Tahdid turlari. Kompleks axborotni muhofaza qilish tizimlari.  4




Download 5,25 Mb.
Pdf ko'rish
bet25/87
Sana29.11.2023
Hajmi5,25 Mb.
#107440
1   ...   21   22   23   24   25   26   27   28   ...   87
Bog'liq
Raqamli qurilmalarda axborotning dasturiy himoyalari qo\'llanma

3. Tahdid turlari. Kompleks axborotni muhofaza qilish tizimlari. 
4. Risklar. 
Kalit so‘zlar: Kiberxavfsizlik, information, tranzaktsiya, Trening, SSL 
sertifikatlari, Fayervollar, Antimalware, risklar. 
1. Axborotni muhofaza qilish. 
2011 yilda Sony o'zining PlayStation tarmog'ida akkauntlari bo'lgan 77 
millionga yaqin odamning ismlari, manzillari va boshqa shaxsiy ma'lumotlari 
o'g'irlangani, uning obro'si va brend imidjiga putur etkazganligi haqida 
ogohlantirgan edi. 
Agar bu Sony kabi gigant bilan sodir bo'lishi mumkin bo'lsa, bu 
kibermudofaa odatda yirik kompaniya xavfsizlik tizimlaridan zaifroq bo'lgan 
kichik yoki o'rta tashkilotga qanday ta'sir qilishi mumkin? 
Sertifikatlangan firibgarlik ekspertlari assotsiatsiyasi tomonidan olib 
borilgan yaqinda o'tkazilgan tadqiqot shuni tasdiqladiki, raqamli axborot 
xavfsizligi tashkilotlar uchun dolzarb muammo bo'lib, direktorlar va rahbarlar 
kelajakda muammo yanada yomonlashishini kutishmoqda. 
“Kiberfiribgarlik (masalan, ishbilarmonlik elektron pochta xabarlarini 
buzish, xakerlik, to'lov dasturi va zararli dasturlar) eng yuqori xavf sohasi bo'lib 
qolmoqda, respondentlarning 85 foizi allaqachon bu sxemalarning o'sishini 
ko'rishgan va 88 foizi keyingi davrda yanada oshishini kutishmoqda.” Demak, 
kiberxavfsizlik global muammodir.
2001 yilda Kiber jinoyatlar bo'yicha Budapesht konventsiyasi yaratilgan 
bo'lib, u Evropa Ittifoqi tomonidan ilgari surilgan xalqaro shartnoma bo'lib, 
xalqaro hamkorlikni kengaytirish va kompyuter jinoyatlari va jinoiy faoliyatga 
qarshi kurashish maqsadida davlatlar o'rtasida uyg'un huquqiy asoslarni yaratish 


50 
maqsad qilgan. 
Axborotni muhofaza qilishdan maqsad:
– shaxs, jamiyat, davlatning xavfsizligiga tahdidni oldini olish; 
– axborotni yo‘q qilish, modifikatsiyalash, buzish, nusxa olish, blokirovka 
qilish kabi noqonuniy harakatlarning oldini olish; 
– axborot resurslari va axborot tizimlariga noqonuniy ta’sir qilishning 
boshqa shakllarini oldini olish, hujjatlashtirilgan axborotga shaxsiy mulk ob’ekti 
sifatida huquqiy rejimni ta’minlash; 
– axborot tizimida mavjud bo‘lgan shaxsiy ma’lumotlarning maxfiyligini va 
konfedensialligini saqlash orqali fuqarolarning konstitutsiyaviy huquqlarini 
himoyalash;
– davlat sirlarini saqlash, qonunchilikka asosan hujjatlashtirilgan axborotlar 
konfedensialligini ta’minlash; 
– axborot jarayonlarida hamda axborot tizimlari, texnologiyalari va ularni 
ta’minlash vositalarini loyihalash, ishlab chiqish va qo‘llashda sub’ektlarning 
huquqlarini ta’minlash.
Axborot deb inson sezgi organlari orqali qabul qiladigan barcha 
ma’lumotlarga aytiladi. Axborot lotincha “ information” so`zidan olingan bo`lib, 
tushuntirish, biror narsani bayon qilish yoki biror narsa yoki hodisa haqidagi 
ma’lumot ma’nosini anglatadi. 
Kiber xavfsizlik (Axborot xavfsizligi) deganda tabiiy yoki sun’iy 
xarakterdagi tasodifiy yoki qasddan qilingan ta’sirlardan axborot va uni qo’llab-
quvvatlab turuvchi infrastrukturaning himoyalanganligi tushuniladi. 
Axborot xavfsizligiga tahdid deganda axborotning buzilishi yoki yo’qotilishi 
xavfiga olib keluvchi himoyalanuvchi obyektga qarshi qilingan harakatlar 
tushuniladi. 
Tahdidlarning toifalari: 1-paydo bo’lish tabiatiga ko’ra: tabiiy va sun’iy; 2-
motivatsiya darajasiga ko’ra: tasodifiy va qasddan 
Kiberxavfsizlik nima? 
U kompyuterlar, serverlar, mobil qurilmalar, tarmoqlar va elektron tizimlar 


