3. Tahdid turlari. Kompleks axborotni muhofaza qilish tizimlari.
4. Risklar.
Kalit so‘zlar: Kiberxavfsizlik, information, tranzaktsiya, Trening, SSL
sertifikatlari, Fayervollar, Antimalware, risklar.
1. Axborotni muhofaza qilish.
2011 yilda Sony o'zining PlayStation tarmog'ida akkauntlari bo'lgan 77
millionga yaqin odamning ismlari, manzillari va boshqa shaxsiy ma'lumotlari
o'g'irlangani, uning obro'si va brend imidjiga putur etkazganligi haqida
ogohlantirgan edi.
Agar bu Sony kabi gigant bilan sodir bo'lishi mumkin bo'lsa, bu
kibermudofaa odatda yirik kompaniya xavfsizlik tizimlaridan zaifroq bo'lgan
kichik yoki o'rta tashkilotga qanday ta'sir qilishi mumkin?
Sertifikatlangan firibgarlik ekspertlari assotsiatsiyasi tomonidan olib
borilgan yaqinda o'tkazilgan tadqiqot shuni tasdiqladiki, raqamli axborot
xavfsizligi tashkilotlar uchun dolzarb muammo bo'lib, direktorlar va rahbarlar
kelajakda muammo yanada yomonlashishini kutishmoqda.
“Kiberfiribgarlik (masalan, ishbilarmonlik elektron pochta xabarlarini
buzish, xakerlik, to'lov dasturi va zararli dasturlar) eng yuqori xavf sohasi bo'lib
qolmoqda, respondentlarning 85 foizi allaqachon bu sxemalarning o'sishini
ko'rishgan va 88 foizi keyingi davrda yanada oshishini kutishmoqda.” Demak,
kiberxavfsizlik global muammodir.
2001 yilda Kiber jinoyatlar bo'yicha Budapesht konventsiyasi yaratilgan
bo'lib, u Evropa Ittifoqi tomonidan ilgari surilgan xalqaro shartnoma bo'lib,
xalqaro hamkorlikni kengaytirish va kompyuter jinoyatlari va jinoiy faoliyatga
qarshi kurashish maqsadida davlatlar o'rtasida uyg'un huquqiy asoslarni yaratish
50
maqsad qilgan.
Axborotni muhofaza qilishdan maqsad:
– shaxs, jamiyat, davlatning xavfsizligiga tahdidni oldini olish;
– axborotni yo‘q qilish, modifikatsiyalash, buzish, nusxa olish, blokirovka
qilish kabi noqonuniy harakatlarning oldini olish;
– axborot resurslari va axborot tizimlariga noqonuniy ta’sir qilishning
boshqa shakllarini oldini olish, hujjatlashtirilgan axborotga shaxsiy mulk ob’ekti
sifatida huquqiy rejimni ta’minlash;
– axborot tizimida mavjud bo‘lgan shaxsiy ma’lumotlarning maxfiyligini va
konfedensialligini saqlash orqali fuqarolarning konstitutsiyaviy huquqlarini
himoyalash;
– davlat sirlarini saqlash, qonunchilikka asosan hujjatlashtirilgan axborotlar
konfedensialligini ta’minlash;
– axborot jarayonlarida hamda axborot tizimlari, texnologiyalari va ularni
ta’minlash vositalarini loyihalash, ishlab chiqish va qo‘llashda sub’ektlarning
huquqlarini ta’minlash.
Axborot deb inson sezgi organlari orqali qabul qiladigan barcha
ma’lumotlarga aytiladi. Axborot lotincha “ information” so`zidan olingan bo`lib,
tushuntirish, biror narsani bayon qilish yoki biror narsa yoki hodisa haqidagi
ma’lumot ma’nosini anglatadi.
Kiber xavfsizlik (Axborot xavfsizligi) deganda tabiiy yoki sun’iy
xarakterdagi tasodifiy yoki qasddan qilingan ta’sirlardan axborot va uni qo’llab-
quvvatlab turuvchi infrastrukturaning himoyalanganligi tushuniladi.
Axborot xavfsizligiga tahdid deganda axborotning buzilishi yoki yo’qotilishi
xavfiga olib keluvchi himoyalanuvchi obyektga qarshi qilingan harakatlar
tushuniladi.
Tahdidlarning toifalari: 1-paydo bo’lish tabiatiga ko’ra: tabiiy va sun’iy; 2-
motivatsiya darajasiga ko’ra: tasodifiy va qasddan
Kiberxavfsizlik nima?
U kompyuterlar, serverlar, mobil qurilmalar, tarmoqlar va elektron tizimlar
51
orqali yaratilgan va qayta ishlanadigan ma'lumotlarni himoya qilish uchun amalga
oshiriladigan protseduralar va vositalar to'plami sifatida belgilanishi mumkin.
Oddiy qilib aytganda, kiberxavfsizlik - bu muhim tizimlar va nozik ma'lumotlarni
raqamli hujumlardan himoya qilish amaliyotidir.
Kiberxavfsizlik odatda kibertahdidlar va kiberjinoyatlar bilan bog'liq. Biroq,
bu, shuningdek, ma'lumotni himoya qilish va har qanday tashkilot yoki shaxs
duchor bo'lgan kiberhujumlarning oldini olish yoki aniqlash uchun yaxshi
amaliyotlar bilan bog'liq. Bundan kelib chiqadiki, kiberxavfsizlikning
maqsadlaridan biri mijozlar, etkazib beruvchilar va umuman bozor o'rtasida
ishonchni shakllantirishdir.
Kiberxavfsizlik tizimi nima?
Kuchli kiberxavfsizlik tizimiga ega bo'lishning ahamiyati, asosan,
kiberhujumlarning tashkilotlarga olib keladigan ko'plab oqibatlaridan qochishdir:
• Iqtisodiy yo'qotishlar. To'lovni to'lang, zararni bartaraf etish uchun
ixtisoslashgan dasturiy ta'minot kompaniyasiga to'lang, aldangan moliyaviy
summani almashtiring, qonuniy da'voning narxi va muammo hal qilinayotganda
daromad yo'qolishi.
