7.2. Axborot risklarini sug„urtalashning muhimligi va amalga
oshirish bosqichlari
Tadbirkorlik faoliyatida axborot risklarini ikki katta guruhga ajratish
mumkin:
1. Axborotning xodimlar yoki raqobatchilar tomonidan xufyona
o‗g‗irlanishi.
2. Axborot uzatish kanallaridagi texnik nosozlik natijasida axborot
yo‗qotilishi.
Keng ko‗lamda tahlil qilinganda esa axborot risklari sifatida
quyidagilarni keltirish mumkin:
75
- viruslar ta‘siri;
- kompyuter hujumlari, ya‘ni xakkerlar va shunga o‗xshash tashqi
muhitdan ma‘lum bir manfaatni ko‗zlagan holda xatti-harakatlarni amalga
oshiruvchi g‗arazli shaxslarning ta‘siri;
- korxona xodimlarining nojo‗ya xatti-harakatlari oqibatida
yetkazilayotgan zararlar;
- korxona sirlari va maxfiy ma‘lumotlarni o‗g‗irlash natijasida
yetkazilayotgan ziyonlar;
- axborot texnik vositalari va tizimlarini o‗rnatish, yaratish va
ishlatishda
yo‗l qo‗yilishi mumkin bo‗lgan xatolar oqibatida
yetkazilayotgan ziyonlar;
- turli xil axborot dasturlarining ishdan chiqishi oqibatida
yetkazilayotgan zararlar va hokazo.
Mamlakatimizda
axborot-kommunikatsiya
texnologiyalari
sohasining keskin sur‘atlar bilan rivojlanib borishi o‗z navbatida axborot
xavfsizligini ta‘minlash masalasiga ustuvor ahamiyat berilishini talab
etmoqda. Shu sababdan axborot xavfsizligini ta‘minlash borasida sohada
chora-tadbirlar ishlab chiqilib, ularning izchil amalga oshirilishi
ta‘minlanmoqda. Xususan, mamlakatda axborot xavfsizligini ta‘minlash
usullari bo‗yicha 2 ta milliy standartlar ishlab chiqildi va joriy etildi.
Ushbu standartlar turli mulkchilik shaklidagi tashkilotlarda axborot
xavfsizligini boshqarish hamda nazorat qilish talablarini belgilaydi.
Axborot risklarini sug‗urta qilish bo‗yicha quyidagi me‘yoriy hujjatlar
ishlab chiqilgan:
1. Axborot xavflarini sug‗urta qilish qoidalari. Qoidalar sug‗urta
qilish tartibi va shartlarini belgilaydi.
2. Axborot tizimlari qiymatini hisoblash uslubiyoti. Unda axborot
resurslarining yo‗q bo‗lib ketish holatida uni qayta tiklashga ketadigan
qiymatning hisobi keltiriladi.
3. Zararni baholash va sug‗urta qoplamasi summasini belgilash
uslubiyoti. Unda xavflar, ya‘ni risklarni aniqlash, zarar va tahdidni
baholash, shuningdek, axborot xavflarini sug‗urta qilishda mumkin
bo‗lgan zararni aniqlash hamda yetkazilgan zarar bo‗yicha to‗lanadigan
sug‗urta qoplamasi miqdorini aniqlash ko‗zda tutiladi.
4. Axborot tizimlari xavfsizligi ekspertizasi (audit)ni o‗tkazish
bo‗yicha yo‗riqnoma. Ushbu yo‗riqnoma tarmoqda axborot himoyasi
bo‗yicha mavjud kamchiliklarni aniqlash va axborotning yo‗qolishi bilan
bog‗liq hodisani tekshirishga mo‗ljallangan axborot tizimlari ekspertizasini
o‗tkazish tartibini belgilaydi.
76
Me‘yoriy hujjatlarga muvofiq axborot risklarini sug‗urta qilish
borasida yaratilgan mexanizm quyidagi bosqichlarda amalga oshiriladi:
1-bosqich.
Sug‗urta kompaniyasi tomonidan korxona va
tashkilotlarda axborot xavfsizligiga mas‘ul xodimlar ishtirokida ariza-
so‗rovnomalar to‗ldiriladi. Bu ariza-so‗rovnoma sug‗urta shartnomasini
tuzish uchun asos bo‗lib xizmat qiladi, unda qayd etilgan ma‘lumotlar
xavfni baholashda muhim ahamiyat kasb etadi, chunki olingan
ma‘lumotlar asosida sug‗urtalovchi xavflarni sug‗urtaga qabul qilish yoki
qilmaslik to‗g‗risida qaror qabul qiladi.
