|
Ma'lumotlar bazasini himoyalashning turlarini (kriptografiya, parol himoyalash, shifrlash, kundalik nusxalash, va h.k.) o'rganish
|
| bet | 9/16 | | Sana | 20.05.2024 | | Hajmi | 0,85 Mb. | | #246043 |
Bog'liq Qodirov D 2.1. Ma'lumotlar bazasini himoyalashning turlarini (kriptografiya, parol himoyalash, shifrlash, kundalik nusxalash, va h.k.) o'rganish
Axborot xavfsizligini buzuvchi modelni yaratish va tahdid maydonini aniqlash bosqichidan so‘ng, shaxsiy ma’lumotlar axborot tizimini himoya qilishning ishonchli tizimini yaratishning navbatdagi muhim bosqichi normativ hujjatlar, iqtisodiy maqsadga muvofiqligi, muvofiqligi va nizolashmaslik talablarini hisobga olgan holda zarur usullar va himoya vositalarini aniqlashdan iborat.
Shaxsiy ma’lumotlarni himoya qilish tizimlarini rivojlantirishga asosiy turtki, yuqorida aytib o‘tilganidek, "Shaxsga doir ma’lumotlar to‘g‘risida" qonunni qabul qilishdir. Bu qonun, birinchi navbatda, "ma’lumotlarni avtomatlashtirilgan qayta ishlash jismoniy shaxslarni himoya qilish uchun majburiyatlarni bajarishga qaratilgan. Shunday qilib, Qonunchilik ushbu ma’lumotlardan foydalanadigan barcha sohalarda jismoniy shaxslarning shaxsiy ma’lumotlarini yig‘ish va qayta ishlashga quyidagi talablarni qo‘yadi:
1) shaxsiy ma’lumotlarni transchegaraviy uzatish tamoyillarining uzluksizligini ta’minlash;
2) shaxsiy ma’lumotlarni qayta ishlash, davlat organlari, mahalliy o‘zini o‘zi boshqarish organlari, yuridik va jismoniy shaxslar bilan bog‘liq faoliyatni davlat tomonidan nazorat qilish choralari.
Xususan, "Shaxsga doir ma’lumotlar to‘g‘risida"gi qonuni shaxsiy ma’lumotlarning tarkibini, ularni himoya qilishni ta’minlaydigan tashkiliy chora-tadbirlar va texnik vositalardan foydalanish tartibini belgilaydi.
Ushbu qonun doirasida mijozlar shaxsiy ma’lumotlariga ega bo‘lgan barcha yuridik va jismoniy shaxslar kiradi. Xususan, "Shaxsga doir ma’lumotlar to‘g‘risida" qonunda operatorning shaxsiy ma’lumotlarni qayta ishlashda zarur tashkiliy chora-tadbirlar va texnik vositalarni qo‘llash majburiyatini belgilaydi, shu jumladan shaxsiy ma’lumotlarni ruxsatsiz kirishdan himoya qilish uchun kriptografik vositalardan foydalanishni ham.
Tegishli chora-tadbirlar va axborotni himoya qilish vositalarini tanlash quyidagi ro‘yxat asosida amalga oshiriladi:
kirish huquqlarini ajratish (kirishni boshqarish);
voqealar auditi (ro‘yxatga olish va hisobga olish);
butunlikni nazorat qilish;
nomunosib imkoniyatlarni nazorat qilish;
antivirusni himoya qilish vositalari;
tarmoqlararo ekranlash (xavfsizlik devorlari o‘zaro ta’sir o‘tkazish uchun);
ishlashni nazorat qilish (xavfsizlikni sinash va tahlil qilish vositalari);
kriptografik himoya vositalari (shifrlash);
texnik kanallar orqali sizib chiqishlardan himoya qilish choralari va vositalari;
buzib kirishlarni aniqlash vositalari.
Shaxsiy ma’lumotlarni himoya qilish tizimini qurish bo‘yicha harakatlarning odatiy algoritmi 1.2-rasmda keltirilgan:
1. Shaxsiy ma’lumotlar xavfsizligiga tahdidlarni aniqlash va ularning dolzarbligi.
2. Shaxsiy ma’lumotlarni himoya qilish tizimining tahdid modeli asosida ishlab chiqish.
3. Axborotni muhofaza qilish tizimining tayyorligini tekshirish.
4. Axborotni muhofaza qilish tizimini o‘rnatish va ishga tushirish.
5. Axborotni himya qilish tizimiga muvofiq axborotni himoya qilish uchun mas’ul mansabdor shaxslarni tayyorlash.
6. Axborotni muhofaza qilish vositalarini hisobga olish va ularni ekspluatatsiya qilish.
7. Axborotni muhofaza qilish tizimining samaradorligini nazorat qilish.
8. Shaxsiy ma’lumotlarni himoya qilish tizimining tavsifi.
Xususan, shaxsiy ma’lumotlarni himoya qilishni tashkil etishda ko‘plab usullar qo‘llaniladi.
