaniya, Fransiya va Gollandiya davlatlari tomonidan ma’qullandi va yevropa Ittifoqiga yuborildi. Uning asosida yevropa standartini ifodalovchi ITSec (Axborot texnologiyalarining himoyalanganligini baholash kriteriyalari) yoki oq kitob tayyorlandi. Bu kitobda xavfsiz axborot tizimlarini tashkil etish kriteriyalari keltirilgan.
ITSec Oq kitobda xavfsizlik kriteriyalarining quyidagi asosiy qismlari keltirilgan:
1. Axborot xavfsizligi.
2. Tizim xavfsizligi.
3. Mahsulot xavfsizligi.
4. Xavfsizlikka tahdid.
5. Xavfsizlik funksiyasi tо‘plami.
6. Xavfsizlikning kafolatlanganligi.
7. Xavfsizlikning umumiy bahosi.
8. Xavfsizlik sinflari.
ITSec yevropa kriteriyalariga kо‘ra axborot xavfsizligi olti asosiy element va uning qismlarini о‘z ichiga oladi:
1. Axborot konfedentsialligi (axborotni noqonuniy olishdan himoyalash).
2. Axborot butunligi (axborotni noqonuniy о‘zgartirishdan himoyalash).
3. Axborotdan foydalana olishlilik (axborot va tizim resurslarini noqonuniy yoki tasodifiy ushlab qolishlardan himoyalash).
4. Xavfsizlik maqsadlari (axborot xavfsizligi funktsiyalari nima uchun kerak).
5. Axborot xavfsizligi funksiyalarining tasnifi:
– identifikatsiya va autentifikatsiya (foydalanuvchining haqiqiyligini an’anaviy tekshirishgina emas, yangi foydalanuvchilarni rо‘yxatga olish, eskilarini о‘chirish, shuningdek autentifikatsiya axborotlarini о‘zgartirish va tekshirish uchun funksiyalar, shu jumladan butunlikni nazorat qiluvchi vositalar ham tushuniladi);
– foydalanish huquqini boshqarish (shu jumladan, umum foydalaniluvchi obyektlarning butunligini ta’minlash maqsadida ularga ruxsatni vaqtincha chegaralovchi xavfsizlik funksiyalari, ruxsat berish huquqini tarqatishni boshqarish kabilar);
– hisobot berishlilik (protokollashtirish);
– audit (mustaqil nazorat);
– obyektlardan qayta foydalanish;
– axborotning aniqligi (ma’lumot turli qismlarining о‘zaro mosligini ta’minlash (aloqa aniqligi) hamda axborotni uzatishda uni о‘zgarmasligini ta’minlash (kommunikatsiya aniqligi));
– xizmat kо‘rsatishning ishonchliligi (qisqa vaqt ichida vaqt bо‘yicha kritik harakatlar bajarilishini ta’minlovchi funksiyalar;
kritik bо‘lmagan, ya’ni kerakli vaqtda ma’lumotni olish imkonini berish; xatolarni topish va ularni bartaraf etish funksiyalari;
kommunikatsiya xavfsizligini ta’minlovchi rejalovchi funksiyalar);
ma’lumot almashish.
6. Xavfsizlik mexanizmlarini ifodalash.
Oq kitobda «tizim» va «mahsulot» о‘rtasida farq ifodalanadi. «Tizim» deganda ma’lum bir maqsadda va ma’lum bir doirada qо‘llaniluvchi aniq apparat - dasturiy konfiguratsiya tushuniladi. «Mahsulot» deganda esa, о‘z xohishiga kо‘ra sotib olib ixtiyoriy «tizim»ga о‘rnatilishi mumkin bо‘lgan apparat - dasturiy paket tushuniladi. «Tizim» va «Mahsulot»ning kriteriyalarini umumlashtirish maqsadida ITSecda yagona – «obyekt» atamasi kiritilgan. «Obyekt»ni ishonchli deb qabul qilish uchun, xavfsizlikni kafolatlovchi ma’lum bir darajadagi ishonch kerak bо‘ladi. U esa samaradorlik va aniqlikni о‘z ichiga oladi. Ba’zi manbalarda kafolatlanganlikni himoya vositalarining adekvatligi deb ham nomlanadi.
Himoyaning samaradorligini tekshirishda konfedentsiallik, butunlik, axborotga ruxsat etilganlik bо‘yicha xavfsizlik vazifalarining о‘zaro mosligi tahlil qilinadi. ITSec da himoya mexanizmlari quvvatining uchta darajasi (bazaviy, о‘rta, yuqori) keltirilgan.
Yevropa kriteriyalarida xavfsizlikning 10 ta sinfi о‘rnatilgan(F-C1, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-D1, F-DC, F-DX). Ularning dastlabki beshtasi Amerikaning TCSec kriteriyasidagi Cl, C2, Bl, B2, V3 larga mos keladi. F-IN sinfi axborot butunligiga bо‘lgan yuqori talabga asoslangan bо‘lib, MBBT (ma’lumotlar bazasini boshqarish tizimi)ga mos keladi, hamda ruxsatning quyidagi turlari farqlanadi: о‘qish, yozish, qо‘shish, о‘chirish, hosil qilish, qayta nomlash va obyektlarni belgilash. F-AV sinfi axborot tizimlari ish qobiliyatini ta’minlash uchun yuqori talabga mо‘ljallangan. F-D1 sinfi axborot kanallari orqali uzatiluvchi ma’lumotlarning butunligina bо‘lgan yuqori talabga mо‘ljallangan.
F-DC sinfi axborot konfedentsialligiga bо‘lgan yuqori talabga moslashgan. F-DX sinfi esa bir vaqtda F-D1 va F-DC sinflari talablariga nisbatan kuchaytirilgan talabga asoslangan.
Tahdidlarni boshqarish jarayonini quyidagi bosqichlarga bо‘lish mumkin:
1. Tahlil qilinuvchi obyektlarni tanlash va ularni kо‘rib chiqishda batafsillik darajasi.
2. Tahdidlarni baholash metodologiyasini tanlash.
3. Aktivlarni identifikatsiyalash.
4. Tahdid va uning oqibatlari tahlili, himoyaning zaifliklarini aniqlash.
5. Tahdidlarni baholash.
6. Himoya choralarini tanlash.
7. Tanlangan choralarni qо‘llash va tekshirish.
8. Qoldiq tahdidni baholash.
Ushbu munosabatlarni huquqiy boshqarish avvalo, axborot tahdidlaridan sug‘urta qilish orqali amalga oshirilishi mumkin va zarur.
|
| |
