KIBERXAVFSIZLIK
Hisoblashga asoslangan mujassamlangan bilim sohasi
Hisoblash bilim
sohasi
Kompyuter
injineriyasi
Axborot
texnologiyalari
Axborot
tizimlari
Dasturiy
ta’minot
injineriyasi
Risklarni
boshqarish
Inson omili
Etika
Siyosat
Huquq
1.2-rasm. Kiberxavfsizlik fani sohasining tuzilishi
Kiberxavfsizlikni fundamental atamalarini aniqlashda turli
yondashuvlar mavjud. Xususan, CSEC2017 JTF manbasida
kiberxavfsizlikning quyidagi 6 ta atamasi keltirilgan:
Konfidensiallik – axborot yoki uni eltuvchisining shunday holatiki,
undan ruxsatsiz tanishishning yoki nusxalashning oldi olingan bo‘ladi.
Konfidensiallik axborotni ruxsatsiz “o‘qish”dan himoyalash bilan
shug‘ullanadi. AOB senariysida Bob uchun konfidensiallik juda muhim.
Ya’ni, Bob o‘z balansida qancha pul borligini Tridining bilishini
istamaydi. Shu sababli Bob uchun balans xususidagi ma’lumotlarning
konfidensialligini ta’minlash muhim hisoblanadi.
Yaxlitlik – axborotning buzilmagan ko‘rinishida (axborotning
qandaydir qayd etilgan holatiga nisbatan o‘zgarmagan shaklda) mavjud
bo‘lishi ifodalangan xususiyati. Yaxlitlik axborotni ruxsatsiz
“yozish”dan (ya’ni, axborotni o‘zgartirishdan) himoyalash yoki kamida
o‘zgartirilganligini aniqlash bilan shug‘ullanadi. AOB senariysida
Alisaning banki qayd yozuvining yaxlitligini Trididan himoyalash shart.
Masalan, Bob o‘zining akkauntida balansning o‘zgarishidan yoki Alisa
akkauntida balansning oshishidan himoyalashi shart.
Shu o‘rinda konfidensiallik va yaxlitlik bir xil tushuncha
emasligiga e’tibor berish kerak. Masalan, Tridi biror ma’lumotni o‘qiy
olmagan taqdirda ham uni sezilmaydigan darajada o‘zgartirishi mumkin.
8
Foydalanuvchanlik – avtorizatsiyalangan mantiqiy obyekt so‘rovi
bo‘yicha axborotning tayyorlik va foydalanuvchanlik holatida bo‘lishi
xususiyati. Foydalanuvchanlik axborotni (yoki tizimni) ruxsatsiz
“bajarmaslik”dan himoyalash bilan shug‘ullanadi. AOB senariysida
AOB web saytidan Bobning foydalana olmasligi Alisaning banki va Bob
uchun foydalanuvchanlik muammosi hisoblanadi. Sababi, mazkur holda
Alisa pul o‘tkazmalaridan daromad ola olmaydi va Bob esa o‘z biznesini
amalga oshira olmaydi. Foydalanuvchanlikni buzishga qaratilgan
hujumlardan eng keng tarqalgani – xizmat ko‘rsatishdan voz kechishga
undovchi hujum (Denial of service, DoS).
Risk – potensial foyda yoki zarar bo‘lib, umumiy holda har qanday
vaziyatga biror bir hodisani yuzaga kelish ehtimoli qo‘shilganida risk
paydo bo‘ladi. ISO “risk – bu noaniqlikning maqsadlarga ta’siri” sifatida
ta’rif bergan.
Masalan, universitetga o‘qishga kirish jarayonini ko‘raylik.
Umumiy holda bu jarayonni o‘zi risk hisoblanmaydi. Faqatgina
abituriyent hujjatlarini va kirish imtihonlarini topshirganida, u o‘qishga
kirishi yoki kira olmasligi mumkin. Bu o‘z navbatida qabul qilinish yoki
qabul qilinmaslik riskini yuzaga kelishiga sabab bo‘ladi.
Kiberxavfsizlikda yoki axborot xavfsizligida risklarga salbiy
ko‘rinishda qaraladi.
Hujumchi kabi fikrlash – bo‘lishi mumkin bo‘lgan xavfni oldini
olish maqsadida qonuniy foydalanuvchining hujumchi kabi fikrlash
jarayoni.
Tizimli fikrlash – kafolatlangan amallarni ta’minlash uchun
ijtimoiy va texnik cheklovlarning o‘zaro ta’sirini hisobga oladigan
fikrlash jarayoni.
Bundan tashqari quyidagi tushunchalar ham kiberxavfsizlik
sohasini o‘rganishda muhim hisoblanadi.