51 
orqali yaratilgan va qayta ishlanadigan ma'lumotlarni himoya qilish uchun amalga 
oshiriladigan protseduralar va vositalar to'plami sifatida belgilanishi mumkin. 
Oddiy qilib aytganda, kiberxavfsizlik - bu muhim tizimlar va nozik ma'lumotlarni 
raqamli hujumlardan himoya qilish amaliyotidir. 
Kiberxavfsizlik odatda kibertahdidlar va kiberjinoyatlar bilan bog'liq. Biroq, 
bu, shuningdek, ma'lumotni himoya qilish va har qanday tashkilot yoki shaxs 
duchor bo'lgan kiberhujumlarning oldini olish yoki aniqlash uchun yaxshi 
amaliyotlar bilan bog'liq. Bundan kelib chiqadiki, kiberxavfsizlikning 
maqsadlaridan biri mijozlar, etkazib beruvchilar va umuman bozor o'rtasida 
ishonchni shakllantirishdir. 
Kiberxavfsizlik tizimi nima? 
Kuchli kiberxavfsizlik tizimiga ega bo'lishning ahamiyati, asosan, 
kiberhujumlarning tashkilotlarga olib keladigan ko'plab oqibatlaridan qochishdir: 
• Iqtisodiy yo'qotishlar. To'lovni to'lang, zararni bartaraf etish uchun 
ixtisoslashgan dasturiy ta'minot kompaniyasiga to'lang, aldangan moliyaviy 
summani almashtiring, qonuniy da'voning narxi va muammo hal qilinayotganda 
daromad yo'qolishi. 
• Obro'ga putur yetkazish. Kiberhujum mijoz, xodim yoki yetkazib beruvchi 
haqidagi ma'lumotlarning sizib chiqishiga olib kelishi mumkin, bu esa 
tashkilotdagi asosiy manfaatdor tomonlarga ishonchsizlikni keltirib chiqaradi. 
• Ma'lumotlar va jihozlarni o'g'irlash. Ko'p hollarda kiberjinoyatchilar 
tashkilotlarning aloqalarini noqonuniy ravishda ushlab turadilar, shaxsiy 
ma'lumotlarni o'g'irlashadi va ulardan roziligisiz foydalanadilar va ular 
saqlanadigan kompyuter tizimlariga noqonuniy kirishadi. 
• Yuridik ta'sirlar. Tashkilotlar uchinchi shaxslarning ma'lumotlarini to'g'ri 
himoya qilmasa, huquqiy oqibatlarga olib keladi. Shaxsiy ma'lumotlarga ta'sir 
ko'rsatadigan ba'zi xavfsizlik hodisalari huquqiy oqibatlarga olib kelishi va boshqa 
xususiy va davlat tashkilotlari tomonidan sanksiyalarga olib kelishi mumkin. 
• Axborotni yo'qotish. Axborot kompaniyaning eng muhim aktividir. 
Hujjatlar barcha turdagi ma'lumotlarni o'z ichiga oladi: schyot-fakturalardan tortib 


52 
mijozning shaxsiy ma'lumotlari bilan ma'lumotlar bazalarigacha. Ushbu 
ma'lumotlarning o'g'irlanishi yoki yo'qolishi kompaniyaning omon qolishi uchun 
jiddiy zarba bo'lishi mumkin. 
Kiberxavfsizlik va kasbiy firibgarlik 
Kiberxavfsizlik bo'yicha ko'plab professional kitoblar va maqolalar deyarli 
butunlay tashkilotlarga tashqi tahdidlar bilan bog'liq. Fishing, nayza-fishing, 
ransomware, keyloggerlar, viruslar, troyanlar, josuslik dasturlari, reklama 
dasturlari, zararli dasturlar, o'rtadagi odam, ekspluatatsiya - bu tashqi hujumlarning 
barcha shakllari bo'lib, ular tizimni buzishga, maxfiy ma'lumotlarni o'g'irlashga 
yoki ma'lumotlarni o'g'irlashga olib keladi. tashkilotning yoki uning mijozlarining 
moliyaviy aktivlari. 
Biroq so'nggi yillarda tashkilotlar tomonidan ishonchli odamlar tomonidan 
amalga oshirilgan ichki hujumlar muhimroq bo'lib, jiddiy firibgarlik tahdidlariga 
olib keldi. Bugungi kunda bu direktorlar va rahbarlarni tashqi hujumlardan ko'ra 
bir xil yoki ko'proq tashvishlantiradigan muammo. 
K. Brancik kompyuter firibgarligi haqidagi kitobida 1982 yilda Turman 
Stenli Dann tomonidan yozilgan maqoladan iqtibos keltiradi, unda kasbiy firibgar 
jinoyat sodir etishda foydalanishi mumkin bo'lgan ish uslubi tasvirlangan. Ushbu 
muallifning fikriga ko'ra, kompyuterda firibgarlik manipulyatsiyasining uchta 
shakli mavjud: 
• Kirish tranzaktsiyalarini manipulyatsiya qilish sxemalari. Bularga 
quyidagilar kiradi: 
– Chetdan tashqari tranzaktsiyalar: qo'shimcha tranzaktsiyalarni tuzish va 
ularni tizim tomonidan qayta ishlanishi. 
– Tranzaktsiyalarni kiritmaslik: Jinoyatchilar tegishli ruxsat berilgan 
tranzaktsiyalarni kiritmaslik orqali katta foyda olishlari mumkin. 
- Tranzaktsiyalarni o'zgartirish: to'g'ri ruxsat etilgan pul operatsiyasi 
miqdorini o'zgartirish orqali soxta daromadlar amalga oshirilishi mumkin. 
– Tuzatish operatsiyalaridan noto'g'ri foydalanish: Bu erda "tuzatish" atamasi 
o'tmishdagi xatolar yoki noaniqliklarni pul bilan tuzatishga ishora qiladi. 


53 
Ko'pincha tuzatish operatsiyalari tegishli nazoratsiz amalga oshiriladi. Natijada 
katta hajmdagi kasbiy firibgarlik bo'lishi mumkin. 
– Xatolarni tuzatish tartib-qoidalarini suiiste'mol qilish: xatolarni tuzatish 
niqobi ostida aybdorlar tomonidan millionlab dollarlar o'zlashtirildi. 
Ruxsatsiz dasturni o'zgartirish sxemalari, masalan: 
Buzilish: dasturlarni o'zgartirish uchun juda ko'p strategiyalar mavjud, 
masalan, ko'p manbalardan kichik summalarni o'chirish. 
Hujjatsiz tranzaksiya kodlari: kompyuterni hujjatsiz turdagi operatsiyalarni 
qabul qilish uchun dasturlash orqali jinoyatchilar juda qisqa vaqt ichida katta foyda 
olishni tashkil qilishlari mumkin. 
Balansni manipulyatsiya qilish: Insofsiz dasturchi tegishli dasturlarni 
o'zgartirishi mumkin, shunda barcha jami va balanslar istalgan kun uchun to'g'ri 
ko'rinadi. 
Qasddan noto‘g‘ri hisobot berish: noto‘g‘ri ma’lumotlarga sabab bo‘lishi 
uchun o‘zgartirilgan dastur jinoyatchining hisobiga to‘lovni qo‘llamaydi (to‘lov 
boshqa hisob raqamiga qo‘llaniladi) yoki jinoyatchining hisobiga to‘lov (kreditlash 
kerak bo‘lgan hisob) kiritiladi. e'lon qilinmagan). 
Faylni oʻzgartirish: Hisob holatidagi maxfiy oʻzgarishlarni amalga oshirish 
uchun dasturlarni oʻzgartirish. 
Fayllarni o'zgartirish va almashtirish sxemalari. Bularga quyidagilar kiradi: 
Jonli asosiy faylga kirish: pul summalarini oʻzgartirish yoki boshqa 
maʼlumotlarga oʻzgartirish kiritish mumkin boʻlgan oʻzgarishlarni amalga oshirish 
uchun dasturdan foydalanish. 
Haqiqiy hayot uchun soxta versiyani almashtirish: jinoyatchi asosiy faylga 
kirish huquqiga ega bo'ladi, nusxa oladi va faqat bir nechta o'zgartirishlarni 
kiritadi. Keyin yangi yaratilgan fayl jonli fayl bilan almashtiriladi va ma'lumotlar 
kutubxonasiga qaytariladi. 
Qayta ishlashdan oldin tranzaksiya fayllariga kirish va ularni o‘zgartirish: 
Ushbu turdagi sxemada ishtirok etishi mumkin bo‘lgan firibgarlik harakatlariga 
kirish tranzaksiyalarini qo‘shish, o‘zgartirish va o‘chirish kiradi. 