Audit axborotlashtirish obyektining shaxsiy ma’lumotlarni himoya qilish to‘g‘risidagi davlat qonunchiligi talablariga muvofiqligi kabi tadbirlarni o‘z ichiga oladi:
1) shaxsiy ma’lumotlarni shaxsiy ma’lumotlar himoyalash axborot tizimida qayta ishlash zarurligini aniqlash;
2) ruxsatsiz kirishdan himoya qilinadigan shaxsiy ma’lumotlar ro‘yxatini aniqlash;
3) nazorat qilinadigan hududning chegaralariga nisbatan shaxsiy ma’lumotlarning axborot tizimi joylashish shartlarini aniqlash;
4) konfiguratsiya va topologiyani shaxsiy ma’lumotlarning axborot tizimi umuman va uning alohida komponentlari, jismoniy, funktsional va texnologik aloqalarni aniqlash;
5) ishlab chiqilgan shaxsiy ma’lumotlarning axborot tizimidan foydalanish uchun mo‘ljallangan tizimning texnik vositalarini aniqlash;
6) shaxsiy ma’lumotlarni qayta ishlash usullarini, umuman shaxsiy ma’lumotlar axborot tizimi va alohida komponentlar, shaxsiy ma’lumotlarning axborot tizimi sinfi aniqlash;
1.2-rasm. Shaxsiy ma’lumotlarni himoyalash tizimi qurish algoritmi
7) shaxsiy ma’lumotlarni qayta ishlashda xodimlarning ishtiroki darajasini aniqlash;
8) shaxsiy ma’lumotlar xavfsizligi tahdidlarini, muayyan faoliyat sharoitlari bilan bog‘ligini aniqlash;
9) shaxsiy ma’lumotlarni himoya qilish uchun maxsus talablarni bajarmaslik xavfini baholash;
10) shaxsiy ma’lumotlar axborot tizimida shaxsiy ma’lumotlarni himoya qilish masalalari bo‘yicha bir kunlik axborot seminarini o‘tkazish;
11) korxonaning shaxsiy ma’lumotlarini himoya qilish kontsepsiyasini ishlab chiqish;
12) shaxsiy ma’lumotlarning axborot tizimiga shaxsiy ma’lumotlarni himoya qilish tizimini loyihalash va amalga oshirish;
13) mijozning shaxsiy ma’lumotlarini himoya qilish bo‘yicha ma’muriy hujjatlarni ishlab chiqish;
14) qonun hujjatlariga muvofiq shaxsiy ma’lumotlarni himoya qilish maqsadida korxonaning avtomatlashtirilgan tizimlarini rivojlantirish;
15) shaxsiy ma’lumotlar axborot tizimi xavfsizlik talablari bo‘yicha sertifikatlash va attetatsiyadan o‘tkazish.
Shuni ta’kidlash kerakki, shaxsiy ma’lumotlar axborot tizimida axborot xavfsizligi darajasi nafaqat himoya vositalari va usullari, balki qurilishning o‘ziga xos xususiyatlari bilan ham belgilanadi. Bu, birinchi navbatda, axborotni qayta ishlash tizimining bunday arxitekturasini (topologiyasini) tanlash, maxfiy axborotni qayta ishlash vositalarining joylashuvi, uni saqlash va uzatish usullarini tanlash ma’lumotlarga kirish joylari sonini sezilarli darajada kamaytiradi.
Yuqorida sanab o‘tilgan barcha usullardan ruxsatsiz kirishdan himoya tizimini yaratish shaxsiy ma’lumotlarning axborot tizimi universal tarzda ajratilishi mumkin emas, ulardan foydalanish axborot tizimida saqlanadigan va qayta ishlangan shaxsiy ma’lumotlarning mutlaq himoyasini kafolatlaydi. Taklif etilgan barcha usullar ularning afzalliklari va kamchiliklariga ega. Shuning uchun shaxsiy ma’lumotlarni himoya qilish choralari va vositalarini aniqlash muammosi operatorning shaxsiy ma’lumotlarga ruxsatsiz kirishga qarshi kurashining asosiy vazifasidir.
Axborot tizimining hayot siklining barcha bosqichlarida muayyan tahdidlarning yuzaga kelishi ehtimolini bartaraf etish va kamaytirish uchun bir qator chora-tadbirlar va himoya vositalaridan foydalanish kerak:
texnik va apparat vositalari;
dasturiy vositalar;
dasturiy-texnik vositalar;
tashkiliy vositalar.