• Obro'ga putur yetkazish. Kiberhujum mijoz, xodim yoki yetkazib beruvchi
haqidagi ma'lumotlarning sizib chiqishiga olib kelishi mumkin, bu esa
tashkilotdagi asosiy manfaatdor tomonlarga ishonchsizlikni keltirib chiqaradi.
• Ma'lumotlar va jihozlarni o'g'irlash. Ko'p hollarda kiberjinoyatchilar
tashkilotlarning aloqalarini noqonuniy ravishda ushlab turadilar, shaxsiy
ma'lumotlarni o'g'irlashadi va ulardan roziligisiz foydalanadilar va ular
saqlanadigan kompyuter tizimlariga noqonuniy kirishadi.
• Yuridik ta'sirlar. Tashkilotlar uchinchi shaxslarning ma'lumotlarini to'g'ri
himoya qilmasa, huquqiy oqibatlarga olib keladi. Shaxsiy ma'lumotlarga ta'sir
ko'rsatadigan ba'zi xavfsizlik hodisalari huquqiy oqibatlarga olib kelishi va boshqa
xususiy va davlat tashkilotlari tomonidan sanksiyalarga olib kelishi mumkin.
• Axborotni yo'qotish. Axborot kompaniyaning eng muhim aktividir.
Hujjatlar barcha turdagi ma'lumotlarni o'z ichiga oladi: schyot-fakturalardan tortib
52
mijozning shaxsiy ma'lumotlari bilan ma'lumotlar bazalarigacha. Ushbu
ma'lumotlarning o'g'irlanishi yoki yo'qolishi kompaniyaning omon qolishi uchun
jiddiy zarba bo'lishi mumkin.
Kiberxavfsizlik va kasbiy firibgarlik
Kiberxavfsizlik bo'yicha ko'plab professional kitoblar va maqolalar deyarli
butunlay tashkilotlarga tashqi tahdidlar bilan bog'liq. Fishing, nayza-fishing,
ransomware, keyloggerlar, viruslar, troyanlar, josuslik dasturlari, reklama
dasturlari, zararli dasturlar, o'rtadagi odam, ekspluatatsiya - bu tashqi hujumlarning
barcha shakllari bo'lib, ular tizimni buzishga, maxfiy ma'lumotlarni o'g'irlashga
yoki ma'lumotlarni o'g'irlashga olib keladi. tashkilotning yoki uning mijozlarining
moliyaviy aktivlari.
Biroq so'nggi yillarda tashkilotlar tomonidan ishonchli odamlar tomonidan
amalga oshirilgan ichki hujumlar muhimroq bo'lib, jiddiy firibgarlik tahdidlariga
olib keldi. Bugungi kunda bu direktorlar va rahbarlarni tashqi hujumlardan ko'ra
bir xil yoki ko'proq tashvishlantiradigan muammo.
K. Brancik kompyuter firibgarligi haqidagi kitobida 1982 yilda Turman
Stenli Dann tomonidan yozilgan maqoladan iqtibos keltiradi, unda kasbiy firibgar
jinoyat sodir etishda foydalanishi mumkin bo'lgan ish uslubi tasvirlangan. Ushbu
muallifning fikriga ko'ra, kompyuterda firibgarlik manipulyatsiyasining uchta
shakli mavjud:
• Kirish tranzaktsiyalarini manipulyatsiya qilish sxemalari. Bularga
quyidagilar kiradi:
– Chetdan tashqari tranzaktsiyalar: qo'shimcha tranzaktsiyalarni tuzish va
ularni tizim tomonidan qayta ishlanishi.
– Tranzaktsiyalarni kiritmaslik: Jinoyatchilar tegishli ruxsat berilgan
tranzaktsiyalarni kiritmaslik orqali katta foyda olishlari mumkin.
- Tranzaktsiyalarni o'zgartirish: to'g'ri ruxsat etilgan pul operatsiyasi
miqdorini o'zgartirish orqali soxta daromadlar amalga oshirilishi mumkin.
– Tuzatish operatsiyalaridan noto'g'ri foydalanish: Bu erda "tuzatish" atamasi
o'tmishdagi xatolar yoki noaniqliklarni pul bilan tuzatishga ishora qiladi.
53
Ko'pincha tuzatish operatsiyalari tegishli nazoratsiz amalga oshiriladi. Natijada
katta hajmdagi kasbiy firibgarlik bo'lishi mumkin.
– Xatolarni tuzatish tartib-qoidalarini suiiste'mol qilish: xatolarni tuzatish
niqobi ostida aybdorlar tomonidan millionlab dollarlar o'zlashtirildi.
Ruxsatsiz dasturni o'zgartirish sxemalari, masalan:
Buzilish: dasturlarni o'zgartirish uchun juda ko'p strategiyalar mavjud,
masalan, ko'p manbalardan kichik summalarni o'chirish.
Hujjatsiz tranzaksiya kodlari: kompyuterni hujjatsiz turdagi operatsiyalarni
qabul qilish uchun dasturlash orqali jinoyatchilar juda qisqa vaqt ichida katta foyda
olishni tashkil qilishlari mumkin.
Balansni manipulyatsiya qilish: Insofsiz dasturchi tegishli dasturlarni
o'zgartirishi mumkin, shunda barcha jami va balanslar istalgan kun uchun to'g'ri
ko'rinadi.
Qasddan noto‘g‘ri hisobot berish: noto‘g‘ri ma’lumotlarga sabab bo‘lishi
uchun o‘zgartirilgan dastur jinoyatchining hisobiga to‘lovni qo‘llamaydi (to‘lov
boshqa hisob raqamiga qo‘llaniladi) yoki jinoyatchining hisobiga to‘lov (kreditlash
kerak bo‘lgan hisob) kiritiladi. e'lon qilinmagan).
