|
O‘zbekiston resрublikasi raqamli texnologiyalar vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti
|
| bet | 11/16 | | Sana | 20.05.2024 | | Hajmi | 0,85 Mb. | | #246043 |
Bog'liq Qodirov DY = (Y1+Y2) / 20, (1)
Bu yerda Y-tahdidni amalga oshirish koeffitsienti, Y1-joriy xavfsizlik darajasi koeffitsienti, Y2-tahdidni amalga oshirish ehtimoli koeffitsienti.
1.4-jadval.
Shaxsiy ma’lumotlarga tahdidlarni amalga oshish ehtimolligi.
Shaxsiy ma’lumotlar-ga tahdidlarni amalga oshish ehtimolligi
|
Izoh
|
Y2 raqamli koeffitsienti
|
Ehtimoli kam
|
Tahdidni amalga oshirish uchun ob’ektiv shartlar mavjud emas(masalan, ommaviy axborot vositalariga qonuniy kirish imkoniga ega bo‘lmagan shaxslar tomonidan axborot vositalarini o‘g‘irlash tahdidi).
|
0
|
Ehtimoli past
|
Tahdidni amalga oshirishning ob’ektiv shartlari mavjud, ammo qabul qilingan chora-tadbirlar uni amalga oshirishni qiyinlashtiradi (axborotni himoya qilish vositalari qo‘llaniladi).
|
2
|
Ehtimoli o‘rta
|
Tahdidni amalga oshirish uchun ob’ektiv shartlar mavjud, ammo shaxsiy ma’lumotlarning xavfsizligini ta’minlash uchun qabul qilingan chora-tadbirlar etarli emas.
|
5
|
Ehtimoli yuqori
|
Tahdidni amalga oshirish uchun ob’ektiv shartlar mavjud va shaxsiy ma’lumotlarning xavfsizligini ta’minlash choralari qabul qilinmaydi.
|
10
|
Y tahdidining realizatsiya koeffitsientining qiymati bo‘yicha tahdidni amalga oshirish imkoniyatini verbal talqin qilish quyidagicha shakllanadi:
agar 0
agar 0,3
agar 0,6
agar Y>0,8 bo‘lsa, tahdidni amalga oshirish imkoniyati juda yuqori deb topiladi.
Har bir tahdidning xavfi keyinda baholanadi. Ekspertlarning (axborotni muhofaza qilish sohasidagi mutaxassislar) so‘roviga asoslangan xavfni baholashda ushbu sahxsiy ma’lumotlar axborot tizimi uchun xavf-xatarning verbal ko‘rsatkichi aniqlanadi. Ushbu ko‘rsatkich 1.5-jadvalda keltirilgan uchta qiymatga ega.
1.5-jadval.
Shaxsiy ma’lumotlarga tahdidlar xavfini ko‘rsatkichlari
№
|
Tahdidlar xavfini ko‘rsatkichlari
|
Izoh
|
1
|
Past
|
Tahdidni amalga oshirishda shaxsiy ma’lumotlar sub’ektlariga salbiy ta’sir ko‘rsatmaydi.
|
2
|
O‘rta
|
Tahdidni amalga oshirishda shaxsiy ma’lumotlar sub’ektlariga salbiy ta’sir.
|
3
|
Yuqori
|
Tahdidni amalga oshirishda shaxsiy ma’lumotlar sub’ektlariga sezilarli salbiy ta’sir.
|
1.6-jadvalda ko‘rsatilgan qoidalarga muvofiq shaxsiy ma’lumotlarning ushbu axborot tizimi uchun dolzarb bo‘lgan xavfsizlik tahdidlarining umumiy (oldindan) ro‘yxatidan tanlash lozim.
1.6-jadval.
Shaxsiy ma’lumotlarga tahdidlar dolzarbligini aniqlash matritsasi
Tahdidlarni amalga oshish imkoniyati
|
Xavf ko‘rsatkichi
|
past
|
o‘rta
|
yuqori
|
Past
|
Dolzarb emas
|
Dolzarb emas
|
Dolzarb
|
O‘rta
|
Dolzarb emas
|
Dolzarb
|
Dolzarb
|
Yuqori
|
Dolzarb
|
Dolzarb
|
Dolzarb
|
Juda yuqori
|
Dolzarb
|
Dolzarb
|
Dolzarb
|
Shaxsiy ma’lumotlar axborot tizimi sinfi ma’lumotlari va dolzarb tahdidlar ro‘yxatini tuzish asosida, shaxsiy ma’lumotlarning axborot tizimini texnik kanallar orqali axborotdan noqonuniy foydalanishdan himoya qilish bo‘yicha aniq tashkiliy-texnik talablarni shakllantirish va axborotni muhofaza qilish uchun dasturiy va texnik vositalarni tanlash zarur.
