O‘zbekiston respublikasi oliy va o‘rta




Download 2.18 Mb.
bet68/124
Sana27.10.2022
Hajmi2.18 Mb.
#28297
1   ...   64   65   66   67   68   69   70   71   ...   124
Bog'liq
ELEKTRON TIJORAT VA BIZNES ASOSLAR
Diskret tuzilmalar 1-M.Ish, MTA Yakuniy nazorat Hammasi, 2 5359587219348652922, ARXEOLOGIYADA ANIQ VA TABIIY FANLAR, Falsafa 1-mustaqil ish, 1-LAB OCHILOV AZIZBEK, 6-amaliy iah Tarmoqlararo ekran vositasi yordamida tarmoq himoy
Korxonalarni himoya qilish usullari
Tashkiliy va protsessual echimlar korporativ axborot xavfsizligi tizimi uchun eng talabchan hisoblanadi. Ammo ularni amalga oshirish xodimlar bo'limlari va xavfsizlik xizmati xodimlarining kasbiy faoliyati bilan birga olib borilishi kerak, asosiy vazifa - bu korporativ jamoaga ish jarayonlarini olib borishdan chalg'itadigan qoidalarni joriy etish emas,
balki maxfiylik qiymatini tushuntirish. ma'lumotlar va uni himoya qilishning umumiy manfaatlari.
Tashkiliy vositalar
Korporativ axborot xavfsizligini tashkiliy himoya qilish, odatda yuqori boshqaruv vakolati tomonidan qo'llab-quvvatlanmasa, jimgina e'tiborsiz qoldiriladigan yoki tajovuzni keltirib chiqaradigan qoidalar va siyosatlarni amalga oshirishdan boshlanadi. Ba'zida aynan shunday namoyishlar shuni ko'rsatadiki, maxfiy ma'lumotlar tahdid ostida, menejment yoki yuqori darajadagi xodimlardan kimdir ulardan o'z maqsadlari uchun foydalanadi va imtiyozlardan voz kechmoqchi emas. Ushbu muammoni hal qilish bosqichidagi birinchi qadam bu yagona axloqiy qadriyatlarni yaratishdir, uning doirasida korporatsiyaning har bir xodimi ma'lumotlar xavfsizligi va me'yoriy hujjatlarning barcha talablariga muvofiqligi uchun shaxsan javobgarligini his qilishi kerak bo`ladi.
Yirik konsalting kompaniyalari hisobotlarida ta'kidlanganidek, korporativ axborot xavfsizligiga tahdidlar haqiqati to'g'risidagi savol Rossiya ishbilarmon doiralarida hali ham jiddiy ko'tarilmagan. Kiber tahdidlarga duch kelgan biznesning bir qismi allaqachon DLP va SIEM tizimlarini o'rnatgan , sog'liqni saqlash tarmog'ining auditidan o'tgan va tahdidlarni kuzatish va kiberxavfsizlik hodisalariga javob berish tizimiga ega. Boshqalar, eskicha usulda, hal qilish kerak bo'lgan yagona masala - bu xodimlarning Internetdan foydalanishini cheklash va kamdan-kam hollarda kompyuterga USB kiritish usullarini blokirovka qiladilar. Oddiy antivirus va Windows xavfsizlik devori, ba'zida hatto litsenziyalanmagan ham, hamma narsa uchun javobgardir. Natijada mijozlar ma'lumotlar bazalarini va shaxsiy ma'lumotlarini o'g'irlash ommaviy ravishda, darknet tarmog'idagi qora bozorda paydo bo'ladi.
Ba'zi kompaniyalar shaxsiy ma'lumotlar operatorlariga talablar qo'yadigan regulyatorlar tomonidan ma'lumotlarni himoya qilishni talab qilmoqda.
Ushbu talablar orasida:

    • sinov va sertifikatlashdan o'tgan va ma'lumotlarni himoya qilishning zarur darajasini kafolatlaydigan axborotni muhofaza qilishning texnik vositalaridan va dasturiy ta'minotidan foydalanish;