Faylni oʻzgartirish: Hisob holatidagi maxfiy oʻzgarishlarni amalga oshirish
uchun dasturlarni oʻzgartirish.
Fayllarni o'zgartirish va almashtirish sxemalari. Bularga quyidagilar kiradi:
Jonli asosiy faylga kirish: pul summalarini oʻzgartirish yoki boshqa
maʼlumotlarga oʻzgartirish kiritish mumkin boʻlgan oʻzgarishlarni amalga oshirish
uchun dasturdan foydalanish.
Haqiqiy hayot uchun soxta versiyani almashtirish: jinoyatchi asosiy faylga
kirish huquqiga ega bo'ladi, nusxa oladi va faqat bir nechta o'zgartirishlarni
kiritadi. Keyin yangi yaratilgan fayl jonli fayl bilan almashtiriladi va ma'lumotlar
kutubxonasiga qaytariladi.
Qayta ishlashdan oldin tranzaksiya fayllariga kirish va ularni o‘zgartirish:
Ushbu turdagi sxemada ishtirok etishi mumkin bo‘lgan firibgarlik harakatlariga
kirish tranzaksiyalarini qo‘shish, o‘zgartirish va o‘chirish kiradi.
54
Kiberfiribgarlikka qarshi kurashish uchun tavsiya etilgan nazorat
vositalaridan ba'zilari quyidagilardan iborat:
• Trening: Axborot maxfiyligi va ma'lumotlarni himoya qilish bo'yicha
treningdan tashqari, firibgarlikning oldini olish va aniqlashning birinchi bosqichi
tashkilotga ta'sir qilishi mumkin bo'lgan tahdidlarni (ya'ni, firibgarlik sxemalarini)
bilishdir.
• SSL sertifikatlari: SSL (Secure Sockets Layer) sertifikatlari shifrlangan
aloqa protokollari yordamida server identifikatorini autentifikatsiya qilish uchun
ishlatiladi. Seanslarda almashinadigan maxfiy ma'lumotlarni himoya qiling va
ruxsat etilmagan shaxslar tomonidan ushlanib qolishdan saqlaning.
• Faervollar: xavfsizlik devori va antivirusni joriy qilish tashkilotlarning
kiberxavfsizligini kafolatlash uchun zarur. Faervollar - bu kompyuterdan tarmoqqa
va tarmoqdan kompyuterga kirishni boshqarishga qodir kompyuter dasturlari.
• Antimalware: Antiviruslar, shu bilan birga, viruslar keltirib chiqaradigan
infektsiyalarning oldini oladi yoki ularga qarshi kurashadi. Ular zararli dasturlar,
to'lov dasturlari va Internetda tez-tez tarqaladigan viruslarning boshqa turlaridan
himoya qilishni taklif qiladi. Antimalware va antivirus dasturlari kompaniyaning
barcha kompyuterlarini himoya qilish uchun juda muhimdir.
• Ikki faktorli autentifikatsiya (2FA): Bu foydalanuvchi o‘z shaxsini kamida
ikki xil usulda tasdiqlashdan iborat xavfsizlik jarayonidir.
Kiberfiribgarlikka qarshi kurashish uchun tavsiya etilgan nazorat
vositalaridan ba'zilari quyidagilardan iborat:
• Zaxira: Axborotni zahiralash har qanday tashkilotda vaqti-vaqti bilan
amalga oshirilishi kerak bo'lgan eng muhim vazifalardan biri bo'lib, yuqori
qo'shimcha qiymat taklif qiladi.
• Identifikatsiya va parolni boshqarish tizimi: Foydalanuvchining profillar,
rollar va biznes qoidalari asosida mahalliy va/yoki bulut ilovalariga kirishini
boshqarish.
• Xavfsiz o'chirish: saqlangan ma'lumotlarni qaytarib bo'lmaydigan tarzda
o'chirib tashlashni kafolatlash uchun fayllarni o'chirish va hatto saqlash
55
qurilmalarini formatlash etarli emas.
• Firibgarlik xavfini baholash: Tashkilotga ta'sir ko'rsatishi mumkin bo'lgan
firibgarlik risklari, shu jumladan kiber-firibgarlik haqida so'rov o'tkazing.
• Mavjud boshqaruv vositalarini baholash: Firibgarlik xavfini baholashning
ikkinchi bosqichi joriy nazorat vositalari aniqlangan tahdidlarni yumshatish yoki
yo'qligini aniqlashdan iborat.
• Boshqarish vositalarini ishlab chiqish va takomillashtirish: Agar mavjud
nazorat vositalari, xoh profilaktik, xoh detektiv bo'lsin, firibgarlik xavfini
baholashda aniqlangan xavflarni qisman yoki to'liq yumshata olmasa, yangi
nazorat vositalarini takomillashtirish va/yoki loyihalashtirish zarur.
Shubhasiz, yaxshi tizim profilaktik va detektiv ichki nazorat, yuqoridagi
adekvat ohang bilan birgalikda yo'qotish miqdorini ham, firibgarlik sxemasi
ochilmagan vaqtni ham kamaytiradi.
Axborot xavfsizligi (Information Security - InfoSec) — axborotni ruxsatsiz
kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish, tadqiq qilish, yozib olish
yoki yoʻq qilishning oldini olish amaliyotidir.
Ushbu universal kontseptsiya maʼlumotlar qanday shaklda boʻlishidan qatʼiy
nazar (masalan, elektron yoki, jismoniy) amal qiladi. Axborot xavfsizligini
taʼminlashning asosiy maqsadi maʼlumotlarning konfidensialligi, yaxlitligi va
mavjudligini muvozanatli, qoʻllashning maqsadga muvofiqligini hisobga olgan
holda va tashkilot faoliyatiga hech qanday zarar yetkazmasdan himoya qilishdir.
Bunga, birinchi navbatda, asosiy vositalar va nomoddiy aktivlar, tahdid
manbalari, zaifliklar, potensial taʼsirlar va mavjud xavflarni boshqarish
imkoniyatlarini aniqlaydigan koʻp bosqichli xavflarni boshqarish jarayoni orqali
erishiladi. Bu jarayon xavflarni boshqarish rejasining samaradorligini baholash
bilan birga olib boriladi.
