Literature
1.
ТSt 45-010:2010.Сетевая и информационная безопасность. Определения и
понятия безопасность в электросвязи и информационных технологиях.
Обзор содержания и применения действующих Рекомендаций МСЭ-Т для
обеспечения защищенной электросвязи. МСЭ-Т. 2009.
2.
Stallings W. Network security essentials. Applications and Standards. Fourth
Edition. Upper Saddle River, NJ: Prentice Hall, 2011.
AXBOROT XAVFSIZLIGI RISKLARI TASNIFI VA BAHOLASH
USULLARI
Shukurov Orziqul Pardayevich
Muhammad al-Xorazmiy nomidagi TATU, o‘qituvchi-stajyor,
orzubek90@bk.ru
Annotatsiya.
Ushbu maqolada axborot xavfsizligi riskini baholash,
ahamiyati, va uning usullari, axborot xavfsizligi risklari tasnifi kabi ma’lumotlar
keltirilgan. Axborot xavfsizligi riskini baholash tashkilotni boshqarish
amaliyotining muhim qismi bo‘lib, risklarni qabul qilish mezonlari va tashkilotga
tegishli maqsadlarga muvofiq risklar miqdorini aniqlash va ularning
ustuvorliklarini o‘rnatishga yordam beradi.
Kalit so‘zlar:
risk, tahdid, zaiflik, risklni boshqarish, riskni baholash,
risklarni tasniflash, noravshan mantiq
Axborot tizimlarining murakkablashib borayotgani o‘z navbatida axborot
xavfsizligi masalalarining har qanday tashkilot uchun tobora dolzarb ahamiyat
kasb etishiga sabab bo‘lmoqda. Shu nuqtai nazardan axborot xavfsizligini
International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
592
ta’minlash bo‘yicha kompleks yondashuvning zarur tarkibiy qismi sifatida axborot
xavfsizligi risklarini tahlil qilish va baholashga alohida e ʼtibor qaratilmoqda.
Risklarni boshqarish axborot tizimi resurslariga potentsial salbiy ta’sir
ko‘rsatishi mumkin bo‘lgan axborot xavfsizligi risklarini
yumshatish,
hodisalarning ehtimolini aniqlash, boshqarish va bartaraf etish yoki kamaytirishdan
iborat bo‘lgan himoya vositalarining maqbul qiymatini hisobga olgan holdagi
jarayonni anglatadi, hamda, risk, “tejamkorlik” parametri tahlili, xavfsizlik tizim
ostini tanlash, qurish va sinovdan o‘tkazish kabi xavfsizlikning barcha jihatlarini
o‘rganishni o‘z ichiga oladi.
Keng ma’noda risk-bu muayyan yo‘qotishlarni (masalan, jismoniy
shikastlanish, mol-mulkni yo‘qotish, tashkilotga zarar yetkazish va h.k.) keltirib
chiqaruvchi hodisaning ehtimoli. Axborot xavfsizligi riski-bu tashkilotga zarar
yetkazishning muayyan xavfi sifatida aktiv yoki aktivlar guruhidagi zaifliklardan
foydalanishning potentsial ehtimolidir [1].
Riskning asosiy belgilari nomuvofiqlik, muqobillik va noaniqlikdir. Axborot
xavfsizligi risklarining tasnifi 1-rasmda keltirilgan va besh guruhga bo‘lingan [2,
3].
1-rasm. Axborot xavfsizligi risklarining tasnifi.
Riskni baholash spektrining chegaralarini tavsiflash maqsadida uchta
qo‘shimcha atama kiritish lozim. Risk nomuvofiqligi – bu agar subyektiv
mulohazalar obyektiv ravishda mavjud bo‘lgan xavfli faoliyatni adekvat, ishonchli
baholamasa va tavsiflamasa yuzaga keladi. Muqobillik – bu ikki yoki undan ortiq
mumkin bo‘lgan yechimlar yoki harakatlardan birini tanlash zarurati. Noaniqlik -
bu qaror qabul qilish shartlari to‘g‘risidagi ma’lumotlarning noto‘liqligi yoki
noto‘g‘riligi[4]. Risk qaror qabul qilinmagan yoki qaror oqibatlari haqida yetarli
ma’lumot bo‘lmaganda yuzaga kelishi mumkin. Bu xususiyatlar riskni baholash
jarayonida jiddiy qiyinchiliklarga olib keladi.
Risklarni tahlil qilish riskni baholash jarayoni va riskni kamaytirish yoki u
bilan bog‘liq salbiy oqibatlarni kamaytirishning mumkin bo‘lgan usullarini o‘z
ichiga oladi[5]. Risklarni tahlil qilish kontseptsiyasi axborot aktivlari bilan bog‘liq
Manbasiga binoan
-
ichki
-
tashqi
Tabiatiga binoan
-
qasddan
-
tasodifiy
Axborot
xavfsizligi
riski
Ta'siriga binoan
-
bevosita
-
bilvosita
Natijasiga binoan
-
ma'lumotlarning ishonchliligini buzish
-
ma'lumotlarning dolzarbligini buzish
Yuzaga kelish
mexanizmiga
binoan
-
tabiiy ofatlar
-
baxtsiz hodisalar
-
insoniy xatolar va hk.
