Axborotlarni himoyalashda qonunlar
XXI asr axborot asri bo‘lib, axborot ahamiyati va qimmati oshib bormoqda. Bunday sharoitda uni qonuniy himoyalash ham dolzarb masalaga aylandi.
Axborotni himoyalash deganda quyidagilar tushuniladi: 1. Axborot butunligi va ishonchliligini ta’minlash; 2. Axborotni saqlash jarayonida elementlarining almashtirilishiga yo‘l qo‘yilmaslik; 3. Maxsus ruhsatga ega bo‘lmagan shaxslar tomonidan axborotlardan qisman yoki to‘liq foydalanishning oldini olish, umuman olganda axborotni o‘g‘irlashga, o‘zgartirishga yoki tizimni ishdan chiqarishga bo‘lgan intilishlardan himoya qilish tushuniladi..
Axborot xavfsizligini ta’minlashda quyidagi talablar qo‘yiladi: 1. Konfidensiallik (mahfiylik); 2. Butunlik (axborotni axborot jarayonlari davomida uni beruhsat o‘zgartirish yoki kuzatishga yo‘l qo‘ymaslik holati); 3. Qobillik (axborotning unga nisbatan berilgan axborot jarayonlarini bajarishga yaroqlilik va tayyorlik xossasi).
Kompyuter tizimlari va tarmoqlarida axborotni himoyalashning quyidagi usullari mavjud: 1. Tashkiliy; 2. Texnik-dasturiy; 3. Huquqiy; 4. Axborotni zahiralash va nusxalash; 5.Kriptografik.
Qonun hujjatlarida quyidagi masalalar ko‘rib chiqiladi: 1. Kompyuter jinoyatchiligi uchun jazolash me’yorlarini ishlab chiqish; 2. Dasturlovchilarning mualliflik huquqlarini himoya qilish; 3. Axborotlashtirish sharoitlarida axborot sohasidagi huquq va erkinliklarni himoya qilish; 4. Axborot xavsizligi bo‘yicha xalqaro shartnomalarni qabul qilish va unga amal qilish me’yorlarini ishlab chiqish. .
Huquqiy vosita ahborot xavfsizligini ta’minlashda muhim o‘rin egallaydi. Uning asosini axborotni qayta ishlash va uzatish, ulardan foydalanish qoidalariga rioya qilishni ta’minlaydigan qonunlar tashkil etadi. Axborot xavfsizligini xuquqiy ta’minlashning asosini O‘zbekiston Respublikasi Jinoyat kodeksi normalari, Axborotlashtirish to‘g‘risidagi qonun, Elektron raqamli imzo to‘g‘risidagi, Elektron tijorat to‘g‘risidagi bir qator qonunlarda ko‘zda tutilgan moddalar tashkil etadi.
Axborotlashtirish qoidalarini ijtimoiy xavfliligi axborot egasiga yirik miqdorda zarar etkazishdan iborat. Bundan tashqari axborotni to‘plash, yig‘ish, qayta ishlash, uzatish, undan foydalanish, shuningdek noqonuniy ravishda axborotga ega bo‘lish tartibi buziladi.
Davlatning hokimiyat va boshqaruv idoralari, shuningdek, huquqiy va jismoniy shaxslar axborot egasi bo‘lishlari mumkin.
Axborotlashtirish qoidalarini buzish natijasida (masalan, axborot tizimidan ma’lumotlarni noqonuniy ravishda olish) mulk egasi o‘z axborotiga ega bo‘lish, undan foydalanish yoki uni tasarruf etish imkoniyatidan mahrum etiladi. Bundan axborotga egalik qilish, undan foydalanish va uni tasarruf etish sohasida amal qiladigan ijtimoiy munosabatlar mazkur jinoyatning ob’ekti ekanligi kelib chiqadi.
Faqat axborot tizimlaridagi axborot jinoyatning predmeti bo‘lishi mumkin. Davlat idoralari, huquqiy va jismoniy shaxslar faoliyatning mahsuli sifatida axborot moddiy yoki aqliy (intellektual) mulk ob’ekti bo‘lishi mumkin. Axborot mulk ob’ekti sifatida ayrim hujjat yoki hujjatlar to‘plami olinishi mumkin.