Ushbu faoliyatni standartlashtirish maqsadida ilmiy va kasbiy hamjamiyatlar
texnik axborot xavfsizligi choralari, yuridik javobgarlik, shuningdek,
foydalanuvchi va maʼmurlarni tayyorlash standartlari sohasida asosiy
metodologiya, siyosat va tarmoq standartlarini ishlab chiqishga qaratilgan doimiy
56
hamkorlik asosida ish olib boradi.
Ushbu standartlashtirishga asosan maʼlumotlarga kirish, qayta ishlash,
saqlash va uzatishni tartibga soluvchi keng koʻlamli qonunlar va qoidalar taʼsir
koʻrsatadi. Biroq, tashkilotda agar doimiy takomillashtirish madaniyati toʻgʻri
shakllantirilmagan boʻlsa, har qanday standartlar va metodologiyalarni joriy etish
yuzaki taʼsir koʻrsatishi mumkin.
Axborot xavfsizligiga tahdidlar turli shakllarda boʻlishi mumkin.
2018-yil uchun eng jiddiy tahdidlar „xizmat koʻrsatish usulidagi jinoyatlar“
(inglizcha: Crime-as-a-Service), Internet mahsulotlari, taʼminot zanjirlari va
tartibga solish talablarining murakkabligi bilan bogʻliq boʻlgan tahdidlar boʻlgan.
„Xizmat koʻrsatish usulidagi jinoyatlar“ yirik jinoiy hamjamiyatlar uchun
darknet
bozorida
jinoiy
xizmatlar
paketini
yangi
paydo
boʻlgan
kiberjinoyatchilarga arzon narxlarda taqdim etishning bir namunasidir. Bu yuqori
texnik murakkablik yoki yuqori narx tufayli ilgari erishib boʻlmagan xakerlik
hujumlarini amalga oshirish imkonini beradi. Bu esa kiberjinoyatni ommaviy
hodisaga aylantiradi.
Axborotni muhofaza qilishning samaradorligi uning o‘z vaqtidaligi, faolligi,
uzluksizligi va kompleksligi bilan belgilanadi. Himoya tadbirlarini kompleks
tarzda o‘tkazish axborotni tarqab ketishi mumkin bo‘lgan xavfli kanallarni yo‘q
qilishni ta‘minlaydi.
Yurtimizda elektron hukumatni qurish, davlat organlari faoliyatini
raqamlashtirish bilan bog‘liq harakatlar jadal sur’atlarda amalga oshirilmoqda.
Hukumatning tegishli qarorlari va axborot xavfsizligi sohasidagi
standartlarga (O‘z DSt ISO/IEC 270XX) muvofiq har bir tashkilotda axborot
xavfsizligi siyosatini ishlab chiqish va joriy qilinishi lozimligi yuzasidan talablar
keltirilgan. Xususan, O‘z DSt ISO/IEC 27002 standartining 5-bobida Axborot
xavfsizligi siyosatini ishlab chiqish bo‘yicha talablar belgilab qo‘yilgan.
Axborotni muhofaza qilishning konsepsiya va tuzilishi quyidagilardan
iborat:
– sanoat asosida ishlab chiqilgan, axborotni muhofaza qilishning o‘ta
57
takomillashgan texnik vositalari;
– axborotni muhofaza qilish masalalarini hal etishga ixtisoslashtirilgan
tashkilotlarning mavjudligi;
– ushbu muammoga oid etarlicha aniq ifodalangan qarashlar tizimi;
– yetarlicha amaliy tajriba va boshqalar.
Siyosatni ishlab chiqish uchun ishchi guruh tashkilot rahbarining buyrug‘i
bilan tasdiqlanadi, unda quyidagi shaxslar bo‘lishi kerak:
- tashkilot rahbariyati vakili;
- axborot xavfsizligi masalalari bo‘yicha mas’ul,
- kadrlar bo‘limi boshlig‘i (HR xizmati);
- texnik bo‘linmalar vakillari (axborot xavfsizligi ma’muri, tarmoq ma’muri,
ma’lumotlar bazasi ma’muri yoki boshqa vakolatli xodimlar).
Zaruriyatga qarab, tashkilotning boshqa xodimlarini, uchinchi tomon
ixtisoslashtirilgan tashkilotlarini yoki mutaxassislarni jalb qilish mumkin.
Siyosatni ishlab chiqish tartibi quyidagi bosqichlarga bo‘linadi:
Birinchi bosqich. Dastlabki xavfsizlik auditi, shu jumladan, axborot
xavfsizligi holatini dastlabki o‘rganish va inventarizatsiya qilish, tashkilot
xavfsizligiga tahdidlarni aniqlash, himoya qilinishi lozim resurslarni aniqlash,
risklarni aniqlash.
Audit jarayonida axborot xavfsizligining hozirgi holatini tahlil qiladi,
mavjud zaifliklarni, faoliyatning eng muhim sohalari va tashkilotning xavfsizlikka
tahdid jarayonlariga eng sezgir yo‘nalishlari aniqlanadi.
Audit tashkilotning axborot xavfsizligining tahdidlari va zaifliklarini
aniqlashga, siyosatni ishlab chiqish uchun dastlabki ma’lumotlarni olishga,
shuningdek, tashkilotni axborotlashtirish ob’yektlarini keyingi sertifikatlashga
tayyorlashga imkon beradi.