International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
593
holda paydo bo‘lmay, u asosan ikkita xususiyatga qaratilgan: hodisaning
tashkilotga ehtimoli va ta’siri.
Axborot xavfsizligi nuqtai nazaridan, ta’sir bu ma’lumotlar yoki boshqa
aktivlarning maxfiyligi, yaxlitligi yoki foydalanuvchanlik kabi xususiyatini
yo‘qotishdek oqibatlarini hisobga olgan holda, axborot xavfsizligini buzish
natijasida tashkilotga yetkazilishi mumkin bo‘lgan zararni anglatadi. Ehtimollik,
mavjud tahdidlar va zaifliklarni hisobga olgan holda bunday buzilish ehtimoli,
shuningdek, axborot xavfsizligini boshqarish bo‘yicha amalga oshirilgan chora-
tadbirlarni baholaydi. Zarar darajasi pullik parametr va tannarxning ekvivalenti
bo‘lib, qiymati [6] da taklif qilingan usul bilan hisoblab chiqilishi mumkin.
Axborot xavfsizligi risklarini tahlil qilish ikki turga bo‘linadi: sifatli va
miqdoriy. Sifatli tahlil omillar, sohalar va risk turlarini aniqlaydi va odatda kirish
ma’lumotlarini olish uchun seminarlar yoki intervyular orqali insoniy o‘zaro
ta’sirlardan foydalanadi. Ma’lumotlar to‘plangandan so‘ng, riskning miqdoriy
emas, balki sifatli tahlili amalga oshiriladi.
Riskni sifatli baholashda asosiy e’tibor uning statistik ehtimoli emas, balki
hodisaning ehtimoli qaratiladi(1). Ushbu ehtimolliklar tahdid va zaifliklarni tahlil
qilish, so‘ngra aktiv yoki aktivlarning sifatli yoki miqdoriy qiymatini aniqlash
(ta’sir) orqali olinadi:
Risk = Tahdid × Zaiflik × Ta’sir (1)
bu yerda Tahdid × Zaiflik – ehtimollikni beradi.
Risklarni sifatli baholash metodologiyasining bir misoli-OWASP (Open Web
Application Security Project) riskni baholash metodologiyasidir[7]. Tahlil
qilingandan so‘ng, OWASP natijaviy xulosani yaratadi. Bu yerda ta’sir va
ehtimollik sifat jihatidan past, o‘rta yoki yuqori deb baholanadi. Yana bir
metodologiya - bu SWOT matritsasi ham deb ataladigan SWOT tahlili (kuchli
tomonlar, zaif tomonlar, imkoniyatlar va tahdidlar) bo‘lib, bu ichki omillarni
(kuchli va zaif tomonlarini) shuningdek tashqi omillarni aniqlash va baholash
uchun mo‘ljallangan.
Aksincha, riskni miqdoriy tahlil qilish zarar miqdorini sonli aniqlashga
imkon beradi. Shu bilan birga, miqdoriy baholash murakkab vazifa, chunki u riskni
aniqlashda tegishli kirishni talab qiladi. Risk miqdorini aniqlashga imkon
beradigan yagona mavjud emas. Avvalo, bu ma’lum bir tahdid yuzaga kelishi
mumkinligi haqida kerakli statistik ma’lumotlarning yetishmasligi bilan bog‘liq.
Ikkinchidan, ma’lum bir axborot resursining qiymatini aniqlash muhim
sanaladi[8,9,10]. Axborot xavfsizligi riskini baholashda har qanday yondashuvning
maqsadi risk omillarini o‘rganish va risklarni boshqarish bo‘yicha eng yaxshi qaror
qabul qilishdir.
Xulosa qilib aytganda kamchiliklari sababli sifatli va miqdoriy baholash
usullari to‘liq emas, subyektiv, tasodif elementni o‘z ichiga oladi va yangilanishi
yoki qayta ishlatilishi murakkabdir. Sun’iy neyron tarmoqlarini qo‘llash axborot
xavfsizligi risklarini baholashda yordam beradi, chunki ular o‘z-o‘zini o‘qitish
qobiliyatiga ega, noaniq muammolarni hal qila oladi va miqdoriy ma’lumotlarni
qayta ishlash uchun mos keladi. Bayes tarmoqlari, yashirin Markov va qarorlar
International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
594
daraxti kabi noravshan mantiqning modellarini ham murakkab risklarni baholash
muammolarini hal qilishda obrazlarni tanib olishning boshqa turlari bilan ishlatish
mumkin. Bu risklarni baholash jarayonini yengillashtirish, soddalashtirish va
avtomatlashtirish uchun kelajakdagi tadqiqotlar e’tiborga olinishi kerak bo‘lgan
texnologiyalardir.
Do'stlaringiz bilan baham: |