54 
Kiberfiribgarlikka qarshi kurashish uchun tavsiya etilgan nazorat 
vositalaridan ba'zilari quyidagilardan iborat: 
• Trening: Axborot maxfiyligi va ma'lumotlarni himoya qilish bo'yicha 
treningdan tashqari, firibgarlikning oldini olish va aniqlashning birinchi bosqichi 
tashkilotga ta'sir qilishi mumkin bo'lgan tahdidlarni (ya'ni, firibgarlik sxemalarini) 
bilishdir. 
• SSL sertifikatlari: SSL (Secure Sockets Layer) sertifikatlari shifrlangan 
aloqa protokollari yordamida server identifikatorini autentifikatsiya qilish uchun 
ishlatiladi. Seanslarda almashinadigan maxfiy ma'lumotlarni himoya qiling va 
ruxsat etilmagan shaxslar tomonidan ushlanib qolishdan saqlaning. 
• Faervollar: xavfsizlik devori va antivirusni joriy qilish tashkilotlarning 
kiberxavfsizligini kafolatlash uchun zarur. Faervollar - bu kompyuterdan tarmoqqa 
va tarmoqdan kompyuterga kirishni boshqarishga qodir kompyuter dasturlari. 
• Antimalware: Antiviruslar, shu bilan birga, viruslar keltirib chiqaradigan 
infektsiyalarning oldini oladi yoki ularga qarshi kurashadi. Ular zararli dasturlar, 
to'lov dasturlari va Internetda tez-tez tarqaladigan viruslarning boshqa turlaridan 
himoya qilishni taklif qiladi. Antimalware va antivirus dasturlari kompaniyaning 
barcha kompyuterlarini himoya qilish uchun juda muhimdir. 
• Ikki faktorli autentifikatsiya (2FA): Bu foydalanuvchi o‘z shaxsini kamida 
ikki xil usulda tasdiqlashdan iborat xavfsizlik jarayonidir. 
Kiberfiribgarlikka qarshi kurashish uchun tavsiya etilgan nazorat 
vositalaridan ba'zilari quyidagilardan iborat: 
• Zaxira: Axborotni zahiralash har qanday tashkilotda vaqti-vaqti bilan 
amalga oshirilishi kerak bo'lgan eng muhim vazifalardan biri bo'lib, yuqori 
qo'shimcha qiymat taklif qiladi. 
• Identifikatsiya va parolni boshqarish tizimi: Foydalanuvchining profillar, 
rollar va biznes qoidalari asosida mahalliy va/yoki bulut ilovalariga kirishini 
boshqarish. 
• Xavfsiz o'chirish: saqlangan ma'lumotlarni qaytarib bo'lmaydigan tarzda 
o'chirib tashlashni kafolatlash uchun fayllarni o'chirish va hatto saqlash 


55 
qurilmalarini formatlash etarli emas. 
• Firibgarlik xavfini baholash: Tashkilotga ta'sir ko'rsatishi mumkin bo'lgan 
firibgarlik risklari, shu jumladan kiber-firibgarlik haqida so'rov o'tkazing. 
• Mavjud boshqaruv vositalarini baholash: Firibgarlik xavfini baholashning 
ikkinchi bosqichi joriy nazorat vositalari aniqlangan tahdidlarni yumshatish yoki 
yo'qligini aniqlashdan iborat. 
• Boshqarish vositalarini ishlab chiqish va takomillashtirish: Agar mavjud 
nazorat vositalari, xoh profilaktik, xoh detektiv bo'lsin, firibgarlik xavfini 
baholashda aniqlangan xavflarni qisman yoki to'liq yumshata olmasa, yangi 
nazorat vositalarini takomillashtirish va/yoki loyihalashtirish zarur. 
Shubhasiz, yaxshi tizim profilaktik va detektiv ichki nazorat, yuqoridagi 
adekvat ohang bilan birgalikda yo'qotish miqdorini ham, firibgarlik sxemasi 
ochilmagan vaqtni ham kamaytiradi. 
Axborot xavfsizligi (Information Security - InfoSec) — axborotni ruxsatsiz 
kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish, tadqiq qilish, yozib olish 
yoki yoʻq qilishning oldini olish amaliyotidir.
Ushbu universal kontseptsiya maʼlumotlar qanday shaklda boʻlishidan qatʼiy 
nazar (masalan, elektron yoki, jismoniy) amal qiladi. Axborot xavfsizligini 
taʼminlashning asosiy maqsadi maʼlumotlarning konfidensialligi, yaxlitligi va 
mavjudligini muvozanatli, qoʻllashning maqsadga muvofiqligini hisobga olgan 
holda va tashkilot faoliyatiga hech qanday zarar yetkazmasdan himoya qilishdir.
Bunga, birinchi navbatda, asosiy vositalar va nomoddiy aktivlar, tahdid 
manbalari, zaifliklar, potensial taʼsirlar va mavjud xavflarni boshqarish 
imkoniyatlarini aniqlaydigan koʻp bosqichli xavflarni boshqarish jarayoni orqali 
erishiladi. Bu jarayon xavflarni boshqarish rejasining samaradorligini baholash 
bilan birga olib boriladi. 
Ushbu faoliyatni standartlashtirish maqsadida ilmiy va kasbiy hamjamiyatlar 
texnik axborot xavfsizligi choralari, yuridik javobgarlik, shuningdek, 
foydalanuvchi va maʼmurlarni tayyorlash standartlari sohasida asosiy 
metodologiya, siyosat va tarmoq standartlarini ishlab chiqishga qaratilgan doimiy 