Tashkilot auditi davomida quyidagilar amalga oshiriladi:
- tashkilotning O‘zbekiston Respublikasi qonunchiligi, O‘zbekiston
Respublikasi Prezidenti va O‘zbekiston Respublikasi Vazirlar Mahkamasining
farmon va qarorlari talablariga muvofiqligi o‘rganiladi va tahlil qilinadi,
58
O‘zbekiston Respublikasining normativ-huquqiy hujjatlari toifalarga taqsimlanishi,
shuningdek, tashkilotda axborot xavfsizligi masalalarini tartibga soluvchi normativ
hujjatlarning ijrosi o‘rganiladi;
- tashkilotning kompyuterlari va serverlarini dastlabki tekshirish, ya’ni
ishlatilgan operatsion tizimlarning sozlamalari, dastur va tizim dasturlari (dasturiy
ta’minot), axborot xavfsizligi vositalari, shuningdek, axborot-kommunikatsiya
texnologiyalariga kiritilgan boshqa qo‘shimcha qurilmalar va boshqalar tahlil
qilinadi;
- axborot xavfsizligining tahdidlari va zaifliklari uchun tashkilot veb-sayti
tahlil qilinadi;
- tashkilot hududi, perimetri va binolarining jismoniy himoya qilishni
ta’minlash bo‘yicha amalga oshirilgan chora-tadbirlar tahlil qilinadi, ya’ni
xavfsizlik tizimi, kirishni boshqarish vositalari, yong‘in xavfsizligi tizimlari va
boshqalar;
- suhbat orqali tashkilot xodimlarining tashkilotda o‘rnatilgan axborot
xavfsizligi qoidalari to‘g‘risida xabardorligi baholanadi;
-
tashkilotning axborot va moddiy resurslarini turkumlash va
inventarizatsiya qilish tahlili amalga oshiriladi.
Ikkinchi bosqich. Tashkilotning axborot xavfsizligi siyosati loyihasini ishlab
chiqish.
Siyosatni ishlab chiqishda quyidagi asosiy qoidalarga rioya qilish talab
etiladi:
- siyosat amaldagi qonunchilikka va davlat standartlari talablariga to‘liq mos
bo‘lishi lozim;
- siyosat matnida ikki tomonlama talqin qilishga imkon bermaydigan aniq va
bir ma’noli jumlalar bo‘lishi lozim.
Umuman olganda, siyosat axborot tizimlari va axborot xavfsizligi
vositalarini amalga oshirishda va ulardan foydalanishda, shuningdek, ma’lumot
almashish va axborotni qayta ishlash operatsiyalarini bajarishda foydalanuvchilar,
ma’murlar va boshqa mutaxassislarning talab qilinadigan xatti-harakatlari
59
to‘g‘risida aniq tasavvur berishi kerak.
Siyosat – bu tashkilotning barcha manfaatdor tomonlariga cheklovlarsiz
taqdim etilishi mumkin bo‘lgan ommaviy hujjat.
Uchinchi
bosqich.
Tashkilotning
axborot
xavfsizligi
siyosatini
muvofiqlashtirish va amalga oshirish.
Ishlab chiqilgan siyosat loyihasi tegishlicha O‘zbekiston Respublikasi
axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligiga va
vakolatli organlarga tasdiqlash uchun yuboriladi hamda tasdiqlangandan so‘ng
tashkilot rahbarining buyrug‘i bilan kuchga kiradi. Shu bilan birga, tasdiqlangan
siyosatni to‘liq amalga oshirish uchun aniq sanalar va ijrochilar bilan siyosatni
amalga oshirish bo‘yicha tarmoq harakatlar rejasi ishlab chiqilishi lozim.
Ushbu reja Xodimlarning lavozim tavsiflari, bo‘linmalar to‘g‘risidagi nizom,
tashkilotning shartnomaviy (kontrakt) majburiyatlari axborot xavfsizligini
ta’minlash uchun mas’uliyat va majburiyatlarni o‘z ichiga olishi kerak.
Tashkilotning barcha xodimlarini tasdiqlangan siyosat talablari va qoidalari
bilan tanishtirish, shuningdek, axborot xavfsizligi masalalari bo‘yicha muntazam
tushuntirish tadbirlarini o‘tkazish tartibini ta’minlash kerak.
Agar siyosat talablari tashkilotdan tashqariga chiqsa, axborot xavfsizligi
talablari uchinchi tomon tashkilotlari bilan shartnoma majburiyatlariga kiritilishi
kerak.
Axborot xavfsizligi siyosatini qayta ko‘rib chiqish. O‘z DSt ISO/IEC 27002
standartiga muvofiq tashkilotda axborot xavfsizligining siyosatini ishlab chiqish,
qayta ko‘rib chiqish va baholash uchun javobgar mansabdor shaxslar tayinlangan
bo‘lishi lozim.
Shuningdek, uslubiy qo‘llanmaga muvofiq siyosat yiliga kamida bir marta,
shuningdek, quyidagi hollarda ko‘rib chiqilishi kerak:
- axborot xavfsizligiga oid yangi normativ-huquqiy hujjatlar va normativ-
huquqiy hujjatlarni o‘zgartirish va tasdiqlashda;
- konfiguratsiyani o‘zgartirganda, axborot jarayonlari texnologiyasini
o‘zgartirmaydigan dasturiy ta’minot va apparat, dasturiy ta’minot va apparatlarni
60
qo‘shish yoki olib tashlanganda;
- ob’yekt ma’lumotlarini himoya qilishning texnik vositalari konfiguratsiyasi
va sozlamalarini o‘zgartirganda;
- axborot xavfsizligi uchun mas’ul bo‘lgan mansabdor shaxslar –
foydalanuvchi va texnik xodimlarning tarkibi va majburiyatlarini o‘zgartirganda.
Bundan tashqari, tashkilotning axborot xavfsizligi faoliyati qabul qilingan
siyosatga muvofiqligini muntazam ravishda tekshirib turishi maqsadga muvofiq
hisoblanadi.
Tashkilot tomonidan siyosat talablari va qoidalariga rioya qilinishi yuzasidan
tashkilotning axborot infratuzilmasini ichki va tashqi auditini o‘tkazish orqali
Siyosatning samaradorligini yangilash va baholash amalga oshiriladi.