Jinoyat kodeksining 174-moddasining 2-qismiga muvofiq kompyuter tizimlarida saqlanayotgan ma’lumotlar yoki dasturlarni o‘zgartirish maqsadida tegishli ruxsatsiz kompyuter viruslari yoki dasturlarini ishlab chiqish va tarqatish, shuningdek, ruxsati bo‘lmagan holda axborot tizimidan foydalanish ma’lumotlarning buzilishi, olib tashlanishi, yo‘q qilib yuborilishi yoki bu tizimning ishdan chiqishiga sabab bo‘lsa, eng kam ish haqining 100 baravarigacha miqdorda jarima yoki muayyan huquqdan mahrum qilib uch oydan olti oygacha ozodlikdan mahrum qilish bilan jazolanadi.
Bundan tashqari Jinoyat kodeksida qonunga xilof ravishda axborot to‘plash, uni oshkor qilish yoki undan foydalanish (191- modda) uchun javobgarlik ko‘zda tutilgan.
1993-yil 7-mayda qabul qilingan “Axborotlashtirish to‘g‘risida”gi qonun 2003-yil 11-dekabrda Oliy Majlisning sessiyasida qayta ko‘rib chiqilgan va u 23 moddadan iborat. Bu qonunga ko‘ra axborot resurslari va axborot tizimlarining texnika vositalarini sertifikatlashtirish, axborot tizimlarining tarmoqlararo bog‘lanishini amalga oshirish, axborot resurslari va axborot tizimlarini muhofaza qilish, xalqaro axborot tarmoqlaridagi ulanishni amalga oshirish, nizolarni hal etish, axborotlashtirish to‘g‘risidagi qonun hujjatlarini buzganlik uchun javobgarlik nazarda tutilgan.
1 BOB. KIBERXAVFSIZLIKNING ASOSIY TUSHUNCHALARI 1.1. Konfidentsiallik, yaxlitlik va foydalanuvchanlik tushunchalari Axborotni ishlash, uzatish va to’plashning zamonaviy usullarining rivojlanishi foydalanuvchilar axborotini yo’qolishi, buzilishi va oshkor etilishi bilan bog’liq tahdidlarning ortishiga olib kelmoqda. Shu sababli, kompyuter tizimlari va tarmoqlarida axborot xavfsizligini ta’minlash axborot texnologiyalari rivojining yetakchi yo’nalishlaridan biri hisoblanadi. 1.1.1. Axborot xavfsizligining hayotiy timsollari Axborot xavfsizligi hayotda mavjud timsollarga asoslanadi. Hayotda faqat qonuniy faoliyat olib boruvchi shaxslar mavjud, ular 1-rasmda Alisa va Bob timsolida akslantirilgan. Biroq, hayotda qonuniy faoliyat yurituvchi insonlarning faoliyatiga qiziquvchi, ularning ishlariga xalaqit beruvchi bo’lgan insonlar ham mavjud va ular 1-rasmda Tridi timsolida tasvirlangan. Tridi timsoli barcha g’arazli niyatlarni amalga oshiruvchi shaxslarni ifodalaydi [5]
O’quv qo’llanmaning keyingi bo’limlarini yoritishda quyidagi hayotiy ssenariyni ko’raylik. Ushbu hayotiy ssenariy Alisaning onlayn banki (AOB) deb ataladi. Bunga ko’ra, Alisa onlayn bankning biznes faoliyatini amalga oshiradi. 7 Mazkur ssenariyda Alisaning xavfsizlik muammosi nima? Alisaning mijozi bo’lgan Bobning xavfsizlik muammosichi? Alisa va Bobning xavfsizlik muammolari bir xilmi? Tridi nuqtai nazaridan qaraganda qanday xavfsizlik muammolari mavjud? Ushbu savollarga keyingi qismlarda javob berib o’tiladi. 1.1.2. Kiberxavfsizlikning asosiy tushunchalari Kompyuter tizimlari va tarmoqlarida axborotni himoyalash va axborot xavfsizligiga tegishli bo’lgan ayrim tushunchalar bilan tanishib chiqaylik. Kiberxavfsizlik hozirda yangi kirib kelgan tushunchalardan biri bo’lib, unga berilgan turlicha ta’riflar mavjud. Xususan, CSEC2017 Joint Task Force manbasida kiberxavfsizlikka quyidagicha ta’rif berilgan [1]: kiberxavfsizlik – hisoblashlarga asoslangan bilim sohasi bo’lib, buzg’unchilar mavjud bo’lgan sharoitda amallarni to’g’ri bajarilishini kafolatlash uchun o’zida texnologiya, inson, axborot