Buzg‘unchi tizimning hayotiy siklining turli bosqichlarida harakat qilishi mumkin. Ushbu bosqichlar mablag‘larni ishlab chiqish, ularni ishlab chiqarish, saqlash, tashish, ishga tushirish (ishga tushirish va sozlash ishlari), ekspluatatsiya degan ma’noni anglatadi.
Tizim vositalarini ishlab chiqarish, saqlash va tashish bosqichlarida hujum ob’ektlari, ishga tushirishga tayyorgarlik faqat tizimning texnik va dasturiy vositalari va ular uchun hujjatlardir.
Hujumlarning maqsadlari:
vositalar haqida ma’lumot olish (tizim vositalarining xususiyatlari, ularni ishlab chiqarish va ulardan foydalanish shartlari haqida);
tizim vositalariga turli xil zaifliklarni kiritish;
hujjatlarga ruxsatsiz o‘zgartirishlar kiritish;
tizimning noto‘g‘ri konfiguratsiyasi.
Potentsial buzg‘unchilar quyidagilarga bo‘linadi:
tugun joylashgan kompaniyaning nazorat qilinadigan hududiga kirish uchun ruxsat berilgan imkoniyatlarga ega bo‘lmagan tashqi buzg‘unchilar;
tugun joylashgan bo‘linmaning nazorat qilinadigan zonasiga doimiy yoki bir martalik kirish uchun ruxsat berilgan imkoniyatlarga ega bo‘lgan ichki buzg‘unchilar.
Tugunning turli tarkibiy qismlariga kirish imkoniyati bo‘yicha buzg‘unchilarning turlari 1.7-jadvalda keltirilgan.
1-toifa buzg‘unchilari K3 ga kirish imkoniga ega bo‘lmagan zararli faoliyatni amalga oshiruvchi shaxslarni o‘z ichiga olishi mumkin.
2-toifadagi buzg‘unchilarga quyidagilar kiradi:
K3ga bir martalik kirish imkoniga ega bo‘lgan mehmonlar;
montaj komponentlariga kirish imkoniga ega bo‘lmagan ta’mirlash tashkilotlari xodimlari va vakillarining ayrim toifalari.
3-toifadagi buzg‘unchilarga texnik va xizmat ko‘rsatish xizmatlari, maslahat va boshqa yordamchi xizmatlar vakillari doimiy ravishda yoki vaqti-vaqti bilan K3 doirasida bo‘lishi mumkin. Ushbu turdagi buzg‘unchilar texnik vositalar va dasturiy ta’minot axborot tizimiga kirish huquqiga ega emaslar.
1.7-jadval.
Buzg‘unchilar turlari.
Buzg‘unchi faoliyati tavsifi
|
Buzg‘unchilar turlari
|
Tashqi buzg‘unchi
|
1-tur
|
Tashrif buyuruvchi
|
2-tur
|
Xizmat ko‘rsatuvchi xodim
|
3-tur
|
Foydalanuvchi bo‘lmagan xodim
|
4-tur
|
Operator
|
5-tur
|
Ma’mur
|
6-tur
|
Tashkilot xodimi
|
7-tur
|
4-turdagi buzg‘unchilar tashkilotning operatorlari yoki tizim ma’murlari bo‘lmagan xodimlarni o‘z ichiga olishi mumkin.
5-turidagi buzg‘unchiga axborot tizimining operatori bo‘lgan xodim murojaat qilishi mumkin.
6-turidagi buzg‘unchi ushbu modelda ko‘rib chiqilmaydi. Ma’murlar ishonchli shaxslar deb hisoblanadi va buzg‘unchilar toifasiga kirmaydi. Ularning ishonchnomasi xodimlarni tanlash, mas’uliyatni mustahkamlash va sadoqatni nazorat qilish bo‘yicha tashkiliy chora-tadbirlar majmuasi bilan ta’minlanishi kerak.
7-turdagi buzg‘unchilarga tuzilgan shartnomalarga (dasturiy ta’minotni ishlab chiquvchi tashkilotlar, transport vositalari, texnik qo‘llab-quvvatlovchi tashkilotlar) muvofiq tugunlarga doimiy ravishda xizmat ko‘rsatuvchi tashkilotlarning xodimlari kirishi mumkin. Ushbu turdagi buzg‘unchi ushbu modelda ko‘rib chiqilmaydi. Ushbu turdagi buzg‘unchilarga qarshi himoya qilish tashkiliy-texnik chora-tadbirlar majmuasi tomonidan ta’minlanadi, shuningdek, amalga oshirilayotgan chora-tadbirlar natijasida mavjud bo‘lgan axborotga murojaat qilish qoidalari, konfidensiallik shartlari shartnomalarda ko‘rsatilgan deb taxmin qilinadi.