Umumiy yo‘nalishga ko‘ra axborot xavfsizligiga tahdidlar quyidagilarga
bo‘linadi:
– O‘zbekistonning ma’naviy ravnaqi sohalarida, ma’naviy hayot va axborot
faoliyatida fuqarolarning konstitutsiyaviy huquqlari va erkinliklariga tahdidlar;
– mamlakatning axborotlashtirish, telekommunikatsiya va aloqa vositalari
industriyasini rivojlanishiga, ichki bozor talablarini qondirishga, uning
mahsulotlarini jahon bozoriga chiqishiga, shuningdek mahalliy axborot resurslarini
yig‘ish, saqlash va samarali foydalanishni ta‘minlashga nisbatan tahdidlar;
– Respublika hududida joriy etilgan hamda yaratilayotgan axborot va
telekommunikatsiya tizimlarining me’yorida ishlashiga, axborot resurslari
xavfsizligiga tahdidlar.
Har qanday axborot hisoblash tizimlarini tashkil etishdan maqsad
foydalanuvchilarning talablarini bir vaqtda ishonchli axborot bilan ta‘minlash
hamda ularning konfedensialligini saqlash hisoblanadi. Bunda axborot bilan
ta‘minlash vazifasi tashqi va ichki ruxsat etilmagan ta‘sirlardan himoyalash asosida
hal etilishi zarur. Axborot tarqab ketishiga konfedensial ma‘lumotning ushbu
axborot ishonib topshirilgan tashkilotdan yoki shaxslar doirasidan nazoratsiz yoki
noqonuniy tarzda tashqariga chiqib ketishi sifatida qaraladi.
Tahdidning uchta ko‘rinishi mavjud:
61
1. Konfedensiallikning buzilishiga tahdid shuni anglatadiki, bunda axborot
unga ruxsati bo‘lmaganlarga ma’lum bo‘ladi. Bu holat konfedensial axborot
saqlanuvchi tizimga yoki bir tizimdan ikkinchisiga uzatilayotganda noqonuniy
foydalana olishlikni qo‘lga kiritish orqali yuzaga keladi.
2. Butunlikni buzishga tahdid hisoblash tizimida yoki bir tizimdan
ikkinchisiga uzatilayotganda axborotni har qanday qasddan o‘zgartirishni o‘zida
mujassamlaydi. Jinoyatchilar axborotni qasddan o‘zgartirganda, bu axborot
butunligi buzilganligini bildiradi. Shuningdek, dastur va apparat vositalarning
tasodifiy xatosi tufayli axborotga noqonuniy o‘zgarishlar kiritilganda ham axborot
butunligi buzilgan hisoblanadi. Axborot butunligi – axborotning buzilmagan
holatda mavjudligidir.
3. Xizmatlarning izdan chiqish tahdidi hisoblash tizimi resurslarida boshqa
foydalanuvchilar yoki jinoyatchilar tomonidan ataylab qilingan harakatlar
natijasida foydalana olishlilikni blokirovka bo‘lib qolishi natijasida yuzaga keladi.
Kompleks axborotni muhofaza qilish tizimlari qurishda quyidagi chora-
tadbirlar hisobga olinishi kerak:
1. Qonunchilik. Axborot himoyasi sohasida yuridik va jismoniy
shaxslarning, shuningdek davlatning huquq va majburiyatlarini qat’iy belgilovchi
qonuniy aktlardan foydalanish.
2. Ma’naviy-etik. Ob‘ektda qat’iy belgilangan o‘zini tutish qoidalarining
buzilishi ko‘pchilik xodimlar tomonidan keskin salbiy baholanishi joriy etilgan
muhitni hosil qilish va qo‘llab quvvatlash.
3. Jismoniy. Himoyalangan axborotga begona shaxslarning kirishini
taqiqlovchi jismoniy to‘siqlar yaratish.
4. Ma‘muriy. Tegishli maxfiylik rejimi, kirish va ichki rejimlarni tashkil
etish.
5. Texnik. Axborotni muhofaza qilish uchun elektron va boshqa
uskunalardan foydalanish.
6. Kriptografik. Ishlov berilayotgan va uzatilayotgan axborotlarga
noqonuniy kirishni oldini oluvchi shifrlash va kodlashni tatbiq etish.
62
7. Dasturiy. Foydalana olishlilikni chegaralash uchun dastur vositalarini
qo‘llash.
Axborot xavfsizligini ta’minlash doimiy jarayon bo‘lib, besh asosiy
bosqichni o‘z ichiga oladi:
1. xarajatlar smetasi;
2. xavfsizlik siyosatini ishlab chiqish;
3. siyosatni amalga oshirish;
4. mutaxassislarni malakali tayyorlash;
5. audit.
Siyosatni ishlab chiqish uchun ishchi guruh tashkilot rahbarining buyrug‘i
bilan tasdiqlanadi, unda quyidagi shaxslar bo‘lishi kerak:
- tashkilot rahbariyati vakili;
- axborot xavfsizligi masalalari bo‘yicha mas’ul,
- kadrlar bo‘limi boshlig‘i (HR xizmati);
- texnik bo‘linmalar vakillari (axborot xavfsizligi ma’muri, tarmoq ma’muri,
ma’lumotlar bazasi ma’muri yoki boshqa vakolatli xodimlar).
Zaruriyatga qarab, tashkilotning boshqa xodimlarini, uchinchi tomon
ixtisoslashtirilgan tashkilotlarini yoki mutaxassislarni jalb qilish mumkin.
Siyosatni ishlab chiqish tartibi quyidagi bosqichlarga bo‘linadi:
Birinchi bosqich. Dastlabki xavfsizlik auditi, shu jumladan, axborot
xavfsizligi holatini dastlabki o‘rganish va inventarizatsiya qilish, tashkilot
xavfsizligiga tahdidlarni aniqlash, himoya qilinishi lozim resurslarni aniqlash,
risklarni aniqlash.
Audit jarayonida axborot xavfsizligining hozirgi holatini tahlil qiladi,
mavjud zaifliklarni, faoliyatning eng muhim sohalari va tashkilotning xavfsizlikka
tahdid jarayonlariga sezgir yo‘nalishlari aniqlanadi.