56 
hamkorlik asosida ish olib boradi.
Ushbu standartlashtirishga asosan maʼlumotlarga kirish, qayta ishlash, 
saqlash va uzatishni tartibga soluvchi keng koʻlamli qonunlar va qoidalar taʼsir 
koʻrsatadi. Biroq, tashkilotda agar doimiy takomillashtirish madaniyati toʻgʻri 
shakllantirilmagan boʻlsa, har qanday standartlar va metodologiyalarni joriy etish 
yuzaki taʼsir koʻrsatishi mumkin. 
Axborot xavfsizligiga tahdidlar turli shakllarda boʻlishi mumkin.
2018-yil uchun eng jiddiy tahdidlar „xizmat koʻrsatish usulidagi jinoyatlar“ 
(inglizcha: Crime-as-a-Service), Internet mahsulotlari, taʼminot zanjirlari va 
tartibga solish talablarining murakkabligi bilan bogʻliq boʻlgan tahdidlar boʻlgan.
„Xizmat koʻrsatish usulidagi jinoyatlar“ yirik jinoiy hamjamiyatlar uchun 
darknet 
bozorida 
jinoiy 
xizmatlar 
paketini 
yangi 
paydo 
boʻlgan 
kiberjinoyatchilarga arzon narxlarda taqdim etishning bir namunasidir. Bu yuqori 
texnik murakkablik yoki yuqori narx tufayli ilgari erishib boʻlmagan xakerlik 
hujumlarini amalga oshirish imkonini beradi. Bu esa kiberjinoyatni ommaviy 
hodisaga aylantiradi. 
Axborotni muhofaza qilishning samaradorligi uning o‘z vaqtidaligi, faolligi, 
uzluksizligi va kompleksligi bilan belgilanadi. Himoya tadbirlarini kompleks 
tarzda o‘tkazish axborotni tarqab ketishi mumkin bo‘lgan xavfli kanallarni yo‘q 
qilishni ta‘minlaydi. 
Yurtimizda elektron hukumatni qurish, davlat organlari faoliyatini 
raqamlashtirish bilan bog‘liq harakatlar jadal sur’atlarda amalga oshirilmoqda.
Hukumatning tegishli qarorlari va axborot xavfsizligi sohasidagi 
standartlarga (O‘z DSt ISO/IEC 270XX) muvofiq har bir tashkilotda axborot 
xavfsizligi siyosatini ishlab chiqish va joriy qilinishi lozimligi yuzasidan talablar 
keltirilgan. Xususan, O‘z DSt ISO/IEC 27002 standartining 5-bobida Axborot 
xavfsizligi siyosatini ishlab chiqish bo‘yicha talablar belgilab qo‘yilgan. 
Axborotni muhofaza qilishning konsepsiya va tuzilishi quyidagilardan 
iborat:
– sanoat asosida ishlab chiqilgan, axborotni muhofaza qilishning o‘ta 


57 
takomillashgan texnik vositalari; 
– axborotni muhofaza qilish masalalarini hal etishga ixtisoslashtirilgan 
tashkilotlarning mavjudligi; 
– ushbu muammoga oid etarlicha aniq ifodalangan qarashlar tizimi; 
– yetarlicha amaliy tajriba va boshqalar.
Siyosatni ishlab chiqish uchun ishchi guruh tashkilot rahbarining buyrug‘i 
bilan tasdiqlanadi, unda quyidagi shaxslar bo‘lishi kerak: 
- tashkilot rahbariyati vakili; 
- axborot xavfsizligi masalalari bo‘yicha mas’ul, 
- kadrlar bo‘limi boshlig‘i (HR xizmati); 
- texnik bo‘linmalar vakillari (axborot xavfsizligi ma’muri, tarmoq ma’muri, 
ma’lumotlar bazasi ma’muri yoki boshqa vakolatli xodimlar). 
Zaruriyatga qarab, tashkilotning boshqa xodimlarini, uchinchi tomon 
ixtisoslashtirilgan tashkilotlarini yoki mutaxassislarni jalb qilish mumkin.
Siyosatni ishlab chiqish tartibi quyidagi bosqichlarga bo‘linadi: 
Birinchi bosqich. Dastlabki xavfsizlik auditi, shu jumladan, axborot 
xavfsizligi holatini dastlabki o‘rganish va inventarizatsiya qilish, tashkilot 
xavfsizligiga tahdidlarni aniqlash, himoya qilinishi lozim resurslarni aniqlash, 
risklarni aniqlash. 
Audit jarayonida axborot xavfsizligining hozirgi holatini tahlil qiladi, 
mavjud zaifliklarni, faoliyatning eng muhim sohalari va tashkilotning xavfsizlikka 
tahdid jarayonlariga eng sezgir yo‘nalishlari aniqlanadi. 
Audit tashkilotning axborot xavfsizligining tahdidlari va zaifliklarini 
aniqlashga, siyosatni ishlab chiqish uchun dastlabki ma’lumotlarni olishga, 
shuningdek, tashkilotni axborotlashtirish ob’yektlarini keyingi sertifikatlashga 
tayyorlashga imkon beradi. 
Tashkilot auditi davomida quyidagilar amalga oshiriladi: 
- tashkilotning O‘zbekiston Respublikasi qonunchiligi, O‘zbekiston 
Respublikasi Prezidenti va O‘zbekiston Respublikasi Vazirlar Mahkamasining 
farmon va qarorlari talablariga muvofiqligi o‘rganiladi va tahlil qilinadi, 