    • axborot infratuzilmasi holatining qonunlar va qonunosti hujjatlariga muvofiqligi;

  • muhim dasturiy ta'minotni o'z vaqtida yangilash strategiyasini ishlab chiqish;

  • axborot xavfsizligi bilan bog'liq hodisalarga javob berish mexanizmining mavjudligi;

  • sertifikatlangan antivirus himoyasi yordamida viruslarga qarshi kurashish;

  • ma'lumotlarni shifrlash;

PDni ishlovchi IS bilan ishlashning barcha jihatlarini tartibga soluvchi hujjatlar to'plamini qabul qilish.
Ammo regulyatorlarning talablarini bajarish uchun ham xodimlar tushunishlari kerakki, agar ular tomonidan mijozlar talablari natijasida jarimalar, pul yo'qotishlariga olib keladigan xavf tug'dirsa, ular o'zlarini xavf nuqtai nazaridan rag'batlantiruvchi nafaqalar to'lash va ularning ish joylarini saqlab qolish. Xodimlarni xavf modellari va ularga javob berishning asosiy usullari bilan tanishtirib, treninglar o'tkazish kerak. IS talablarini qondirish uchun kompaniya qoidalarini ishlab chiqish zarurati tavakkalchilik modeli talablari va regulyatorlarning ishi bilan yuzaga keladi.
Umumiy tahdid modeli
Har qanday tashkilotda ishbilarmonlarga ishga qabul qilishda tanishadigan korporativ hujjatlar to'plamiga biznes tahdidi modeli kiritilishi kerak.
Xodimlar tushunishi uchun xavf tuzilishi quyidagicha bo'lishi kerak:

      1. Biznesga tahdidlar. Agar bu obro'ga tahdid bo'lsa - qora piar, ommaviy axborot vositalarida noqonuniy nashrlar, ma'lumotlar tarqalishi va ma'lumotlar tarqalishi oqibatida kelib chiqadigan bo'lsa, ular xodimlarga ham ta'sir qiladi, chunki rezyumelarida salbiy obro'ga ega kompaniya tufayli ular ish topishda qiyinchiliklarga duch kelishadi. Agar bu sarmoyalarga tahdid bo'lsa - qarorlar noto'g'ri yoki noto'g'ri ma'lumotlar asosida qabul qilinadi va ular samarasiz bo'lsa, unda bu xatarlar xodimlarning bonuslariga ta'sir qiladi.

      2. Shaxsiy va maxfiy ma'lumotlar kabi ma'lumotlarni tahdid qilish . Axborotni qasddan tarqatish jinoiy javobgarlikka olib kelishi mumkin va kompaniya faoliyatini to'xtatib qo'yish va ishdan mahrum bo'lish bilan tahdid qiladi.

      3. Xodimlarga tahdidlar. Xodimlarni brakonerlik qilish yoki ularga ma'lumot berganliklari uchun ularga pul kompensatsiyasini taklif qilishdan tashqari, raqobatchilar kurashning yanada og'ir usullaridan foydalanishlari mumkin, masalan, mobil qurilmalar - axborot

tashuvchilarning ochiq o'g'irlanishi. Mobil qurilmalarda ma'lumotlarni topish xavfini yo'q qilish ushbu tahdidlarni kamaytiradi.

      1. Kompaniyaning IP-manziliga tahdidlar dasturlarning ishlamay qolishiga, serverning mavjud emasligiga olib keladi, biznesning to'xtab qolishiga va yo'qotishlarga olib keladi, bu nafaqat elektron pochtadan foydalanishda beparvoligini tan olgan va zararli dasturlarning ishini tasodifan boshlaganlarning, balki barcha xodimlarning ish haqiga ta'sir qiladi.