Audit tashkilotning axborot xavfsizligining tahdidlari va zaifliklarini
aniqlashga, siyosatni ishlab chiqish uchun dastlabki ma’lumotlarni olishga,
shuningdek, tashkilotni axborotlashtirish ob’yektlarini keyingi sertifikatlashga
tayyorlashga imkon beradi.
63
Tashkilot auditi davomida quyidagilar amalga oshiriladi:
- tashkilotning O‘zbekiston Respublikasi qonunchiligi, O‘zbekiston
Respublikasi Prezidenti va O‘zbekiston Respublikasi Vazirlar Mahkamasining
farmon va qarorlari talablariga muvofiqligi o‘rganiladi va tahlil qilinadi,
O‘zbekiston Respublikasining normativ-huquqiy hujjatlari toifalarga taqsimlanishi,
shuningdek, tashkilotda axborot xavfsizligi masalalarini tartibga soluvchi normativ
hujjatlarning ijrosi o‘rganiladi;
- tashkilotning kompyuterlari va serverlarini dastlabki tekshirish, ya’ni
ishlatilgan operatsion tizimlarning sozlamalari, dastur va tizim dasturlari (dasturiy
ta’minot), axborot xavfsizligi vositalari, shuningdek, axborot-kommunikatsiya
texnologiyalariga kiritilgan boshqa qo‘shimcha qurilmalar va boshqalar tahlil
qilinadi;
- axborot xavfsizligining tahdidlari va zaifliklari uchun tashkilot veb-sayti
tahlil qilinadi;
- tashkilot hududi, perimetri va binolarining jismoniy himoya qilishni
ta’minlash bo‘yicha amalga oshirilgan chora-tadbirlar tahlil qilinadi, ya’ni
xavfsizlik tizimi, kirishni boshqarish vositalari, yong‘in xavfsizligi tizimlari va
boshqalar;
- suhbat orqali tashkilot xodimlarining tashkilotda o‘rnatilgan axborot
xavfsizligi qoidalari to‘g‘risida xabardorligi baholanadi;
-
tashkilotning axborot va moddiy resurslarini turkumlash va
inventarizatsiya qilish tahlili amalga oshiriladi.
Ikkinchi bosqich. Tashkilotning axborot xavfsizligi siyosati loyihasini ishlab
chiqish.
Siyosatni ishlab chiqishda quyidagi asosiy qoidalarga rioya qilish talab
etiladi:
- siyosat amaldagi qonunchilikka va davlat standartlari talablariga to‘liq mos
bo‘lishi lozim;
- siyosat matnida ikki tomonlama talqin qilishga imkon bermaydigan aniq va
bir ma’noli jumlalar bo‘lishi lozim.
64
Umuman olganda, siyosat axborot tizimlari va axborot xavfsizligi
vositalarini amalga oshirishda va ulardan foydalanishda, shuningdek, ma’lumot
almashish va axborotni qayta ishlash operatsiyalarini bajarishda foydalanuvchilar,
ma’murlar va boshqa mutaxassislarning talab qilinadigan xatti-harakatlari
to‘g‘risida aniq tasavvur berishi kerak.
Siyosat – bu tashkilotning barcha manfaatdor tomonlariga cheklovlarsiz
taqdim etilishi mumkin bo‘lgan ommaviy hujjat.
Uchinchi
bosqich.
Tashkilotning
axborot
xavfsizligi
siyosatini
muvofiqlashtirish va amalga oshirish.
Ishlab chiqilgan siyosat loyihasi tegishlicha O‘zbekiston Respublikasi
axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligiga va
vakolatli organlarga tasdiqlash uchun yuboriladi hamda tasdiqlangandan so‘ng
tashkilot rahbarining buyrug‘i bilan kuchga kiradi. Shu bilan birga, tasdiqlangan
siyosatni to‘liq amalga oshirish uchun aniq sanalar va ijrochilar bilan siyosatni
amalga oshirish bo‘yicha tarmoq harakatlar rejasi ishlab chiqilishi lozim.
Ushbu reja Xodimlarning lavozim tavsiflari, bo‘linmalar to‘g‘risidagi nizom,
tashkilotning shartnomaviy (kontrakt) majburiyatlari axborot xavfsizligini
ta’minlash uchun mas’uliyat va majburiyatlarni o‘z ichiga olishi kerak.
Tashkilotning barcha xodimlarini tasdiqlangan siyosat talablari va qoidalari
bilan tanishtirish, shuningdek, axborot xavfsizligi masalalari bo‘yicha muntazam
tushuntirish tadbirlarini o‘tkazish tartibini ta’minlash kerak.
Agar siyosat talablari tashkilotdan tashqariga chiqsa, axborot xavfsizligi
talablari uchinchi tomon tashkilotlari bilan shartnoma majburiyatlariga kiritilishi
kerak.
O‘z DSt ISO/IEC 27002 standartiga muvofiq tashkilotda axborot
xavfsizligining siyosatini ishlab chiqish, qayta ko‘rib chiqish va baholash uchun
javobgar mansabdor shaxslar tayinlangan bo‘lishi lozim.
Shuningdek, uslubiy qo‘llanmaga muvofiq siyosat yiliga kamida bir marta,
shuningdek, quyidagi hollarda ko‘rib chiqilishi kerak:
- axborot xavfsizligiga oid yangi normativ-huquqiy hujjatlar va normativ-
65
huquqiy hujjatlarni o‘zgartirish va tasdiqlashda;
- konfiguratsiyani o‘zgartirganda, axborot jarayonlari texnologiyasini
o‘zgartirmaydigan dasturiy ta’minot va apparat, dasturiy ta’minot va apparatlarni
qo‘shish yoki olib tashlanganda;
- ob’yekt ma’lumotlarini himoya qilishning texnik vositalari konfiguratsiyasi
va sozlamalarini o‘zgartirganda;
- axborot xavfsizligi uchun mas’ul bo‘lgan mansabdor shaxslar –
foydalanuvchi va texnik xodimlarning tarkibi va majburiyatlarini o‘zgartirganda.