58 
O‘zbekiston Respublikasining normativ-huquqiy hujjatlari toifalarga taqsimlanishi, 
shuningdek, tashkilotda axborot xavfsizligi masalalarini tartibga soluvchi normativ 
hujjatlarning ijrosi o‘rganiladi; 
- tashkilotning kompyuterlari va serverlarini dastlabki tekshirish, ya’ni 
ishlatilgan operatsion tizimlarning sozlamalari, dastur va tizim dasturlari (dasturiy 
ta’minot), axborot xavfsizligi vositalari, shuningdek, axborot-kommunikatsiya 
texnologiyalariga kiritilgan boshqa qo‘shimcha qurilmalar va boshqalar tahlil 
qilinadi; 
- axborot xavfsizligining tahdidlari va zaifliklari uchun tashkilot veb-sayti 
tahlil qilinadi; 
- tashkilot hududi, perimetri va binolarining jismoniy himoya qilishni 
ta’minlash bo‘yicha amalga oshirilgan chora-tadbirlar tahlil qilinadi, ya’ni 
xavfsizlik tizimi, kirishni boshqarish vositalari, yong‘in xavfsizligi tizimlari va 
boshqalar; 
- suhbat orqali tashkilot xodimlarining tashkilotda o‘rnatilgan axborot 
xavfsizligi qoidalari to‘g‘risida xabardorligi baholanadi; 

tashkilotning axborot va moddiy resurslarini turkumlash va 
inventarizatsiya qilish tahlili amalga oshiriladi. 
Ikkinchi bosqich. Tashkilotning axborot xavfsizligi siyosati loyihasini ishlab 
chiqish.
Siyosatni ishlab chiqishda quyidagi asosiy qoidalarga rioya qilish talab 
etiladi: 
- siyosat amaldagi qonunchilikka va davlat standartlari talablariga to‘liq mos 
bo‘lishi lozim; 
- siyosat matnida ikki tomonlama talqin qilishga imkon bermaydigan aniq va 
bir ma’noli jumlalar bo‘lishi lozim. 
Umuman olganda, siyosat axborot tizimlari va axborot xavfsizligi 
vositalarini amalga oshirishda va ulardan foydalanishda, shuningdek, ma’lumot 
almashish va axborotni qayta ishlash operatsiyalarini bajarishda foydalanuvchilar, 
ma’murlar va boshqa mutaxassislarning talab qilinadigan xatti-harakatlari 


59 
to‘g‘risida aniq tasavvur berishi kerak. 
Siyosat – bu tashkilotning barcha manfaatdor tomonlariga cheklovlarsiz 
taqdim etilishi mumkin bo‘lgan ommaviy hujjat. 
Uchinchi 
bosqich. 
Tashkilotning 
axborot 
xavfsizligi 
siyosatini 
muvofiqlashtirish va amalga oshirish. 
Ishlab chiqilgan siyosat loyihasi tegishlicha O‘zbekiston Respublikasi 
axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligiga va 
vakolatli organlarga tasdiqlash uchun yuboriladi hamda tasdiqlangandan so‘ng 
tashkilot rahbarining buyrug‘i bilan kuchga kiradi. Shu bilan birga, tasdiqlangan 
siyosatni to‘liq amalga oshirish uchun aniq sanalar va ijrochilar bilan siyosatni 
amalga oshirish bo‘yicha tarmoq harakatlar rejasi ishlab chiqilishi lozim. 
Ushbu reja Xodimlarning lavozim tavsiflari, bo‘linmalar to‘g‘risidagi nizom, 
tashkilotning shartnomaviy (kontrakt) majburiyatlari axborot xavfsizligini 
ta’minlash uchun mas’uliyat va majburiyatlarni o‘z ichiga olishi kerak. 
Tashkilotning barcha xodimlarini tasdiqlangan siyosat talablari va qoidalari 
bilan tanishtirish, shuningdek, axborot xavfsizligi masalalari bo‘yicha muntazam 
tushuntirish tadbirlarini o‘tkazish tartibini ta’minlash kerak. 
Agar siyosat talablari tashkilotdan tashqariga chiqsa, axborot xavfsizligi 
talablari uchinchi tomon tashkilotlari bilan shartnoma majburiyatlariga kiritilishi 
kerak. 
Axborot xavfsizligi siyosatini qayta ko‘rib chiqish. O‘z DSt ISO/IEC 27002 
standartiga muvofiq tashkilotda axborot xavfsizligining siyosatini ishlab chiqish, 
qayta ko‘rib chiqish va baholash uchun javobgar mansabdor shaxslar tayinlangan 
bo‘lishi lozim. 
Shuningdek, uslubiy qo‘llanmaga muvofiq siyosat yiliga kamida bir marta, 
shuningdek, quyidagi hollarda ko‘rib chiqilishi kerak: 
- axborot xavfsizligiga oid yangi normativ-huquqiy hujjatlar va normativ-
huquqiy hujjatlarni o‘zgartirish va tasdiqlashda; 
- konfiguratsiyani o‘zgartirganda, axborot jarayonlari texnologiyasini 
o‘zgartirmaydigan dasturiy ta’minot va apparat, dasturiy ta’minot va apparatlarni 


60 
qo‘shish yoki olib tashlanganda; 
- ob’yekt ma’lumotlarini himoya qilishning texnik vositalari konfiguratsiyasi 
va sozlamalarini o‘zgartirganda; 
- axborot xavfsizligi uchun mas’ul bo‘lgan mansabdor shaxslar – 
foydalanuvchi va texnik xodimlarning tarkibi va majburiyatlarini o‘zgartirganda. 
Bundan tashqari, tashkilotning axborot xavfsizligi faoliyati qabul qilingan 
siyosatga muvofiqligini muntazam ravishda tekshirib turishi maqsadga muvofiq 
hisoblanadi. 
Tashkilot tomonidan siyosat talablari va qoidalariga rioya qilinishi yuzasidan 
tashkilotning axborot infratuzilmasini ichki va tashqi auditini o‘tkazish orqali 
Siyosatning samaradorligini yangilash va baholash amalga oshiriladi. 
Umumiy yo‘nalishga ko‘ra axborot xavfsizligiga tahdidlar quyidagilarga 
bo‘linadi:
– O‘zbekistonning ma’naviy ravnaqi sohalarida, ma’naviy hayot va axborot 
faoliyatida fuqarolarning konstitutsiyaviy huquqlari va erkinliklariga tahdidlar;
– mamlakatning axborotlashtirish, telekommunikatsiya va aloqa vositalari 
industriyasini rivojlanishiga, ichki bozor talablarini qondirishga, uning 
mahsulotlarini jahon bozoriga chiqishiga, shuningdek mahalliy axborot resurslarini 
yig‘ish, saqlash va samarali foydalanishni ta‘minlashga nisbatan tahdidlar;
– Respublika hududida joriy etilgan hamda yaratilayotgan axborot va 
telekommunikatsiya tizimlarining me’yorida ishlashiga, axborot resurslari 
xavfsizligiga tahdidlar. 
 