va jarayonlarni mujassamlashtiradi. U xavfsiz kompyuter tizimlarini yaratish, amalga oshirish, tahlillash va testlashni o’z ichiga oladi. Kiberxavfsizlik ta’limning mujassamlashgan bilim sohasi bo’lib, qonuniy jihatlarni, siyosatni, inson omilini, etika va risklarni boshqarishni o’z ichiga oladi. Tarmoqlar sohasida faoliyat yuritayotgan Cisco tashkiloti esa kiberxavfsizlikka quyidagicha ta’rif bergan [2]: Kiberxavfsizlik – tizim, tarmoq va dasturlarni raqamli hujumlardan himoyalash amaliyoti. Ushbu kiberxujumlar odatda maxfiy axborotni boshqarish, almashtirish yoki yo’q qilishni; foydalanuvchilardan pul undirishni; normal ish faoliyatini buzishni maqsad qiladi. Hozirgi kunda samarali kiberxavfsizlik choralarini amalga oshirish insonlarga qaraganda qurilmalar soni va turlarining kattaligi va buzg’unchilar salohiyatini ortishi natijasida amaliy tomondan murakkablashib bormoqda. Kiberxavfsizlik bilim sohasining zaruriyati birinchi meynfreym kompyuterlar ishlab chiqarilgandan boshlab paydo bo’la boshlagan. Bunda mazkur qurilmalarni va ularning vazifalari himoyasi uchun ko’p qatlamli xavfsizlik choralari amalga oshirilgan. Milliy xavfsizlikni ta’minlash zaruriyatini oshib borishi kompleks va texnologik murakkab ishonchli xavfsizlik choralarini paydo bo’lishiga olib keldi. 8 Hozirgi kunda axborot texnologiyalari sohasida faoliyat yuritayotgan har bir mutaxassisdan kiberxavfsizlikning fundamental bilimlariga ega bo’lishi talab etiladi. Demak, kiberxavfsizlik fani sohasining tuzilishini quyidagicha tasvirlash mumkin (2-rasm)
Kiberxavfsizlikni fundamental atamalarini aniqlashga turli yondashuvlar mavjud. Xususan, CSEC2017 JTF manbasida mualliflar kiberxavfsizlikni quyidagi 6 atamasi keltirishgan [1]: Konfidensiallik – axborot yoki uni eltuvchining shunday holati bo’lib, undan ruxsatsiz tanishishning yoki nusxalashning oldi olingan bo’ladi. Konfidensiallik axborotni ruxsatsiz “o’qish”dan himoyalash bilan shug’ullanadi. AOB ssenariysida Bob uchun konfidensiallik juda muhim. Ya’ni, Bob o’z balansida qancha pul borligini Tridi bilishini istamaydi. Shu sababli Bob uchun balans xususidagi ma’lumotlarning konfidensialligini ta’minlash muhim hisoblanadi. Yaxlitlik - axborotning buzilmagan ko’rinishida (axborotning qandaydir qayd etilgan holatiga nisbatan o’zgarmagan shaklda) mavjud bo’lishi ifodalangan xususiyati. Yaxlitlik axborotni ruxsatsiz “yozish”dan (ya’ni, axborotni 9 o’zgartirishdan) himoyalash yoki kamida o’zgartirilganligini aniqlash bilan shug’ullanadi. AOB ssenariysida Alisaning banki qayd yozuvi butunligini Trididan himoyalashi shart. Masalan, Bob akkauntida balansning o’zgarishi yoki Alisa akkauntida balansning oshishidan himoyalashi shart. Shu o’rinda konfidensiallik va yaxlitlik bir narsa emasligiga e’tibor berish kerak. Masalan, Tridi biror ma’lumotni o’qiy olmagan taqdirda ham uni sezilmaydigan darajada o’zgartirishi mumkin. Foydaluvchanlik - avtorizasiyalangan mantiqiy obyekt so’rovi bo’yicha uning tayyorlik va foydalanuvchanlik holatida bo’lishi xususiyati. Foydalanuvchanlik axborotni (yoki tizimni) ruxsatsiz “bajarmaslik”dan himoyalash bilan shug’ullanadi. AOB ssenariysida AOB veb saytidan Bobning foydalana olmasligi Alisaning banki va Bob uchun foydalanuvchanlik muammosi hisoblanadi. Sababi, mazkur holda Alisa pul o’tkazmalaridan daromad ola olmaydi va Bob esa o’z biznesini amalga oshira olmaydi. Foydalanuvchanlikni