So‗ngra tegishli ekspertlar tomonidan ―Axborot tizimlari xavfsizligi
ekspertizasi
(audit)ni
o‗tkazish
yo‗riqnoma‖si
asosida
sug‗urtalanuvchining axborot tizimlari xavfsizligi darajasi bo‗yicha
ekspertiza o‗tkaziladi va uning natijalari bo‗yicha hisobot taqdim etiladi.
Mazkur hisobot asosida sug‗urtalovchi keyingi bosqich, ya‘ni sug‗urta
shartlarini ishlab chiqish bosqichiga o‗tiladi.
2-bosqich. Sug‗urta shartlarini ishlab chiqish. Ushbu bosqichda
birinchi navbatda sug‗urtalanuvchi bilan kelishgan holda sug‗urtalanishi
lozim bo‗lgan xavflar ro‗yxati aniqlanadi. Bu ro‗yxatga quyidagi elektron
shakldagi axborotni yo‗qotish, yo‗q qilish yoki shikastlash, qimmatbaho
qog‗ozlar yoki pul mablag‗larini yo‗qotish bilan bog‗liq xavflar kiritilishi
mumkin:
- axborot tizimlarini loyihalashtirish, ishlab chiqish, yaratish,
installyasiya
qilish,
konfiguratsiyalash,
xizmat
ko‗rsatish yoki
foydalanishda yo‗l qo‗yilgan xatoliklar oqibatida ularning buzilishi yoki
ishdan chiqishi;
- sug‗urtalanuvchiga zarar yetkazish yoki noqonuniy moliyaviy
foyda olish maqsadida sug‗urta kompaniyasi xodimlari tomonidan
mustaqil ravishda yoki uchinchi shaxslar bilan til biriktirgan holda
qasddan sodir etilgan g‗ayriqonuniy xatti-harakatlar;
- uchinchi shaxslar tomonidan sug‗urtalanuvchiga qarshi kompyuter
hujumlari va ular tomonidan sug‗urtalanuvchining elektron ma‘lumotlarini
ruxsatsiz o‗zgartirish, nusxa olish, shikastlanish, yo‗q qilish, uning axborot
tizimlarini vaqtincha yoki butunlay ishdan chiqarishga qaratilgan qasddan
sodir etilgan g‗ayriqonuniy xatti-harakatlar;
- kompyuter viruslari – mustaqil ravishda yoki ular aktivatsiya
qilinganda axborot tizimlari va tarmoqlarida o‗z-o‗zidan qayta
yaratiladigan va tarqaladigan zararli kompyuter kodi yoki elektron
yo‗riqnomalar fragmentlari ta‘siri;
- axborot tizimiga uchinchi shaxslar tomonidan, jumladan:
77
a) sug‗urtalanuvchining axborot tizimlariga tovlamachi elektron
komandalarining kiritilishi;
b) sug‗urtalanuvchiga tegishli kompyuter kodining (dasturlarini)
ruxsatsiz modifikatsiyalanishi;
c) go‗yoki sug‗urtalanuvchi nomidan ketayotgan soxtalashtirilgan
elektron topshiriqni sug‗urtalanuvchi banki yoki depozitariysiga yuborish
yo‗li bilan ruxsatsiz kirishi natijasida elektron ko‗rinishdagi pul
mablag‗lari va qimmatbaho qog‗ozlarning o‗g‗irlanishi.
Navbatdagi harakat sug‗urta ob‘ektlari va ular bo‗yicha sug‗urta
summalarini aniqlash hisoblanadi. Axborot hujjatlashtirilgan, o‗z
mablag‗lari hisobiga yaratilgan yoki qonuniy asosda sotib olingan bo‗lsa,
mulk sifatida o‗z egasiga tegishli hisoblanadi. Shu sababdan O‗zbekiston
Respublikasi qonunchiligida mulk sug‗urtasiga oid ko‗zda tutilgan barcha
qoidalar mazkur sug‗urta turiga ham qo‗llaniladi.