Har qanday axborot hisoblash tizimlarini tashkil etishdan maqsad 
foydalanuvchilarning talablarini bir vaqtda ishonchli axborot bilan ta‘minlash 
hamda ularning konfedensialligini saqlash hisoblanadi. Bunda axborot bilan 
ta‘minlash vazifasi tashqi va ichki ruxsat etilmagan ta‘sirlardan himoyalash asosida 
hal etilishi zarur. Axborot tarqab ketishiga konfedensial ma‘lumotning ushbu 
axborot ishonib topshirilgan tashkilotdan yoki shaxslar doirasidan nazoratsiz yoki 
noqonuniy tarzda tashqariga chiqib ketishi sifatida qaraladi.
Tahdidning uchta ko‘rinishi mavjud:


61 
1. Konfedensiallikning buzilishiga tahdid shuni anglatadiki, bunda axborot 
unga ruxsati bo‘lmaganlarga ma’lum bo‘ladi. Bu holat konfedensial axborot 
saqlanuvchi tizimga yoki bir tizimdan ikkinchisiga uzatilayotganda noqonuniy 
foydalana olishlikni qo‘lga kiritish orqali yuzaga keladi.
2. Butunlikni buzishga tahdid hisoblash tizimida yoki bir tizimdan 
ikkinchisiga uzatilayotganda axborotni har qanday qasddan o‘zgartirishni o‘zida 
mujassamlaydi. Jinoyatchilar axborotni qasddan o‘zgartirganda, bu axborot 
butunligi buzilganligini bildiradi. Shuningdek, dastur va apparat vositalarning 
tasodifiy xatosi tufayli axborotga noqonuniy o‘zgarishlar kiritilganda ham axborot 
butunligi buzilgan hisoblanadi. Axborot butunligi – axborotning buzilmagan 
holatda mavjudligidir.
3. Xizmatlarning izdan chiqish tahdidi hisoblash tizimi resurslarida boshqa 
foydalanuvchilar yoki jinoyatchilar tomonidan ataylab qilingan harakatlar 
natijasida foydalana olishlilikni blokirovka bo‘lib qolishi natijasida yuzaga keladi.
Kompleks axborotni muhofaza qilish tizimlari qurishda quyidagi chora-
tadbirlar hisobga olinishi kerak:
1. Qonunchilik. Axborot himoyasi sohasida yuridik va jismoniy 
shaxslarning, shuningdek davlatning huquq va majburiyatlarini qat’iy belgilovchi 
qonuniy aktlardan foydalanish.
2. Ma’naviy-etik. Ob‘ektda qat’iy belgilangan o‘zini tutish qoidalarining 
buzilishi ko‘pchilik xodimlar tomonidan keskin salbiy baholanishi joriy etilgan 
muhitni hosil qilish va qo‘llab quvvatlash.
3. Jismoniy. Himoyalangan axborotga begona shaxslarning kirishini 
taqiqlovchi jismoniy to‘siqlar yaratish.
4. Ma‘muriy. Tegishli maxfiylik rejimi, kirish va ichki rejimlarni tashkil 
etish.
5. Texnik. Axborotni muhofaza qilish uchun elektron va boshqa 
uskunalardan foydalanish.
6. Kriptografik. Ishlov berilayotgan va uzatilayotgan axborotlarga 
noqonuniy kirishni oldini oluvchi shifrlash va kodlashni tatbiq etish.


62 
7. Dasturiy. Foydalana olishlilikni chegaralash uchun dastur vositalarini 
qo‘llash. 
Axborot xavfsizligini ta’minlash doimiy jarayon bo‘lib, besh asosiy 
bosqichni o‘z ichiga oladi: 
1. xarajatlar smetasi; 
2. xavfsizlik siyosatini ishlab chiqish; 
3. siyosatni amalga oshirish; 
4. mutaxassislarni malakali tayyorlash; 
5. audit. 
Siyosatni ishlab chiqish uchun ishchi guruh tashkilot rahbarining buyrug‘i 
bilan tasdiqlanadi, unda quyidagi shaxslar bo‘lishi kerak: 
- tashkilot rahbariyati vakili; 
- axborot xavfsizligi masalalari bo‘yicha mas’ul, 
- kadrlar bo‘limi boshlig‘i (HR xizmati); 
- texnik bo‘linmalar vakillari (axborot xavfsizligi ma’muri, tarmoq ma’muri, 
ma’lumotlar bazasi ma’muri yoki boshqa vakolatli xodimlar). 
Zaruriyatga qarab, tashkilotning boshqa xodimlarini, uchinchi tomon 
ixtisoslashtirilgan tashkilotlarini yoki mutaxassislarni jalb qilish mumkin.
Siyosatni ishlab chiqish tartibi quyidagi bosqichlarga bo‘linadi: 
Birinchi bosqich. Dastlabki xavfsizlik auditi, shu jumladan, axborot 
xavfsizligi holatini dastlabki o‘rganish va inventarizatsiya qilish, tashkilot 
xavfsizligiga tahdidlarni aniqlash, himoya qilinishi lozim resurslarni aniqlash, 
risklarni aniqlash. 
Audit jarayonida axborot xavfsizligining hozirgi holatini tahlil qiladi, 
mavjud zaifliklarni, faoliyatning eng muhim sohalari va tashkilotning xavfsizlikka 
tahdid jarayonlariga sezgir yo‘nalishlari aniqlanadi. 
Audit tashkilotning axborot xavfsizligining tahdidlari va zaifliklarini 
aniqlashga, siyosatni ishlab chiqish uchun dastlabki ma’lumotlarni olishga, 
shuningdek, tashkilotni axborotlashtirish ob’yektlarini keyingi sertifikatlashga 
tayyorlashga imkon beradi. 