Texnik va apparat vositalari texnik (tashqi) va apparat (ichki) darajadagi axborotni muhofaza qilish muammolarini hal qilishni ta’minlaydigan turli xil operatsion printsiplarni o‘z ichiga oladi. Misol uchun, bunday vositalar axborotni muhofaza qilish vositalariga va umuman, texnik kanallarda shaxsiy ma’lumotlarning axborot tizimiga ta’sir qilish qobiliyatiga to‘sqinlik qilish uchun mo‘ljallangan shovqin generatorlari yoki tarmoq aralashuv filtrlari bo‘lishi mumkin. Texnik vositalarning afzalliklari ularning ishonchliligi, sub’ektiv omillardan mustaqillik, modifikatsiyaga yuqori qarshilik bilan bog‘liq. Ularning zaif tomoni moslashuvchan emas, nisbatan katta hajm va massa, yuqori narx hisoblanadi.
Dasturiy vositalar foydalanuvchilarni aniqlash, kirishni nazorat qilish, axborotni shifrlash, vaqtinchalik fayllarni o‘chirish, himoya qilish va monitoring qilish tizimining sinov nazorati (asosan butunlikni nazorat qilish) uchun mo‘ljallangan maxsus dasturiy ta’minotni (DTM) o‘z ichiga oladi. Dasturiy vositalarning afzalliklari: ko‘p tomonlama, moslashuvchanlik, ishonchlilik, oson o‘rnatish, o‘zgartirish va rivojlanish qobiliyati. Kamchiliklari: cheklangan tarmoq faoliyati, fayl-server resurslari va ish stantsiyalarining bir qismini ishlatish, tasodifiy yoki qasddan o‘zgarishlarga yuqori sezuvchanlik, kompyuter turlariga (ularning apparatlariga) bog‘liq bo‘lishi mumkin.
Aralash apparat va dasturiy vositalar apparat va dasturiy vositalar bilan bir xil funksiyalarni amalga oshiradi va oraliq xususiyatlarga ega.
Tashkiliy vositalar yuqoridagi barcha vositalarni qo‘llashda barcha zaiflik va kamchiliklarni bartaraf etishga qodir bo‘lgan eng ko‘p tomonlama axborot xavfsizligi vositasidir. Tashkiliy vositalar tashkiliy-texnik va tashkiliy-huquqiy vositalardan iborat. Tashkiliy va texnik vositalar kompyuterlar bilan binolarni tayyorlash, unga kirishni cheklash talablarini hisobga olgan holda kabel tizimini o‘rnatish va tashkiliy-huquqiy vositalar-qonun hujjatlarida belgilangan vositalar va muayyan korxona rahbariyati tomonidan belgilangan ish qoidalaridir. Tashkiliy vositalarning afzalliklari shundaki, ular turli xil muammolarni hal qilish imkonini beradi, amalga oshirish oson, tarmoqdagi kiruvchi harakatlarga tezda javob beradi, cheksiz modifikatsiya va rivojlanish imkoniyatlariga ega. Kamchiliklari quyidagilardir: sub’ektiv omillarga, shu jumladan, muayyan birlikdagi ishlarning umumiy tashkilotiga yuqori darajada bog‘liqlik.
Shunday qilib, mavjud himoya vositalarining qiyosiy tahliliga asoslanib, shaxsiy ma’lumotlarning muayyan axborot tizimini yaratish uchun qo‘llaniladigan usullar teng darajada samarali emas degan xulosaga kelish mumkin. Shu asosda shaxsiy ma’lumotlarni ruxsatsiz kirishdan himoya qilish usullari va vositalarining samaradorligi mezonlarini ishlab chiqish zarur. Ushbu me’zonlardan foydalanish shaxsiy ma’lumotlarning axborot tizimini xavfsiz rejimda qurishning optimal usulini ishlab chiqishga imkon beradi.
Axborot xavfsizligini himoya qilish usullari orasida shaxsiy ma’lumotlarni himoyalash axborot tizimi eng keng tarqalgan axborot xavfsizligi auditi bo‘lib, korxona xavfsizligini axborot xavfsizligi tahdidlaridan himoya qilishning hozirgi darajasini mustaqil va ob’ektiv baholash uchun amalga oshiriladi. Audit ekspertiza jarayonida ishtirok etadigan ekspertlarning mavjud tajribasi asosida axborotni himoya qilish tizimidagi kamchiliklarni aniqlash, tizimning dasturiy-apparat zaifliklarini topish va bartaraf etish, shuningdek, himoya tizimining shaxsiy ma’lumotlar tizimining talablarga muvofiqligini baholash imkonini beradi. Audit natijalari tashkilotning axborot xavfsizligi tizimini rivojlantirish strategiyasini shakllantirish uchun asos bo‘lib xizmat qiladi.