Tashkilotda mavjud kadrlarni tanlash tizimi, amaldagi tashkiliy-texnik tadbirlar har qanday turdagi buzg‘unchilar o‘rtasida kelishmovchilik yuzaga kelishi ehtimoli yo‘q deb taxmin qilinadi.
Mumkin bo‘lgan hujum kanallari quyidagi taxminlar bilan cheklangan:
bo‘limning nazorat qilinadigan zonasiga kirish, binolar tegishli rejim tomonidan tartibga solinadi va nazorat qilinadi;
nazorat qilinadigan hudud doirasida server uskunalari, aloqa kanallari va aloqa uskunalari faqat administratorlar uchun mavjud, foydalanuvchilar va xizmat ko‘rsatish xodimlari cheklangan;
xizmat ko‘rsatuvchi xodimlar tizimning tarkibiy qismlari joylashgan xonalarda ishlayotganda, foydalanuvchi bo‘lmagan xodimlar tugun komponentlari bo‘lgan xonalarda faqat tugun xodimlari ishtirokida;
ichki huquqbuzar (5-toifa) hujumlarni amalga oshirish usullari va vositalarini mustaqil ravishda yaratadi, shuningdek, hujumlarni mustaqil ravishda amalga oshiradi. Shu bilan birga, ushbu turdagi ichki huquqbuzar himoyalangan axborotni qayta ishlash jarayonlarining tashkiliy-texnik choralari va texnologiyalari bilan cheklangan. Bundan tashqari, ushbu turdagi buzg‘unchilar axborot tizimining boshqa tarkibiy qismlari ma’lumotlarini kriptografik himoya qilish vositalariga kirishning bevosita imkoniyatlariga ega emas, chunki kirish xavfsizlik devorlari bilan cheklangan.
Hujumlarning asosiy kanallari quyidagilardir:
tashkiliy-texnik chora-tadbirlar bilan axborotga ruxsatsiz kirishdan himoyalanmagan tashqi aloqa kanallari;
shtat mablag‘lari;
hujum ob’ektiga bevosita kirish kanallari (vizual, jismoniy) ;
mashina axborot tashuvchilar.
- foydalanishdan olingan ma’lumotlarning tashuvchilari.
Hujum kanallari, axborotni yashirin ravishda olib tashlash qurilmalari orqali, buzg‘unchilar uchun mavjud bo‘lgan hujum vositalari va tahdidlarning dolzarbligi haqida taxminlar mavjud emas. Bunday kanallarga quyidagilar kiradi:
signal zanjirlari;
elektr ta’minoti davri;
tuproq zanjirlari;
yashirin ma’lumot olish elektron qurilmalar orqali chiqib ketish kanallari.
Axborot va boshqaruv interfeyslariga kirish huquqbuzarning imkoniyatlari haqida kiritilgan taxminlar tufayli cheklangan.
Buzg‘unchida mavjud bo‘lgan axborot darajasi, unga mavjud bo‘lgan vositalar va hujum kanallari haqida kiritilgan taxminlar asosida, buzg‘unchining H2 sinfining buzg‘unchi uchun yetarli darajada imkoniyati yo‘q degan xulosaga kelish mumkin:
K3 ga kirish imkoni yo‘q;
yagona kalitda ishlaydigan barcha aloqa tarmoqlari noma’lum;
kriptografik vositalarning apparat tarkibiy qismlarini olish uchun hech qanday imkoniyat yo‘q;
asosiy markazlarga kirish imkoni yo‘q.
Shunday qilib, buzg‘unchi H2 sinfining imkoniyatlariga ega.
Shaxsiy ma’lumotlarning axborot tizimiga shaxsiy ma’lumotlar hududiy intervalgacha bo‘linmalar o‘rtasida nazoratsiz aloqa kanallari orqali uzatilganligini hisobga olib, axborotni kriptografik himoya qilish vositalaridan foydalanish talab etiladi.
Buzg‘unchi, kiritilgan cheklovlarni hisobga olgan holda, korxona tomonidan nazorat qilinadigan K3 ichidagi aloqa kanallarida axborotni ushlash imkoniyati yo‘q.
|
|
Bosh sahifa
Aloqalar
Bosh sahifa
O‘zbekiston resрublikasi raqamli texnologiyalar vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti
|