63 
Tashkilot auditi davomida quyidagilar amalga oshiriladi: 
- tashkilotning O‘zbekiston Respublikasi qonunchiligi, O‘zbekiston 
Respublikasi Prezidenti va O‘zbekiston Respublikasi Vazirlar Mahkamasining 
farmon va qarorlari talablariga muvofiqligi o‘rganiladi va tahlil qilinadi, 
O‘zbekiston Respublikasining normativ-huquqiy hujjatlari toifalarga taqsimlanishi, 
shuningdek, tashkilotda axborot xavfsizligi masalalarini tartibga soluvchi normativ 
hujjatlarning ijrosi o‘rganiladi; 
- tashkilotning kompyuterlari va serverlarini dastlabki tekshirish, ya’ni 
ishlatilgan operatsion tizimlarning sozlamalari, dastur va tizim dasturlari (dasturiy 
ta’minot), axborot xavfsizligi vositalari, shuningdek, axborot-kommunikatsiya 
texnologiyalariga kiritilgan boshqa qo‘shimcha qurilmalar va boshqalar tahlil 
qilinadi; 
- axborot xavfsizligining tahdidlari va zaifliklari uchun tashkilot veb-sayti 
tahlil qilinadi; 
- tashkilot hududi, perimetri va binolarining jismoniy himoya qilishni 
ta’minlash bo‘yicha amalga oshirilgan chora-tadbirlar tahlil qilinadi, ya’ni 
xavfsizlik tizimi, kirishni boshqarish vositalari, yong‘in xavfsizligi tizimlari va 
boshqalar; 
- suhbat orqali tashkilot xodimlarining tashkilotda o‘rnatilgan axborot 
xavfsizligi qoidalari to‘g‘risida xabardorligi baholanadi; 

tashkilotning axborot va moddiy resurslarini turkumlash va 
inventarizatsiya qilish tahlili amalga oshiriladi. 
Ikkinchi bosqich. Tashkilotning axborot xavfsizligi siyosati loyihasini ishlab 
chiqish.
Siyosatni ishlab chiqishda quyidagi asosiy qoidalarga rioya qilish talab 
etiladi: 
- siyosat amaldagi qonunchilikka va davlat standartlari talablariga to‘liq mos 
bo‘lishi lozim; 
- siyosat matnida ikki tomonlama talqin qilishga imkon bermaydigan aniq va 
bir ma’noli jumlalar bo‘lishi lozim. 


64 
Umuman olganda, siyosat axborot tizimlari va axborot xavfsizligi 
vositalarini amalga oshirishda va ulardan foydalanishda, shuningdek, ma’lumot 
almashish va axborotni qayta ishlash operatsiyalarini bajarishda foydalanuvchilar, 
ma’murlar va boshqa mutaxassislarning talab qilinadigan xatti-harakatlari 
to‘g‘risida aniq tasavvur berishi kerak. 
Siyosat – bu tashkilotning barcha manfaatdor tomonlariga cheklovlarsiz 
taqdim etilishi mumkin bo‘lgan ommaviy hujjat. 
Uchinchi 
bosqich. 
Tashkilotning 
axborot 
xavfsizligi 
siyosatini 
muvofiqlashtirish va amalga oshirish. 
Ishlab chiqilgan siyosat loyihasi tegishlicha O‘zbekiston Respublikasi 
axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligiga va 
vakolatli organlarga tasdiqlash uchun yuboriladi hamda tasdiqlangandan so‘ng 
tashkilot rahbarining buyrug‘i bilan kuchga kiradi. Shu bilan birga, tasdiqlangan 
siyosatni to‘liq amalga oshirish uchun aniq sanalar va ijrochilar bilan siyosatni 
amalga oshirish bo‘yicha tarmoq harakatlar rejasi ishlab chiqilishi lozim. 
Ushbu reja Xodimlarning lavozim tavsiflari, bo‘linmalar to‘g‘risidagi nizom, 
tashkilotning shartnomaviy (kontrakt) majburiyatlari axborot xavfsizligini 
ta’minlash uchun mas’uliyat va majburiyatlarni o‘z ichiga olishi kerak. 
Tashkilotning barcha xodimlarini tasdiqlangan siyosat talablari va qoidalari 
bilan tanishtirish, shuningdek, axborot xavfsizligi masalalari bo‘yicha muntazam 
tushuntirish tadbirlarini o‘tkazish tartibini ta’minlash kerak. 
Agar siyosat talablari tashkilotdan tashqariga chiqsa, axborot xavfsizligi 
talablari uchinchi tomon tashkilotlari bilan shartnoma majburiyatlariga kiritilishi 
kerak. 
O‘z DSt ISO/IEC 27002 standartiga muvofiq tashkilotda axborot 
xavfsizligining siyosatini ishlab chiqish, qayta ko‘rib chiqish va baholash uchun 
javobgar mansabdor shaxslar tayinlangan bo‘lishi lozim. 
Shuningdek, uslubiy qo‘llanmaga muvofiq siyosat yiliga kamida bir marta, 
shuningdek, quyidagi hollarda ko‘rib chiqilishi kerak: 
- axborot xavfsizligiga oid yangi normativ-huquqiy hujjatlar va normativ-