      2. Moliyaviy tahdidlar. Hisobotlarni qasddan buzib yuborish Federal Soliq xizmati tomonidan jarimalarni keltirib chiqaradi va tajovuzkorlarga kompaniya mablag'larini o'g'irlash imkoniyatini beradi, shuningdek, nima uchun axborot xavfsizligi qoidalariga rioya qilish birinchi navbatda xodimlarning o'zlari uchun zarurligini tushuntiradi, bu eng yuqori profilaktika chorasi axborot xavfsizligi. Ular ish ta'riflarida va mehnat shartnomalarida aks etgan maxfiy ma'lumotlarni oshkor qilmaslik talablari bilan qo'llab-quvvatlanishi kerak. Bu, agar kerak bo'lsa, qonunbuzarni javobgarlikka tortishga imkon beradi.

Dasturiy ta'minot va apparat vositalari
Tushuntirish ishlaridan tashqari, korporativ axborot xavfsizligining texnik jihati ham xuddi shunday puxta ishlab chiqilishi kerak. Regulyatorlar ikkita asosiy hujjatni tayyorlashni tavsiya qiladi - IS strategiyasi va Xatarlar modeli, unda quyidagilar aks ettirilgan:

  • tahdidlarning turi va taxminiy tajovuzkorning tasviri;

  • tizim arxitekturasi, uning asosiy birliklari va elementlari;

  • muhofaza qilish obyektlari;

  • axborotning maxfiyligi darajalarining tasnifi;

  • imtiyozlarni qabul qilish va tayinlashni farqlash qoidalari;

  • dasturiy ta'minotga talablar va uni yangilash;

  • apparat va dasturiy ta'minotga talablar.

Keyinchalik axborot xavfsizligi dasturini amalga oshirish bosqichi keladi. Insiderlik xatarlaridan himoyani yaratish uchun quyidagi axborot xavfsizligi elementlari amalga oshiriladi:
Kirish nazorati tizimi. U jismoniy darajada bo'lishi kerak, bunga huquqi bo'lmagan shaxslarning serverlari va ish stantsiyalariga kirishni cheklash va server xonasiga qilingan barcha tashriflarni jurnalga yozib qo'yish. Dastur darajasida u turli darajadagi xodimlar uchun turli xil maxfiylik darajasidagi ma'lumotlarga ega bo'lishni ajratib turadi;

  • autentifikatsiya tizimi, ruxsatsiz kirishning ikki omilli xavfi kamayadi;

  • elektron pochtani filtrlash, spam, viruslardan va fishingdan himoya qilish;

  • ishonchli yuklab olish imkoniyatlari;

  • ma'lumotlarni qochqinlardan boshqarish. Vazifa DLP tizimini o'rnatish orqali hal qilinadi.

Tashqi tahdidlardan himoya qilish uchun quyidagi echimlardan foydalaniladi:

  • virusga qarshi himoya vositalari;

  • xavfsizlik devorlari (xavfsizlik devorlari);

  • bosqindan himoya qilish vositalari;

  • brauzerlar va tarmoqning zaif tomonlarini kuzatish uchun boshqa vositalar;

  • kriptografik ma'lumotlarni himoya qilish vositalari.

Axborotni tashqi kanallar, trafikni shifrlash va xavfsiz ma'lumotlarni uzatish protokollari orqali uzatishda VPN texnologiyalari qo'llaniladi. Texnik qurilmalardan routerlar ishlatiladi. Xodimlarning harakatlarini kuzatish va ularning malakasini oshirishga asoslangan profilaktika choralari tizimining kompleks qo'llanilishi apparat va dasturiy ta'minot bilan birgalikda kompaniyaning axborot xavfsizligi darajasini sezilarli darajada oshirishi mumkin.






  1. Korporativ xavfsizlikning mohiyati nimada?

  2. Korxona tavakkalchilik manbalari nimada?

  3. Siz korporativ axborot xavfsizligi tamoyillarini bilasizmi?

  4. Qanday umumiy tahdid modellarini bilasiz?




Download 2.18 Mb.
1   ...   64   65   66   67   68   69   70   71   ...   124




Download 2.18 Mb.

Bosh sahifa
Aloqalar

    Bosh sahifa



O‘zbekiston respublikasi oliy va o‘rta

Download 2.18 Mb.