Axborot xavfsizligi – axborotning holati bo‘lib, unga binoan
axborotga tasodifan yoki atayin ruxsatsiz ta’sir etishga yoki ruxsatsiz
undan foydalanishga yo‘l qo‘yilmaydi. Yoki, axborotni texnik vositalar
yordamida ishlanishida uning maxfiylik (konfidensiallik), yaxlitlik va
foydalanuvchanlik kabi xarakteristikalari (xususiyatlarini) saqlanishini
ta’minlovchi axborotning himoyalanish darajasi holati.
Axborotni himoyalash – axborot xavfsizligini ta’minlashga
yo‘naltirilgan choralar kompleksi. Amalda axborotni himoyalash
deganda ma’lumotlarni kiritish, saqlash, ishlash va uzatishda uning
9
yaxlitligini, foydalanuvchanligini va agar, kerak bo‘lsa, axborot va
resurslarning konfidensialligini madadlash tushuniladi.
Aktiv - himoyalanuvchi axborot yoki resurslar. Yoki, tashkilot
uchun qimmatli barcha narsalar.
Tahdid – tizim yoki tashkilotga zarar yetkazishi mumkin bo‘lgan
istalmagan hodisa. Yoki, tahdid - axborot xavfsizligini buzuvchi
potensial yoki real mavjud xavfni tug‘diruvchi sharoit va omillar
majmui. Tahdid tashkilotning aktivlariga qaratilgan bo‘ladi. Masalan,
aktiv sifatida korxonaga tegishli biror bir saqlanuvchi hujjat bo‘lsa, u
holda ushbu hujjat saqlanadigan xonaga nisbatan tahdid amalga
oshirilishi mumkin.
Zaiflik – bir yoki bir nechta tahdidlarni amalga oshirishga imkon
beruvchi tashkilot aktivi yoki boshqaruv tizimidagi kamchilik.
Boshqarish vositasi – riskni o‘zgartiradigan harakatlar bo‘lib,
natijasi zaiflik yoki tahdidlarni o‘zgarishiga ta’sir qiladi. Bundan
tashqari, boshqarish vositasining o‘zi turli tahdidlar foydalanishi
mumkin bo‘lgan zaiflikka ega bo‘lishi mumkin. Masalan, tashkilotda
saqlanayotgan qog‘oz ko‘rinishidagi axborotni yong‘indan himoyalash
uchun o‘chirish vositalari boshqarish vositasi sifatida ko‘rilishi mumkin.
Yong‘in bo‘lganida xodimlarning xatti-harakatlari va yong‘inni oldini
olish bo‘yicha ko‘rilgan chora-tadbirlar ham boshqarish vositasi
hisoblanishi mumkin. Yong‘inga qarshi kurashish tizimining ishlamay
qolish holatiga esa boshqarish vositasidagi kamchilik sifatida qaraladi.
Axborot xavfsizligi va kiberxavfsizlik o‘rtasidagi farq.
“Kiberxavfsizlik” va “axborot xavfsizligi” atamalaridan, ko‘pincha
o‘rnilari almashgan holda, foydalanishadi. Ba’zilar kiberxavfsizlikka
axborot xavfsizligi, axborot texnologiyalari xavfsizligi va (axborot)
risklarni boshqarish tushunchalariga sinonim sifatida qarashsa, ayrimlar
esa, xususan hukumat sohasidagilar, kompyuter jinoyatchiligi va muhim
infrastrukturalar himoyasini o‘z ichiga olgan milliy xavfsizlik bilan
bog‘liq texnik tushuncha sifatida qaraydilar. Turli soha xodimlari
tomonidan o‘z maqsadlariga moslashtirish holatlari mavjud bo‘lsada,
axborot xavfsizligi va kiberxavfsizlik tushunchalari orasida ba’zi muhim
farqlar mavjud.
Axborot xavfsizligi sohasi, axborotning ifodalanishidan qat’iy nazar
(qog‘oz ko‘rinishidagi, elektron va insonlar fikrlashida, og‘zaki va
vizual) intelektual huquqlarni himoyalash bilan shug‘ullanadi.
Kiberxavfsizlik esa elektron shakldagi axborotni (barcha holatdagi,
tarmoqdan to qurilmagacha bo‘lgan, o‘zaro birga ishlovchi tizimlarda
10
saqlanayotgan, uzatilayotgan va ishlanayotgan axborotni) himoyalash
bilan shug‘ullanadi. Bundan tashqari, hukumatlar tomonidan
moliyalashtirilgan hujumlar va rivojlangan doimiy tahidlar (Advanced
persistent threats, APT) ham aynan kiberxavfsizlikka tegishli. Qisqacha
aytganda, kiberxavfsizlikni axborot xavfsizligining bir yo‘nalishi deb
tushunish uni to‘g‘ri anglashga yordam beradi.
|