buzishga qaratilgan hujumlardan eng keng tarqalgani – xizmat ko’rsatishdan voz kechishga undovchi hujum (Denial of service, DOS) [11]. Risk – potensial foyda yoki zarar bo’lib, umumiy holda har qanday vaziyatga biror bir hodisani yuzaga kelish ehtimoli qo’shilganida risk paydo bo’ladi. ISO “risk – bu noaniqlikning maqsadlarga ta’siri” sifatida ta’rif bergan [14]. Masalan, universitetga o’qishga kirish jarayonini ko’raylik. Umumiy holda bu jarayonni o’zi risk hisoblanmaydi. Faqatgina abituriyent hujjatlarini va kirish imtihonlarini topshirganda, u o’qishga kirishi yoki kira olmasligi mumkin. Bu o’z navbatida qabul qilinish yoki qabul qilinmaslik riskini yuzaga kelishiga olib keladi. Kiberxavfsizlik yoki axborot xavfsizligida risklar salbiy ko’rinishda qaraladi. Hujumchi kabi fikrlash - bo’lishi mumkin bo’lgan xavfni oldini olish uchun qonuniy foydalanuvchini hujumchi kabi fikrlash jarayoni. Tizimli fikrlash - kafolatlangan amallarni ta’minlash uchun ijtimoiy va texnik cheklovlarning o’zaro ta’sirini hisobga oladigan fikrlash jarayoni. Bundan tashqari quyidagi tushunchalar ham kiberxavfsizlik sohasini chuqur o’rganishda muhim hisoblanadi. 10 Axborot xavfsizligi - axborotning holati bo’lib, unga binoan axborotga tasodifan yoki atayin ruxsatsiz ta’sir etishga yoki ruxsatsiz undan foydalanishga yo’l qo’yilmaydi. Yoki, axborotni texnik vositalar yordamida ishlanishida uning maxfiylik (konfidensiallik), yaxlitlik va foydalanuvchanlik kabi xarakteristikalarini (xususiyatlarini) saqlanishini ta’minlovchi axborotning himoyalanish sathi holati. Axborotni himoyalash – axborot xavfsizligini ta’minlashga yo’naltirilgan choralar kompleksi. Amalda axborotni himoyalash deganda ma’lumotlarni kiritish, saqlash, ishlash va uzatishda uning yaxlitligini, foydalanuvchanligini va agar, kerak bo’lsa, axborot va resurslarning konfidensialligini madadlash tushuniladi. Aktiv - himoyalanuvchi axborot yoki resurslar. Yoki, tashkilot uchun qimmatli barcha narsalar. Tahdid – tizim yoki tashkilotga zarar yetkazishi mumkin bo’lgan istalmagan hodisa. Yoki, tahdid - axborot xavfsizligini buzuvchi potensial yoki real mavjud xavfni tug’diruvchi sharoit va omillar majmui. Tahdid tashkilotning aktivlariga qaratilgan bo’ladi. Masalan, aktiv sifatida korxonaga tegishli biror bir saqlanuvchi hujjat bo’lsa, u holda ushbu hujjat saqlanadigan xonaga nisbatan tahdid amalga oshirilish mumkin. Zaiflik – bir yoki bir nechta tahdidlarni amalga oshirishga imkon beruvchi tashkilot aktivi yoki boshqaruv tizimidagi kamchilik hisoblanadi. Masalan, xonada saqlanayotgan tashkilot hujjati qo’g’oz ko’rinishda bo’lganligi sababli, yonib ketishi mumkin. Boshqarish vositasi – riskni o’zgartiradigan harakatlar bo’lib, boshqarish natijasi zaiflik yoki tahdidlarni o’zgarishiga ta’sir qiladi. Bundan tashqari boshqarish vositasining o’zi turli tahdidlar foydalanishi mumkin bo’lgan zaiflikka ega bo’lishi mumkin. Masalan, tashkilotda saqlanayotgan qog’oz ko’rinishidagi axborotni yong’indan himoyalash uchun o’chirish vositalari boshqarish vositasi sifatida ko’rilishi mumkin. Bundan tashqari, yong’in bo’lganda xodimlarning xattixarakatlari va yong’inni oldini olish bo’yicha ko’rilgan chora-tadbirlar ham boshqarish vositasi hisoblanishi mumkin. Yong’inga qarshi kurashish tizimining ishlamay qolish holatiga esa boshqarish vositasidagi kamchilik sifatida qarash mumkin.
Do'stlaringiz bilan baham: |