Bundan tashqari, tashkilotning axborot xavfsizligi faoliyati qabul qilingan
siyosatga muvofiqligini muntazam ravishda tekshirib turishi maqsadga muvofiq
hisoblanadi.
Tashkilot tomonidan siyosat talablari va qoidalariga rioya qilinishi yuzasidan
tashkilotning axborot infratuzilmasini ichki va tashqi auditini o‘tkazish orqali
Siyosatning samaradorligini yangilash va baholash amalga oshiriladi.
Axborotni muhofaza qilishning asosiy ob‘ektlari:
– davlat sirlari bilan bog‘liq va konfedensial ma‘lumotlarni o‘zida saqlovchi
axborot resurslari;
– vositalar va axborot tizimlari (hisoblash texnikasi vositalari, tarmoqlar va
tizimlar), dasturiy vositalar (operatsion tizimlar, ma‘lumotlar bazalarini boshqarish
tizimlari, amaliy dasturiy ta‘minot), avtomatlashtirilgan boshqaruv tizimlari, aloqa
va ma‘lumotlarni uzatish tizimlari, ruxsati chegaralangan axborotni qabul qilish,
uzatish va qayta ishlash texnik vositalari (ovoz yozish, ovoz kuchaytirish, ovoz
eshitish, so‘zlashuv va televizion qurilmalar, hujjatlarni tayyorlash, ko‘paytirish
vositalari hamda boshqa grafik, matn va harfli-raqamli ma‘lumotlarni qayta ishlash
vositalari), konfedensial va davlat sirlari toifasiga oid bevosita qayta ishlovchi
tizim va vositalar. Bunday tizim va vositalarni ko‘pincha axborotlarni qabul qilish,
qayta ishlash va saqlash texnik vositalari deb atashadi.
Axborotni muhofaza qilishning asosiy ob‘ektlari:
– davlat sirlari bilan bog‘liq va konfedensial ma‘lumotlarni o‘zida saqlovchi
axborot resurslari;
66
– vositalar va axborot tizimlari (hisoblash texnikasi vositalari, tarmoqlar va
tizimlar), dasturiy vositalar (operatsion tizimlar, ma‘lumotlar bazalarini boshqarish
tizimlari, amaliy dasturiy ta‘minot), avtomatlashtirilgan boshqaruv tizimlari, aloqa
va ma‘lumotlarni uzatish tizimlari, ruxsati chegaralangan axborotni qabul qilish,
uzatish va qayta ishlash texnik vositalari (ovoz yozish, ovoz kuchaytirish, ovoz
eshitish, so‘zlashuv va televizion qurilmalar, hujjatlarni tayyorlash, ko‘paytirish
vositalari hamda boshqa grafik, matn va harfli-raqamli ma‘lumotlarni qayta ishlash
vositalari), konfedensial va davlat sirlari toifasiga oid bevosita qayta ishlovchi
tizim va vositalar. Bunday tizim va vositalarni ko‘pincha axborotlarni qabul qilish,
qayta ishlash va saqlash texnik vositalari deb atashadi.
Xavfsizlik vazifalari, Axborot xavfsizligi muammolari agar kompyuter
tizimida yuzaga keladigan nizolar va xatolar jiddiy oqibatlarga olib kelishi
mumkin. Axborot xavfsizligi tizimining vazifalari bo'yicha ko'p qirrali va har
tomonlama choralar ko'radi. Ular noqonuniy foydalanish, zarar, buzish, nusxalash
va blokirovka qilish, ma'lumotlarni blokirovka qilishga to'sqinlik qiladi. Bunga
jismoniy shaxslarning kuzatuvi va ruxsatsiz kirishni o'z ichiga oladi va uning
yaxlitligi va yaxlitligi uchun barcha tahdidlarni oldini oladi.
Ma'lumotlar bazalarining zamonaviy rivojlanishi bilan xavfsizlik masalalari
nafaqat kichik va xususiy foydalanuvchilar, balki moliyaviy tuzilmalarga, balki
yirik korporatsiyalar uchun ham muhim ahamiyat kasb etmoqd. Axborot
xavfsizligi tahdidi (axborot tahdidi), axborot resurslaridan, uzatiladigan va qayta
ishlangan ma'lumotlar, shuningdek, dasturiy ta'minot va apparatdan tashqari,
shuningdek, axborot resurslaridan yoki ruxsatsiz foydalanish tahdidi ostida.
Agar ma'lumotning qiymati saqlash yoki taqsimlash paytida yo'qolishi
mumkin bo'lsa, ma'lumotlarning maxfiyligini buzish xavfi joriy etiladi. Agar
ma'lumotlar uning qiymatini yo'qotish bilan farq qilsa yoki yo'q bo'lsa,
ma'lumotlarning tahdidi amalga oshiriladi.
Axborot xavfsizligi bugungi kunda respublikamizning raqamli iqtisodiyotini
rivojlantirishning eng muhim elementi darajasiga ko‘tarilmoqda.
Axborot xavfsizligi madaniyatini mamlakatning tijorat tashkilotlari va davlat
67
tuzilmalari faoliyatining barcha sohalariga chuqur singdirmasdan bozor
ishtirokchilarining elektron hamkorligini kengaytirish va yangi axborot
texnologiyalaridan keng foydalanish mumkin emas.
Tashkilotlarda axborot xavfsizligi madaniyatini oshirishning eng samarali
vositasi bo‘lgan axborot xavfsizligi siyosati zamonaviy sharoitda muhim omil
bo‘lib qolmoqda.
Bundan tashqari, yurtimizda iqtisodiy faoliyat va davlat boshqaruvi
jarayonlarining raqamlashtirilishi kuchayishi bilan axborot xavfsizligi siyosatining
roli tobora oshib bormoqda.
|