65 
huquqiy hujjatlarni o‘zgartirish va tasdiqlashda; 
- konfiguratsiyani o‘zgartirganda, axborot jarayonlari texnologiyasini 
o‘zgartirmaydigan dasturiy ta’minot va apparat, dasturiy ta’minot va apparatlarni 
qo‘shish yoki olib tashlanganda; 
- ob’yekt ma’lumotlarini himoya qilishning texnik vositalari konfiguratsiyasi 
va sozlamalarini o‘zgartirganda; 
- axborot xavfsizligi uchun mas’ul bo‘lgan mansabdor shaxslar – 
foydalanuvchi va texnik xodimlarning tarkibi va majburiyatlarini o‘zgartirganda. 
Bundan tashqari, tashkilotning axborot xavfsizligi faoliyati qabul qilingan 
siyosatga muvofiqligini muntazam ravishda tekshirib turishi maqsadga muvofiq 
hisoblanadi. 
Tashkilot tomonidan siyosat talablari va qoidalariga rioya qilinishi yuzasidan 
tashkilotning axborot infratuzilmasini ichki va tashqi auditini o‘tkazish orqali 
Siyosatning samaradorligini yangilash va baholash amalga oshiriladi. 
Axborotni muhofaza qilishning asosiy ob‘ektlari:
– davlat sirlari bilan bog‘liq va konfedensial ma‘lumotlarni o‘zida saqlovchi 
axborot resurslari;
– vositalar va axborot tizimlari (hisoblash texnikasi vositalari, tarmoqlar va 
tizimlar), dasturiy vositalar (operatsion tizimlar, ma‘lumotlar bazalarini boshqarish 
tizimlari, amaliy dasturiy ta‘minot), avtomatlashtirilgan boshqaruv tizimlari, aloqa 
va ma‘lumotlarni uzatish tizimlari, ruxsati chegaralangan axborotni qabul qilish, 
uzatish va qayta ishlash texnik vositalari (ovoz yozish, ovoz kuchaytirish, ovoz 
eshitish, so‘zlashuv va televizion qurilmalar, hujjatlarni tayyorlash, ko‘paytirish 
vositalari hamda boshqa grafik, matn va harfli-raqamli ma‘lumotlarni qayta ishlash 
vositalari), konfedensial va davlat sirlari toifasiga oid bevosita qayta ishlovchi 
tizim va vositalar. Bunday tizim va vositalarni ko‘pincha axborotlarni qabul qilish, 
qayta ishlash va saqlash texnik vositalari deb atashadi. 
Axborotni muhofaza qilishning asosiy ob‘ektlari:
– davlat sirlari bilan bog‘liq va konfedensial ma‘lumotlarni o‘zida saqlovchi 
axborot resurslari;


66 
– vositalar va axborot tizimlari (hisoblash texnikasi vositalari, tarmoqlar va 
tizimlar), dasturiy vositalar (operatsion tizimlar, ma‘lumotlar bazalarini boshqarish 
tizimlari, amaliy dasturiy ta‘minot), avtomatlashtirilgan boshqaruv tizimlari, aloqa 
va ma‘lumotlarni uzatish tizimlari, ruxsati chegaralangan axborotni qabul qilish, 
uzatish va qayta ishlash texnik vositalari (ovoz yozish, ovoz kuchaytirish, ovoz 
eshitish, so‘zlashuv va televizion qurilmalar, hujjatlarni tayyorlash, ko‘paytirish 
vositalari hamda boshqa grafik, matn va harfli-raqamli ma‘lumotlarni qayta ishlash 
vositalari), konfedensial va davlat sirlari toifasiga oid bevosita qayta ishlovchi 
tizim va vositalar. Bunday tizim va vositalarni ko‘pincha axborotlarni qabul qilish, 
qayta ishlash va saqlash texnik vositalari deb atashadi. 
Xavfsizlik vazifalari, Axborot xavfsizligi muammolari agar kompyuter 
tizimida yuzaga keladigan nizolar va xatolar jiddiy oqibatlarga olib kelishi 
mumkin. Axborot xavfsizligi tizimining vazifalari bo'yicha ko'p qirrali va har 
tomonlama choralar ko'radi. Ular noqonuniy foydalanish, zarar, buzish, nusxalash 
va blokirovka qilish, ma'lumotlarni blokirovka qilishga to'sqinlik qiladi. Bunga 
jismoniy shaxslarning kuzatuvi va ruxsatsiz kirishni o'z ichiga oladi va uning 
yaxlitligi va yaxlitligi uchun barcha tahdidlarni oldini oladi.
Ma'lumotlar bazalarining zamonaviy rivojlanishi bilan xavfsizlik masalalari 
nafaqat kichik va xususiy foydalanuvchilar, balki moliyaviy tuzilmalarga, balki 
yirik korporatsiyalar uchun ham muhim ahamiyat kasb etmoqd. Axborot 
xavfsizligi tahdidi (axborot tahdidi), axborot resurslaridan, uzatiladigan va qayta 
ishlangan ma'lumotlar, shuningdek, dasturiy ta'minot va apparatdan tashqari, 
shuningdek, axborot resurslaridan yoki ruxsatsiz foydalanish tahdidi ostida.
Agar ma'lumotning qiymati saqlash yoki taqsimlash paytida yo'qolishi 
mumkin bo'lsa, ma'lumotlarning maxfiyligini buzish xavfi joriy etiladi. Agar 
ma'lumotlar uning qiymatini yo'qotish bilan farq qilsa yoki yo'q bo'lsa, 
ma'lumotlarning tahdidi amalga oshiriladi.
Axborot xavfsizligi bugungi kunda respublikamizning raqamli iqtisodiyotini 
rivojlantirishning eng muhim elementi darajasiga ko‘tarilmoqda.
Axborot xavfsizligi madaniyatini mamlakatning tijorat tashkilotlari va davlat 


67 
tuzilmalari faoliyatining barcha sohalariga chuqur singdirmasdan bozor 
ishtirokchilarining elektron hamkorligini kengaytirish va yangi axborot 
texnologiyalaridan keng foydalanish mumkin emas.
Tashkilotlarda axborot xavfsizligi madaniyatini oshirishning eng samarali 
vositasi bo‘lgan axborot xavfsizligi siyosati zamonaviy sharoitda muhim omil 
bo‘lib qolmoqda.
Bundan tashqari, yurtimizda iqtisodiy faoliyat va davlat boshqaruvi 
jarayonlarining raqamlashtirilishi kuchayishi bilan axborot xavfsizligi siyosatining 
roli tobora oshib bormoqda. 

Download 5,25 Mb.
1   ...   21   22   23   24   25   26   27   28   ...   87




Download 5,25 Mb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



Tahdid turlari. Kompleks axborotni muhofaza qilish tizimlari.  4

Download 5,25 Mb.
Pdf ko'rish