Sug‗urta ob‘ektlari sifatida quyidagilar ko‗riladi:
- axborot resurslari – istalgan elektron ko‗rinishdagi axborot
(ma‘lumotlar bazasi, elektron kutubxona, istalgan turdagi texnik
tashuvchilarda elektron shakldagi arxivlar), ishlab chiqishda yoki
foydalanishda bo‗lgan dasturiy vositalar va komplekslar;
- moliyaviy aktivlar – elektron shakldagi hisoblarda yozuv
ko‗rinishidagi pul mablag‗lari (mijoz-bank tizimlari), elektron
ko‗rinishdagi qimmatbaho qog‗ozlar.
Sug‗urta himoyasiga qo‗shimcha sifatida quyidagi sug‗urta hodisalari
ro‗y berishi bilan bog‗liq bilvosita zarar va ko‗zda tutilmagan xarajatlarni
sug‗urtalash mumkin:
- sug‗urta hodisasi ro‗y berganda tijorat faoliyatini vaqtincha
to‗xtatish bilan bog‗liq zararlar – bu turg‗unlik davrida olinmay qolgan
daromad, biznesni qo‗llab-quvvatlash uchun qilingan joriy xarajatlar, ya‘ni
xodimlar ish haqini to‗lash, majburiy to‗lovlar va ishlab chiqarish
ob‘ektiga bog‗liq bo‗lmagan to‗lovlar;
- biznesni tezlik bilan tiklash bo‗yicha qo‗shimcha xarajatlar:
a) uskunalarni vaqtincha ijaraga olish;
b) begona tashkilotlar protsessing xizmatlaridan foydalanish;
c) uskuna va dasturiy ta‘minotni tezkor almashtirish bo‗yicha
harajatlar;
d) sug‗urta hodisasi holatlarini tekshirish xarajatlari;
e) sug‗urta qildiruvchi obro‗sini himoya qilish bo‗yicha xarajatlar.
78
Sug‗urta ob‘ektlari bo‗yicha sug‗urta summalari (javobgarlik
miqdorlari) ―Axborot tizimlari qiymatini hisoblash uslubiyoti‖ga muvofiq
axborot tizimlarining qiymatidan kelib chiqib aniqlanadi.
So‗ngra sug‗urtalovchi sug‗urta tariflarini ishlab chiqishga kirishadi.
Sug‗urta tarifi sug‗urta shartnomasiga muvofiq sug‗urtalanuvchi
tomonidan sug‗urtalovchiga to‗lanadigan sug‗urta mukofoti stavkasini
ifodalaydi. Sug‗urta tarifi har bir xavf bo‗yicha alohida belgilanadi. Uning
miqdori sug‗urtalanuvchining axborot tizimining xavfsizligi darajasiga va
axborot tizimining axborot xavfsizligi bo‗yicha o‗tkazilgan ekspertiza
tahlillariga asosan aniqlanadigan xavf darajalariga bevosita bog‗lanadi.
3-bosqich. Sug‗urta shartnomasini tuzish. Sug‗urta shartlari
kelishilgach, sug‗urtalanuvchi va sug‗urtalovchi o‗rtasida sug‗urta
shartnomasi tuziladi. Sug‗urta shartnomasi shartlari ―Axborot xavflarini
sug‗urta qilish qoidalari‖ bilan belgilanadi. Sug‗urta shartnomasi bo‗yicha
sug‗urta mukofoti to‗langandan so‗ng sug‗urtalovchi sug‗urtalanuvchiga
sug‗urta javobgarligining kuchga kirganligini tasdiqlovchi sug‗urta polisini
taqdim etadi.
4-bosqich. Sug‗urta hodisalarini ko‗rib chiqish va sug‗urta
qoplamasini to‗lash. Sug‗urta hodisasi sodir bo‗lgan vaqtda ekspert
tashkilot jalb etiladi. Ular o‗z navbatida ―Zararni baholash va sug‗urta
qoplamasi summasini belgilash uslubiyoti‖ asosida axborot tahdidlarining
oqibatlarini o‗rganib chiqadi hamda yetkazilgan zararni aniqlaydi.
Aniqlangan zarar sug‗urta shartnomasida belgilangan sug‗urta summasi
doirasida sug‗urta kompaniyasi tomonidan qoplab beriladi.
|