Shu bilan birga, shuni ta’kidlash kerakki, korxona hayotida (uning texnik va axborot tuzilmasida) deyarli har doim o‘zgarishlar ro‘y beradi, bu esa ushbu amaliyotni muntazam ravishda amalga oshirishni talab qiladi. Auditorlik uchun axborot xavfsizligi sohasida konsalting xizmatlarini ko‘rsatuvchi tashqi kompaniyalar jalb qilinganligi sababli, tashkilotlar shaxsiy ma’lumotlarning axborot tizimini axborot xavfsizligini tekshirish uchun bir necha marta katta mablag‘ sarflashlari kerak. Bundan tashqari, audit sifati asosan xom ma’lumotlarni yig‘ish jarayonida olingan ma’lumotlarning to‘liqligi va aniqligiga bog‘liq. Shuning uchun, dastlabki bosqichda mutaxassislarga taqdim etilgan noto‘g‘ri dastlabki ma’lumotlar bo‘lsa, audit natijalari noto‘g‘ri bo‘lishi mumkin va shuning uchun shaxsiy ma’lumotlarning axborot tizimida qo‘llanilmaydi.
Shaxsiy ma’lumotlarni ruxsatsiz kirishdan himoya qilish uchun tashkilotlarda tez-tez ishlatiladigan quyidagi usul – bu axborot xavfsizligi xatarlarni boshqarishdir. Xatarlarni boshqarishning mohiyati ularning hajmini baholash, ularni kamaytirishning samarali va iqtisodiy choralarini ishlab chiqish, shuningdek, ular uchun maqbul asoslarni yaratishdir. Shunday qilib, risklarni boshqarish ikki turdagi faoliyatni o‘z ichiga oladi:
xatarlarni baholash (qayta baholash);
samarali va iqtisodiy himoya vositalarini tanlash (xavflarni bartaraf etish).
Asosiy xavfni baholash usulini tanlashdir. Ko‘pgina hujjatlar uslubiyatni tanlash bo‘yicha tavsiyalarni (masalan, ГОСТ Р ИСО/МЭК 13335-3-2007) yoki oddiygina usulning bir variantini ("Axborot xavfsizligini buzish xavfini baholash usuli") o‘z ichiga oladi. Ushbu va boshqa usullar tahdidni amalga oshirishning mumkin bo‘lgan oqibatlarini uni amalga oshirish ehtimoli bilan solishtirish va tegishli xulosalar olishning turli usullarini taklif qiladi.
Ushbu muolajaning rasmiylashtirilishiga va xulosalariga qarab, usullar ba’zan sifatli, yarim miqdoriy va miqdoriy bo‘linadi. Shuni ta’kidlash kerakki, miqdoriy usullarni qo‘llash, odatda, yanada muhim natijalar beradi. Ammo aniq ma’lumotlarning yetishmasligi (masalan, hodisalar statistikasi) ularni to‘liq ishlatish imkoniyatini bermaydi. Bundan tashqari, pul birliklarida natijalarni baholash uchun har doim ham imkoniyat yo‘q, bu ham usulda muhim parametrlardan birini yo‘qotadi.
Shuni ta’kidlash kerakki, ushbu usullarni ob’ektlarga nisbatan qo‘llash shaxsiy ma’lumotlarni himoyalash axborot tizimi har doim ham to‘g‘ri emas. Misol uchun, bitta ob’ekt mavjud bo‘lgan vaziyatni ko‘rib chiqamiz va uni amalga oshirish tahdidi juda katta zararga olib keladi va shu bilan birga, bu tahdidning ehtimoli juda kichikdir. Keyinchalik, uning ehtimoli bo‘yicha zarar miqdori mahsuloti sifatida hisoblangan qiymat kichik va qaror qabul qilish uchun qo‘llanma bo‘lib xizmat qila olmaydi. Zarar to‘g‘ridan-to‘g‘ri raqamli baholashga ega bo‘lmasa, aniq qiyinchiliklar ham paydo bo‘ladi. Shunday qilib, risklarni boshqarish usullari haqida gapirganda, ularning qo‘llanilishi chegaralarini aniqlash kerak.
Yuqoridagilardan kelib chiqqan holda, shuni ta’kidlash joizki, shaxsiy ma’lumotlarni ruxsatsiz kirishdan himoya qilishning universal usullari yoki amaliyoti ushbu usullarning har birida muayyan tashkilotning shaxsiy ma’lumotlarining axborot tizimida qo‘llanilganda ham afzalliklar va kamchiliklarni topish mumkin.
|
|
Bosh sahifa
Aloqalar
Bosh sahifa
Ma'lumotlar bazasini himoyalashning turlarini (kriptografiya, parol himoyalash, shifrlash, kundalik nusxalash, va h.k.) o'rganish
|
